云安全联盟发布有关云数据中心中固件完整性的建议
云安全联盟(CSA)是全球领先的组织,致力于定义标准、认证和最佳实践,以帮助确保安全的云计算环境,日前发布了云安全行业的新立场文件峰会(CSIS)技术工作组文件—云计算数据中心的固件完整性。在其中,关键数据中心开发利益相关者使用安全服务器分享他们关于构建云计算基础设施的建议,这些服务器使客户能够在硬件/固件级别信任云计算提供商的基础设施。
具体而言,该立场文件确定了行业中的差距,这使得难以满足美国国家标准与技术研究院(NIST)对“标准”通用服务器的要求,并提供了构建满足美国国家标准与技术研究院要求的服务器的方法(包括在适用时调用缺少的技术),以及可以进一步提高服务器安全级别的其他要求。
“随着攻击者的复杂程度和民族主义国家威胁缓解程度的不断提高,构建新的、更安全的服务器系列至关重要。硬件/固件行业必须更好地构建具有高代码质量的固件,并且在固件级别上具有最小的漏洞可能性。我们希望能够就此事及后续行动展开讨论。”云安全联盟美洲研究总监John Yeoh说。
“从组件到系统再到解决方案的每一步都必须验证供应链安全性至关重要,”Yeoh继续说道,“我们认为,如果云计算供应商不必设计和构建专用硬件,而是通过标准化商品硬件,就可以满足这些要求。”
新立场文件峰会(CSIS)挑选出的硬件制造商立即关注的差距包括:
(1)第一指令完整性-能够以云计算提供商而不仅仅是制造商可验证的方式确保第一条指令(第一条代码或从可变非易失性媒体加载的数据)的完整性。
(2)外围设备的信任链-利用信任的主机根和其他信任根来创建对外围设备的信任链(例如,用于PCIe设备或其他共生设备)的能力。
(3)自动恢复-在检测到损坏的固件(初始启动之后)时执行自动恢复到已知启动时状态的能力。
云计算安全行业峰会技术工作组是一组云计算服务提供商(CSP)和云计算的利益相关者,其使命是发展对云计算的信心,为企业和云服务提供商带来广泛的利益,与行业团队合作,共同发展协调云安全的方法。该集团包括来自顶级云服务提供商的成员,包括1&1、IBM、云安全联盟、Microsoft、Oracle、Rackspace、Swisscom等。英特尔公司是该集团的推动者。