Proyecto Cerberus

  • Artículo

Cerberus es una raíz de confianza de hardware compatible con la normativa 800-193 del NIST con una identidad que no se puede clonar. Cerberus protege la integridad del software para aumentar la seguridad de la infraestructura de Azure.

Habilitación de un anclaje de confianza

Cada chip de Cerberus tiene una identidad criptográfica única que se establece mediante una cadena de certificados firmada con raíz a una entidad de certificación (CA) de Microsoft. Las medidas obtenidas de Cerberus se pueden usar para validar la integridad de los componentes, como:

  • administrador de flujos de trabajo
  • Controlador de administración de placa base (BMC)
  • Todos los periféricos, incluida la tarjeta de interfaz de red y el sistema en chip (SoC)

Este anclaje de confianza ayuda a defender el firmware de la plataforma de:

  • Los binarios de firmware en peligro que se ejecutan en la plataforma
  • El malware y los hackers que aprovechan los errores del sistema operativo, la aplicación o el hipervisor
  • Ciertos tipos de ataques de la cadena de suministro (fabricación, ensamblado, tránsito)
  • Intrusos malintencionados con privilegios administrativos o acceso al hardware

Atestación de Cerberus

Cerberus autentica la integridad del firmware de los componentes de servidor mediante un manifiesto de firmware de la plataforma (PFM). PFM define una lista de versiones de firmware autorizadas y proporciona una medida de la plataforma al servicio de atestación del host de Azure. El servicio de atestación del host valida las medidas y toma una determinación para permitir que solo los hosts de confianza se unan a la flota de Azure y hospeden las cargas de trabajo de los clientes.

Junto con el servicio de atestación del host, las funcionalidades de Cerberus mejoran y promueven una infraestructura de producción de Azure de alta seguridad.

Nota:

Para más información, consulte la información de Proyecto Cerberus en GitHub.

Pasos siguientes

Para más información sobre lo que se hace para fomentar la seguridad y la integridad de la plataforma, vea: