Microsoft Azure: Cerberus-Chip schützt Cloud-Server
Microsoft entwickelt einen Sicherheitschip, der die Firmware von Servern und deren Komponenten vor Angriffen schützen soll.
Der Microsoft-Sicherheitschip Cerberus soll die Firmware von Azure-Cloud-Servern schützen
(Bild: Microsoft)
UEFI Secure Boot schützt Computer vor bösartigen Bootloadern, indem das UEFI-BIOS nur digital signierte Bootloader lädt. Die UEFI-Spezifikation legt zudem fest, dass BIOS-Updates ebenfalls digital signiert sein sollen, um eine Kompromittierung der Firmware zu erschweren. In der Praxis sind Angriffe aber weiterhin möglich und die Firmware vieler anderer Server-Komponenten wie von Fernwartungschips (Baseboard Management Controller, BMC), Netzwerkkarte, RAID-Hostadaptern, SSDs und Festplatten ist leicht manipulierbar.
Hier setzt das Microsoft-Projekt Cerberbus an: Ein im Open Compute Project (OCP) offen dokumentiertes Sicherheitskonzept prüft Firmware anhand kryptografischer Signaturen und erlaubt auch nur gesicherte Firmware-Updates.
Auf dem Open Compute Regional Summit in Amsterdam berichteten Bryan Kelly und Yigal Edery über den Fortschritt des Projekts. Bisher wurden verschiedene Cerberus-Chips entworfen und probeweise eingesetzt. Einen konkreten Chip dokumentiert das Projekt bisher nicht.
Auch andere Cloud-Anbieter verstärken den Schutz ihrer Server-Infrastruktur; Google hat etwa den Titan-Chip entwickelt, der als Cr50 auch in Chromebooks zum Einsatz kommt. Er kombiniert ein TPM 2.0 mit zahlreichen Zusatzfunktionen. (ciw)
