Projekt Cerberus
Cerberus to zgodny ze standardem NIST 800-193 sprzęt główny zaufania z tożsamością, której nie można sklonować. Cerberus został zaprojektowany tak, aby zwiększyć poziom zabezpieczeń infrastruktury platformy Azure, zapewniając silną kotwicę zaufania dla integralności oprogramowania układowego.
Włączanie kotwicy zaufania
Każdy mikroukład Cerberus ma unikatową tożsamość kryptograficzną ustanowioną przy użyciu podpisanego łańcucha certyfikatów z odblokowanym dostępem do urzędu certyfikacji firmy Microsoft. Pomiary uzyskane z narzędzia Cerberus mogą służyć do sprawdzania integralności składników, takich jak:
- Host
- Kontroler zarządzania płytą główną (BMC)
- Wszystkie urządzenia peryferyjne, w tym karta sieciowa i system-on-a-chip (SoC)
Ta kotwica zaufania pomaga bronić oprogramowania układowego platformy przed:
- Naruszone pliki binarne oprogramowania układowego uruchomione na platformie
- Złośliwe oprogramowanie i hakerzy wykorzystujący błędy w systemie operacyjnym, aplikacji lub funkcji hypervisor
- Niektóre typy ataków łańcucha dostaw (produkcja, montaż, tranzyt)
- Złośliwi testerzy z uprawnieniami administracyjnymi lub dostępem do sprzętu
Zaświadczenie Cerberus
Cerberus uwierzytelnia integralność oprogramowania układowego dla składników serwera przy użyciu manifestu oprogramowania układowego platformy (PFM). PfM definiuje listę autoryzowanych wersji oprogramowania układowego i zapewnia pomiar platformy dla usługi zaświadczania hosta platformy Azure. Usługa zaświadczania hosta weryfikuje pomiary i określa, czy zaufane hosty mogą dołączać do floty platformy Azure i hostować obciążenia klientów.
W połączeniu z usługą zaświadczania hosta możliwości cerberus zwiększają i promują wysoce bezpieczną infrastrukturę produkcyjną platformy Azure.
Uwaga
Aby dowiedzieć się więcej, zobacz informacje o projekcie Cerberus w witrynie GitHub.
Następne kroki
Aby dowiedzieć się więcej o tym, co robimy, aby zwiększyć integralność i bezpieczeństwo platformy, zobacz: