Bezpieczeństwo na poziomie sprzętu

Niecały rok po premierze vPro Intel zaprezentował nową, zaktualizowaną wersję tej platformy - Intel vPro Processor Technology 2007, wprowadzającą istotne ulepszenia poziomu zabezpieczeń komputerów PC przed zewnętrznymi atakami.

Niecały rok po premierze vPro Intel zaprezentował nową, zaktualizowaną wersję tej platformy - Intel vPro Processor Technology 2007, wprowadzającą istotne ulepszenia poziomu zabezpieczeń komputerów PC przed zewnętrznymi atakami.

VPro jest dobrym przykładem względnie nowej tendencji do integracji funkcji związanych z bezpieczeństwem i zdalnym zarządzaniem bezpośrednio w układach sprzętowych stosowanych w komputerach PC. Rozwiązania takie przygotowuje i wprowadza zarówno Intel, jak i AMD. Są one przeznaczone do automatyzacji procesów związanych z zarządzaniem korporacyjnymi komputerami PC, umożliwiając m.in. zdalną diagnostykę i instalację poprawek oprogramowania niezależnie od tego czy komputery są włączone, czy nie. Według ocen Intela w systemach korporacyjnych umożliwiają one zmniejszenie kosztów utrzymania sprzętu średnio nawet o 40%.

Według przedstawicieli firmy nowa wersja vPro została ulepszona głównie pod kątem zapewnienia bardziej skutecznej obrony przed zagrożeniami i atakami - najważniejsze modyfikacje dotyczą bowiem mechanizmów zabezpieczeń, m.in. związanych z wirtualizacją i zgodnością ze specyfikacjami NAC, ale również nowym standardem DASH definiującym zaawansowane funkcje zdalnego zarządzania komputerami.

Korporacyjna platforma

Z punktu widzenia użytkowników PC technologie takie jak vPro nie oferują istotnych zmian, ale mają duże znaczenie dla administratorów IT, bo przede wszystkim właśnie im mają ułatwić pracę. Intel vPro Processor Technology 2007 to zestaw, którego podstawowymi elementami są nowy procesor Weybridge i chipset Q35 Express. Komputery z logo vPro muszą być wyposażone w procesor Core 2 Duo E6550 lub model nowszy oraz intelowskie interfejsy sieciowe i układy sprzętowo wspomagające mechanizmy wirtualizacyjne. Na razie dostępna jest tylko desktopowa wersja vPro, ale Intel zapowiada, że w pierwszej połowie 2008 r. zaprezentuje również mobilną platformę Montevina (nowa wersja Centrino Pro - Santa Rosa) wyposażoną w podobną funkcjonalność.

Nowe vPro stosuje mechanizmy wirtualizacyjne do uruchamiania niektórych programów związanych z zabezpieczaniem systemu (wykorzystują one m.in. specjalnie chronione sektory pamięci dyskowej), filtry (Time-based Systems Defense Filters) analizujące parametry czasowe uruchomionych procesów i kontrolujące wszystkie wysyłane pakiety w celu wykrycia aktywności odpowiadającej charakterystycznym dla ataków hakerskich lub wirusów wzorcom oraz zintegrowaną z procesorem, sprzętowo chronioną pamięć do przechowywania haseł i danych identyfikujących komputer w sieci.

Interesującą nową funkcją vPro jest możliwość bezpośredniej komunikacji i współpracy z systemami kontroli dostępu do sieci typu NAC. Intel Embedded Trust Agent oferuje wsparcie dla standardu 802.1x wykorzystywanego przez systemy NAC (m.in. zgodne ze specyfikacją Cisco NAC) i umożliwia programom narzędziowym dostęp do informacji identyfikacyjnych bez potrzeby uruchamiania systemu operacyjnego.

