Cisco Secure Boot に関する情報
Cisco Secure Boot サポートは、Cisco MDS NX-OS 8.1(1) 以降のリリースの Cisco MDS 9700 48 ポート 32 Gbps ファイバ チャネル スイッチング モジュール、Cisco MDS 9132T ファイバ チャネル スイッチ、Cisco MDS 9396T ファイバ チャネル スイッチ、および Cisco MDS 9148T ファイバ チャネル スイッチに導入されました。
シスコのセキュアブートは、シスコ製ハードウェア プラットフォーム上で実行される最初のコードが真正であり、改ざんされていないこと確認します。シスコ セキュア ブートはマイクロローダーをミュート不可ハードウェアにアンカーリングし、信頼の起点を確立して、シスコのネットワークデバイスが、改ざんされたネットワークソフトウェアを実行するのを防止します。ハードウェアのブート コードを保護し、イメージ ハッシュを表示し、デバイスの セキュア ユニーク デバイス ID(SUDI)証明書を提供します。起動プロセス中にセキュア キーの認証に失敗すると、ラインカード モジュールは起動が機能不全になり、BIOS の改ざんを防ぎます。セキュアブートはデフォルトで有効になっています。
ソフトウェア認証に関して、シスコはハードウェアによるセキュアブートプロセスを実装することによって差別化され、優れた堅牢性を備えたセキュリティを実現します。ハッカーがデバイスを物理的に所有している場合でも、ハードウェアの変更は難しく、コストがかかり、隠蔽も容易ではないため、堅牢です。
シスコのセキュアブート ワークフロー
-
本物ハードウェアアンカーリングされたセキュアブートの場合により、CPU 上で実行される最初の命令は、変更できないハードウェア内に保存されます。
-
デバイスが起動すると、マイクロローダーは、次の一連の指示がシスコからのものかどうかを、その一連の指示にあるシスコのデジタル署名を検証することによって確認します。
-
ブートローダは、オペレーティング システムがシスコによってデジタル署名されているかどうかを確認することにより、オペレーティング システムがシスコからのものであることを検証します。
-
すべてのチェックに合格すると、オペレーティング システムが起動します。デジタル署名チェックが何らかの失敗をした場合、シスコデバイスはそのソフトウェアを起動させず、悪意のあるコードがデバイスに実行されないように確認します。