Olympus專(zhuān)案是微軟的超大型云端硬件設(shè)計(jì),屬於開(kāi)源硬件開(kāi)發(fā)的新模式,就像開(kāi)源碼軟件的分支一樣,它同樣允許開(kāi)發(fā)人員根據(jù)需求變更其硬件設(shè)計(jì)。目前Olympus專(zhuān)案已完成硬件設(shè)計(jì)并藉由OCP開(kāi)源,同時(shí)也已部署在Azure上的Fv2虛擬機(jī)器家族,是Azure上首個(gè)產(chǎn)品化的Olympus專(zhuān)案設(shè)計(jì)。
至於Cerberus專(zhuān)案即是Olympus專(zhuān)案的下一步。若說(shuō)Olympus專(zhuān)案是個(gè)開(kāi)源的硬件專(zhuān)案,那麼Cerberus就是個(gè)開(kāi)源的韌體安全專(zhuān)案。
Azure硬件架構(gòu)總經(jīng)理Kushagra Vaid指出,伺服器硬件一直缺乏資料的安全保護(hù),而Cerberus即是個(gè)用來(lái)保護(hù)、偵測(cè)與恢復(fù)針對(duì)韌體攻擊的專(zhuān)案,當(dāng)人們於云端處理資料時(shí),得以信賴它們是在采用安全韌體的硬件上執(zhí)行。
Cerberus專(zhuān)案符合NIST 800-193《平臺(tái)韌體防災(zāi)準(zhǔn)則》的草案規(guī)范,它針對(duì)主機(jī)板與輸入/輸出設(shè)備上的各種韌體提供一個(gè)硬件可信任架構(gòu),自硬件預(yù)先啟動(dòng)到運(yùn)作之間執(zhí)行嚴(yán)格的存取控制與完整性驗(yàn)證,將得以防范擁有管理權(quán)限的內(nèi)賊,也能杜絕開(kāi)采作業(yè)系統(tǒng)、應(yīng)用程式或hypervisor漏洞的惡意程式與駭客,預(yù)防韌體遭到竄改,或是來(lái)自供應(yīng)鏈的攻擊。
Cerberus專(zhuān)案含有一個(gè)執(zhí)行安全程式碼的加密微控制器,它能監(jiān)聽(tīng)自主機(jī)經(jīng)由SPI bus(存有韌體)到Flash裝置的存取,因此能持續(xù)藉由衡量與驗(yàn)證這些存取來(lái)確保韌體的完整性,以防范未經(jīng)授權(quán)的存取或惡意更新。
由於該專(zhuān)案的規(guī)格并未鎖定任何CPU或I/O架構(gòu),因此適用范圍極廣,規(guī)模可從大型的資料中心到小型的IoT裝置,其平臺(tái)安全性亦可延伸到所有基於同樣架構(gòu)原則的I/O設(shè)備。
微軟亦與Intel合作以探索平臺(tái)韌體安全性的最佳導(dǎo)入模式,亦計(jì)劃將Cerberus專(zhuān)案貢獻(xiàn)給OCP。目前Cerberus專(zhuān)案的規(guī)格草案僅涵蓋主機(jī)板上的韌體,如UEFI BIOS、BMC與Options ROMs,未來(lái)將與社群合作將該規(guī)格延伸到各種I/O元件,包括傳統(tǒng)硬碟、固態(tài)硬碟、網(wǎng)絡(luò)卡、可程式邏輯裝置(FPGA)或GPU等。
