專案 Cerberus

Cerberus 是 NIST 800-193 相容的硬體信任根源，具有無法複製的身分識別。 Cerberus 的設計目的是藉由提供韌體完整性的強大信任錨點，進一步提升 Azure 基礎結構的安全性狀態。

啟用信任錨點

每個 Cerberus 晶片都有唯一的密碼編譯身分識別，使用根項目為 Microsoft 憑證授權 (CA) 的已簽署憑證鏈結所建立。 從 Cerberus 取得的量值可用來驗證元件的完整性，例如：

• Host
• 基礎板管理控制器 (BMC)
• 所有周邊設備，包括網路介面卡和晶片上的系統 (英文) (SoC)

此信任錨點可協助保護平台韌體免於：

• 平台上執行的韌體二進位檔遭到入侵
• 惡意程式碼和駭客，惡意探索作業系統、應用程式或 Hypervisor 中的錯誤 (bug)
• 某些類型的供應鏈攻擊 (製造、組件、傳輸)
• 具有管理員權限或硬體存取權的惡意內部人員

Cerberus 證明

Cerberus 會使用平台韌體資訊清單 (PFM) 驗證伺服器元件的韌體完整性。 PFM 會定義授權的韌體版本清單，並提供平台量值給 Azure 主機證明服務。 主機證明服務會驗證量值，決定只允許受信任的主機加入 Azure 團隊並裝載客戶工作負載。

搭配主機證明服務，Cerberus 的功能可獲得增強，提供高度安全的 Azure 生產基礎結構。

注意

若要深入了解，請參閱 GitHub 上 專案 Cerberus (英文) 資訊。

下一步

若要深入了解我們推動平台完整性和安全性的方法，請參閱：

• 韌體安全性
• 平台程式碼完整性
• 安全開機
• 量值開機和主機證明
• 待用加密
• Hypervisor 安全性