'

Составные элементы процессорной технологии Intel® vProTM

Понравилась презентация – покажи это...





Слайд 0

1 Составные элементы процессорной технологии Intel® vProTM Двухъядерный процессор Intel® Core™2 Duo Intel® Q965 Express Chipset Intel® 82566DM Gigabit Network Connection Прошивка Intel


Слайд 1

2 FLASH NVM BIOS GMCH ICH8-DO Sensors Filters MAC Операционная система Программные агенты Intel® Core™ 2 Duo Processor Manageability agent Intel® PRO/1000 LAN ME в чипсете Независимость от питания и состояния ОС Использует 16Мб нулевого канала системной памяти Сетевые фильтры в чипсете Контроль Ethernet-трафика Возможность внутреннего отключения сети Ethernet Выделенная флэш-память Хранение прошивки агента управления (ME) Хранение данных инвентаризации ресурсов Хранение данных о независимых поставщиках программного обеспечения Архитектура на базе технологии Intel® vProTM AMT OOB


Слайд 2

Intel Confidential 3 Флэш-память Intel® vProTM Скрытые данные ME Ключи безопасности Данные инвентаризации аппаратных средств Данные третьих сторон ~380 кБ для независимых поставщиков ПО Партнеры: до 84 кБ 4kB приращение Ограничение для не являющихся партнерами 8 кБ Независимые поставщики решают как использовать свое пространство BIOS ME GbE Дескриптор Прошивка ME Скрытые данные ME Данные третьих сторон 380 kB Данные о ресурсах при форматировании или отключении жесткого диска больше не теряются!


Слайд 3

Intel Confidential 4 Технология vPro iAMT - Применение


Слайд 4

5 Шифрованное, удаленное включение и обновление Удаленная диагностика и ремонт Intel® Active Management Technology Применение Удаленная инвентаризация ресурсов Инвентаризация аппаратных и программных средств Проверка наличия агента Изоляция и восстановление на аппаратном уровне


Слайд 5

6 Intel® Active Management Technology Удаленная инвентаризация ресурсов Подсчет количества ПК в сети, даже если компьютеры выключены или ОС не работает Компании не досчитываются в среднем до 20% своих аппаратных ресурсов1 Результаты неточной инвентаризации ресурсов: Приобретение лишнего количества ПК для замены "отсутствующих" Юридическая ответственность за предоставление неточных отчетных данных Нарушение безопасности: компания не может обеспечить безопасность компьютера, местоположение которого не получается обнаружить Удаленная инвентаризация помогает сократить количество визитов на рабочие места и снизить расходы Снижение затрат на кадровые ресурсы Ускорение инвентаризации Более точное прогнозирование Способствует выполнению требований государственных постановлений 1 Source: Intel white paper, Reducing Costs with Intel Active Management Technology.


Слайд 6

7 База данных Задача Неточная инвентаризация аппаратных и программных средств может затруднить приведение в соответствие с правилами, привести к ошибочным платежам по лицензиям на ПО, договорам на обслуживание, а также к невозможности идентификации отзываемых или гарантийных аппаратных средств. Точную ревизию сложно провести без влияния на работу внутренних агентов. Решение Шаг 1: Консоль управления запрашивает данные с платформ Шаг 2: Запрос принимается и обрабатывается платформой на базе Intel® AMT независимо от состояния системы или ОС Шаг 3: Данные отсылаются обратно на консоль управления Шаг 4: Данные передаются в БД Требования Поставщик ПО, поддерживающий Intel® AMT; клиент на основе технологии Intel® vPro; клиент, подключенный к сети питания и проводной локальной сети Intel® Active Management Technology Инвентаризация аппаратных и программных средств Консоль управления Intel 4321 Intel 3600 MHz Vendor ABC XYZ 123456789


Слайд 7

8 Intel® Active Management Technology Инвентаризация аппаратных и программных средств Более точная инвентаризация аппаратных и программных средств Отказ от дорогостоящих и трудоемких способов инвентаризации аппаратных и программных средств вручную Проведение более точной инвентаризации аппаратных и программных средств, даже если компьютеры выключены или ОС не работает Снижение расходов на лицензирование ПО и сокращение рисков при точной инвентаризации ПО Удовлетворение требований государственных постановлений Более точная инвентаризация обеспечивает предоставление реальной информации по основным фондам компании


Слайд 8

9 Инвентаризация аппаратных средств Системная плата –         Производитель –         Продукт –         Версия –         Серийный № –         Метка Процессор –         Производитель –         Type –         Семейство –         Скорость ОЗУ –         Производитель –         Скорость –         Объем –         Серийный № –         Метка HDD –         Модель –         Серийный № –         Объем Инвентаризация аппаратных средств при каждой загрузке BIOS Доступные данные: USB-устройства и прочая периферия не регистрируются Поставщик BIOS определяет объем данных, записываемых во флэш-память Консоль управления определяет, какие данные используются


Слайд 9

10 Инвентаризация программных средств Инвентаризацию программных средств осуществляют программные агенты независимых поставщиков Независимые поставщики определяют график записи и данные, необходимые для записи


Слайд 10

11 Intel® Active Management Technology Удаленная диагностика и ремонт Удаленная загрузка, диагностика, ремонт и восстановление ПК, сокращение визитов на рабочие места Удаленная загрузка, поиск неисправности, ремонт и восстановление ПК независимо от его состояния и состояния ОС Удаленная загрузка неработающей системы с помощью образа на сервисном диске, чтобы получить возможность использования программ диагностики и удаленного управления Удаленный ремонт помогает сократить количество визитов на рабочие места и соответственно снизить расходы Удаленный ремонт обеспечивает быстрое восстановление работоспособности компьютера пользователя Информация о конфигурации системы всегда находится в доступе, даже если ОС не работает, таким образом техник получает корректную информацию уже при первом заходе


Слайд 11

12 Задача Ошибки загрузки платформы могут привести к запуску дорогостоящих процессов управления. Простой усугубляется времяемкими визитами техников на рабочие места для диагностики проблемы, что влияет на производительность, и снятием ИТ-ресурсов с других задач. Решение Шаг 1: В службу поддержки поступает извещение о системной проблеме (автоматическая сигнализация или телефонный звонок") Шаг 2a: Служба поддержки использует средства диагностики для удаленной переадресации процесса загрузки системы (IDE-R) Шаг 2b: Одновременно отдается команда системе о переадресации текстовых данных и данных с клавиатуры (SOL) Шаг 3a: Разрешение проблем ПО происходит удаленно Шаг 3b: Разрешение аппаратных проблем требует визита Требования ПО с поддержкой Intel® AMT; клиент на базе технологии Intel® vPro с включенной опцией SOL/IDE-R в BIOS; клиент, подключенный к источнику питания и проводной локальной сети; образ в текстовом формате/средства диагностики. Intel® Active Management Technology Удаленная диагностика и ремонт Консоль управления Сервер Справ. стол Данные DDR2 DDR2 Intel® Core™ 2 Duo Processor (CPU) DDR2 DDR2 Intel® Core™ 2 Duo Processor (CPU) Данные


Слайд 12

13 Intel® Active Management Technology Шифрованное, удаленное включение и обновление Установка обновлений, даже если компьютер выключен Более безопасное включение/выключение системы в нерабочее время Оперативное обеспечение соответствия требованиям безопасности Снижение уязвимости Установка обновлений системы безопасности без вмешательства пользователя Автоматизация процесса обновления ПО и антивирусной защиты Экономия денег и ресурсов


Слайд 13

14 Задача Обновление ПО и установка "заплаток" может доставлять неудобство и не давать 100%-ного соответствия из-за несоответствия конечного пользователя. Решение Шаг 1: Консоль управления запрашивает данные по ПО в базе данных Шаг 2: Определяются конечные точки, требующие обновления Шаг 3: Платформы, требующие обновления, безопасно включаются по окончании рабочего дня Шаг 4: "Заплатка" устанавливается и система отключается Требования ПО с поддержкой Intel® AMT; средства установки "заплатки"; клиент на базе технологии Intel® vPro; клиент, подключенный к источнику питания и проводной локальной сети. Intel® Active Management Technology Шифрованное, удаленное включение и обновление Корпоративная сеть База данных Консоль управления Intel® Core™ 2 Duo Processor (CPU) 3.2


Слайд 14

15 Intel® Active Management Technology Проверка агента Контроль корректной работы агента Простое автоматическое слежение за работой агентов ОС Предотвращение вмешательства в работу или отключения уязвимых агентов Обеспечение более точной инвентаризации ресурсов ПК при работе всех агентов управления Контроль конфигурации на консоли с помощью системных данных, хранящихся на аппаратном уровне, доступ к которым имеется даже при выключенной системе


Слайд 15

16 Задача Критически важные программные агенты могут быть незаметно удалены, что делает систему уязвимой для сетевых атак и приводит к бездействию критических функций управления в течение длительного времени. Решение Шаг 1: Консоль управления регистрирует простой и устанавливает политики для критических агентов с помощью технологии Intel® AMT Шаг 2: Агенты регистрируется через установленные интервалы времени с помощью технологии Intel® AMT Шаг 3: Если агент пропускает регистрацию, вызывается заданная политика (например, посылается сигнал на консоль) Шаг 4: Консоль может выполнить повторную инициализацию или установку агента Требования ПО с поддержкой Intel® AMT; клиент на базе технологии Intel® vPro; клиент, подключенный к источнику питания и проводной локальной сети. Intel® Active Management Technology Проверка агента Консоль управления Intel® Core™ 2 Duo Processor (CPU) Программные агенты Программные агенты Intel® Core™ 2 Duo Processor (CPU)


Слайд 16

17 Intel® Active Management Technology Изоляция и восстановление на аппаратном уровне Фильтрация вирусов и изоляция зараженных ПК 64 встроенных программируемых аппаратных фильтра Проверка входящих и исходящих пакетов на вирусы Использование готовых программных продуктов независимых поставщиков для установки политик отдельных фильтров Настройка фильтров в соответствии с потребностями компании Изоляция одного или нескольких зараженных компьютеров в сети с поддержкой защищенного канала восстановления Быстрый возврат компьютера в сеть с использованием более безопасных каналов


Слайд 17

18 Задача Сетевые вирусы, проникнув, могут легко распространиться по сети. В момент распространения вируса еже может не быть той или иной "заплатки" или обновления брандмауэра. Сеть остается уязвимой до полного вывода из строя подсетей. Работа нарушается до тех, пока угроза не будет локализована. Решение Шаг 1: Перед сетевыми фильтрами Intel® AMT ставится задача контролировать скорость обмена пакетами и данные о заголовках (исходящий адрес и адрес назначения, номера портов, протокол TCP/UDP, сообщения ICMP, флаги TCP) Шаг 2: Фильтры программируются, устанавливаются политики для каждого фильтра (например, остановить передачу пакета, послать сигнал на консоль, ограничить трафик) Шаг 3: Происходит заражение клиента и начинается DOS-атака Шаг 4: Срабатывают фильтры, доступ к корпоративной сети прекращается с отправкой сигнала на консоль Шаг 5: После лечения система восстанавливается в сети Intel® Active Management Technology Изоляция и восстановление на аппаратном уровне Консоль управления Filters Filters Требования ПО с поддержкой Intel® AMT и System Defense; клиент на базе технологии Intel® vPro; клиент, подключенный к источнику питания и проводной локальной сети.


Слайд 18

19 Фильтры системы безопасности Фильтры входящего и исходящего трафика 31 на TX (+ 1 контрольный фильтр) 31 на RX (+ 1 контрольный фильтр) 16 счетчиков статистики Фильтры устанавливаются на: Тип протокола L2 Исходящий IP-адрес IP-адрес назначения Тип следующего IP-заголовка Флаги TCP Исходящий порт UDP/TCP Порт назначения UDP/TCP Поддержка протокола IPv6 Поддержку IPv6 можно обеспечить путем объединения 4-х фильтров для работы одним цельным блоком


Слайд 19

20 Безопасность и технология Intel® vProTM


Слайд 20

21 Аутентификация: подлинность HTTP Digest – для малого бизнеса Односторонняя аутентификация с хэшированием пароля по алгоритму MD5 HTTP Negotiate Authentication – для предприятий Эффективное применение инфраструктуры Active Directory и протокола Kerberos Сертификаты хранятся в Active Directory Облегчение регулярных изменений и быстрого отзыва Ограничение прав Инженеры не могут управлять ПК финансового отдела Поддерживает взаимную аутентификацию “Действительно ли это клиент на базе vPro?” “Действительно ли это авторизованный IT представитель?” Шифрование: целостность и защищенность Для малого бизнеса: нет шифрования Для предприятий: Предпочтительно: TLS w/AES 128-bit Опция: TLS w/RC4 128-bit Опция: нет шифрования Консоль управления Клиент на базе Intel® vProTM Хакер X Технология Intel® vProTM обеспечивает защиту клиента с внешней стороны


Слайд 21

22 Intel® Q965 Express Chipset FLASH NVM BIOS GMCH ICH8-DO Sensors Filters MAC Операционная система Программный агент Intel® Core™ 2 Duo Processor (CPU) Manageability Engine Intel® PRO/1000 LAN Коммуникационная безопасность ME Шифрование и аутентификация трафика между ME и ISV Используется та же структура безопасности, что и для внешнего трафика Предотвращение просматривания защищенного трафика Без ключа Intel команды игнорируются Коммуникационные пакеты имеют серийные номера Невозможность повторения старых, разрешенных команд Невозможность послания старого контрольного сообщения Память AMT изолируется на аппаратном уровне Процессор обычно не имеет доступа к флэш-памяти Доступ только во время обновления прошивки Прошивка снабжается цифровой подписью Intel Предотвращение износа флэш-памяти атаками вредоносных программ путем использования памяти от поставщиков, не являющихся партнерами Процессор не имеет доступа к зоне SDRAM AMT X Инородное ПО Технология Intel® vProTM обеспечивает защиту клиента с внешней стороны


Слайд 22

23 Функции Intel® AMT с контролем доступа Список прав доступа дает/отзывает разрешение


Слайд 23

24 Коммуникационная безопасность


Слайд 24

25 Сетевые интерфейсы ME Гигабитная проводная сеть по протоколу 802.3 и беспроводная сеть про протоколу 802.11 a/ b/ g Обеспечение сетевой безопасности протоколом TLS Шифрованные XML сообщения, инкапсулированные в SOAP через HTTP Взаимная аутентификация TLS с использованием следующих наборов кодов TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_NULL_SHA (export/import) Сертификаты RSA и ключи, сгенерированные в оффлайне и сконфигурированные (2048-битный модуль) Безопасность порта проводной сети обеспечивается протоколом 802.1x (SR) PEAP MSCHAPv2 и EAP TLS EAP FAST и EAP TTLS (EAC) Безопасность порта и соединения беспроводной сети обеспечивается WLAN Si (SR) WEP (legacy support) WPA TKIP с использованием RC4 802.11i RSN с использованием AES


Слайд 25

26 Intel® Active Management Technology Intel® AMT: TLS & HTTP-Digest TLS Client (Management Console) TLS server (PC with Intel® vPro™ Technology) Шаг 1 Создание безопасного туннеля с TLS Certificate ServerHello, ServerHello Done ClientKeyExchange, ChangeCipher Spec, Finished ChangeCiperSpec, Finished Application Data


Слайд 26

27 Шаг 2 Защита данных в туннеле с помощью HTTP-Digest Intel® Active Management Technology Установка Intel® AMT: TLS & HTTP-digest HTTP Digest Authentication TLS клиент (Консоль управления) TLS сервер (ПК на базе Intel® vPro™) PC with Intel vPro Technology stores H1, realm name (where H1=MD5 HASH [username, password, Realm]) I want to authenticate Generate random nonce Challenge: realm, nonce Compute H1=MD5 HASH [username, password, realm] From the user-supplied username and password Compute H2=MD5 HASH [H1, nonce] Response: H2 Compute H2=MD5 HASH [H1, nonce] Compare whether H2 (received) = H2 (computed) Authentication succeeded/failed


Слайд 27

28 802.1x – Информация Основные характеристики протокола 802.1x: Схема аутентификации на уровне портов (туннелирование второго уровня) Заменяет протокол PPP (Peer-to-Peer), что очень полезно при использовании сети не на TCP/IP, обеспечивает простоту и сокращение непроизводительных издержек Разработка стандарта для передачи пакетов EAP по проводной/беспроводной сети Протокол расширенной аутентификации EAP Реальный протокол с поддержкой процесса аутентификации (802.1x payload) Гибкость: возможность выбора метода аутентификации, включая фирменные методы (от базового имени/пароля до PKI) Три основных компонента (Port Access Entities) Суппликант – клиент, требующий аутентификации Сервер аутентификации – осуществляет фактический процесс аутентификации (например, RADIUS) Аутентификатор – устройство между ними (например, Точка доступа беспроводной сети) Протокол EAP изначально разрабатывался для проводных сетей, но он идеально подходит и для беспроводных сетей, поскольку точка доступа является непрограммируемым устройством (вся логика перемещена на сервер аутентификации) Строгий приемлемый стандарт.


Слайд 28

29 Поддержка протокола 802.1X Протокол 802.1X не поддерживается в Intel® AMT Release 2.0, но будет поддерживаться в Intel AMT 2.5 и последующих версиях Платформа Santa Rosa для поддержки беспроводных сетей требует как минимум протокола 802.1X Протокол также требуется в качестве компоновочного модуля для поддержки контроллеров сетевого доступа (проводные и беспроводные сети). Технология Intel AMT будет поддерживать следующие протоколы EAP: EAP-TLS EAP-TTLS EAP-FAST PEAP CCX: Cisco Client Extensions – поддерживает свой набор в ME Для беспроводных сетей мы также будем поддерживать генерацию WPA ключа, предварительную аутентификацию


Слайд 29

Intel Confidential 30 Настройка в «одно касание» (Инициализация)


Слайд 30

Intel Confidential 31 Установка и конфигурирование Двухэтапный процесс – Установка и конфигурирование Первый этап: Установка – современный подход к быстроте Создайте персональный идентификатор клиента Ключ шифрования одноразового использования (для установления достоверного соединения) PID (Provisioning ID) и PPS (Provisioning Passphrase) Второй этап: Конфигурирование Установите достоверное соединение между клиентом и консолью управления Создайте и обменяйтесь сертификатами и ключами шифрования Поддерживаемые типы: Вариант для малого бизнеса Простое имя и пароль Нет шифрования Предназначен для сетей, где отсутствует инфраструктура безопасности Вариант для предприятий Требует инфраструктуры цифровой безопасности Поддерживает шифрование и взаимную аутентификацию Метод, рекомендованный Intel


Слайд 31

32 1. Создайте уникальный ключ одноразового использования для каждого клиента Установка - 3 простых действия Быстрая установка и конфигурирование


Слайд 32

33 2. Передайте ключи клиентам Установка - 3 простых действия Быстрая установка и конфигурирование


Слайд 33

34 3. Клиент на базе Intel® AMT посылает запрос на конфигурирование Установка - 3 простых действия Быстрая установка и конфигурирование Сконфигурируй!


Слайд 34

35 Конфигурирование - 4 простых действия Быстрая установка и конфигурирование Сервер конфигурирования отвечает на запрос клиента. (для установления достоверного соединения используются временные ключи)


Слайд 35

36 Сервер конфигурирования регистрируется на клиенте на базе Intel® AMT client (Используется заводской пароль администратора сети HTTP-Digest, предлагаемый по умолчанию) Конфигурирование - 4 простых действия Быстрая установка и конфигурирование


Слайд 36

37 Конфигурирует все необходимые параметры Конфигурирование - 4 простых действия Быстрая установка и конфигурирование Сертификаты TLS и закрытые ключи Текущая дата и время Параметры доступа HTTP-Digest и параметры доступа HTTP-Negotiate


Слайд 37

38 Клиент на базе Intel® AMT перезагружается и начинает нормальную работу Конфигурирование - 4 простых действия Быстрая установка и конфигурирование


Слайд 38

Intel Confidential 39 Инфраструктура для режима для предприятия Консоль (GUI-устройство) Серверная служба (возможно, ряд серверов) База данных


Слайд 39

Intel Confidential 40 Расконфигурирование (с вмешательством или без вмешательства пользователя)


Слайд 40

Intel Confidential 41 Расконфигурирование Частичное расконфигурирование (waterfall internal) Возврат всех заводских установок по умолчанию, за исключением: Хэш-коды доверенных корневых сертификатов Хэш-код доверенного корневого сертификата, выбранного для использования в конфигурировании Режим “Слушай” или “Говори” mode Полное доменное имя сервера установки и конфигурирования Значение фразы-пароля Это позволяет заказчику переконфигурировать имеющуюся платформу для другого сотрудника без необходимости повторного ввода информации Полное расконфигурирование (waterfall external) Возврат всех заводских установок по умолчанию


×

HTML:





Ссылка: