Удаленное управление и упреждающая безопасность для настольных бизнес-ПК
Самые интересные из окружающих нас вещей начинались с попытки ответить на вопрос, звучавший для современников изобретателя очевидным абсурдом. Мог ли житель Земли сто тридцать лет тому назад положительно ответить на вопрос о возможности поговорить с собеседником, находящимся на расстоянии сотен километров от него? Едва ли. Шестьдесят лет назад такую же реакцию вызвал бы вопрос о приготовлении пищи при помощи микроволн. А какой ответ получили бы мы на вопрос о возможности записать кинофильм на крошечную, размером с почтовую марку, карточку памяти всего лишь два десятка лет назад?
Ускорение научно-технического прогресса приучило нас к мысли, что невозможное часто становится возможным. И все же — зададим себе, сегодняшним, вопрос: можно ли управлять выключенным компьютером, да еще удаленно? Те, кто уже знаком с технологией Intel vPro, конечно, ответят положительно. Впрочем, подозреваю, что и те, кто не знаком — тоже: иначе, зачем было начинать статью с вопроса? Да, это так: есть способ удаленного управления компьютером, даже если он выключен. Конечно, не любым — но, пожалуй, пришла пора рассказать обо всем по порядку.
Зачем это нужно
Опыт подсказывает, что все компьютеры в офисах можно поделить на две большие группы: одна состоит из тех, которые пока еще работают, вторая — из тех, которые уже ждут прихода специалиста из отдела ИТ (в простонародье — «компьютерщика»). С точки зрения бизнеса, чем больше компьютеров в первой группе и меньше во второй в каждый момент времени, тем лучше.
Опасностей, подстерегающих среднестатистический ПК, и готовых в считанные мгновения перевести его из разряда «еще» в разряд «уже», день ото дня становится все больше. Это аппаратные сбои, вирусы и другие зловредные программы, коварные происки злоумышленников (если компьютер подключен к сети) и излишняя инициативность пользователя.
По необъяснимой пока причине количество компьютеров обычно растет быстрее, чем штат отдела ИТ, поэтому в один прекрасный момент может получиться так, что добавление «персоналок» увеличивает только затраты, но не общую эффективность компании.
Рассматривая ПК, как ресурс, можно прийти к очень простому выводу — когда он работает, он приносит деньги, когда нет — он забирает деньги. Поскольку бизнес заинтересован в получении максимальной прибыли, он всеми силами стремится увеличить доходы и сократить издержки (трудно избавиться от впечатления, что здесь есть какая-то связь с вопросом о неравномерном росте количества компьютеров и ИТ-штата).
По объективным причинам полностью устранить периоды «не работы» компьютера невозможно, но как их сократить?
Из этой ситуации должен быть какой-то выход, кроме радикальных мер вроде полного отказа от достижений вычислительной техники. Интуитивно понятно, что решение лежит в плоскости удаленного решения задач безопасности и управления настольными ПК. Проще говоря — может ли «компьютерщик» меньше бегать по офису и, тем не менее, поддерживать работу вверенной ему техники?
Есть ли теоретический, идеальный предел времени, в течение которого компьютеры максимально отдаются своему основному предназначению, беззаветно пересчитывая электронные таблицы, обмениваясь сообщениями и выполняя другие полезные задачи? Конечно, есть. Более того, методичный подход позволяет обнаружить зависимость этого предела от причин сбоев. Например, устранение аппаратного сбоя и его последствий требует физического вмешательства. Но по сути дела, аппаратные отказы — единственный вид нарушений в работе ПК, количество которых трудно сократить за счет конструктивных изменений в ПК. Практика знает возможные варианты решений, но едва ли их можно считать рациональными в этом случае. Скажем, общеизвестно, что еще с середины прошлого века военные выдвигают наличие двух двигателей в качестве одного из основных требований к вертолетам, которые летают над морем. Конечно, для офисного ПК резервирование будет избыточно. Хотя, если вспомнить серверы, там такой ход — не редкость. Их архитектура и конструкция предусматривает замену «на ходу» наиболее подверженных отказам подсистем: блоков питания и накопителей на жестких магнитных дисках (к сожалению, наличие в них механических движущихся частей не прибавляет надежности). Пожалуй, все. Впрочем, недавно проскакивало сообщение о системе NEC с возможностью замены «на ходу»… процессора и оперативной памяти.
Однако вернемся к настольному ПК. Помимо аппаратных есть и программные опасности — и их вполне можно устранить удаленно, не отправляя ИТ-специалиста в «путешествие туда и обратно». Стоит только предусмотреть механизм взаимодействия между компьютерами и предложить новый уровень абстракции, который позволит рассматривать ПК, как «управляемый ресурс». Коротко говоря, в этом и заключена основная идея Intel vPro.
Почему это важно
Если говорить о конкретных причинах, которые делают технологию vPro особенно востребованной, можно назвать следующие:
- Сильно увеличившееся за последнее время количество атак злоумышленников;
- Растущую потребность в сокращении времени простоя ПК по причине выхода из строя в результате атак злоумышленников, для проведения технического обслуживания, модернизации и решения других задач;
- Необходимость точного учета аппаратно-программных конфигураций;
- Увеличение объема ИТ-услуг, негативно отражающееся на бюджете предприятия;
- Наличие принципиальных ограничений у чисто программных решений по управлению и защите ПК: они не могут выполнять свои функции, если ПК выключен или на нем не функционирует ОС.
Ключевым моментом решения, которое могло бы высвободить ИТ-персонал, является возможность удаленно управлять и защищать ПК вне зависимости от состояния питания и ОС.
Как это работает
Платформа Intel vPro была анонсирована год назад, а официально доступна стала осенью прошлого года. Компания назвала ее третьим «китом» своей стратегии наравне с мобильной платформой Centrino и мультимедийной Viiv. Заимствуя слова официального пресс-релиза, посвященного выходу платформы, можно сказать, что Intel vPro представляет собой аппаратно-программный комплекс, который должен обеспечить «более высокую защищенность и энергоэффективную производительность» настольных бизнес-ПК, и сократить расходы, связанные с их эксплуатацией.
Основными составляющими аппаратной части платформы на момент премьеры были микропроцессор Intel Core 2 Duo, набор системной логики Intel Q965 Express и адаптер Gigabit Ethernet Intel 82566DM.
Ключевыми технологиями платформы являются технология удаленного мониторинга (Intel Active Management Technology, AMT) и технология виртуализации (Intel Virtualization Technology, VT).
Технология Intel AMT дает в руки ИТ-персонала мощный инструмент для обнаружения, инвентаризации, диагностики, восстановления, модернизации и защиты вычислительных ресурсов, включенных в сеть. Она также позволяет изолировать компьютер, зараженный вредоносной программой от остальных участников сети. Принципиально важной особенностью Intel AMT является то, что она работает независимо от ОС.
Технология виртуализации позволяет создавать и использовать на одном ПК несколько независимых аппаратных сред или разделов. Используя VT, специалисты ИТ-отделов смогут повысить надежность и защищенность системы за счет разделения, как на уровне задач, так и на уровне пользователей.
Что касается технологии виртуализации в целом, исчерпывающее представление о ней можно получить из статьи на нашем сайте. А вот с технологией Intel AMT попробуем разобраться прямо сейчас. Как уже было сказано, Intel AMT помогает инвентаризировать, диагностировать и восстанавливать после сбоев компьютеры, даже в том случае, если они выключены или на них по какой-либо причине не загружена ОС.
Очевидно, что для реализации таких замечательных возможностей необходимо, как минимум, две ключевые компоненты: средство для удаленного взаимодействия, всегда доступное для авторизованного персонала, и энергонезависимая память, защищенная от несанкционированного доступа.
Дайте мне канал связи и энергонезависимую память, и я переверну мир
Традиционно, для взаимодействия между компьютерами в сети, необходимо, чтобы они были включены и работали под управлением ОС. Программные решения, обеспечивающие функции управления и защиты занимают тот же уровень абстракции, что и сама операционная система, потому эти компоненты в равной степени подвержены «взлому» со стороны злоумышленников или вредоносного программного обеспечения. Дополнительную уязвимость создает тот факт, что для обмена служебной информацией используется, по сути, незащищенный канал, сформированный программными средствами довольно высокого уровня.
Разработчики Intel vPro пошли своим путем, дополнив имеющийся канал еще одним. Итак, Intel vPro предлагает обычный, незащищенный канал связи («внутриполосный», in-band), в котором для обмена информацией используется программный стек протоколов ОС, и новый, более защищенный и полагающийся на аппаратную реализацию, существующий независимо от состояния ОС («внеполосный», out-of-band). Этот канал использует стек, реализованный аппаратными средствами Intel AMT и встроенным программным обеспечением. Даже если ПК не работает в обычном режиме — питание выключено, ОС не загружена или повреждена — этот канал будет доступен для авторизованного ИТ-персонала. Поскольку канал связи Intel AMT основывается на аппаратной реализации, доступ к компьютеру возможен в любое время, если только ПК подключен к источнику питания и компьютерной сети. Канал обеспечивает обмен критически важной информацией и выполнение необходимых действий, таких, как, например, удаленная загрузка, даже если ОС не может стартовать самостоятельно.
Другими словами, теперь специалисты могут диагностировать и устранить проблемы, вне зависимости от того, включен ПК или выключен, загружена на нем ОС или нет. Доступны операции чтения журналов событий, настроек BIOS, информации о составе аппаратной конфигурации, проверки состояния средств безопасности и управления. Важно, что выполнение задач технического обслуживания можно перенести на внерабочие часы. Удаленно, с консоли управления, компьютер можно включить, перезагрузить, восстановить его работоспособное состояние. Существует опасность так называемого «спуфинга» (spoofing) - имитации соединения с целью получения несанкционированного доступа. Сетевое оборудование, подвергшееся действию этого приема, может некорректно отреагировать на запросы и пропустить взломщика в обход системы управления доступом. Защита канала связи Intel vPro возложена на аутентификацию силами TLS и HTTP, помогающую противостоять указанной опасности.
Конечно, если компьютер выключен, и возможно, его операционная система находится в неработоспособном состоянии, возникает вопрос — откуда консоль получит информацию, необходимую для управления? Решение реализовано по аналогии с альтернативным каналом связи, рассмотренным выше. Разработчики Intel vPro предусмотрели наличие более защищенной, энергонезависимой памяти, доступной в среде, функционирующей «ниже» уровня ОС («репозиторий»). Как утверждается, эта память защищена от злоумышленников, деструктивных программ и других неприятностей. Репозиторий доступен вне зависимости от текущего состояния ПК или ОС и разделен на три основные области:
- Хранилище для зашифрованного и подписанного электронной подписью «движка» Intel vPro, и собственной служебной информации Intel AMT.
- Хранилище для информации об особенностях аппаратной конфигурации, которая автоматически обновляется при каждом прохождении начального самотестирования системы (power-on self-test, POST).
- Хранилище, конфигурируемое авторизованным персоналом, которое используется программным обеспечением независимых разработчиков, для хранения информации или указателей на информацию, связанную с безопасностью и инвентаризацией, и других важных данных.
Важно, что перечисленные данные доступны удаленно, без необходимости «включения» ПК и сохраняются при переустановке, ОС, восстановлении из резервной копии и изменении конфигурации.
Отрадно, что к защите встроенных средств управления, реализованных на уровне платформы ПК, разработчики отнеслись серьезно. Безусловно, как и в других случаях извечного противостояния «меча и щита», гарантированной защиты не бывает. Но вариант, избранный создателями Intel vPro, рационально приближен к ней. Судите сами. Код «прошивки» подписан цифровой подписью, зашифрован и записан в энергонезависимую память, доступ к которой ограничен специальным списком (access control list, ACL). Эти меры существенно ограничивают возможность доступа к служебным средствам Intel vPro со стороны непривилегированных пользователей, злоумышленников, вирусов и других «темных сил». Следует отметить, что данные, помещаемые в энергонезависимую память программами независимых разработчиков, не шифруются, но доступ к ним также ограничен ACL.
Итак, компьютер, в котором реализована технология Intel vPro, оснащен специальными механизмами удаленного управления, доступными даже в случае, если ПК выключен. Для этого достаточно, чтобы он был подключен к сети питания и компьютерной сети.
Какие практические задачи помогает решить Intel vPro
Используя преимущества платформы Intel VPro, можно решить следующие задачи:
- Проводить удаленную инвентаризацию аппаратных и программных активов на ПК, подключенных к сети, даже если их питание выключено, а операционная система неработоспособна.
- Выполнять диагностику и ремонт с помощью проводного интерфейса.
- Изолировать зараженные вирусом ПК, подсоединенные к вычислительной сети, независимо от того, включены ли они, чтобы защитить остальную сеть.
- Устанавливать программные «заплаты» и обновления на всех удаленных ПК, поддерживающих дистанционное управление и подсоединенных кабелем к вычислительной сети.
- Проверять наличие агентов безопасности и автоматически обновлять их на всех активных ПК, подключенных к сети, как с помощью проводного, так и беспроводного интерфейса.
Дурная голова ногам покоя не дает
Если верно обратное — Intel vPro вполне может претендовать на лавры «умной головы». Особенности этой технологии позволяют существенно сократить количество путешествий ИТ-специалистов, превратив их из муравьев, мечущихся по офису, в умудренных опытом муравьиных львов, которые ждут, когда добыча сама упадет к ним в руки. Средства, которые обеспечивают такую замечательную трансформацию, перечислены ниже:
- Удаленная начальная загрузка при помощи встроенного механизма переадресации устройства (integrated device electronics redirection, IDE-R), более мощного и безопасного чем уже известные wake-on-LAN (WOL) и PXE (pre-execution environment).
- Непрерывное журналирование событий, позволяющее ИТ-специалистам увидеть, что предшествовало возникновению проблемы; например, можно выявить понижение напряжения питания или превышение пороговой температуры.
- Постоянный доступ к информации, хранящейся в защищенной области, которая содержит версии программного обеспечения, названия производителей, номера моделей и гарантийную информацию, касающуюся оборудования. Эти сведения могут помочь в диагностике и устранении неисправностей без лишних визитов к пострадавшему ПК.
- Удаленное перенаправление консоли средствами Serial over LAN (SOL).
- Сервис предупреждений о потенциальных и актуальных отказах, построенный на использовании стандартных средств, включающих аппаратные датчики и сообщения устройств, сведения о «зависании» ОС и отказах при начальной загрузке.
Стоит ли повторять, что все эти средства доступны вне зависимости от того, в каком состоянии находится ПК и ОС?
Если откажет программа
Крах или ошибки при загрузке операционной системы обычно требовали, фигурально выражаясь, «прямого контакта с пострадавшим» - только так сотрудник отдела ИТ мог выполнить диагностику и переустановку или восстановление ОС из резервной копии. Технология Intel vPro дает возможность справиться с такими задачами дистанционно.
Например, если система перестала нормально загружаться, достаточно, используя IDE-R, изменить загрузочное устройство, выбрав в его качестве привод оптических дисков или образ, расположенный на удаленном сетевом накопителе. При помощи удаленной консольной сессии, организованной средствами using SOL, ИТ-специалист получает возможность пошагового управления всеми этапами восстановления поврежденной системы. В случае, когда под ударом оказались пользовательские приложения, можно восстановить образ диска и файлы данных из заведомо работоспособной резервной копии, перезаписав их поверх поврежденных.
Если откажет оборудование
Народная мудрость гласит, что против лома приемов нет. Если причиной сбоя в работе компьютера является аппаратная поломка, неисправный компонент необходимо заменить. Казалось бы, тут уж хочешь — не хочешь, придется покинуть теплое гнездышко и потопать ножками к несчастному пострадавшему? Это так, но в случае с Intel vPro ходить придется меньше, и, если так можно выразиться, с большей пользой.
Предположим, отказал жесткий диск. Обычно, в случае аппаратного отказа, пользователь обращается к ИТ-специалистам, которые должны: а) диагностировать проблему; б) выяснить производителя и модель дефектного изделия; в) установить новое, исправное оборудование; г) переустановить систему.
В случае использования ПК, построенного на платформе Intel vPro, ИТ-специалист может получить сообщение от системы немедленно после аппаратного сбоя, иногда — даже до того, как его заметит сам пользователь. В этой ситуации, сотрудник отдела ИТ имеет возможность удаленно получить сведения о производителе, модели и гарантийных обязательствах, относящиеся к компоненту, нуждающемуся в замене. После этого достаточно выбрать на складе необходимое изделие и восстановить образ диска, используя возможности консоли. Остается один (!) раз побывать в центре событий, чтобы заменить старый винчестер на новый — пользователь может продолжать трудиться!
Упреждающая безопасность в три слоя
По мнению специалистов, наибольшую опасность для офисных ПК представляют атаки злоумышленников. Технология Intel vPro имеет три уровня соответствующей защиты, включая аппаратную фильтрацию входящего и исходящего трафика и регулярную проверку состояния программных средств защиты.
Первая линия обороны решает задачу фильтрации опасностей и изоляции ПК. Программируемые фильтры, основанные на аппаратной реализации, проверяют сетевой трафик, чтобы идентифицировать атаки, а «коммутатор», опять-таки, реализованный с опорой на аппаратную часть, отключает сетевые маршруты (или устанавливает ограничение по скорости передачи), чтобы быстро остановить атаку.
Вторую линию защиты образуют программы-агенты, создаваемые независимыми разработчиками. Благодаря своим особенностям, базирующимся на аппаратных возможностях платформы, Intel vPro обеспечивает удаленный анализ состояния ПК; постоянный контроль работы программных агентов; доступ к настройкам BIOS — даже в ситуациях, когда программы-агенты, связанные с безопасностью системы, неактивны, операционная система подверглась опасности или уже выведена из строя.
Наконец, к третьему эшелону системы защиты разработчики отнесли энергонезависимую память и «выделенные среды исполнения». Даже в ситуации, когда злоумышленнику удалось прорвать другие линии обороны, в распоряжении ИТ-персонала есть надежный «бункер», где сохраняется критически важная системная информация. Используя изолированные, самодостаточные виртуальные пространства — среды исполнения, специалисты смогут тщательно проанализировать состояние системы, изолировать данные и приложения на удаленном ПК. Этот уровень защиты тесно примыкает к теме виртуализации, детально рассмотренной в одной из предыдущих статей.
Что дальше?
Недавно корпорация Intel обновила технологию управления ПК Intel vPro и дополнила ее свежими версиями решений из комплекта Microsoft System Center.
Новое поколение Intel vPro, известное под кодовым названием Weybridge, будет поддерживать стандарт Web Services Management (WS-MAN) и функции Intel Active Management Technology 3.0, помогающие противодействовать распространению вредоносных программ. Обновление также будет включать поддержку спецификаций Digital Management Work Group (DMWG), определяющих взаимодействие между аппаратными и программными составляющими ПК, которые разработала группа Distributed Management Task Force (DMTF).
Кроме того, по имеющимся данным, внесены некоторые коррективы в планы развития аппаратной части Intel vPro. Так, до конца года основными для платформы должны стать двухъядерные микропроцессоры серии Core 2 Duo E6x50 (FSB — 1333 МГц) и наборы системной логики Intel Q35/Q33 Express и ICH9/ICH9DO. В секторе высокопроизводительных систем платформу дополнят новые четырехъядерные процессоры (Yorkfield).
Появление на рынке первых продуктов с Weybridge Intel vPro ожидается на рынке во второй половине года.
Безусловно, мир офисных ПК не ограничивается настольными системами. Более того, наметилась явная тенденция увеличения интереса к мобильным технологиям и мобильным ПК. По статистическим оценкам, доля ноутбуков в общем объеме продаж компьютеров (включая настольные ПК и серверы) для деловых применений в странах Европы, Ближнего Востока и Африки (регион EMEA) выросла с 17% в 2000 году до 36% в 2006 году.
Немудрено, что компания Intel расширила сферу применимости рассмотренных технологий и на ноутбуки. На текущий год намечен ряд инноваций в секторе мобильных вычислений, объединенных под новой торговой маркой Intel Centrino Pro.
Ноутбуки на платформе Intel Centrino Pro будут поддерживать средства удаленного управления, аналогичные тем, которые были рассмотрены в этой статье применительно к настольным ПК. Более того, они будут созданы с учетом особенностей и преимуществ, свойственных поддержке беспроводного подключения. Аппаратной опорой платформы, как и в случае настольных систем, станут процессоры семейства Intel Core 2 Duo.
