+7 (343) 213-04-06
пн-пт 10:00-19:00 (сейчас )

сб-вс выходные

shop@ekamarkt.ru

оформить заказ
 
(пусто)

Блог / Новости RSS 2.0

Модели использования Intel vPro — следующие шаги. Интервью с Александром Мельниковым

Внедрение технологии Intel vPro предполагает целый ряд различных сценариев использования. Вторая часть беседы с Александром Мельниковым, специалистом по корпоративным технологиям Intel в России и СНГ, посвящена как раз техническим вопросам, нередко возникающим при реализации таких сценариев.





— В первой части беседы мы обсудили преимущества технологии Intel vPro и то, как лучше начать ее внедрение на предприятии. Давайте продолжим разговор про модели использования. Установка апдейтов, обновление программного обеспечения...

— Эти вещи непосредственно связаны с удаленным управлением питанием. Достаточно давно на многих материнских платах была реализована технология Wake-On-LAN. Послав специальный сигнал по сети, с ее помощью можно включить отдельный компьютер или группу компьютеров. Но проблема в том, что ни одна серьезная компания никогда у себя не будет использовать данный метод для удаленного включения компьютеров. Технология Wake-On-LAN абсолютно небезопасна. Если она активирована на компьютерах, то это означает, что любой злоумышленник, получивший доступ к корпоративной сети, может включить любой компьютер и в нерабочее время начать его как-либо атаковать.

Технология AMT — это технология адресная и безопасная. При подключении к AMT у нас всегда происходит аутентификация и авторизация, и мы еще можем шифровать весь управляющий трафик по протоколу TLS. Удаленное управление питанием — достаточно важная функция для многих компаний, поскольку работа происходит полностью в безопасном режиме.

— Кроме обновления, уже упоминался сценарий удаленного восстановления, Remote Repair. Он тоже важен с точки зрения снижения затрат на поддержку?

— Давайте посмотрим, как это было реализовано до 2010 года, когда у нас не было аппаратного KVM. С первого поколения vPro у нас в распоряжении были две технологии: Serial Over LAN, или перехват управления компьютером в текстовом режиме (т.е. мы могли перехватывать управление компьютером, как если бы мы сидели перед ним, но только до тех пор, пока он работает в текстовом режиме — BIOS, результаты POST, операционная система типа Linux или DOS), и IDE Redirection (по сути эмуляция USB-устройств — CD/DVD и флоппи-приводов — по сети). При помощи IDE Redirection мы можем по сети подключить к удаленному компьютеру любой образ такого привода. В BIOS клиентской машины появятся дополнительные виртуальные устройства, и с ними можно будет работать, как и с другими подключенными реальными накопителями. Надо только заметить, что в настоящий момент существует ограничение по скорости работы с виртуальными устройствами, поскольку эмуляция выполняется по стандарту USB 1.1.

Итак, до 2010 года обе эти технологии — Serial Over LAN и IDE Redirection — позволяли, может и не очень эффективно, но достаточно успешно, решать любые программные проблемы. Но для их применения на практике требовалось реализовывать специальные подходы и концепции. Например, надо было создавать различные образы загрузочных компакт-дисков с консольными операционными системами и утилитами, чтобы с них удаленно загружать неисправные компьютеры и, перехватывая управление в текстовом режиме, диагностировать и решать обнаруженные проблемы. Другой подход, успешно применявшийся до 2010 года, заключался в создании загрузочного образа типа LiveCD (Windows PE или Linux), куда интегрировалась поддержка сетевых драйверов и поддержка VNC-сервера. Проблемный компьютер можно загружать с этих образов компакт-дисков. Когда он переходит в графический режим, теряется управление средствами vPro, но у нас загружаются сетевые драйверы, стартует VNC-сервер. После этого мы можем подключиться к графическому интерфейсу компьютера, чтобы в удобной среде заняться решением каких-то задач — диагностикой, сканированием дисков, сохранением пользовательских данных, подготовкой к переустановке ОС по сети.

Любые программные проблемы можно было решать путем применения двух указанных подходов. Но каждой компании в зависимости от того, какой софт у нее имелся, приходилось создавать собственный набор загрузочных образов компакт-дисков и прописывать в инструкциях для службы Help Desk, как они должны всем этим пользоваться. В общем, на эффективное внедрение таких средств требовалось потратить какое-то время и ресурсы.

В 2010 году в платформе vPro появился полноценный аппаратный KVM, и подобные ухищрения стали не нужны. При помощи IDE Redirection мы можем подмонтировать любой образ компакт диска — с драйверами, утилитами, системой — и перехватить управление проблемным компьютером независимо от того, в каком состоянии он находится. Синий экран смерти, полностью повисшая операционная система, идет процесс загрузки — мы можем получить доступ в любой момент и полностью контролировать все действия компьютера. Заходить в BIOS, вызывать Recovery Console, выбирать тип загрузки операционной системы... Словом, делать все то же самое, что делает системный администратор или инженер службы техподдержки, когда решает проблему локально, сидя перед неисправным компьютером.



Наш аппаратный KVM реализован на протоколе VNC RFB, благодаря чему обеспечивается подключение с использованием многих утилит, в том числе и бесплатных, таких как VNC Viewer. Безусловно, для того, чтобы можно было это делать, требуется определенная настройка AMT, потому что работать с аппаратным KVM можно либо по стандартному порту 5900 (указав его в настройках), либо по порту AMT. В зависимости от этого будут использованы разные типы аутентификации.

Поскольку в vPro основной упор делается на безопасность, все подключения требуют аутентификации и авторизации, предусмотрено использование шифрования управляющего трафика. В случае с VNC у нас тоже режим полностью безопасный. Более того, во многих компаниях, особенно имеющих дело с финансовыми потоками, есть достаточно жесткие политики безопасности, и нередко администраторам или сотрудникам поддержки запрещено подключаться к удаленным клиентским системам, если в это время у компьютеров нет пользователей. В данном случае наш KVM может работать в режиме Opt-In, который требует обязательного присутствия пользователя. При попытке подключится к KVM на экран выводится картинка с произвольным шестизначным числом (которая генерируется чипсетом, соответственно, поэтому выводится поверх любого изображения — зависание компьютера или BSOD не мешают), и пока пользователь не сообщит удаленному администратору данный шестизначный код, перехватить управление будет невозможно. Администратору даются три попытки на ввод правильного кода, если они неудачны, соединение разрывается, при следующем подключении генерируется новое число.

— Расскажите о сценариях использования vPro, связанных с мониторингом сервисов операционной системы и контролем за запрещенными действиями пользователей.

— Ну, это не совсем контроль за активностью пользователей. Что такое функция Watchdogging и как она работает? Есть два случая. В первом нам нужно контролировать сервисы, которые поддерживают данную технологию в AMT. На самом деле сервисы должны, по большому счету, поддерживать только протокол биений. Кстати, он стандартный, используется и агентами различных систем управления IT-инфраструктурой, которые при его помощи уведомляют о том, что они живы и работают. С какой-то периодичностью по сети отправляются пакеты, содержащие идентификатор агента и некоторую служебную информацию. Этот протокол используется также для мониторинга узлов в кластере — в общем, достаточно широко.

Итак, в нашем случае агент должен поддерживать протокол биений, но пакеты идут не по сети, а по софтверному стеку через драйверы Intel в AMT, которая настраивается на прослушку биений от различных агентов. Ну а мы можем задать, что должна делать AMT в случае, если перестает принимать биения от того или иного агента, на который она настроена. В качестве таких действия используется просто отправка уведомления на консоль управления о том, что на таком-то компьютере такой-то сервис больше не действует, либо активация, скажем, каких-то фильтров.

Если же нам необходимо контролировать сервисы, которые не поддерживают протокол биений и не подозревают о существовании AMT (а таких, безусловно, большинство), то в операционной системе потребуется запустить дополнительный сервис, дополнительного агента. Он будет следить за функционированием других сервисов, работают они или нет, вместо них посылая биения в AMT.

Далее, если по какой-то причине (из-за ошибки, переполнения памяти и т.п.) перестал работать или был остановлен самим пользователем, скажем, антивирус, файервол (любое приложение, критически важное по соображениям корпоративной политики безопасности), AMT обнаруживает пропажу биений от самого сервиса или от промежуточного агента и генерирует заданное действие. Как минимум, уведомляя администратора через консоль управления. Как более продвинутый вариант, консоль управления при помощи скриптов может подключиться к клиентскому компьютеру и перезапустить данный сервис.

— Технология vPro помогает препятствовать распространению вирусов в корпоративной сети, изолировать зараженные или атакованные компьютеры?

— С первого поколения vPro у нас есть возможности фильтрации сетевого трафика, а со второго поколения к ним добавились средства его базового эвристического анализа. На самом деле, это вещь очень простая в реализации, а простые вещи, как известно, бывают очень эффективны. Сразу хочу отметить, что упомянутые функции ни в коем случае не заменяют использование программных антивирусов и файерволов в локальной операционной системе, равно как и активного сетевого оборудования, которое мониторит сетевой трафик и все происходящее в локальной сети. Реализованный в vPro функционал позволяет лишь улучшить безопасность, особенно в совокупности с применением других методов защиты компьютеров.

Сетевая фильтрация в vPro производится поверхностно. Пакеты фильтруются только по служебной информации в IP-заголовках. Тело самих пакетов не анализируется, потому что вычислительные возможности чипсетов весьма ограничены, а мы не можем снижать пропускную способность сетевого интерфейса. Какая информация содержится в IP-заголовках? Прежде всего, это адреса источника и назначения, порты источника и назначения, тип протокола, некоторые служебные флаги. Вот даже по этой базовой информации мы можем эффективно фильтровать трафик. Один из наиболее простых примеров — интернет-червь, который ищет какую-либо конкретную уязвимость. При этом он обращается к определенному порту. Соответственно, мы можем очень быстро написать простой фильтр, который на всех компьютерах закроет атакуемый порт на входящем и исходящем трафике.

Какие действия может предпринять AMT по срабатыванию того или иного сетевого фильтра? Она может просто вести статистику, не накладывая никаких ограничений. Может убивать все пакеты, попадающие под тот или иной фильтр. Может ограничивать пропускную способность подозрительных пакетов. Ну и самое «тяжелое» действие — по срабатыванию фильтра AMT начинает убивать все входящие и исходящие пакеты, т.е. происходит полная изоляция локальной операционной системы от корпоративной сети. Естественно, всегда присутствует возможность отправить уведомлением на консоль управления, и ею стоит воспользоваться. Конечно, даже при полной изоляции, AMT остается доступной для управления. Полную изоляцию удобно использовать при срабатывании фильтра на исходящем трафике, что нередко свидетельствует, что компьютер был заражен. В этом случае с целью предотвращения распространения заражения по локальной сети вызвавший подозрения компьютер лучше всего полностью изолировать до того момента, пока системный администратор не разберется, что же с ним такое реально произошло.

Базовый эвристический анализатор сетевого трафика — тоже вещь не очень сложная. К функционалу фильтрации добавлено несколько счетчиков: один из них считает сетевые сессии за короткие промежутки времени, второй — за длинные промежутки, а третий — количество пакетов за 10 миллисекунд. Допустим, если у нас валится больше 100 или какого-то другого заданного количества пакетов за 10 миллисекунд, то мы можем заподозрить, что имеем дело с DoS-атакой. Если третий счетчик срабатывает, отключаются другие счетчики эвристического анализа (они становятся уже ненужными), а AMT может автоматически задействовать полную изоляцию, либо уведомить администратора через консоль управления об обнаружении DoS-атаки.

Счетчик, подсчитывающий сетевые сессии за короткие промежутки времени, позволяет отсекать простые сканеры портов. Для примера возьмем следующий типичный случай. Иногда в компанию приходит новый сотрудник, относящийся к категории продвинутых пользователей, искренне верящий, что местные сисадмины где-то прячут от юзеров самые интересные сетевые ресурсы — файлообменники, музыку, игровые серверы и что-то еще. Чтобы исправить такую несправедливость, он находит в Интернете бесплатный сканер локальных сетей, предназначенный для обнаружения подобных сервисов. Проблема в том, что бесплатные сканеры зачастую укомплектованы червями, вирусами и прочими сюрпризами. В итоге пользователь совершенно неумышленно может инфицировать свой компьютер сканером, который начнет искать уязвимости в локальной сети. Счетчик, ведущий подсчет сессий за короткие промежутки времени, мы настраиваем, зная, какой софт установлен на компьютере и какую сетевую активность он должен генерировать в нормальном режиме функционирования. Скажем, можно предположить, что если компьютер генерирует больше 7 или 10 сессий за 500 миллисекунд, то здесь что-то нечисто, и, как минимум, следует уведомить об этом систему управления. При более жестких требования по безопасности возможно принятие и других мер, вплоть до полной изоляции операционной системы от локальной сети.
Счетчик сессий за длинные промежутки времени предназначен для отсечения хитрых сканеров портов, делающих выборочные пинги по различным IP-адресам и по портам.

— В отношении мобильных компьютеров угроз безопасности больше, в частности, есть риск потери или кражи. В состав vPro входит технология Anti-Theft, противостоящая таким опасностям. Она пока не очень широко применяется?

— Скажем так, у нас сервис Anti-Theft в настоящий момент вообще не распространен. На мировом уровне есть несколько компаний, едва ли не 2-3, которые предоставляют возможность использования этого сервиса домашним пользователям. На нашем рынке данные компании пока не представлены. С другой стороны, крупные компании могут у себя в корпоративной сети устанавливать специальное программное обеспечение, чтобы активировать и использовать функционал Anti-Theft в рамках предприятия. Софт для этого должен появиться в ближайшее время, думаю, в начале 2012 года он станет доступен корпоративным заказчикам у нас в стране.

Что такое Anti-Theft? Если говорить совсем просто — это технология, которая позволяет украденный или потерянный компьютер дистанционно превратить в «кирпич» и сделать невозможным, во-первых, доступ к хранящимся на его жестком диске данным, и, во-вторых, дальнейшее использование данного компьютера. Достигается это за счет того, что блокировка компьютера происходит на уровне чипсета.

В случае работы в корпоративной IT-инфраструктуре данные на локальном жестком диске в большинстве случаев шифруются, причем ключи шифрования могут храниться в чипсете. В последнем поколении Anti-Theft (версии 3.0) поддерживается управление функцией Anti-Theft при помощи SMS-сообщения, если компьютер укомплектован 3G-модулем. При пропаже компьютера пользователь уведомляет об инциденте службу поддержки, та отправляет специальное SMS, и компьютер после его получения автоматически блокируется. В зависимости от политик безопасности хранящиеся в чипсете ключи шифрования могут стираться. Ну а при возвращении компьютера в корпоративную IT-инфраструктуру существует возможность его разблокировать, в том числе восстановив доступ к информации на винчестере. При работе в корпоративной среде ключи шифрования синхронизируются со специальным сервером, что позволяет их заново получить.

— Мы уже говорили, что Intel vPro охватывает не только вопросы администрирования, но и обеспечения безопасности, и виртуализации. В отношении последней, что именно находится в ведении vPro?

— В компьютерах с vPro у нас реализована поддержка VT-x второго поколения — это виртуализация процессора и виртуализация оперативной памяти. Когда мы говорим о виртуализации какого-либо компонента на аппаратном уровне, это означает, что гостевая операционная система может напрямую обращаться к данному устройству, минуя обработку запросов менеджером виртуальных машин, или гипервизором. Соответственно, в случае VT-x гостевая операционная система способна обращаться прямо к процессору и модифицировать таблицу физической оперативной памяти, а не работать с некоторой виртуальной оперативной памятью, транслируемой гипервизором в реальную физическую память. Далее, присутствие логотипа vPro означает поддержку технологии VT-d — по сути, виртуализации чипсета, позволяющей гостевым операционным системам напрямую работать с устройствами DMA (Direct Memory Access). С такими, например, как установленная в компьютере дискретная графическая карта. Кроме того, у нас поддерживается технология Trusted eXecution Technology (TXT), которая обеспечивает безопасное выполнение гипервизоров и виртуальных сред.

Какие новые концепции использования появились в последнее время. Существует возможность вместо базовой операционной системы на компьютер установить сразу гипервизор типа 1 (автономный), после чего загрузить по сети одну или несколько операционных систем, с которыми будет работать пользователь. В зависимости от корпоративной IT-инфраструктуры есть разные варианты, но, главное, что это позволяет разделить рабочую и домашнюю операционные системы пользователя. На жестком диске компьютера в зашифрованном виде может храниться образ корпоративной системы со всем необходимым софтом, обеспечивающим соответствие корпоративным политикам безопасности. В то же время, параллельно будет функционировать вторая операционная система с домашними приложениями, играми и всем прочим, что пожелает занести в нее пользователь. Все, что в ней происходит, пусть даже там вовсю гуляют вирусы, никаким образом не сможет повлиять на то, что делает пользователь в корпоративной операционной системе. Самое главное, что никогда не произойдет никакой утечки информации между этими средами, полностью изолированными друг от друга благодаря отсутствию базовой операционной системы.

Другая интересная концепция, которая в последнее время становится популярной, называется Bring You Own PC — «принеси свой собственный компьютер». Предполагается, что компания не выдает пользователю корпоративный ноутбук, например, а спонсирует приобретение им личного компьютера, выбираемого из какого-то списка поддерживаемых моделей. Или же компания выдает компьютеры, но разрешает пользователям, если корпоративные модели кого-то не устраивают, принести свои. Кстати, Intel тоже сейчас в Америке тестирует данную концепцию и разрешает пользователям в рамках этой программы приносить определенные модели личных ноутбуков. Идея в том, что когда пользователь приходит с ноутбуком, поддерживающим vPro, вместо существующей на нем операционной системы служба поддержки устанавливает автономный гипервизор и загружает корпоративную операционную систему. Второй гостевой средой при этом устанавливается бывшая на ноутбуке система пользователя. Дальше все работает так, как мы только что рассмотрели. И хотя это уже не служебный, а более удобный для пользователя личный ноутбук, все корпоративные данные и приложения, которые на нем хранятся, достаточно надежно защищены.

В данных сценариях vPro обеспечивает аппаратную поддержку виртуализации, позволяющую гостевым операционным системам работать практически без потери производительности. Без технологий VT-x и VT-d издержки на обработку запросов гипервизором стали бы ощутимы.

— Какие еще преимущества обеспечивает vPro при запуске новых клиентских компьютеров, при замене в ходе модернизации или при расширении их парка?

— Это опять же относится к тому функционалу vPro, который связан с удаленным управлением компьютером. Точно так же, как мы можем удаленно решать любые локальные проблемы имеющихся компьютеров, используя те же самые подходы и технологии, можно на новые компьютеры с активированной AMT устанавливать операционную систему и приложения. Или производить апгрейд имеющихся машин, например, при переходе с Windows XP на Windows 7. Этот процесс несложно автоматизировать за счет технологии AMT.

Хотя скорость передачи при использовании IDE Redirection, как мы раньше говорили, не слишком велика, но нам не требуется производить полную установку с виртуального образа. Достаточно загрузить какую-то легкую операционную систему, которая включит поддержку сети. Дальнейшая установка будет производиться с находящегося в сети файлового сервера. Это первый вариант решения задачи. Прежде, чем говорить о другом варианте, давайте посмотрим, как сейчас разливаются образы операционных систем в корпоративной IT-инфраструктуре. Новые компьютеры при включении настраиваются на загрузку с определенного специального сервера и с него производится установка подготовленных корпоративный образов. Нам ничто не мешает соответственно настроить облегченную до нескольких мегабайт или десятков мегабайт операционную систему для начальной загрузки с применением IDE Redirection.

На сайте Intel vPro Expert Center описан процесс двухэтапной загрузки, приведены инструкции и выложены требуемые утилиты. Если требуется загрузить удаленный компьютер с какого-то тяжелого системного образа, то при помощи специальной утилиты от Intel для первоначальной загрузки создается легкий образ на основе Linux, в котором прописываются параметры доступа к сетевому серверу. На первом этапе компьютер загружается с этой легкой системой, после чего загрузка тяжелого образа выполняется уже на полной скорости имеющейся локальной сети.

— Возвращаясь к теме эффективности применения vPro, стоит поговорить о том, при каких условиях можно ожидать наибольшего экономического эффекта, каковы особенности его расчета.

— Безусловно, здесь все очень индивидуально для различных компаний. Максимальный эффект от внедрения vPro можно ожидать в компаниях, у которых имеется разветвленная сеть малых офисов. Когда в офисе меньше десятка компьютеров, становится экономически невыгодно держать там своего системного администратора. А если еще у компании есть определенные требования по безопасности, запрещающие использовать для обслуживания IT-инфраструктуры услуги внешних фирм, т.е. аутсорсинг, или нанимать в случае необходимости специалистов на временную работу, то расходы на поддержку множества мелких офисов становятся очень большими. В подобных случаях они неминуемо связаны с частыми командировками, вызовами инженеров техподдержки из ближайших больших офисов.

У нас есть различные инструменты, которые позволяют с той или иной степенью точности оценить возможную отдачу, те же самые ROI и TCO, при переходе к использованию vPro в своей компании. Это специальные онлайновые опросники-калькуляторы, в которые нужно ввести определенные параметры структуры своей компании и после этого можно получить некоторые оценочные цифры, показывающие в денежном выражении эффект от внедрения нашей технологии.

— Спасибо за интересную беседу! Надеюсь, нам удалось выявить преимущества Intel vPro и очертить круг задач, ради более эффективного решения которых стоит внедрять данную технологию.


Яндекс.Метрика
ЕкаМаркт — интернет-магазин г. Екатеринбург. тел: +7 (343) 213-04-06
© 2012-2015