TWI793667B - 基於組態漂移創建及處置工作空間失陷指標(ioc) - Google Patents

基於組態漂移創建及處置工作空間失陷指標(ioc) Download PDF

Info

Publication number
TWI793667B
TWI793667B TW110125113A TW110125113A TWI793667B TW I793667 B TWI793667 B TW I793667B TW 110125113 A TW110125113 A TW 110125113A TW 110125113 A TW110125113 A TW 110125113A TW I793667 B TWI793667 B TW I793667B
Authority
TW
Taiwan
Prior art keywords
workspace
ihs
configuration
user
ioc
Prior art date
Application number
TW110125113A
Other languages
English (en)
Other versions
TW202225965A (zh
Inventor
吉里什 S 多布爾
尼古拉斯 D 格羅貝爾尼
瑞卡多 L 馬丁內斯
喬瑟夫 柯茲羅斯基
Original Assignee
美商戴爾產品有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商戴爾產品有限公司 filed Critical 美商戴爾產品有限公司
Publication of TW202225965A publication Critical patent/TW202225965A/zh
Application granted granted Critical
Publication of TWI793667B publication Critical patent/TWI793667B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

描述了用於基於組態漂移創建及處置工作空間失陷指標(IOC)之系統及方法。在一些實施例中,一記憶體儲存裝置可具有儲存在其上之程式指令,該等程式指令在由一工作空間編排服務之一資訊處置系統(IHS)的一或多個處理器執行時使該IHS:在一工作空間編排服務下自一用戶端IHS接收組態資訊,其中該組態資訊表示由該用戶端IHS執行之一工作空間之一組態的一變化,且其中基於由該工作空間編排服務提供之一工作空間定義實例化該工作空間;由該工作空間編排服務判定該組態資訊與一IOC匹配;且自該工作空間編排服務向該用戶端IHS傳輸一指令以回應於該IOC而執行一動作。

Description

基於組態漂移創建及處置工作空間失陷指標(IOC)
本發明大體上係關於資訊處置系統(IHS),且更明確言之,係關於用於基於組態漂移創建及處置工作空間失陷指標(IOC)之系統及方法。
隨著資訊之價值及使用不斷增加,個人及企業皆在尋求處理及儲存資訊的其他方法。一個選項係一資訊處置系統(IHS)。一IHS通常處理、編譯、儲存及/或傳達用於商業、個人或其他目的之資訊或資料。因為技術及資訊處置的需要及要求可能在不同應用之間改變,所以IHS亦可關於處置什麼資訊、如何處置資訊、處理、儲存或傳達多少資訊及可多快且多高效地處理、儲存或傳達資訊而改變。IHS之變化容許IHS為通用的或針對一特定使用者或諸如金融交易處理、機票預訂、企業資料儲存、全球通信等之特定用途而組態。另外,IHS可包括可經組態以處理、儲存且傳達資訊之多種硬體及軟體組件,且可包括一或多個電腦系統、資料儲存系統及聯網系統。
IHS為使用者提供存取、創建及操縱資料之能力,且通常實施各種安全協定以便保護此資料。從歷史上看,IHS已經設計以實施安全範例,該等安全範例將該等IHS與可能的安全威脅隔離,就如同設計並構建一城堡以保護該城堡圍牆內之人員一樣。例如,在一IHS網路之情況下,安全系統實施將整個網路與威脅隔離之策略。實際上,圍繞整個網路構建了一組城堡圍牆。當在此等系統之圍牆內工作時,可為使用者提供安全且高效的資料使用。
然而,將受保護資料隔離在一城堡圍牆內之安全範例愈來愈受到現代計算現實之打擊。如今,使用者希望在位於各個實體位置處時使用大量不同的IHS來存取受保護資料。為嘗試利用提供對資料之存取的系統之安全性,支援遠端存取之當前協定試圖將系統之防禦擴展至遠端IHS,實質上係將城堡圍墻擴展為暫時包括所有或部分遠端IHS。
現代計算之另一個複雜問題係使用者希望他們將能夠利用其等自身之個人IHS來存取其等部分或全部受保護資料,即使彼等使用者被提供有企業發佈的IHS來存取該資料。對於此等系統之管理員而言,這增加了保護可存取受保護資料之所有方式的難度。由於無論係在一個人IHS上亦或企業發佈的IHS上,皆需要使用一不斷增長的軟體應用程式清單來支援對受保護資料之存取,因此大幅增加了這種困難。此外,由於需要支援自各個實體位置且經由各種網路(包括不受信任網路)對受保護資料之存取,對此等系統之管理變得更加複雜。面對此等問題,用於提供對受保護資料之存取之系統的管理通常很繁重,且最終,資料沒有得到充分保護而無法促進其高效使用。
用於保護對經由一IHS存取之受保護資料之存取的一已知技術係在使用一虛擬機或容器在IHS上運行之一隔離或虛擬化環境中將資料隔離。習知類型的虛擬化環境提供與IHS之硬體及作業系統之不同程度的隔離。然而,類似於尋求在一安全範圍內隔離受保護資料之安全範例之城堡圍墻防禦,習知虛擬化環境亦不適合現代計算。特定言之,此等虛擬化技術在一IHS上建立一隔離計算環境,該隔離計算環境容許一使用者僅存取為該使用者批准之資料及應用程式。
在一些例項中,習知虛擬化技術可僅基於使用者之身份來判定一IHS上待提供之資料、應用程式及保護,且因此趨向於實施保護對所有批准資料及應用程式之存取所需要的所有安全協定。然而,正如本發明人已經辨識到,這不僅產生消耗IHS之大部分記憶體及處理能力之複雜虛擬化工作,而且習知技術亦並未考慮到使用者在操作IHS時實際打算做什麼。
正如本發明人進一步辨識到,現代計算應為使用者提供經由各種IHS且幾乎在任何位置處對受保護資料之存取。然而,習知虛擬化無法考慮在一特定會話期間在其中使用一IHS之特定情境,更不用說考慮在一會話期間在其中使用一IHS之情境的變化。此外,習知虛擬化技術趨向於為實際未使用之許多能力提供支援。提供此等不必要能力所需之額外耗用過度加重一IHS之操作負擔並降低工作效率及使用者體驗。
描述了用於基於組態漂移創建及處置工作空間失陷指標(IOC)之系統及方法。在一說明性非限制性實施例中,一記憶體儲存裝置可具有儲存在其上之程式指令,該等程式指令在由一工作空間編排服務之一資訊處置系統(IHS)的一或多個處理器執行時使該IHS:在一工作空間編排服務下自一用戶端IHS接收組態資訊,其中該組態資訊表示由該用戶端IHS執行之一工作空間之一組態的一變化,且其中基於由該工作空間編排服務提供之一工作空間定義實例化該工作空間;由該工作空間編排服務判定該組態資訊與一IOC匹配;且自該工作空間編排服務向該用戶端IHS傳輸一指令以回應於該IOC而執行一動作。
該組態資訊可包括以下各者中之至少一者的一值:虛擬私人網路(VPN)、防火牆、資料加密、網路安全、網路速度、資料位置、已安裝的應用程式版本、反惡意軟體、裝置效能、裝置組態、已附接的周邊設備、使用者鑑認、主要應用程式安裝狀態或基本輸入/輸出系統(BIOS)組態。IOC可為複數個IOC中之一者,且每一IOC可包括一組態變化鏈。該組態資訊可表示比該IOC中之組態變化的一總數更少之變化。
該組態變化鏈可由該工作空間編排服務使用以預測該工作空間正接近或已遭受一安全失陷。在接收該組態資訊之前,該工作空間編排服務可經組態以基於對先前組態變化之一評估來產生IOC。用於回應於該IOC而執行動作之指令可包括用於終止該工作空間之一指令。另外或替代地,用於回應於該IOC而執行動作之指令可包括用於基於一新的工作空間定義將一新的工作空間實例化之一指令。
在另一個說明性非限制性實施例中,一種IHS可包括:一處理器;及一記憶體,該記憶體耦合至該處理器,該記憶體具有儲存在其上之程式指令,該等程式指令在執行時使該IHS:向一工作空間編排服務傳輸組態資訊,其中該組態資訊表示由該IHS執行之一工作空間之一組態的一變化,且其中基於由該工作空間編排服務提供之一工作空間定義實例化該工作空間;且 自該工作空間編排服務接收一指令以回應於由該工作空間編排服務基於該組態資訊識別之一失陷指標(IOC)而執行一動作。
在又一說明性實施例中,一種方法可包括:在一工作空間編排服務下自一IHS接收組態資訊,其中該組態資訊表示由該IHS執行之一工作空間之一組態的一變化,且其中基於由該工作空間編排服務提供之一工作空間定義將實例化該工作空間;由該工作空間編排服務判定該組態資訊與複數個IOC中之一給定IOC匹配,其中該給定IOC包含一組態變化鏈;及回應於該判定而自該工作空間編排服務向該IHS傳輸至少一指令以:(a)終止該工作空間;或者(b)基於一新的工作空間定義將一新的工作空間實例化。
出於本發明之目的,IHS可包括出於商業、科學、控制或其他目的而可操作以對任何形式之資訊、智慧或資料進行計算(compute)、計算(calculate)、判定、分類、處理、傳輸、接收、擷取、發起、切換、儲存、顯示、傳達、顯現、偵測、記錄、複製、處置、或利用的任何手段或手段彙總。例如,一IHS可為一個人電腦(例如,桌上型或膝上型)、平板電腦、行動裝置(例如,個人數位助理(PDA)或智慧電話)、伺服器(例如,刀鋒型伺服器或機架式伺服器)、一網路儲存裝置或任何其他合適裝置,且可在大小、形狀、效能、功能性及價格上有變化。在下文更詳細地描述一IHS之一實例。圖1展示一IHS之各種內部組件,該IHS經組態以實施某些所描述的實施例。應明白,雖然本文描述之某些實施例可在一個人計算裝置之情境下論述,但其他實施例可利用各種其他類型的IHS。
圖1係描繪經組態用於保護一企業工作效率生態系統中之一動態工作空間的一例示性IHS 100之組件之一圖示。在一些實施例中,IHS 100可用於實例化、管理及/或終止一工作空間,諸如一安全環境,該工作空間可向IHS 100之使用者提供對受管理資源(諸如受保護企業資料)之存取,同時將企業資料與作業系統(OS)及由IHS 100執行之其他應用程式隔離。在一些實施例中,可由一工作空間編排服務自IHS 100遠端編排用於一特定目的及用於一特定情境之一工作空間之構建,諸如關於圖2及圖3所描述的。在一些實施例中,工作空間編排之部分可結合由一遠端工作空間編排服務進行之操作在IHS 100上本地執行。IHS 100可被組態有程式指令,該等程式指令在執行時使IHS 100執行本文揭示之各種操作中之一或多者。在一些實施例中,IHS 100可為一更大企業系統之一元件,該企業系統可包括在彼此之網路通信中之任何數目的類似組態的IHS。
如圖1所示,IHS 100包括可操作以執行自系統記憶體105取得之程式碼的一或多個處理器101,諸如一中央處理單元(CPU)。雖然IHS 100被圖解說明為具有一單個處理器,但其他實施例可包括兩個或更多個處理器,該兩個或更多個處理器可各自被相同地組態,或者提供專門處理功能。處理器101可包括能夠執行程式指令之任何處理器,諸如一INTEL PENTIUM系列處理器或實施各種指令集架構(ISA)(諸如x86、POWERPC ®、ARM ®、SPARC ®或MIPS ®ISA)或任何其他合適的ISA之任一者的任何通用或嵌入式處理器。在圖1之實施例中,處理器101包括可直接在處理器101之電路內實施之一積體記憶體控制器118,或者記憶體控制器118可為與處理器101位於同一晶粒上之一單獨積體電路。記憶體控制器118可經組態以管理經由高速記憶體介面104進出IHS 100之系統記憶體105之資料傳遞。
經由記憶體匯流排104耦合至處理器101之系統記憶體105為處理器101提供一高速記憶體,該高速記憶體可用於由處理器101執行電腦程式指令。因此,系統記憶體105可包括適合支援由處理器101進行的高速記憶體操作之記憶體組件,諸如靜態RAM(SRAM)、動態RAM(DRAM)、NAND快閃記憶體。在一些實施例中,系統記憶體105可組合永久性的非揮發性記憶體與揮發性記憶體兩者。
在某些實施例中,系統記憶體105包括安全儲存裝置120,該安全儲存裝置可為系統記憶體之一部分,該部分經指定用於儲存資訊(諸如存取策略、組件簽名、加密金鑰及其他密碼資訊)以用於在IHS 100上託管一安全工作空間。在此等實施例中,可基於安全儲存裝置120之內容計算一簽名且將該簽名儲存為一參考簽名。儲存在安全儲存裝置120中之資料的完整性隨後可藉由重新計算安全儲存裝置之內容的這種簽名且將經重新計算簽名與參考簽名進行比較來驗證。
IHS 100利用晶片組103,該晶片組可包括耦合至處理器101之一或多個積體電路。在圖1之實施例中,處理器101被描繪為晶片組103之一組件。在其他實施例中,全部晶片組103或晶片組108之部分可直接在處理器101之積體電路內实施。晶片組103為處理器101提供對可經由匯流排102存取之各種資源的存取。在IHS 100中,匯流排102被圖解說明為一單個元件。然而,其他實施方案可利用任何數目之匯流排以提供由匯流排102服務之經圖解說明路徑。
如圖解說明,各種資源可透過晶片組103耦合至IHS 100之處理器101。例如,晶片組103可耦合至諸如由一網路介面控制器(NIC)提供之網路介面109,該網路介面控制器耦合至IHS 100且容許IHS 100經由諸如網際網路或一LAN之一網路通信。網路介面裝置109可經由各種網路技術(諸如無線蜂巢式或行動網路(CDMA、TDMA、LTE等)、WIFI及藍芽)為IHS 100提供有線及/或無線網路連接。在某些實施例中,網路介面109可支援一可信IHS組件(諸如可信控制器115)與一遠端編排服務之間的連接。在此等實施例中,遠端編排服務與受信組件之間的由網路介面109支援的連接可被認為係與IHS之OS隔離之一帶外(OOB)連接。
晶片組102亦可經由圖形處理器107提供對一或多個顯示裝置108之存取。在某些實施例中,圖形處理器107可包含在作為IHS 100之組件而安裝之一或多個視訊或圖形卡或一嵌入式控制器內。圖形處理器107可產生顯示資訊且將所產生資訊提供給耦合至IHS 100之一或多個顯示裝置108,其中顯示裝置108可包括積體顯示裝置及/或諸如經由一I/O埠116耦合至IHS之外部顯示裝置。在某些實施例中,圖形處理器107可整合在處理器101內。耦合至IHS 100之一或多個顯示裝置108可利用LCD、LED、OLED或其他薄膜顯示技術。每一顯示裝置108可能能夠諸如經由一觸控控制器進行觸控輸入,該觸控控制器可為顯示裝置108之一嵌入式組件、圖形處理器107或IHS 100之經由匯流排102存取的一單獨組件。
在某些實施例中,晶片組103可利用一或多個I/O控制器來存取硬體組件,諸如使用者輸入裝置111及感測器112。例如,I/O控制器110可提供對一或多個使用者I/O裝置110(諸如一鍵盤、滑鼠、觸控墊、觸控式螢幕、麥克風、揚聲器、相機及可耦合至IHS 100之其他輸入及輸出裝置)之存取。使用者輸入裝置111可透過有線或無線連接與I/O控制器110介接。經由I/O控制器110存取之感測器112(例如,加速度計、陀螺儀、鉸鏈感測器、旋轉感測器、霍爾效應感測器、溫度感測器、電壓感測器、電流感測器、IR感測器、光電感測器、近接感測器、距離感測器、磁感測器、麥克風、超聲波感測器等)可提供對描述IHS 100之環境及操作條件之資料的存取。
在一些情況下,晶片組103可包括能夠利用由感測器112收集之資訊來判定IHS 100之相對定向及移動之一感測器集線器。例如,感測器集線器可利用慣性移動感測器,該等慣性移動感測器可包括加速度計、陀螺儀及磁力計感測器,且能夠判定IHS 100之當前定向及移動(例如,IHS 100在一相對平坦表面上靜止不動,IHS 100正在不規則地移動且很可能在運輸中,IHS 100之鉸鏈定向在一豎直方向上)。在某些實施例中,感測器集線器亦可包括用於基於網路信號之三角量測且基於由OS或網路介面109提供之網路資訊來判定IHS 100之一位置及移動的能力。在一些實施例中,感測器集線器可支援額外感測器,諸如光學、紅外及聲納感測器,該等額外感測器可為由IHS 100託管之xR(虛擬、增強及/或混合現實)會話提供支援且可由感測器集線器使用以提供在IHS 100附近係否存在一使用者之一指示,諸如一使用者係否存在或不存在及/或係否面向積體顯示器108。
在其中終端使用者存在於IHS 100前面之情況下,感測器集線器可進一步判定一使用者距IHS之一距離,其中此判定可連續地、以週期性間隔或根據請求進行。處理器101可使用經偵測或經計算距離來將使用者分類為處於IHS的近場(使用者位置<臨限距離A)、中場(臨限距離A<使用者位置<臨限距離B,其中B > A)或遠場(使用者位置>臨限距離C,其中C > B)中。如下文另外詳細描述,未能在IHS 100附近偵測到IHS 100之一經鑑認使用者可導致IHS 100之安全設定檔發生變化,因此觸發對在IHS 100上操作之工作空間之安全風險的一重新評估。類似的重新評估可基於在IHS 100附近偵測到額外個人而觸發。
在其中IHS 100可支援多種實體組態(諸如一可轉換膝上型電腦、 N合1裝置等)之實施例中,感測器集線器可利用一或多個模式感測器112,該一或多個模式感測器收集讀數,該等讀數可用於判定其中IHS 100經實體組態之當前姿態。在某些實施例中,可另外使用由感測器112提供之移動及定向資訊來作出此等姿態判定。例如,在膝上型電腦及可轉換膝上型電腦實施例中,處理器101或可信控制器115可利用一罩蓋位置感測器112來判定膝上型電腦之兩個面板之間的相對角度,以便判定其中IHS 100經實體組態之模式。在此等實施例中,罩蓋位置感測器可量測將IHS 100之基板及罩蓋面板連接之鉸鏈的旋轉角度。在一些實施例中,處理器101或可信控制器115可向感測器集線器提供所收集的罩蓋位置資訊,諸如鉸鏈角度,以用於判定其中IHS 100經組態之姿態。在一些實施例中,感測器集線器可直接與罩蓋位置感測器介接來判定鉸鏈角度資訊。
感測器集線器可至少部分地基於IHS 100之鉸鏈與一閉合位置所成之旋轉角度來判定IHS 100之姿態。與一閉合位置所成之一第一鉸鏈角度範圍可指示一膝上型電腦姿態,一第二鉸鏈角度範圍可指示一橫向姿態且一第三角度範圍可指示一平板電腦姿態。感測器集線器可另外利用自慣性移動感測器112收集之定向及移動資訊來進一步判定其中IHS 100經實體組態之姿態。例如,若感測器集線器判定IHS 100被組態有一膝上型組態之一鉸鏈角度,但IHS 100定向在其一側,則可判定IHS處於一書本模式。若判定IHS 100傾斜使得鉸鏈定向在水平與豎直之間,偵測到使用者的面部面向積體顯示器,且IHS 100正經歷輕微移動,則感測器集線器可判定IHS 100正在以一書本姿態使用。感測器集線器可判定IHS 100打開至一180度鉸鏈角度且位於一平坦表面上,因此指示IHS 100正以一橫向姿態使用。感測器集線器可回應於偵測到一鉸鏈角度在一限定範圍內(諸如在300度至345度之間)且亦偵測到IHS 100之一定向而類似地判定IHS 100處於一帳篷組態中,其中鉸鏈水平地對齊且高於IHS 100之兩個顯示面板。
IHS 100之其他組件可包括一或多個I/O埠116以用於與周邊外部裝置以及各種輸入及輸出裝置進行通信。例如,I/O 116埠可包括HDMI(高解析度多媒體介面)埠以用於將外部顯示裝置連接至IHS 100及USB(通用串列匯流排)埠,藉此可將各種外部裝置耦合至IHS 100。在一些實施例中,經由一I/O埠116耦合至IHS 100之外部裝置可包括支援進出IHS 100之系統記憶體105及/或儲存裝置119之資料傳遞的儲存裝置。如下文另外詳細描述,儲存裝置經由一I/O埠116之耦合可導致IHS 100之安全設定檔發生變化,因此觸發對在IHS 100上操作之工作空間之安全風險的一重新評估。
晶片組103亦為處理器101提供對一或多個儲存裝置119之存取。在各種實施例中,儲存裝置119可與IHS 100成一體,或者可在IHS 100外部。在某些實施例中,儲存裝置119可經由一儲存控制器來存取,該儲存控制器可為儲存裝置之一積體組件。可使用容許IHS 100儲存及取得資料之任何記憶體技術來實施儲存裝置119。例如,儲存裝置119可為一磁性硬碟儲存驅動器或一固態儲存驅動器。在一些實施例中,儲存裝置119可為儲存裝置之一系統,諸如可經由網路介面109存取之一雲端驅動器。
如圖解說明,IHS 100亦包括BIOS(基本輸入/輸出系統)117,該BIOS可儲存在可由晶片組103經由匯流排102存取之一非揮發性記憶體中。在對IHS 100供電或重啟該IHS時,處理器101可利用BIOS 117指令來初始化及測試耦合至IHS 100之硬體組件。BIOS 117亦可載入一作業系統以供IHS 100使用。BIOS 117提供一抽象層,該抽象層容許作業系統與IHS 100之硬體組件介接。統一可擴展韌體介面(UEFI)被設計成BIOS之一接替者。因此,許多現代IHS利用UEFI來作為對一BIOS之補充或代替。如本文所使用,BIOS意欲亦涵蓋UEFI。
在所圖解說明之實施例中,BIOS 117包括可稱為NVM(非揮發性記憶體)郵箱106之一預定義記憶體或記憶體區域。在此一實施方案中,郵箱106可提供用於儲存工作空間存取策略、簽名、加密金鑰或用於託管及驗證IHS 100上之一工作空間之其他資料的一安全儲存位置。在某些實施例中,BIOS郵箱106可用作由一遠端編排服務利用之一安全儲存裝置,以便儲存用於在IHS 100上遞送及部署一安全容器之存取策略及加密金鑰。BIOS郵箱106以及系統記憶體105中之安全儲存裝置120可以此方式利用來代替由可信控制器115實施之帶外功能或結合該等帶外功能來利用。
在某些實施例中,可信控制器115耦合至IHS 100。例如,可信控制器115可為作為IHS 100之主機板的一組件安裝之一嵌入式控制器(EC)。在各種實施例中,可信控制器115可執行各種操作以支援向IHS 100遞送及部署一工作空間。在某些實施例中,可信控制器115可經由與在IHS 100上運行之作業系統隔離的一帶外通信路徑與一遠端編排服務交互操作。網路介面109可支援可信控制器115與一遠端編排服務之間的此等帶外通信。
可信控制器115可接收將一工作空間安全遞送及部署至IHS 100所需之密碼資訊。在此等實施例中,密碼資訊可被儲存至由可信控制器115維護之安全儲存裝置121。另外或替代地,受信控制器115可支援一受信操作環境之執行,該受信操作環境可支援用於在IHS 100上部署一工作空間之密碼操作。另外或替代地,可信控制器115可支援經由一帶外通信頻道在IHS 100之OS內部署一工作空間,該帶外通信頻道與OS隔離且容許該工作空間與OS之一可信代理程序通信。
可信控制器115亦可提供對用於支援IHS 100上之工作空間的安全部署及操作之某些加密處理的支援。在一些實施例中,可經由與IHS 100之軟體及其他硬體組件隔離之受信控制器115所託管之一安全操作環境的操作來提供此密碼處理。在一些實施例中,可信控制器115可依賴於由藉由IHS支援之專用密碼硬體(諸如TPM(可信平台模組)微控制器)提供的密碼處理。在一些實施例中,可信控制器115之安全儲存裝置121可用於儲存密碼資訊以用於工作空間之授權。
在某些實施例中,可信控制器115可另外經組態以計算唯一地識別IHS 100之個別組件的簽名。在此等情況下,可信控制器115可基於耦合至IHS 100之一硬體及/或軟體組件的組態來計算一散列值。例如,可信控制器115可基於儲存在諸如一網路介面109之一硬體組件的一板載記憶體中之所有韌體及其他程式碼或設定來計算一散列值。此等散列值可作為製造IHS 100之一可信程序的一部分來計算且可作為一參考簽名保存在安全儲存裝置121中。
可信控制器115可進一步經組態以在一稍後時間為此一組件重新計算一散列值。隨後可將為該組件重新計算之散列值與參考散列值簽名進行比較,以便判定係否對一組件進行了任何修改,因此指示該組件已失陷。以此方式,可信控制器115可用於驗證安裝在IHS 100上之硬體及軟體組件之完整性。在某些實施例中,遠端編排服務206可藉由計算可信控制器115之一簽名並將該簽名與在用於製造IHS 100之一可信程序期間計算的一參考簽名進行比較來以相同方式驗證可信控制器115之完整性。在各種實施例中,由受信控制器115支援之此等操作中之一或多者可使用BIOS 117來實施。
可信控制器115亦可實施用於與一電源轉接器對接以管理對IHS 100之電源的操作。此等操作可用於判定IHS 100之電源狀態,諸如IHS 100係使用電池電量操作亦或插入一AC電源。受信控制器115所利用的韌體指令可用於操作一安全執行環境,該安全執行環境可包括用於提供IHS 100之各種核心功能的操作,該等核心功能諸如電源管理以及對IHS 100之某些操作模式(例如,渦輪加速模式(turbo mode)、某些組件之最大操作時脈頻率)之管理。
在管理IHS 100之操作模式時,可信控制器115可實施用於偵測IHS 100之實體組態之某些變化且管理與IHS 100之不同實體組態相對應之模式的操作。例如,在IHS 100係一膝上型電腦或一可轉換膝上型電腦之情況下,可信控制器115可自一罩蓋位置感測器112接收輸入,該罩蓋位置感測器可偵測膝上型電腦之兩側係否已一起閂鎖至一閉合位置。回應於罩蓋位置感測器112偵測到IHS 100的罩蓋的閂鎖,可信控制器115可啟動用於關閉IHS 100或將IHS 100置於一低功率模式之操作。
IHS 100可支援各種功率模式之使用。在一些實施例中,IHS 100之功率模式可透過可信控制器115及/或IHS 100之OS的操作來實施。在各種實施例中,IHS 100可支援各種降低功率模式以便在IHS 100沒有主動使用時降低功率消耗及/或節省電池電量,及/或藉由增加或降低IHS 100之一組件(例如,處理器101)的一最大操作時脈頻率來控制可供使用者使用之一效能位準。
在一些實施例中,一IHS 100可不包括圖1中展示之所有組件。在其他實施例中,IHS 100除包括圖1中展示之彼等組件之外亦可包括其他組件。此外,在圖1中表示為分離組件的一些組件可替代地與其他組件整合。例如,在某些實施例中,由經圖解說明組件執行之操作的全部或一部分可替代地由作為系統單晶片整合至處理器101中之組件提供。
圖2係描繪用於保護一企業工作效率生態系統中之一動態工作空間之方法200之一實例的一圖示。為了圖解說明,方法200被已分成三個階段:工作空間初始化階段200A、工作空間編排階段200B及工作空間終止階段200C。在初始化200A期間,使用者201(例如,一企業使用者)在實體環境202(例如,任何類型的環境及其相關聯的情境,包括實體位置、地理位置、一特定設施或建築物內之位置、經偵測網路、經偵測xR信號、當日時間、使用者之近接度、IHS 100附近之個人等)內操作諸如關於圖1描述之一IHS 100(例如,一桌上型電腦、一膝上型電腦、一平板電腦、一智慧型電話等)。
方法200以使用者201在一啟動點203處進行之一動作開始,該啟動點可為例如由使用者201之一僱主提供之一公司啟動點、由IHS 100之製造商提供之一啟動點203或由一第三方作為一服務提供給使用者201之一啟動點。特定言之,使用者201操作IHS 100以存取例如以一入口網站、在IHS 100之作業系統中運行之一入口應用程式、在IHS 100上運行之一專用入口工作空間等形式提供之啟動點203。在各種實施方案中,啟動點203可包括表示不同軟體應用程式、資料源及/或使用者可能希望執行及/或操縱之其他資源的圖形使用者介面(GUI)元素。在各種實施例中,啟動點可提一供圖形、文字及/或音訊介面,一使用者201可藉由該介面請求資料或其他資源。因而,可向一經鑑認使用者201提供一啟動點,該啟動點提供關於一或多個軟體應用程式以及跨該一或多個軟體應用程式的所有資料儲存器(例如,本地儲存裝置、雲端儲存裝置等)可用之使用者資料源的一彙總之可見性。
如下文另外詳細描述,用於向使用者201提供對所請求資料或其他資源之存取的工作空間可使用一本地管理代理332來操作,該本地管理代理在IHS 100上操作且經組態以與工作空間編排服務206交互操作。在各種實施例中,啟動點203可以容許使用者201經由IHS 100請求對受管資源之存取的一入口(例如,一網頁、OS應用程式或專用工作空間)之形式提供。在各種實施例中,啟動點203可由遠端工作空間編排服務206、IHS 100上之本地管理代理332或其任何合適組合託管。啟動點203技術之實例可包括來自WMWARE公司的WORKSPACE ONE INTELLIGENT HUB及來自戴爾科技公司的DELL HYBRID CLIENT等等。
當使用者201選擇啟動一應用程式或存取由工作空間編排服務206管理之一資料源時,初始化階段200A開始。回應於使用者201發佈之一存取請求(例如,使用者「點擊」啟動點203之一圖標),IHS 100之本地管理代理332在204處收集初始安全及工作效率情境資訊。如關於圖4另外詳細描述,安全情境資訊可包括指示與以下各者相關聯之一安全風險的屬性:被請求之資料及/或應用程式、使用者201呈現之一風險位準、IHS 100所利用之硬體、IHS 100之邏輯環境(其中將部署一工作空間以提供對所請求資料及/或應用程式之存取)以及IHS 100當前所處之實體環境202。
因此,在本發明中,術語「安全情境」通常係指與其中將部署及利用一工作空間之一安全姿態相關之資料或其他資訊,其中安全姿態可基於使用者、IHS 100、將經由工作空間存取之資料及/或環境202。如關於圖4及圖5另外詳細描述,一安全情境可被量化為一安全風險分數,以支援對與當在特定之情境中使用IHS 100時向使用者201提供對所請求資料及/或應用程式之存取相關聯的位準或風險之評估。一「安全風險分數」通常係指可用於對與一請求相關聯之安全情境的各種安全特性進行評分、量化或量測之一數值。一風險分數可為與整體安全風險情境相關聯之一總分數,而一「風險度量」可為對安全情境之一些部分的一子類別之風險的一量測。
如關於圖4及圖5另外詳細描述的,可用於計算一特定安全情境之一安全風險分數的安全度量可包括但不限於:所請求資料源及/或應用程式之一分類、用於識別使用者201之鑑認因素、IHS 100之位置、與使用者201相關聯之一角色或其他群組分類、IHS 100使用之網路驗證、IHS 100使用之網路類型、IHS 100使用之網路防火牆組態、攻擊指標(IoA)、關於IHS 100或使用者201請求之資源之失陷指標(IoC)、與作業系統及在IHS 100上使用之其他應用程式相關聯之補丁位準、加密可用性、可用加密類型、對安全儲存裝置之存取、IHS 100對可證明硬體的使用、IHS 100對工作空間隔離之支援程度等。
術語「工作效率情境」通常係指與一工作空間、使用者、IHS或環境相關聯之使用者工作效率。一「工作效率分數」通常係指可用於對一工作效率情境之各種工作效率特性進行評分、量化或量測之一指標。工作效率情境資訊之實例包括但不限於:IHS之硬體、IHS之軟體(包括作業系統)、IHS之選定組件的電源狀態及最大時脈頻率、永久或暫時耦合至IHS之周邊裝置、可供IHS使用之網路以及彼等網路之效能特性、IHS上可用之軟體安裝程式等。
一工作空間之初始工作效率及安全目標可基於使用者201動作之情境與其中工作空間將操作之工作效率及安全情境相結合來計算。工作效率及安全目標亦可係基於使用者201的行為分析、IHS 100遙測及/或環境資訊(例如,經由感測器112收集)。在一些情況下,在205處,在IHS 100上操作之一本地管理代理可基於所收集安全性及工作效率情境來計算初始安全性及工作效率目標。在其他情況下,遠端工作空間編排服務206可計算安全性及工作效率目標。
如本文所使用,術語「安全目標」通常係指由基於一工作空間定義創建及操作之一工作空間呈現之攻擊表面,而術語「工作效率目標」通常係指一特定工作空間定義之工作效率特性。一工作效率目標之實例包括但不限於:可供使用者201使用之資料或資料源之類型、一工作空間之最小延時等。相反,可用於表徵一安全目標之屬性可包括但不限於:一工作空間之一最低安全分數、IHS 100之一最低信任分數、使用者201之鑑認要求(例如,需要多少鑑認因素、重新鑑認之頻率)、一工作空間所利用之網路中之最低信任位準、一工作空間與IHS 100之所需隔離、在一工作空間內存取瀏覽器之能力、在工作空間之間傳遞資料之能力、擴展一工作空間之能力等。
此外,術語「工作空間定義」通常係指描述一工作空間之各態樣之一屬性集合,該工作空間可以滿足一安全目標(即,該定義呈現一攻擊表面,該攻擊表面呈現一可接受的風險位準)及一工作效率目標(例如,資料存取、存取要求、延時上限等)之一方式根據安全情境(例如,位置、補丁等級、威脅資訊、網路連接等)及其中將部署工作空間之工作效率情境(例如,可用的裝置類型及效能、網路速度等)組裝、創建及部署。一工作空間定義可實現一經實例化工作空間之遷移的流動性,因為該定義支援在經組態用於與工作空間編排服務206一起操作之任何目標OS或IHS上組裝一工作空間之能力。
在描述一工作空間之能力及約束時,一工作空間定義208可規定以下各者中之一或多者:使用者201之鑑認要求、工作空間之約束及/或隔離(例如,本地應用程式、沙盒、docker容器、漸進式網頁應用程式或「PWA」、虛擬桌面基礎設施「VDI」等)、可在工作空間之限定約束中執行以使得使用者201能夠高效地使用一或多個資料源之主要應用程式、增強工作效率之額外應用程式、縮減由工作效率環境(來自戴爾科技公司的DELL DATA GUARDIAN、防毒軟體等)呈現之安全目標的範疇之安全組件、待存取之資料源及將該資料路由進出工作空間約束之要求(例如,VPN的使用、最小加密強度)、獨立附接其他資源之工作空間能力;等。
在一些實施方案中,工作空間定義可係至少部分地基於例如由一企業資訊技術(IT)人員限定之靜態策略或規則。在一些實施方案中,靜態規則可由機器學習(ML)及/或人工智慧(AI)演算法進行組合及改良,該等演算法評估在工作空間生命週期內收集之歷史工作效率及安全資料。以此方式,可隨時間推移動態地修改規則以產生經改良工作空間定義。例如,若判定一使用者在他每次使用來自微軟公司的MICROSOFT VISUAL STUDIO時動態地添加一文字編輯器,則工作空間編排服務206可自主地將該應用程式添加至該使用者之預設工作空間定義。
仍然關於圖2,在編排200B期間,初始安全性及工作效率目標根據可用的資源、裝置能力及雲端服務等而進行處理及/或協調,以在208處產生一工作空間定義。如所描述,一工作空間定義可指定一工作空間之能力及約束,諸如:工作空間約束(例如,諸如與IHS 100之OS或與IHS 100之某些硬體隔離)之運行時安全要求、用於一旦運行就證明工作空間之完整性的參考量測的使用、被提供用於工作空間內之操作的應用程式、可經由工作空間獲得之資源的彙總、存取組態(例如,虛擬私人網路或「VPN」)等。
隨後,初始工作空間定義可由工作空間編排服務206之自動化引擎302利用以例如基於其中工作空間將操作之安全及工作效率情境來在一適當平台(例如,在雲端上或在IHS 201上)上協調一工作空間之組裝209及實例化210。在其中一工作空間經雲端託管之情況下,自動化引擎302可組裝及實例化一遠端工作空間,該遠端工作空間可藉由經由一網頁瀏覽器或在IHS 100上操作之其他基於網頁之組件建立的一安全連接來存取。在一些實施例中,自動化引擎302可解決一工作空間定義與使用者在一工作空間之操作中的輸入之間的組態衝突。
