具體而言,該立場文件確定了行業(yè)中的差距,這使得難以滿足美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)對“標(biāo)準(zhǔn)”通用服務(wù)器的要求,并提供了構(gòu)建滿足美國國家標(biāo)準(zhǔn)與技術(shù)研究院要求的服務(wù)器的方法(包括在適用時(shí)調(diào)用缺少的技術(shù)),以及可以進(jìn)一步提高服務(wù)器安全級別的其他要求。
“隨著攻擊者的復(fù)雜程度和民族主義國家威脅緩解程度的不斷提高,構(gòu)建新的、更安全的服務(wù)器系列至關(guān)重要。硬件/固件行業(yè)必須更好地構(gòu)建具有高代碼質(zhì)量的固件,并且在固件級別上具有最小的漏洞可能性。我們希望能夠就此事及后續(xù)行動(dòng)展開討論。”云安全聯(lián)盟美洲研究總監(jiān)John Yeoh說。
“從組件到系統(tǒng)再到解決方案的每一步都必須驗(yàn)證供應(yīng)鏈安全性至關(guān)重要,”Yeoh繼續(xù)說道,“我們認(rèn)為,如果云計(jì)算供應(yīng)商不必設(shè)計(jì)和構(gòu)建專用硬件,而是通過標(biāo)準(zhǔn)化商品硬件,就可以滿足這些要求。”
新立場文件峰會(huì)(CSIS)挑選出的硬件制造商立即關(guān)注的差距包括:
(1)第一指令完整性-能夠以云計(jì)算提供商而不僅僅是制造商可驗(yàn)證的方式確保第一條指令(第一條代碼或從可變非易失性媒體加載的數(shù)據(jù))的完整性。
(2)外圍設(shè)備的信任鏈-利用信任的主機(jī)根和其他信任根來創(chuàng)建對外圍設(shè)備的信任鏈(例如,用于PCIe設(shè)備或其他共生設(shè)備)的能力。
(3)自動(dòng)恢復(fù)-在檢測到損壞的固件(初始啟動(dòng)之后)時(shí)執(zhí)行自動(dòng)恢復(fù)到已知啟動(dòng)時(shí)狀態(tài)的能力。
云計(jì)算安全行業(yè)峰會(huì)技術(shù)工作組是一組云計(jì)算服務(wù)提供商(CSP)和云計(jì)算的利益相關(guān)者,其使命是發(fā)展對云計(jì)算的信心,為企業(yè)和云服務(wù)提供商帶來廣泛的利益,與行業(yè)團(tuán)隊(duì)合作,共同發(fā)展協(xié)調(diào)云安全的方法。該集團(tuán)包括來自頂級云服務(wù)提供商的成員,包括1&1、IBM、云安全聯(lián)盟、Microsoft、Oracle、Rackspace、Swisscom等。英特爾公司是該集團(tuán)的推動(dòng)者。