Die Open Compute Project Foundation (OCP), die gemeinnützige Organisation, die Hyperscale-Innovationen für alle zugänglich macht, kündigte ein neues Programm an, das OCP Security Appraisal Framework and Enablement (S.A.F.E.). Es wurde entwickelt, um die Vertrauenswürdigkeit von Geräten in der gesamten IT-Infrastruktur von Rechenzentren zu verbessern.
Das OCP S.A.F.E. Programm sollte Kostenaufwand und Redundanz von Sicherheitsprüfungen von Geräten durch eine von der OCP Community entwickelte Checkliste für Gerätesicherheit reduzieren. Auch soll es den Sicherheitsstatus von Gerätehardware und Firmware-Komponenten in der gesamten Lieferkette verbessern.
Sicherheit von Hardware und Firmware
Das S.A.F.E. Programm erweitert die angebotenen Dienstleistungen der OCP Foundation um eine neue Dimension. Alles beginnt damit, dass die OCP Community eine standardisierte gerätespezifische Audit-Checkliste sowie Kriterien für die Auswahl von externen Auditoren für die Überprüfung der Gerätesicherheit erarbeitet. Sowohl die Audit-Checkliste für die Geräteprüfung als auch die Kriterien für die Auswahl der Auditoren werden Open Source und frei verfügbar sein. Die Geräte-Auditoren nehmen eine Selbstbewertung vor, und diejenigen, die sich qualifizieren, werden zum OCP Security Review Providers (SRP) ernannt. Gerätehersteller werden einen von der OCP anerkannten SRP mit der Durchführung einer gerätespezifischen Sicherheitsüberprüfung beuaftragen. Diese fusst auf der Grundlage der entsprechenden von der OCP Community bereitgestellten Checkliste.
Impulsgeber der Sicherheitsbemühungen in der OCP Community
“Das OCP S.A.F.E. Programm ist darauf ausgelegt, als Impulsgeber für die Verbesserung der Sicherheitsbemühungen in der OCP Community und der Branche zu dienen. Das OCP S.A.F.E. Programm ist ein von der OCP Community betriebenes Projekt zur Standardisierung der Sicherheitsüberprüfung von Geräte-Firmware. Es soll Rechenzentrumsbetreibern helfen, einen konsistenten Sicherheitsstatus aufrechtzuerhalten und gleichzeitig die Kosten zu senken. Dadurch sollen Überschneidungen vermieden werden, was von anderen Marktsegmenten übernommen werden kann. Sicherheit ist das Fundament, das die zentralen Grundwerte von OCP, Effizienz, Offenheit, Skalierbarkeit, Wirkung und Nachhaltigkeit ermöglicht”, so Steve Helvie, VP Emerging Markets bei der Open Compute Project Foundation.
Codequalität und die Software-Lieferkette
“Die Schaffung eines standardisierten Ansatzes für den Ursprung, die Codequalität und die Software-Lieferkette für Firmware-Releases und Firmware-Patches, die auf IT-Geräten in Rechenzentren ausgeführt werden, kommt der gesamten Community zugute. Das betrifft die Demokratisierung des Überprüfungsprozesses bis hin zur Optimierung der Abläufe. Google freut sich, Gründungsmitglied des OCP S.A.F.E Programms zu sein, und zusammen mit der Community werden wir unser gemeinsames Ziel von stärkeren Sicherheitsgarantien für die Branche erreichen”, so Phil Venables, CISO, Google Cloud.
Unabhängige externe Audits stellen große Herausforderungen dar. Diese Ergebnisse stehen oft nur einem bestimmten Kundenkreis zur Verfügung, was ihre Marktwirkung einschränkt. Außerdem werden diese Überprüfungen häufig von den Kunden zum Zeitpunkt des Kaufs in Auftrag gegeben, wobei die Geräte nur einmal überprüft werden und spätere Sicherheitslücken, die durch Firmware-Upgrades und Patches entstehen, unentdeckt bleiben. Der von der OCP vorangetriebene standardisierte Ansatz für alle Rechenzentrumsbetreiber wird diese Probleme effektiv und effizient angehen.
“Wir haben uns mit OCP zusammengetan, um SAFE zu schaffen, ein Rahmenwerk, das systematische Sicherheitsbewertungen im gesamten Hardware-Ökosystem fördert. Diese Initiative bietet allen Hardware-Kunden ein höheres Maß an Qualität und Sicherheit”, sagte Mark Russinovich, CTO von Azure.
Das OCP S.A.F.E. Programm
Das OCP S.A.F.E. Programm wurde entwickelt,
- um den Kostenaufwand und die Redundanz von Sicherheitsprüfungen für Geräte zu reduzieren,
- den Nutzern von Geräten Sicherheitskonformität zu garantieren,
- die Anzahl der Geräte zu erhöhen, deren Firmware und zugehörige Updates kontinuierlich und nicht nur einmal bei der Herstellung des Geräts überprüft werden.
- den Sicherheitsstatus von Gerätehardware und Firmware-Komponenten durch eine iterative Verfeinerung der Prüfbereiche, des Prüfumfangs und der Berichtsanforderungen zu verbessern.
Das Programm erhielt starken Zuspruch sowohl von externen Prüfern als auch von Geräte- und Chip-Herstellern. Derzeit sind Atredis Partners, IO Active und die NCC Group als OCP Security Review Providers registriert. Außerdem nehmen die Gerätehersteller AMD und SK Hynix sowie der Halbleiterhersteller Intel teil.
Hohes Maß an Sicherheitsgarantie
“Das OCP S.A.F.E. Programm mit dem erhöhten Maß an Sicherheitsgarantie, das es bieten kann, sollte ein neues Maß an Vertrauen in den Markt für die Kunden von IT-Geräten in Rechenzentren und letztlich für die Endnutzer der von Cloud-Anbietern bereitgestellten Dienste schaffen. Die damit verbundenen Effizienzsteigerungen bei gleichzeitiger Verbesserung der Sicherheit sind erfrischend für die Branche. Dies ist nur ein Beispiel dafür, wie die offene Zusammenarbeit innerhalb einer Community wie der OCP allen zugute kommen kann”, so Ashish Nadkarni, Group Vice President und General Manager, Worldwide Infrastructure bei IDC.
Hintergrund: Das Open Compute Project (OCP) ist ein kollaborativer Zusammenschluss von Betreibern von Hyperscale-Rechenzentren, Telekommunikationsunternehmen, Colocation-Anbietern und IT-Anwendern in Unternehmen, die mit dem Ökosystem der Produkt- und Lösungsanbieter zusammenarbeiten, um offene Innovationen zu entwickeln, die von der Cloud bis zur Edge eingesetzt werden können. Die OCP Foundation hat die Aufgabe, die OCP Community zu fördern und zu unterstützen, um den Markt zu bedienen und die Zukunft zu gestalten, indem sie Hyperscale-Innovationen für alle zugänglich macht. Um den Marktbedürfnissen zu entsprechen, werden schwierige Markthindernisse mit offenen Spezifikationen, Designs und neuen Marktprogrammen angegangen, die von der OCP anerkannte Best Practices für IT-Ausrüstung und Rechenzentrumseinrichtungen präsentieren. Zur Gestaltung der Zukunft gehören Investitionen in strategische Initiativen und Programme, die das IT-Ökosystem auf große technologische Umwälzungen vorbereiten, beispielsweise in den Bereichen KI und ML, Optik, fortschrittliche Kühltechniken, Composable Memory und Silizium. Die von der OCP Community entwickelten offenen Innovationen dienen dem Nutzen aller und werden unter den Gesichtspunkten Wirkung, Effizienz, Skalierbarkeit und Nachhaltigkeit optimiert.