SOGO論壇
  登入   註冊   找回密碼
查看: 1276|回覆: 0
列印 上一主題 下一主題

[好料分享] 遠端管理及安全防護新策略 Intel vPro技術大剖析 [複製連結]

論壇顧問

Q^心靈導師^Q

Rank: 14Rank: 14Rank: 14Rank: 14

顧問勳章 原創及親傳圖影片高手勳章 布布達人勳章

狀態︰ 離線
跳轉到指定樓層
1
發表於 2007-2-13 10:42:33 |只看該作者 |倒序瀏覽
如何在資源有限的前提下,為企業排除IT資訊運行上的各種疑難雜症,這當然是身為IT管理人員必須善盡的天職。但是,面對錯綜複雜的IT管理工作,若沒有良好的輔助工具,似乎很難發揮應有的最佳效益。就以管理人員最常遇到的PC故障來說,撇開以往既無效率亦無成本效益的到場親臨維修不說,管理人員雖可藉助遠端管理工具來檢視遠端PC的故障狀況,但是一旦遠端裝置嚴重到死當的地步,就完全束手無策了。到底有沒有可以因應死當機器的遠端維修方案呢?

一般企業多半會定期進行IT資產的盤點工作,但盤點工作勢必會影響員工的正常作業,進而對企業營收造成影響,即使可利用上班前後的時間進行,但是要一台台開機檢視,絕對毫無效率可言。同樣地,一些病毒碼或系統漏洞等更新,也可能影響到員工作業,對此,管理人員可能要問,到底有沒有可以遠端啟動開機,以及利用上下班空檔的自動排程式更新的遠端工具呢?

除此之外,如何遠端隔離有安全風險的PC?如何立即偵測得知遠端某一PC發生問題,並在第一時間內完成修復作業呢?相信上述總總,一直是管理人員最在乎、但也最頭痛的問題。而本文所要介紹的Intel博銳(vPro)技術,即為1項可解決上述商用桌上型平台常見種種問題的遠端IT及安全管理技術。管理人員可藉由現成支援該技術的伺服器或PC,在不需要另購任何管理軟體的情況下,兼顧管理、安全、效能及省電的要求,同時,企業也可另外搭配功能更強大、更多元的第三方管理軟體,可說是極具擴充彈性的遠端管理解決方案。

集合Intel AMT、VT技術與Intel平台各元件 新增服務阻斷與代理程式狀態檢測功能

Intel vPro技術既非單一管理軟體,也不是1個具備管理功能的中央處理器,它是讓今後企業內部各據點所有的桌上型主機,皆可具備內嵌式IT管理機制的1種遠端管理平台。vPro技術平台主要由6大元件構成,包括第二代英特爾主動式管理技術(Intel Active Management Technology;iAMT)、英特爾虛擬化技術(Intel Virtualization Technology;Intel VT)、vPro技術嵌入式軟體、支援VT技術的Intel CPU、支援AMT技術的Intel晶片組,以及支援vPro技術的Intel 82566DM網路晶片等元件,每個元件各有所司、缺一不可。

目前支援VT技術的桌上型Intel CPU,大致包括Intel最新Core 2 Duo與Pentium D 900系列等雙核心處理器,不過,Pentium D 900系列中的915、925、935、945並不支援VT;至於晶片組方面,事實上,Intel早在ICH7南橋晶片上即內建Intel AMT技術,而在商用PC平台使用的新一代Q965高速晶片組(南橋為ICH8),則開始全面支援第二代AMT 2.0技術。

Intel AMT 1.0與AMT 2.0最大的差別,在於前者主要提供企業遠端IT資產的偵測、盤點與管理,以及軟硬體的維修作業;至於後者,除了原1.0版的功能外,更強化了主動式的安全性功能,主要包括服務阻斷功能(Service Breaker)與代理程式狀態檢測(Agent Presence Checking)等,這方面的功能將在後文作進一步的介紹,故於此不再贅述。

無須安裝任何軟體 第三方商用PC、主機板與軟體提供各類加值服務

基本上,vPro嵌入式管理技術在操作使用上,完全不需要安裝任何軟體,企業只要搭配採用支援vPro技術的處理器、主機板或商用PC,便可立即透過內嵌的Web UI使用者操作介面,進行遠端管理及安全防護的操控作業。在作業系統方面,該技術可同時支援Windows、Linux等各類平台。

除此之外,企業也可搭配使用市面上其他支援vPro技術的專業IT管理工具、安全防護軟體及其他各類IT服務方案,來進行更符合企業需求的加值管理及安全防護工作。目前Intel已針對各領域的代表性廠商,提供授權、認證與vPro SDK開發工具,這方面主要劃分成軟體方案、商用PC及主機板製造供應商等3大類型的廠商,凡是支援vPro技術的PC、主機板或軟體,皆可獲得Intel vPro的認證標誌。授權廠商多半透過升級方式,來增加對vPro技術的支援,以提供更具效益的加值服務,目前已支援vPro技術的廠商大致包括Adobe、Altris、CA、Cisco、Check Point、HP Open View、SAP、Symantec、Trend Micro、Kaspersky、SAP、LANDesk、acer、ASUS等。

同時兼具軟�硬體層遠端管理通道 不受端點系統狀態影響的安全管理機制

對企業管理人員來說,Intel vPro技術的最大優點,莫過於透過企業內部既有的Intel Core 2 Duo處理器、Q965主機板或支援vPro技術的桌上型商用電腦,即可進行主動式的遠端管理及安全防護作業。管理人員面對不同的安全威脅,可分別透過Intel AMT與Intel VT這2大技術,來進行不同層級的安全控管或隔離,前者內嵌於Intel晶片組中,提供硬體�韌體層的管理作業;後者內嵌於處理器中,主要負責作業系統與軟體層的控管工作。

新一代Intel AMT技術,可以同時提供軟體層與硬體層2種遠端管理通道,以確保IT管理者可以暢通無阻地進行各種遠端管理作業。在安全性方面,透過強固式非揮發性記憶體,不但可提供第三方應用軟體資訊的安全儲存,同時還能儲存加密vPro管理引擎與各端點硬體資產資訊,上述資訊不會因為電源關閉而遺失,因此非常適合於端點PC關閉、組態重建或停擺時進行遠端管理、修復或安全隔離之用。

至於Intel VT技術,則提供了1個簡單的精簡型虛擬化環境,透過作業系統之外的安全隔離環境,管理人員可藉此有效保護企業關鍵的應用軟體或機密資訊,同時亦可為病毒掃描、病碼更新、資料備份等IT管理工作,提供1個背景處理的作業環境,如此一來,便不會直接影響到企業員工的正常作業。

總而言之,管理人員可以充份搭配運用Intel AMT與VT技術,平時端點系統開啟之際,可透過VT背景處理技術,進行精緻細密的各項IT管理作業,即使端點系統關閉或停擺,仍可透過Intel AMT技術,遠端啟動、重建或修復系統,然後再透過虛擬環境中的管理工作或安全軟體,進行遠端管理與防護的工作,如此一來,企業即可藉此建立1套萬無一失的遠端安全管理機制。

囊括可管理性、主動安全性及高效能3大優勢 有效提升企業整體IT管理效益

整體而言,Intel vPro技術在功能方面,標榜能同時提供可管理性、主動安全性,以及高效能等3大優勢,以下將針對這3個部分,介紹vPro技術在遠端管理及安全防護上的諸多功能細節。

首先就可管理性來說,Intel內建式的可管理性功能,其最大效益莫過於可遠端偵測並列舉所有企業內部的軟硬體設備及資產,企業可因此省卻大筆派員親臨現場執行相關作業的管理成本。以下讓我們一同了解,Intel vPro技術到底具備哪些可提升管理效益的功能。

1.遠端資產盤點能力:無論遠端PC是處於開機或關機的狀態,管理人員皆可透過vPro技術定位,並列舉出企業內部所有端點PC,這是因為所有端點PC的資訊,均被儲存在不會因為關機而遺失的非揮發性MVRAM記憶體中,因此,即使在關機狀態下,仍可查詢端點PC的相關資訊。

2.軟硬體資產追縱列舉:在開啟遠端管理Web UI介面之際,該技術會立即搜尋偵查每一台遠端PC中的任何軟硬體資訊,包括硬碟機的製造廠牌與型號、記憶體的大小與速度規格、CPU的類型及頻率,以及防毒軟體、病毒碼、管理軟體與作業系統的版本、使用期限等重要資訊,皆可一覽無遺,如此一來,便能大幅降低因手動人工盤點所耗費的管理成本。

3.支援背景管理作業:透過虛擬化環境,或搭配第三方的虛擬機器,可進行背景管理工作。管理者可以透過支援vPro的特定應用軟體,進行自動排程設定,如此即可在員工下班時,也就是最不影響員工日常工作流程的情況下,進行病毒碼或作業系統安全漏洞更新等定期維護管理工作。

4.vPro技術並提供事件日誌(Event Log)功能:該技術僅止於記錄,而無提供統計分析之日誌稽核功能,關於這方面,企業用戶可搭配市面上的報表分析工具或設備,更進一步的提升管理效益。

再來,就安全性而言,透過新一代Intel AMT 2.0與Intel VT的加持,無論端點系統處於任何狀態,Intel vPo技術結合企業既有第三方安全或管理軟體,皆可有效而即時地進行各種遠端管理及安全防護作業。關於vPo技術的各項安全功能,茲列舉如下:

1.遠端端點問題偵測、修復及隔離:不論端點PC系統處於何種狀態,管理人員皆可透過vPo技術,進行遠端電腦系統的即時診斷及修復工作,如此便能省下可觀的到場檢測與維修的時間及管理成本;再者,防毒工作雖然重要,但是,防止病毒在企業內部肆意擴散更重要,對此,vPro技術可分別透過硬體式隔離修復與虛擬化隔離修復機制,來提高端點的安全性。

前者透過32組安全規則之硬體式內外流量過濾器來偵測,後者則提供更豐富多樣的可程式防護特性與能力,然後藉由主動式的服務阻斷功能,直接關閉受感染電腦的網路連線並隔離起來,以提升整體網路的安全性。

2.強固的硬體層安全防護:結合Intel AMT及VT技術,無論端點系統處於任何狀態下,皆可讓企業各既有的安全防護軟體,持續而正常地運作。

3.安全協定及傳輸加密支援:vPro技術支援SOAP/XML Web Services Management協定標準,而且整個遠端通訊皆支援TLS加密。

4.新增代理程式狀態偵測(Agent Presence Checking)功能:AMT 2.0技術新增此一功能,只要是正常狀態下的端點PC,皆會不斷地向管理人員或管理主控台發出訊息,以表示目前端點PC是處於安全正常的狀態;換言之,一旦某台支援vPro技術的端點PC不再發出任何訊息時,就表示該PC可能因遭受安全威脅的攻擊,抑或代理程式遭到修改或卸載,而處於不安全或異常的狀態,管理人員可立即而主動地進行各種修復作業。

5.新增服務阻斷(Service Breaker)功能:這是Intel AMT 2.0另外提供的全新功能,當某遠端端點PC被發現有安全疑慮時,IT管理人員可以透過這項功能,主動關閉該PC的網路連線並加以隔離,但即使是在系統關閉或網路斷線的狀態下,管理人員仍可對該電腦進行遠端控管作業。

6.提供最多32組安全規則的儲存能力:一旦端點PC違反安全政策及規則時,管理人員即可將其對外連線,甚或系統電源關閉,例如員工違反公司政策存取黑名單網頁時,即可將其網路斷線。另外,若企業員工下班離去之際,其桌上型PC仍偷偷開啟進行P2P下載之勾當,管理人員即可遠端主動關閉其系統與連線。

7.關鍵更新之強制執行:若端點PC的員工遲遲不進行作業系統安全漏洞、防毒軟體病毒碼等例行更新工作時,管理人員可以遠端先行阻斷其網路連線,並強迫性地將更新程式推送到該電腦上,以強化各端點PC的安全性,有效落實企業既定的安全政策。

vPro技術有著兼顧高效能與低耗電的激賞表現,首先就效能方面來看,透過漸有全面取代Pentium D處理器之勢的Core 2 Duo新一代64位元雙核心處理器,不但可因應多工作業環境,同時提供極佳的執行效能,管理人員可以順暢且即時地在背景作業環境下,進行病毒掃描、郵件同步、漏洞更新與關鍵檔案備份等各類工作,而不致影響使用者前景環境的正常作業。

此外,Core 2 Duo處理並具備電源最佳化功能,因此可提供不錯的低耗電能力,這是因為,該處理器支援Intel智慧型電源管理功能(Intel Intelligent Power Capability),透過進階的電源閘門與超精細度的電源控制能力,可讓處理器的個別功能,在需要的狀況下才啟動,因此可有效降低處理器的耗電量,在能源節省方面,達到65瓦低電耗的激賞表現,不僅帶來40%的整體效能提升,在省電效益上也提高了40%。

根據Zenlth Infotech的研究報告指出,企業在面對端點PC突發事件時,可以透過遠端方式進行處理者,約佔87%,而需要派員親臨現場解決者,約占13%,雖然後者的比例遠比前者為低,但是其所耗費的管理成本卻高達46%,由此益加說明管理效益的好壞,絕對是影響企業整體成本支出的關鍵因素。而Intel所推出的vPro技術,就是希望能在最低建置成本下,同時強化企業在遠端管理方面的能力,以有效降低到場管理的成本支出。

據Atos Origin Lab與EDS Lab的測試評估報告指出,企業在導入vPro管理技術之後,端點硬體問題的到場管理費用,竟然降低了50%∼55%;軟體問題的到場管理費用,則減少75%∼83%,在在凸顯該技術的確可為企業帶來不小的遠端管理與成本控管效益。

Intel表示,接下來的vPro技術,不但會從64位元雙核心處理器平台,逐漸導入至4核心(Quad Cores)處理器平台,同時,Intel AMT 2.5版也將由現有的商用PC平台,擴展支援行動裝置。至於VT技術,則會發展出更全面性的虛擬化平台,在該平台中,除了作業系統之外,甚至包括有線�無線網路卡、顯示卡等所有硬體元件的驅動程式,盡皆支援虛擬化,以打造出1個可攜式應用程式的操作環境,屆時,使用者可以透過USB隨身碟,將專屬的應用程式移至任何PC或作業平台上操作,這些兼具安全與方便特性的新功能,值得大家拭目以待。
喜歡嗎?分享這篇文章給親朋好友︰
               感謝作者     

請注意︰利用多帳號發表自問自答的業配文置入性行銷廣告者,將直接禁訪或刪除帳號及全部文章!
您需要登錄後才可以回覆 登入 | 註冊


本論壇為非營利自由討論平台,所有個人言論不代表本站立場。文章內容如有涉及侵權,請通知管理人員,將立即刪除相關文章資料。侵權申訴或移除要求:abuse@oursogo.com

GMT+8, 2024-11-25 00:11

© 2004-2024 SOGO論壇 OURSOGO.COM
回頂部