vPro: Making tilfelle for nettverkssikkerhet på en chip

Først, la oss ta opp hva vPro er. I et nøtteskall, det er navnet på et brikkesett og relaterte teknologier laget av mikroprosessorgiganten Intel Corp Den er designet for å beskytte nettverkssikkerhet legitimasjon i en maskinvarebasert måte, fungerer som et alternativ til tradisjonelle programvarebaserte metoder.
< p> Det er klare fordeler med å implementere sikkerhet i hardware i stedet for programvare, og starter med det faktum at maskinvaren har en tendens til å være naturlig vanskeligere å få tilgang til og endre. Når et serienummer, nettverksadresse, eller sett av kryptonøkler er innebygd i et stykke maskinvare, kan dataene ikke endres så lett, og messing er vanskeligere å skjule. Hardware kan gjøres barnesikret, tukle sagte, eller tukle-responsive, noe som betyr at enheten kan ødelegge lagrede data hvis noen prøver å endre det.

Selvfølgelig, mange reelle begrensninger gjelder for disse påstandene. Maskinvare sikkerhet kan ofte bli undergravd over tid og dermed svekket (tror MAC-adresse spoofing, som undergraver muligheten til pålitelig identifisere en bestemt nettverksgrensesnitt). Derfor maskinvare sikkerhet ofte viser seg å være mindre uovervinnelig enn det første vises

Når det er sagt, de vPro funksjonalitet som tilbys av Intel og dets partnere -. Samt de parallelle åpen kildekode innsats av Distributed Management Task Force ( DMTF) lagt ut på skrivebordet og mobile Architecture for systemets maskinvare (DASH) - tillate bedrifter å overholde en rekke godt etablerte sikkerhetsleveregler, den første var " du kan ikke feste det du ikke klarer, og du kan 't styre det du ikke kan kartlegge ". Overraskende mange organisasjoner er ikke klar over de risikoreduserende tilstander av sine enheter, med hensyn til programvareversjoner, sikkerhetsoppdateringer, malware infeksjoner og sikkerhets forsvar, for eksempel antivirusbeskyttelse.

Og mens mye bra nettverksadministrasjon teknologi har blitt utviklet gjennom årene, de fleste er ikke i stand til å gi hva vPro tilbyr nå. Tidligere hardware var ikke i stand til å gi ut-av-band, kablet og trådløst, power-stat uavhengig, kommunikasjon med, og konfigurasjon av alle datamaskiner i bedriftens nettverk. Gjør du det krever et utviklende brikkesett, inkludert CPU og nettverksgrensesnitt. Ikke overraskende, har utviklerne av tidligere nettverksadministrasjon produkter blitt bearbeide varene sine for å dra nytte av disse mulighetene.

Det er nå mulig, fra en sentral konsoll, å ikke bare oppdage alle CPUer som er på nettverket , men også for å påvise hvilken tilstand de er i, og handle deretter. Dette kan hjelpe admins svare på spørsmål som:
Er enheter smittet?
Hvis så, de kan bli pålitelig karantene.
Er deres patcher oppdatert?
Hvis ikke, kan de bli oppdatert fra sentralisert konsoll, selv om de ikke er drevet opp.

Selvfølgelig, alle av denne teknologien har vært i arbeid en stund. Noe av funksjonaliteten ble levert på chips utgitt i 2006. Flere nylig, programvare spesielt designet for å støtte disse funksjonene har blitt utvidet og forbedret, noe som gjør det stadig vanskeligere å argumentere for at vPro tilnærmingen er "ikke der ennå.


For mer informasjon
Se hva vil leveres med vPro-prosessorer i andre halvdel av 2008.Learn mer om Intels hardware-nivå sikkerhet og ledelse teknologi for sine vPro-prosessorer .Ta en titt på dagens nye informasjon sikkerhetstrusler. Separat, er det en sikker bet at disse partene er interessert i å trenge inn nettverkssikkerhet - enten de er hvite hat hackere som ønsker å øke at sikkerhets eller black hat hackere som forsøker å bekjempe det - er også en vurdering av vPro-teknologi tett, som sin hardware-basert tilnærming gjør det ikke immune mot angrep. I en interessant utveksling på Cryptography mailingliste fjor sommer, én melding overskriften lyde:. &Quot; Gratis Rootkit med alle nye Intel Machine " Dette tar på vPro viser at det er de som forstår at enhver ny sikkerhetsteknologi representerer også en ny mulighet for angripere å infiltrere bedriftssystemer.


Som alle andre sikkerhetstiltak, er vPro stand, i hvert fall i teori, for misbruk. Mens angrepsscenarioer er lett å forestille seg, på dette punktet de ville synes å være langt fra praktisk anvendelse. Bedrifter som distribuerer Intels vPro - eller Dash-kompatible produkter som blir levert av rivaliserende leverandører som Advanced Micro Devices Inc. (AMD) og Broadcom Corp. - kan forvente å nyte en periode med forbedret sikkerhet, like early adopters av brannmurer dratt nytte av angripere regissere sin innsats på mindre-beskyttede mål. Dessverre kan vi også forutsi med noen pålitelighet som utbredt distribusjon i bedrifter av vPro vil føre til angrep på de mest vanlige vPro implementeringer.

Likevel, vPro og lignende teknologier kan snart bli med brannmurer som en del av den felles bedriftens nettverkssikkerhet baseline. Teknologien vil være noe som organisasjoner vil bli forventet å distribuere, spesielt de som har for å beskytte sensitive kundedata. Unnlatelse av å gjøre dette kan rote et hull i noen post-brudd hevder at alle rimelige tiltak ble tatt for å beskytte kundedata.