クラウド ハードウェアの大規模イノベーションを実現する Project Olympus

2017年11月8日 に投稿済み

General Manager, Azure Hardware Infrastructure

ちょうど 1 年前に、Datacenter Dynamics が主催するヨーロッパ デジタル インフラストラクチャ カンファレンス「Zettastructure」にて、マイクロソフトの Project Olympus が発表されました。これは次世代のハイパースケール クラウド用のハードウェア設計で、Open Compute Project (OCP) コミュニティと共同で開発する新しいオープン ソースのハードウェア開発モデルです。Project Olympus が目指すのは、現在および未来のクラウドの多様なワークロードに柔軟に対応でき、世界規模のデータセンターに簡単にスケーリングできる最先端のサーバー設計です。マイクロソフトは、コミュニティ主導のイノベーションを推進するために、作成途中の設計を公開することを決定したのです。

その後の経過をお伝えするために、Microsoft は今回も Zettastructure に参加しました。次世代の大規模コンピューティングに向けたオープンソースのクラウド ハードウェア設計のデファクト スタンダードを目指す Project Olympus は、オープンソース ソフトウェアのようにハードウェア設計をダウンロード、変更、フォークできるようにすることで、多様で広範なエコシステムを作り上げました。OCP の貢献により、設計は 100% 完了し、現在オープン ソース化されています。既に Microsoft Azure にデプロイされ大規模に運用された実績があり、ソリューション プロバイダーもこの設計を活用して OCP エコシステムを拡大する準備を進めています。

Project Olympus は、次なるフェーズである Project Cerberus へと進んでいます。これはプラットフォームのセキュリティに関する新しいオープン ソースの業界標準で、ハードウェア設計と同様に OCP コミュニティの協力により開発が進められます。

Azure へのデプロイ

Project Olympus のハードウェアは、既に Fv2 仮想マシン (VM) ファミリ を含む大規模な運用環境に展開されています。Fv2 ファミリは、パブリック クラウドの中でも最高速の Intel® Xeon® スケーラブル プロセッサを提供する Azure 最速の VM で、金融モデルの構築、科学的分析、ゲノム解析、地熱分布の視覚化、ディープ ラーニングなど、大規模コンピューティングの需要拡大に対応することを前提としています。

Fv2 VM ファミリは、Project Olympus の設計を導入した初の Azure 製品です。今後さらなるデプロイメントや半導体イノベーションを実施し、ビッグ データ分析、機械学習、人工知能 (AI) などの新しいクラウド ワークロードに必要なコンピューティング能力、爆発的に成長するクラウド サービスの需要に対応していく予定です。

オープン ソース、商用利用に対応

Project Olympus の設計仕様はすべてオープンソース化され、OCP に提供されています (19 の仕様、8 つの設計、シャーシ、および管理に関するドキュメント)。OCP コミュニティでは、このプラットフォーム アーキテクチャを基に、多様なデータセンターのニーズに対応する仕様を生み出してイノベーションを推進することができます。

また、WiwynnZT Systems などの OCP ソリューション プロバイダーを通じて、商用の Project Olympus ハードウェアの販売を開始いたします。これによって、IT やデータセンターの運用担当者が、コミュニティで開発された技術や大規模対応の用途別のハードウェア設計を活用できるようになり、オープン ソース ハードウェアの普及に向けてさらに一歩前進します。ソリューション プロバイダーにとって、これはオープン ソース ハードウェアの市場を拡大するチャンスとなります。

進化を続けるプラットフォームのセキュリティ

さらに今回、新たに Project Cerberus を始動し、これまでのサーバー ハードウェアにはなかった重要なセキュリティ保護コンポーネントを提供することで、プラットフォームのファームウェアの保護、攻撃の検出、回復を実現します。Project Cerberus が目指すのは、厳格なファームウェアを搭載したハードウェアを基盤とするクラウドで確実にデータを処理できるようにすることです。

ハードウェア プラットフォームである Project Olympus の基盤の上に、サイバー攻撃に対するセキュリティを構築することで、マイクロソフトと OCP コミュニティの価値をさらに高めることができます。マイクロソフトは、Azure を最高クラスの信頼性を備えたクラウド プラットフォームにするために、サイバー セキュリティに年間 10 億ドルを投資しています。物理データセンターの厳格なセキュリティからデータのプライバシー保護、保存中および通信中のデータの暗号化、機械学習による脅威の検出、運用ソフトウェア開発の厳重な管理まで、Azure にはクラウドの最先端のセキュリティとプライバシー保護が実装されています。

olympus-1Project Cerberus は、あらゆるプラットフォーム ファームウェアに堅牢なセキュリティを提供するよう専用設計された、NIST 800-193 準拠の信頼のハードウェア ルートです。プリブートからランタイムまで、継続的に厳格なアクセス制御と整合性認証を実行することで、マザーボード (UEFI BIOS、BMC、オプション ROM) のファームウェアおよび周辺 I/O デバイスにハードウェアの信頼のルートを提供します。

Project Cerberus では、主に以下のような脅威からプラットフォーム ファームウェアを保護します。

  • 管理者権限またはハードウェアへのアクセス権限を持つ悪意のある内部ユーザー
  • オペレーティングシステムやアプリケーション、ハイパーバイザーの不具合を悪用するハッカーやマルウェア
  • サプライチェーンへの攻撃 (製造、組み立て、輸送)
  • ファームウェアのバイナリの感染

olympus-2Project Cerberus は、ホストから (ファームウェアが保存されている) SPI バス経由でフラッシュへのアクセスを傍受する安全なコードを実行する暗号化マイクロコントローラーで構成されています。これによって、これらのアクセスが継続的に測定および保証され、ファームウェアの整合性が確保され、不正アクセスや不審な更新から保護されます。これにより、システム内のすべてのファームウェア コンポーネントについて、プリブートからブート時やランタイムまでの整合性を確保することができます。CPU や I/O のアーキテクチャに依存しない仕様は、さまざまなベンダーの設計に簡単に統合できるため、データセンターから IoT デバイスまで、あらゆる種類のプラットフォームにさらに安全にファームウェアを実装することができます。また、この仕様は階層構造の信頼のルートにも対応しており、プラットフォームのセキュリティを同じアーキテクチャ原則に基づくすべての I/O 周辺機器に拡張することが可能です。

olympus-3Microsoft では Intel と協力して、プラットフォーム ファームウェアのセキュリティを実現する最適な実装モデルの検討を行っています。コミュニティを活性化させるため、暫定的な Project Cerberus の仕様 (現在も開発中) をオープン ソース化し OCP に公開する予定です。また、NIST および Intel と共に 800-193 暫定仕様書へのフィードバック提供に関しても取り組んでいます。

Project Olympus のオープン ソース モデルと同様に、Project Cerberus の仕様を公開することで、OCP エコシステムでのコミュニティ開発に参加する人が増えるとマイクロソフトは確信しています。また、このオープンな共同作業がプラットフォーム モデルの安全性を高め、業界全体に利益をもたらすと考えます。現在の初回ドラフト仕様 は、マザーボードのファームウェア (UEFI BIOS、BMC、オプション ROM) を対象としています。今後、OCP コミュニティと共に HDD や SSD、NIC、FPGA、GPU などのあらゆる周辺 I/O コンポーネントへと徐々に仕様を拡張していく予定です。

Microsoft は、未来のハードウェア プラットフォームで新しいレベルのセキュリティを実現するため、Project Cerberus へのご協力をお願いしています。ぜひエコシステムに関するブログ記事、および Open Compute プロジェクト サイトから Project Olympus の詳細をご確認ください。