TW202225967A - 受信本地工作區編排 - Google Patents

受信本地工作區編排 Download PDF

Info

Publication number
TW202225967A
TW202225967A TW110125498A TW110125498A TW202225967A TW 202225967 A TW202225967 A TW 202225967A TW 110125498 A TW110125498 A TW 110125498A TW 110125498 A TW110125498 A TW 110125498A TW 202225967 A TW202225967 A TW 202225967A
Authority
TW
Taiwan
Prior art keywords
workspace
ihs
orchestration
level
management agent
Prior art date
Application number
TW110125498A
Other languages
English (en)
Other versions
TWI811734B (zh
Inventor
尼古拉斯 D 格羅貝爾尼
雷卡多 L 馬丁內斯
卡爾頓 A 安德魯斯
查爾斯 D 羅比森
Original Assignee
美商戴爾產品有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商戴爾產品有限公司 filed Critical 美商戴爾產品有限公司
Publication of TW202225967A publication Critical patent/TW202225967A/zh
Application granted granted Critical
Publication of TWI811734B publication Critical patent/TWI811734B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

描述了用於提供受信本地工作區編排之系統及方法。在一些實施例中,一種資訊處置系統(IHS)可包括一處理器及一系統記憶體,該系統記憶體耦合至該處理器,該系統記憶體具有儲存在其上之程式指令,該等程式指令在執行時使該IHS:自一工作區編排服務接收一編排程式碼;使用耦合至該處理器之一受信控制器記錄一日誌,該日誌包含:該編排程式碼,及對在本地管理代理例證一工作區期間執行之一操作序列之一指示;向該工作區編排服務提供該日誌之一複本;及回應於該工作區編排服務成功地:(i)鑑認該編排程式碼,及(ii)驗證該操作序列而在該工作區與該工作區編排服務之間建立一連接。

Description

受信本地工作區編排
本發明一般而言係關於資訊處置系統(IHS),且更具體地係關於用於提供受信本地工作區編排之系統及方法。
隨著資訊之價值及使用不斷增加,個人及企業皆在尋求處理及儲存資訊之其他方法。一個選項係資訊處置系統(IHS)。IHS通常處理、編譯、儲存及/或傳達用於商業、個人或其他目的之資訊或資料。由於技術及資訊處置的需要及要求可能在不同應用之間改變,故IHS亦可關於處置什麼資訊、如何處置資訊、處理、儲存或傳達多少資訊及可多快且高效地處理、儲存或傳達資訊而改變。IHS之變化容許IHS為通用的或針對特定使用者或特定用途而組態,特定用途諸如金融交易處理、機票預訂、企業資料儲存、全球通信等。另外,IHS可包括可經組態以處理、儲存且傳達資訊之多種硬體及軟體組件,且可包括一或多個電腦系統、資料儲存系統及網路連接系統。
IHS為使用者提供存取、創建及操縱資料之能力,且通常實施多種安全協定以便保護此資料。從歷史上看,IHS已經設計以實施安全範例,該等安全範例將該等IHS與可能的安全威脅隔離,就如同設計並構建一城堡以保護該城堡圍牆內之人員一樣。例如,在一IHS網路之情況下,安全系統實施將整個網路與威脅隔離之策略。實際上,圍繞整個網路構建了一組城堡圍牆。當在此等系統之圍牆內工作時,可為使用者提供安全且高效之資料使用。
然而,將受保護資料隔離在一城堡圍牆內之安全範例愈來愈受到現代計算現實之打擊。如今,使用者希望在位於多種實體位置處時使用大量不同之IHS來存取受保護資料。為嘗試利用提供對資料進行存取的系統之安全性,支援遠端存取之當前協定試圖將系統之防禦擴展至遠端IHS,實質上係將城堡圍墻擴展為暫時包括遠端IHS之全部或一部分。
現代計算之另一個複雜問題係使用者希望他們將能夠利用其等自身個人IHS來存取其等受保護資料之一些或全部,即使彼等使用者被提供有企業發佈之IHS來存取該資料。對於此等系統之管理員而言,這增加了保護可存取受保護資料之所有方式之難度。由於需要使用一不斷增長之軟體應用程式列表來支援對受保護資料之存取,無論係在個人IHS亦或在企業發佈之IHS上,皆大幅增加了這種困難。此外,由於需要支援自多種實體位置且經由多種網路(包括不受信任網路)對受保護資料之存取,對此等系統之管理變得更加複雜。面對此等問題,用於提供對受保護資料之存取之系統的管理通常很繁重,且最終該資料沒有得到充分保護而無法促進其高效使用。
用於保護對經由一IHS存取之受保護資料之存取之一已知技術係在使用一虛擬機或容器在IHS上運行之一隔離或虛擬化環境中將資料隔離。習知類型之虛擬化環境提供與IHS之硬體及作業系統(OS)之不同程度之隔離。然而,類似於尋求在一安全範圍內隔離受保護資料之安全範例之城堡圍墻防禦,習知虛擬化環境亦不適合現代計算。特定言之,此等虛擬化技術在一IHS上建立一隔離計算環境,該隔離計算環境容許一使用者僅存取批准用於該使用者之資料及應用程式。
在一些例項中,習知虛擬化技術可僅基於使用者之身份來判定一IHS上要提供之資料、應用程式及保護,因此趨向於實施保護對所有批准資料及應用程式之存取所需要的所有安全協定。然而,正如本發明人已經認識到,這不僅導致產生消耗IHS之大部分記憶體及處理能力之複雜虛擬化工作,而且習知技術亦並未考慮到使用者在操作IHS時實際打算做什麼。
正如本發明人進一步認識到,現代計算應為使用者提供經由中IHS且幾乎在任何位置處對受保護資料之存取。然而,習知虛擬化無法考慮在一特定會話期間在其中使用一IHS之特定上下文,更不用說考慮在一會話期間在其中使用一IHS之脈絡之變化了。此外,習知虛擬化技術趨向於為實際未使用之許多能力提供支援。提供此等不必要能力所需之開銷過度加重一IHS之操作負擔並降低工作效率及使用者體驗。
描述了用於提供受信本地工作區編排之系統及方法。在一說明性非限制性實施例中,一種資訊處置系統(IHS)可包括一處理器及一系統記憶體,該系統記憶體耦合至該處理器,該系統記憶體具有儲存在其上之程式指令,該等程式指令在執行時使該IHS:自一工作區編排服務接收一編排程式碼;使用耦合至該處理器之一受信控制器記錄一日誌,該日誌包含:該編排程式碼,及對在本地管理代理例證一工作區期間執行之一操作序列之一指示;向該工作區編排服務提供該日誌之一複本;及回應於該工作區編排服務成功地:(i)鑑認該編排程式碼,及(ii)驗證該操作序列而在該工作區與該工作區編排服務之間建立一連接。
該等程式指令在執行時可進一步使該IHS基於自該工作區編排服務接收之一工作區定義來例證該工作區。該工作區定義可包括以下至少一項:一威脅監視位準、一威脅偵測位準、一威脅分析位準、一威脅回應位準、一儲存機密位準、一網路機密位準、一記憶體保密位準、一顯示機密位準、一使用者鑑認位準、一資訊技術(IT)管理位準、一法規遵從位準、一本地儲存控制位準、一中央處理單元(CPU)存取位準、一圖形存取位準、一應用程式使用位準,或一應用程式安裝位準。
該受信控制器可包括一受信平台模組(TPM)晶片,該TPM晶片經組態以儲存可用於硬體鑑認之一或多個加密密鑰。該日誌可被加密並儲存在與該系統記憶體不同的一安全記憶體中。可在該本地管理代理與該工作區編排服務之間不存在任何通信之情況下對該工作區執行該例證。
在記錄該日誌之前,該等程式指令在執行時可進一步使該IHS:判定該本地管理代理與該工作區編排服務之間的一連接具有一受限頻寬;及回應於該判定而記錄該日誌。另外或替代地,在記錄該日誌之前,該等程式指令在執行時可進一步使該IHS:判定該本地管理代理與該工作區編排服務之間的一連接係間歇性的;及回應於該判定而記錄該日誌。另外或替代地,在記錄該日誌之前,該等程式指令在執行時可進一步使該IHS:判定該本地管理代理相對於該工作區編排服務位於一防火牆後面;及回應於該判定而記錄該日誌。
該操作序列可包括以下至少一項:基本輸入/輸出系統(BIOS)設置之一組態、一應用程式安裝或一安全監視服務之執行。
在另一個說明性非限制性實施例中,一種記憶體儲存裝置其上可儲存有程式指令,該等程式指令在由一工作區編排服務之一IHS執行時使該IHS:將一編排程式碼傳輸至一本地管理代理;接收由擴展至一TPM中之一本地管理代理記錄之一日誌之一複本,該日誌及經擴展TPM量測包含:該編排程式碼,及對在該本地管理代理例證一工作區期間執行之一操作序列之一指示;及回應於成功地:(i)鑑認該編排程式碼,及(ii)驗證該操作序列而在該工作區與該工作區編排服務之間建立一連接。
在又一說明性非限制性實施例中,一種方法可包括:自一工作區編排服務接收一工作區定義;回應於判定與該工作區編排服務之一連接具有一受限頻寬或者不可靠而自該工作區編排服務接收一編排程式碼;基於該工作區定義例證該工作區;記錄一日誌,該日誌包含:該編排程式碼,及對在該例證期間執行之一操作序列之一指示;向該工作區編排服務提供該日誌之一複本;及回應於該工作區編排服務成功地:(i)鑑認該編排程式碼,及(ii)驗證該操作序列而在該工作區與該工作區編排服務之間建立一連接。
出於本發明之目的,IHS可包括出於商業、科學、控制或其他目的而能夠操作以計算(compute)、計算(calculate)、判定、分類、處理、傳輸、接收、擷取、發起、切換、儲存、顯示、傳達、顯現、偵測、記錄、複製、處置、或利用任何形式之資訊、智慧或資料的任何手段或手段彙總。例如,IHS可為個人電腦(例如,桌上型或膝上型)、平板電腦、行動裝置(例如,個人數位助理(PDA)或智慧型電話)、伺服器(例如,刀鋒型伺服器或機架式伺服器)、網路儲存裝置或任何其他合適裝置,且可在大小、形狀、性能、功能性及價格上有變化。在下文更詳細地描述一IHS之一實例。圖1展示了經組態以實施某些所描述之實施例之一IHS之各種內部組件。應明白,雖然本文描述之某些實施例可在一個人計算裝置之脈絡中論述,但其他實施例可利用各種其他類型之IHS。
圖1係描繪被組態用於保護一企業工作效率生態系統中之一動態工作區之一例示性IHS 100之組件之一圖式。在一些實施例中,IHS 100可用於例證、管理及/或終止一工作區,諸如一安全環境,該工作區可向IHS 100之使用者提供對企業資料之存取,同時將企業資料與作業系統(OS)及由IHS 100執行之其他應用程式隔離。在一些實施例中,可由一工作區編排服務自IHS 100遠端編排用於一特定目的及用於一特定脈絡之一工作區之構建,諸如關於圖1所描述的。在一些實施例中,工作區編排之部分可在IHS 100本地執行。IHS 100可被組態有程式指令,該等程式指令在執行時使IHS 100執行本文揭示之各種操作之一或多者。在一些實施例中,IHS 100可為一更大企業系統之一元件,該企業系統可包括在彼此進行之網路通信中之任何數目個類似組態之IHS。
如圖1所展示,IHS 100包括可操作以執行自系統記憶體105擷取之程式碼之一或多個處理器101,諸如一中央處理單元(CPU)。 雖然IHS 100被圖解說明為具有一單個處理器,但其他實施例可包括兩個或更多個處理器,每個處理器可被相同地組態,或者提供專門處理功能。處理器101可包括能夠執行程式指令之任何處理器,諸如一INTEL PENTIUM系列處理器或實施多種指令集架構(ISA)(諸如x86、POWERPC ®、ARM ®、SPARC ®或MIPS ®ISA)或任何其他合適的ISA之任一者的任何通用或嵌入式處理器。在圖1之實施例中,處理器101包括可直接在處理器101之電路內實施之一積體記憶體控制器118,或者記憶體控制器118可為與處理器101位於同一晶粒上之一單獨積體電路。記憶體控制器118可經組態以管理經由高速記憶體介面104進出IHS 100之系統記憶體105之資料傳遞。
經由記憶體匯流排104耦合至處理器101之系統記憶體105為處理器101提供一高速記憶體,該高速記憶體可用於由處理器101執行電腦程式指令。 因此,系統記憶體105可包括適合支援由處理器101進行的高速記憶體操作之記憶體組件,諸如,諸如靜態RAM(SRAM)、動態RAM(DRAM)、NAND快閃記憶體。在一些實施例中,系統記憶體105可組合持續性的非揮發性記憶體與揮發性記憶體兩者。
在某些實施例中,系統記憶體105包括安全儲存裝置120,該安全儲存裝置可為系統記憶體之一部分,該部分經指定用於儲存資訊(諸如存取策略、組件簽名、加密密鑰及其他密碼資訊)以用於在IHS 100上託管一安全工作區。在此等實施例中,可基於安全儲存裝置120之內容計算一簽名且將該簽名儲存為一參考簽名。儲存在安全儲存裝置120中之資料之完整性隨後可藉由重新計算安全儲存裝置之內容之這種簽名且將經重新計算簽名與參考簽名進行比較來驗證。
IHS 100利用晶片組103,該晶片組可包括耦合至處理器101之一或多個積體電路。在圖1之實施例中,處理器101被描繪為晶片組103之一組件。在其他實施例中,全部晶片組103或晶片組108之部分可直接在處理器101之積體電路內实施。晶片組103為處理器101提供對可經由匯流排102存取之多種資源之存取。在IHS 100中,匯流排102被圖解說明為一單個元件。然而,其他實施方案可利用任何數目個匯流排以提供由匯流排102提供服務之經圖解說明路徑。
如圖解說明,多種資源可透過晶片組103耦合至IHS 100之處理器101。例如,晶片組103可耦合至諸如由一網路介面控制器(NIC)提供之網路界面109,該網路介面控制器耦合至IHS 100且容許IHS 100經由諸如網際網路或一LAN之一網路通信。網路界面裝置109可經由多種網路技術(諸如無線蜂巢式或行動網路(CDMA、TDMA、LTE等)、WIFI及藍芽)為IHS 100提供有線及/或無線網路連接。在某些實施例中,網路介面109可支援一受信IHS組件(諸如受信控制器115)與一遠端編排服務之間的連接。在此等實施例中,由網路界面109支援之介於遠端編排服務與受信組件之間的連接可被認為係與IHS之OS隔離之一帶外(OOB)連接。
晶片組102亦可經由圖形處理器107提供對一或多個顯示裝置108之存取。 在某些實施例中,圖形處理器107可包含在作為IHS 100之組件而安裝之一或多個視訊或圖形卡或嵌入式控制器內。圖形處理器107可產生顯示資訊且將所產生資訊提供給耦合至IHS 100之一或多個顯示裝置108,其中顯示裝置108可包括積體顯示裝置及/或諸如經由I/O埠116耦合至IHS之外部顯示裝置,其中顯示裝置108可包括積體顯示裝置及/或耦合至IHS之外部顯示裝置。在某些實施例中,圖形處理器107可整合在處理器101內。耦合至IHS 100之一或多個顯示裝置108可利用LCD、LED、OLED或其他薄膜顯示技術。每一顯示裝置108可能能夠諸如經由一觸摸控制器進行觸摸輸入,該觸摸控制器可為顯示裝置108之一嵌入式組件、圖形處理器107或經由匯流排102存取之IHS 100之一單獨組件。
在某些實施例中,晶片組103可利用一或多個I/O控制器來存取硬體組件,諸如使用者輸入裝置111及感測器112。例如,I/O控制器110可提供對諸如一鍵盤、滑鼠、觸控墊、觸控螢幕及/或其他週邊輸入裝置之使用者輸入裝置110之存取。使用者輸入裝置111可透過有線或無線連接與I/O控制器110介接。經由I/O控制器110存取之感測器112(例如,加速度計、陀螺儀、鉸鏈感測器、旋轉感測器、霍爾效應感測器、溫度感測器、電壓感測器、電流感測器、IR感測器、光電感測器、接近感測器、距離感測器、磁感測器、麥克風、超聲波感測器等)可提供對描述IHS 100之環境及操作條件之資料之存取。
在一些情況下,晶片組103可包括能夠利用由感測器112收集之資訊來判定IHS 100之相對定向及移動之一感測器集線器。例如,感測器集線器可利用慣性移動感測器,該等慣性移動感測器可包括加速度計、陀螺儀及磁力計感測器,且能夠判定IHS 100之當前定向及移動(例如,IHS 100在一相對平坦表面上靜止不動,IHS 100正在不規則地移動且很可能在運輸中,IHS 100之鉸鏈定向在一豎直方向上)。在某些實施例中,感測器集線器亦可包括用於基於網路信號之三角量測且基於由OS或網路介面109提供之網路資訊來判定IHS 100之一位置及移動之能力。在一些實施例中,感測器集線器可支援額外感測器,諸如光學、紅外及聲納感測器,該等額外感測器可為由IHS 100託管之xR(虛擬、增強及/或混合實境)會話提供支援且可由感測器集線器使用提供對在IHS 100附近係否存在使用者之一指示,諸如一使用者係否存在或不存在及/或係否面向積體顯示器108。
在其中終端使用者存在於IHS 100前面之情況下,感測器集線器可進一步判定一終端使用者與IHS之一距離,其中此判定可連續地、以週期性間隔或根據請求進行。處理器101可使用經偵測或經計算距離來將使用者分類為處於IHS的近場(使用者位置<臨限值距離A)、中場(臨限值距離A<使用者位置<臨限值距離B,其中B > A)或遠場(使用者位置>臨限值距離C,其中C > B)中。如下文進一步詳細描述的,未能在IHS 100附近偵測到IHS 100之一鑑認使用者可導致IHS 100之安全設定檔發生變化,因此觸發對在IHS 100上操作之工作區之安全風險之一重新評估。類似的重新評估可基於在IHS 100附近偵測到額外個人而觸發。
在其中IHS 100可支援多種實體組態(諸如一可轉換膝上型電腦、 N合1裝置等)之實施例中,感測器集線器可利用一或多個模式感測器112收集讀數,該等讀數可用於判定IHS 100在其中經實體組態之當前姿態。在某些實施例中,可另外使用由感測器112提供之移動及定向資訊來做出此等姿態判定。例如,在膝上型電腦及可轉換膝上型電腦實施例中,處理器101或受信控制器115可利用罩位置感測器112來判定膝上型電腦之兩個面板之間的相對角度,以便判定IHS 100在其中經實體組態之模式。在此等實施例中,罩位置感測器可量測將IHS 100之基板及罩面板連接之鉸鏈之旋轉角度。在一些實施例中,處理器101或受信控制器115可向感測器集線器提供所收集的罩位置資訊,諸如鉸鏈角度,以用於判定IHS 100在其中組態之姿態。在一些實施例中,感測器集線器可在判定鉸鏈角度資訊時直接與罩位置感測器介接。
感測器集線器可至少部分地基於IHS 100之鉸鏈與一閉合位置所成之旋轉角度來判定IHS 100之姿態。與閉合位置所成之一第一鉸鏈角度範圍可指示一膝上型電腦姿態,一第二鉸鏈角度範圍可指示一橫向姿態且一第三角度範圍可指示一平板電腦姿態。感測器集線器可另外利用自慣性移動感測器112收集之定向及移動資訊來進一步判定IHS 100在其中實體組態之姿態。例如,若感測器集線器判定IHS 100被組態具有一膝上型組態之一鉸鏈角度,但IHS 100定向其一側,則可判定IHS處於一書本模式。若判定IHS 100傾斜使得鉸鏈定向在水平與豎直之間,偵測到使用者的面部面向積體顯示器,且IHS 100正經歷輕微移動,則感測器集線器可判定IHS 100正在用於一書本姿態。感測器集線器可判定IHS 100打開到180度鉸鏈角度且位於一平坦表面上,因此指示IHS 100正以一橫向姿態使用。感測器集線器可回應於偵測到一鉸鏈角度在一限定範圍內(諸如在300度至345度之間)且亦偵測到IHS 100之一定向而類似地判定IHS 100處於一帳篷組態中,其中鉸鏈水平地對齊且高於IHS 100之兩個顯示面板。
IHS 100之其他組件可包括一或多個I/O埠116以用於與週邊外部裝置以及各種輸入及輸出裝置進行通信。例如,I/O 116埠可包括HDMI(高解析度多媒體介面)埠以用於將外部顯示裝置連接至IHS 100及USB(通用串列匯流排)埠,藉此可將多種外部裝置耦合至IHS 100。在一些實施例中,經由一I/O埠116耦合至IHS 100之外部裝置可包括支援進出IHS 100之系統記憶體105及/或儲存裝置119之資料傳遞之儲存裝置。如下文另外詳細描述的,儲存裝置經由一I/O埠116之耦合可導致IHS 100之安全設定檔發生變化,因此觸發對在IHS 100上操作之工作區之安全風險之一重新評估。
晶片組103亦為處理器101提供對一或多個儲存裝置119之存取。在各種實施例中,儲存裝置119可與IHS 100成一體,或者可在IHS 100外部。在某些實施例中,儲存裝置119可經由可為儲存裝置之一積體元件之一儲存控制器來存取。可使用容許IHS 100儲存及擷取資料之任何記憶體技術來實施儲存裝置119。例如,儲存裝置119可為一磁性硬碟儲存驅動器或一固態儲存驅動器。在一些實施例中,儲存裝置119可為儲存裝置之一系統,諸如可經由網路介面109存取之一雲端驅動器。
如圖解說明,IHS 100亦包括BIOS(基本輸入/輸出系統)117,其可儲存在由晶片組103可經由匯流排102存取之一非揮發性記憶體中。在對IHS 100供電或重啟IHS時,處理器101可利用BIOS 117指令來初始化及測試耦合至IHS 100之硬體組件。BIOS 117指令亦可載入一OS以供IHS 100使用。BIOS 117提供一抽象層,該抽象層容許OS與IHS 100之硬體組件介接。統一可延伸韌體介面(UEFI)被設計成BIOS之一後續。因此,許多現代IHS將UEFI添加至BIOS或代替BIOS來利用。如本文所使用,BIOS意欲亦涵蓋UEFI。
在所圖解說明之實施例中,BIOS 117包括可稱為NVM(非揮發性記憶體)郵箱106之一預定義記憶體或記憶體區域。在此一實施方案中,郵箱106可提供用於儲存工作區存取策略、簽名、加密密鑰或用於託管及驗證IHS 100上之一工作區之其他資料之一安全儲存位置。在某些實施例中,BIOS郵箱106可用作由一遠端編排服務利用之一安全儲存裝置,以便儲存用於在IHS 100上遞送及部署一安全容器之存取策略及加密密鑰。BIOS郵箱106以及系統記憶體105中之安全儲存裝置120可以此方式代替由受信控制器115實施之帶外功能或結合該等帶外功能來利用。
在某些實施例中,受信控制器115耦合至IHS 100。例如,受信控制器115可為作為IHS 100之主機板之一組件安裝之一嵌入式控制器(EC)。在各種實施例中,受信控制器115可執行各種操作以支援向IHS 100遞送及部署一工作區。在某些實施例中,受信控制器115可經由與在IHS 100上運行之OS隔離之一帶外通信路徑與一遠端編排服務OS交互操作。網路介面109可支援受信控制器115與一遠端編排服務之間的此等帶外通信。
受信控制器115可接收將一工作區安全遞送及部署至IHS 100所需之密碼資訊。在此等實施例中,密碼資訊可被儲存至由受信控制器115維護之安全儲存裝置121。另外或替代地,受信控制器115可支援一受信操作環境之執行,該受信操作環境可支援用於在IHS 100上部署一工作區之密碼操作。另外或替代地,受信控制器115可支援經由一帶外通信信道在IHS 100之OS內部署一工作區,該帶外通信信道與OS隔離且容許該工作區與OS之一受信代理程序通信。
受信控制器115亦可提供對用於支援IHS 100上之工作區之安全部署及操作之某些加密處理之支援。在一些實施例中,可經由與IHS 100之軟體及其他硬體組件隔離之受信控制器115所託管之一安全操作環境之操作來提供此密碼處理。在一些實施例中,受信控制器115可依賴於由藉由IHS支援之專用密碼硬體(諸如TPM(受信平台模組)微控制器)提供之密碼處理。在一些實施例中,受信控制器115之安全儲存裝置121可用於儲存密碼資訊以用於工作區之授權。
在某些實施例中,受信控制器115可另外經組態以計算唯一地識別IHS 100之個別組件之簽名。在此等場景中,受信控制器115可基於耦合至IHS 100之硬體及/或軟體組件之組態來計算一散列值。例如,受信控制器115可基於儲存在諸如一網路介面109之一硬體組件之一內建記憶體中之所有韌體及其他程式碼或設置來計算一散列值。此等散列值可作為製造IHS 100之一受信程序之一部分來計算且可作為一參考簽名維持在安全儲存裝置121中。
受信控制器115可進一步經組態以在一稍後時間為此一組件重新計算一散列值。隨後可將為該組件重新計算之散列值與參考散列值簽名進行比較,以便判定係否對一組件進行了任何修改,因此指示該組件已被入侵。以此方式,受信控制器115可用於驗證安裝在IHS 100上之硬體及軟體組件之完整性。在某些實施例中,遠端編排服務206可藉由計算受信控制器115之一簽名並將該簽名與在用於製造IHS 100之一受信程序期間計算之一參考簽名比較來以相同方式驗證受信控制器115之完整性。在各種實施例中,受信控制器115支援之此等操作之一或多者可使用BIOS 117來實施。
受信控制器115亦可實施用於與一電源轉接器對接以管理對IHS 100之電源之操作。此等操作可用於判定IHS 100之電源狀態,諸如IHS 100係使用電池電量操作亦或插入一AC電源。受信控制器115所利用的韌體指令可用於操作一安全執行環境,該安全執行環境可包括用於提供IHS 100之各種核心功能之操作,該等核心功能諸如電源管理以及對IHS 100之某些操作模式(例如,渦輪模式、某些組件之最大操作時脈頻率)之管理。
在管理IHS 100之操作模式時,受信控制器115可實施用於偵測IHS 100之實體組態之某些變化且管理與IHS 100之不同實體組態相對應之模式之操作。例如,在其中IHS 100係一膝上型電腦或一可轉換膝上型電腦之情況下,受信控制器115可自一罩位置感測器112接收輸入,該罩位置感測器可偵測膝上型電腦之兩側係否已經一起閂鎖至一閉合位置。回應於罩位置感測器112偵測到IHS 100的罩之閂鎖,受信控制器115可啟動用於關閉IHS 100或將IHS 100置於一低功率模式之操作。
IHS 100可支援使用各種功率模式。在一些實施例中,IHS 100之功率模式可透過受信控制器115及/或IHS 100之OS之操作來實施。在各種實施例中,IHS 100可支援各種降低功率模式以便在IHS 100沒有主動使用時降低功率消耗及/或節省電池電量,及/或藉由增加或降低IHS 100之一組件(例如,處理器101)之一最大操作時脈頻率來控制可供使用者使用之一效能位準。
在一些實施例中,IHS 100可不包括圖1中展示之所有組件。在其他實施例中,一IHS 100除圖1中展示之彼等組件之外亦可包括其他組件。此外,在圖1中表示為分離組件的一些組件可改為與其他組件整合。例如,在某些實施例中,由經圖解說明組件執行之操作之全部或一部分可改為由作為系統單晶片整合至處理器101中之組件提供。
圖2係描繪用於保護一企業工作效率生態系統中之一動態工作區之方法200之一實例之一圖式。為了圖解說明,方法200被分成三個階段:工作區初始化階段200A、工作區編排階段200B及工作區終止階段200C。在初始化200A期間,使用者201(例如,一企業使用者)在實體環境202(例如,任何類型的環境及其相關聯的脈絡,包括實體位置、地理位置、一特定設施或建築物內之位置、經偵測網路、當日時間、使用者之接近度、IHS 100附近之個人等)內操作諸如關於圖1描述之一IHS 100(例如,一桌上型電腦、一膝上型電腦、一平板電腦、一智慧型電話等)。
方法200以使用者201在一啟動點203處進行之一動作開始,該啟動點可為例如由使用者201之一雇主提供之一公司啟動點、由IHS 100之製造商提供之一啟動點203或由一第三方作為一服務提供給使用者201之一啟動點。特定言之,使用者201操作IHS 100以存取例如以一入口網站、在IHS 100之OS中運行之一入口應用程式、在IHS 100上運行之一專用入口工作區等形式提供之啟動點203。在各種實施方案中,啟動點203可包括表示不同軟體應用程式、資料源及/或使用者可能希望執行及/或操縱之其他資源之圖形使用者介面(GUI)元素。在各種實施例中,啟動點可提一供圖形、文本及/或音訊介面,一使用者201可藉由該介面請求資料或其他資源。因而,可向一經鑑認使用者201提供一啟動點,該啟動點提供關於一或多個軟體應用程式以及跨該一或多個軟體應用程式的所有資料儲存裝置(例如,本地儲存裝置裝置、雲端儲存裝置裝置等)可用之使用者資料源之一彙總之可見性。
如下文另外詳細描述的,用於向使用者201提供對所請求資料或其他資源之存取之工作區可使用一本地管理代理332來操作,該本地管理代理在IHS 100上操作且經組態以與工作區編排服務206交互操作。在各種實施例中,啟動點203可以容許使用者201請求對受管資源之存取之一入口(例如,一網頁、OS應用程式或專用工作區)之形式提供。在各種實施例中,啟動點203可由遠端工作區編排服務206、IHS 100上之本地管理代理332或其任何合適組合託管。啟動點203技術之實例可包括來自WMWARE公司的WORKSPACE ONE INTELLIGENT HUB及來自戴爾科技公司的DELL HYBRID CLIENT等等。
當使用者201選取啟動一應用程式或存取由工作區編排服務206管理之一資料源時,初始化階段200A開始。回應於使用者201發佈之一存取請求(例如,使用者「點擊」啟動點203之一圖標),IHS 100之本地管理代理332在204處收集初始安全及工作效率脈絡資訊。例如,安全脈絡資訊可包括指示與以下各項相關聯之一安全風險之屬性:被請求之資料及/或應用程式、由使用者201呈現之一風險位準、IHS 100所利用之硬體、IHS 100之邏輯環境(其中將部署一工作區以提供對所請求資料及/或應用程式之存取)以及IHS 100當前所處之實體環境202。
因此,在本發明中,術語「安全脈絡」通常係指與將在其中部署及利用一工作區之一安全姿態相關之資料或其他資訊,其中安全姿態可基於使用者、IHS 100、將經由工作區存取之資料及/或環境202。如關於圖4及5另外詳細描述的,一安全脈絡可被量化為一安全風險評分,以支援對與當在特定之脈絡中使用IHS 100時向使用者201提供對所請求資料及/或應用程式之存取相關聯之位準或風險之評估。一「安全風險評分」通常係指可用於對與一請求相關聯之安全脈絡之各種安全特性進行評分、量化或量測之一數值。一風險分數可為與整體安全風險脈絡相關聯之一總分數,而一「風險度量」可為對安全脈絡之某一部分之一子類別之風險之一量測。
例如,可用於計算一特定安全脈絡之一安全風險分數之安全度量可包括但不限於:所請求資料源及/或應用程式之一分類、用於識別使用者201之鑑認因素、IHS 100之位置、與使用者201相關聯之一角色或其他組分類、IHS 100使用之網路驗證、IHS 100使用之網路類型、IHS 100使用之網路防火牆組態、攻擊指標(IoA)、關於IHS 100或使用者201請求之資源之入侵指標(IoC)、與OS及在IHS 100上使用之其他應用程式相關聯之補丁位準、加密可用性、可用加密類型、對安全儲存裝置之存取、IHS 100對可證明硬體的使用、IHS 100對工作區隔離之支援程度等。
術語「工作效率脈絡」通常係指與一工作區、使用者、IHS或環境相關聯之使用者工作效率。一「工作效率分數」通常係指可用於對一工作效率脈絡之各種工作效率特性進行評分、量化或量測之一指標。工作效率脈絡資訊之實例包括但不限於:IHS之硬體、IHS之軟體(包括OS)、IHS之選定組件之電源狀態及最大時脈頻率、永久或暫時耦合至IHS之週邊裝置、可供IHS使用之網路以及彼等網路之效能特性、IHS上可用之軟體安裝程式等。
一工作區之初始工作效率及安全目標可基於使用者201動作之脈絡與工作區將在其中操作之工作效率及安全脈絡相結合來計算。工作效率及安全目標亦可基於使用者201的行為分析、IHS 100遙測及/或環境資訊(例如,經由感測器112收集)。在一些情況下,在205處,在IHS 100上操作之一本地管理代理可基於所收集安全性及工作效率脈絡來計算初始安全性及工作效率目標。在其他情況下,遠端工作區編排服務206可計算安全性及工作效率目標。
如本文所使用,術語「安全目標」通常係指由基於一工作區定義創建及操作之一工作區呈現之攻擊表面,而術語「工作效率目標」通常係指一特定工作區定義之工作效率特性。一工作效率目標之實例包括但不限於:可供使用者201使用之資料或資料源之類型、一工作區之最小延時等。相反,可用於表徵一安全目標之屬性可包括但不限於:一工作區之一最低安全分數、IHS 100之一最低信任分數、使用者201之鑑認要求(例如,需要多少鑑認因素、重新鑑認之頻率)、一工作區所利用之網路中之最低信任位準、一工作區與IHS 100之所需隔離、在一工作區內存取流覽器之能力、在工作區之間傳遞資料之能力、擴展一工作區之能力等。
此外,術語「工作區定義」通常係指描述一工作區之各態樣之一屬性集合,該工作區可以滿足一安全目標(即,該定義呈現一攻擊表面,該攻擊表面呈現一可接受的風險位準)及一工作效率目標(例如,資料存取、存取要求、延時上限等)之一方式根據安全脈絡(例如,位置、補丁位準、威脅資訊、網路連接等)及將在其中部署工作區之工作效率脈絡(例如,可用的裝置類型及效能、網路速度等)組裝、創建及部署。一工作區定義可實現一經例證工作區之遷移之流動性,因為該定義支援在經組態用於與工作區編排服務206一起操作之任何目標OS或IHS上組裝一工作區之能力。
在描述一工作區之能力及約束時,一工作區208可規定以下一或多項:使用者201之鑑認要求、工作區之約束及/或隔離(例如,本地應用程式、沙盒、docker容器、漸進式網路應用程式或「PWA」、虛擬桌面基礎設施「VDI」等)、可在工作區之限定約束中執行以使得使用者201能夠高效地使用一或多個資料源之主要應用程式、增強工作效率之額外應用程式、縮減由工作效率環境(來自戴爾科技公司的DELL DATA GUARDIAN、防毒軟體等)呈現之安全目標之範疇之安全組件、待存取之資料源及將該資料路由進出工作區約束之要求(例如,VPN的使用、最小加密強度)、獨立附接其他資源之工作區能力;等。
在一些實施方案中,工作區定義可至少部分地基於例如由一企業資訊技術(IT)人員限定之靜態策略或規則。在一些實施方案中,靜態規則可由機器學習(ML)及/或人工智慧(AI)演算法進行組合及改良,該等演算法可評估在工作區生命週期內收集之歷史工作效率及安全資料。以此方式,可隨時間推移動態地修改規則以產生經改良工作區定義。例如,若判定一使用者在他每次使用來自微軟公司的MICROSOFT VISUAL STUDIO時動態地添加一文本編輯器,則工作區編排服務206可自主地將該應用程式添加到該使用者之預設工作區定義。
仍然關於圖2,在編排200B期間,初始安全性及工作效率目標根據資源、裝置能力及雲端服務等可用而進行處理及/或協調,以在208處產生一工作區定義。如所描述的,一工作區定義可指定一工作區之能力及約束,諸如:工作區約束(例如,諸如與IHS 100之OS或與IHS 100之某些硬體隔離)之運行時安全要求、用於一旦運行就證明工作區之完整性之參考量測的使用、被提供用於工作區內之操作之應用程式、可經由工作區獲得之資源之彙總、存取組態(例如,虛擬私人網路或「VPN」)等。
隨後初始工作區定義可由工作區編排服務206之自動化引擎302利用以例如基於工作區將在其中操作之安全及工作效率脈絡來在一適當平台(例如,在雲端上或在IHS 201上)上協調一工作區之組裝209及例證210。在其中工作區經雲端託管之情況下,自動化引擎302可組裝及例證一遠端工作區,該遠端工作區可通過經由一網路流覽器或在IHS 100上運行之其他基於網路之組件建立之一安全連接來存取。在一些實施例中,自動化引擎302可解決一工作區定義與使用者在一工作區之操作中之輸入之間的組態衝突。
使用者201在211處操作經例證工作區,且在212處產生與資料之行為或使用相關之新工作效率及安全脈絡資訊。基於使用者201已經完成、存取及/或創建之內容,一工作區之此操作可導致資料產生一變化或新分類,因此導致工作區之安全脈絡產生一變化。就使用者行為分析、裝置遙測及/或環境已經改變了一可量化程度而言,安全脈絡中之此等變化可用作自動化引擎302在207處重新評估安全及效能目標之額外輸入。另外或替代地,現在可針對初始目標量測新的工作區脈絡、安全目標及/或工作效率目標,且若合適,則該等結果可使自動化引擎302在208產生一新的工作區定義。
特定言之,若經例證工作區具有落在目標索引範圍之外之參數使得額外的或更新的脈絡資訊與初始或先前的脈絡資訊之間的一差異被評分低於一臨限值,則自動化引擎302可處理對一現有工作區之修改組裝且在210處部署此等修改。相反,若額外的或更新的脈絡資訊與初始或先前的脈絡資訊之間的差異分數高於一臨限值,則自動化引擎302可在210處產生一新的工作區。會話資料後設資料及脈絡可由資料彙總引擎336保存,且會話資料可在適當情況下時恢復。
另外或替代地,作為終止階段200C之一部分,方法200可在213處終止或退出初始或先前的工作區。在一些情況下,使用者動作可啟動終止程序(例如,使用者201關閉應用程式或流覽器存取資料)及/或終止可作為工作區定義調整之一調整之部分而自動發生(例如,指示自動化引擎302終止隔離環境)。仍然作為終止階段200C之部分,可釋放IHS 100的及/或工作區編排服務206處的工作區資源。
因而,在各種實施例中,即使一工作區在不受直接管理之一IHS或雲端平台上運行,方法200亦能夠實現安全使用者工作效率。方法200亦提供動態或自適應組態及策略,其等容許最佳可能的使用者體驗同時維持適當的安全位準。在一些情況下,一工作效率環境及存取要求之定義可基於工作效率及安全依賴性及目標來選擇,且與工作區相關之能力的定義本質上可為自適應的。特定言之,工作區定義屬性可基於歷史工作效率及安全資訊、基於每一個別使用者或群組行為來動態選擇。
圖3A及圖3B展示了經組態以使一企業工作效率生態系統中之工作區及硬體生命週期管理現代化之系統組件300A及300B(統稱為「系統300」)之一實例之一圖式。特定言之,組件系統300A包括工作區編排服務206,且它可包括遠端定位及/或聯網之一或多個IHS,該一或多個IHS上儲存有程式指令,該等程式指令在執行時使該一或多個IHS執行本文描述之各種工作區編排操作,包括但不限於:基於自IHS 100接收之更新的脈絡資訊動態地評估安全及工作效率目標、基於脈絡資訊之持續收集計算風險分數以及其他工作效率及安全度量、產生工作區定義,以及組裝一或多個檔案或策略,該等檔案或策略使得能夠根據一雲端服務及/或IHS 300B處之一工作區定義例證一工作區。
組件300B包括IHS 100可具有儲存在其上之程式指令,該等程式指令在執行時使IHS 100執行本文描述之各種本地管理操作,包括但不限於收集工作效率及安全脈絡資訊、計算工作效率分數及/或風險分數、基於自工作區編排服務206接收之檔案或策略(諸如工作區定義)例證、執行及修改一工作區,等。
工作區協調服務300A及IHS 300B可經由容許相對於IHS 300B在遠端提供工作區協調服務300A之任何合適的網路技術及/或協定彼此耦合。如關於圖1所描述的,根據實施例之一IHS可包括可支援獨立於IHS 100之OS之某些安全帶外通信之一組件,諸如一受信控制器。在一些實施例中,此一受信控制器可經組態以支援工作區在300A上之部署及操作且向工作區編排服務300A報告脈絡資訊之變化。
如圖3A之組件300A中圖解說明,工作區編排服務206可包括支援對一IHS 300B上之工作區之部署及持續評估及調適之多個子組件。工作區編排服務300A之實施例可包括可支援以下各項之系統:網路服務306、製造商整合317及分析323。此外,網路服務306可包括應用程式服務301及使用者介面(UI)以及自動化服務302。
分析服務323可經組態以在一工作區之初始組態期間及在對工作區之持續支援期間接收及處理來自IHS 300B之脈絡資訊,且將該資訊連同所產生的任何分析一起提供給應用程式服務301之脈絡邏輯303。基於在工作區之部署及持續支援期間收集之資訊,支援輔助智慧引擎(SAIE)324可經組態以產生及/或分析技術支援資訊(例如,更新、錯誤、支援日誌等)以用於診斷及修復工作區問題。工作區洞察及遙測引擎325可經組態以分析及/或產生由工作區之操作產生之以裝置為中心的、歷史的及基於行為之資料(例如,硬體量測、特徵使用、設置等)。工作區智慧326可包括用於處理及評估脈絡資料之任何合適的智慧引擎,以便識別工作區之操作中及工作區基於脈絡變化進行之適應中之模式及趨勢。
如圖圖解說明,工作區編排服務300A之應用程式服務306系統包括一UI及自動化服務302系統,其可包括脈絡邏輯或引擎303、分類策略304及條件控制模組或引擎305。脈絡邏輯或引擎303可支援在進行風險評估時處理脈絡資訊(例如,根據使用者行為之脈絡、使用者的IHS之歷史、使用者的IHS之能力及環境條件來評估使用者之風險相關請求)。例如,由IHS 300B收集之安全脈絡資訊可提供給工作區編排服務300A,在該工作區編排服務中,該安全脈絡資訊諸如由脈絡邏輯303使用以計算與針對使用一受管資料源及/或應用程式之一請求相關聯之一風險分數。分類策略304可包括管理員及機器學習定義策略,其等描述與不同安全脈絡相關聯之風險分類,諸如針對特定資料、位置、環境、IHS、邏輯環境或使用者動作(例如,使用高風險資料需要使用適合與高於一特定值之一風險分數一起使用之一工作區定義)之風險分類。條件控制模組或引擎305可包括提供自動決策以適當地平衡風險與脈絡之智慧。在一些情況下,條件控制模組或引擎305可動態地部署一解決方案來解決任何偵測到的風險與脈絡失衡。例如,在請求存取導致風險分數顯著增加之一高度機密資料源時,條件控制引擎可選擇實施適用於較高風險分數之安全程式之工作區定義修改。
應用程式服務301可包括由UI及自動化服務302調用以支援工作區編排之各個態樣之一組網路服務306。特定言之,網路服務306可包括應用程式及工作區服務307,其等可組裝及打包應用程式以部署在一工作區中(例如,「.msix」檔案被打包並部署到MICROSOFT HYPER-V容器)。在一些實施例中,一工作區定義可用於指定係否將以此方式向一使用者提供對一應用程式之存取。網路服務306亦可包括一租戶訂用模組308,該租戶訂閱模組在一IHS之銷售點(POS)處執行一IHS之動態組態及所描述工作區編排服務之部署。一許可追蹤模組309可用於維護及追蹤軟體、服務及IHS之許可資訊。一存取控制模組310可提供用於控制由授權使用者對資料及應用程式之存取之頂級存取控制。一統一端點管理(UEM)模組311可經組態以支援可由一特定使用者利用之各種不同IHS上之所描述工作區編排。
可用於支援工作區之網路服務306可進一步包括資源提供服務312以用於使用存取特定資源所需的機密/憑證(例如,使用VPN、網路、資料儲存庫、工作區加密、工作區證明及工作區-裝置錨定之憑證)組態一IHS或工作區。在一些情況下,資源提供服務312可包括機密,該等機密作為IHS 300B之一受信組裝程序之一部分而提供且在一些例項中與IHS 300B之唯一識別碼348相關聯。網路服務306亦可包括提供身份功能且可連接至各種鑑認源(諸如,例如現用目錄(Active Directory))之一授權/符記模組。端點註冊模組314可經組態以向追蹤所描述工作區編排之使用之管理服務註冊IHS及/或工作區。在一些場景中,一目錄服務315模組可經組態以提供現用目錄服務(例如,來自MICROSOFT CORPORATION的AZURE ACTIVE DIRECTORY)。裝置組態服務316實現對工作區之集中組態、監視、管理及優化,該等工作區在某些脈絡中可自一IHS遠端地操作且可僅向IHS之使用者呈現工作區輸出之一影像。與資源提供服務312合作,裝置組態服務316亦可處置機密創建及IHS組態,且在一些情況下,可具有帶外能力且處置對端點之選定操作。
仍然參考圖3A,製造商整合組件317與應用程式服務301及用戶端IHS 300B通信以提供在工作區評估及例證期間可用之特徵,其中此等特徵係基於可供用戶端IHS 300B之製造商使用之資訊。例如,憑證機構318可包括發佈數位憑證之一實體,該等數位憑證可用於驗證IHS 300B之硬體之真實性及完整性。身份服務模組或引擎319可經組態以管理使用者或所有者的身份以及代理識別以使用客戶目錄322。訂單權利模組或引擎320可負責管理購買權利以及由318簽署之相關聯的發佈憑證。所有權儲存庫321可管理與IHS相關聯之使用者權利及其等所有權,且可為使用者轉移一IHS之所有權及傳達與該IHS相關聯之權利提供支援。在某些場景中,所有權儲存庫321可使用此所有權轉移來解除與嵌入在IHS中之權利相關聯之機密。客戶目錄322可經組態以對一網路中之所有使用者及IHS進行鑑認及授權,諸如為所有IHS指派及執行安全性策略以及安裝或更新軟體(在一些情況下,客戶目錄322可協同工作及/或可與目錄服務315相同)。
現在參考圖3B之IHS 300B,在一些實施例中,IHS 300B可經組態以操作一本地管理代理332,該本地管理代理可在由一受信控制器341(諸如圖1之受信控制器115)託管之一安全執行環境345內運行。在其他實施例中,本地管理代理332可作為IHS 300B之OS之一受信且可證明程序來操作。 在一些實施例中,本地管理代理332可包括適合於例證及管理IHS 300B上之一或多個工作區331A至N之操作之一工作區引擎。如所描述的,一工作區之能力可基於工作區在其中操作之工作效率及安全脈絡之變化而修改。因此,工作區331A至N之各者中之工作負載可託管在一公共雲、一私有雲、一特定伺服器中或本地託管在IHS 300B上,這取決於工作區在其中運行之脈絡。針對每一特定工作區331A至N之此等工作區計算分配可由用於構建及操作每一工作區之工作區定義來規定。如所描述的,工作區定義可由工作區編排服務206基於由IHS 300B提供之脈絡資訊、針對每一工作區331A至N之安全目標及針對每一工作區331A至N之工作效率目標來創建。
在一些實施例中,本地管理代理332可經組態以託管、啟動及/或執行提供啟動點203之一工作區集線器327,使用者藉由該啟動點透過對受管理資料及資源之選擇來啟動工作區。在各種實施例中,啟動點203可為提供一介面之一代理、應用程式、專用工作區或入口網站,一使用者可藉由該介面自一彙總集合中選擇可供IHS 300B之使用者經由如本文描述之一工作區之操作使用之資料源、應用程式、日曆、訊息或其他受管理資訊或資源。在各種實施例中,可以容許IHS 300B之一使用者選擇可用資料及/或資源之文本、圖形及/或音訊使用者介面之形式提供啟動點203。在一些實施例中,工作區集線器327可利用一本地環境管理模組328來提供在IHS 300B上呈現給使用者之工作區介面,且以跨工作區331A至N之一致方式這樣做。工作區集線器327亦可包括一本地智慧邏輯或引擎329,其用於支援對IHS 300B之使用進行建模以便改良與一風險脈絡相關聯之實際風險之表徵。使用者鑑認及存取控制操作可由一本地身份模組330執行,該本地身份模組可與受信控制器341介接以提供使用者鑑認。
在一些情況下,每一經例證工作區331A至N可為向一使用者提供對經請求資料或應用程式之存取之一環境,其中該環境可基於每一工作區331A至N在其中操作之安全脈絡及工作效率脈絡在不同程度上與IHS 300B之硬體及軟體隔離。在一些例項中,經由啟動點203可供使用者使用之一資料源或資源之選擇可能導致啟動一新的工作區。例如,若一使用者透過選擇由啟動點203顯示之一圖標來啟動一流覽器,則可根據一工作區定義來創建及啟動一新的工作區,該工作區定義已被選擇用於提供使用者對已在其中做出請求之安全及工作效率脈絡中之一網路流覽器之存取。在其中使用者雙擊可自由啟動點203提供之一資料源獲得之機密呈現檔案之一場景中,可使用提供對經請求呈現檔案之存取之一呈現應用程式例證一額外工作區,其中此新的工作區係基於為對機密呈現之存取提供適當安全性之一工作區定義而創建)。在其他例項中,一使用者選擇呈現檔案可導致呈現可透過現存工作區(在一些情況下使用現存工作區定義且在其他情況下使用一工作區定義)使用,該工作區定義已修改以支援對機密呈現檔案之請求存取。
雖然由IHS 330B支援之工作區331A至N可各自在不同程度上與IHS 300B之硬體及/或軟體以及彼此隔離,但IHS 330B之一使用者可能期望能夠以容許內容在不同的工作區331A至N之間轉移之一方式操作多個工作區331A至N。例如,一使用者可選擇在工作區331A中顯示之資料之一部分且利用OS或其他工作區功能來複製資料以用於複製至工作區331B。
在各種實施例中,一本地管理代理332可全部或部分地在由獨立於IHS 300B之OS操作之受信控制器341託管之一安全平台345上操作。在一些實施例中,本地管理代理332之全部或部分可作為IHS 300B之OS之受信元件操作。為執行本文描述之各種操作,本地管理代理332可包括一命令監視器334,該命令監視器經組態以提供工具以自工作區編排服務300A接收命令並因此能夠存取IHS 300B。本地管理代理332亦可包括遙測模組335,該遙測模組可經組態用於將經收集資訊傳送至工作區編排服務300A,包括報告可保證對工作區331A至N進行調整之脈絡變化。資料彙總器336可追蹤可經由一工作區提供給使用者之所有資料源及其他資源(例如,應用程式、本地或基於雲的服務)。
本地管理代理332可利用一資源管理器模組337,該資源管理器模組經組態以管理對資料之存取、(諸如用於VPN及網路存取之)網路組態、身份資訊、存取控制及資源提供服務。安全模組338可經組態以提供各種安全服務。BIOS介面339可提供一安全BIOS介面,該安全BIOS介面用於存取及管理安全物件儲存裝置中之憑證。一BIOS分析模組340可經組態以執行用於BIOS遙測及健康評估之取證服務。持久性模組346可經組態以支援在一POS處授權或由管理員指派且以所需許可追蹤支援之應用程式之持久性。工作區證明模組333可在由本地管理代理332提供之一容器引擎之頂部上提供一以平台為中心之服務層,且可用於以由條件控制305定義或編排之任何合適方式來量測及證明工作區331A至N。
作為安全平台345之一部分,本機管理模組347可經組態以啟用與工作區編排服務206之帶外管理介面,其中此OOB介面獨立於IHS 300B之OS操作。在一些實施例中,由本機管理模組347支援之OOB管理介面可由工作區編排服務之裝置組態服務316利用來存取IHS 300B之安全平台服務345。
數位裝置ID模組348可提供唯一的、不可欺騙的、密碼綁定之識別碼。在支援一安全平台345之實施例中,安全嵌入式控制器341可為一強化硬體模組,該強化硬體模組可包括一信任根模組342,該信任根模組被組態為一受信資料儲存裝置,且在一些情況下用於密碼處理,該密碼處理在一密碼系統內可被信任。一裝置證明服務343可經組態以執行裝置保證及信任服務(例如,安全BIOS及安全引導等)。可提供一安全物件儲存裝置344,該安全物件儲存裝置經組態以鎖定及存取一EC及/或TPM中之密鑰、散列及/或其他機密。
在一些場景中,IHS 100可由亦控制製造商整合組件317之一製造商提供,工作區證明模組333可與安全物件儲存裝置342、經鑑認BIOS模組339及/或數位裝置身份模組348等一起操作,以進一步基於該IHS獨有的及/或由該製造商專門設計之硬體裝置及設置保護及/或控制工作區331A至N之任一者中可用之工作效率特徵。
為進一步圖解說明本文描述之系統及方法如何操作以使一企業工作效率生態系統中之工作區及硬體生命週期管理現代化,下面依次論述三個非限制性用例或實例。 用例A
在用例A中,一給定使用者可使用一公司擁有且成像的筆記本請求存取企業場所中之一受保護資料源,這關於圖1之IHS 100及圖3B之用戶端IHS 300B所描述般組態。
回應於該請求,在使用者筆記本上操作之一本地管理代理332擷取描述當前脈絡之資訊並基於經判定脈絡計算安全性及工作效率目標。在此用例中,本地管理代理可能已由IT安裝,且可能作為一服務在背景中運行。基於檔案分類(例如,檔案後設資料/類型/屬性/許可、資料夾位置、加密區域等),機密資料可與本地機器上之本地管理代理相關聯。此外,本地管理代理可持續收集當前脈絡資訊並將其發送至編排服務以用於對工作區之風險及工作效率進行評分(這亦可在使用者的存取請求或意圖指示時進行)。
當使用者諸如經由通過筆記本之OS進行的選擇而選擇機密資料時,本地管理代理向工作區編排服務通知該請求及一工作區之一工作區定義,藉由該工作區定義,可為使用者提供對機密資料之存取。
在此實例中,工作區編排服務可基於以下脈絡資訊或輸入(該脈絡資訊或輸入之各者亦被給定為基於一選定策略之一風險度量)而使用一加權、機器學習或人工智慧演算法來將一整體安全風險評分為值「2」:場所:1(安全場所);使用者角色:1(視為對一合理複雜的使用者分類很有信心—歷史上未點擊網路釣魚電子郵件之一使用者);網路風險:1(由於在內部、偵測到有線連接而具有低風險);裝置風險:1(由於公司擁有/管理平台、已知版本、啟用安全特徵等,因此高度控制);監管:1(基於使用者、資料、位置組合—例如,對通用資料保護法規或「GDPR」、健康保險流通與責任法案「HIPAA」、支付卡行業「PCI」、技術出口等沒有限制);及資料類型:8(正在請求一機密資料檔案)。
工作區編排服務亦可基於以下脈絡資訊或輸入(該脈絡資訊或輸入之各者亦被給定作為基於一選定策略之一資源度量)而使用一加權、機器學習或人工智慧演算法來計算具有值「9」之一工作效率分數:場所:10(辦公室);使用者角色:9(基於高級計算任務、熟練程度及/或速度之一「有技巧的」分類);網路速度/延時:10(快速、有線、千兆乙太網或直接至內部網路);裝置效能:8(快速、昂貴的CPU、記憶體、圖形,但只需要儲存—例如,< 10 GB);及資料類型:10(本地,機密檔案在本地儲存裝置上易於讀/寫且具有低延時及高效能)。
其次,基於安全分數及/或脈絡資訊,工作區編排服務構建具有帶呈一機器可讀格式(例如,JSON名稱-值、XML結構化等)之工作區定義屬性之任何合適結構之一工作區定義檔案。在此實例中,基於表示負載、對安全控制及約束特徵之需要或需求之一屬性值組合,安全目標可視為具有值「1」,該等屬性值可包括:威脅監視:1(低需求);威脅偵測:1(低需求);威脅分析:1(低需求);威脅回應:1(低需求);儲存機密性:2(低);儲存完整性:2(低);網路機密性:1(低);網路完整性:1(低);記憶體機密性:1(低);記憶體完整性:1(低);顯示機密性:1(低);顯示完整性:1(低);使用者鑑認:1(低,基本通行碼即可,非多重因素鑑認或「MFA」,無會話屆滿);IT管理員範疇:1(管理員遠端地管理但不需要大量復原軟體;及法規遵從性:1(無GDPR,無HIPPA,無PCI,無技術出口限制等)。
基於工作效率目標及/或脈絡資訊,工作區定義之一工作效率目標可基於表示工作效率要求之一屬性值組合而認為具有值「9」(定義一高品質、回應性使用者體驗),該等屬性值如下:本地儲存裝置:7(部分硬碟控制,一些儲存裝置為IT負載預留);CPU存取:10(無限制);本地圖形:10(無限制);及應用程式堆疊:10(可使用應用程式、安裝使用者需要的應用程式、授予他們管理員許可權等)。
第三,在工作區定義完成後,工作區編排服務及本地管理代理可組裝工作區並將其針對使用者進行例證。例如,本地管理代理可自編排服務接收定義檔案(例如,JSON、XML等),且它可解析該檔案以實施安全風險控制,諸如:威脅監視:1(本地管理代理不安裝威脅、偵測及回應或「TDR」軟體);威脅偵測:1(本地管理代理不安裝TDR軟體);威脅分析:1(編排不需要自系統蒐集詳細的遙測資料,OS將不會被登記到日誌記錄中);威脅回應:1(本地管理代理未安裝安全威脅回應代理);儲存機密性:2(本地管理代理部署一本地檔案系統加密產品,使用者可根據需要使用右擊脈絡選單視需要在特定檔案上啟用該本地檔案系統加密產品);儲存完整性:2;網路機密性:1(本地管理代理確認基本防火牆組態正確—例如,受IT GPO);網路完整性:1;記憶體機密性:1(本地管理代理確認組態—例如,未部署SGX、TXT或容器/沙箱軟體);記憶體完整性:1;顯示機密性:1(本地管理代理確認所安裝的圖形驅動程序、防窺及視需要由使用者管理的相機);顯示完整性:1;使用者鑑認:1(本地代理確認基本GPO通行碼規則被組態並由使用者滿足—例如,字元數、無會話屆滿等);IT管理員範疇:1(本地代理以系統特權運行,確認IT管理員帳戶列在本地管理員使用者群組中列出—例如,按每GPO列出);及法規遵從性:1(本地代理不安裝任何遵從性輔助軟體)。
在確認組態後,工作區編排服務及本地管理代理可為使用者賦予對所請求的本地機密檔案之存取,且使用者可開始在一新創建的工作區中工作。 用例B
在用例B中,一使用者可在咖啡店使用一開放公共網路及一IT管理/擁有的PC請求存取一機密資料檔案,這關於圖1之IHS 100及圖3B之用戶端IHS 300B所描述般組態。
首先,由一用戶端IHS(300B)執行之一本地管理代理(332)擷取所請求的脈絡並基於脈絡計算安全性及工作效率分數。在此用例中,本地管理代理可能已由IT安裝,且可能作為一服務在背景中運行。機密資料可保存在一共用IT管理網路資源內部(例如,回到主要公司辦公室),且本地管理代理可負責監視使用者何時請求此資料路徑(例如,使用者點擊一特定URL、IP等)。此外,本地管理代理可持續收集所有當前脈絡並將其發送至工作區編排服務,以稍後輔助評分程序(這亦可在使用者的存取請求或意圖指示時進行,而非持續收集)。
當使用者選擇期望的機密資料檔案時,用戶端IHS(300B)的IOS調用與通向機密資料檔案之路徑相關聯之本地管理代理,並回調至一遠端工作區編排服務(206)以請求一工作區定義。
在此實例中,工作區編排服務可基於以下脈絡資訊或輸入(該脈絡資訊或輸入之各者亦被給定為基於一選定策略之一風險度量)而使用一加權、機器學習或人工智慧演算法來將一整體安全風險評分為值「4」:場所:5(公共、安全國家);使用者角色:5(新使用者,分類資料尚未存在);網路風險:5(中等,公共但常見位置,偵測到無線連接);裝置風險:1(高度控制、公司擁有/管理平台、已知版本、啟用安全特徵等);及監管:1(基於使用者、資料、位置組合—例如,對通用資料保護法規或「GDPR」、健康保險流通與責任法案「HIPAA」、支付卡行業「PCI」、技術出口等沒有限制)。
工作區編排服務亦可基於脈絡資訊或輸入而使用一加權、機器學習或人工智慧演算法計算具有值「5」之一工作效率分數,該脈絡資訊或輸入之各者亦被賦予基於一選定策略之一資源度量。例如,安全脈絡輸入可包括場所:6(遠端位置,但在美國主要城市,在一公共區域,非員工在裝置之視覺/音訊範圍內);使用者角色:5(未知置信度「空」分類,使用預設入職培訓假設);網路速度/延時:4(中等,無線但AC在共用網路上);及裝置效能:8(快速,昂貴的CPU,記憶體,圖形,但儲存只需要大約< 10 GB)。
其次,基於安全分數及/或脈絡資訊,工作區編排服務構建具有帶呈一機器可讀格式(例如,JSON名稱-值、XML結構化等)之工作區定義屬性之任何合適結構之一工作區定義檔案。在此實例中,基於表示負載、對安全控制及約束特徵之需要或需求之一屬性值組合,一安全目標可認為具有值「4」,該等屬性值如下:威脅監視:4(中等需求);威脅偵測:4(中等需求);威脅分析:4(中等需求);威脅回應:4(中等需求);儲存機密性:4(中等);儲存完整性:9(高);網路機密:5(中等);網路完整性:2(低);記憶體機密性:4(中等);記憶體完整性:8(高);顯示機密性:7(中/高—擔心「背後偷窺者」自一附近相鄰座椅或桌子、公共位置讀取資料);顯示完整性:2(低);使用者鑑認:4(中等,使用一硬體符記進行雙重因素鑑認,休眠時會話屆滿,螢幕鎖定或登出);IT管理範疇:3(若使用者致電管理員尋求IT問題幫助,則管理員可遠端地監視、管理及復原);及法規遵從性:1(無GDPR、無HIPAA、無PCI、無技術出口限制等)。
基於工作效率目標及/或脈絡資訊,工作區定義之一工作效率目標可基於表示工作效率要求之一屬性值組合而認為具有值「7」(定義一高品質、回應性使用者體驗),該等屬性值如下:本地儲存裝置:7(部分硬碟控制,一些儲存裝置為IT負載預留);CPU存取:10(無限制);本地圖形:10(無限制);及應用程式堆疊:7(可使用應用程式,可安裝使用者需要的一些經IT批准的應用程式,但沒有管理員許可權,因為不能信任使用者只安裝有效/安全的工作效率軟體,但可根據需要安裝預先批准的IT應用程式)。
第三,在工作區定義完成後,工作區編排服務及本地管理代理可組裝工作區並將其針對使用者進行例證。例如,本地管理代理可自編排服務接收定義檔案(例如,JSON、XML等),且它可解析該檔案以實施安全風險控制,諸如:威脅監視:5(本地管理代理安裝或確認TDR軟體之先前安裝/組態);威脅偵測:5(本地管理代理安裝或確認TDR軟體之先前安裝/組態);威脅分析:5(編排確認遙測係可存取的,若尚未登記,則OS將被登記到日誌記錄中);威脅回應:2(本地管理代理下載但不運行遠端事件回應應用程式—為偵測到事件做準備);儲存機密性:5(本地管理代理以受限「保存」許可部署一本地容器技術,諸如沙箱,使得將不容許機密檔案保存在PC本地,但只要會話在記憶體中處於活動狀態即可存取);儲存完整性:5;網路機密性:5(本地管理代理加強防火牆保護,禁用所有不必要的埠,並建立返回公司辦公室之一VPN以保護到達本地沙箱之流量);網路完整性:5;記憶體機密性:5(本地管理代理組態沙箱容器以將應用程式及資料與可能滲入主機OS之其他應用程式/威脅隔離);記憶體完整性:5;顯示機密性:7(本地管理代理確認已安裝圖形驅動程序,執行防窺並使用相機偵測特定旁觀者威脅);顯示完整性:7;使用者鑑認:4(本地代理確認基本GPO通行碼規則被組態並由使用者滿足—例如,字元數,無會話屆滿等,但亦增加了硬體符記登錄及再次建立網路之要求);IT管理員範疇:4(本地代理以管理員及遠端存取特權運行,確認IT管理員帳戶列在本地管理員使用者群組中列出—例如,按每GPO列出);及法規遵從性:4(本地代理安裝州特定規則執行或監視軟體)。
在確認組態後,工作區編排服務及本地管理代理可為使用者賦予對所請求的本地機密檔案之存取,且使用者可開始在一新創建的工作區中工作。 用例C
在用例C中,一使用者可使用來自哈薩克斯坦之一流覽器請求存取一網路託管的遠端入口中之一機密資料檔案,而在網吧使用一借用/租用的PC請求存取,這關於圖1之IHS 100及圖3B之用戶端IHS 300B所描述般在一開放WiFi網路上組態。
首先,一遠端工作區編排服務(332)攔截存取請求並評估流覽器及使用者脈絡,並計算安全性及工作效率分數。在此用例中,沒有本地管理代理;所有已知的只係流覽器及透過HTTP/S會話返回或獲得之任何遙測資料。出於此實例,假設機密資料可保存在一共用IT管理網路資源內部(例如,回到主要公司辦公室),且資料檔案將僅以遠端呈現/存取特權保留在那裡。基於網路之脈絡可透過流覽器會話蒐集或由使用者供應。此外,亦可透過替代邊信道(例如,旅行日曆資訊、公司信用卡上的最近使用者計費活動、電話呼叫日誌及/或位置資料)為工作區編排服務收集使用者脈絡。
當使用者自網路流覽器中選擇期望的機密資料檔案時,後端網路伺服器基礎設施回調至工作區編排服務以請求一工作區定義。
在此實例中,工作區編排服務可基於以下脈絡資訊或輸入(該脈絡資訊或輸入之各者亦被評分為基於一選定策略之一風險度量)而使用一加權、機器學習或人工智慧演算法來將一整體安全風險評分為值「9」:場所:9(哈薩克斯坦);使用者角色:1(預期使用者在那裡,基於以往登錄,時間似乎係正確的,且他有生物特徵手錶通信器,該生物特徵手錶通信器證明他自己還活著且位於他所說的地方-使得IT可始終信任他);網路風險:9(高,公開且在非常隱蔽的地方);裝置風險:9(零信任);及監管:8(基於使用者、資料、位置組合)。
工作區編排服務亦可基於以下脈絡資訊或輸入(該脈絡資訊或輸入亦被給定作為基於一選定策略之一資源度量)而使用一加權、機器學習或人工智慧演算法來計算具有值「5」之一工作效率分數:場所:3(效能不佳之網吧裝置);使用者角色:9(已知有高置信度及「有技巧的」分類—高級計算任務、熟練程度及速度);網路速度/延時:3(低品質-遠距離無線G);及裝置效能:3(必須能夠輕鬆流覽網頁,但基於服務認為能力將為何種能力,服務應構建簡單能力)。
其次,基於安全分數及/或脈絡資訊,工作區編排服務構建具有帶呈一機器可讀格式(例如,JSON名稱-值、XML結構化等)之工作區定義屬性之任何合適結構之一工作區定義檔案。在此實例中,基於表示負載、對安全控制及約束功能之需要或需求之一屬性值組合,一安全目標可視為具有值「9」,該等屬性值如下:威脅監視:10(高需求,要在伺服器端處置);威脅偵測:10(高需求,要在伺服器端處置);威脅分析:10(高需求,要在伺服器端處置);威脅回應:10(高需求,要在伺服器端處置);儲存機密性:10(高需求,要在伺服器端處置);儲存完整性:8;網路機密性:10(高需求,要在伺服器端處置);網路完整性:9;記憶體機密性:10(高,需在伺服器端處理);記憶體完整性:9;顯示機密性:10(高,「背後偷窺者」可自一公共位置附近之一相鄰座椅或桌子讀取資料檔案);顯示完整性:9;使用者鑑認:10(高,使用登錄、硬體符記及生物特徵衛星手錶進行三重因素鑑認-會話屆滿並每30秒刷新一次);IT管理員範疇:8(若使用者致電管理員他們尋求幫助或發生任何意外情況,則管理員可遠端地監視、管理及復原);及法規遵從性:10(所有網路流量皆受到安全監視,所呈現之資料也係如此)。
基於工作效率目標及/或脈絡資訊,針對工作區定義之一工作效率目標可基於表示工作效率要求之一屬性值組合而認為具有值「3」(定義主要為消費而非工作效率構建之一可用安全使用者體驗),該等屬性值如下:本地儲存裝置:1(僅緩衝儲存);CPU存取:3(為有限期望而構建);本地圖形:3(為有限期望而構建);及應用程式堆疊:1(一獨立式終端機服務台模式裝置上之網路流覽器體驗、有限的資料輸入能力、透過VDI渲染之獨立式終端機服務台對僅需要已知的資訊之有限讀取存取)。
第三,在工作區定義完成後,工作區編排服務及遠端雲網路入口(例如,使用者透過流覽器登錄之會話)可組裝工作區並在流覽器中並將其針對使用者進行例證。例如,網路入口可自編排服務接收定義檔(例如,JSON、XML等)且它可解析該檔案以實施安全風險控制,諸如:威脅監視:9(基於資料中心之管理代理安裝或確認TDR軟體之先前安裝/組態);威脅偵測:9(基於資料中心之管理代理安裝或確認TDR軟體之先前安裝/組態);威脅分析:9(編排確認遙測係可存取的,若尚未登記,則託管網路伺服器之伺服器可登記到日誌記錄中—來自邊信道之使用者行為遙測亦可被持續監視以確認係否存在可疑/異常活動);威脅回應:10(基於資料中心之管理代理設置看門狗計時器以自動終止會話,而無需自編排、使用者遙測及網路流覽器中定期簽入);儲存機密性:9(基於資料中心之管理代理構建漸進式網路應用程式,該漸進式網路應用程式可用於透過一安全TLS鏈路顯示資料—資料將被渲染,但僅視覺化之需要部分呈現給使用者,且可不保存任何事物);儲存完整性:10;網路機密性:9(盡最大努力路由流量以保護位置—除透過可執行網路進行位元圖渲染外,不容許進行任何操作);網路完整性:4;記憶體機密性:9(僅網路流覽器—沒有資料離開資料中心,沒有自租用的PC上獲取機密輸入,不容許鍵盤輸入,且所有輸入皆可使用滑鼠點擊座標自隨機虛擬鍵盤上捕獲);記憶體完整性:8;顯示機密性:8(盡最大努力確保機密性—至少提示使用者—可調字體大小,但預設為小字體、模糊文本等);顯示完整性:2;使用者鑑認:9(本地代理確認基本通行碼規則已被組態且由使用者滿足—例如,字元數、無會話屆滿等,但亦增加了對硬體符記及生物特徵、衛星手錶登錄並再次建立網路之要求,需要使用者頻繁重新確認);IT管理員範疇:7(基於資料中心之遠端環境);及法規遵從性:8(不存在本地代理,但基於資料中心之代理監視/阻止不合適的資料)。
在確認組態後,工作區編排服務及本地管理代理可為使用者賦予對所請求的渲染資料之存取,且使用者可開始在一新創建的工作區中工作。 * * *
可實施本文描述之系統及方法以提供受信本地工作區編排,這在例如其中本地管理代理332及工作區編排服務206在執行本地管理代理332之工作區例證程序期間有效地變得隔離之情況下特別有用。
例如,在一些情況下,在工作區例證期間,本地管理代理332與工作區編排服務206之間的一網路連接可具有有限或受限的頻寬,或者該連接可能係間歇性的(例如,關閉或不穩定)。在其他情況下,工作區編排服務206可被保護在一防火牆或非軍事區之後,該防火牆或非軍事區不容許來自沒有一受信工作區已就位之端點之連接。此外,本地「管理」代理通常被指派有高特權之帳戶,該高特權可用於篡改日誌,因此削弱工作區編排服務206信任由本地編排代理332進行之例證序列之能力。在此等及各種其他場景中,工作區編排服務206可能無法在工作區例證期間監視每個本地活動。
為解決此等問題,本文描述之系統及方法可通常如下提供受信本地工作區編排:首先,工作區編排服務206及/或本地管理代理332判定它們之間的一連接具有受限頻寬、係間歇性的等。作為回應,工作區編排服務206向本地管理代理332傳輸唯一亂數或程式碼,該本地管理代理可充當一本地編排代理以基於給定的工作區定義執行複雜的例證操作序列(例如,基本輸入/輸出系統(BIOS)設置之組態、應用程式安裝,或安全監視服務之執行等)。在本地例證程序期間,本地管理代理332與工作區編排服務206之間的通信可能係有限的或不存在的,且管理代理332可記錄或記錄例證活動及操作(例如,匿名本地個人可識別資訊或「PII」脈絡評估、軟體ID或「SWID」標籤記錄、組態、安裝等)並將它們擴展至一TPM晶片或受信任控制器上。
TPM晶片為本地管理代理332的活動序列提供完整性保護。在工作區被例證且工作區編排服務206與一本地管理代理332之間的連接建立之後,工作區編排服務206隨後可藉由對照一新的TPM引用驗證記錄或日誌來證明序列完成。
圖4係用於提供受信本地工作區編排之方法400之一實例之一圖式。在各種實施例中,方法400可由本地管理代理332與工作區編排服務206協作來執行。在401處,工作區編排服務206在IHS 100上部署本地管理代理332,及/或它向一現存本地管理代理332傳輸唯一例證亂數或編排程式碼。在401處,工作區編排服務206亦可將一工作區定義傳輸至本地管理代理332。
在402處,本地管理代理332判定其與工作區編排服務206之連接被阻止(例如,藉由策略阻止)、丟失及/或間歇性的。作為回應,本地管理代理332在403處本地例證工作區。在工作區之例證期間,本地管理代理332在404處將編排程式碼之一複本及例證操作序列之一記錄記錄並發送(或擴展對其等之量測)至TPM,該TPM繼而將資訊儲存在與端點的系統記憶體不同的一安全記憶體中。
在一些情況下,偵測方塊402之網路問題可能發生在例證程序中間的某個點處,且本地管理代理332可自該點開始在TPM中儲存例證操作之一記錄作為一部分本地編排程序。
在405處,本地管理代理332重新建立與工作區編排服務206及例證工作區請求服務之連接。作為回應,在406處,工作區編排服務206請求來自TPM之例證或編排量測,及來自本地管理代理之量測之日誌。在407處,本地管理代理遞送日誌,且TPM證明量測。
在408處,工作區編排服務206驗證日誌中之操作序列係否與預期或容許之操作匹配(例如,基於工作區定義)。工作區編排服務206亦對照原始編排程式碼鑑認日誌中之編排程式碼。若驗證及鑑認皆成功,則在409處工作區編排服務206可向工作區提供連接及/或服務。
在各種實施方案中,TPM平台組態暫存器(PCR)(使用TPM2_PCR_extend)、非揮發性儲存(使用TPM2_NV_extend)或類似方法可用於在一工作區例證期間記錄一操作序列。因而,TPM可能能夠提供新的證據:在請求期間在一給定工作區上進行操作序列,及/或該操作序列沒有被一先前例證篡改或未自該先前例證播放。
應理解,本文中所描述之各種操作可在藉由處理電路、硬體或其組合執行之軟體中實施。執行給定方法之每個操作的順序可改變,並且各種操作可經添加、重新排序、組合、省略、改進等。意欲本文所描述之本發明包含所有此等改進及變化,因此以上描述應視為具有說明性而非限制性意義。
如本文中所使用,術語「有形」及「非暫時性」意欲描述不包括傳播電磁信號之電腦可讀儲存媒體(或「記憶體」);但並非意欲另外限制由片語電腦可讀媒體或記憶體涵蓋之實體電腦可讀儲存裝置的類型。例如,術語「非暫時性電腦可讀媒體」或「有形記憶體」意欲涵蓋未必永久地儲存資訊之儲存裝置類型,包括例如RAM。以非暫時性形式儲存在有形電腦可存取儲存媒體上之程式指令及資料可在之後藉由諸如電信號、電磁信號或數位信號的傳輸媒體或信號傳輸,該等信號可經由諸如網路及/或無線鏈路之通信媒體輸送。
雖然在本文中參考特定實施例來描述本發明,但可在不脫離如所附請求項闡述的本發明之範疇的情況下進行各種改進及變化。因此,說明書及附圖應視為具有說明性而非限制性意義,並且所有此等改進意欲包含在本發明之範疇內。在本文中關於特定實施例所描述的任何益處、優勢、或問題之解決方案並不意欲理解為任何或所有請求項之關鍵、必需、或基本特徵或要素。
除非另外說明,否則諸如「第一」及「第二」等術語用於在此等術語所描述之元件之間任意地區分。因此,此等術語不一定意欲表示此等元件之時間或其他優先次序。術語「耦合」或「可操作地耦合」限定為連接,但不一定直接連接,且不一定機械連接。除非另外說明,否則術語「一個(種)(a/an)」限定為一或多個(種)。術語「包含」(及「包含」之任何形式,諸如「包含(comprises)」及「包含(comprising)」)、「具有」(及「具有」之任何形式,諸如「具有(has)」及「具有(having)」)、「包括」(及「包括」之任何形式,諸如「包括(includes)」及「包括(including)」)及「含有」(及「含有」之任何形式,諸如「含有(contains)」及「含有(containing)」)為開放式連接動詞。因此,「包含」、「具有」、「包括」或「含有」一或多個元件之系統、裝置、或設備具有彼等一或多個元件但不限於僅具有一或多個元件。類似地,「包含」、「具有」、「包括」或「含有」一或多個操作之方法或程序具有彼等一或多個操作但不限於僅具有一或多個操作。
100:信息處置系統 101:處理器 102:匯流排 103:晶片組 104:高速記憶體介面 105:系統記憶體 106:郵箱 107:圖形處理器 108:顯示裝置 109:網路介面 110:輸入/輸出控制器 111:使用者輸入裝置 112:感測器 114:光碟機 115:受信控制器 116:輸入/輸出埠 117:基本輸入輸出系統 118:記憶體控制器 119:儲存裝置 120:安全儲存裝置 121:安全儲存裝置 200:方法 200A:工作區初始化階段 200B:工作區編排階段 200C:工作區終止階段 201:使用者 202:環境 203:啟動點 204:初始工作效率及安全脈絡 205:初始安全及工作效率目標 206:工作區編排服務 207:計算安全及效能目標 208:工作區定義 209:組裝 210:例證 211:使用量 212:工作效率及安全脈絡 213:分割工作區 300A:系統組件 300B:系統組件 301:應用程式服務 302:介面及自動化服務 303:脈絡邏輯 304:分類策略/邏輯 305:條件控制 306:網路服務 307:應用程式/工作區服務 308:租戶訂用 309:許可追蹤 310:存取控制 311:統一端點管理 312:資源提供服務 313:授權/符記 314:端點註冊 315:目錄服務 316:裝置組態 317:製造商整合 318:憑證機構 319:身份 320:訂單權利 321:所有權儲存庫 322:客戶目錄 323:分析 324:支持輔助智慧引擎(SAIE) 325:工作區洞察及遙測 326:工作區智慧 327:智慧集線器 328:統一端點管理 329:智慧 331A:工作區A 331B:工作區B 331N:工作區N 332:本地管理代理 333:工作區證明 334:命令監視器 335:遙測 336:資料彙總器 337:資源管理器 338:安全 339:經鑑認基本輸入輸出系統 340:基本輸入輸出系統分析 341:安全嵌入式控制器 342:信任根 343:裝置證明 344:安全對象儲存裝置 345:安全平台 346:持久性 347:本機管理 348:裝置ID 400:方法 401~409:步驟
本發明藉由舉例之方式來圖解說明且不限於附圖,在附圖中,相同元件符號指示類似元件。圖式中之元件係出於簡單及清晰之目的而圖解說明且不一定按比例繪製。 圖1係描繪根據各種實施例之經組態以使一企業工作效率生態系統中之工作區及硬體生命週期管理現代化之一IHS之組件之實例之一圖式。 圖2係描繪根據各種實施例之用於使一企業工作效率生態系統中之工作區及硬體生命週期管理現代化之一方法之一實例之一圖式。 圖3A及圖3B係描繪根據各種實施例之經組態以使一企業工作效率生態系統中之工作區及硬體生命週期管理現代化之一系統之一實例之圖式。 圖4係根據各種實施例之用於提供受信本地工作區編排之一方法之一實例之一圖式。
206:工作區編排服務
332:本地管理代理
400:方法
401~409:步驟

Claims (20)

  1. 一種資訊處置系統(IHS),該IHS包含: 一處理器;及 一系統記憶體,該系統記憶體耦合至該處理器,該系統記憶體具有儲存在其上之程式指令,該等程式指令在執行時使該IHS: 自一工作區編排服務接收一編排程式碼; 使用耦合至該處理器之一受信控制器記錄一日誌,該日誌包含:該編排程式碼,及對在本地管理代理例證一工作區期間執行之一操作序列之一指示; 向該工作區編排服務提供該日誌之一複本;及 回應於該工作區編排服務成功地:(i)鑑認該編排程式碼,及(ii)驗證該操作序列而在該工作區與該工作區編排服務之間建立一連接。
  2. 如請求項1之IHS,其中該等程式指令在執行時進一步使該IHS基於自該工作區編排服務接收之一工作區定義來例證該工作區。
  3. 如請求項2之IHS,其中該工作區定義包含以下至少一項:一威脅監視位準、一威脅偵測位準、一威脅分析位準、一威脅回應位準、一儲存機密位準、一網路機密位準、一記憶體保密位準、一顯示機密位準、一使用者鑑認位準、一資訊技術(IT)管理位準、一法規遵從位準、一本地儲存控制位準、一中央處理單元(CPU)存取位準、一圖形存取位準、一應用程式使用位準,或一應用程式安裝位準。
  4. 如請求項1之IHS,其中該受信控制器包含一受信平台模組(TPM)晶片,該TPM晶片經組態以儲存可用於硬體鑑認之一或多個加密密鑰。
  5. 如請求項4之IHS,其中該日誌被加密並儲存在與該系統記憶體不同的一安全記憶體中。
  6. 如請求項1之IHS,其中在該本地管理代理與該工作區編排服務之間不存在任何通信之情況下對該工作區執行該例證。
  7. 如請求項1之IHS,其中在記錄該日誌之前,該等程式指令在執行時進一步使該IHS: 判定該本地管理代理與該工作區編排服務之間的一連接具有一受限頻寬;及 回應於該判定而記錄該日誌。
  8. 如請求項1之IHS,其中在記錄該日誌之前,該等程式指令在執行時進一步使該IHS: 判定該本地管理代理與該工作區編排服務之間的一連接係間歇性的;及 回應於該判定而記錄該日誌。
  9. 如請求項1之IHS,其中在記錄該日誌之前,該等程式指令在執行時進一步使該IHS: 判定該本地管理代理相對於該工作區編排服務位於一防火牆後面;及 回應於該判定而記錄該日誌。
  10. 如請求項1之IHS,其中該操作序列包含以下至少一項:基本輸入/輸出系統(BIOS)設置之一組態、一應用程式安裝或一安全監視服務之執行。
  11. 一種其上儲存有程式指令之記憶體儲存裝置,該等程式指令在由一工作區編排服務之一資訊處置系統(IHS)執行時使該IHS: 將一編排程式碼傳輸至一本地管理代理; 接收由擴展至一受信平台模組(TPM)中之一本地管理代理記錄之一日誌之一複本,該日誌及經擴展TPM量測包含:該編排程式碼,及對在該本地管理代理例證一工作區期間執行之一操作序列之一指示;及 回應於成功地:(i)鑑認該編排程式碼,及(ii)驗證該操作序列而在該工作區與該工作區編排服務之間建立一連接。
  12. 如請求項11之記憶體儲存裝置,其中該等程式指令在執行時進一步使該IHS將一工作區定義傳輸至該本地管理代理,且其中該本地管理代理經組態以使用該工作區定義來例證該工作區。
  13. 如請求項12之記憶體儲存裝置,其中該工作區定義包含以下至少一項:一威脅監視位準、一威脅偵測位準、一威脅分析位準、一威脅回應位準、一儲存機密位準、一網路機密位準、一記憶體保密位準、一顯示機密位準、一使用者鑑認位準、一資訊技術(IT)管理位準、一法規遵從位準、一本地儲存控制位準、一中央處理單元(CPU)存取位準、一圖形存取位準、一應用程式使用位準,或一應用程式安裝位準。
  14. 如請求項11之記憶體儲存裝置,其中經記錄程式碼及序列之擴展量測被加密並儲存在可由該TPM存取之一安全記憶體中。
  15. 如請求項11之記憶體儲存裝置,其中在該本地管理代理與該工作區編排服務之間不存在任何通信之情況下對該工作區執行該例證。
  16. 如請求項11之記憶體儲存裝置,其中該等程式指令在執行時進一步使該IHS: 判定該本地管理代理與該工作區編排服務之間的一連接具有一受限頻寬;及 回應於該判定而將該編排程式碼傳輸至該本地管理代理。
  17. 如請求項11之記憶體儲存裝置,其中該等程式指令在執行時進一步使該IHS: 判定該本地管理代理與該工作區編排服務之間的一連接係間歇性的;及 回應於該判定而將該編排程式碼傳輸至該本地管理代理。
  18. 如請求項11之記憶體儲存裝置,其中該等程式指令在執行時進一步使該IHS: 判定該本地管理代理相對於該工作區編排服務位於一防火牆後面;及 回應於該判定而將該編排程式碼傳輸至該本地管理代理。
  19. 如請求項11之記憶體儲存裝置,其中該操作序列包含以下至少一項:基本輸入/輸出系統(BIOS)設置之一組態、一應用程式安裝或一安全監視服務之執行。
  20. 一種方法,其包含: 自一工作區編排服務接收一工作區定義; 回應於判定與該工作區編排服務之一連接具有一受限頻寬或者不可靠而自該工作區編排服務接收一編排程式碼; 基於該工作區定義例證該工作區; 記錄一日誌,該日誌包含:該編排程式碼,及對在該例證期間執行之一操作序列之一指示; 向該工作區編排服務提供該日誌之一複本;及 回應於該工作區編排服務成功地:(i)鑑認該編排程式碼,及(ii)驗證該操作序列而在該工作區與該工作區編排服務之間建立一連接。
TW110125498A 2020-12-18 2021-07-12 受信本地工作區編排 TWI811734B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/126,077 US11522708B2 (en) 2020-12-18 2020-12-18 Trusted local orchestration of workspaces
US17/126,077 2020-12-18

Publications (2)

Publication Number Publication Date
TW202225967A true TW202225967A (zh) 2022-07-01
TWI811734B TWI811734B (zh) 2023-08-11

Family

ID=82021822

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110125498A TWI811734B (zh) 2020-12-18 2021-07-12 受信本地工作區編排

Country Status (5)

Country Link
US (2) US11522708B2 (zh)
EP (1) EP4323895A1 (zh)
CN (1) CN116635842A (zh)
TW (1) TWI811734B (zh)
WO (1) WO2022132217A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11853100B2 (en) * 2021-04-12 2023-12-26 EMC IP Holding Company LLC Automated delivery of cloud native application updates using one or more user-connection gateways

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101303717B (zh) 1995-02-13 2015-04-29 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
WO2008073618A2 (en) 2006-11-06 2008-06-19 Devicevm, Inc. Instant on platform
US20090204964A1 (en) 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform
US8799997B2 (en) * 2011-04-18 2014-08-05 Bank Of America Corporation Secure network cloud architecture
US10574442B2 (en) * 2014-08-29 2020-02-25 Box, Inc. Enhanced remote key management for an enterprise in a cloud-based environment
US9742790B2 (en) 2015-06-16 2017-08-22 Intel Corporation Technologies for secure personalization of a security monitoring virtual network function
US10095539B2 (en) * 2016-07-25 2018-10-09 International Business Machines Corporation Automated data structure-driven orchestration of complex server provisioning tasks
US11151256B2 (en) 2019-05-13 2021-10-19 Dell Products, L.P. Detecting security threats by monitoring chains of configuration changes made to basic input/output system (BIOS) or unified extensible firmware interface (UEFI) attributes
US11759950B2 (en) * 2020-09-08 2023-09-19 UiPath, Inc. Localized configurations of distributed-packaged robotic processes
US11595322B2 (en) * 2020-12-16 2023-02-28 Dell Products, L.P. Systems and methods for performing self-contained posture assessment from within a protected portable-code workspace
US11757881B2 (en) * 2020-12-18 2023-09-12 Dell Products, L.P. Workspace deployment using a secondary trusted device

Also Published As

Publication number Publication date
US20230063135A1 (en) 2023-03-02
TWI811734B (zh) 2023-08-11
US11522708B2 (en) 2022-12-06
WO2022132217A1 (en) 2022-06-23
US20220200806A1 (en) 2022-06-23
EP4323895A1 (en) 2024-02-21
CN116635842A (zh) 2023-08-22

Similar Documents

Publication Publication Date Title
US11316902B2 (en) Systems and methods for securing a dynamic workspace in an enterprise productivity ecosystem
US11727122B2 (en) Systems and methods for endpoint context-driven, dynamic workspaces
US10938743B1 (en) Systems and methods for continuous evaluation of workspace definitions using endpoint context
US11757881B2 (en) Workspace deployment using a secondary trusted device
TWI793667B (zh) 基於組態漂移創建及處置工作空間失陷指標(ioc)
US11334675B2 (en) Systems and methods for supporting secure transfer of data between workspaces
US11762750B2 (en) Systems and methods for modernizing workspace and hardware lifecycle management in an enterprise productivity ecosystem
TWI794872B (zh) 資訊處置系統、記憶體儲存裝置及用於操作工作區之方法
US11720700B2 (en) Systems and methods for securely deploying a collective workspace across multiple local management agents
US20230179613A1 (en) Detecting security attacks using workspace orchestration logs
US11720682B2 (en) Systems and methods for bare-metal or pre-boot user-machine authentication, binding, and entitlement provisioning
US11586738B2 (en) Systems and methods for evaluating security risks using a manufacturer-signed software identification manifest
US11336655B2 (en) Multilevel authorization of workspaces using certificates
US20230063135A1 (en) Trusted local orchestration of workspaces
US20230153426A1 (en) Hardware-based protection of application programming interface (api) keys
US20230229458A1 (en) Systems and methods for configuring settings of an ihs (information handling system)
US20230208828A1 (en) Layered workspace endorsement and verification
US11595322B2 (en) Systems and methods for performing self-contained posture assessment from within a protected portable-code workspace
US12003623B2 (en) Multilayer encryption for user privacy compliance and corporate confidentiality
US20220200796A1 (en) Multilayer encryption for user privacy compliance and corporate confidentiality
US20230195904A1 (en) Architecture swapping for workspaces
US20220191239A1 (en) Fleet remediation of compromised workspaces
US20230222200A1 (en) Systems and methods for transfer of workspace orchestration
US20230153150A1 (en) Systems and methods for migrating users and modifying workspace definitions of persona groups