共用方式為


專案 Cerberus

Cerberus 是 NIST 800-193 相容的硬體信任根源,具有無法複製的身分識別。 Cerberus 的設計目的是藉由提供韌體完整性的強大信任錨點,進一步提升 Azure 基礎結構的安全性狀態。

啟用信任錨點

每個 Cerberus 晶片都有唯一的密碼編譯身分識別,使用根項目為 Microsoft 憑證授權 (CA) 的已簽署憑證鏈結所建立。 從 Cerberus 取得的量值可用來驗證元件的完整性,例如:

此信任錨點可協助保護平台韌體免於:

  • 平台上執行的韌體二進位檔遭到入侵
  • 惡意程式碼和駭客,惡意探索作業系統、應用程式或 Hypervisor 中的錯誤 (bug)
  • 某些類型的供應鏈攻擊 (製造、組件、傳輸)
  • 具有管理員權限或硬體存取權的惡意內部人員

Cerberus 證明

Cerberus 會使用平台韌體資訊清單 (PFM) 驗證伺服器元件的韌體完整性。 PFM 會定義授權的韌體版本清單,並提供平台量值給 Azure 主機證明服務。 主機證明服務會驗證量值,決定只允許受信任的主機加入 Azure 團隊並裝載客戶工作負載。

搭配主機證明服務,Cerberus 的功能可獲得增強,提供高度安全的 Azure 生產基礎結構。

注意

若要深入了解,請參閱 GitHub 上 專案 Cerberus (英文) 資訊。

下一步

若要深入了解我們推動平台完整性和安全性的方法,請參閱: