云安全聯(lián)盟發(fā)布云安全行業(yè)建議，云計算數(shù)據(jù)中心的固件完整性

云安全聯(lián)盟(CSA)是全球領先的組織，致力于定義標準、認證和最佳實踐，以幫助確保安全的云計算環(huán)境，日前發(fā)布了云安全行業(yè)的新立場文件峰會(CSIS)技術工作組文件—云計算數(shù)據(jù)中心的固件完整性。在其中，關鍵數(shù)據(jù)中心開發(fā)利益相關者使用安全服務器分享他們關于構建云計算基礎設施的建議，這些服務器使客戶能夠在硬件/固件級別信任云計算提供商的基礎設施。

具體而言，該立場文件確定了行業(yè)中的差距，這使得難以滿足美國國家標準與技術研究院(NIST)對“標準”通用服務器的要求，并提供了構建滿足美國國家標準與技術研究院要求的服務器的方法(包括在適用時調用缺少的技術)，以及可以進一步提高服務器安全級別的其他要求。

“隨著攻擊者的復雜程度和民族主義國家威脅緩解程度的不斷提高，構建新的、更安全的服務器系列至關重要。硬件/固件行業(yè)必須更好地構建具有高代碼質量的固件，并且在固件級別上具有最小的漏洞可能性。我們希望能夠就此事及后續(xù)行動展開討論。”云安全聯(lián)盟美洲研究總監(jiān)John Yeoh說。

“從組件到系統(tǒng)再到解決方案的每一步都必須驗證供應鏈安全性至關重要，”Yeoh繼續(xù)說道，“我們認為，如果云計算供應商不必設計和構建專用硬件，而是通過標準化商品硬件，就可以滿足這些要求。”

新立場文件峰會(CSIS)挑選出的硬件制造商立即關注的差距包括：

(1)第一指令完整性-能夠以云計算提供商而不僅僅是制造商可驗證的方式確保第一條指令(第一條代碼或從可變非易失性媒體加載的數(shù)據(jù))的完整性。

(2)外圍設備的信任鏈-利用信任的主機根和其他信任根來創(chuàng)建對外圍設備的信任鏈(例如，用于PCIe設備或其他共生設備)的能力。

(3)自動恢復-在檢測到損壞的固件(初始啟動之后)時執(zhí)行自動恢復到已知啟動時狀態(tài)的能力。

云計算安全行業(yè)峰會技術工作組是一組云計算服務提供商(CSP)和云計算的利益相關者，其使命是發(fā)展對云計算的信心，為企業(yè)和云服務提供商帶來廣泛的利益，與行業(yè)團隊合作，共同發(fā)展協(xié)調云安全的方法。該集團包括來自頂級云服務提供商的成員，包括1&1、IBM、云安全聯(lián)盟、Microsoft、Oracle、Rackspace、Swisscom等。英特爾公司是該集團的推動者。