Olympus專(zhuān)案是微軟的超大型云端硬件設計,屬於開(kāi)源硬件開(kāi)發(fā)的新模式,就像開(kāi)源碼軟件的分支一樣,它同樣允許開(kāi)發(fā)人員根據需求變更其硬件設計。目前Olympus專(zhuān)案已完成硬件設計并藉由OCP開(kāi)源,同時(shí)也已部署在A(yíng)zure上的Fv2虛擬機器家族,是Azure上首個(gè)產(chǎn)品化的Olympus專(zhuān)案設計。
至於Cerberus專(zhuān)案即是Olympus專(zhuān)案的下一步。若說(shuō)Olympus專(zhuān)案是個(gè)開(kāi)源的硬件專(zhuān)案,那麼Cerberus就是個(gè)開(kāi)源的韌體安全專(zhuān)案。
Azure硬件架構總經(jīng)理Kushagra Vaid指出,伺服器硬件一直缺乏資料的安全保護,而Cerberus即是個(gè)用來(lái)保護、偵測與恢復針對韌體攻擊的專(zhuān)案,當人們於云端處理資料時(shí),得以信賴(lài)它們是在采用安全韌體的硬件上執行。
Cerberus專(zhuān)案符合NIST 800-193《平臺韌體防災準則》的草案規范,它針對主機板與輸入/輸出設備上的各種韌體提供一個(gè)硬件可信任架構,自硬件預先啟動(dòng)到運作之間執行嚴格的存取控制與完整性驗證,將得以防范擁有管理權限的內賊,也能杜絕開(kāi)采作業(yè)系統、應用程式或hypervisor漏洞的惡意程式與駭客,預防韌體遭到竄改,或是來(lái)自供應鏈的攻擊。
Cerberus專(zhuān)案含有一個(gè)執行安全程式碼的加密微控制器,它能監聽(tīng)自主機經(jīng)由SPI bus(存有韌體)到Flash裝置的存取,因此能持續藉由衡量與驗證這些存取來(lái)確保韌體的完整性,以防范未經(jīng)授權的存取或惡意更新。
由於該專(zhuān)案的規格并未鎖定任何CPU或I/O架構,因此適用范圍極廣,規模可從大型的資料中心到小型的IoT裝置,其平臺安全性亦可延伸到所有基於同樣架構原則的I/O設備。
微軟亦與Intel合作以探索平臺韌體安全性的最佳導入模式,亦計劃將Cerberus專(zhuān)案貢獻給OCP。目前Cerberus專(zhuān)案的規格草案僅涵蓋主機板上的韌體,如UEFI BIOS、BMC與Options ROMs,未來(lái)將與社群合作將該規格延伸到各種I/O元件,包括傳統硬碟、固態(tài)硬碟、網(wǎng)絡(luò )卡、可程式邏輯裝置(FPGA)或GPU等。
