Безопасность встроенного ПО

В этой статье описывается, как корпорация Майкрософт обеспечивает защиту экосистемы облачного оборудования и цепочек поставок.

Обеспечение безопасности экосистемы облачного оборудования

Майкрософт активно сотрудничает с партнерами для постоянного улучшения безопасности в экосистеме облачного оборудования, включая следующую деятельность:

• Совместная работа с партнерами по оборудованию и встроенному ПО для Azure (например, производителями компонентов и интеграторами систем) для выполнения требований к безопасности оборудования и встроенного ПО Azure.

• Предоставление партнерам возможности проводить непрерывную оценку и улучшение состояния безопасности их продуктов с помощью определенных корпорацией Майкрософт требований в таких областях, как:

  • безопасная загрузка встроенного ПО;
  • безопасное восстановление встроенного ПО;
  • безопасное обновление встроенного ПО;
  • шифрование встроенного ПО;
  • заблокированное оборудование;
  • детальная телеметрия отладки;
  • системная поддержка для оборудования TPM 2.0, чтобы обеспечить возможность измеряемой загрузки.

• Участие в проекте безопасности Open Compute Project (OCP) посредством разработки спецификаций. Спецификации обеспечивают согласованность и ясность для безопасного проектирования и безопасной архитектуры в экосистеме.

  Примечание.

  Примером нашего вклада в проект безопасности OCP является спецификация аппаратной безопасной загрузки.

Обеспечение безопасности цепочек поставок оборудования и встроенного ПО

Продавцы и поставщики облачного оборудования для Azure также должны придерживаться процессов обеспечения безопасности цепочек поставок и требований, разработанных корпорацией Майкрософт. Процессы разработки и развертывания оборудования и встроенного ПО должны соответствовать процессам жизненного цикла разработки защищенных приложений (SDL) корпорации Майкрософт, таким как:

• Моделирование угроз
• проверки безопасности систем;
• проверки встроенного ПО и тест на проникновение;
• защита сред сборки и тестирования;
• управление уязвимостями системы безопасности и реагирование на инциденты.

Следующие шаги

Чтобы узнать больше о том, что мы делаем для обеспечения целостности и безопасности платформ, ознакомьтесь со следующими статьями:

• Целостность кода платформы
• Безопасная загрузка
• Измеряемая загрузка и аттестация узла
• Проект Cerberus
• Шифрование при хранении
• Безопасность гипервизора