具體而言,該立場文件確定了行業中的差距,這使得難以滿足美國國家標準與技術研究院(NIST)對“標準”通用服務器的要求,并提供了構建滿足美國國家標準與技術研究院要求的服務器的方法(包括在適用時調用缺少的技術),以及可以進一步提高服務器安全級別的其他要求。
“隨著攻擊者的復雜程度和民族主義國家威脅緩解程度的不斷提高,構建新的、更安全的服務器系列至關重要。硬件/固件行業必須更好地構建具有高代碼質量的固件,并且在固件級別上具有最小的漏洞可能性。我們希望能夠就此事及后續行動展開討論。”云安全聯盟美洲研究總監John Yeoh說。
“從組件到系統再到解決方案的每一步都必須驗證供應鏈安全性至關重要,”Yeoh繼續說道,“我們認為,如果云計算供應商不必設計和構建專用硬件,而是通過標準化商品硬件,就可以滿足這些要求。”
新立場文件峰會(CSIS)挑選出的硬件制造商立即關注的差距包括:
(1)第一指令完整性-能夠以云計算提供商而不僅僅是制造商可驗證的方式確保第一條指令(第一條代碼或從可變非易失性媒體加載的數據)的完整性。
(2)外圍設備的信任鏈-利用信任的主機根和其他信任根來創建對外圍設備的信任鏈(例如,用于PCIe設備或其他共生設備)的能力。
(3)自動恢復-在檢測到損壞的固件(初始啟動之后)時執行自動恢復到已知啟動時狀態的能力。
云計算安全行業峰會技術工作組是一組云計算服務提供商(CSP)和云計算的利益相關者,其使命是發展對云計算的信心,為企業和云服務提供商帶來廣泛的利益,與行業團隊合作,共同發展協調云安全的方法。該集團包括來自頂級云服務提供商的成員,包括1&1、IBM、云安全聯盟、Microsoft、Oracle、Rackspace、Swisscom等。英特爾公司是該集團的推動者。
京公網安備 11010502049343號