Project Cerberus
Cerberus je hardwarový kořen důvěryhodnosti kompatibilní se standardem NIST 800-193 s identitou, kterou nelze naklonovat. Cerberus je navržený tak, aby dále zvýšil stav zabezpečení infrastruktury Azure tím, že poskytuje silné kotvy důvěryhodnosti pro integritu firmwaru.
Povolení ukotvení vztahu důvěryhodnosti
Každý čip Cerberus má jedinečnou kryptografickou identitu, která se vytváří pomocí podepsaného řetězu certifikátů s kořenem certifikační autority (CA) Microsoftu. Měření získaná z Cerberus lze použít k ověření integrity součástí, jako jsou:
- Hostitel
- Řadič pro správu základní desky (BMC)
- Všechna periferní zařízení, včetně síťové karty a soC (system-on-a-chip )
Toto ukotvení důvěryhodnosti pomáhá chránit firmware platformy před:
- Ohrožené binární soubory firmwaru spuštěné na platformě
- Malware a hackeři, kteří zneužívají chyby v operačním systému, aplikaci nebo hypervisoru
- Určité typy útoků na dodavatelský řetězec (výroba, montáž, přeprava)
- Insideri se zlými úmysly s oprávněními správce nebo přístupem k hardwaru
Cerberus atestace
Cerberus ověřuje integritu firmwaru pro součásti serveru pomocí manifestu firmwaru platformy (PFM). PFM definuje seznam autorizovaných verzí firmwaru a poskytuje měření platformy službě Azure Host Attestation Service. Služba Ověření identity hostitele ověří měření a určí, že povolí připojení k vozovému parku Azure a hostování zákaznických úloh pouze důvěryhodným hostitelům.
Ve spojení se službou Ověření identity hostitele funkce Cerberus vylepšují a podporují vysoce zabezpečenou produkční infrastrukturu Azure.
Poznámka
Další informace najdete v tématu Informace o Projektu Cerberus na GitHubu .
Další kroky
Další informace o tom, co děláme pro zajištění integrity a zabezpečení platformy, najdete tady: