Проект Cerberus
Cerberus — это совместимый с NIST 800-193 аппаратный корень доверия, удостоверение которого нельзя клонировать. Cerberus предназначен для дальнейшего повышения безопасности инфраструктуры Azure, поскольку это надежный якорь доверия для обеспечения целостности встроенного ПО.
Включение якоря доверия
Каждая микросхема Cerberus имеет уникальное криптографическое удостоверение, которое устанавливается с помощью цепочки подписанных сертификатов c привязкой к центру сертификации Майкрософт. Измерения, полученные от Cerberus, можно использовать для проверки целостности различных компонентов, например:
- Узел
- Контроллер управления основной платой (BMC)
- Все периферийные устройства, в том числе сетевая карта и система на кристалле (SoC).
Этот якорь доверия помогает защитить встроенное ПО платформы от следующих угроз:
- скомпрометированные двоичные файлы встроенного ПО, запущенные на платформе;
- вредоносные программы и злоумышленники, которые используют ошибки в операционной системе, приложении или гипервизоре;
- определенные виды атак на цепочку поставок (производство, сборка, передача);
- злоумышленники внутри организации с правами администратора или доступом к оборудованию.
Аттестация Cerberus
Cerberus проверяет целостность встроенного ПО для компонентов сервера с помощью манифеста встроенного ПО платформы (PFM). PFM определяет список утвержденных версий встроенного ПО и обеспечивает измерение платформы для Службы аттестации узлов Azure. Служба аттестации узлов проверяет измерения и разрешает только доверенным узлам присоединяться к парку устройств Azure и размещать рабочие нагрузки клиентов.
В сочетании со Службой аттестации узлов, возможности Cerberus улучшают рабочую инфраструктуру Azure и повышают ее безопасность.
Примечание
Дополнительные сведения см. в документации по проекту Cerberus на сайте GitHub.
Дальнейшие действия
Дополнительные сведения о том, что мы делаем для обеспечения целостности и безопасности платформы, см. в следующих статьях: