CN116615714A - 基于配置漂移而创建和处置工作空间入侵指标(ioc) - Google Patents
基于配置漂移而创建和处置工作空间入侵指标(ioc) Download PDFInfo
- Publication number
- CN116615714A CN116615714A CN202180085130.8A CN202180085130A CN116615714A CN 116615714 A CN116615714 A CN 116615714A CN 202180085130 A CN202180085130 A CN 202180085130A CN 116615714 A CN116615714 A CN 116615714A
- Authority
- CN
- China
- Prior art keywords
- workspace
- ihs
- configuration
- user
- orchestration service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 57
- 230000008859 change Effects 0.000 claims abstract description 34
- 230000004044 response Effects 0.000 claims abstract description 27
- 230000009471 action Effects 0.000 claims abstract description 16
- 230000005055 memory storage Effects 0.000 claims abstract description 10
- 238000009434 installation Methods 0.000 claims description 11
- 230000002093 peripheral effect Effects 0.000 claims description 8
- 238000011156 evaluation Methods 0.000 claims description 5
- 238000007726 management method Methods 0.000 description 88
- 238000003860 storage Methods 0.000 description 48
- 230000008569 process Effects 0.000 description 25
- 238000012544 monitoring process Methods 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 16
- 238000010801 machine learning Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 15
- 238000004458 analytical method Methods 0.000 description 13
- 238000001514 detection method Methods 0.000 description 11
- 238000002955 isolation Methods 0.000 description 10
- 238000012546 transfer Methods 0.000 description 9
- 238000013473 artificial intelligence Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000000926 separation method Methods 0.000 description 7
- 230000008878 coupling Effects 0.000 description 6
- 238000010168 coupling process Methods 0.000 description 6
- 238000005859 coupling reaction Methods 0.000 description 6
- 238000012549 training Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 244000035744 Hura crepitans Species 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000036541 health Effects 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 230000000670 limiting effect Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000036961 partial effect Effects 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 230000008439 repair process Effects 0.000 description 3
- 238000012954 risk control Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000000007 visual effect Effects 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000013479 data entry Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 230000000750 progressive effect Effects 0.000 description 2
- 238000011867 re-evaluation Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000005355 Hall effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000004873 anchoring Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000981 bystander Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000002459 sustained effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 239000010409 thin film Substances 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45575—Starting, stopping, suspending or resuming virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
描述了用于基于配置漂移而创建和处置工作空间入侵指标(IOC)的系统和方法。在一些实施方案中,一种存储器存储装置可在上面存储有程序指令,所述程序指令在由工作空间编排服务的信息处置系统(IHS)的一个或多个处理器执行时使所述IHS:在工作空间编排服务处从客户端IHS接收配置信息,其中所述配置信息表示由所述客户端IHS执行的工作空间的配置的变化,并且其中所述工作空间基于由所述工作空间编排服务提供的工作空间定义而实例化;由所述工作空间编排服务确定所述配置信息与IOC匹配;以及从所述工作空间编排服务向所述客户端IHS传输响应于所述IOC而执行动作的指令。
Description
技术领域
本公开总体涉及信息处置系统(IHS),并且更具体地涉及用于基于配置漂移而创建和处置工作空间入侵指标(IOC)的系统和方法。
背景技术
随着信息的价值和使用不断增加,个体和企业寻求另外的方式来处理和存储信息。一个选项是信息处置系统(IHS)。IHS通常处理、编译、存储和/或传达用于商业、个人或其他目的的信息或数据。由于技术和信息处置需求和要求在不同应用之间可能有所不同,因此IHS也可关于以下方面有所不同:处置什么信息,如何处理信息,处理、存储或传达多少信息以及可如何快速且高效地处理、存储或传达信息。IHS中的变化允许IHS是通用的或者针对特定用户或特定用途(诸如金融交易处理、航班预订、企业数据存储、全球通信等)进行配置。另外,IHS可包括可被配置为处理、存储和传达信息的各种硬件和软件部件,并且可包括一个或多个计算机系统、数据存储系统和联网系统。
IHS为用户提供访问、创建和操纵数据的能力,并且通常实施各种安全协议以便保护这种数据。从历史上来看,IHS已经被设计成实施安全范式,所述安全范式将所述IHS与可能的安全威胁隔离,这很像设计和建造城堡来护卫其墙内的人员。在IHS的网络的情况下,例如,安全系统实施将整个网络与威胁隔离的策略。实际上,会围绕整个网络构建一组城堡墙。当在此类系统的墙内工作时,可为用户提供安全而有效的数据使用。
然而,将受保护数据隔离在城堡的墙内的安全范式不断地因现代计算的现实而受阻。现今,当位于各个物理位置时,用户期望使用大量不同的IHS来访问受保护数据。为了利用提供数据访问的系统的安全性,当前用于支持远程访问的协议已经试图将系统的防御扩展到远程IHS,这本质上是扩展城堡墙以暂时包括远程IHS的全部或一部分。
现代计算的另一个复杂之处是用户期望其能够利用他们自身的个人IHS来访问其一些或所有受保护数据,即使为这些用户提供了企业发放的IHS来访问所述受保护数据也是如此。对于此类系统的管理员来说,这增加了确保访问受保护数据可用的所有方式安全的难度。由于需要支持使用一系列不断增加的软件应用程序来访问受保护数据(不管是在个人IHS上还是在企业发放的IHS上),大大地加剧了这一难度。此外,由于需要支持从各个物理位置经由包括不可信网络的各种网络来访问受保护数据,进一步复杂化了此类系统的管理。面临着此类问题,用于提供对受保护数据的访问的系统管理起来往往很繁重,并且最终,无法充分地保护所述数据来促成其有效使用。
一种已知的用于确保安全访问经由IHS访问的受保护数据的技术是将数据隔离在使用虚拟机或容器而在IHS上运行的隔绝或虚拟化环境内。常规的虚拟化环境类型提供与IHS的硬件和操作系统的不同程度的隔离。然而,类似于试图将受保护数据隔离在安全边界内的安全范式的城堡墙防御,常规的虚拟化环境也不适应现代计算。特别地,这些虚拟化技术在IHS上建立了仅允许用户访问被批准用于该用户的数据和应用程序的隔离的计算环境。
在一些情况下,常规的虚拟化技术可仅基于用户的身份而确定将提供在IHS上的数据、应用程序和保护,并且因此倾向于实施确保安全访问所有批准数据和应用程序将所需的所有安全协议。然而,如发明人认识到的,这不仅导致了消耗IHS的大部分存储器和处理能力的复杂的虚拟化工作,而且常规技术无法考虑到用户在操作IHS时实际上意图做什么。
如发明人进一步认识到的,现代计算应当使得用户能够经由各种IHS在几乎任何位置处访问受保护数据。常规虚拟化还无法考虑到在特定会话期间正使用IHS的特定上下文,更无法考虑到在会话期间使用IHS的上下文的变化。另外,常规的虚拟化技术倾向于对许多实际上未被使用的能力提供支持。提供此类不必要的能力所需的开销给IHS的操作带来了过重的负担并且降低了生产力和用户体验。
发明内容
描述了用于基于配置漂移而创建和处置工作空间入侵指标(IOC)的系统和方法。在一个说明性非限制性实施方案中,一种存储器存储装置可在上面存储有程序指令,所述程序指令在由工作空间编排服务的信息处置系统(IHS)的一个或多个处理器执行时使所述IHS:在工作空间编排服务处从客户端IHS接收配置信息,其中所述配置信息表示由所述客户端IHS执行的工作空间的配置的变化,并且其中所述工作空间基于由所述工作空间编排服务提供的工作空间定义而实例化;由所述工作空间编排服务确定所述配置信息与IOC匹配;以及从所述工作空间编排服务向所述客户端IHS传输响应于所述IOC而执行动作的指令。
所述配置信息可包括以下各者中的至少一者的值:虚拟专用网络(VPN)、防火墙、数据加密、网络安全、网络速度、数据位置、安装的应用程序版本、反恶意软件、装置性能、装置配置、附设外围设备、用户认证、主应用程序安装状态、或基本输入/输出系统(BIOS)配置。所述IOC可为多个IOC中的一个,并且每个IOC可包括配置变化链。所述配置信息可表示比所述IOC中的配置变化总数更少的变化。
所述配置变化链可能够由所述工作空间编排服务使用来预测所述工作空间正发展为或已经遭受安全入侵。在接收到所述配置信息之前,所述工作空间编排服务可被配置为基于对先前配置变化的评估而生成所述IOC。响应于所述IOC而执行所述动作的所述指令可包括终止所述工作空间的指令。另外地或可替代地,响应于所述IOC而执行所述动作的所述指令可包括基于新的工作空间定义而实例化新的工作空间的指令。
在另一个说明性非限制性实施方案中,一种IHS可包括处理器和耦接到所述处理器的存储器,所述存储器上存储有程序指令,所述程序指令在执行时使所述IHS:将配置信息传输给工作空间编排服务,其中所述配置信息表示由所述IHS执行的工作空间的配置的变化,并且其中所述工作空间基于由所述工作空间编排服务提供的工作空间定义而实例化;以及从所述工作空间编排服务接收响应于入侵指标(IOC)而执行动作的指令,所述IOC由所述工作空间编排服务基于所述配置信息而识别。
在又一个说明性实施方案中,一种方法可包括:在工作空间编排服务处从IHS接收配置信息,其中所述配置信息表示由所述IHS执行的工作空间的配置的变化,并且其中所述工作空间基于由所述工作空间编排服务提供的工作空间定义而实例化;由所述工作空间编排服务确定所述配置信息与多个IOC中的给定IOC匹配,其中所述给定IOC包括配置变化链;以及响应于所述确定而从所述工作空间编排服务向所述IHS传输以下这样的至少一个指令:(a)终止所述工作空间;或(b)基于新的工作空间定义而实例化新的工作空间。
附图说明
本发明通过举例来说明并且不限于附图,在附图中,相似的附图标记指示相似的元件。附图中的元件为了简单和清楚起见而示出,并且不一定按比例绘制。
图1是示出根据各种实施方案的被配置为使企业生产力生态系统中的工作空间和硬件生命周期管理现代化的IHS的部件的示例的图。
图2是示出根据各种实施方案的用于使企业生产力生态系统中的工作空间和硬件生命周期管理现代化的方法的示例的图。
图3A和图3B是示出根据各种实施方案的被配置为使企业生产力生态系统中的工作空间和硬件生命周期管理现代化的系统的示例的图。
图4是描述根据各种实施方案的用于确保企业生产力生态系统中的动态工作空间安全的过程的某些步骤的流程图。
图5是描述根据各种实施方案的用于持续确保企业生产力生态系统内的动态工作空间安全的过程的某些步骤的流程图。
图6是根据各种实施方案的用于基于配置漂移而创建和处置工作空间入侵指标(IOC)的方法的示例的图。
具体实施方式
出于本公开的目的,IHS可包括任何工具或工具集合,所述任何工具或工具集合可操作来计算(compute)、计算(calculate)、确定、分类、处理、传输、接收、检索、创始、切换、存储、显示、传达、表明、检测、记录、再现、处置或利用用于商业、科学、控制或其他目的的任何形式的信息、情报或数据。例如,IHS可为个人计算机(例如,台式计算机或膝上型计算机)、平板计算机、移动装置(例如,个人数字助理(PDA)或智能手机)、服务器(例如,刀片式服务器或机架式服务器)、网络存储装置或任何其他合适的装置,并且大小、形状、性能、功能和价格可能会有所不同。下文更详细地描述了IHS的示例。图1示出了被配置为实施某些描述的实施方案的IHS的各种内部部件。应当了解,尽管本文描述的某些实施方案可在个人计算装置的上下文中讨论,但是其他实施方案可利用各种其他类型的IHS。
图1是示出被配置用于确保企业生产力生态系统中的动态工作空间安全的示例IHS 100的部件的图。在一些实施方案中,IHS 100可被采用来实例化、管理和/或终止工作空间,诸如安全环境,所述安全环境可为IHS 100的用户提供对诸如受保护企业数据的受管理资源的访问,同时将企业数据与由IHS 100执行的操作系统(OS)和其他应用程序隔离。在一些实施方案中,用于特定目的和用于特定上下文的工作空间的构建可由工作空间编排服务相对于IHS 100远程地编排,诸如关于图2和图3所描述。在一些实施方案中,工作空间编排的部分可结合远程工作空间编排服务的操作一起在IHS 100上本地地执行。IHS 100可配置有程序指令,所述程序指令在执行时使IHS 100执行本文公开的各种操作中的一个或多个。在一些实施方案中,IHS 100可为可包括任何数量的相互处于网络通信的类似配置的IHS的较大企业系统的一个元素。
如图1所示,IHS 100包括一个或多个处理器101,诸如中央处理单元(CPU),所述一个或多个处理器可操作来执行从系统存储器105检索的代码。尽管IHS 100被示出为具有单个处理器,但是其他实施方案可包括两个或更多个处理器,每个处理器可相同地配置,或者提供专门的处理功能。处理器101可包括能够执行程序指令的任何处理器,诸如INTELPENTIUM系列处理器或实施各种指令集架构(ISA)(诸如x86、或/>ISA、或任何其他合适的ISA)中的任一者的任何通用或嵌入式处理器。在图1的实施方案中,处理器101包括可直接在处理器101的电路内实施的集成存储器控制器118,或者存储器控制器118可为位于与处理器101相同的管芯上的单独的集成电路。存储器控制器118可被配置为管理经由高速存储器接口104进出IHS 100的系统存储器105的数据传递。
经由存储器总线104耦接到处理器101的系统存储器105为处理器101提供高速存储器,所述高速存储器可用于由处理器101执行计算机程序指令。因此,系统存储器105可包括适合于支持处理器101的高速存储器操作的存储器部件,诸如静态RAM(SRAM)、动态RAM(DRAM)、NAND快闪存储器。在一些实施方案中,系统存储器105可结合持久性、非易失性存储器和易失性存储器两者。
在某些实施方案中,系统存储器105包括安全存储120,所述安全存储可为系统存储器的被指定用于存储信息(诸如访问策略、部件签名、加密密钥和其他密码信息)的一部分,以用于托管IHS 100上的安全工作空间。在此类实施方案中,可基于安全存储120的内容而计算签名并且存储为参考签名。然后,存储在安全存储120中的数据的完整性可在稍后的时间通过重新计算安全存储的内容的这个签名并将重新计算的签名与参考签名进行比较来进行验证。
IHS 100利用芯片组103,所述芯片组可包括耦接到处理器101的一个或多个集成电路。在图1的实施方案中,处理器101被示出为芯片组103的部件。在其他实施方案中,所有芯片组103或芯片组103的各部分可直接在处理器101的集成电路内实施。芯片组103为处理器101提供对可经由总线102访问的各种资源的访问。在IHS 100中,总线102被示出为单个元件。然而,其他实施方式可利用任何数量的总线来提供由总线102服务的所示路径。
如图所示,各种资源可通过芯片组103耦接到IHS 100的处理器101。例如,芯片组103可耦接到网络接口109,诸如由耦接到IHS 100并允许IHS 100经由网络(诸如互联网或LAN)通信的网络接口控制器(NIC)提供。网络接口装置109可经由诸如无线蜂窝网络或移动网络(CDMA、TDMA、LTE等)、WIFI和蓝牙等各种网络技术为IHS 100提供有线和/或无线网络连接。在某些实施方案中,网络接口109可支持诸如可信控制器115的可信IHS部件与远程编排服务之间的连接。在此类实施方案中,在远程编排服务与可信部件之间的由网络接口109支持的连接可被视为与IHS的OS隔离的带外(OOB)连接。
芯片组103还可经由图形处理器107提供对一个或多个显示装置108的访问。在某些实施方案中,图形处理器107可包括在作为IHS 100的部件安装的一个或多个视频卡或图形卡,或者嵌入式控制器内。图形处理器107可生成显示信息并且将所生成的信息提供给耦接到IHS 100的一个或多个显示装置108,其中显示装置108可包括集成显示装置和/或诸如经由I/O端口116耦接到IHS的外部显示装置。在某些实施方案中,图形处理器107可集成在处理器101内。耦接到IHS 100的一个或多个显示装置108可利用LCD、LED、OLED、或其他薄膜显示技术。每个显示装置108可能能够诸如经由触摸控制器进行触摸输入,所述触摸控制器可为显示装置108、图形处理器107的嵌入式部件、或IHS 100的经由总线102接入的单独部件。
在某些实施方案中,芯片组103可利用一个或多个I/O控制器来访问硬件部件,诸如用户输入装置111和传感器112。例如,I/O控制器110可提供对一个或多个用户I/O装置110的访问,诸如键盘、鼠标、触摸板、触摸屏、传声器、扬声器、相机以及可耦接到IHS 100的其他输入和输出装置。用户输入装置111可通过有线或无线连接与I/O控制器110对接。经由I/O控制器110访问的传感器112可提供对描述IHS 100的环境和操作条件(例如,加速度计、陀螺仪、铰链传感器、旋转传感器、霍尔效应传感器、温度传感器、电压传感器、电流传感器、IR传感器、光电传感器、接近传感器、距离传感器、磁性传感器、传声器、超声传感器等)的数据的访问。
在一些情况下,芯片组103可包括能够利用由传感器112收集的信息来确定IHS100的相对取向和运动的传感器中枢。例如,传感器中枢可利用惯性运动传感器,所述惯性运动传感器可包括加速度计、陀螺仪和磁力仪传感器,并且能够确定IHS 100的当前取向和运动(例如,IHS 100在相对平坦的表面上静止不动,IHS 100正在不规律地移动并且可能在运输中,IHS 100的铰链定向在垂直方向上)。在某些实施方案中,传感器中枢还可包括基于网络信号的三角测量以及基于由OS或网络接口109提供的网络信息而确定IHS 100的位置和运动的能力。在一些实施方案中,传感器中枢可支持额外传感器,诸如光学、红外和声纳传感器,所述额外传感器可对由IHS 100托管的xR(虚拟、增强和/或混合现实)会话提供支持,并且可由传感器中枢使用来提供IHS 100附近用户存在的指示,诸如指示存在用户,不存在用户和/或用户面向集成显示器108。
在IHS 100之前存在终端用户的情况下,传感器中枢可进一步确定用户距IHS的距离,其中可连续地,以周期性间隔,或在请求时进行这种确定。所检测或计算的距离可由处理器101使用来将用户分类为处于IHS的近场(用户位置<阈值距离A)、中场(阈值距离A<用户位置<阈值距离B,其中B>A)、或远场(用户位置>阈值距离C,其中C>B)。如下文以额外细节所描述,在IHS 100的一定接近度内无法检测到IHS 100的认证用户可能会导致IHS 100的安全配置文件发生变化,从而触发对在IHS 100上运转的工作空间的安全风险的重新评估。类似的重新评估可基于在IHS 100的接近度内检测到额外个体而触发。
在IHS 100可支持多种物理配置,诸如可转换的膝上型计算机、N合1装置等的实施方案中,传感器中枢可利用收集读数的一个或多个模态传感器112,所述读数可用于确定IHS 100经过物理配置所呈的当前姿态。在某些实施方案中,可另外使用由传感器112提供的运动和取向信息来进行此类姿态确定。例如,在膝上型计算机和可转换的膝上型计算机实施方案中,处理器101或可信控制器115可利用盖位置传感器112来测定膝上型计算机的两个面板之间的相对角度以便确定IHS 100经过物理配置所呈的模态。在此类实施方案中,盖位置传感器可测量连接IHS 100的底板与盖板的铰链的旋转角度。在一些实施方案中,处理器101或可信控制器115可将所收集的诸如铰链角度的盖位置信息提供给传感器中枢以用于确定IHS 100经过配置所呈的姿态。在一些实施方案中,传感器中枢可直接与盖位置传感器对接来确定铰链角度信息。
传感器中枢可至少部分地基于IHS 100的铰链从关闭位置旋转的角度而确定IHS100的姿态。相对于关闭位置的第一铰链角度范围可指示膝上型计算机姿态,第二铰链角度范围可指示横屏姿态并且第三角度范围可指示平板计算机姿态。传感器中枢可另外利用从惯性运动传感器112收集的取向和运动信息来进一步确定IHS 100经过物理配置所呈的姿态。例如,如果传感器中枢确定IHS 100以膝上型计算机配置的一定铰链角度配置,但是IHS100定向在其一侧上,则IHS可被确定为处于书本模态。如果IHS 100被确定为倾斜,以至于铰链定向在水平方向与垂直方向之间,检测到用户的面部正面向集成显示器,并且IHS 100正经历小幅度的运动,则传感器中枢可确定IHS 100正以书本姿态使用。传感器中枢可确定IHS 100被打开到180度铰链角度并且位于平坦表面,从而指示IHS 100正以横屏姿态使用。响应于检测到铰链角度在限定范围内,诸如在300度与345度之间,并且还检测到IHS 100的铰链水平地对齐并高于IHS 100的显示面板两者的取向,传感器中枢可类似地确定IHS 100处于帐篷构型。
IHS 100的其他部件可包括一个或多个I/O端口116以与外围外部装置以及各种输入和输出装置通信。例如,I/O端口116可包括用于将外部显示装置连接到IHS 100的HDMI(高清晰度多媒体接口)端口以及USB(通用串行总线)端口,通过所述USB端口,可将各种外部装置耦接到IHS 100。在一些实施方案中,经由I/O端口116耦接到IHS 100的外部装置可包括支持进出IHS 100的系统存储器105和/或存储装置119的数据传递的存储装置。如下文以额外细节所描述,经由I/O端口116耦接存储装置可能会导致IHS 100的安全配置文件发生变化,从而触发对在IHS 100上运转的工作空间的安全风险的重新评估。
芯片组103还为处理器101提供对一个或多个存储装置119的访问。在各种实施方案中,存储装置119可与IHS 100成一体,或者可在IHS 100外部。在某些实施方案中,存储装置119可经由可能为存储装置的集成部件的存储控制器来访问。可使用允许IHS 100存储和检索数据的任何存储器技术来实施存储装置119。例如,存储装置119可为磁性硬盘存储驱动器或固态存储驱动器。在一些实施方案中,存储装置119可为存储装置的系统,诸如可经由网络接口109访问的云驱动器。
如图所示,IHS 100还包括BIOS(基本输入/输出系统)117,所述BIOS可存储在芯片组103可经由总线102访问的非易失性存储器中。在启动或重启IHS 100时,处理器101可利用BIOS 117指令来对耦接到IHS 100的硬件部件进行初始化和测试。BIOS 117指令还可加载供IHS 100使用的操作系统。BIOS 117提供允许操作系统与IHS 100的硬件部件对接的抽象层。统一可扩展固件接口(UEFI)被设计为BIOS的继任者。因此,许多现代IHS利用UEFI来对BIOS进行补充或替代。如本文所用,BIOS也意图涵盖UEFI。
在所示的实施方案中,BIOS 117包括可被称为NVM(非易失性存储器)邮箱106的预定义存储器或存储器区域。在这种实施方式中,邮箱106可提供安全存储位置以用于存储工作空间访问策略、签名、密码密钥或被利用来托管和验证IHS 100上的工作空间的其他数据。在某些实施方案中,BIOS邮箱106可被用作由远程编排服务加以利用的安全存储,以便存储用于将安全容器交付和部署在IHS 100上的访问策略和密码密钥。BIOS邮箱106和系统存储器105中的安全存储120可以此方式利用来取代由可信控制器115实施的带外功能,或者结合所述带外功能一起利用。
在某些实施方案中,可信控制器115耦接到IHS 100。例如,可信控制器115可为作为IHS 100的母板部件安装的嵌入式控制器(EC)。在各种实施方案中,可信控制器115可执行各种操作来支持将工作空间交付和部署到IHS 100。在某些实施方案中,可信控制器115可经由与在IHS 100上运行的操作系统隔离的带外通信路径与远程编排服务互操作。网络接口109可支持可信控制器115与远程编排服务之间的此类带外通信。
可信控制器115可接收将工作空间安全交付和部署到IHS 100所需的密码信息。在此类实施方案中,密码信息可存储到由可信控制器115维护的安全存储121。另外地或可替代地,可信控制器115可支持执行可信操作环境,所述可信操作环境可支持用于将工作空间部署在IHS 100上的密码操作。另外地或可替代地,可信控制器115可支持经由带外通信通道将工作空间部署在IHS 100的OS内,所述带外通信通道与OS隔离并且允许工作空间与OS的可信代理进程通信。
可信控制器115还可对某些用于支持IHS 100上工作空间的安全部署和运转的密码处理提供支持。在一些实施方案中,这种密码处理可经由安全操作环境的操作来提供,所述安全操作环境由与IHS 100的软件和其他硬件部件隔离的可信控制器115托管。在一些实施方案中,可信控制器115可依赖于由受到IHS支持的专用密码硬件,诸如TPM(可信平台模块)微控制器提供的密码处理。在一些实施方案中,可信控制器115的安全存储121可被利用来存储密码信息以用于工作空间的授权。
在某些实施方案中,可信控制器115可另外被配置为计算唯一地标识IHS 100的各个部件的签名。在此类场景下,可信控制器115可基于耦接到IHS 100的硬件和/或软件部件的配置而计算散列值。例如,可信控制器115可基于存储在诸如网络接口109的硬件部件的内置存储器中的所有固件和其他码或设置而计算散列值。此类散列值可作为制造IHS 100的可信过程的一部分进行计算,并且可作为参考签名在安全存储121中加以维护。
可信控制器115还可被配置为在稍后的时间对这种部件重新计算散列值。然后可将对所述部件重新计算的散列值与参考散列值签名进行比较以便确定是否已经对部件进行了任何修改,从而指示所述部件已经被入侵。以此方式,可信控制器115可用于验证安装在IHS 100上的硬件和软件部件的完整性。在某些实施方案中,远程编排服务206可以相同的方式通过计算可信控制器115的签名并将所述签名与在制造IHS 100的可信过程期间计算的参考签名进行比较来校验可信控制器115的完整性。在各种实施方案中,由可信控制器115支持的这些操作中的一个或多个可使用BIOS 117来实施。
可信控制器115还可实施用于与电源适配器对接以管理IHS 100的电源的操作。此类操作可被利用来确定IHS 100的电源状态,诸如IHS 100是从电池电源操作还是插入到AC电源中。由可信控制器115利用的固件指令可用于运转安全执行环境,所述安全执行环境可包括用于提供IHS 100的各种核心功能,诸如IHS 100的电源管理和某些操作模式(例如,内核加速模式、某些部件的最大工作时钟频率等)的管理的操作。
在管理IHS 100的操作模式时,可信控制器115可实施用于检测IHS 100的物理配置的某些变化并管理对应于IHS 100的不同物理配置的模式的操作。例如,在IHS 100是膝上型计算机或可转换的膝上型计算机的情况下,可信控制器115可从盖位置传感器112接收输入,所述盖位置传感器可检测膝上型计算机的两侧是否已经一起锁紧到关闭位置。响应于盖位置传感器112检测到IHS 100的盖的锁紧,可信控制器115可发起用于关停IHS 100或使IHS 100进入低功率模式的操作。
IHS 100可支持各种功率模式的使用。在一些实施方案中,IHS 100的功率模式可通过IHS 100的可信控制器115和/或OS的操作来实施。在各种实施方案中,IHS 100可支持各种低功率模式,以便在IHS 100没有被积极地使用时降低功耗和/或节约电池电源,和/或通过增大或减小IHS 100的部件(例如,处理器101)的最大工作时钟频率来控制可用于用户的性能水平。
在一些实施方案中,IHS 100可能不包括图1所示的所有部件。在其他实施方案中,除了图1所示的那些部件之外,IHS 100还可包括其他部件。另外,在图1中表示为单独部件的一些部件可替代地与其他部件集成。例如,在某些实施方案中,由所示部件执行的所有或一部分操作可替代地由集成到处理器101中作为片上系统的部件提供。
图2是示出用于确保企业生产力生态系统中的动态工作空间安全的方法200的示例的图。为了进行说明,已经将方法200分为三个阶段:工作空间初始化阶段200A、工作空间编排阶段200B和工作空间终止阶段200C。在初始化200A期间,用户201(例如,企业用户)诸如关于图1所描述在物理环境202(例如,任何类型的环境以及其相关联的上下文,包括物理位置、地理位置、特定场所或建筑物内的位置、检测到的网络、检测到的xR信号、当日时间、用户接近度、在IHS 100附近的个体等)内操作IHS 100(例如,台式计算机、膝上型计算机、平板计算机、智能手机等)。
方法200开始于用户201在启动点203处的动作,所述启动点可为例如由用户201的雇主提供的公司启动点、由IHS 100的制造商提供的启动点203、或由第三方作为服务提供给用户201的启动点。特别地,用户201操作IHS 100来访问启动点203,所述启动点例如以如下形式提供:web门户、在IHS 100的操作系统中运行的门户应用程序、在IHS 100上运转的专用门户工作空间等。在各种实施方式中,启动点203可包括表示不同的软件应用程序、数据源和/或用户可能期望执行和/或操纵的其他资源的图形用户界面(GUI)元素。在各种实施方案中,启动点可提供图形、文本和/或音频界面,通过所述界面,用户201可请求数据或其他资源。因此,可为认证用户201提供启动点,所述启动点提供对一个或多个软件应用程序的可见性以及用户在其所有数据存储(例如,本地存储、云存储等)上可用的数据源的聚合。
如下文以额外细节所描述,用于为用户201提供对请求数据或其他资源的访问的工作空间可使用本地管理代理332来运转,所述本地管理代理在IHS 100上操作并且被配置为与工作空间编排服务206互操作。在各种实施方案中,启动点203可以允许用户201经由IHS 100请求访问受管理资源的门户(例如,网页、OS应用程序或专用工作空间)的形式提供。在各种实施方案中,启动点203可由远程工作空间编排服务206、在IHS 100上的本地管理代理332、或其任何合适的组合来托管。启动点203技术的示例可包括来自威睿公司(WMWARE,INC.)的WORKSPACE ONE INTELLIGENT HUB和来自戴尔科技公司(DELLTECHNOLOGIES INC.)的DELL HYBRID CLIENT等。
初始化阶段200A在用户201选择启动应用程序或访问由工作空间编排服务206管理的数据源时开始。响应于由用户201发出的访问请求(例如,用户“点击”启动点203的图标),IHS 100的本地管理代理332在204处收集初始安全和生产力上下文信息。如关于图4以额外细节所描述,安全上下文信息可包括指示与以下各者相关联的安全风险的属性:正请求的数据和/或应用程序、由用户201呈现的风险等级、由IHS 100利用的硬件、IHS 100的将在其中部署工作空间以提供对请求数据和/或应用程序的访问的逻辑环境、以及IHS 100当前所在的物理环境202。
因此,在本公开中,术语“安全上下文”通常是指与将部署和利用工作空间时所处的安全态势相关的数据或其他信息,其中安全态势可基于用户、IHS 100、将经由工作空间访问的数据和/或环境202。如关于图4和图5以额外细节所描述,安全上下文可被量化为安全风险评分以支持评估与以下内容相关联的风险等级:当在特定上下文中使用IHS 100时,为用户201提供对请求数据和/或应用程序的访问。“安全风险评分”通常是指可用于对与请求相关联的安全上下文的各种安全特性进行评分、量化或度量的数值。风险评分可为与整体安全风险上下文相关联的综合评分,而“风险量度”可为对安全上下文的一些部分的子类别的风险度量。
如关于图4和图5以额外细节所描述,可用于计算特定安全上下文的安全风险评分的安全量度可包括但不限于:请求数据源和/或应用程序的分类、用于识别用户201的认证因素、IHS 100的位置、与用户201相关联的角色或其他群体分类、由IHS 100使用的网络的验证、由IHS 100使用的网络的类型、由IHS 100使用的网络防火墙配置、攻击指标(IoA)、关于IHS 100或用户201正请求的资源的入侵指标(IoC)、与在IHS 100上使用的操作系统和其他应用程序相关联的补丁等级、加密的可用性、可用加密类型、对安全存储的访问、由IHS100对可查证硬件的使用、由IHS 100支持的工作空间隔离程度等。
术语“生产力上下文”通常是指与工作空间、用户、IHS或环境相关联的用户生产力。“生产力评分”通常是指可用于对生产力上下文的各种生产力特性进行评分、量化或度量的指标。生产力上下文信息的示例包括但不限于:IHS的硬件、IHS的包括操作系统的软件、IHS的电源状态和选定部件的最大时钟频率、永久或暂时地耦接到IHS的外围装置、可用于IHS的网络和这些网络的性能特性、在IHS上可用的软件安装程序等。
工作空间的初始生产力和安全目标可基于用户201动作的上下文与工作空间将在其中运转的生产力和安全上下文的组合而计算。生产力和安全目标也可基于用户201的行为分析、IHS 100遥测和/或环境信息(例如,经由传感器112收集)。在一些情况下,在205处,在IHS 100上操作的本地管理代理可基于所收集的安全和生产力上下文而计算初始安全和生产力目标。在其他情况下,远程工作空间编排服务206可计算安全和生产力目标。
如本文所用,术语“安全目标”通常是指由基于工作空间定义而创建和运转的工作空间呈现的攻击面,而术语“生产力目标”通常是指特定工作空间定义的生产力特性。生产力目标的示例包括但不限于:可用于用户201的数据或数据源的类型、工作空间的最低延时等。相反地,可用于表征安全目标的属性可包括但不限于:工作空间的最低安全评分、IHS100的最低信任评分、对用户201的认证要求(例如,需要多少个认证因素,重新认证的频率)、由工作空间利用的网络的最低信任等级、所需的工作空间与IHS 100的隔离、在工作空间内访问浏览器的能力、在工作空间之间传递数据的能力、扩展工作空间的能力等。
此外,术语“工作空间定义”通常是指描述工作空间的各方面的属性集合,所述工作空间可按照即将在其中部署工作空间的安全上下文(例如,位置、补丁等级、威胁信息、网络连接性等)和生产力上下文(例如,可用装置类型和性能、网络速度等)以满足安全目标(即,定义呈现出攻击面,所述攻击面呈现出可接受的风险等级)和生产力目标(例如,数据访问、访问要求、延时上限等)的方式进行组装、创建和部署。工作空间定义可实现实例化工作空间迁移的流动性,因为该定义支持将工作空间组装到被配置用于与工作空间编排服务206一起操作的任何目标OS或IHS上的能力。
在描述工作空间的能力和约束时,工作空间定义208可规定以下各者中的一者或多者:对用户201的认证要求、工作空间的分隔和/或隔离(例如,本地应用程序、沙盒、docker容器、渐进式web应用程序或“PWA”、虚拟桌面基础架构“VDI”等)、可在工作空间的定义的分隔中执行来使得用户201能够用一个或多个数据源有效工作的主应用程序、提高生产力的额外应用程序、缩小由生产力环境呈现的安全目标的范围的安全部件(来自戴尔科技公司的DELL DATA GUARDIAN、反病毒等)、将访问的数据源以及将该数据路由到工作空间分隔和从所述工作空间分隔路由该数据的要求(例如,使用VPN、最低加密强度)、工作空间独立地附连其他资源的能力等。
在一些实施方式中,工作空间定义可至少部分地基于例如由企业的信息技术(IT)人员定义的静态策略或规则。在一些实施方式中,静态规则可通过机器学习(ML)和/或人工智能(AI)算法来组合和改进,所述算法评估工作空间处于生命周期时收集的历史生产力和安全数据。以此方式,可随时间的推移而动态地修改规则以生成改进的工作空间定义。如果确定例如用户每次使用来自微软公司(MICROSOFT CORPORATION)的MICROSOFT VISUALSTUDIO都会动态地添加文本编辑器,则工作空间编排服务206可自主地将该应用程序添加到该用户的默认工作空间定义中。
仍然相对于图2,在编排200B期间,针对资源、装置能力和可用的云服务等处理和/或调节初始安全和生产力目标,以在208处产生工作空间定义。如所描述,工作空间定义可指定工作空间的能力和约束,诸如:工作空间分隔的运行时安全要求(例如像,与IHS 100的OS或IHS 100的某些硬件的隔离)、参考测量在查证工作空间在运行之后的完整性方面的使用、为了在工作空间内操作而将提供应用程序、聚合经由工作空间可用的资源、访问配置(例如,虚拟专用网络或“VPN”)等。
初始工作空间定义之后可由工作空间编排服务206的自动化引擎302利用来基于工作空间将在其中运转的安全和生产力上下文而协调在适当的平台上,例如在云上或在IHS 100上的工作空间的组装209和实例化210。在工作空间由云托管的情况下,自动化引擎302可组装和实例化远程工作空间,所述远程工作空间可经由安全连接来访问,所述安全连接经由IHS 100上操作的web浏览器或其他基于web的部件来建立。在一些实施方案中,自动化引擎302可解决工作空间定义与工作空间运转中的用户输入之间的配置冲突。
由用户201在211处操作实例化的工作空间,并且在212处生成与行为或数据使用相关的新的生产力和安全上下文信息。工作空间的这种操作可能会导致基于用户201所作所为、访问和/或创建的内容的变化或新的数据分类,从而导致工作空间的安全上下文的变化。在用户的行为分析、装置遥测和/或环境发生了可量化程度的变化的程度上,安全上下文的这些变化可用作额外输入以由自动化引擎302在207处重新评估安全和性能目标。另外地或可替代地,现在可针对初始目标衡量新的工作空间上下文、安全目标和/或生产力目标,并且如果合适的话,结果可能会使自动化引擎302在208处产生新的工作空间定义。
特别地,如果实例化的工作空间的参数落在目标指标的范围之外,以至于对额外或更新的上下文信息与初始或先前上下文信息之间的差异所打的评分低于阈值,则自动化引擎302可处理对现有工作空间的修改的组装并且在210处部署此类修改。相反地,如果对额外或更新的上下文信息与初始或先前上下文信息之间的差异所打的评分高于阈值,则自动化引擎302可在210处生成新的工作空间。会话数据元数据和上下文可由数据聚合引擎336保存,并且可在适用时恢复会话数据。
另外地或可替代地,作为终止阶段200C的一部分,方法200可在213处终止或退出初始或先前的工作空间。在一些情况下,用户动作可发起终止过程(例如,用户201关闭访问数据的应用程序或浏览器),并且/或者作为调整工作空间定义的一部分,终止可自动地发生(例如,自动化引擎302指示终止隔离环境)。仍然作为终止阶段200C的一部分,可释放IHS100和/或在工作空间编排服务206处的工作空间资源。
因此,在各种实施方案中,即使工作空间在不受直接管理的IHS或云平台上运转时,方法200也能实现安全的用户生产力。方法200还提供了动态或自适应的配置和策略,从而实现可能最佳的用户体验,同时保持适当的安全等级。在一些情况下,生产力环境和访问要求的定义可基于生产力和安全依赖性及目标而选择,并且与工作空间相关的能力的定义在本质上可能是自适应的。特别地,工作空间定义属性可基于历史生产力和安全信息,基于每个单独用户或群体的行为而动态地选择。
图3A和图3B示出了被配置为使企业生产力生态系统中的工作空间和硬件生命周期管理现代化的系统部件300A和300B(统称为“系统300”)的示例的图。特别地,系统部件300A包括工作空间编排服务206,并且它可包括位于远处和/或联网的一个或多个IHS,所述IHS上存储有程序指令,所述程序指令在执行时使一个或多个IHS执行本文描述的各种工作空间编排操作,包括但不限于:基于从IHS 100接收到的更新的上下文信息而动态评估安全和生产力目标,基于对上下文信息的持续收集而计算风险评分、生产力评分以及其他生产力和安全量度,生成工作空间定义,以及在云服务和/或IHS 300B处组装一个或多个文件或策略,所述文件或策略使得能够根据工作空间定义将工作空间实例化。
部件300B包括IHS 100,所述IHS上可存储有程序指令,所述程序指令在执行时使IHS 100执行本文描述的各种本地管理操作,包括但不限于:收集生产力和安全上下文信息,计算生产力评分和/或风险评分,基于从工作空间编排服务206接收到的诸如工作空间定义的文件或策略而实例化、执行和修改工作空间等。
工作空间编排服务300A和IHS 300B可经由任何合适的网络技术和/或协议来相互耦接,这允许相对于IHS 300B远程地提供工作空间编排服务300B。如关于图1所描述,根据实施方案的IHS可包括可支持独立于IHS 100的操作系统的某些安全的带外通信的部件,诸如可信控制器。在一些实施方案中,这种可信控制器可被配置为支持300A上的工作空间的部署和运转,并且将上下文信息的变化报告给工作空间编排服务300A。
如图3A的部件300A所示,工作空间编排服务206可包括支持在IHS 300B上部署并持续评估和调整所述工作空间的多个子部件。工作空间编排服务300A的实施方案可包括可支持以下各者的系统:web服务306、制造商整合317和分析323。此外,web服务306可包括应用程序服务301以及用户界面(UI)和自动化服务302。
分析服务323可被配置为在工作空间的初始配置期间以及在对工作空间的持续支持的过程中接收和处理来自IHS 300B的上下文信息,并且将该信息连同所生成的任何分析一起提供给应用程序服务301的上下文逻辑303。基于工作空间的部署和持续支持期间收集到的信息,支持辅助智能引擎(SAIE)324可被配置为生成和/或分析技术支持信息(例如,更新、错误、支持日志等)以用于诊断和修复工作空间问题。工作空间洞察和遥测引擎325可被配置为分析和/或产生以装置为中心的历史的基于行为的数据(例如,硬件测量、特征的使用、设置等),所述数据由工作空间的操作产生。工作空间智能326可包括任何合适的智能引擎以处理和评估上下文数据以便识别工作空间运转的模式和趋势,以及基于上下文变化而调整工作空间的模式和趋势。
如图所示,工作空间编排服务300A的应用程序服务306系统包括UI和自动化服务302系统,所述UI和自动化服务系统可包括上下文逻辑或引擎303、分类策略304和条件控制模块或引擎305。上下文逻辑或引擎303可支持处理上下文信息来进行风险评定(例如,针对用户行为、用户IHS的历史、用户IHS的能力和环境条件的上下文评估用户的风险相关请求)。例如,如关于图4和图5所描述,由IHS 300B收集的安全上下文信息可提供给工作空间编排服务300A,在该处,可诸如由上下文逻辑303使用所述安全上下文信息来计算与使用受管理数据源和/或应用程序的请求相关联的风险评分。分类策略304可包括描述与不同的安全上下文相关联的风险分类,诸如针对特定数据、位置、环境、IHS、逻辑环境或用户动作的风险分类的管理员和机器学习定义的策略(例如,高风险数据的使用要求使用适合与高于特定值的风险评分一起使用的工作空间定义)。条件控制模块或引擎305可包括提供适当使风险与上下文一致的自动化决策的智能。在一些情况下,条件控制模块或引擎305可动态地部署解决方案以解决任何检测到的风险与上下文的不一致。例如,在请求访问会导致风险评分显著增大的高分类数据源时,条件控制引擎可选择实施适合于较高风险评分的安全程序的工作空间定义修改。
应用程序服务301可包括由UI和自动化服务302调用来支持工作空间编排的各个方面的一组web服务306。特别地,web服务306可包括应用程序和工作空间服务307,所述应用程序和工作空间服务可组装和打包用于部署在工作空间中的应用程序(例如,“.msix”文件被打包和部署到MICROSOFT HYPER-V容器)。在一些实施方案中,工作空间定义可用于指定是否将以此方式为用户提供对应用程序的访问。Web服务306还可包括租户订阅模块308,所述租户订阅模块执行IHS的动态配置以及所描述的工作空间编排服务在IHS的销售点(POS)的部署。许可证跟踪模块309可用于维护和跟踪软件、服务和IHS的许可证信息。访问控制模块310可提供用于控制授权用户对数据和应用程序的访问的顶级访问控制。统一端点管理(UEM)模块311可被配置为支持可能由特定用户利用的各种不同的IHS上的工作空间的所描述的编排。
可用于支持工作空间的Web服务306还可包括资源供应服务312以为IHS或工作空间配置访问特定资源所需的秘密信息/凭证(例如,使用VPN、网络、数据存储储存库、工作空间加密、工作空间查证和工作空间到装置的锚定的凭证)。在一些情况下,资源供应服务312可包括作为IHS 300B的可信组装过程的一部分供应并在一些情况下与IHS 300B的唯一标识符348相关联的秘密信息。Web服务306还可包括授权/令牌模块,所述授权/令牌模块提供身份功能并且可连接到各种认证源,例如像活动目录。端点注册模块314可被配置为向跟踪所描述的工作空间编排的使用的管理服务注册IHS和/或工作空间。在一些场景下,目录服务315模块可被配置为提供活动目录服务(例如,来自微软公司的AZURE ACTIVEDIRECTORY)。装置配置服务316实现对工作空间的集中配置、监测、管理和优化,所述工作空间在某些上下文中可能相对于IHS远程地运转并且可能仅向IHS的用户呈现工作空间输出的映像。与资源供应服务312协作,装置配置服务316还可处置秘密信息创建和IHS配置,并且在一些情况下可具有带外能力并处置对端点的选定操作。
仍然参考图3A,制造商整合部件317与应用程序服务301和客户端IHS 300B通信以提供在工作空间评估和实例化期间可用的特征,其中这些特征是基于客户端IHS 300B的制造商可用的信息。例如,证书授权318可包括发布可用于验证IHS 300B的硬件的可靠性和完整性的数字证书的实体。身份服务模块或引擎319可被配置为管理用户或所有者的身份以及使用客户目录322的中介身份证明。订单权益模块或引擎320可负责管理所购买的权益以及由318签署的相关联的发布证书。所有权储存库321可管理与IHS相关联的用户权益以及其所有权,并且可为用户转移IHS的所有权并转让与该IHS相关联的权益提供支持。在某些场景下,所有权储存库321可使用这种所有权的转让来解除与并入IHS中的权益相关联的秘密信息。客户目录322可被配置为对网络中的所有用户和IHS进行认证和授权,诸如为所有IHS分配和实施安全策略以及安装或更新软件(在一些情况下,客户目录322可协同工作和/或可与目录服务315相同)。
现在参考图3B的IHS 300B,在一些实施方案中,IHS 300B可被配置为操作本地管理代理332,所述本地管理代理可在由诸如图1的可信控制器115的可信控制器341托管的安全执行环境345内运行。在其他实施方案中,本地管理代理332可作为IHS 300B的操作系统的可信和可查证进程进行操作。在一些实施方案中,本地管理代理332可包括适合于实例化IHS 300B上的一个或多个工作空间331A-331N并管理其运转的工作空间引擎。如所描述,可基于工作空间在其中运转的生产力和安全上下文的变化而修改工作空间的能力。因此,工作空间331A-331N中的每一者中的工作负载可在公用云、私有云、特定服务器中托管,或在IHS 300B上本地托管,这取决于工作空间在其中运转的上下文。针对每个特定工作空间331A-331N的这些工作空间计算的分配可由用于构建和运转每个工作空间的工作空间定义规定。如所描述,工作空间定义可由工作空间编排服务206基于由IHS 300B提供的上下文信息、每个工作空间331A-331N的安全目标和每个工作空间331A-331N的生产力目标而创建。
在一些实施方案中,本地管理代理332可被配置为托管、启动和/或执行工作空间中枢327,所述工作空间中枢提供启动点203,用户经由所述启动点通过选择受管理数据和资源来启用工作空间。在各种实施方案中,启动点203可为代理、应用程序、专用工作空间或web门户,它们提供界面,通过所述界面,用户可从经由如本文所描述的工作空间的操作可用于IHS 300B的用户的数据源、应用程序、日历、消息或其他受管理信息或资源的聚合集合中进行选择。在各种实施方案中,启动点203可以允许IHS 300B的用户选择可用数据和/或资源的文本、图形和/或音频用户界面的形式提供。在一些实施方案中,工作空间中枢327可利用本地环境管理模块328来提供在IHS 300B上呈现给用户的工作空间界面,并且以一致的方式跨工作空间331A-331N进行这种操作。工作空间中枢327还可包括本地智能逻辑或引擎329,所述本地智能逻辑或引擎用于支持对IHS 300B的使用进行建模以便改进与风险上下文相关联的实际风险的表征。用户认证和访问控制操作可由本地识别模块330执行,所述本地识别模块可与可信控制器341对接来提供用户认证。
在一些情况下,每个实例化的工作空间331A-331N可为向用户提供对请求数据或应用程序的访问的环境,其中所述环境可基于每个工作空间331A-331N在其中运转的安全上下文和生产力上下文而在不同的程度上与IHS 300B的硬件和软件隔离。在一些情况下,对经由启动点203可用于用户的数据源或资源的选择可能会导致启动新的工作空间。例如,如果用户通过选择由启动点203显示的图标启动浏览器,则可根据工作空间定义来创建和启动新的工作空间,所述工作空间定义已经被选择来在已经发出请求的安全和生产力上下文中为用户提供对web浏览器的访问。在用户双击可从由启动点203提供的数据源获得的机密演示文件的场景下,可用提供对请求演示文件的访问的演示应用程序实例化额外工作空间,其中这种新的工作空间基于为访问机密演示提供适当的安全性的工作空间定义而创建。在其他情况下,用户对演示文件的选择可能会导致通过现有的工作空间可获得演示,这在一些情况下使用现有的工作空间定义,而在其他情况下使用已经被修改来支持所请求的对机密演示文件的访问的工作空间定义来实现。
尽管由IHS 330B支持的工作空间331A-331N各自可在不同的程度上与IHS 300B的硬件和/或软件隔离并相互隔离,但是IHS 330B的用户可能期望能够以允许在不同的工作空间331A-331N之间传递内容的方式操作多个工作空间331A-331N。例如,用户可选择工作空间331A中显示的数据的一部分并且利用操作系统或其他工作空间功能来拷贝数据以拷贝到工作空间331B。
在各种实施方案中,本地管理代理332可完全或部分地在由可信控制器341托管的安全平台345上操作,所述可信控制器独立于IHS 300B的操作系统而操作。在一些实施方案中,本地管理代理332的全部或一部分可作为IHS 300B的操作系统的可信部件进行操作。在一些实施方案中,本地管理代理332的全部或一部分可作为客户端IHS 300B的操作系统的可信部件进行操作。为了执行本文描述的各种操作,本地管理代理332可包括命令监视器334,所述命令监视器被配置为提供仪器来从工作空间编排服务300A接收命令并且因此实现对IHS 300B的访问。本地管理代理332还可包括遥测模块335,所述遥测模块可被配置用于将所收集的信息传达给工作空间编排服务300A,包括报告可能需要调整工作空间331A-331N的上下文的变化。数据聚合器336可跟踪可经由工作空间提供给用户的所有数据源和其他资源(例如,应用程序、本地或基于云的服务)。
本地管理代理332可利用资源管理器模块337,所述资源管理器模块被配置为管理对数据的访问、诸如对VPN和网络访问的网络配置、身份信息、访问控制和资源供应服务。安全模块338可被配置为提供各种安全服务。BIOS接口339可提供用于访问和管理安全对象存储中的凭证的安全BIOS接口。BIOS分析模块340可被配置为执行取证服务(forensicservices)以进行BIOS遥测和健康评定。持久性模块346可被配置为支持应用程序的持久性,所述应用程序在POS处被授予权益或由管理员分配并且支持所需的许可证跟踪。工作空间查证模块333可在由本地管理代理332提供的容器引擎顶上提供以平台为中心的服务层,并且可用于以由条件控制305定义或编排的任何合适的方式度量和查证工作空间331A-331N。
作为安全平台345的一部分,本地管理模块347可被配置为对工作空间编排服务206启用带外管理接口,其中这个OOB接口独立于IHS 300B的OS而操作。在一些实施方案中,由本地管理模块347支持的OOB管理接口可由工作空间编排服务的装置配置服务316利用来访问IHS 300B的安全平台服务345。
数字装置ID模块348可提供唯一的不可伪造的密码绑定标识符。在支持安全平台345的实施方案中,安全的嵌入式控制器341可为加固的硬件模块,所述加固的硬件模块可包括被配置为可信数据存储的信任根模块342,并且在用于密码处理的一些情况下可在密码系统内受到信任。装置查证服务343可被配置为执行装置保障和信任服务(例如,安全BIOS和安全启动等)。可提供安全对象存储344,所述安全对象存储被配置为锁定和访问EC和/或可信平台模块(TPM)中的密钥、散列和/或其他秘密信息。
在一些场景下,IHS 100可由还控制制造商整合部件317的制造商供应,工作空间查证模块333可结合安全对象存储342、认证BIOS模块339和/或数字装置身份模块348等一起操作以基于IHS独有和/或由该制造商专门设计的硬件装置和设置而进一步确保工作空间331A-331N中的任一者中可用的生产力特征安全和/或控制所述生产力特征。
为了进一步说明本文描述的系统和方法如何操作来使企业生产力生态系统中的工作空间和硬件生命周期管理现代化,下文依次讨论了三个非限制性用例或示例。
用例A
在用例A中,给定用户可使用公司拥有和经映像的笔记本电脑(就像关于图1的IHS100和图3的客户端IHS 300B所描述的那样进行配置)来请求访问企业内部受保护的数据源。
响应于请求,在用户笔记本电脑上操作的本地管理代理332检索描述当前上下文的信息并且基于所确定的上下文而计算安全和生产力目标。在此用例中,本地管理代理可能已经由IT安装,并且它可作为服务在后台运行。机密数据可基于文件分类(例如,文件元数据/类型/性质/权限、文件夹位置、加密区域等)而与本地机器上的本地管理代理相关联。此外,本地管理代理可连续地收集当前上下文信息并且将其发送到编排服务以用于对工作空间的风险和生产力进行评分(这也可在用户发出访问请求或表明意图时进行)。
当用户选择机密数据(诸如通过经由笔记本电脑的OS来选择)时,本地管理代理向工作空间编排服务通知所述请求和关于工作空间的工作空间定义,通过所述工作空间,可为用户提供对机密数据的访问。
在此示例中,工作空间编排服务可使用加权的机器学习或人工智能算法,基于以下上下文信息或输入而对整体安全风险进行评分以具有值“2”,所述上下文信息或输入中的每一者也基于选定策略而作为风险量度给出:场所:1(安全场所);用户角色:1(在相当成熟的用户分类下为已知的高置信度用户—在历史上没有点击过钓鱼邮件的用户);网络风险:1(低风险,因为检测到了内部的有线连接);装置风险:1(高等级控制,因为它是公司拥有/管理的平台、已知版本,启用了安全特征等);监管:1(基于用户、数据、位置组合—例如,相对于通用数据保护条例或“GDPR”、健康保险可携性和责任法案“HIPAA”、支付卡行业“PCI”、技术出口等没有限制);以及数据类型:8(正请求机密数据文件)。
工作空间编排服务还可使用加权的机器学习或人工智能算法,基于以下上下文信息或输入而计算生产力评分以具有值“9”,所述上下文信息或输入中的每一者也基于选定策略而作为资源量度给出:场所:10(办公室);用户角色:9(基于高级计算任务、熟练度和/或速度而作出的“有技能”分类);网络速度/延时:10(快速、有线、吉比特以太网、或直接接至内部网络);装置性能:8(快速、昂贵的CPU、存储器、图形处理,但是存储只需要—例如,<10GB);以及数据类型:10(本地机密文件易于读/写,在本地存储上具有低延时和高性能)。
其次,基于安全评分和/或上下文信息,工作空间编排服务以机器可读格式(例如,JSON名称值、XML结构化等)构建具有工作空间定义属性的呈任何合适的结构的工作空间定义文件。在此示例中,安全目标可基于表示关于安全控制和分隔特征的负载、需求或要求的属性值的组合而被视为具有值“1”,所述安全控制和分隔特征可包括:威胁监测:1(低要求);威胁检测:1(低要求);威胁分析:1(低要求);威胁响应:1(低要求);存储机密性:2(低);存储完整性:2(低);网络机密性:1(低);网络完整性:1(低);存储器机密性:1(低);存储器完整性:1(低);显示机密性:1(低);显示完整性:1(低);用户认证:1(低,基本密码可行,非多因素认证或“MFA”,没有会话过期);IT管理员距离:1(管理员远程地管理,但是不需要重型修复软件);以及合规性:1(无GDPR、无HIPAA、无PCI、无技术出口限制等)。
基于生产力目标和/或上下文信息,针对工作空间定义的生产力目标可基于表示如下生产力要求的属性值的组合而被视为具有值“9”(定义高质量、响应性用户体验):本地存储:7(部分硬盘驱动器控制,一些存储被保留用于IT负载);CPU访问:10(无限制);本地图形处理:10(无限制);以及应用程序栈:10(可使用应用程序,安装用户需要的应用程序,给予所述用户管理员权限等)。
再次,在工作空间定义完成之后,工作空间编排服务和本地管理代理可组装工作空间并且为用户实例化所述工作空间。例如,本地管理代理可从编排服务接收定义文件(例如,JSON、XML等),并且它可解析所述文件以实施诸如以下的安全风险控制:威胁监测:1(本地管理代理没有安装威胁、检测和响应或“TDR”软件);威胁检测:1(本地管理代理没有安装TDR软件);威胁分析:1(编排不需要从系统中收集详细的遥测,OS不会参与日志记录);威胁响应:1(本地管理代理没有安装安全威胁响应代理);存储机密性:2(本地管理代理部署本地文件系统加密产品,用户可任选地根据需要通过右击上下文菜单在特定文件上启用所述加密产品);存储完整性:2;网络机密性:1(本地管理代理证实基本防火墙配置是正确的—例如,IT GPO控制);网络完整性:1;存储器机密性:1(本地管理代理证实配置—例如,没有部署SGX、TXT或容器/沙盒软件);存储器完整性:1;显示机密性:1(本地管理代理证实安装了图形驱动程序,隐私屏幕和相机任选地由用户管理);显示完整性:1;用户认证:1(本地代理证实基本GPO密码规则已被配置,并且被用户满足—例如,字符数、没有会话过期等);IT管理员距离:1(本地代理以系统特权运行,证实IT管理员账号被列入本地管理员用户群体中—例如,根据GPO);以及合规性:1(本地代理没有安装任何遵从协助软件)。
在证实配置之后,工作空间编排服务和本地管理代理可准予用户访问所请求的本地机密文件,并且用户可开始在新创建的工作空间中工作。
用例B
在用例B中,用户可在处于咖啡馆时使用开放公共网络和IT管理/拥有的PC(就像关于图1的IHS 100和图3的客户端IHS 300B所描述的那样进行配置)来请求访问机密数据文件。
首先,由客户端IHS(300B)执行的本地管理代理(332)检索所请求的上下文并且基于上下文而计算安全和生产力评分。在此用例中,本地管理代理可能已经由IT安装,并且它可作为服务在后台运行。机密数据可在内部(例如,回到公司总部)保存在共享的IT管理的网络资源上,并且本地管理代理可负责监测用户何时请求这个数据路径(例如,用户点击特定的URL、IP等)。此外,本地管理代理可连续地收集所有当前上下文并且将其发送到工作空间编排服务以协助稍后的评分过程(这也可在用户发出访问请求或表明意图时进行,而不是连续收集)。
当用户选择期望的机密数据文件时,客户端IHS(300B)的OS调用与机密数据文件的路径相关联的本地管理代理,并且回调远程工作空间编排服务(206)以请求工作空间定义。
在此示例中,工作空间编排服务可使用加权的机器学习或人工智能算法,基于以下上下文信息或输入而对整体安全风险进行评分以具有值“4”,所述上下文信息或输入中的每一者也基于选定策略而作为风险量度给出:场所:5(公共,安全国家);用户角色:5(新用户,还不存在分类数据);网络风险:5(中等,公共但常见的位置,检测到无线连接);装置风险:1(高等级控制,公司拥有/管理的平台、已知版本,启用安全特征等);以及监管:1(基于用户、数据、位置组合—例如,相对于通用数据保护条例或“GDPR”、健康保险可携性和责任法案“HIPAA”、支付卡行业“PCI”、技术出口等没有限制)。
工作空间编排服务还可使用加权的机器学习或人工智能算法,基于上下文信息或输入而计算生产力评分以具有值“5”,所述上下文信息或输入中的每一者也基于选定策略而作为资源量度给出。例如,安全上下文输入可包括:场所:6(远程位置但在美国大城市中,在公共区域中,有非雇员在装置的可视/可听范围内);用户角色:5(未知置信度的“无效”分类,使用默认入职培训假设);网络速度/延时:4(中等,无线但在共享网络上为AC);以及装置性能:8(快速、昂贵的CPU、存储器、图形处理,但是存储只需要大约<10GB)。
其次,基于安全评分和/或上下文信息,工作空间编排服务以机器可读格式(例如,JSON名称值、XML结构化等)构建具有工作空间定义属性的呈任何合适的结构的工作空间定义文件。在此示例中,安全目标可基于表示关于如下安全控制和分隔特征的负载、需求或要求的属性值的组合而被视为具有值“4”:威胁监测:4(中等要求);威胁检测:4(中等要求);威胁分析:4(中等要求);威胁响应:4(中等要求);存储机密性:4(中等);存储完整性:9(高);网络机密性:5(中等);网络完整性:2(低);存储器机密性:4(中等);存储器完整性:8(高);显示机密性:7(中等/高—担心“背后偷窥者”从相邻座位或邻近桌(公共位置)读取数据);显示完整性:2(低);用户认证:4(中等,使用硬件令牌进行双因素认证,在休眠、锁屏或退出时会话过期);IT管理范围:3(管理员可远程地监测、管理和修复,如果用户向所述管理员求助IT问题的话);以及合规性:1(无GDPR、无HIPAA、无PCI、无技术出口限制等)。
基于生产力目标和/或上下文信息,针对工作空间定义的生产力目标可基于表示如下生产力要求的属性值的组合而被视为具有值“7”(定义高质量、响应性用户体验):本地存储:7(部分硬盘驱动器控制,一些存储被保留用于IT负载);CPU访问:10(无限制);本地图形处理:10(无限制);以及应用程序栈:7(可使用应用程序,可安装一些IT批准的用户需要的应用程序,但是没有管理员权限,因为不能信任用户只安装有效/安全的生产力软件,但是可根据需要安装预先批准的IT应用程序)。
再次,在工作空间定义完成之后,工作空间编排服务和本地管理代理可组装工作空间并且为用户实例化所述工作空间。例如,本地管理代理可从编排服务接收定义文件(例如,JSON、XML等),并且它可解析所述文件以实施诸如以下的安全风险控制:威胁监测:5(本地管理代理安装TDR软件或证实所述TDR软件的事先安装/配置);威胁检测:5(本地管理代理安装TDR软件或证实所述TDR软件的事先安装/配置);威胁分析:5(编排证实遥测是可用的,OS将参与日志记录,如果尚未参与的话);威胁响应:2(本地管理代理下载但不运行远程事件响应应用程序—为检测到事件做好准备);存储机密性:5(本地管理代理部署本地容器技术,诸如沙盒,具有有限的“保存”权限,以至于不允许将机密文件本地保存在PC上,但是只要会话在存储器中处于活动状态就可访问所述机密文件);存储完整性:5;网络机密性:5(本地管理代理加强防火墙保护,禁用所有不必要的端口,并且建立回到公司办公室的VPN以保护通往本地沙盒的流量);网络完整性:5;存储器机密性:5(本地管理代理配置沙盒容器以使应用程序和数据与可能潜入主机OS的其他应用程序/威胁隔离);存储器完整性:5;显示机密性:7(本地管理代理证实安装了图形驱动程序,实施隐私屏幕并使用相机来检测特定的旁观者威胁);显示完整性:7;用户认证:4(本地代理证实基本GPO密码规则已被配置,并且被用户满足—例如,字符数、没有会话过期等,但是还添加了用硬件令牌登入并再次建立网络的要求);IT管理员距离:4(本地代理以管理员和远程访问特权运行,证实IT管理员账号被列入本地管理员用户群体中—例如,根据GPO);以及合规性:4(本地代理安装对州特定的规则实施或监测软件)。
在证实配置之后,工作空间编排服务和本地管理代理可准予用户访问所请求的本地机密文件,并且用户可开始在新创建的工作空间中工作。
用例C
在用例C中,用户可在处于具有借用/租用PC(就像关于图1的IHS 100和图3的客户端IHS 300B所描述的那样进行配置)的网吧时在开放的WiFi网络上使用来自哈萨克斯坦(Kazakhstan)的浏览器请求访问由web托管的远程门户中的机密数据文件。
首先,远程工作空间编排服务(206)拦截访问请求并评估浏览器和用户上下文,并且计算安全和生产力评分。在此用例中,不存在本地管理代理;所有已知的有浏览器以及通过HTTP/S会话返回或收集的任何遥测。出于这个示例考虑,假设机密数据可在内部(例如,回到公司总部)保存在共享的IT管理的网络资源上,并且数据文件将仅以远程呈现/访问特权保留在那里。基于Web的上下文可通过浏览器会话收集或由用户供应。此外,还可通过可替代的侧面渠道(例如,浏览日历信息,最近的用公司信用卡进行的用户缴费活动、电话呼叫记录和/或位置数据)为工作空间编排服务收集用户上下文。
当用户从web浏览器选择期望的机密数据文件时,后台web服务器基础架构回调工作空间编排服务以请求工作空间定义。
在此示例中,工作空间编排服务可使用加权的机器学习或人工智能算法,基于以下上下文信息或输入而对整体安全风险进行评分以具有值“9”,所述上下文信息或输入中的每一者也基于选定策略而作为风险量度进行评分:场所:9(哈萨克斯坦);用户角色:1(用户期望去那里,基于过去的登录情况,时机似乎是恰当的,并且他具有生物识别手表通讯器,证明他自身是活着的并且位于他所说的地点—使得IT始终能够信任他);网络风险:9(高,公共并且在非常偏僻的地点);装置风险:9(零信任);以及监管:8(基于用户、数据、位置组合)。
工作空间编排服务还可使用加权的机器学习或人工智能算法,基于以下上下文信息或输入而计算生产力评分以具有值“5”,所述上下文信息或输入中的每一者也基于选定策略而作为资源量度给出:场所:3(没有出色性能的网吧装置);用户角色:9(已知高置信度和“有技能”分类—高级计算任务、熟练度和速度);网络速度/延时:3(低质量—来自很远地方的无线G);以及装置性能:3(必须能够勉强浏览web页面,但是基于服务认为将具有什么能力,所述服务应当构建简单的能力)。
其次,基于安全评分和/或上下文信息,工作空间编排服务以机器可读格式(例如,JSON名称值、XML结构化等)构建具有工作空间定义属性的呈任何合适的结构的工作空间定义文件。在此示例中,安全目标可基于表示关于如下安全控制和分隔特征的负载、需求或要求的属性值的组合而被视为具有值“9”:威胁监测:10(高要求,将在服务器端上处置);威胁检测:10(高要求,将在服务器端上处置);威胁分析:10(高要求,将在服务器端上处置);威胁响应:10(高要求,将在服务器端上处置);存储机密性:10(高要求,将在服务器端上处置);存储完整性:8;网络机密性:10(高要求,将在服务器端上处置);网络完整性:9;存储器机密性:10(高要求,将在服务器端上处置);存储器完整性:9;显示机密性:10(高,“背后偷窥者”可能会从公共位置中的相邻座椅或邻近桌读取数据文件);显示完整性:9;用户认证:10(高,使用登录系统、硬件令牌和生物识别卫星手表进行三重因素认证—有会话过期且每30秒进行刷新);IT管理员距离:8(管理员可远程地监测、管理和修复,如果用户向所述管理员求助或发生任何意料之外的事情的话);以及合规性:10(安全地监测所有网络流量,也将呈现数据)。
基于生产力目标和/或上下文信息,针对工作空间定义的生产力目标可基于表示如下生产力要求的属性值的组合而被视为具有值“3”(定义可用的安全用户体验,这主要是为了消费而构建,而不是为了生产力而构建):本地存储:1(仅有高速缓存);CPU访问:3(出于有限的期望而构建);本地图形处理:3(出于有限的期望而构建);以及应用程序栈:1(在信息亭模式装置上的web浏览器体验、有限的数据录入能力、通过VDI呈现的信息亭实现的对仅需要了解信息的有限的读取访问)。
再次,在工作空间定义完成之后,工作空间编排服务和远程云web门户(例如,用户通过浏览器登入的会话)可组装工作空间并且为浏览器中的用户实例化所述工作空间。例如,web门户可从编排服务接收定义文件(例如,JSON、XML等),并且它可解析所述文件以实施诸如以下的安全风险控制:威胁监测:9(基于数据中心的管理代理安装TDR软件或证实所述TDR软件的事先安装/配置);威胁检测:9(基于数据中心的管理代理安装TDR软件或证实所述TDR软件的事先安装/配置);威胁分析:9(编排证实遥测是可用的,托管web服务器的服务器可参与日志记录,如果尚未参与的话—还可在来自侧面渠道的用户行为遥测中持续地监测可疑/异常活动);威胁响应:10(基于数据中心的管理代理设置看门狗定时器以自动终止会话,而不用在编排、用户遥测和web浏览器中进行定期检查);存储机密性:9(基于数据中心的管理代理构建可用于通过安全TLS链路显示数据的渐进式web应用程序—将呈现数据,但是只将所需的可视化部分呈现给用户,而无法保存任何东西);存储完整性:10;网络机密性:9(尽最大努力将流量路由到安全位置—不允许除了位图效果图之外的任何事物通过可实施的网络);网络完整性:4;存储器机密性:9(仅有web页面查看器—没有数据离开数据中心,没有从租用的PC获取机密输入,不允许键盘输入,并且所有输入可使用鼠标点击坐标从随机化虚拟键盘捕获);存储器完整性:8;显示机密性:8(尽最大努力确保机密性—至少提示用户—可调整字体大小,但是默认为小字体、模糊文本等);显示完整性:2;用户认证:9(本地代理证实基本密码规则已被配置,并且被用户满足—例如,字符数、没有会话过期等,但是还添加了用硬件令牌和生物识别卫星手表登入并再次建立网络的要求,从而要求来自用户的频繁再确认);IT管理员距离:7(基于数据中心的远程环境);以及合规性:8(不存在本地代理,但是基于数据中心的代理监测/阻止不适宜的数据)。
在证实配置之后,工作空间编排服务和本地管理代理可准予用户访问所请求的呈现数据,并且用户可开始在新创建的工作空间中工作。
图4是描述根据各种实施方案的用于确保企业生产力生态系统中的动态工作空间安全的过程的某些步骤的流程图。所示的实施方案在框405处开始于用户使用诸如关于图1和图3所描述的IHS来选择由企业生产力生态系统(诸如关于图2和图3所描述)管理并经由启动点变得可用的数据或应用程序。例如,用户可请求访问经由企业生产力生态系统管理的数据源。这种数据源可包括位于特定服务器上的远程驱动器、经由云系统访问的远程虚拟驱动器、或位于用户IHS上的数据源。在一些情况下,数据源可为位于这些位置中的一者处的特定文件夹或文件。在其他情况下,用户可通过请求访问经由启动点可用的应用程序或服务来发起图4的过程,所述启动点由本地管理代理提供。
在检测到访问受管理数据或受管理资源的请求之后,在框410处,工作空间编排服务可认证发出请求的用户的身份。在一些实施方案中,本地管理代理可能先前已经认证了用户,以便授予用户对启动点的访问并且确定经由启动点将呈现给用户的受管理数据源和应用程序。在一些情况下,可将本地管理代理进行这种认证的结果提供给工作空间编排服务。在一些实施方案中,可能需要额外认证,以便评估用户请求并且确定用户请求的风险评分。因此,在框410处可能需要额外认证因素来确定用户的身份。
用户的身份信息可由本地管理代理收集并且提供给工作空间编排服务。在框415处,工作空间编排服务可评估描述由用户呈现的风险等级的一个或多个属性。例如,用户可被识别为高风险访客用户、具有安全问题历史的高风险雇员、正常风险雇员用户、中等风险受邀访客用户、中等风险签约雇员用户、没有安全问题历史的低风险专家雇员用户、或低风险管理用户。另外地或可替代地,其他群体分类可被利用来对由用户呈现的风险等级进行分类,诸如用户是全职雇员还是兼职雇员,或者用户所属的业务组(例如,金融、人力资源、工程、销售、技术支持、法律)。在某些情况下,不同的风险等级可能与不同的群体分类相关联。例如,金融用户可能与低风险相关联,因为所述金融用户差不多只访问几种类型的数据并且从公司场所内的固定位置进行这种访问,而销售用户可能与高风险相关联,因为所述销售用户从不同位置访问各种类型的数据。在一些实施方案中,由用户呈现的风险等级可基于用户已经隶属于工作空间编排服务的提供商的时间长度或用户已经成为特定公司的雇员的时间长度而评估。在一些实施方案中,由用户呈现的风险等级可基于与特定用户相关联的历史信息,诸如用户先前是否被判定违反了安全策略或未能遵循由企业生产力生态系统利用的最佳实践而评估。在另外的实施方案中,与用户相关联的特权状态分类(例如,管理员、访客等)可指示风险等级。在此类实施方案中,特权状态分类的变化还可指示风险上下文信息。例如,历史特权状态分类可指示用户的特权分类最近从普通用户变为管理用户。这种场景可指示使用这个账户可能有安全漏洞,从而需要升高对来自这个用户的工作空间请求的风险评分。
除了对发出请求的用户的身份进行认证之外,还可对用于发出请求的IHS的身份进行认证。在一些实施方案中,IHS的身份可基于与IHS相关联的唯一标识符,诸如服务标签或序列号或图3的装置ID而确定。基于此类唯一标识符,IHS可能特别地由工作空间编排服务识别,并且在某些情况下可用于确定IHS的具体硬件和软件能力。如关于图1的IHS 100所描述,IHS的各种部件的完整性可使用在IHS的可信制造过程期间或在IHS的可信管理期间针对这些部件生成的参考签名来证实。在此类实施方案中,IHS的身份可被认证为包括可被证实为未被入侵的部件的特定IHS。在框420处,IHS的本地管理代理可收集提供给工作空间编排服务的身份信息,其中在框425处,可使用硬件身份信息来确定与IHS的硬件相关联的风险属性。
IHS硬件的风险属性可指示与特定IHS相关联的风险等级。可对可获得很少或无法获得硬件信息的IHS分配最高风险等级,诸如由访客用户操作未被辨识的IHS。还可对可被证实为先前受到入侵(诸如基于与该特定IHS相关联的日志信息)的IHS分配高风险等级。可对来自具有安全问题历史的第一制造商的IHS分配中等风险等级,而可对来自具有很少安全问题的第二制造商的IHS分配较低风险等级。对内部硬件部件利用过时固件的IHS可被分配比对内部硬件部件利用最新固件的IHS更高的风险等级。可对已经以不推荐的方式配置(诸如配置UEFI属性以禁用IHS上的安全启动程序或使得能够使用某些USB或其他I/O端口)的IHS分配中等风险等级。可对可被证实为利用未被入侵的硬件元素(诸如基于对固件签名的校验)的被辨识的IHS分配最低风险等级。
在框430处,可确定用于发出请求的IHS的软件身份。IHS的软件身份描述了可部署工作空间的逻辑环境。在某些情况下,IHS的软件身份可由IHS的操作系统指示,并且可包括操作系统的版本信息以及已经应用于操作系统的更新和补丁。IHS的软件身份还可识别由操作系统支持的安全相关的软件应用程序,包括安全应用程序,诸如防火墙、反病毒软件和安全套件,诸如DELL DATA GUARDIAN,所述安全应用程序可被配置为安全地管理存储在诸如由图1的IHS 100支持的可信控制器115的安全部件中的凭证和其他安全信息。IHS的软件身份也可识别在IHS的操作系统内操作的所有应用程序和/或进程。在此类实施方案中,软件身份信息还可包括当前在IHS的操作系统中运行的应用程序中的一些或全部的版本信息和更新信息。更新信息可指示特定补丁(例如,解决特定安全缺陷的补丁)是否已经安装在IHS上和/或IHS或IHS的应用程序的最新补丁的日期。如所描述,在一些实施方案中,本地管理代理可完全或部分地在安全执行环境内操作,所述安全执行环境在与IHS的OS分开操作的可信控制器上运行。IHS的软件身份因此还可包括本地管理代理的隔离等级。
与IHS的硬件身份信息一样,软件身份信息可提供给工作空间编排服务。在框435处,可使用软件身份信息来确定与IHS的逻辑环境相关联的风险属性,用户在所述逻辑环境中请求访问受管理数据源或其他资源。例如,可基于IHS的操作系统缺乏更新而指示高风险逻辑环境。中等风险逻辑环境可由更新的操作系统指示,在所述更新的操作系统中,若干其他应用程序正在使用中,包括支持用户输入的应用程序,诸如文字处理应用程序,所述应用程序可用于手动再现经由也在操作系统内运转的工作空间提供的信息。当在操作系统内操作的应用程序主要用于为用户提供媒体输出,诸如媒体播放器或游戏应用程序(其中用户输入不用于数据录入)时,可指示较低风险逻辑环境。当应用程序中的一个是可为用户提供可能不容易被监测或跟踪的广泛范围的基于web的工具和应用程序(诸如基于web的电子邮件和文件传递)的web浏览器时,可指示较高风险逻辑环境。在支持数据文件传输的应用程序(诸如电子邮件客户端或FTP客户端)操作的任何时候,都可指示中等风险逻辑环境。
在许多场景下,IHS所在的物理环境可指示风险。在框440处,可确定IHS的物理位置。如关于图1所描述,根据实施方案的IHS可被配置为收集各种类型的位置信息。例如,IHS的地理坐标可从可用的传感器收集,或基于三角测量信息而生成。位置信息还可基于由IHS的网络接口检测到的网络广播信号的身份而确定。在一些实施方案中,可基于由IHS检测到的各种无线信号的强度而提高所确定的位置信息的精确度,从而提供识别特定房间或其他区域内IHS的位置的能力。在一些实施方案中,这种位置信息可作为访问受管理数据源或其他资源的请求的一部分由在IHS上操作的本地管理代理收集。
在框445处,可由工作空间编排服务利用由本地管理代理报告的位置信息来确定与IHS的物理位置相关联的风险属性。工作空间编排服务可利用接收到的位置信息,以便确定与该位置相关联的风险属性。通过基于由用户雇主提供的无线网络所实现的网络信息广播而确定IHS位于用户的工作位置,可指示低风险物理位置。通过经由公共无线网络获得的指示IHS位于经常使用的位置,诸如在用户工作地附近的咖啡店的位置信息,可指示中等风险物理位置。通过指示IHS在使用中,同时用户是飞机、车辆或公共交通上的乘客并正利用任何可用的蜂窝或公共无线网络的位置信息,也可指示中等风险物理位置。通过指示IHS位于未被辨识的位置并正使用公共无线网络,同时IHS还检测到多个额外无线网络的位置信息,可指示较高风险物理位置。通过指示IHS位于已经被分类为指示高风险区域的国家、城市、地理围栏区域、场所、邮政编码、区号、或其他地理区域的位置信息,也可指示高风险物理位置。通过指示IHS的位置发生可疑变化的位置信息,同样可指示高风险物理位置。例如,IHS可被识别为在早上位于用户在美国的正常工作地点,而在晚些时候的当天下午,接收到断言IHS现在位于欧洲的位置信息。
在框450处,可确定已被请求的数据源或其他资源的风险属性。在一些场景下,可直接基于与数据源、应用程序、服务或其他资源相关联的分类,诸如使用指定为机密、秘密、公共或享有特权的数据指定来确定风险分类。还可基于正请求的数据的类型而确定风险分类。例如,与金融信息或详细工程原理图相关联的文件类型可指示高风险数据,而对流媒体文件的请求可指示低风险数据。还可基于存储请求数据的位置而确定风险分类。例如,由于数据存储在IHS的安全存储器,或者与IHS成一体且已经被指定用于存储重要的受管理数据的另一个本地存储中,可指示高风险数据。由于存储在已经被指定用于一般用途的本地或远程存储中,可指示中等风险数据。由于存储在可信且被辨识的云资源中,可指示中等风险数据,而由于存储在未被辨识的云资源中,可指示较高风险数据。
在各种实施方案中,诸如上文描述的风险属性可以上文描述的操作顺序的任何合适的组合生成,使得图4的步骤可以任何次序和/或同时执行。实施方案可利用描述工作空间将在其中实例化的上下文的任何或所有收集到的信息,以便生成风险属性。在一些实施方案中,在生成风险属性时使用的数据可由在IHS上操作的本地管理代理收集,并且可传达给工作空间编排服务以在455处评估和计算与请求相关联的风险评分。在一些实施方案中,风险评分可为在限定的范围或规模内的数值,诸如在零与一百之间的风险评分、或在一与十之间的评级。
实施方案可利用机器学习技术来计算风险评分。例如,评估与用户、物理环境、逻辑环境、IHS和数据相关联的风险等级的各种安全属性可作为输入提供给机器学习算法。在此类实施方案中,数值风险评分可作为机器学习的输出来生成。以此方式使用的机器算法的训练可通过使用对数据或其他资源的请求的训练集来完成,其中训练数据中的每个请求都与上下文信息和该上下文的风险属性相关联。这种人工训练集还可将特定风险评分与风险属性的不同组合相关联。一旦经过训练,机器学习能力就可用于生成各种上下文的风险评分,所述各种上下文不包括在训练集中并且使用新的风险属性类型,诸如与新的受管理数据源类型、或新的物理位置类型、或指定与用户相关联的风险等级的新的量度相关联的风险等级。
在460处可利用与请求相关联的所生成的风险评分,以便确定支持遵从请求的工作空间的安全特性。例如,最低风险评分可能与由可信位置处的被辨识的IHS的认证用户发出的请求相关联,其中所述请求试图访问应用程序,诸如web浏览器、游戏应用程序或流媒体播放器。响应于具有这种低风险评分的请求,可选择以下这样的工作空间定义:指定工作空间的最低限度隔离,不对可用于进出工作空间的数据传输的协议施加限制,不需要额外认证并且不对进出工作空间的数据传递施加限制。中等风险评分可能与在用户工作地附近的未被辨识的位置处的被辨识的IHS的认证用户发出的对经常访问数据的请求相关联。在这种场景下,可选择指定工作空间的最低限度隔离,但是对必须利用的加密等级提出要求并需要用户定期重新认证的工作空间定义。在较高风险场景下,在位于另一个国家的未被辨识的位置时,同一用户现在可能请求访问很少使用的金融信息。在这种场景下,可选择以下这样的工作空间定义:指定较高程度的隔离,对加密的使用提出严格的要求,需要使用额外认证因素证实用户身份并且需要用户定期认证,而且需要用户保持非常接近于IHS。较高风险场景可能由利用未被辨识或无法验证为使用未被入侵的硬件的IHS的新的用户呈现。这种风险评分可能与需要工作空间使用安全而隔离的存储器的工作空间定义相关联。高风险场景还可能由在未被辨识的位置利用未被辨识的IHS时请求访问高风险数据的被辨识的用户呈现。在这种场景下,可选择以下这样的工作空间定义:需要最大限度隔离工作空间,其中工作空间在云资源上实例化,并且经由IHS只提供请求数据的不可变的映像而且需要最大限度使用可用的认证因素以便肯定地证实用户的身份。
以此方式,风险评分可被利用来选择提供保护的工作空间定义,所述保护适合于将在其中使用受管理数据或其他资源的上下文。以此方式生成的工作空间因此有助于在风险等级较低的场景下为用户提供最大生产力,并且随着与请求相关联的风险等级的增加而适当地降低生产力以便实施额外的安全要求。在确定符合用户请求的工作空间的安全要求并生成指定安全要求的工作空间定义之后,在465处,工作空间编排服务可将工作空间定义传输给IHS,其中所述定义可由本地管理代理使用来构建和操作为用户提供对请求数据或其他资源的访问的工作空间。
图5是描述根据各种实施方案的用于持续确保企业生产力生态系统中的动态工作空间安全的额外过程的某些步骤的流程图。图5的实施方案可在框505处开始于基于工作空间定义中阐述的要求而在IHS上实例化工作空间,所述工作空间定义如图4中所描述基于风险评分而选择,所述风险评分基于描述将在其中使用工作空间的上下文的风险属性而计算。在框510处,用户操作工作空间来使用由用户请求的受管理数据或其他资源。由于支配工作空间操作的工作空间定义是基于用户请求时的上下文而选择,因此上下文的变化可能会改变风险评分,现在这与请求数据和/或应用程序的持续使用相关联。因此,在框515、520、525、530处,可检测请求数据或其他资源的持续使用的上下文的各种变化。
例如,在框515处,工作空间编排服务可从本地管理代理接收工作空间在其中运转的逻辑环境发生变化的通知。在工作空间作为IHS的操作系统内的隔离的应用程序进行操作的场景下,某些操作系统应用程序的初始化可能需要重新评估与经由工作空间持续访问受管理数据相关联的风险。例如,工作空间可为用户提供对专有技术信息,诸如CAD图的访问,以及对操纵技术信息,诸如CAD应用程序的应用程序的使用。在接收到用户已经初始化电子邮件应用程序或获得了对不受企业生产力生态系统管理的数据存储的访问的通知之后,可能需要重新评估与专有技术信息的持续使用相关联的风险评分。因此,在框535处,可确定与专有技术信息的持续使用相关联的风险属性,诸如通过对与工作空间在其中运转的逻辑环境相关联的风险等级进行升级来进行。
类似地,在框520处,可检测所请求的对额外数据或其他资源的访问的检测并且将其提供给工作空间编排服务。在某些情况下,可能已经生成工作空间来为用户提供对公共或另外不受保护的信息的访问。然而,在检测到访问机密信息的额外用户请求之后,可能需要重新评估工作空间的安全要求。在另一种场景下,工作空间可为用户提供对受管理数据和用于查看受管理数据的应用程序的访问,但是检测到访问可修改受管理数据的应用程序的请求可能需要重新评估工作空间安全要求。在框540处,可确定正被请求的数据或其他资源的更新集合的更新的风险属性,诸如通过对与经由工作空间将访问的数据相关联的风险等级进行升级来进行。
在框525处,可将IHS的硬件身份的任何修改报告给工作空间编排服务。例如,将移动式存储装置耦接到IHS可指示安全上下文的变化。诸如经常使用的外部硬盘驱动器的被辨识的存储装置的耦接可能只会导致持续使用数据的风险评分的微小变化,而未被辨识的拇指驱动器的耦接可能会导致风险评分的重大变化。在框545处,可确定工作空间在其中运转的硬件环境的更新的风险属性。在另一个示例中,检测到IHS到被辨识的外部显示器的耦接可能会导致持续使用数据的风险评分的微小变化,而IHS到未被辨识的投影显示器的耦接可能会导致与IHS的硬件身份相关联的风险属性的重大变化。如所描述,在一些实施方案中,IHS可支持由硬件部件使用的固件的查证。在此类实施方案中,无法查证先前经过校验的固件或检测到未经查证的部件可能会导致IHS的硬件身份的重大变化,从而导致风险评分的巨大变化。
IHS的物理环境的任何检测到的变化可在框530处报告给工作空间编排服务。例如,如果IHS的传感器提供了IHS正在运输中的指示,则预计安全上下文可能会基于IHS移动时可利用的不同网络而变化。因此,从可信网络到不可信网络的任何变化都可能会导致在550处确定的与IHS所在的物理环境相关联的风险属性的重大变化。在一些实施方案中,根据实施方案配置的IHS可检测用户何时存在于接近于IHS之处,并且还可检测非常接近于IHS的额外个体的存在。在此类实施方案中,可将额外个体的检测以及与这些个体相关联的任何可用的身份信息报告给工作空间编排服务。在一些场景下,对机密数据的持续访问可能取决于在接近于IHS之处检测到额外个体时由用户提供额外认证信息。在其他场景下,响应于在接近于IHS之处检测到额外个体,可由工作空间禁用外部显示器的使用。
在框560处,按照检测到的上下文的变化,利用更新的风险属性来生成持续访问请求数据和/或应用程序的更新的风险评分。如关于图4所描述,可训练机器学习算法来基于表征各种风险属性的输入而计算数值风险评分,所述各种风险属性描述了在其中部署或将部署工作空间的上下文。在框565处,基于由安全上下文的变化产生的更新的风险评分而评估当前部署的工作空间的如由其工作空间定义所指定的安全特性。如果当前的工作空间定义没有为更新的风险等级提供足够的安全性,则在框570处,确定并传输更新的工作空间定义以由本地管理代理使用来基于更新的工作空间定义而调整或重新初始化工作空间。
***
如先前所描述,可基于分别从初始生产力上下文和安全上下文生成的生产力目标和安全目标而创建用户的工作空间。此外,当用户在工作空间中执行动作时,工作空间的各种配置会随时间的推移而变化。
在本文描述的各种系统和方法中,当工作空间被入侵(例如,被恶意软件攻击)时,工作空间编排服务206可从过去和现在的配置变化中学习以预测将来潜在的入侵。特别地,工作空间编排服务206可监测会话期间选定工作空间配置的变化。如果给定工作空间被入侵,则监测服务创建表示从初始黄金工作空间配置漂移到被入侵的工作空间配置的入侵指标(IOC)。一旦被创建,IoC就可用于预测将来的工作空间入侵实例。
图6是用于基于配置漂移而创建和处置工作空间IOC的方法600的示例的图。在各种实施方案中,方法600可至少部分地通过执行例如作为工作空间编排服务206内的分析服务323的一部分部署的配置监测和漂移引擎601的机器学习或人工智能算法来执行。在开始时,由工作空间编排服务206产生具有一系列配置和/或设置:X1、X2、X3、…、X(n)的初始工作空间定义文件602。
一旦由本地管理代理332使用初始工作空间定义文件602来实例化处于“状态G”603中的工作空间,配置监测和漂移引擎601就能远程地监测黄金配置604(X1=n1,X2=n2,X3=n3,…,X(n)=n(n))以及对其作出的任何变化。例如,本地管理代理332可被配置为将受到监测的这些配置或设置的当前值发送到云监测和漂移引擎601。然后,当一个或多个工作空间配置被修改(例如,因用户输入、侵入者、恶意软件攻击等而修改),使得工作空间现在处于“状态A”605时,由配置监测和漂移引擎601接收并存储修改的配置快照606(X1=a1,X2=b2,X3=a3,…,X(n)=a(n))。
适合于在IOC 609中加以跟踪的配置变化的示例可包括但不限于:VPN(值:启用、禁用、加密算法(AES、DES)、密钥长度);防火墙(值:启用、禁用、开放端口数量、策略变化);数据加密(值:启用、禁用、类型);网络安全(值:启用、禁用、连接类型(WEP、WPA));网络速度(值:编号);数据位置(值:文件夹位置);安装的应用程序版本(值:编号);反恶意软件解决方案(值:安装、禁用、解决方案类型(签名、ML));装置性能:CPU、存储器、盘(值:实时性能);装置配置(值:CPU、存储器、盘(数量));附设外围设备(值:监视器、键盘、鼠标、蓝牙外围设备、坞站);用户认证(值:MFA、生物识别、你好、密码);主应用程序安装状态(值:文档处理器、电子表格、带插件的浏览器);BIOS配置(值:基线配置)等。
在随后的时间点,当工作空间配置再次被修改,使得工作空间处于“状态B”607时,由配置监测和漂移引擎601接收并存储额外修改的配置快照608(X1=b1,X2=b2,X3=b3,…,X(n)=b(n))。
在会话期间,配置监测和漂移引擎601可维护配置变化的历史,并且在一些情况下,可使每种变化与相应的时间戳相关联,从而创建或监测IOC 609(X1=n1->a1->b1,…->c1;X2=n2->a1->b1,…->c1;X3=n3->a3->b3,…->c3;…;X(n)=n4->a4->b4,…->c4)。如果在某一时间点,由于工作空间改变状态(例如,从603变为605,变为607等),检测到侵入或入侵事件(例如,如由工作空间的当前安全风险所指示),则可存储IOC 609以进行将来的入侵预测。
在一些实施方式中,当每个配置变化发生在前一个配置变化时间戳的可选时间范围内时,可能会发现当前配置变化序列与IOC之间的匹配。在其他实施方式中,当工作空间的配置已经朝向已知IOC漂移了小于链中的100%所有变化的选定量时,可预测入侵。这个选定量可用于调节方法600的检测灵敏度,例如,如果检测到IOC中所有配置变化的N%,则可警告IT管理员或安全分析员,可终止工作空间,可限制对敏感数据的访问,可基于初始或新的工作空间定义而实例化新的工作空间等。在一些情况下,可在方法400和/或500中使用与一个或多个IoC中的变化匹配的数量不断增长的配置变化以改变或增大风险评分。在再一些其他实施方式中,可存储跨越两个或更多个工作空间或会话的IoC,所述工作空间或会话已经基于相同或相似的工作空间定义文件602而顺序地实例化。
因此,在各种实施方案中,本文描述的系统和方法可通过监测特定配置并对照部分或整体IOC链评估配置漂移来实现对工作空间入侵的预测。
应当理解,本文描述的各种操作可在由处理电路执行的软件、硬件或其组合中实施。可改变执行给定方法的每个操作的次序,并且可对各种操作进行添加、重新排序、组合、省略、修改等。本文描述的发明意图包含所有此类修改和变化,并且因此,以上描述应被视为是说明性而非限制性的。
如本文所用的术语“有形”和“非暂时性”意图描述将传播的电磁信号排除在外的计算机可读存储介质(或“存储器”);但是并不意图以其他方式限制由短语计算机可读介质或存储器涵盖的物理计算机可读存储装置的类型。例如,术语“非暂时性计算机可读介质”或“有形存储器”意图涵盖不一定永久地存储信息的存储装置的类型,包括例如RAM。以非暂时性形式存储在有形计算机可访问存储介质上的程序指令和数据随后可通过诸如电信号、电磁信号或数字信号的传输介质或信号来传输,所述传输介质或信号可经由诸如网络和/或无线链路的通信介质来传送。
尽管本文参考特定实施方案描述了本发明,但是可在不脱离本发明的如所附权利要求所阐述的范围的情况下作出各种修改和改变。因此,说明书和附图被视为具有说明性而非限制性意义,并且所有此类修改意图被包括在本发明的范围内。本文关于特定实施方案描述的任何益处、优点或问题的解决方案都不意图被解释为任何或所有权利要求的关键、必需、或必要的特征或元素。
除非另有说明,否则诸如“第一”和“第二”的术语用于任意地区分此类术语描述的元素。因此,这些术语不一定意图指示此类元素的时间或其他优先次序。术语“耦接”或“可操作地耦接”被定义为连接,但是不一定直接地,并且不一定机械地连接。除非另有说明,否则术语“一个/种(a/an)”被定义为一个或多个/种。术语“包含(comprise)”(以及包含的任何形式,诸如“包含(comprises)”和“包含(comprising)”)、“具有(have)”(以及具有的任何形式,诸如“具有(has)”和“具有(having)”)、“包括(include)”(以及包括的任何形式,诸如“包括(includes)”和“包括(including)”),以及“含有(contain)”(以及含有的任何形式,诸如“含有(contains)”和“含有(containing)”)为开放式的连系动词。因此,“包含”、“具有”、“包括”或“含有”一个或多个元素的系统、装置或设备拥有那一个或多个元素,但是不限于仅拥有那一个或多个元素。类似地,“包含”、“具有”、“包括”或“含有”一个或多个操作的方法或过程拥有那一个或多个操作,但不限于仅拥有那一个或多个操作。
Claims (20)
1.一种存储器存储装置,所述存储器存储装置上存储有程序指令,所述程序指令在由工作空间编排服务的信息处置系统(IHS)的一个或多个处理器执行时使所述IHS:
在工作空间编排服务处从客户端IHS接收配置信息,其中所述配置信息表示由所述客户端IHS执行的工作空间的配置的变化,并且其中所述工作空间基于由所述工作空间编排服务提供的工作空间定义而实例化;
由所述工作空间编排服务确定所述配置信息与入侵指标(IOC)匹配;以及
从所述工作空间编排服务向所述客户端IHS传输响应于所述IOC而执行动作的指令。
2.如权利要求1所述的存储器存储装置,其中所述配置信息包括以下各者中的至少一者的值:虚拟专用网络(VPN)、防火墙、数据加密、网络安全、网络速度、数据位置、安装的应用程序版本、反恶意软件、装置性能、装置配置、附设外围设备、用户认证、主应用程序安装状态、或基本输入/输出系统(BIOS)配置。
3.如权利要求1所述的存储器存储装置,其中所述IOC是多个IOC中的一个,并且其中每个IOC包括配置变化链。
4.如权利要求3所述的存储器存储装置,其中所述配置信息表示比所述IOC中的配置变化总数更少的变化。
5.如权利要求3所述的存储器存储装置,其中所述配置变化链能够由所述工作空间编排服务使用来预测所述工作空间正发展为或已经遭受安全入侵。
6.如权利要求1所述的存储器存储装置,其中在接收到所述配置信息之前,所述工作空间编排服务被配置为基于对先前配置变化的评估而生成所述IOC。
7.如权利要求1所述的存储器存储装置,其中响应于所述IOC而执行所述动作的所述指令包括终止所述工作空间的指令。
8.如权利要求1所述的存储器存储装置,其中响应于所述IOC而执行所述动作的所述指令包括基于新的工作空间定义而实例化新的工作空间的指令。
9.一种信息处置系统(IHS),所述IHS包括:
处理器;以及
耦接到所述处理器的存储器,所述存储器上存储有程序指令,所述程序指令在执行时使所述IHS:
将配置信息传输给工作空间编排服务,其中所述配置信息表示由所述IHS执行的工作空间的配置的变化,并且其中所述工作空间基于由所述工作空间编排服务提供的工作空间定义而实例化;以及
从所述工作空间编排服务接收响应于入侵指标(IOC)而执行动作的指令,所述IOC由所述工作空间编排服务基于所述配置信息而识别。
10.如权利要求9所述的IHS,其中所述配置信息包括以下各者中的至少一者的值:虚拟专用网络(VPN)、防火墙、数据加密、网络安全、网络速度、数据位置、安装的应用程序版本、反恶意软件、装置性能、装置配置、附设外围设备、用户认证、主应用程序安装状态、或基本输入/输出系统(BIOS)配置。
11.如权利要求9所述的IHS,其中所述IOC是多个IOC中的一个,并且其中每个IOC包括配置变化链。
12.如权利要求11所述的IHS,其中所述配置信息表示比所述IOC中的配置变化总数更少的变化。
13.如权利要求11所述的IHS,其中所述配置变化链能够由所述工作空间编排服务使用来预测所述工作空间正发展为或已经遭受安全入侵。
14.如权利要求9所述的IHS,其中响应于所述IOC而执行所述动作的所述指令包括终止所述工作空间的指令。
15.如权利要求9所述的IHS,其中响应于所述IOC而执行所述动作的所述指令包括基于新的工作空间定义而实例化新的工作空间的指令。
16.一种方法,所述方法包括:
在工作空间编排服务处从信息处置系统(IHS)接收配置信息,其中所述配置信息表示由所述IHS执行的工作空间的配置的变化,并且其中所述工作空间基于由所述工作空间编排服务提供的工作空间定义而实例化;
由所述工作空间编排服务确定所述配置信息与多个入侵指标(IOC)中的给定IOC匹配,其中所述给定IOC包括配置变化链;以及
响应于所述确定而从所述工作空间编排服务向所述IHS传输以下这样的至少一个指令:(a)终止所述工作空间;或(b)基于新的工作空间定义而实例化新的工作空间。
17.如权利要求16所述的方法,其中所述配置信息包括以下各者中的至少一者的值:虚拟专用网络(VPN)、防火墙、数据加密、网络安全、网络速度、数据位置、安装的应用程序版本、反恶意软件、装置性能、装置配置、附设外围设备、用户认证、主应用程序安装状态、或基本输入/输出系统(BIOS)配置。
18.如权利要求16所述的方法,其中所述配置信息表示比所述给定IOC中的配置变化总数更少的变化。
19.如权利要求16所述的方法,其中所述配置变化链能够由所述工作空间编排服务使用来预测所述工作空间正发展为或已经遭受安全入侵。
20.如权利要求16所述的方法,其中在接收到所述配置信息之前,所述工作空间编排服务被配置为基于对先前配置变化的评估而生成所述给定IOC。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/126,122 | 2020-12-18 | ||
US17/126,122 US11522883B2 (en) | 2020-12-18 | 2020-12-18 | Creating and handling workspace indicators of compromise (IOC) based upon configuration drift |
PCT/US2021/029756 WO2022132218A1 (en) | 2020-12-18 | 2021-04-28 | Creating and handling workspace indicators of compromise (ioc) based upon configuration drift |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116615714A true CN116615714A (zh) | 2023-08-18 |
Family
ID=82022722
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180085130.8A Pending CN116615714A (zh) | 2020-12-18 | 2021-04-28 | 基于配置漂移而创建和处置工作空间入侵指标(ioc) |
Country Status (5)
Country | Link |
---|---|
US (1) | US11522883B2 (zh) |
EP (1) | EP4264425A4 (zh) |
CN (1) | CN116615714A (zh) |
TW (1) | TWI793667B (zh) |
WO (1) | WO2022132218A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11777992B1 (en) | 2020-04-08 | 2023-10-03 | Wells Fargo Bank, N.A. | Security model utilizing multi-channel data |
US12015630B1 (en) | 2020-04-08 | 2024-06-18 | Wells Fargo Bank, N.A. | Security model utilizing multi-channel data with vulnerability remediation circuitry |
US11706241B1 (en) * | 2020-04-08 | 2023-07-18 | Wells Fargo Bank, N.A. | Security model utilizing multi-channel data |
US11720686B1 (en) | 2020-04-08 | 2023-08-08 | Wells Fargo Bank, N.A. | Security model utilizing multi-channel data with risk-entity facing cybersecurity alert engine and portal |
WO2022159085A1 (en) * | 2021-01-20 | 2022-07-28 | Google Llc | Verifying the trustworthiness of web applications |
US20230388180A1 (en) * | 2022-05-31 | 2023-11-30 | Microsoft Technology Licensing, Llc | Techniques for provisioning workspaces in cloud-based computing platforms |
US20240121259A1 (en) * | 2022-10-11 | 2024-04-11 | Second Sight Data Discovery, Inc. | Apparatus and method for updating risk determination based on real-time changes |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US7150044B2 (en) * | 2003-03-10 | 2006-12-12 | Mci, Llc | Secure self-organizing and self-provisioning anomalous event detection systems |
US20060075494A1 (en) * | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
US7287279B2 (en) * | 2004-10-01 | 2007-10-23 | Webroot Software, Inc. | System and method for locating malware |
US20060075490A1 (en) * | 2004-10-01 | 2006-04-06 | Boney Matthew L | System and method for actively operating malware to generate a definition |
US20090217382A1 (en) * | 2008-02-25 | 2009-08-27 | Alcatel-Lucent | Method and procedure to automatically detect router security configuration changes and optionally apply corrections based on a target configuration |
US11153177B1 (en) * | 2018-03-07 | 2021-10-19 | Amdocs Development Limited | System, method, and computer program for preparing a multi-stage framework for artificial intelligence (AI) analysis |
US9223972B1 (en) * | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US11075819B2 (en) * | 2014-08-07 | 2021-07-27 | Ca, Inc. | Identifying unauthorized changes to network elements and determining the impact of unauthorized changes to network elements on network services |
BR112017001698A2 (pt) * | 2014-08-07 | 2018-03-13 | Intel Ip Corp | gerenciamento de funções de rede virtualizadas |
US11539748B2 (en) * | 2018-01-23 | 2022-12-27 | Zeronorth, Inc. | Monitoring and reporting enterprise level cybersecurity remediation |
US10826931B1 (en) * | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US10855536B1 (en) * | 2019-01-25 | 2020-12-01 | Wells Fargo Bank, N.A. | Cloud compliance drift automation and root cause analysis tool |
TWI767175B (zh) | 2019-01-31 | 2022-06-11 | 美商萬國商業機器公司 | 用於處理輸入輸出儲存指令之資料處理系統、方法及電腦程式產品 |
US10855619B1 (en) * | 2019-10-31 | 2020-12-01 | Dell Products, L.P. | Systems and methods for dynamic adjustment of workspaces based on available local hardware |
-
2020
- 2020-12-18 US US17/126,122 patent/US11522883B2/en active Active
-
2021
- 2021-04-28 CN CN202180085130.8A patent/CN116615714A/zh active Pending
- 2021-04-28 EP EP21907348.3A patent/EP4264425A4/en active Pending
- 2021-04-28 WO PCT/US2021/029756 patent/WO2022132218A1/en active Application Filing
- 2021-07-08 TW TW110125113A patent/TWI793667B/zh active
Also Published As
Publication number | Publication date |
---|---|
EP4264425A4 (en) | 2024-09-11 |
WO2022132218A1 (en) | 2022-06-23 |
TW202225965A (zh) | 2022-07-01 |
EP4264425A1 (en) | 2023-10-25 |
US11522883B2 (en) | 2022-12-06 |
TWI793667B (zh) | 2023-02-21 |
US20220201009A1 (en) | 2022-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11843509B2 (en) | Systems and methods for workspace continuity and remediation | |
US11316902B2 (en) | Systems and methods for securing a dynamic workspace in an enterprise productivity ecosystem | |
US10938743B1 (en) | Systems and methods for continuous evaluation of workspace definitions using endpoint context | |
US11657126B2 (en) | Systems and methods for dynamic workspace targeting with crowdsourced user context | |
US11727122B2 (en) | Systems and methods for endpoint context-driven, dynamic workspaces | |
US11522883B2 (en) | Creating and handling workspace indicators of compromise (IOC) based upon configuration drift | |
US11757881B2 (en) | Workspace deployment using a secondary trusted device | |
US11659005B2 (en) | Systems and methods for self-protecting and self-refreshing workspaces | |
US12105609B2 (en) | Systems and methods for modernizing workspace and hardware lifecycle management in an enterprise productivity ecosystem | |
US11334675B2 (en) | Systems and methods for supporting secure transfer of data between workspaces | |
US11522708B2 (en) | Trusted local orchestration of workspaces | |
US11586738B2 (en) | Systems and methods for evaluating security risks using a manufacturer-signed software identification manifest | |
US11336655B2 (en) | Multilevel authorization of workspaces using certificates | |
US11720682B2 (en) | Systems and methods for bare-metal or pre-boot user-machine authentication, binding, and entitlement provisioning | |
US12003623B2 (en) | Multilayer encryption for user privacy compliance and corporate confidentiality | |
US20230153150A1 (en) | Systems and methods for migrating users and modifying workspace definitions of persona groups | |
US11595322B2 (en) | Systems and methods for performing self-contained posture assessment from within a protected portable-code workspace |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |