Hardveres védelem a szoftveres helyett/mellett

Weybridge néven érkezik az Intel új platformja, mely vPro alapokon igyekszik fokozni a felhasználók biztonságát. Az egyik legjelentősebb újdonság az AMT (Active Management Technology) továbbfejlesztése, melynek egyik érdekessége, hogy immár külön szűrőtechnológiával látták el, amit firmware-be integráltan nyújt az Intel. Ez utóbbi a hétköznapi malware problémák kiiktatásában segíti a PC-ket: védelmet kínál még/már akkor is, ha nem került fel még/már külső gyártó fejlesztette IT-biztonsági szoftver a rendszerre.

Annak ellenére, hogy az Intel saját hatáskörben is intézkedik a biztonság fokozásáról, más gyártókkal is együttműködési megállapodásokat kötött. Ilyen például a Cisco, melynek Network Admission Control minősítését is megszerezte az ú Intel platform. Ez utóbbi révén egy beágyazott ágens gondoskodik a védelemről, amely nemcsak, hogy operációs rendszertől független, de akkor is működőképes, amikor a desktop környezet leállításra vagy az operációs rendszer letiltásra kerül. A Cisco mellett a Symantec is belépett azoknak a vállalatoknak a körébe, amelyek hivatalos támogatást kapnak a virtualizációs technikák biztonsági célokra való felhasználására (erről bővebben itt).

Az Intel tehát kitart amellett az álláspontja mellett, hogy nem akar szoftveres megoldásokat készíteni – ezt meghagyja partnereinek, és ez utóbbiaknak megadja azokat az információkat, amikre szükségük van. A „biztonság egy réteg” koncepciót követi a vállalat, mondta Roger Kay, az Endpoint Technologies egyik elemzője.

Nézzük tovább a biztonsági képességeket! A chipgyártó az új platformban kínálja a TXT-t, vagyis a Trusted Execution Technology-t, amely tulajdonképpen az évekkel korábban bejelentett LaGrande kezdeményezés végső megvalósulása. A TXT 1.2-es TPM-ekkel (Trusted Platform Module) működik együtt, és számos különböző védelmi feladatot lát el. Ezek egyike, hogy a szoftverek számára ismert, védett állapotú bootolást kínál. A virtualizáció felhasználásával a TXT képes izolálni az alkalmazásokat egy memóriapartíción, sőt, a hardverekhez való hozzáférését is szabályozni tudja. Vagyis semmilyen más hardver vagy szoftver nem férhet hozzá egy alkalmazáshoz „menet közben”, ha arra nincsen engedélye. Emellett a TXT felel az adatok eltávolításáért is a cache-ből, ha a virtuális gép leállításra kerül – ez a funkció az ideiglenes állományokban való „adatturkálás” jelentette információszivárgást hivatott megszüntetni.

A hétfői bemutatón azt is demonstrálták, hogy a virtualizációs technikának köszönhetően miként lehet a Microsoft fejlesztette Windows operációs rendszerben két külön virtuális környezetet futtatni ugyanazon a számítógépen – anélkül, hogy azok egymásra bármilyen biztonsági kockázatot jelentenének. A General Dynamics előadása során Mike Maschino, a cég biztonsági mérnöke arról számolt be az érdeklődőknek: az egyes partíciók védelme annyira erős, hogy a minősített biztonsági pozíciókban dolgozó kormányzati alkalmazottak számára is megfelelő védelmet nyújt – nyugodtan használhatnak titkos és nem titkos adatokat ugyanazon a számítógépen.