微软已经通过Olympus OCP项目(开放计算项目)硬件设计解决了云服务器问题,现在微软将注意力转向了安全性。微软在伦敦的Zettastructure会议上宣布了最新的开放硬件项目Project Cerberus,该项目旨在帮助组织加强其云环境以应对网络攻击。在希腊神话中,Cerberus是多头狗,在黑道入口处站岗,防止死者逃脱。
微软希望在数据中心,Project Cerberus能够防止恶意软件和攻击者入侵云工作负载。
微软Azure硬件基础架构总经理Kushagra Vaid表示,Project Cerberus“提供了迄今为止服务器硬件所缺少的安全保护的关键组件,即保护,检测和恢复对平台固件的攻击,” 11月8日公告。“ Cerberus项目设想可以在云中处理数据,并且确信它可以在具有不受影响固件的硬件上运行。
在技术层面上,Vaid将Cerberus项目描述为符合NIST(美国国家标准技术研究院)800-193平台固件弹性指南的硬件“信任之根”。它涵盖了主板的固件和连接的I / O设备,可进行完整性验证和严格的访问控制,从整个运行前操作一直贯穿预引导过程。
Project Cerberus包含一个加密微控制器,该微控制器运行安全代码并拦截来自主机系统的访问尝试,以通过SPI(串行外围设备接口)总线“刷新”或更新固件。通过不断阻止恶意更新和对服务器固件的未授权访问,此方法至少从攻击者的角度锁定了服务器上最理想的低级资源之一。
IT专业人员非常重视BIOS(基本输入/输出系统)固件的安全性。对主板固件的成功攻击可以使攻击者完全控制受影响的系统,并且可以不受限制地访问存储在其上的数据。那些残酷残酷的人还可以使用BIOS漏洞,不仅可以访问系统,还可以“破坏”系统或使其无法使用。
更糟糕的是,这种攻击很难检测,因为它们是在反恶意软件软件范围之外的基础级别上运行的。在7月举行的Black Hat USA安全会议上,Cylance首席研究科学家Alex Matrosov讨论了英特尔BIOS固件保护(即UEFI(统一可扩展固件接口))的松懈实施如何导致许多PC上的特权升级漏洞。
微软正在与英特尔合作制定Cerberus项目的规范草案,该公司计划向OCP开放源代码。更多详细信息在这里。
同时,微软的另一个开放硬件计划Project Olympus 正在其公司的Azure云计算平台上发展。Vaid报告说,基于该规范的系统已“大规模生产”,并为公司最快的Azure虚拟机(VM)系列(Fv2 VM)提供动力。奥林巴斯项目系统也可以从Wiwynn和ZT Systems商购获得,更多的服务器制造商也正在开发中。