Oprócz tego platforma wykorzystuje Intel Trusted Execution Technology (znaną wcześniej pod kodową nazwą LaGrande), która ma m.in. zabezpieczać przed nieuprawnionymi modyfikacjami działających procesów oraz Intel Virtualization for Directed I/O - technologię umożliwiającą detekcję i zapobieganie atakom na warstwę pośredniczącą między sprzętem a oprogramowaniem przez izolację maszyn wirtualnych i blokowanie zewnętrznego dostępu do wykorzystywanej przez nie pamięci.

Ubiegłoroczna wersja vPro (Averill) wykorzystywała chipsety obsługujące technologię AMT (Active Management Technology) zgodną z dość starą specyfikacją ASF. Obecna wersja vPro jest już zgodna z nowym standardem DASH oferującym bardziej zaawansowane mechanizmy umożliwiające automatyzację funkcji związanych ze zdalnym zarządzaniem. Warto zwrócić uwagę, że DASH jest wspierany również przez AMD. Wszystkie te funkcje nie mają zastąpić standardowych, programowych mechanizmów zabezpieczeń, ale współpracując z systemami do kontroli bezpieczeństwa zwiększyć efektywność ich działania.

"W porównaniu z istniejącą platformą vPro wydaje się, że nowa wersja oferuje funkcje, które mogą być bardzo interesujące dla użytkowników korporacyjnych" - uważa Dean McCarron, analityk z Mercury Research, choć w wypadku średnich lub mniejszych firm nowe mechanizmy wydają się znacznie mniej przydatne, bo automatyzacja zarządzania kilkudziesięcioma komputerami PC nie wpływa tak krytycznie na koszty, jak w dużych korporacjach wykorzystujących setki lub tysiące maszyn. Choć należy zwrócić uwagę, że mechanizmy umożliwiające zdalne zarządzanie udostępniają też nowe możliwości korzystania z usług firm zewnętrznych.

Czy vPro zwiększy popyt na PC?

Zarówno Intel, jak i producenci sprzętu w vPro widzą szansę na pobudzenie rynku korporacyjnego i zwiększenie popytu na komputery PC w tym segmencie, bo skorzystanie z nowych funkcji wymaga wymiany sprzętu na komputery nowej generacji. Mimo atrakcyjnych funkcji nowej wersji vPro trudno jednak oczekiwać, by korporacje zaczęły masowo inwestować w wymianę PC na nowe modele, zdaniem analityków rynku proces ten zajmie nawet 5 lat zanim vPro i podobne technologie staną się powszechnie wykorzystywanym standardem, zwłaszcza że ich użyteczność wymaga dobrej współpracy z aplikacjami i narzędziami do zabezpieczania systemów, co wymaga czasu. Choć pod tym względem dobrym pomysłem Intela było przystosowanie swojej platformy do znanych standardów.

VPro jest dobrym przykładem względnie nowej tendencji do integracji funkcji związanych z bezpieczeństwem i zdalnym zarządzaniem bezpośrednio w układach sprzętowych stosowanych w komputerach PC. Rozwiązania takie przygotowuje i wprowadza zarówno Intel, jak i AMD. Są one przeznaczone do automatyzacji procesów związanych z zarządzaniem korporacyjnymi komputerami PC, umożliwiając m.in. zdalną diagnostykę i instalację poprawek oprogramowania niezależnie od tego czy komputery są włączone, czy nie. Według ocen Intela w systemach korporacyjnych umożliwiają one zmniejszenie kosztów utrzymania sprzętu średnio nawet o 40%.

Według przedstawicieli firmy nowa wersja vPro została ulepszona głównie pod kątem zapewnienia bardziej skutecznej obrony przed zagrożeniami i atakami - najważniejsze modyfikacje dotyczą bowiem mechanizmów zabezpieczeń, m.in. związanych z wirtualizacją i zgodnością ze specyfikacjami NAC, ale również nowym standardem DASH definiującym zaawansowane funkcje zdalnego zarządzania komputerami.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200