微軟本周發表了Cerberus專案(Project Cerberus)來改善硬體裝置的韌體安全,這也是微軟繼2016年10月所推出的Olympus專案(Project Olympus)之後,另一項將貢獻給開放運算計畫(Open Compute Project,OCP)的作品。

Olympus專案是微軟的超大型雲端硬體設計,屬於開源硬體開發的新模式,就像開源碼軟體的分支一樣,它同樣允許開發人員根據需求變更其硬體設計。目前Olympus專案已完成硬體設計並藉由OCP開源,同時也已部署在Azure上的Fv2虛擬機器家族,是Azure上首個產品化的Olympus專案設計。

至於Cerberus專案即是Olympus專案的下一步。若說Olympus專案是個開源的硬體專案,那麼Cerberus就是個開源的韌體安全專案。

Azure硬體架構總經理Kushagra Vaid指出,伺服器硬體一直缺乏資料的安全保護,而Cerberus即是個用來保護、偵測與恢復針對韌體攻擊的專案,當人們於雲端處理資料時,得以信賴它們是在採用安全韌體的硬體上執行。

Cerberus專案符合NIST 800-193《平台韌體防災準則》的草案規範,它針對主機板與輸入/輸出設備上的各種韌體提供一個硬體可信任架構,自硬體預先啟動到運作之間執行嚴格的存取控制與完整性驗證,將得以防範擁有管理權限的內賊,也能杜絕開採作業系統、應用程式或hypervisor漏洞的惡意程式與駭客,預防韌體遭到竄改,或是來自供應鏈的攻擊。

Cerberus專案含有一個執行安全程式碼的加密微控制器,它能監聽自主機經由SPI bus(存有韌體)到Flash裝置的存取,因此能持續藉由衡量與驗證這些存取來確保韌體的完整性,以防範未經授權的存取或惡意更新。

由於該專案的規格並未鎖定任何CPU或I/O架構,因此適用範圍極廣,規模可從大型的資料中心到小型的IoT裝置,其平台安全性亦可延伸到所有基於同樣架構原則的I/O設備。

微軟亦與Intel合作以探索平台韌體安全性的最佳導入模式,亦計畫將Cerberus專案貢獻給OCP。目前Cerberus專案的規格草案僅涵蓋主機板上的韌體,如UEFI BIOS、BMC與Options ROMs,未來將與社群合作將該規格延伸到各種I/O元件,包括傳統硬碟、固態硬碟、網路卡、可程式邏輯裝置(FPGA)或GPU等。


熱門新聞

Advertisement