微软发表开源固件计划Cerberus专案，致力于改善OCP服务器固件安全

微软本周发表了Cerberus专案（Project Cerberus）来改善硬件装置的固件安全，这也是微软继2016年10月所推出的Olympus专案（Project Olympus）之后，另一项将贡献给开放运算计划（Open Compute Project，OCP）的作品。

Olympus专案是微软的超大型云端硬件设计，属于开源硬件开发的新模式，就像开源码软件的分支一样，它同样允许开发人员根据需求变更其硬件设计。目前Olympus专案已完成硬件设计并借由OCP开源，同时也已部署在Azure上的Fv2虚拟机器家族，是Azure上首个产品化的Olympus专案设计。

至于Cerberus专案即是Olympus专案的下一步。若说Olympus专案是个开源的硬件专案，那么Cerberus就是个开源的固件安全专案。

Azure硬件架构总经理Kushagra Vaid指出，服务器硬件一直缺乏资料的安全保护，而Cerberus即是个用来保护、侦测与恢复针对固件攻击的专案，当人们于云端处理资料时，得以信赖它们是在采用安全固件的硬件上执行。

Cerberus专案符合NIST 800-193《平台固件防灾准则》的草案规范，它针对主板与输入/输出设备上的各种固件提供一个硬件可信任架构，自硬件预先启动到运作之间执行严格的存取控制与完整性验证，将得以防范拥有管理权限的内贼，也能杜绝开采操作系统、应用程序或hypervisor漏洞的恶意程式与骇客，预防固件遭到窜改，或是来自供应链的攻击。

Cerberus专案含有一个执行安全程式码的加密微控制器，它能监听自主机经由SPI bus（存有固件）到Flash装置的存取，因此能持续借由衡量与验证这些存取来确保固件的完整性，以防范未经授权的存取或恶意更新。

由于该专案的规格并未锁定任何CPU或I/O架构，因此适用范围极广，规模可从大型的资料中心到小型的IoT装置，其平台安全性亦可延伸到所有基于同样架构原则的I/O设备。

微软亦与Intel合作以探索平台固件安全性的最佳导入模式，亦计划将Cerberus专案贡献给OCP。目前Cerberus专案的规格草案仅涵盖主板上的固件，如UEFI BIOS、BMC与Options ROMs，未来将与社群合作将该规格延伸到各种I/O元件，包括传统硬盘、固态硬盘、网络卡、可程式逻辑装置（FPGA）或GPU等。