CN116569138A - 用于自保护和自刷新工作区的系统和方法 - Google Patents
用于自保护和自刷新工作区的系统和方法 Download PDFInfo
- Publication number
- CN116569138A CN116569138A CN202180082837.3A CN202180082837A CN116569138A CN 116569138 A CN116569138 A CN 116569138A CN 202180082837 A CN202180082837 A CN 202180082837A CN 116569138 A CN116569138 A CN 116569138A
- Authority
- CN
- China
- Prior art keywords
- workspace
- ihs
- user
- data
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
Abstract
描述了用于自保护和自刷新工作区的系统和方法。在一些实施方案中,一种信息处置系统(IHS)可以包括处理器和耦合到所述处理器的存储器,所述存储器上存储有程序指令,所述程序指令在执行时使所述IHS:从工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得客户端IHS能够基于工作区定义而实例化工作区;确定所述客户端IHS的背景已被修改;响应于所述确定,终止所述工作区;以及从所述工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得所述客户端IHS能够基于所述工作区定义而重新实例化所述工作区。
Description
技术领域
本公开总体上涉及信息处置系统(IHS),并且更具体地涉及用于自保护和自刷新工作区的系统和方法。
背景技术
随着信息的价值和使用持续增长,个人和企业寻求附加方式来处理和存储信息。一种选项是信息处置系统(IHS)。IHS通常出于商业、个人或其他目的处理、编译、存储和/或传送信息或数据。因为技术和信息处置需求和要求在不同的应用之间可能改变,IHS也可能关于以下方面有所不同:处置何种信息,如何处置信息,处理、存储或传送多少信息,以及可以多快且多高效地处理、存储或传送信息。IHS的变化允许IHS是通用的或者针对特定用户或针对特定用途(诸如财务事务处理、航空订票、企业数据存储、全球通信等)进行配置。另外,IHS可以包括可以被配置为处理、存储和传送信息的各种硬件和软件部件,并且可以包括一个或多个计算机系统、数据存储系统和联网系统。
IHS为用户提供访问、创建和操纵数据的能力,并且经常实施各种安全协议以保护该数据。历史上,IHS被设计成实施安全范例,所述安全范例将IHS与可能的安全威胁隔离开,就像设计和构建堡垒以保护其围墙内的人员一样。例如,在IHS网络的情况下,安全系统实施将整个网络与威胁隔离开的策略。实际上,围绕整个网络构建了一组堡垒。在此类系统的围墙内工作时,可以为用户提供安全且高效的数据使用。
然而,将受保护数据隔离在堡垒的围墙内的安全范例越来越被现代计算的现实所挫败。如今,用户期望在位于各种物理位置时使用大量不同的IHS来访问受保护数据。为了利用提供数据访问的系统的安全性,支持远程访问的当前协议试图将系统的防御扩展到远程IHS,从而基本上将堡垒围墙扩展为暂时包括所有或部分远程IHS。
现代计算的另一个复杂因素是用户期望能够利用自己的个人IHS来访问部分或全部受保护数据,即使这些用户被提供有企业发布的IHS来用于访问它也是如此。对于此类系统的管理者,这增加了保护可访问受保护数据的所有方式的难度。由于需要支持使用不断增长的软件应用列表来访问受保护数据,无论在个人IHS或企业发布的IHS上,因此大大增加了这种困难性。此外,由于需要支持从各种物理位置并经由各种网络(包括不受信任网络)访问受保护数据,因此此类系统的管理变得更加复杂。面对此类问题,用于提供对受保护数据的访问的系统通常管理起来很繁重,并且最终数据未得到充分保护以促进其有效使用。
用于保护对经由IHS访问的受保护数据的访问的已知技术是使用虚拟机或容器来将数据隔离于在IHS上运行的经隔离或虚拟化环境内。常规类型的虚拟化环境从IHS的硬件和操作系统提供不同程度的隔离。然而,类似于寻求在安全范围内隔离受保护数据的安全范例的堡垒围墙防御,常规虚拟化环境也不适合现代计算。具体地,这些虚拟化技术在IHS上建立隔离计算环境,这允许用户仅访问为该用户批准的数据和应用。
在一些实例中,常规虚拟化技术可以仅基于用户的身份来确定要在IHS上提供的数据、应用和保护,因此倾向于实施所有安全协议,所述安全协议对于确保访问所有批准的数据和应用是必要的。然而,如发明人所认识到的,这不仅导致消耗IHS的大部分存储器和处理能力的复杂的虚拟化工作,而且常规技术也没有考虑到用户在操作IHS时实际意图做什么。
如发明人进一步认识到的,现代计算应当为用户提供经由各种IHS并且几乎在任何位置对受保护数据的访问。然而,常规虚拟化未考虑在特定会话期间使用IHS的特定背景,更不用说考虑在会话期间使用IHS的背景的变化。此外,常规虚拟化技术倾向于为许多实际未使用的能力提供支持。提供此类不必要能力所需的开销会过度加重IHS的操作负担,并降低生产效率和用户体验。
发明内容
描述了用于自保护和自刷新工作区的系统和方法。在说明性非限制性实施方案中,一种信息处置系统(IHS)可以包括处理器和耦合到所述处理器的存储器,所述存储器上存储有程序指令,所述程序指令在执行时使所述IHS:从工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得客户端IHS能够基于工作区定义而实例化工作区;确定所述客户端IHS的背景已被修改;响应于所述确定,终止所述工作区;以及从所述工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得所述客户端IHS能够基于所述工作区定义而重新实例化所述工作区。
为了确定客户端IHS的背景已被修改,程序指令在执行时可以使客户端IHS:基于工作区状态的静态部分导出密钥;使用密钥来加密存储器;基于工作区状态的修改后的静态部分导出另一密钥;以及无法使用所述另一密钥来解密存储器。在一些情况下,工作区定义可以标识工作区状态的静态部分的存储器地址。
程序指令在执行时可以使IHS向工作区编排服务传输发送失败事件消息和工作区状态的可变部分的副本。另外或替代地,工作区编排服务可以被配置为检测失败事件。程序指令可以进一步使IHS从工作区编排服务接收工作区状态的可变部分的另一副本。
在各种实施方式中,工作区的静态部分响应于在工作区中安装软件而变成工作区的修改后的静态部分。另外或替代地,工作区的静态部分响应于工作区中执行或安装的入侵软件进行的篡改(例如,用户和/或入侵者的篡改)而变成工作区的修改后的静态部分。
在另一说明性非限制性实施方案中,一种存储器存储装置可在其上存储有程序指令,所述程序指令在由IHS执行时使IHS:从工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得客户端IHS能够基于工作区定义而实例化工作区;确定所述客户端IHS的背景已被修改;响应于所述确定,终止所述工作区;以及从所述工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得所述客户端IHS能够基于所述工作区定义而重新实例化所述工作区。
在又一说明性非限制性实施方案中,一种方法可以包括:从工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得客户端IHS能够基于工作区定义而实例化工作区;基于工作区状态的静态部分导出密钥;使用所述密钥来加密存储器;基于所述工作区状态的修改后的静态部分导出另一密钥;无法使用所述另一密钥来解密所述存储器;响应于所述失败,终止所述工作区;以及从所述工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得所述客户端IHS能够基于所述工作区定义而重新实例化工作区。
附图说明
本发明是借助于示例来说明并且不限于附图,在附图中相似的附图标记指示类似的元件。附图中的元件是出于简单且清楚的目的而示出的,并且不一定是按比例绘制的。
图1是描绘根据各种实施方案的被配置为使企业生产效率生态系统中的工作区和硬件生命周期管理现代化的IHS的部件的示例的图式。
图2是描绘根据各种实施方案的用于使企业生产效率生态系统中的工作区和硬件生命周期管理现代化的方法的示例的图式。
图3A和图3B是描绘根据各种实施方案的被配置为使企业生产效率生态系统中的工作区和硬件生命周期管理现代化的系统的示例的图式。
图4是描述根据各种实施方案的用于保护企业生产效率生态系统中的动态工作区的过程的某些步骤的流程图。
图5是描述根据各种实施方案的用于在企业生产效率生态系统内持续保护动态工作区的过程的某些步骤的流程图。
图6是描绘根据各种实施方案的用于工作区连续性和补救的方法的示例的图式。
图7是描绘根据各种实施方案的用于自保护和自刷新工作区的方法的示例的图式。
图8A至图8C是描绘根据各种实施方案的在图7的方法的执行期间存储器的状态的图式。
具体实施方式
出于本公开的目的,IHS可以包括可操作以计算、运算、确定、分类、处理、传输、接收、检索、发起、切换、存储、显示、传送、表明、检测、记录、再现、处置或利用用于商业、科学、控制或其他目的的任何形式的信息、情报或数据的任何工具或工具集合。例如,IHS可以是个人计算机(例如,台式计算机或膝上型计算机)、平板计算机、移动装置(例如,个人数字助理(PDA)或智能手机)、服务器(例如,刀片式服务器或机架服务器)、网络存储装置或任何其他合适的装置,并且可以在大小、形状、性能、功能性和价格方面有所不同。在下文更详细地描述了IHS的示例。图1示出了IHS的各种内部部件,所述IHS被配置为实施某些所描述的实施方案。应当理解,尽管本文中描述的特定实施方案可在个人计算装置的背景中讨论,但是其他实施方案可以利用各种其他类型的IHS。
图1是描绘被配置用于保护企业生产效率生态系统中的动态工作区的示例性IHS100的部件的图式。在一些实施方案中,IHS 100可以用于实例化、管理和/或终止工作区,诸如安全环境,所述安全环境可以向IHS 100的用户提供对企业数据的访问,同时将企业数据与操作系统(OS)和由IHS 100执行的其他应用隔离。在一些实施方案中,可以由工作区编排服务从IHS 100远程地编排用于特定目的和用于特定背景的工作区的构建,诸如参考图1所述。在一些实施方案中,工作区编排的部分可以在IHS 100上本地执行。IHS 100可以被配置有程序指令,所述程序指令在执行时使IHS 100执行本文公开的各种操作中的一者或多者。在一些实施方案中,IHS 100可以为较大企业系统的元件,所述系统可以包括与彼此网络通信的任何数量的类似配置的IHS。
如图1所示,IHS 100包括可操作以执行从系统存储器105中检索的代码的一个或多个处理器101,诸如中央处理单元(CPU)。尽管IHS 100被示出为具有单个处理器,但是其他实施方案可以包括两个或更多个处理器,每个处理器可以进行相同地配置,或者提供专门的处理功能。处理器101可以包括能够执行程序指令的任何处理器,诸如INTEL PENTIUM系列处理器或实施各种指令集架构(ISA)中的任一者的任何通用或嵌入式处理器,诸如x86、 或/>ISA,或任何其他合适的ISA。在图1的实施方案中,处理器101包括可以直接在处理器101的电路内实施的集成存储器控制器118,或者存储器控制器118可以是与处理器101位于相同管芯上的单独集成电路。存储器控制器118可以被配置为管理经由高速存储器接口104进出IHS 100的系统存储器105的数据转移。
经由存储器总线104耦合到处理器101上的系统存储器105为处理器101提供高速存储器,所述高速存储器可以用于由处理器101执行计算机程序指令。因此,系统存储器105可以包括适合于支持处理器101的高速存储器操作的存储器部件,诸如静态RAM(SRAM)、动态RAM(DRAM)、NAND闪速存储器。在一些实施方案中,系统存储器105可以结合持久性、非易失性存储器和易失性存储器。
在某些实施方案中,系统存储器105包括安全存储装置120,所述安全存储器可以是被指定用于存储在托管IHS 100上的安全工作区时使用的信息(诸如访问策略、部件签名、加密密钥和其他密码信息)的系统存储器的一部分。在此类实施方案中,可以基于安全存储装置120的内容计算签名并且将其存储为参考签名。存储在安全存储装置120中的数据的完整性随后可以通过重新计算安全存储装置的内容的这种签名并将重新计算的签名与参考签名进行比较来验证。
IHS 100利用芯片组103,所述芯片组可以包括耦合到处理器101的一个或多个集成电路。在图1的实施方案中,处理器101被描绘为芯片组103的部件。在其他实施方案中,所有芯片组103或芯片组108的各部分可以直接在处理器101的集成电路内实施。芯片组103为处理器101提供对经由总线102可访问的各种资源的访问。在IHS 100中,总线102被示出为单个元件。然而,各种实施方案可利用任何数量的总线来提供由总线102服务的所示路径。
如图所示,多种资源可通过芯片组103耦合到IHS 100的处理器101。例如,芯片组103可耦合到诸如由网络接口控制器(NIC)提供的网络接口109,所述NIC耦合到IHS 100并允许IHS 100经由诸如互联网或LAN的网络通信。网络接口装置109可以经由各种网络技术(诸如无线蜂窝或移动网络(CDMA、TDMA、LTE等)、WIFI和蓝牙)为IHS 100提供有线和/或无线网络连接。在某些实施方案中,网络接口109可以支持受信任IHS部件(诸如受信任控制器115)与远程编排服务之间的连接。在此类实施方案中,远程编排服务与受信任部件之间的网络接口109支持的连接可被认为是与IHS的OS隔离的带外(OOB)连接。
芯片组102还可以经由图形处理器107提供对一个或多个显示装置108的访问。在某些实施方案中,图形处理器107可以包括在作为IHS 100的部件而安装的一个或多个视频或显卡或嵌入式控制器内。图形处理器107可产生显示信息并将产生的信息提供给耦合到IHS 100的一个或多个显示装置108,其中显示装置108可以包括集成式显示装置和/或诸如经由I/O端口116耦合到IHS的外部显示装置,其中显示装置108可以包括集成式显示装置和/或耦合到IHS的外部显示装置。在某些实施方案中,图形处理器107可以集成在处理器101内。耦合到IHS 100的一个或多个显示装置108可以利用LCD、LED、OLED或其他薄膜显示技术。每个显示装置108可能够诸如经由触控控制器进行触控输入,所述触控控制器可以是显示装置108的嵌入式部件、图形处理器107或经由总线102访问的IHS 100的单独部件。
在某些实施方案中,芯片组103可以利用一个或多个I/O控制器来访问硬件部件,诸如用户输入装置111和传感器112。例如,I/O控制器110可以提供对用户输入装置110(诸如键盘、鼠标、触摸板、触控屏幕和/或其他外围输入装置)的访问。用户输入装置111可以通过有线或无线连接与I/O控制器110对接。经由I/O控制器110访问的传感器112可以提供对描述IHS 100的环境和操作条件的数据的访问(例如,加速度计、陀螺仪、铰链传感器、旋转传感器、霍尔效应传感器、温度传感器、电压传感器、电流传感器、IR传感器、光电传感器、接近传感器、距离传感器、磁传感器、传声器、超声波传感器等)。
在一些情况下,芯片组103可以包括能够利用由传感器112收集的信息来确定IHS100的相对取向和移动的传感器集线器。例如,传感器集线器可以利用惯性移动传感器,所述惯性移动传感器可以包括加速度计、陀螺仪和磁力计传感器,并且能够确定IHS 100的当前取向和移动(例如,IHS 100在相对平坦的表面上静止不动,IHS 100正在不规则地移动并且可能在运输中,IHS 100的铰链沿竖直方向取向)。在某些实施方案中,传感器集线器还可以包括用于基于网络信号的三角测量并且基于由OS或网络接口109提供的网络信息来确定IHS 100的位置和移动的能力。在一些实施方案中,传感器集线器可以支持附加传感器,诸如光学传感器、红外线传感器和声纳传感器,所述传感器可以为由IHS 100托管的xR(虚拟现实、增强现实和/或混合现实)会话提供支持,并且可以由传感器集线器使用,以提供用户存在于IHS 100附近的指示,诸如用户是否存在、不存在和/或面对集成式显示器108。
在终端用户出现在IHS 100之前的情况下,传感器集线器可以进一步确定终端用户与IHS的距离,其中该确定可以连续地、以周期性间隔或根据请求进行。处理器101可以使用检测到的或计算出的距离来将用户分类为处于IHS的近场(用户的位置<阈值距离A)、中场(阈值距离A<用户的位置<阈值距离B,其中B>A)或远场(用户位置>阈值距离C,其中C>B)。如下文进一步详细描述的,未能在IHS 100附近检测到IHS 100的已认证用户可导致IHS 100的安全配置文件发生变化,因此触发对在IHS 100上操作的工作区的安全风险的重新评估。类似的重新评估可基于在IHS 100附近检测到附加个体而触发。
在IHS 100可支持多种物理配置(诸如可转换膝上型计算机、多合一装置等)的实施方案中,传感器集线器可利用收集读数的一个或多个模式传感器112,这些读数可用于确定IHS 100在其中被物理配置的当前态势。在某些实施方案中,可以使用传感器112提供的移动和取向信息另外做出此类态势确定。例如,在膝上型计算机和可转换膝上型计算机实施方案中,处理器101或受信任控制器115可以利用盖位置传感器112来确定膝上型计算机的两个面板之间的相对角度,以确定IHS 100在其中被物理配置的模式。在此类实施方案中,盖位置传感器可测量连接IHS 100的底板和盖面板的铰链的旋转角度。在一些实施方案中,处理器101或受信任控制器115可将收集的盖位置信息(诸如铰链角度)提供给传感器集线器以用于确定IHS 100在其中被配置的态势。在一些实施方案中,传感器集线器可以在确定铰链角度信息时与盖位置传感器直接对接。
传感器集线器可以至少部分地基于IHS 100的铰链从闭合位置的旋转角度来确定IHS 100的态势。从闭合位置开始的第一铰链角度范围可以指示膝上型计算机态势,第二铰链角度范围可以指示横向态势,并且第三角度范围可以指示平板计算机态势。另外,传感器集线器可利用从惯性移动传感器112收集的取向和移动信息来进一步确定IHS 100在其中被物理配置的态势。例如,如果传感器集线器确定IHS 100被配置为具有膝上型配置的铰链角度,但是IHS 100取向在其一侧,则可以确定IHS处于书本模式。如果确定IHS 100倾斜,使得铰链在水平与竖直之间取向,检测到用户的脸面向集成式显示器,并且IHS 100正在经历轻微移动,则传感器集线器可以确定IHS 100正以书本态势使用。传感器集线器可以确定IHS 100打开到180度铰链角度并且位于平坦表面上,因此指示IHS 100正在以横向态势使用。传感器集线器可以类似地响应于检测到限定范围内的铰链角度(诸如在300度与345度之间)并且还检测到其中铰链水平对准并且高于IHS 100的两个显示面板的IHS 100的取向,确定IHS 100处于帐篷配置。
IHS 100的其他部件可以包括一个或多个I/O端口116,以用于与外围外部装置以及各种输入和输出装置进行通信。例如,I/O端口116可以包括HDMI(高清晰度多媒体接口)端口,以用于将外部显示装置连接到IHS 100和USB(通用串行总线)端口,通过所述USB端口可以将各种外部装置耦合到IHS 100。在一些实施方案中,经由I/O端口116耦合到IHS 100的外部装置可以包括存储装置,该存储装置支持将数据传递进出系统存储器105和/或IHS100的存储装置119。如下文更详细描述的,经由I/O端口116耦合存储装置可导致IHS 100的安全配置文件发生变化,因此触发重新评估在IHS 100上操作的工作区的安全风险。
芯片组103还为处理器101提供对一个或多个存储装置119的访问。在各种实施方案中,存储装置119可以与IHS 100集成或者可以在IHS 100外部。在某些实施方案中,存储装置119可以经由存储控制器来访问,该存储控制器可以是存储装置的集成部件。可以使用允许IHS 100存储和检索数据的任何存储器技术来实施存储装置119。例如,存储装置119可以是磁性硬盘存储驱动器或固态存储驱动器。在一些实施方案中,存储装置119可以是存储装置系统,诸如可经由网络接口109访问的云端驱动器。
如图所示,IHS 100还包括BIOS(基本输入/输出系统)117,其可以存储在芯片组103经由总线102可访问的非易失性存储器中。在对IHS 100供电或重新启动IHS 100时,处理器101可以利用BIOS 117指令来初始化和测试耦合到IHS 100的硬件部件。BIOS 117指令还可加载OS以供IHS 100使用。BIOS 117提供了抽象层,该抽象层允许OS与IHS 100的硬件部件对接。统一可扩展固件接口(UEFI)被设计为BIOS的继任者。结果,许多现代IHS利用UEFI作为BIOS的补充或替代。如本文所使用的,BIOS意图还涵盖UEFI。
在所示实施方案中,BIOS 117包括预定义存储器或存储器区域,其可以被称为NVM(非易失性存储器)信箱106。在此类实施方案中,信箱106可以提供用于存储工作区访问策略、签名、密码密钥或用于托管和验证IHS 100上的工作区的其他数据的安全存储位置。在某些实施方案中,BIOS信箱106可以用作远程编排服务所利用的安全存储装置,以便存储访问策略和用于在IHS 100上输送和部署安全容器的密码密钥。可以这种方式利用BIOS信箱106和系统存储器105中的安全存储装置120来代替受信任控制器115实施的带外功能或与其结合使用。
在某些实施方案中,受信任控制器115耦合到IHS 100。例如,受信任控制器115可以是作为IHS 100的主板的部件安装的嵌入式控制器(EC)。在各种实施方案中,受信任控制器115可以执行各种操作以支持向IHS 100输送和部署工作区。在某些实施方案中,受信任控制器115可以经由与在IHS 100上运行的OS隔离的带外通信路径与远程编排服务交互。网络接口109可以支持受信任控制器115与远程编排服务之间的此类带外通信。
受信任控制器115可以接收将工作区安全输送和部署到IHS 100所需的密码信息。在此类实施方案中,可以将密码信息存储到由受信任控制器115维护的安全存储装置121。另外或替代地,受信任控制器115可以支持受信任操作环境的执行,所述受信任操作环境可以支持用于在IHS 100上部署工作区的密码操作。另外或替代地,受信任控制器115可以经由带外通信信道支持在IHS 100的OS内部署工作区,所述带外通信信道与OS隔离并允许工作区与OS的受信任代理程序进行通信。
受信任控制器115还可以为用于支持IHS 100上的工作区的安全部署和操作的某些密码处理提供支持。在一些实施方案中,此类密码处理可以经由与IHS 100的软件和其他硬件部件隔离的由受信任控制器115托管的安全操作环境的操作来提供。在一些实施方案中,受信任控制器115可依赖于由IHS支持的专用密码硬件(诸如TPM(受信任平台模块)微控制器)提供的密码处理。在一些实施方案中,受信任控制器115的安全存储装置121可用于存储密码信息以用于工作区的授权。
在某些实施方案中,受信任控制器115可以另外被配置为计算唯一地标识IHS 100的各个部件的签名。在此类场景中,受信任控制器115可以基于耦合到IHS 100的硬件和/或软件部件的配置来计算哈希值。例如,受信任控制器115可以基于所有固件和存储在诸如网络接口109的硬件部件的板上存储器中的其他代码或设置来计算哈希值。此类哈希值可以作为制造IHS 100的受信任程序的一部分而计算,并且可以作为参考签名保存在安全存储装置121中。
受信任控制器115可被进一步配置为在稍后时间为此类部件重新计算哈希值。然后可以将针对部件重新计算的哈希值与参考哈希值签名进行比较,以便确定是否对部件进行了任何修改,因此指示部件已妥协。以这种方式,受信任控制器115可用于验证安装在IHS100上的硬件和软件部件的完整性。在某些实施方案中,远程编排服务206可通过计算受信任控制器115的签名并将所述签名与在制造IHS 100的受信任程序期间计算的参考签名进行比较来以相同方式验证受信任控制器115的完整性。在各种实施方案中,受信任控制器115支持的此类操作中的一者或多者可以使用BIOS 117来实施。
受信任控制器115还可以实施用于与电源适配器对接以管理IHS 100的电力的操作。此类操作可以用于确定IHS 100的电源状态,诸如IHS 100是使用电池电源操作还是插入AC电源。受信任控制器115利用的固件指令可用于操作安全执行环境,所述安全执行环境可以包括用于提供IHS 100的各种核心功能的操作,诸如电力管理和IHS 100的某些操作模式(例如,turbo模式、某些部件的最大操作时钟频率等)的管理。
在管理IHS 100的操作模式时,受信任控制器115可以实施用于检测IHS 100的物理配置的某些变化并管理与IHS 100的不同物理配置相对应的模式的操作。例如,在IHS100是膝上型计算机或可转换膝上型计算机的情况下,受信任控制器115可以接收来自盖位置传感器112的输入,所述盖位置传感器可以检测膝上型计算机的两侧是否一起闩锁到闭合位置。响应于盖位置传感器112检测到IHS 100的盖的闩锁,受信任控制器115可以发起用于关闭IHS 100或将IHS 100置于低电力模式的操作。
IHS 100可以支持各种电力模式的使用。在一些实施方案中,IHS 100的电力模式可以通过受信任控制器115和/或IHS 100的OS的操作来实施。在各种实施方案中,IHS 100可以支持各种降低电力模式以便在IHS 100未主动使用时降低电力消耗和/或节省电池电量,和/或通过增加或减少IHS 100的部件(例如,处理器101)的最大操作时钟频率来控制用户可用的性能水平。
在一些实施方案中,IHS 100可以不包括图1中示出的所有部件。在其他实施方案中,IHS 100可以包括除图1中示出的部件之外的其他部件。此外,在图1中表示为单独部件的一些部件可以替代地与其他部件集成。例如,在某些实施方案中,由所示部件执行的操作的全部或一部分可以替代地由作为片上系统集成到处理器101中的部件提供。
图2是描绘用于保护企业生产效率生态系统中的动态工作区的方法200的示例的图式。为了说明起见,方法200分成三个阶段:工作区初始化阶段200A、工作区编排阶段200B和工作区终止阶段200C。在初始化200A期间,用户201(例如,企业用户)在物理环境202(例如,任何类型的环境和其相关联背景,包括物理位置、地理位置、特定设施或建筑物内的位置、检测到的网络、当日时间、用户的接近程度、IHS 100附近的个体等)中操作诸如关于图1所描述的IHS 100(例如,台式计算机、膝上型计算机、平板计算机、智能电话等)。
方法200以用户201在启动点203处的动作开始,所述启动点可以是例如由用户201的雇主提供的公司启动点、由IHS 100的制造商提供的启动点203,或由第三方作为服务提供给用户201的启动点。具体地,用户201操作IHS 100以访问例如以web门户网站、在IHS100的OS中运行的门户网站应用、在IHS 100上操作的专用门户网站工作区等的形式提供的启动点203。在各种实施方式中,启动点203可以包括表示不同软件应用、数据源和/或用户可能希望执行和/或操纵的其他资源的图形用户界面(GUI)元素。在各种实施方案中,启动点可以提供图形、文字和/或音频接口,用户201可以通过所述接口请求数据或其他资源。因此,可以向已认证用户201提供启动点,所述启动点提供关于一个或多个软件应用的可见性以及跨其所有数据存储区(例如,本地存储、云存储等)可用的用户数据源的汇总。
如以下另外详细描述的,用于向用户201提供对所请求数据或其他资源的访问的工作区可以使用本地管理代理332来操作,所述本地管理代理在IHS 100上操作并且被配置为与工作区编排服务206交互操作。在各种实施方案中,启动点203可以允许用户201请求访问受管理资源的门户网站(例如,网页、OS应用或专用工作区)的形式提供。在各种实施方案中,启动点203可由远程工作区编排服务206、IHS 100上的本地管理代理332或其任何合适的组合托管。启动点203技术的示例可以包括来自WMWARE,INC.的WORKSPACE ONEINTELLIGENT HUB和来自DELL TECHNOLOGIES INC.的DELL HYBRID CLIENT,等等。
初始化阶段200A在用户201选择启动应用或访问由工作区编排服务206管理的数据源时开始。响应于用户201发出的访问请求(例如,用户“点击”启动点203的图标),IHS100的本地管理代理332在204处收集初始安全和生产效率背景信息。例如,安全背景信息可以包括指示与以下各项相关联的安全风险的属性:请求的数据和/或应用、由用户201呈现的风险级别、IHS 100所利用的硬件、其中将部署工作区以提供对所请求数据和/或应用的访问的IHS 100的逻辑环境,以及IHS 100目前所在的物理环境202。
因此,在本公开中,术语“安全背景”通常是指与其中将部署和利用工作区的安全态势相关的数据或其他信息,其中安全态势可以基于用户、IHS 100、将要经由工作区访问的数据和/或环境202。如关于图4和图5更详细地描述的,安全背景可以被量化为安全风险分数以支持与在特定背景中使用IHS 100时向用户201提供对请求的数据和/或应用的访问相关联的级别或风险的评估。“安全风险分数”通常是指可用于对与请求相关联的安全背景的各种安全特性进行评分、量化或测量的数值。风险分数可以为与整体安全风险背景相关联的总分数,而“风险度量”可以是对安全背景的某个部分的子类别的风险测量。
例如,可用于计算特定安全背景的安全风险分数的安全度量可以包括但不限于:请求的数据源和/或应用的分类、用于标识用户201的认证因素、IHS 100的位置、与用户201相关联的角色或其他群组分类、IHS 100使用的网络验证、IHS 100使用的网络类型、IHS100使用的网络防火墙配置、攻击指标(IoA)、关于IHS 100或用户201请求的资源的妥协指标(IoC)、与OS和IHS 100上使用的其他应用相关联的补丁级别、加密的可用性、可用的加密类型、对安全存储装置的访问、IHS 100使用的可证明硬件、IHS 100支持的工作区隔离程度,等等。
术语“生产效率背景”通常是指与工作区、用户、IHS或环境相关联的用户生产效率。“生产效率分数”通常是指可用于对生产效率背景的各种生产效率特性进行评分、量化或测量的指标。生产效率背景信息的示例包括但不限于:IHS的硬件、IHS的软件(包括OS)、IHS的选定部件的电力状态和最大时钟频率、永久地或临时地耦合到IHS的外围装置、IHS可用的网络以及这些网络的性能特性、IHS上可用的软件安装程序,等等。
工作区的初始生产效率和安全目标可以基于用户201动作的背景与工作区将在其中操作的生产效率和安全背景相结合来计算。生产效率和安全目标还可以基于用户201的行为分析、IHS 100遥测和/或(例如,经由传感器112收集的)环境信息。在一些情况下,在205处,在IHS 100上操作的本地管理代理可以基于收集的安全和生产效率背景来计算初始安全和生产效率目标。在其他情况下,远程工作区编排服务206可以计算安全和生产效率目标。
如本文中所使用,术语“安全目标”通常是指由基于工作区定义创建和操作的工作区呈现的攻击面,而术语“生产效率目标”通常是指特定工作区定义的生产效率特性。生产效率目标的示例包括但不限于:用户201可用的数据或数据源的类型、工作区的最小延时,等等。相反,可用于表征安全目标的属性可以包括但不限于:工作区的最低安全分数、IHS100的最低信任分数、用户201的认证要求(例如,需要多少认证因素、重新认证的频率)、工作区所利用的网络中的最低信任级别、工作区与IHS 100的所需隔离、访问工作区内的浏览器的能力、在工作区之间传递数据的能力、扩展工作区的能力,等等。
此外,术语“工作区定义”通常是指描述可以如下方式组合、创建和部署的工作区方面的属性集合:根据其中将部署工作区的安全背景(例如,位置、补丁级别、威胁信息、网络连接性等)和生产效率背景(例如,可用的装置类型和性能、网络速度等)满足安全目标(即,所述定义呈现攻击面,所述攻击面呈现可接受的风险级别)和生产效率目标(例如,数据访问、访问要求、延时上限等)。工作区定义可以实现实例化工作区的迁移的流动性,因为所述定义支持在任何目标OS或IHS上组合工作区的能力,所述目标OS或IHS被配置用于与工作区编排服务206一起操作。
在描述工作区的能力和约束时,工作区定义208可以规定以下各项中的一项或多项:用户201的认证要求、工作区的封锁和/或隔离(例如,本地应用、沙盒、docker容器、渐进式web应用或“PWA”、虚拟桌面基础设施“VDI”等)、可以在工作区的定义封锁中执行以使得用户201能够使用一个或多个数据源进行生产的主要应用、提高生产效率的附加应用、减少生产效率环境所呈现的安全目标范围的安全部件(来自DELL TECHNOLOGIES INC.的DELLDATA GUARDIAN、防病毒软件等)、待访问的数据源以及向和从工作区封锁路由该数据的要求(例如,使用VPN、最小加密强度)、独立附接其他资源的工作区能力;等等。
在一些实施方式中,工作区定义可以至少部分地基于例如由企业的信息技术(IT)人员定义的静态策略或规则。在一些实施方案中,静态规则可以通过机器学习(ML)和/或人工智能(AI)算法进行组合和改进,ML和/或AI算法评估在工作区经历生命周期时收集的历史生产效率和安全数据。以这种方式,可以随着时间动态地修改规则以产生改进的工作区定义。例如,如果确定用户每次使用来自MICROSOFT CORPORATION的MICROSOFT VISUALSTUDIO时动态地添加文本编辑器,则工作区编排服务206可以自主地将该应用添加到该用户的默认工作区定义。
仍然关于图2,在编排200B期间,初始安全和生产效率目标被处理和/或与可用的资源、装置能力和云端服务等相协调,以在208处产生工作区定义。如所描述的,工作区定义可以指定工作区的能力和约束,诸如:工作区封锁的运行时间安全要求(例如,诸如与IHS100的OS或IHS 100的某些硬件隔离)、用于证明工作区运行时的完整性的参考测量值的使用、为工作区内的操作提供的应用、经由工作区可用的资源的汇总、访问配置(例如,虚拟专用网络或“VPN”),等等。
然后工作区编排服务206的自动化引擎302可以利用初始工作区定义基于将在其中操作工作区的安全和生产效率背景来协调在适当平台(例如,云或IHS 201)上的工作区的组合209和实例化210。在工作区被云托管的情况下,自动化引擎302可以组合和实例化远程工作区,所述远程工作区可以经由web浏览器或在IHS 100上操作的其他基于web的部件建立的安全连接来访问。在一些实施方案中,自动化引擎302可以解决工作区定义与用户在工作区的操作中的输入之间的配置冲突。
实例化工作区在211处由用户201操作,并且在212处产生与数据的行为或使用相关的新的生产效率和安全背景信息。工作区的这种操作可基于用户201已经完成、访问和/或创建的内容导致数据的改变或新分类,因此导致工作区的安全背景的改变。就用户的行为分析、装置遥测和/或环境已经改变可量化程度而言,安全背景中的这些改变可以用作自动化引擎302在207处重新评估安全和性能目标的附加输入。另外或替代地,现在可以针对初始目标测量新的工作区背景、安全目标和/或生产效率目标,并且在适当情况下,所述结果可以使自动化引擎302在208处产生新的工作区定义。
具体地,如果实例化工作区具有落在目标索引范围之外的参数使得附加的或更新的背景信息与初始的或先前的背景信息之间的差异被评分为低于阈值,则自动化引擎302可以处理对现有工作区的修改组合并在210处部署此类修改。相反,如果附加的或更新的背景信息与初始或先前的背景信息之间的差异被评分为高于阈值,则自动化引擎302可在210处产生新的工作区。会话数据元数据和背景可以由数据汇总引擎336保存,并且会话数据可以在适用时被恢复。
另外或替代地,作为终止阶段200C的一部分,方法200可在213处终止或停止使用初始或先前工作区。在一些情况下,用户动作可以发起终止程序(例如,用户201关闭访问数据的应用或浏览器)和/或终止可以作为工作区定义调整的一部分自动发生(例如,自动化引擎302指示终止隔离环境)。仍然作为终止阶段200C的一部分,可以释放IHS 100和/或工作区编排服务206处的工作区资源。
因而,在各种实施方案中,即使工作区在不受直接管理的IHS或云平台上操作,方法200也使得能够实现安全的用户生产效率。方法200还提供动态或自适应配置和策略,从而允许最佳可能的用户体验同时维持适当的安全级别。在一些情况下,生产效率环境和访问要求的定义可以基于生产效率和安全依赖性和目标来选择,并且与工作区相关的能力定义本质上可以是自适应的。具体地,工作区定义属性可以基于历史生产效率和安全信息、基于每个单独用户或群组的行为来动态选择。
图3A和图3B示出了系统部件300A和300B(统称为“系统300”)的示例的图式,所述系统部件被配置为使企业生产效率生态系统中的工作区和硬件生命周期管理现代化。具体地,部件系统300A包括工作区编排服务206,并且其可以包括远程定位和/或联网的一个或多个IHS,所述一个或多个IHS上存储有程序指令,所述程序指令在执行时使一个或多个IHS执行本文描述的各种工作区编排操作,包括但不限于:基于从IHS 100接收的更新的背景信息动态评估安全和生产效率目标、基于持续收集的背景信息计算风险分数和其他生产效率和安全度量、产生工作区定义,以及根据云服务和/或IHS 300B处的工作区定义启用工作区实例化的一个或多个文件或策略的组合。
部件300B包括其上存储有程序指令的IHS 100,所述程序指令在执行时使IHS 100执行本文描述的各种本地管理操作,包括但不限于:收集生产效率和安全背景信息、计算生产效率分数和/或风险分数、基于从工作区编排服务206接收的文件或策略(诸如工作区定义)实例化、执行和修改工作区,等等。
工作区编排服务300A和IHS 300B可以经由任何合适的网络技术和/或协议彼此耦合,这允许工作区编排服务300A相对于IHS 300B远程地提供。如关于图1所描述的,根据实施方案的IHS可以包括部件诸如可以支持独立于IHS 100的OS的某些安全带外通信的受信任控制器。在一些实施方案中,此类受信任控制器可被配置为支持在300A上的工作区的部署和操作,并向工作区编排服务300A报告背景信息的变化。
如图3A的部件300A中所示,工作区编排服务206可以包括支持IHS 300B上的工作区的部署以及持续评估和适应的多个子部件。工作区编排服务300A的实施方案可以包括可以支持web服务306、制造商集成317和分析323的系统。此外,web服务306可以包括应用服务301和用户界面(UI)和自动化服务302。
分析服务323可被配置为在工作区的初始配置期间和在工作区的持续支持期间接收和处理来自IHS 300B的背景信息,并且将该信息连同产生的任何分析一起提供给应用服务301的背景逻辑303。基于在工作区的部署和持续支持期间收集的信息,支持辅助智能引擎(SAIE)324可被配置为产生和/或分析技术支持信息(例如,更新、错误、支持日志等)以用于诊断和修复工作区问题。工作区洞察和遥测引擎325可被配置为分析和/或产生由工作区的操作产生的以装置为中心的、历史的且基于行为的数据(例如,硬件测量、特征的使用、设置等)。工作区智能326可以包括用于处理和评估背景数据的任何合适的智能引擎,以便标识工作区的操作和工作区基于背景变化的适应中的模式和趋势。
如图所示,工作区编排服务300A的应用服务306系统包括UI和自动化服务302系统,其可以包括背景逻辑或引擎303、分类策略304和条件控制模块或引擎305。背景逻辑或引擎303可以支持在进行风险评估时处理背景信息(例如,根据用户行为的背景、用户的IHS的历史、用户的IHS的能力和环境条件来评估用户的风险相关联请求)。例如,由IHS 300B收集的安全背景信息可以提供给工作区编排服务300A,在所述工作区编排服务中可使用所述安全背景信息(诸如通过背景逻辑303)来计算与使用受管理数据源和/或应用的请求相关联的风险分数。分类策略304可以包括管理者和机器学习定义的策略,其描述与不同安全背景相关联的风险分类,诸如特定数据、位置、环境、IHS、逻辑环境或用户动作的风险分类(例如,使用高风险数据需要使用适合与高于特定值的风险分数一起使用的工作区定义)。条件控制模块或引擎305可以包括提供自动决策以使风险和背景适当地对准的智能。在一些情况下,条件控制模块或引擎305可动态地部署解决方案以解决任何检测到的风险与背景的不一致。例如,在请求访问导致风险分数显著增加的高度机密数据源时,条件控制引擎可选择工作区定义修改,该工作区定义修改实施适用于较高风险分数的安全程序。
应用服务301可以包括由UI和自动化服务302调用的一组web服务306,以支持工作区编排的各个方面。具体地,web服务306可以包括应用和工作区服务307,其可组合和封装在工作区中进行部署的应用(例如,封装并部署到MICROSOFT HYPER-V容器的“.msix”文件)。在一些实施方案中,工作区定义可用于指定是否将以这种方式向用户提供对应用的访问。web服务306还可以包括租户订阅模块308,所述租户订阅模块在IHS的销售点(POS)处执行IHS的动态配置和所描述的工作区编排服务的部署。许可跟踪模块309可用于维护和跟踪软件、服务和IHS的许可信息。访问控制模块310可提供用于控制授权用户对数据和应用的访问的顶级访问控制。统一端点管理(UEM)模块311可被配置为支持可由特定用户利用的各种不同IHS上的工作区的所描述的编排。
可用于支持工作区的web服务306还可以包括资源供应服务312,以用于为IHS或工作区配置访问特定资源所需的秘密/凭据(例如,用于使用VPN、网络、数据存储库、工作区加密、工作区证明和工作区-装置锚定的凭据)。在一些情况下,资源供应服务312可以包括秘密,所述秘密作为IHS 300B的受信任组合程序的一部分供应,并且在一些实例中,与IHS300B的唯一标识符348相关联。web服务306还可以包括提供身份功能并且可连接到各种认证源(例如诸如Acti ve Directory)的授权/令牌模块。端点注册模块314可被配置为向跟踪所描述的工作区编排的使用的管理服务注册IHS和/或工作区。在一些场景中,目录服务315模块可被配置为提供活跃目录服务(例如,来自MICROSOFT CORPORATION的AZUREACTIVE DIRECTOR Y)。装置配置服务316实现工作区的集中配置、监测、管理和优化,所述装置配置服务在某些背景中可以从IHS远程地操作并且可以仅向IHS的用户呈现工作区输出的图像。与资源供应服务312协调,装置配置服务316还可处置秘密创建和IHS配置,并且在一些情况下,可以具有带外能力并处置对端点的选定操作。
仍然参考图3A,制造商集成部件317与应用服务301和客户端IHS 300B通信以提供在工作区评估和实例化期间可用的特征,其中这些特征是基于客户端IHS 300B的制造商可用的信息。例如,证书机构318可以包括发布数字证书的实体,所述数字证书可以用于验证IHS 300B的硬件的真实性和完整性。身份服务模块或引擎319可被配置为管理用户或所有者的身份以及用于使用客户目录322的代理标识。订单权限模块或引擎320可负责管理所购买的权限以及由318签署的相关联的发布证书。所有权存储库321可管理与IHS相关联的用户权限和其所有权,并且可以为用户转移IHS的所有权和传达与所述IHS相关联的权限提供支持。在某些场景中,所有权存储库321可使用这种所有权转移来解除与嵌入IHS中的权限相关联的秘密。客户目录322可被配置为对网络中的所有用户和IHS进行认证和授权,诸如为所有IHS分配和实施安全策略以及安装或更新软件(在一些情况下,客户目录322可以协调工作和/或可与目录服务315相同)。
现在参考图3B的IHS 300B,在一些实施方案中,IHS 300B可被配置为操作本地管理代理332,所述本地管理代理可以在由受信任控制器341(诸如图1的受信任控制器115)托管的安全执行环境345内运行。在其他实施方案中,本地管理代理332可以充当IHS 300B的OS的受信任且可证明的程序。在一些实施方案中,本地管理代理332可以包括适合于实例化和管理IHS 300B上的一个或多个工作区331A至331N的操作的工作区引擎。如上所述,工作区的能力可基于工作区在其中操作的生产效率和安全背景的变化而修改。因此,工作区331A至331N中的每一者中的工作负荷可以被托管在公用云、私有云、特定服务器中或本地托管在IHS 300B上,这取决于工作区在其中操作的背景。每个特定工作区331A至331N的这些工作区计算分配可由用于构建和操作每个工作区的工作区定义来规定。如图所述,工作区定义可由工作区编排服务206基于由IHS 300B提供的背景信息、每个工作区331A至331N的安全目标和每个工作区331A至331N的生产效率目标来创建。
在一些实施方案中,本地管理代理332可被配置为托管、启动和/或执行工作区枢纽327,所述工作区枢纽提供启动点203,用户通过所述启动点通过受管理数据和资源的选择来发起工作区。在各种实施方案中,启动点203可以是提供接口的代理、应用、专用工作区或web门户网站,用户可通过所述接口从数据源、应用、日历、消息或IHS 300B的用户可经由本文描述的工作区操作获得的其他受管理信息或资源的汇总集合中进行选择。在各种实施方案中,启动点203可以文字、图形和/或音频用户界面的形式提供,所述界面允许IHS 300B的用户选择可用数据和/或资源。在一些实施方案中,工作区枢纽327可利用本地环境管理模块328来提供在IHS 300B上呈现给用户的工作区接口,并且以跨工作区331A至331N一致的方式进行。工作区枢纽327还可以包括本地智能逻辑或引擎329,其用于支持对IHS 300B的使用进行建模以便改进与风险背景相关联的实际风险的表征。用户认证和访问控制操作可以由本地标识模块330执行,所述本地标识模块可与受信任控制器341对接以提供用户认证。
在一些情况下,每个实例化工作区331A至331N可以是向用户提供对所请求数据或应用的访问的环境,其中所述环境可基于每个工作区331A至331N在其中操作的安全背景和生产效率背景在不同程度上与IHS 300B的硬件和软件隔离。在一些实例中,经由启动点203对用户可用的数据源或资源的选择可能导致启动新的工作区。例如,如果用户通过选择由启动点203显示的图标来启动浏览器,则可根据已选择的工作区定义来创建和启动新的工作区,以在提出请求的安全和生产效率背景中提供用户对web浏览器的访问。在用户双击可从由启动点203提供的数据源获得的机密演示文件的场景中,可以使用演示应用实例化附加工作区,所述演示应用提供对所请求的演示文件的访问,其中该新的工作区是基于为访问机密演示提供适当安全性的工作区定义而创建的。在其他实例中,用户对演示文件的选择可导致演示可通过现有工作区获得,在一些情况下使用现有工作区定义获得,并且在其他情况下使用已修改为支持对机密演示文件的所请求访问的工作区定义。
尽管由IHS 330B支持的工作区331A至331N各自可在不同程度上与IHS 300B的硬件和/或软件隔离以及彼此隔离,但是IHS 330B的用户可能期望能够以允许内容在不同工作区331A至331N之间传递的方式操作多个工作区331A至331N。例如,用户可以选择在工作区331A中显示的数据的一部分并且利用OS或其他工作区功能来复制数据以用于复制到工作区331B。
在各种实施方案中,本地管理代理332可全部或部分地在由受信任控制器341托管的安全平台345上操作,所述受信任控制器独立于IHS 300B的OS操作。在一些实施方案中,本地管理代理332的全部或部分可以充当IHS 300B的OS的受信任部件。为了执行本文描述的各种操作,本地管理代理332可以包括命令监测器334,所述命令监测器被配置为提供仪器以从工作区编排服务300A接收命令并因此使得能够访问IHS 300B。本地管理代理332还可以包括遥测模块335,所述遥测模块可被配置用于将收集的信息传送到工作区编排服务300A,所述信息包括报告可保证对工作区331A至331N的调整的背景变化。数据汇总工具336可跟踪所有数据源和可经由工作区提供给用户的其他资源(例如,应用、本地或基于云的服务)。
本地管理代理332可利用资源管理器模块337,所述资源管理器模块被配置为管理对数据的访问、网络配置(诸如用于VPN和网络访问)、身份信息、访问控制和资源供应服务。安全模块338可被配置为提供各种安全服务。BIOS接口339可提供用于访问和管理安全对象存储中的凭据的安全BIOS接口。BIOS分析模块340可被配置为执行用于BIOS遥测和健康评估的法务服务。持久性模块346可被配置为支持在POS授权或由管理者分配且由所需许可跟踪支持的应用的持久性。工作区证明模块333可在由本地管理代理332提供的容器引擎上提供以平台为中心的服务层,并且可用于以由条件控制305定义或编排的任何合适的方式来测量和证明工作区331A至331N。
作为安全平台345的一部分,本机管理模块347可被配置为使用工作区编排服务206实现带外管理接口,其中该OOB接口独立于IHS 300B的OS操作。在一些实施方案中,由本机管理模块347支持的OOB管理接口可由工作区编排服务的装置配置服务316用来访问IHS300B的安全平台服务345。
数字装置ID模块348可提供唯一的无法仿冒的密码绑定标识符。在支持安全平台345的实施方案中,安全嵌入式控制器341可以是硬化硬件模块,所述硬件模块可以包括信任根模块342,所述信任根模块被配置为受信任数据存储区,并且在用于密码处理的一些情况下,可在密码系统内受信任。装置证明服务343可被配置为执行装置保证和信任服务(例如,安全BIOS和安全启动等)。可以提供安全对象存储区344,其被配置为锁定和访问EC和/或受信任平台模块(TPM)中的密钥、哈希和/或其他秘密。
在一些场景中,IHS 100可由制造商提供,所述制造商还控制制造商集成部件317,工作区证明模块333可与安全对象存储区342、经认证的BIOS模块339和/或数字装置身份模块348等结合操作,以基于该IHS独有的和/或由该制造商专门设计的硬件装置和设置进一步保护和/或控制在任何工作区331A至331N中可用的生产效率特征。
为了进一步示出本文描述的系统和方法如何操作以使企业生产效率生态系统中的工作区和硬件生命周期管理现代化,下面依次讨论三个非限制性用例或示例。
用例A
在用例A中,给定用户可使用公司拥有和成像的笔记本电脑请求访问企业场所上受保护的数据源,所述笔记本电脑如关于图1的IHS 100和图3B的客户端IHS 300B所描述的那样配置。
响应于所述请求,在用户的笔记本电脑上操作的本地管理代理332检索描述当前背景的信息并基于所确定的背景计算安全和生产效率目标。在该用例中,本地管理代理可能已由IT安装,并且其可能作为服务在背景中运行。基于文件分类(例如,文件元数据/类型/性质/权限、文件夹位置、加密区域等),机密数据可以与本机机器上的本地管理代理相关联。此外,本地管理代理可以持续收集当前背景信息并将其发送到编排服务,以用于对工作区的风险和生产效率进行评分(这也可在用户的访问请求或意图指示时完成)。
当用户(诸如经由通过笔记本电脑的OS进行的选择)选择机密数据时,本地管理代理将请求和工作区的工作区定义通知给工作区编排服务,通过所述工作区定义可以向用户提供对机密数据的访问。
在该示例中,工作区编排服务可基于以下背景信息或输入使用加权、机器学习或人工智能算法来将总体安全风险评分为具有值“2”,所述背景信息或输入中的每一者也基于选定策略作为风险度量给出:场所:1(安全场所);用户角色:1(相当复杂的用户分类中的已知高可信度,即,历史上不曾点击网络钓鱼电子邮件的用户);网络风险:1(低风险,由于检测到内部部署的有线连接);装置风险:1(高控制级别,由于公司拥有/管理的平台、已知版本、启用的安全功能等);法规:1(基于用户、数据、位置组合,例如,相对于《通用数据保护条例》或“GDPR”、《健康保险可移植性和责任法案》“HIPAA”、支付卡行业“PCI”、技术出口等无限制);以及数据类型:8(正在请求机密数据文件)。
工作区编排服务还可基于以下背景信息或输入使用加权、机器学习或人工智能算法,将生产效率分数计算为具有值“9”,所述背景信息或输入中的每一者也基于选定策略作为资源度量给出:场所:10(办公室);用户角色:9(基于高级计算任务、熟练程度和/或速度的“熟练”分类);网络速度/延时:10(快速、有线、千兆位以太网络或直连到内部网络);装置性能:8(快速、昂贵的CPU、存储器、图形,但存储只需要例如<10GB);和数据类型:10(本地机密文件在本地存储器上易于读/写,具有低延时和高性能)。
其次,基于安全分数和/或背景信息,工作区编排服务以机器可读格式(例如,JSON名称-值、XML结构化等)构建具有任何合适结构和工作区定义属性的工作区定义文件。在该示例中,基于表示负荷、需要或对安全控制和封锁特征的需求的属性值的组合,安全目标可被视为具有值“1”,所述属性值可以包括:威胁监测:1(低需求);威胁检测:1(低需求);威胁分析:1(低需求);威胁响应:1(低需求);存储机密性:2(低);存储完整性:2(低);网络机密性:1(低);网络完整性:1(低);存储器机密性:1(低);存储器完整性:1(低);显示机密性:1(低);显示完整性:1(低);用户认证:1(低,基本密码即可,非多重要素认证或“MFA”,无会话过期);IT管理者范围:1(管理者远程管理,但不需要大量补救软件);和法规合规性:1(无GDPR、无HIPAA、无PCI、无技术出口限制等)。
基于生产效率目标和/或背景信息,基于属性值的组合,工作区定义的生产效率目标可被认为具有值“9”(定义高质量的响应性用户体验),所述属性值表示如下生产效率需求:本地存储:7(部分硬盘驱动器控制,为IT负荷预留部分存储);CPU访问:10(无限制);本地图形:10(无限制);和应用堆栈:10(可以使用应用、安装用户需要的应用、授予管理者权限等)。
第三,在工作区定义完成后,工作区编排服务和本地管理代理可以组合工作区并为用户将工作区实例化。例如,本地管理代理可从编排服务接收定义文件(例如,JSON、XML等),并且其可剖析所述文件以实施安全风险控制,诸如:威胁监测:1(本地管理代理不安装威胁、检测和响应或“TDR”软件);威胁检测:1(本地管理代理不安装TDR软件);威胁分析:1(编排不需要从系统收集详细的遥测数据,OS不注册到日志中);威胁响应:1(本地管理代理不安装安全威胁响应代理);存储机密性:2(本地管理代理部署本地文件系统加密产品,用户可以根据需要使用右键单击背景选单在特定文件上任选地启用该产品);存储完整性:2;网络机密性:1(本地管理代理确认基本防火墙配置正确,例如,IT GPO控制的);网络完整性:1;存储器机密性:1(本地管理代理确认配置,例如,未部署SGX、TXT或容器/沙盒软件);存储器完整性:1;显示机密性:1(本地管理代理确认安装的图形驱动程序、隐私屏幕和由用户任选地管理的相机);显示完整性:1;用户认证:1(本地代理确认配置了基本的GPO密码规则,并由用户满足,例如,字符数、无会话过期等);IT管理者范围:1(本地代理以系统权限运行,确认IT管理者账户列在本地管理者用户群组中,例如,每GPO);和法规合规性:1(本地代理不安装任何合规性辅助软件)。
在确认配置之后,工作区编排服务和本地管理代理可以授予用户对所请求的本地机密文件的访问,并且用户可以开始在新创建的工作区中工作。
用例B
在用例B中,用户可以在咖啡店使用开放公用网络和IT管理/拥有的PC请求访问机密数据文件,所述PC如关于图1的IHS 100和图3B的客户端IHS 300B所描述的那样配置。
首先,由客户端IHS(300B)执行的本地管理代理(332)检索所请求的背景并基于背景计算安全和生产效率分数。在该用例中,本地管理代理可能已由IT安装,并且其可能作为服务在背景中运行。机密数据可保存在内部部署的共享IT管理的网络资源上(例如,回到主要公司办公室),并且本地管理代理可能负责监测用户何时请求该数据路径(例如,用户点击特定的URL、IP等)。此外,本地管理代理可持续收集所有当前背景并将其发送到工作区编排服务,以辅助稍后的评分过程(这也可在用户的访问请求或意图指示时完成,而非持续收集)。
当用户选择所需的机密数据文件时,客户端IHS(300B)的OS调用与到机密数据文件的路径相关联的本地管理代理,并回调到远程工作区编排服务(206)以请求工作区定义。
在该示例中,工作区编排服务可基于以下背景信息或输入使用加权、机器学习或人工智能算法,将总体安全风险评分为具有值“4”,所述背景信息或输入中的每一者也基于选定策略作为风险度量给出:场所:5(公共、安全国家);用户角色:5(新用户,分类数据尚不存在);网络风险:5(中等,公用但常见的位置,检测到无线连接);装置风险:1(高控制级别、企业拥有/管理的平台、已知版本、启用安全特征等);和法规:1(基于用户、数据、位置组合,例如,相对于《通用数据保护条例》或“GDPR”、《健康保险可移植性和责任法案》“HIPAA”、支付卡行业“PCI”、技术出口等无限制)。
工作区编排服务还可基于背景信息或输入使用加权、机器学习或人工智能算法将生产效率分数计算为具有值“5”,所述背景信息或输入中的每一者也基于选定策略作为资源度量给出。例如,安全背景输入可以包括:场所:6(远程位置,但在美国主要城市,在公共区域,非员工在装置的视觉/音频范围内);用户角色:5(未知可信度“空”分类,使用默认上岗假设);网络速度/延时:4(中等,无线但共享网络上的AC);和装置性能:8(快速、昂贵的CPU、存储器、图形,但存储只需要~<10GB)。
其次,基于安全分数和/或背景信息,工作区编排服务以机器可读格式(例如,JSON名称-值、XML结构化等)构建具有任何合适结构和工作区定义属性的工作区定义文件。在该示例中,基于表示负荷、需要或对安全控制和封锁特征的需求的属性值的组合,安全目标可被认为具有值“4”,所述属性值如下所示:威胁监测:4(中等需求);威胁检测:4(中等需求);威胁分析:4(中等需求);威胁响应:4(中等需求);存储机密性:4(中等);存储完整性:9(高);网络机密性:5(中等);网络完整性:2(低);存储器机密性:4(中等);存储器完整性:8(高);显示机密性:7(中/高,担心“背后偷窥者”从公共场所附近的相邻座位或桌子读取数据);显示完整性:2(低);用户认证:4(中等、使用硬件令牌的双因素认证、睡眠时会话到期、屏幕锁定或注销);IT管理范围:3(若用户致电寻求IT问题的帮助,则管理者可以远程地监测、管理和补救);和法规合规性:1(无GDPR、无HIPAA、无PCI、无技术出口限制等)。
基于生产效率目标和/或背景信息,基于属性值的组合,工作区定义的生产效率目标可被认为具有值“7”(定义高质量的响应性用户体验),所述属性值表示如下生产效率需求:本地存储:7(部分硬盘驱动器控制,为IT负荷预留部分存储);CPU访问:10(无限制);本地图形:10(无限制);和应用堆栈:7(可以使用应用、可以安装一些用户需要的IT批准的应用,但没有管理者权限,因为不能信任用户只安装有效/安全的生产效率软件,但用户可以根据需要安装预先批准的IT应用)。
第三,在工作区定义完成后,工作区编排服务和本地管理代理可以组合工作区并为用户将工作区实例化。例如,本地管理代理可从编排服务接收定义文件(例如,JSON、XML等),并且其可剖析所述文件以实施安全风险控制,例如:威胁监测:5(本地管理代理安装TDR软件或确认其先前安装/配置);威胁检测:5(本地管理代理安装TDR软件或确认其先前安装/配置);威胁分析:5(编排确认遥测可访问,如果尚未注册,OS将注册到日志中);威胁响应:2(本地管理代理下载但不运行远程事故响应应用,为检测到事故做准备);存储机密性:5(本地管理代理部署本地容器技术,诸如沙盒,具有受限的“保存”权限,使得机密文件将不被允许保存在PC本地,但只要会话在存储器中活跃便可以进行访问);存储完整性:5;网络机密性:5(本地管理代理加强防火墙保护,禁用所有不必要的端口,并建立返回公司办公室的VPN,以保护到本地沙盒的流量);网络完整性:5;存储器机密性:5(本地管理代理配置沙盒容器以将应用和数据与可能渗透主机OS的其他应用/威胁隔离);存储器完整性:5;显示机密性:7(本地管理代理确认已安装图形驱动程序,强制执行隐私屏幕并使用相机检测特定的旁观者威胁);显示完整性:7;用户认证:4(本地代理确认配置了基本的GPO密码规则,并由用户满足,例如,字符数,无会话过期等,但也增加了硬件令牌登录和再次建立网络的要求);IT管理者范围:4(本地代理以管理者和远程访问权限运行,确认IT管理者账户列在本地管理者用户群组中-例如,每GPO);和法规合规性:4(本地代理安装状态特定的规则执行或监测软件)。
在确认配置之后,工作区编排服务和本地管理代理可以授予用户对所请求的本地机密文件的访问,并且用户可以开始在新创建的工作区中工作。
用例C
在用例C中,用户可能在处于网吧时利用借用/租用的PC在开放WiFi网络上使用来自哈萨克斯坦的浏览器请求访问web托管的远程门户网站中的机密数据文件,所述PC如关于图1的IHS 100和图3B的客户端IHS 300B所描述的那样配置。
首先,远程工作区编排服务(332)拦截访问请求并评估浏览器和用户背景,并计算安全和生产效率分数。在该用例中,没有本地管理代理;仅仅已知浏览器和通过HTTP/S会话返回或获得的任何遥测数据。就本示例而言,假设机密数据可能保存在内部部署的共享IT管理的网络资源上(例如,回到主要公司办公室),并且数据文件将保留在那里,仅具有远程呈现/访问权限。基于web的背景可以通过浏览器会话收集或由用户提供。此外,也可通过替代边信道(例如,旅行日历信息、最近用户在公司信用卡上的计费活动、电话呼叫日志和/或位置数据)为工作区编排服务收集用户背景。
当用户从web浏览器中选择所需的机密数据文件时,后端web服务器基础设施回调到工作区编排服务以请求工作区定义。
在该示例中,工作区编排服务可基于以下背景信息或输入使用加权、机器学习或人工智能算法,将总体安全风险评分为具有值“9”,所述背景信息或输入中的每一者也基于选定策略作为风险度量给出:场所:9(哈萨克斯坦);用户角色:1(用户应当在那里,基于过去的登录,时间似乎为正确的,并且用户具有生物特征手表通信器来证明用户活着、是用户自己,并且位于用户所说的地方,使得IT可以始终信任用户);网络风险:9(高、公开且在非常隐蔽的地方);装置风险:9(零信任);和法规:8(基于用户、数据、位置组合)。
工作区编排服务还可基于以下背景信息或输入使用加权、机器学习或人工智能算法,将生产效率分数计算为具有值“5”,所述背景信息或输入中的每一者也基于选定策略作为资源度量给出:场所:3(性能不佳的网吧装置);用户角色:9(已知的高可信度和“熟练”分类——高级计算任务、熟练程度和速度);网络速度/延时:3(低质量——远距离无线G);和装置性能:3(必须能够轻松浏览网页,但基于服务认为的能力,服务应构建简单的功能)。
其次,基于安全分数和/或背景信息,工作区编排服务以机器可读格式(例如,JSON名称-值、XML结构化等)构建具有任何合适结构和工作区定义属性的工作区定义文件。在该示例中,基于表示负荷、需要或对安全控制和封锁特征的需求的属性值的组合,安全目标可被认为具有值“9”,所述属性值如下所示:威胁监测:10(高需求,在服务器端处置);威胁检测:10(高需求,在服务器端处置);威胁分析:10(高需求,在服务器端处置);威胁响应:10(高需求,在服务器端处置);存储机密性:10(高需求,在服务器端处置);存储完整性:8;网络机密性:10(高需求,在服务器端处置);网络完整性:9;存储器机密性:10(高需求,在服务器端处置);存储器完整性:9;显示机密性:10(高,“背后偷窥者”可能从公共场所中附近的相邻座位或桌子读取数据文件);显示完整性:9;用户认证:10(高、使用登录、硬件令牌和生物特征卫星手表的三因素认证——会话到期并每30秒刷新一次);IT管理者范围:8(如果用户致电寻求帮助或发生任何意外情况,则管理者可以远程地监测、管理和补救);和法规合规性:10(所有网络流量都受到安全监测,所呈现的数据也如此)。
基于生产效率目标和/或背景信息,基于属性值的组合,工作区定义的生产效率目标可被认为具有值“3”(定义主要为消费而非生产效率构建的可用安全用户体验),所述属性值表示如下生产效率要求:本地存储:1(仅高速缓存);CPU访问:3(为有限的期望而构建);本地图形:3(为有限的期望而构建);以及应用堆栈:1(信息站模式装置上的web浏览器体验、有限的数据输入能力、通过VDI呈现的信息站对仅需要知道的信息的有限读取访问)。
第三,在工作区定义完成之后,工作区编排服务和远程云web门户网站(例如,用户通过浏览器登录的会话)可以组合工作区并在浏览器中为用户将工作区实例化。例如,web门户网站可从编排服务接收定义文件(例如,JSON、XML等),并且其可剖析所述文件以实施安全风险控制,诸如:威胁监测:9(基于数据中心的管理代理安装TDR软件或确认其先前安装/配置);威胁检测:9(基于数据中心的管理代理安装TDR软件或确认其先前安装/配置);威胁分析:9(编排确认遥测为可访问的,如果尚未注册,则托管web服务器的服务器可注册到日志中—来自边信道的用户行为遥测也可被持续监测是否存在可疑/异常活动);威胁响应:10(基于数据中心的管理代理设置看门狗定时器以自动终止会话,无需来自编排、用户遥测和网络浏览器的定期签入);存储机密性:9(基于数据中心的管理代理构建渐进式web应用,所述渐进式web应用可用于通过安全TLS链接显示数据—数据将被呈现,但仅呈现给用户所需的可视化部分,并且无法保存任何内容);存储完整性:10;网络机密性:9(尽最大努力将流量路由至安全位置—除了位图呈现之外,不允许任何内容通过可执行网络);网络完整性:4;存储器机密性:9(仅限网页查看器—无数据离开数据中心,没有从租用的PC上获取机密输入,不允许键盘输入,并且所有输入均可以使用鼠标点击坐标从随机虚拟键盘上获取);存储器完整性:8;显示机密性:8(尽最大努力确保机密性—至少提示用户—可调整字体大小,但默认小字体、模糊文字等);显示完整性:2;用户认证:9(本地代理确认基本密码规则已配置,并且由用户满足,例如,字符数,无会话过期等,但增加了硬件令牌和生物特征的要求,卫星手表登录和再次建立网络,需要用户频繁再次确认);IT管理者范围:7(基于数据中心的远程环境);和法规合规性:8(本地代理不存在,但基于数据中心的代理监测/阻止不合适的数据)。
在确认配置之后,工作区编排服务和本地管理代理可以让用户访问所请求的呈现数据,并且用户可以开始在新创建的工作区中工作。
图4为描述根据各种实施方案的用于保护企业生产效率生态系统中的动态工作区的过程的某些步骤的流程图。所示实施方案开始于框405,其中用户使用诸如关于图1和图3描述的IHS而选择由诸如关于图2和图3所描述的企业生产效率生态系统管理的数据或应用,并且使得可经由启动点获得。例如,用户可请求访问经由企业生产效率生态系统管理的数据源。此数据源可以包括位于特定服务器上的远程驱动器、经由云系统访问的远程虚拟驱动器或位于用户的IHS上的数据源。在一些实例中,数据源可以是位于这些位置中的一个位置中的特定文件夹或文件。在其他情况下,用户可通过请求访问经由本地管理代理提供的启动点可用的应用或服务来发起图4的过程。
在检测到访问受管理数据或受管理资源的请求时,在框410处,工作区编排服务可认证发出请求的用户的身份。在一些实施方案中,本地管理代理可能先前已经对用户进行认证,以便授予用户对启动点的访问并确定经由启动点呈现给用户的受管理数据源和应用。在一些实例中,可以将来自本地管理代理的此类认证的结果提供给工作区编排服务。在一些实施方案中,可能需要附加的认证来评估用户的请求并确定用户请求的风险分数。因此,在框410处可能需要附加的认证因素来确定用户的身份。
用户的身份信息可由本地管理代理收集并提供给工作区编排服务。在框415处,工作区编排服务可评估描述用户呈现的风险级别的一个或多个属性。例如,用户可能被标识为高风险访客用户、有安全问题历史的高风险员工、正常风险员工用户、中等风险受邀访客用户、中等风险合同员工用户、没有安全问题历史的低风险专家员工用户或低风险管理用户。另外或替代地,可以利用其他群组分类来对用户呈现的风险级别进行分类,所述群组分类诸如用户是全职还是兼职员工,或用户所属的业务群组(例如,财务、人力资源、工程、销售、技术支持、法律)。在某些实例中,不同的风险级别可能与不同群组分类相关联。例如,财务用户可能与低风险相关联,因为财务用户几乎访问很少类型的数据并且从公司设施内的固定位置进行访问,而销售用户可能与高风险相关联,因为销售用户从不同位置访问各种类型的数据。在一些实施方案中,可以基于用户隶属于工作区编排服务的提供者的时长或用户成为特定公司员工的时长来评估用户呈现的风险级别。在一些实施方案中,可以基于与特定用户相关联的历史信息来评估用户呈现的风险级别,诸如用户先前是否被确定违反了安全策略或未能遵循企业生产效率生态系统所利用的最佳实践。在附加实施方案中,与用户(例如,管理者、访客等)相关联的权限状态分类可以指示风险级别。在此类实施方案中,权限状态分类的改变还可指示风险背景信息。例如,历史权限状态分类可指示用户的权限分类最近从普通用户更改为管理用户。此类场景可表示使用该账户可能存在安全漏洞,因此保证提高来自该用户的工作区请求的风险分数。
除了认证做出请求的用户的身份之外,也可认证用于做出请求的IHS的身份。在一些实施方案中,IHS的身份可基于与IHS相关联的唯一标识符(诸如图3的服务标签或序列号或装置ID)来确定。基于此类唯一标识符,IHS可由工作区编排服务具体地标识,并且在某些实例中,可用于确定IHS的特定硬件和软件能力。如关于图1的IHS 100所描述的,可以使用在IHS的受信任制造过程期间或在IHS的受信任管理期间为此类部件产生的参考签名来确认IHS的各种部件的完整性。在此类实施方案中,IHS的身份可被认证为包括可被确认为未妥协的部件的特定IHS。在框420处,IHS的本地管理代理可收集提供给工作区编排服务的身份信息,其中在框425处,硬件身份信息可以用于确定与IHS的硬件相关联的风险属性。
IHS硬件的风险属性可指示与特定IHS相关联的风险级别。可以将最高风险级别分配给有很少或没有硬件信息可用的IHS,诸如操作未识别的IHS的访客用户。诸如基于与该特定IHS相关联的日志信息,也可将高风险级别分配给可被确认为先前已妥协的IHS。中等风险级别可以被分配给来自具有安全问题历史的第一制造商的IHS,而较低风险级别可以被分配给来自具有较少安全问题的第二制造商的IHS。与利用最新固件用于内部硬件部件的IHS相比,利用具有过时固件的内部硬件部件的IHS可能被分配更高的风险级别。可将中等风险级别分配给以非推荐方式配置的IHS,诸如配置UEFI属性以禁用IHS上的安全启动程序或启用对某些USB或其他I/O端口的使用。诸如基于对固件签名的验证,可将最低风险级别分配给识别的IHS,所述IHS可被确认为利用非妥协的硬件元件。
在框430处,可确定用于做出请求的IHS的软件身份。IHS的软件身份描述了可以在其中部署工作区的逻辑环境。在某些实例中,IHS的软件身份可以由IHS的操作系统指示,并且可以包括操作系统的版本信息以及已应用于操作系统的更新和补丁。IHS的软件身份还可以标识操作系统支持的安全相关软件应用,包括诸如防火墙、防病毒软件的安全应用和诸如DELL DATAGUARDIAN的安全套件,所述应用可被配置为安全地管理凭据以及图1的IHS100支持的诸如受信任控制器115的安全部件中所存储的其他安全信息。IHS的软件身份还可标识在IHS的操作系统内操作的所有应用和/或程序。在此类实施方案中,软件身份信息还可以包括当前在IHS的操作系统中运行的一些或所有应用的版本信息和更新信息。更新信息可指示特定补丁(例如,解决特定安全漏洞的补丁)是否已安装在IHS上和/或IHS或IHS的应用的最新补丁的日期。如图所述,在一些实施方案中,本地管理代理可以全部或部分地在运行在与IHS的OS分开操作的受信任控制器上的安全执行环境中操作。因此,IHS的软件身份还可以包括本地管理代理的隔离级别。
与IHS的硬件身份信息一样,可以将软件身份信息提供给工作区编排服务。在框435处,软件身份信息可用于确定与用户已向其请求访问受管理数据源或其他资源的IHS的逻辑环境相关联的风险属性。例如,可以基于缺乏对IHS的操作系统的更新来指示高风险逻辑环境。中等风险的逻辑环境可通过更新的操作系统来指示,在所述更新的操作系统中使用若干其他应用,包括支持用户输入的应用,诸如文字处理应用,所述应用可用于手动复制经由工作区提供的信息,所述工作区也将在操作系统内操作。当在操作系统内操作的应用主要用于向用户提供媒体输出(诸如用户输入不用于数据输入的媒体播放器或游戏应用)时,可以指示风险较低的逻辑环境。当应用中的一者是web浏览器时,可指示更高风险的逻辑环境,所述web浏览器可为用户提供广泛的基于web的工具和应用,诸如基于web的电子邮件和文件传递,所述工具和应用可能不容易被监测或跟踪。中等风险的逻辑环境可以在支持数据文件传输的应用(诸如电子邮件客户程序或FTP客户端)操作时随时指示。
在许多场景中,IHS所处的物理环境可指示风险。在框440处,可确定IHS的物理位置。如关于图1所描述的,根据实施方案的IHS可被配置为收集各种类型的位置信息。例如,IHS的地理坐标可以从可用传感器收集或基于三角测量信息而产生。也可基于由IHS的网络接口检测到的网络广播信号的身份来确定位置信息。在一些实施方案中,可基于由IHS检测到的各种无线信号的强度来提高确定的位置信息的精度,因此提供标识特定房间或其他区域内的IHS的位置的能力。在一些实施方案中,作为访问受管理数据源或其他资源的请求的一部分,此类位置信息可以由在IHS上操作的本地管理代理收集。
在框445处,由本地管理代理报告的位置信息可由工作区编排服务利用以确定与IHS的物理位置相关联的风险属性。工作区编排服务可利用接收到的位置信息来确定与该位置相关联的风险属性。低风险的物理位置可以通过基于由用户的雇主提供的无线网络广播的网络信息来确定IHS位于用户的工作位置而指示。中等风险的物理位置可由如下位置信息指示,所述位置信息经由公用无线网络指示IHS位于经常使用的位置,诸如用户的工作地附近的咖啡店。中等风险的物理位置还可由如下位置信息指示,所述位置信息指示IHS在用户为飞机、车辆或公共交通工具中的乘客并且正在使用任何可用的蜂窝或公用无线网络时处于使用中。更高风险的物理位置可由如下位置信息指示,所述位置信息指示IHS位于未识别的位置,并且正在使用具有也被IHS检测到的多个附加无线网络的公用无线网络。高风险的物理位置还可由如下位置信息指示,所述位置信息指示IHS位于已被归类为指示高风险区域的国家、城市、地理围栏区域、设施、邮政编码、区域码或其他地理区域。高风险的物理位置还可由指示IHS位置的可疑变化的位置信息指示。例如,IHS可能在上午被标识为位于用户在美国的常规工作地点,但在当天下午晚些时候,接收到表明IHS现在位于欧洲的位置信息。
在框450处,可为已被请求的数据源或其他资源确定风险属性。在一些场景中,风险分类可直接基于与数据源、应用、服务或其他资源相关联的分类来确定,诸如使用将数据指定为机密的、秘密的、公开的或特权的来确定。也可基于正在请求的数据类型来确定风险分类。例如,与财务信息或详细工程示意图相关联的文件类型可指示高风险数据,而对流媒体文件的请求可指示低风险数据。也可基于存储所请求的数据的位置来确定风险分类。例如,高风险数据可由其存储在IHS的安全存储器中或与IHS集成并已被指定用于存储重要的受管理数据的另一本地存储中来指示。中等风险数据可由存储在已被指定用于一般用途的本地或远程存储中来指示。中等风险数据可由存储在受信任和认可的云资源中来指示,而较高风险数据可由存储在未被识别的云资源中来指示。
在各种实施方案中,可以在上述操作序列的任何合适组合中产生诸如上述风险属性,使得可以任何顺序和/或同时执行图4的步骤。实施方案可利用描述将在其中实例化工作区的背景的任何或所有收集的信息,以产生风险属性。在一些实施方案中,用于产生风险属性的数据可由在IHS上操作的本地管理代理收集并且可传送到工作区编排服务以用于在455处评估和计算与请求相关联的风险分数。在一些实施方案中,风险分数可为所定义范围或尺度内的数值,诸如介于零与一百之间的风险分数,或介于一与十之间的评级。
实施方案可以在风险分数的计算中利用机器学习技术。例如,评估与用户、物理环境、逻辑环境、IHS和数据相关联的风险级别的各种安全属性可作为机器学习算法的输入提供。在此类实施方案中,可产生数字风险分数作为机器学习的输出。以这种方式使用的机器算法的训练可以通过使用对数据或其他资源的请求的训练集来完成,其中训练数据中的每个请求与该背景的背景信息和风险属性相关联。此类手动训练集还可以将特定风险分数与风险属性的不同组合相关联。训练完成后,机器学习能力可用于为未包括在训练集中的各种背景产生风险过程,并使用新类型的风险属性,诸如与新类型的受管理数据源相关联的风险级别,或与新类型的物理位置相关联的风险级别,或与指定与用户相关联的风险级别的新度量相关联的风险级别。
在460处,可利用与请求相关联的所产生的风险分数来确定支持符合请求的工作区的安全特性。例如,最低风险分数可与受信任位置处的已识别IHS的经认证用户的请求相关联,其中所述请求寻求访问诸如web浏览器、游戏应用或流媒体播放器的应用。响应于具有此类低风险分数的请求,可选择工作区定义,所述定义指定工作区的最小隔离,对可能用于将数据传输进出工作区的协议没有限制,不需要附加认证,并且对将数据传递进出工作区没有限制。中等风险分数可与位于用户工作地附近的未识别位置处的已标识IHS的经认证用户对定期访问的数据的请求相关联。在这种场景中,可以选择工作区定义,所述定义指定工作区的最小隔离但对必须利用的加密级别提出要求并且需要用户的定期重新认证。在较高风险场景中,同一用户现在可能在处于位于另一国家的未识别的位置时请求访问很少使用的财务信息。在此类场景中,可以选择工作区定义,所述工作区定义指定更大程度的隔离,对加密的使用施加严格要求,需要使用附加认证因素确认用户的身份,并要求对用户进行定期认证,并且要求用户保持靠近IHS。较新的用户利用未被识别或无法验证为使用非妥协硬件的IHS可呈现较高风险场景。此类风险分数可与工作区定义相关联,所述工作区定义要求工作区使用安全和隔离的存储器。已识别用户在利用来自未识别位置的未识别IHS时请求访问高风险数据也可呈现高风险场景。在此类场景中,可以选择工作区定义,所述工作区定义需要最大程度地隔离工作区,其中在云资源上实例化工作区,并且仅经由IHS提供所请求数据的不可变图像,并且需要最大程度地使用可用认证因素,以积极地确认用户的身份。
以这种方式,可在选择工作区定义时利用风险分数,所述工作区定义提供适合于其中将使用受管理数据或其他资源的背景的保护。因此,以这种方式产生的工作区有助于在风险级别较低的场景中为用户提供最大的生产效率,并在与请求相关联的风险级别增加时适当降低生产效率,以便强制执行附加的安全要求。在确定符合用户请求的工作区的安全要求并产生指定安全要求的工作区定义后,在465处,工作区编排服务可将工作区定义传输到IHS,其中所述定义可由本地管理代理用于构建和操作工作区,所述工作区为用户提供对所请求数据或其他资源的访问。
图5是描述根据各种实施方案的用于在企业生产效率生态系统中持续保护动态工作区的附加过程的某些步骤的流程图。图5的实施方案可在框505处开始,其中基于工作区定义中阐述的要求,在IHS上实例化工作区,所述工作区定义是基于根据描述将在其中使用工作区的背景的风险属性计算出的风险分数而如在图4中所述选择的。在框510处,用户在使用用户请求的受管理数据或其他资源时操作工作区。由于管理工作区的操作的工作区定义是基于用户请求时的背景选择的,因此对背景的更改可改变现在与所请求数据和/或应用的持续使用相关联的风险分数。因此,在框515、520、525、530处,可检测所请求数据或其他资源的持续使用的背景中的各种变化。
例如,在框515处,工作区编排服务可以从本地管理代理接收对工作区正在其中操作的逻辑环境的改变的通知。在工作区充当IHS的操作系统内的独立应用的场景中,某些操作系统应用的初始化可能需要重新评估与经由工作区持续访问受管理数据相关联的风险。例如,工作区可为用户提供对专有技术信息(诸如CAD绘图)的访问,以及用于操纵技术信息的应用(诸如CAD应用)的使用。在接收到用户已将电子邮件应用初始化或获得对不受企业生产效率生态系统管理的数据存储区的访问的通知后,可能需要重新评估与专有技术信息的持续使用相关联的风险分数。因此,在框535处,可诸如通过升级与工作区在其中操作的逻辑环境相关联的风险级别来确定与专有技术信息的持续使用相关联的风险属性。
类似地,在框520处,可检测对附加数据或其他资源的所请求访问的检测并将其提供给工作区编排服务。在某些实例中,可产生工作区以向用户提供关于公用或其他未受保护信息的访问。然而,在检测到访问机密信息的附加用户请求时,可能需要重新评估工作区的安全要求。在另一个场景中,工作区可为用户提供对受管理数据和用于查看受管理数据的应用的访问,但是检测到对可修改受管理数据的应用的访问请求可能需要重新评估工作区安全要求。在框540处,诸如通过升级与将要经由工作区访问的数据相关联的风险级别,可为更新的数据集或正在请求的其他资源确定更新的风险属性。
在框525处,可向工作区编排服务报告对IHS的硬件身份的任何修改。例如,将可移除存储装置耦合到IHS可指示安全背景发生了变化。诸如经常使用的外部硬盘驱动器的识别的存储装置的耦合可仅导致持续数据使用的风险分数发生微小变化,而未识别的拇指驱动器的耦合可导致风险分数的显著变化。在框545处,可确定工作区在其中操作的硬件环境的更新的风险属性。在另一个示例中,检测到IHS与识别的外部显示器的耦合可导致持续数据使用的风险分数发生微小变化,而IHS与未识别的投影显示器的耦合可导致与IHS硬件身份相关联的风险属性的显著变化。如图所述,在一些实施方案中,IHS可支持硬件部件使用的固件的证明。在此类实施方案中,任何无法证明先前已验证的固件或检测到未证明的部件均可能导致IHS的硬件身份的显著变化,从而导致风险分数的巨大变化。
在框530处,可以向工作区编排服务报告在IHS的物理环境中检测到的任何变化。例如,如果IHS的传感器提供IHS正在传输的指示,则可预期安全背景基于IHS移动时可能利用的不同网络而改变。因此,从受信任网络到不受信任网络的任何改变均可导致在550处确定的与IHS所处的物理环境相关联的风险属性的显著改变。在一些实施方案中,根据实施方案配置的IHS可检测用户何时出现在IHS附近,并且还可检测到靠近IHS的附加个体的存在。在此类实施方案中,附加个体的检测以及与这些个体相关联的任何可用身份信息可被报告给工作区编排服务。在一些场景中,当在IHS附近检测到附加个体时,继续访问机密数据可取决于用户提供附加认证信息。在其他场景中,响应于在IHS附近检测到附加个体,工作区可禁止使用外部显示器。
在框560处,更新的风险属性用于根据检测到的背景变化产生对所请求数据和/或应用的持续访问的更新的风险分数。如关于图4所描述,可训练机器学习算法以基于表征各种风险属性的输入来计算数字风险核心,所述风险属性描述在其中部署或将部署工作区的背景。在框565处,基于由安全背景的改变产生的更新的风险分数来评估如由其工作区定义所指定的当前部署的工作区的安全特性。如果当前工作区定义没有为更新的风险级别提供足够的安全性,则在框570处,确定并传输更新的工作区定义以供本地管理代理在基于更新的工作区定义调适或重新初始化工作区时使用。
在各种实施方案中,可以基于用户要求和环境背景动态地创建和调整用户的工作区-这可导致更大的生产效率,但是也可通过产生更大的攻击面而增加安全风险。例如,在一些情况下,可允许用户在工作区中安装和执行未经审查应用(例如,以执行选定任务),而非仅限于已被信息技术(IT)管理者和/或工作区编排服务206审查、信任和/或推荐的应用。然而,在这些情况下,未知和/或未经审查的应用有更高概率可能会失败或妥协,从而导致工作区会话、数据和用户的生产效率的损失。
为了解决此类和其他问题,工作区编排服务206可被配置为在背景中创建替代的或并行的工作区定义(即,客户端IHS 300B的用户不知道或未请求),使得替代工作区定义与和未经审查应用相对应的经审查应用相关联或以其他方式标识所述经审查应用。在一些情况下,与用户在原始工作区中执行的未经审查应用相比,经审查应用可被自动标识,并且可具有类似(或更好)的特征来执行用户的工作负荷。例如,IT管理者可通过不断了解(例如,由组织中的员工)所使用的应用类型和与应用相关联的安全风险来维护经审查应用的清单或池,并且可以从该池自动选择经审查应用。在一些情况下,经审查应用池可为动态的,可基于应用的脆弱性或修补程度在池中添加和删除应用。
在一些实施方案中,未经审查应用可以包括在与工作区定义相关联或作为工作区定义的一部分的黑名单(例如,禁止应用清单)上标识的任何软件应用。在其他实施方式中,未经审查应用可以包括在与工作区定义相关联或作为工作区定义的一部分的白名单(例如,允许的应用的排他性清单)中未标识或缺失的任何软件应用。另外或替代地,未经审查应用也可为所述应用的已知未修补版本。
当具有未经审查应用的用户的原始工作区妥协或失败时,其可触发包括对应受信任或经审查应用的标识的新工作区定义的创建。另外或替代地,用于发起工作区过渡或迁移的标准可为原始工作区的安全风险分数的增加,这可通过观察工作区行为或工作区相对于基线或阈值的大变化来计算。
此外,所有(或所有的子集)用户动作、数据和目标可从原始工作区复制或克隆,并用于在新工作区定义中创建或填充属性值。可使用新工作区定义来实例化新工作区,并且用户可平稳地过渡或迁移到新工作区,其中安装或执行经审查应用,并且紧接在触发时间之前具有与原始工作区相同或相似的会话状态。
当用户从不受信任工作区(即,已妥协或具有高于阈值的安全风险分数的工作区)过渡到受信任工作区(即,为经审查应用构建的并行替代工作区)时,用户不会丢失任何数据或动作,并且会话可在两个工作区之间继续或输送,而不会损失生产效率。
在一些情况下,可以评估原始的已妥协工作区,以标识失败原因。例如,原始工作区的快照可在原始工作区的生命周期期间的多个点处拍摄,例如,当安全风险分数超过一个或多个阈值的集合中的任一者时拍摄。此类快照可用于使用ML或AI算法对已妥协工作区进行安全分析,和/或用于在发生失败或妥协时自动回退以更快补救。
另一方面,如果尽管执行了未经审查应用,原始工作区在工作区会话结束和/或未经审查应用关闭之前也没有失败或没有妥协,则不会发生过渡或迁移。此外,该信息(例如,对执行成功的统计指示)随后可被IT管理用来降低所述未经审查应用的安全风险分数,并且例如,在从生产效率和安全的角度进行评估之后,最终将其移入经审查应用池。
因而,本文描述的系统和方法可使得能够创建具有经审查应用的替代并行工作区定义,以便在原始的不受信任工作区的安全妥协、失败或安全风险分数增加的情况下进行快速置换。此外,这些系统和方法还可使得能够将用户动作和数据以及生产效率和安全目标从原始工作区克隆到替代工作区,以实现两个工作区之间的会话的无摩擦迁移。
图6是描绘用于工作区连续性和补救的方法的示例的图式。在各种实施方案中,方法600可通过工作区编排服务206与本地管理代理332之间的协调来执行。具体地,在601处,工作区编排服务206创建第一工作区定义(“Z”)。在一些情况下,第一工作区定义可作为属性列出,或以其他方式与未经审查或不受信任的应用相关联(例如,当应用是用户产生访问请求的一部分时)。在其他情况下,第一工作区定义可能没有限制用户在实例化的工作区中执行任何未经审查应用的任何属性。
由于客户端IHS 300B基于第一工作区定义对第一工作区的实例化,所得工作区602允许未经审查应用的安装或执行。然后,在603处,响应于未经审查应用的执行,本地管理代理332检测复制或克隆的工作区会话数据并将其传输到工作区编排服务206,所述工作区会话数据包括但不限于:用户动作(例如,敲键、点击、命令、菜单选择等)、数据背景(例如,数据文件的标识、数据文件内的数据的当前状态等)、生产效率目标和安全目标。响应于接收到复制或克隆的会话数据,工作区编排服务206在608处创建第二工作区定义(“A”),所述第二工作区定义标识与第一工作区的未经审查或不受信任的应用相对应的(例如,选自经审查应用池的)经审查或受信任应用。
在一些实施方案中,经审查和未经审查应用可各自由不同的软件开发商提供,但两个应用可被标识为相同类型(例如,两个不同的web浏览器、两个不同的电子邮件客户程序、两个不同的文档处理器、两个不同的媒体编辑器等)。结果,两个应用可执行类似操作来执行或促进用户的工作负荷。例如,不同的web浏览器可以根据相同的命令或特征(例如,后退、前进、主页、收藏、历史等)呈现web内容,然后所述命令或特征可作为工作区会话数据的用户动作部分进行捕获,并且在web浏览器之间进行转换以实现无摩擦迁移。
当不受信任工作区607的安全风险分数增加到阈值以上,和/或工作区失败或已妥协时,客户端IHS 300B的本地管理代理332向工作区编排服务206发出快速置换请求。工作区编排服务206在609处传输一个或多个其他文件或策略,所述一个或多个其他文件或策略被配置为使本地管理代理332能够基于第二工作区定义实例化第二工作区,使得第二工作区定义允许立即执行与未经审查应用相对应的经审查应用。此外,在609处,先前由工作区编排服务206收集的会话数据也可传输到本地管理代理332以维持会话连续性。
***
如上所述,可基于分别从初始生产效率和安全背景产生的初始生产效率和安全目标来创建用户的工作区。通常,当用户在工作区中执行动作时,生产效率和/或安全背景会发生变化,进而可触发生产效率和安全目标的重新计算以及修改后的工作区定义的创建。在用户处理机密数据的情况下,例如,即使背景中的无意或意外更改,诸如安装插件或更改网络配置或外围装置的附接,也可增加工作区的安全风险,因此增加攻击面。然而,存在多种场景,其中用户可能需要仅执行特定任务,并且偏离预定义的背景会导致状态和安全威胁计算不准确。
例如,当用户在工作区中打开文档时,工作区定义可以描述:打开文档所需的应用、从工作区到共享存储的连接以保存对文档所做的更改、打开文档所需的认证级别,等等。当用户以工作区定义不允许的方式(例如通过安装应用插件或宏)更改背景时,可能需要通过以实现会话连续性的方式重新使用初始工作区定义和工作区的当前状态来触发工作区的恢复。该特殊的自保护和/或自刷新操作模式可有效地维持恒定的已知背景,并且具有有限的允许变化以安全地执行特定任务。
此类特殊操作模式有利的另一场景是工作区具有安装和运行的防病毒程序或服务,并且可通过重新实例化具有相同背景的相同工作区来检测和防止篡改防病毒软件(例如,通过恶意软件)。
因而,在各种实施方案中,本文描述的系统和方法可创建特殊的操作模式,其中背景的修改导致工作区的终止和使用初始工作区定义的相同工作区的另一实例的部署。以这种方式,尽管背景中发生了未经授权的改变,但是仍可维持安全地执行任务的相同软件和硬件背景。
在一些情况下,当工作区定义规定了特殊的操作模式时,所得工作区(例如,在存储器中)可划分为静态或必要工作区部分和动态或可变工作区部分。例如,这些部分可通过作为工作区定义的一部分的存储器地址来指定。工作区的必要部分可用于导出加密密钥(例如,对称密钥)以加密工作区控制器服务,这保持工作区运行。维持工作区的相同静态部分导致导出相同的密钥。然而,静态部分的更改导致导出不正确的密钥,这然后触发工作区的重新实例化。
图7是描绘用于自保护和自刷新工作区的方法的示例的图式。在各种实施方案中,方法700可通过工作区编排服务206与本地管理代理332之间的协调来执行。具体地,在701处,工作区编排服务206使用初始安全和生产效率目标创建初始工作区定义701。在“状态A”702处,本地管理代理332接收工作区定义,实例化工作区,标识静态工作区部分和动态工作区部分,并使用静态工作区部分导出金密钥(例如,对称加密密钥)。
在“状态B”703处,本地管理代理332通过基于静态工作区部分重新导出相同密钥并通过检查以确保密钥没有改变来继续执行工作区背景的本地验证。该操作可以在编排服务206请求时和/或在检测到预定事件时周期性地执行。
在“状态Z”704处,在密钥验证操作期间,本地管理代理332导出与原始密钥不同的密钥,因此指示静态工作区部分已经改变。作为响应,在705处,本地管理代理332通过从用户撤回对工作区的访问、向编排服务206传输指示验证失败的消息、传输工作区的动态部分的内容以继续会话和/或终止工作区来发起失败事件。然而,在其他实施方案中,工作区编排服务206可以在没有本地管理代理332的肯定指示的情况下独立地确定工作区验证失败(例如,在工作区由于其自终止而无法向工作区编排服务206发送消息的情况下)。
工作区编排服务206的处理操作706产生初始工作区定义707的另一实例并且在708处将定义和工作区的动态部分的内容的副本发送到本地管理代理332,这导致无摩擦工作区恢复在709处由本地管理代理332重建状态A之前发生。
为了示出上述内容,图8A将客户端IHS 100的存储器中的状态A702表示为总工作区800A。工作区控制器部分801(即,核心资源)占用第一存储器地址范围,静态工作区部分802占用第二存储器地址范围,并且动态工作区部分803占用第三存储器地址范围。从静态部分802获得的工作区背景804的初始哈希用于(例如,使用密钥导出函数或“KDF”)导出初始密钥805,并且该密钥用于加密806总工作区800A的至少一部分(例如,工作区控制器部分801)。
图8B将客户端IHS 100的存储器中的状态B 703表示为总工作区800B,其在工作区会话期间跟随状态A702。工作区控制器部分801占用第一存储器地址范围,静态工作区部分802占用第二存储器地址范围,并且动态工作区部分803占用第三存储器地址范围。从静态部分802获得的工作区背景807的后续哈希用于导出后续密钥808,并且后续密钥继而用于成功解密809总工作区800B的至少一部分(例如,工作区控制器部分801)。
图8C将客户端IHS 100的存储器中的状态Z 704表示为总工作区800Z,其在工作区会话期间跟随状态A703。同样,工作区控制器部分801占用第一存储器地址范围,静态工作区部分802占用第二存储器地址范围,并且动态工作区部分803占用第三存储器地址范围。然而,与图8B相比,此处的静态或必要工作区部分802已被修改,因此导致状态改变816。
因此,在图8C中,使用从修改的静态部分810获得的工作区背景811的哈希导出修改的密钥812,并且当使用修改的密钥尝试解密813整个工作区800B的至少一部分(例如,工作区控制器部分801)时,解密过程失败。另外或替代地,可将修改的密钥或哈希与原始密钥或其他实例进行比较,使得可以标识差异。此外,工作区可在814处终止,并且可在815处将失败事件消息以及动态或可变工作区状态的副本发送到工作区编排服务206。
在一些情况下,失败的工作区可以包括专用于发送失败事件的未加密的错误处置代码部分。另外或替代地,工作区编排服务206可检测失败事件,这允许传输失败事件,或者工作区编排服务206通过标识不存在操作工作区而检测出失败工作区,而无需传输事件。例如,在无传输发生的情况下,后者可能很有用,因为更改的工作区解密密钥使工作区无法执行任何进一步动作,包括发送事件。
因而,在各种实施方案中,本文描述的系统和方法可提供特殊的自保护和/或自刷新操作模式,所述模式使用一个或多个背景导出的加密密钥来执行工作区的初始化和维护。这些系统和方法可在生产效率或安全工作区状态改变时使用原始工作区定义触发工作区的重新创建,例如,以便允许用户安全地执行特定操作或任务。
应当理解,本文描述的各种操作可以在由处理电路执行的软件、硬件或其组合中实施。可以改变执行给定方法的每个操作的顺序,并且可以添加、重新排序、组合、省略、修改各种操作等。本文描述的发明意图包括所有此类修改和改变,因此,上述描述应被视为说明性的而非限制性的。
如本文中所使用,术语“有形”和“非暂时性”意图描述不包括传播电磁信号的计算机可读存储介质(或“存储器”);但是不意图以其他方式限制由短语计算机可读介质或存储器涵盖的物理计算机可读存储装置的类型。例如,术语“非暂时性计算机可读介质”或“有形存储器”意图涵盖不必永久地存储信息的存储装置类型,包括例如RAM。以非暂时性形式存储在有形计算机可访问存储介质上的程序指令和数据可在之后通过诸如电信号、电磁信号或数字信号的传输介质或信号传输,所述传输介质或信号可以经由诸如网络和/或无线链路的通信介质传达。
尽管在本文参考特定实施方案描述了本发明,但是在不脱离本发明的范围的情况下可以进行各种修改和改变,如所附权利要求所述。因此,说明书和附图应被视为说明性的而非限制性的,并且所有此类修改意图包括在本发明的范围内。本文关于特定实施方案描述的问题的任何益处、优点或解决方案不意图被解释为任何或所有权利要求的关键、必需或必要的特征或要素。
除非另有说明,否则使用诸如“第一”和“第二”的术语来任意区分此类术语所描述的元件。因此,这些术语不一定意图指示此类元件的时间或其他优先级排序。术语“耦合”或“可操作地耦合”被定义为连接,尽管不一定是直接连接并且也不一定是机械连接。除非另有说明,否则术语“一个”和“一种”被定义为一个/种或多个/种。术语“包括(comprise)”(以及包括的任何形式,诸如“包括(comprises)”和“包括(comprising)”)、“具有(have)”(以及具有的任何形式,诸如“具有(has)”和“具有(having)”)、“包括(include)”(以及包括的任何形式,诸如“包括(includes)”和“包括(including)”),或“含有(contain)”(以及含有的任何形式,诸如“含有(contains)”和“含有(containing)”)为开放式的连系动词。结果,“包括(comprises)”、“具有”、“包括(includes)”或“含有”一个或多个元件的系统、装置或设备拥有那些一个或多个元件,但不限于仅拥有那些一个或多个元件。类似地,“包括(comprises)”、“具有”、“包括(includes)”或“含有”一个或多个操作的方法或过程拥有那些一个或多个操作,但不限于仅拥有那些一个或多个操作。
Claims (20)
1.一种信息处置系统(IHS),所述IHS包括:
处理器;以及
存储器,所述存储器耦合到所述处理器,所述存储器上存储有程序指令,所述程序指令在执行时使所述IHS:
从工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得客户端IHS能够基于工作区定义而实例化工作区;
确定所述客户端IHS的背景已被修改;
响应于所述确定,终止所述工作区;以及
从所述工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得所述客户端IHS能够基于所述工作区定义而重新实例化工作区。
2.根据权利要求1所述的IHS,其中为了确定所述客户端IHS的所述背景已被修改,所述程序指令在执行时进一步使所述客户端IHS:
基于工作区状态的静态部分导出密钥;
使用所述密钥来加密存储器;
基于所述工作区状态的修改后的静态部分导出另一密钥;以及
无法使用所述另一密钥来解密所述存储器。
3.根据权利要求2所述的IHS,其中所述工作区定义标识所述工作区状态的所述静态部分的存储器地址。
4.根据权利要求2所述的IHS,其中所述工作区编排服务被配置为检测失败事件并接收所述工作区状态的可变部分的副本。
5.根据权利要求4所述的IHS,其中所述程序指令在执行时进一步使所述IHS从所述工作区编排服务接收所述工作区状态的所述可变部分的另一副本。
6.根据权利要求2所述的IHS,其中所述工作区的所述静态部分响应于在所述工作区中安装软件而变成所述工作区的所述修改后的静态部分。
7.根据权利要求2所述的IHS,其中所述工作区的所述静态部分响应于所述工作区中执行或安装的入侵软件进行的篡改而变成所述工作区的所述修改后的静态部分。
8.一种存储器存储装置,所述存储器存储装置上存储有程序指令,所述程序指令在由信息处置系统(IHS)执行时使所述IHS:
从工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得客户端IHS能够基于工作区定义而实例化工作区;
确定所述客户端IHS的背景已被修改;
响应于所述确定,终止所述工作区;以及
从所述工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得所述客户端IHS能够基于所述工作区定义而重新实例化工作区。
9.根据权利要求8所述的存储器存储装置,其中所述程序指令在执行时进一步使所述IHS:
基于工作区状态的静态部分导出密钥;
使用所述密钥来加密存储器;
基于所述工作区状态的修改后的静态部分导出另一密钥;以及
无法使用所述另一密钥来解密所述存储器。
10.根据权利要求8所述的存储器存储装置,其中所述工作区定义标识所述工作区状态的所述静态部分的存储器地址。
11.根据权利要求8所述的存储器存储装置,其中所述程序指令在执行时进一步使所述IHS向所述工作区编排服务传输所述工作区状态的可变部分的副本。
12.根据权利要求11所述的存储器存储装置,其中所述程序指令在执行时进一步使所述IHS从所述工作区编排服务接收所述工作区状态的所述可变部分的另一副本。
13.根据权利要求8所述的存储器存储装置,其中所述工作区的所述静态部分响应于在所述工作区中安装软件而变成所述工作区的所述修改后的静态部分。
14.根据权利要求8所述的存储器存储装置,其中所述工作区的所述静态部分响应于所述工作区中执行或安装的入侵软件进行的篡改而变成所述工作区的所述修改后的静态部分。
15.一种方法,包括:
从工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得客户端IHS能够基于工作区定义而实例化工作区;
基于工作区状态的静态部分导出密钥;
使用所述密钥来加密存储器;
基于所述工作区状态的修改后的静态部分导出另一密钥;
无法使用所述另一密钥来解密所述存储器;
响应于失败,终止所述工作区;以及
从所述工作区编排服务接收一个或多个文件或策略,所述一个或多个文件或策略被配置为使得所述客户端IHS能够基于所述工作区定义而重新实例化工作区。
16.根据权利要求15所述的方法,其中所述工作区定义标识所述工作区状态的所述静态部分的存储器地址。
17.根据权利要求15所述的方法,其还包括向所述工作区编排服务传输所述工作区状态的可变部分的副本。
18.根据权利要求17所述的方法,其中所述程序指令在执行时进一步使所述IHS从所述工作区编排服务接收所述工作区状态的所述可变部分的另一副本。
19.根据权利要求15所述的方法,其中所述工作区的所述静态部分响应于在所述工作区中安装软件而变成所述工作区的所述修改后的静态部分。
20.根据权利要求15所述的方法,其中所述工作区的所述静态部分响应于所述工作区中执行或安装的入侵软件进行的篡改而变成所述工作区的所述修改后的静态部分。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/123,814 US11659005B2 (en) | 2020-12-16 | 2020-12-16 | Systems and methods for self-protecting and self-refreshing workspaces |
| US17/123,814 | 2020-12-16 | ||
| PCT/US2021/029737 WO2022132216A1 (en) | 2020-12-16 | 2021-04-28 | Systems and methods for self-protecting and self-refreshing workspaces |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116569138A true CN116569138A (zh) | 2023-08-08 |
Family
ID=81941755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180082837.3A Pending CN116569138A (zh) | 2020-12-16 | 2021-04-28 | 用于自保护和自刷新工作区的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11659005B2 (zh) |
| EP (1) | EP4264424A1 (zh) |
| CN (1) | CN116569138A (zh) |
| TW (1) | TWI794872B (zh) |
| WO (1) | WO2022132216A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220237309A1 (en) * | 2021-01-26 | 2022-07-28 | EMC IP Holding Company LLC | Signal of risk access control |
| US20220263833A1 (en) * | 2021-02-16 | 2022-08-18 | ForgeRock, Inc. | Authentication and access management for heterogeneous sources of anomaly detection data |
| US11706130B2 (en) * | 2021-07-19 | 2023-07-18 | Cisco Technology, Inc. | Root-causing user experience anomalies to coordinate reactive policies in application-aware routing |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030037237A1 (en) * | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
| TWI304019B (en) | 2006-01-25 | 2008-12-11 | Beltom Technology Corp | Printing production system and printing implementation method and schedule control method |
| US11287939B2 (en) * | 2008-10-09 | 2022-03-29 | Aristocrat Technologies Australia Pty Limited | Gaming system and gaming system processor module |
| US8738932B2 (en) * | 2009-01-16 | 2014-05-27 | Teleputers, Llc | System and method for processor-based security |
| US9124640B2 (en) * | 2011-08-09 | 2015-09-01 | CloudPassage, Inc. | Systems and methods for implementing computer security |
| US9081750B2 (en) * | 2012-02-29 | 2015-07-14 | Red Hat, Inc. | Recovery escalation of cloud deployments |
| US9531547B2 (en) * | 2015-04-06 | 2016-12-27 | Vmware, Inc. | Host-based digital signature verification for guest components |
| US10275272B2 (en) * | 2016-06-20 | 2019-04-30 | Vmware, Inc. | Virtual machine recovery in shared memory architecture |
| US10484177B2 (en) * | 2017-07-10 | 2019-11-19 | Dell Products, Lp | Method and apparatus for generation of a time-based one-time password for session encryption of sensor data gathered in low-performance and IOT environments |
| US11048551B2 (en) * | 2018-04-25 | 2021-06-29 | Dell Products, L.P. | Secure delivery and deployment of a virtual environment |
| US10855619B1 (en) | 2019-10-31 | 2020-12-01 | Dell Products, L.P. | Systems and methods for dynamic adjustment of workspaces based on available local hardware |
-
2020
- 2020-12-16 US US17/123,814 patent/US11659005B2/en active Active
-
2021
- 2021-04-28 EP EP21907346.7A patent/EP4264424A1/en active Pending
- 2021-04-28 WO PCT/US2021/029737 patent/WO2022132216A1/en active Application Filing
- 2021-04-28 CN CN202180082837.3A patent/CN116569138A/zh active Pending
- 2021-07-08 TW TW110125115A patent/TWI794872B/zh active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022132216A1 (en) | 2022-06-23 |
| EP4264424A1 (en) | 2023-10-25 |
| TW202225966A (zh) | 2022-07-01 |
| US20220191247A1 (en) | 2022-06-16 |
| US11659005B2 (en) | 2023-05-23 |
| TWI794872B (zh) | 2023-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11843509B2 (en) | Systems and methods for workspace continuity and remediation | |
| US11316902B2 (en) | Systems and methods for securing a dynamic workspace in an enterprise productivity ecosystem | |
| US11727122B2 (en) | Systems and methods for endpoint context-driven, dynamic workspaces | |
| US11657126B2 (en) | Systems and methods for dynamic workspace targeting with crowdsourced user context | |
| US11522883B2 (en) | Creating and handling workspace indicators of compromise (IOC) based upon configuration drift | |
| US11659005B2 (en) | Systems and methods for self-protecting and self-refreshing workspaces | |
| US11762750B2 (en) | Systems and methods for modernizing workspace and hardware lifecycle management in an enterprise productivity ecosystem | |
| US11720700B2 (en) | Systems and methods for securely deploying a collective workspace across multiple local management agents | |
| US11586738B2 (en) | Systems and methods for evaluating security risks using a manufacturer-signed software identification manifest | |
| US11720682B2 (en) | Systems and methods for bare-metal or pre-boot user-machine authentication, binding, and entitlement provisioning | |
| US11336655B2 (en) | Multilevel authorization of workspaces using certificates | |
| US20230063135A1 (en) | Trusted local orchestration of workspaces | |
| US20230153426A1 (en) | Hardware-based protection of application programming interface (api) keys | |
| US20220200796A1 (en) | Multilayer encryption for user privacy compliance and corporate confidentiality | |
| US20230153150A1 (en) | Systems and methods for migrating users and modifying workspace definitions of persona groups | |
| US20220191239A1 (en) | Fleet remediation of compromised workspaces | |
| US20230195904A1 (en) | Architecture swapping for workspaces |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |