Project Cerberus
A Cerberus egy NIST 800-193 szabványnak megfelelő hardveres megbízhatósági gyökérszintű identitás, amely nem klónozható. A Cerberus célja, hogy tovább növelje az Azure-infrastruktúra biztonsági helyzetét azáltal, hogy erős megbízhatósági kapcsolatot biztosít a belső vezérlőprogram-integritáshoz.
Megbízhatósági horgony engedélyezése
Minden Cerberus-chip rendelkezik egy egyedi titkosítási identitással, amely egy Microsoft hitelesítésszolgáltatóhoz (CA) gyökerező aláírt tanúsítványlánc használatával jön létre. A Cerberusból nyert mérések az összetevők integritásának ellenőrzésére használhatók, például:
- Gazdagép
- Alaplapi felügyeleti vezérlő (BMC)
- Minden perifériák, beleértve a hálózati adaptert és a rendszer-on-a-chip (SoC)
Ez a megbízhatósági horgony segít megvédeni a platform belső vezérlőprogramját a következőktől:
- A platformon futó, feltört belső vezérlőprogram bináris fájljai
- Az operációs rendszer, az alkalmazás vagy a hipervizor hibáit kihasználó kártevők és hackerek
- Az ellátási lánc bizonyos típusai (gyártás, összeszerelés, szállítás)
- Rosszindulatú bennfentes rendszergazdai jogosultságokkal vagy hardverhez való hozzáféréssel
Cerberus-igazolás
A Cerberus egy platform belső vezérlőprogram-jegyzékfájllal (PFM) hitelesíti a kiszolgáló-összetevők belső vezérlőprogram-integritását. A PFM meghatározza az engedélyezett belsővezérlőprogram-verziók listáját, és platformmérést biztosít az Azure Host Attestation Service számára. A gazdagépigazolási szolgáltatás ellenőrzi a méréseket, és meghatározza, hogy csak megbízható gazdagépek csatlakozhassanak az Azure-flottához és az ügyfél számítási feladataihoz.
A Gazdagépigazolási szolgáltatással együtt a Cerberus képességei egy rendkívül biztonságos Azure éles infrastruktúrát fejlesztenek és támogatnak.
Megjegyzés
További információ: Project Cerberus-információk a GitHubon.
Következő lépések
A platformintegritás és -biztonság megőrzésének érdekében teendőkről az alábbiakban olvashat bővebben: