W zeszłym roku Microsoft poinformował o wspólnej inicjatywie z Open Compute Project o nazwie Project Olympus. Jest to nowej generacji otwartoźródłowy design sprzętowy, z którym w międzyczasie uzyskał zgodność Qualcomm Centriq 2400 - pierwszy na świecie 10 nm procesor serwerowy. Microsoft potwierdził dziś ukończenie projektu i uruchomienie nowego - Project Cerberus.
Project Olympus według podanych dziś informacji został w 100% ukończony i stał się otwartoźródłowy. Dokumentacja opisuje 19 specyfikacji, 8 designów, bazę konstrukcyjną i sposoby zarządzania. Microsoft z tych designów korzysta już m.in. przy najszybszych maszynach wirtualnych w Azure, znanych jako rodzina Fv2. Zupełnie nową serwerową platformą sprzętową jest z kolei Project Cerberus. Standard zakłada użycie zestawu funkcji NIST 800-193 dla sprzętowego modułu bezpieczeństwa, który gwarantować ma bezpieczeństwo całemu firmware'owi platformy, wymuszając restrykcyjną kontrolę nad dostępem i weryfikację integralności począwszy od fazy przed rozruchem, kończąc na pełnym działania systemu. Sprzętowy Root of Trust adresowany jest do UEFI BIOS, BMC, Options ROM-ów i peryferyjnych urządzeń I/O. Cerberus chroni urządzenie przed wieloma typami ataków, wliczając w to ingerencję w firmware'owe binarki, ataki supply chain, ataki związane z bezpośrednim dostępem do sprzętu, ataki hakerów, z użyciem złośliwego oprogramowania i exploitów na system operacyjny, aplikacje lub hypervisora.
Project Cerberus zawiera kryptograficzny mikrokontroler, uruchamiający kod chroniący, który przechwytuje dostęp do hosta poprzez szynę SPI, gdzie przechowywany jest firmware. Może więc nieustannie sprawdzać owe dostępy w odniesieniu do integralności firmware'u i chronić przed nieautoryzowanym dostępem i szkodliwymi aktualizacjami. Działa on w fazach przedrozruchowej, rozruchowej i po uruchomieniu systemu, chroniąc integralność wszystkich komponentów firmware'u w systemie. Specyfikacja wspiera też hierarchiczny Root of Trust, dzięki czemu zabezpieczenia platformy mogą być na tych samych zasadach rozszerzone na urządzenia wejścia/wyjścia.
Microsoft współpracuje obecnie z Intelem, by znaleźć optymalne modele implementacji. W przyszłości specyfikacja Project Cerberus przejdzie też na open source.
341f31d.png)