使用者201在211處操作經實例化工作空間,且在212處產生與資料之行為或使用相關之新工作效率及安全情境資訊。基於使用者201已完成、存取及/或創建之內容,一工作空間之此操作可導致資料發生一變化或新分類,因此導致工作空間之安全情境發生一變化。就使用者行為分析、裝置遙測及/或環境已改變一可量化程度而言,安全情境之此等變化可用作自動化引擎302在207處重新評估安全及效能目標之額外輸入。另外或替代地,現在可針對初始目標量測新的工作空間情境、安全目標及/或工作效率目標,且若合適,則結果可使自動化引擎302在208處產生一新的工作空間定義。
特定言之,若經實例化工作空間具有落在目標索引範圍之外之參數使得額外的或更新的情境資訊與初始或先前的情境資訊之間的一差異被評分為低於一臨限值,則自動化引擎302可處理對一現有工作空間之修改組裝且在210處部署此等修改。相反,若額外的或更新的情境資訊與初始或先前的情境資訊之間的差異被評分為高於一臨限值,則自動化引擎302可在210處產生一新的工作空間。會話資料後設資料及情境可由資料彙總引擎336保存,且會話資料可在適當時恢復。
另外或替代地,作為終止階段200C之一部分,方法200可在213處終止或停用初始或先前的工作空間。在一些情況下,使用者動作可啟動終止程序(例如,使用者201關閉應用程式或瀏覽器存取資料)及/或終止可作為工作空間定義之一調整的一部分而自動發生(例如,指示自動化引擎302終止隔離環境)。仍然作為終止階段200C之一部分,可釋放IHS 100之及/或工作空間編排服務206處的工作空間資源。
因而,在各種實施例中,即使一工作空間在不受直接管理之一IHS或雲端平台上操作,方法200亦實現安全使用者工作效率。方法200亦提供動態或自適應組態及策略,該等組態及策略容許最佳可能的使用者體驗,同時維持適當的安全等級。在一些情況下,一工作效率環境及存取要求之定義可基於工作效率及安全依賴性及目標來選擇,且與工作空間相關之能力的定義本質上可為自適應的。特定言之,工作空間定義屬性可基於歷史工作效率及安全資訊、基於每一個別使用者或群組行為來動態選擇。
圖3A及圖3B展示經組態以使一企業工作效率生態系統中之工作空間及硬體生命週期管理現代化之系統組件300A及300B(統稱為「系統300」)之一實例的一圖示。特定言之,組件系統300A包括工作空間編排服務206,且其可包括遠端定位及/或聯網之一或多個IHS,該一或多個IHS上儲存有程式指令,該等程式指令在執行時使該一或多個IHS執行本文描述之各種工作空間編排操作,包括但不限於:基於自IHS 100接收之更新的情境資訊動態地評估安全及工作效率目標;基於情境資訊之持續收集計算風險分數、工作效率分數以及其他工作效率及安全度量;產生工作空間定義;以及組裝一或多個檔案或策略,該等檔案或策略使得能夠根據一雲端服務及/或IHS 300B處之一工作空間定義實例化一工作空間。
組件300B包括IHS 100,該IHS具有儲存在其上之程式指令,該等程式指令在執行時使IHS 100執行本文描述之各種本地管理操作,包括但不限於收集工作效率及安全情境資訊、計算工作效率分數及/或風險分數、基於自工作空間編排服務206接收之檔案或策略(諸如工作空間定義)實例化、執行及修改一工作空間,等。
工作空間編排服務300A及IHS 300B可經由容許相對於IHS 300B在遠端提供工作空間編排服務300A之任何合適的網路技術及/或協定彼此耦合。如關於圖1所描述,根據實施例之IHS可包括可支援獨立於IHS 100之作業系統的某些安全帶外通信的一組件,諸如一可信控制器。在一些實施例中,此一可信控制器可經組態以支援工作空間在300A上之部署及操作且向工作空間編排服務300A報告情境資訊之變化。
如圖3A之組件300A中圖解說明,工作空間編排服務206可包括支援對一IHS 300B上之工作空間的部署及持續評估及調適之多個子組件。工作空間編排服務300A之實施例可包括可支援以下各者之系統:網頁服務306、製造商整合317及分析323。此外,網頁服務306可包括應用程式服務301及使用者介面(UI)以及自動化服務302。
分析服務323可經組態以在一工作空間之初始組態期間及在對工作空間之持續支援期間接收及處理來自IHS 300B之情境資訊,且將該資訊連同所產生的任何分析一起提供給應用程式服務301之情境邏輯303。基於在工作空間之部署及持續支援期間收集的資訊,支援輔助智慧引擎(SAIE)324可經組態以產生及/或分析技術支援資訊(例如,更新、錯誤、支援日誌等)以用於診斷及修復工作空間問題。工作空間洞察及遙測引擎325可經組態以分析及/或產生由工作空間之操作產生的以裝置為中心的、歷史的及基於行為之資料(例如,硬體量測、特徵使用、設定等)。工作空間智慧326可包括用於處理及評估情境資料之任何合適的智慧引擎,以便識別工作空間之操作中及工作空間基於情境變化之適應中的模式及趨勢。
如所圖解說明,工作空間編排服務300A之一應用程式服務306系統包括一UI及自動化服務302系統,該UI及自動化服務302系統可包括情境邏輯或引擎303、分類策略304及條件控制模組或引擎305。情境邏輯或引擎303可在進行風險評估時支援處理情境資訊(例如,根據使用者行為之情境、使用者的IHS之歷史、使用者的IHS之能力及環境條件來評估使用者之風險相關聯請求)。例如,如關於圖4及圖5所描述,由IHS 300B收集之安全情境資訊可提供給工作空間編排服務300A,在該工作空間編排服務中,該安全情境資訊可諸如由情境邏輯303使用以計算與對使用一受管資料源及/或應用程式之一請求相關聯的一風險分數。分類策略304可包括管理員及機器學習定義策略,該等策略描述與不同安全情境相關聯之風險分類,諸如針對特定資料、位置、環境、IHS、邏輯環境或使用者動作(例如,使用高風險資料需要使用適合與高於一特定值之一風險分數一起使用的一工作空間定義)之風險分類。條件控制模組或引擎305可包括提供自動決策以適當地對準風險與情境之智慧。在一些情況下,條件控制模組或引擎305可動態地部署一解決方案來解決任何偵測到的風險與情境錯位。例如,在請求存取導致一風險分數顯著增加之一高度機密資料源時,條件控制引擎可選擇實施適合用於較高風險分數之安全程序的工作空間定義修改。
應用程式服務301可包括由UI及自動化服務302呼叫以支援工作空間編排之各個態樣的一群組網頁服務306。特定言之,網頁服務306可包括應用程式及工作空間服務307,該等應用程式及工作空間服務可組裝及封裝應用程式以部署在一工作空間中(例如,「.msix」檔案被封裝並部署至MICROSOFT HYPER-V容器)。在一些實施例中,一工作空間定義可用於指定係否將以此方式向一使用者提供對一應用程式之存取。網頁服務306亦可包括一租戶訂閱模組308,該租戶訂閱模組在一IHS之銷售點(POS)處執行一IHS之動態組態及所描述工作空間編排服務之部署。一許可追蹤模組309可用於維護及追蹤軟體、服務及IHS之許可資訊。一存取控制模組310可提供用於控制授權使用者對資料及應用程式之存取的頂級存取控制。一統一端點管理(UEM)模組311可經組態以支援可由一特定使用者利用之各種不同IHS上之所描述工作空間編排。
可用於支援工作空間之網頁服務306可進一步包括資源提供服務312以用於使用存取特定資源所需的機密/憑證(例如,使用VPN、網路、資料儲存庫、工作空間加密、工作空間證明及工作空間至裝置錨定之憑證)組態一IHS或工作空間。在一些情況下,資源提供服務312可包括機密,該等機密作為IHS 300B之一可信組裝程序之一部分而提供且在一些例項中與IHS 300B之一唯一識別符348相關聯。網頁服務306亦可包括提供身份功能且可連接至各種鑑認源(例如,諸如現用目錄)之一授權/符記模組。端點註冊模組314可經組態以向追蹤所描述工作空間編排之使用的管理服務註冊IHS及/或工作空間。在一些情況下,一目錄服務315模組可經組態以提供現用目錄服務(例如,來自微軟公司的AZURE ACTIVE DIRECTORY)。裝置組態服務316實現對工作空間之集中組態、監視、管理及最佳化,該等工作空間在某些情境中可自一IHS遠端地操作且可僅向IHS之使用者呈現工作空間輸出之一影像。與資源提供服務312合作,裝置組態服務316亦可處置機密創建及IHS組態,且在一些情況下,可具有帶外能力且處置對端點之選定操作。
仍然參考圖3A,製造商整合組件317與應用程式服務301及用戶端IHS 300B通信以提供在工作空間評估及實例化期間可用之特徵,其中此等特徵係基於可供用戶端IHS 300B之製造商使用的資訊。例如,憑證機構318可包括頒予數位憑證之一實體,該等數位憑證可用於驗證IHS 300B之硬體的真實性及完整性。身份服務模組或引擎319可經組態以管理使用者或所有者的身份以及代理識別以使用客戶目錄322。訂單權限模組或引擎320可負責管理購買權限以及由318簽署之相關聯的頒予憑證。所有權儲存庫321可管理與IHS相關聯之使用者權限及其等所有權,且可為使用者轉移一IHS之所有權及傳達與該IHS相關聯之權限提供支援。在某些情況下,所有權儲存庫321可使用此所有權轉移來解除與嵌入在IHS中之權限相關聯之機密。客戶目錄322可經組態以對一網路中之所有使用者及IHS進行鑑認及授權,諸如為所有IHS指派及執行安全性策略以及安裝或更新軟體(在一些情況下,客戶目錄322可協同工作及/或可與目錄服務315相同)。
現在參考圖3B之IHS 300B,在一些實施例中,IHS 300B可經組態以操作一本地管理代理332,該本地管理代理可在由一可信控制器341(諸如圖1之可信控制器115)託管之一安全執行環境345內運行。在其他實施例中,本地管理代理332可作為IHS 300B之作業系統的一可信且可證明程序來操作。在一些實施例中,本地管理代理332可包括適合於實例化及管理IHS 300B上之一或多個工作空間331A至331N之操作的一工作空間引擎。如所描述,一工作空間之能力可基於其中工作空間操作之工作效率及安全情境之變化而修改。因此,工作空間331A至331N之各者中的工作量可託管在一公共雲端、一私有雲端、一特定伺服器中或本地託管在IHS 300B上,這取決於工作空間之操作情境。針對每一特定工作空間331A至331N之此等工作空間計算分配可由用於構建及操作每一工作空間之工作空間定義來規定。如所描述,工作空間定義可由工作空間編排服務206基於由IHS 300B提供之情境資訊、針對每一工作空間331A至331N之安全目標及針對每一工作空間331A至331N之工作效率目標來創建。
在一些實施例中,本地管理代理332可經組態以託管、啟動及/或執行提供啟動點203之一工作空間集線器327,使用者藉由該啟動點透過對受管理資料及資源之選擇來啟動工作空間。在各種實施例中,啟動點203可為提供一介面之一代理、應用程式、專用工作空間或入口網站,一使用者可藉由該介面自經由如本文描述之一工作空間之操作可供IHS 300B之使用者使用之資料源、應用程式、行事歷、訊息或其他受管理資訊或資源的一彙總集合中進行選擇。在各種實施例中,可以容許IHS 300B之一使用者選擇可用資料及/或資源之文字、圖形及/或音訊使用者介面之形式提供啟動點203。在一些實施例中,工作空間集線器327可利用一本地環境管理模組328來提供在IHS 300B上呈現給使用者之工作空間介面,且以跨工作空間331A至331N之一致方式這樣做。工作空間集線器327亦可包括一本地智慧邏輯或引擎329,該本地智慧邏輯或引擎用於支援對IHS 300B之使用進行模型化以便改良與一風險情境相關聯之實際風險的表徵。使用者鑑認及存取控制操作可由一本地身份模組330執行,該本地身份模組可與可信控制器341介接以提供使用者鑑認。
在一些情況下,每一經實例化工作空間331A至331N可為向一使用者提供對所請求資料或應用程式之存取的一環境,其中該環境可基於每一工作空間331A至331N之操作安全情境及工作效率情境在不同程度上與IHS 300B之硬體及軟體隔離。在一些例項中,經由啟動點203可供使用者使用之一資料源或資源之選擇可能導致啟動一新的工作空間。例如,若一使用者透過選擇由啟動點203顯示之一圖標來啟動一瀏覽器,則可根據一工作空間定義來創建及啟動一新的工作空間,該工作空間定義已被選擇用於提供使用者對已在其中作出請求之安全及工作效率情境中之一網頁瀏覽器的存取。在其中使用者雙擊可自由啟動點203提供之一資料源獲得之機密呈現檔案的一情況下,可使用提供對所請求呈現檔案之存取的一呈現應用程式實例化一額外工作空間,其中此新的工作空間係基於為對機密呈現之存取提供適當安全性的一工作空間定義而創建)。在其他例項中,一使用者選擇呈現檔案可導致呈現可透過既有工作空間(在一些情況下使用既有工作空間定義,且在其他情況下使用已經修改以支援對機密呈現檔案之所請求存取的一工作空間定義)使用。
雖然由IHS 330B支援之工作空間331A至331N可各自在不同程度上與IHS 300B之硬體及/或軟體以及彼此隔離,但IHS 330B之一使用者可能期望能夠以容許內容在不同的工作空間331A至331N之間轉移之一方式操作多個工作空間331A至331N。例如,一使用者可選擇工作空間331A中顯示之資料的一部分且利用作業系統或其他工作空間功能來複製資料以用於複製至工作空間331B。
在各種實施例中,一本地管理代理332可全部或部分地在由獨立於IHS 300B之作業系統操作的可信控制器341託管之一安全平台345上操作。在一些實施例中,本地管理代理332之全部或部分可作為IHS 300B之作業系統的可信組件操作。在一些實施例中,本地管理代理332之全部或部分可作為端用戶端IHS 300B之作業系統的可信組件操作。為執行本文描述之各種操作,本地管理代理332可包括一命令監視器334,該命令監視器經組態以提供工具以自工作空間編排服務300A接收命令並因此能夠對IHS 300B進行存取。本地管理代理332亦可包括遙測模組335,該遙測模組可經組態用於將經收集資訊傳達至工作空間編排服務300A,包括報告可保證對工作空間331A至331N進行調整之情境變化。資料彙總器336可追蹤可經由一工作空間提供給使用者之所有資料源及其他資源(例如,應用程式、本地或基於雲端的服務)。
本地管理代理332可利用一資源管理器模組337,該資源管理器模組經組態以管理對資料之存取、(諸如用於VPN及網路存取之)網路組態、身份資訊、存取控制及資源提供服務。安全模組338可經組態以提供各種安全服務。BIOS介面339可提供一安全BIOS介面,該安全BIOS介面用於存取及管理安全對象儲存裝置中之憑證。一BIOS分析模組340可經組態以執行用於BIOS遙測及健康評估之取證服務。永久性模組346可經組態以支援在一POS處授權或由管理員指派且以所需許可追蹤支援之應用程式的永久性。工作空間證明模組333可在由本地管理代理332提供之一容器引擎的頂部上提供一以平台為中心之服務層,且可用於以由條件控制305定義或編排之任何合適方式來量測及證明工作空間331A至331N。
作為安全平台345之一部分,原生管理模組347可經組態以啟用與工作空間編排服務206之帶外管理介面,其中此OOB介面獨立於IHS 300B之OS操作。在一些實施例中,由原生管理模組347支援之OOB管理介面可由工作空間編排服務之裝置組態服務316利用來存取IHS 300B之安全平台服務345。
數位裝置ID模組348可提供一唯一的、不可欺騙的、密碼綁定之識別符。在支援一安全平台345之實施例中,安全嵌入式控制器341可為一強化硬體模組,該強化硬體模組可包括一信任根模組342,該信任根模組被組態為一可信資料儲存器,且在一些情況下用於密碼處理,該密碼處理在一密碼系統內可被信任。一裝置證明服務343可經組態以執行裝置保證及信任服務(例如,安全BIOS及安全啟動等)。可提供一安全對象儲存器344,該安全對象儲存器經組態以鎖定及存取一EC及/或可信平台模組(TPM)中之金鑰、散列及/或其他機密。
在一些情況下,IHS 100可由亦控制製造商整合組件317之一製造商提供,工作空間證明模組333可結合安全對象儲存器342、經鑑認BIOS模組339及/或數位裝置身份模組348等操作,以進一步基於IHS獨有的及/或由該製造商專門設計之硬體裝置及設定來保護及/或控制工作空間331A至331N中之任一者中可用之工作效率特徵。
為進一步圖解說明本文描述之系統及方法如何操作以使一企業工作效率生態系統中之工作空間及硬體生命週期管理現代化,下面依次論述三個非限制性用例或實例。 用例A
在用例A中,一給定使用者可使用一公司擁有且成像的筆記型電腦請求對企業場所中之一受保護資料源的存取,這如關於圖1之IHS 100及圖3之用戶端IHS 300B所描述般組態。
回應於該請求,在使用者之筆記型電腦上操作之一本地管理代理332取得描述當前情境之資訊並基於經判定情境計算安全性及工作效率目標。在此用例中,本地管理代理可能已由IT安裝,且可能作為一服務在背景中運行。基於檔案分類(例如,檔案後設資料/類型/性質/許可、檔案夾位置、加密區域等),機密資料可與本地機器上之本地管理代理相關聯。此外,本地管理代理可持續收集當前情境資訊並將其發送至編排服務以用於對工作空間之風險及工作效率進行評分(這亦可在使用者發出存取請求或意圖指示時進行)。
當使用者諸如藉由經由筆記型電腦之OS進行選擇而選擇機密資料時,本地管理代理向工作空間編排服務通知該請求及一工作空間之一工作空間定義,藉由該工作空間定義,可為使用者提供對機密資料之存取。
在此實例中,工作空間編排服務可基於以下情境資訊或輸入(該情境資訊或輸入中之各者亦被給定為基於一選定策略之一風險度量)而使用一經加權、機器學習或人工智慧演算法來將一整體安全風險評分為一值「2」:場所:1(安全場所);使用者角色:1(已知在一合理複雜的使用者分類中有高置信度—歷史上未點擊網路釣魚電子郵件之一使用者);網路風險:1(由於在內部、偵測到有線連接而具有低風險);裝置風險:1(由於公司擁有/管理平台、已知版本、啟用安全特徵等而導致高度控制);監管:1(基於使用者、資料、位置組合—例如,對通用資料保護法規或「GDPR」、健康保險流通與責任法案「HIPAA」、支付卡行業「PCI」、技術出口等沒有限制);及資料類型:8(正在請求一機密資料檔案)。
工作空間編排服務亦可基於以下情境資訊或輸入(該等情境資訊或輸入之各者亦被給定作為基於一選定策略之一資源度量)而使用一經加權、機器學習或人工智慧演算法來計算一工作效率分數而得出一值「9」:場所:10(辦公室);使用者角色:9(基於高級計算任務、熟練程度及/或速度之一「有技巧的」分類);網路速度/延時:10(快速、有線、千兆位元乙太網路或直接至內部網路);裝置效能:8(快速、昂貴的CPU、記憶體、圖形,但只需要儲存—例如,< 10 GB);及資料類型:10(本地,機密檔案在本地儲存裝置上易於讀/寫且具有低延時及高效能)。
其次,基於安全分數及/或情境資訊,工作空間編排服務構建具有帶呈一機器可讀格式(例如,JSON名稱-值、XML結構化等)之工作空間定義屬性的任何合適結構之一工作空間定義檔案。在此實例中,基於表示負載、對安全控制及約束特徵之需要或需求之一屬性值組合,安全目標可視為具有一值「1」,該等屬性值可包括:威脅監視:1(低需求);威脅偵測:1(低需求);威脅分析:1(低需求);威脅回應:1(低需求);儲存機密性:2(低);儲存完整性:2(低);網路機密性:1(低);網路完整性:1(低);記憶體機密性:1(低);記憶體完整性:1(低);顯示機密性:1(低);顯示完整性:1(低);使用者鑑認:1(低,基本通行碼即可,非多重因素鑑認或「MFA」,無會話屆滿);IT管理員範疇:1(管理員遠端地管理但不需要大量復原軟體;及法規遵從性:1(無GDPR、無HIPAA、無PCI、無技術出口限制等)。
基於工作效率目標及/或情境資訊,工作空間定義之一工作效率目標可基於表示工作效率要求之一屬性值組合而被認為具有一值「9」(定義一高品質、回應性使用者體驗),該等屬性值如下:本地儲存裝置:7(部分硬碟控制、一些儲存裝置為IT負載預留);CPU存取:10(無限制);本地圖形:10(無限制);及應用程式堆疊:10(可使用應用程式、安裝使用者需要的應用程式、授予他們管理員權限等)。
第三,在工作空間定義完成後,工作空間編排服務及本地管理代理可組裝工作空間並將其針對使用者進行實例化。例如,本地管理代理可自編排服務接收定義檔案(例如,JSON、XML等),且其可解析該檔案以實施安全風險控制,諸如:威脅監視:1(本地管理代理不安裝威脅、偵測及回應或「TDR」軟體);威脅偵測:1(本地管理代理不安裝TDR軟體);威脅分析:1(編排不需要自系統蒐集詳細的遙測資料,OS將不會被登記至日誌記錄中);威脅回應:1(本地管理代理未安裝安全威脅回應代理);儲存機密性:2(本地管理代理部署一本地檔案系統加密產品,使用者可根據需要使用右擊情境選單視需要在特定檔案上啟用該本地檔案系統加密產品);儲存完整性:2;網路機密性:1(本地管理代理確認基本防火牆組態正確—例如,受IT GPO控制);網路完整性:1;記憶體機密性:1(本地管理代理確認組態—例如,未部署SGX、TXT或容器/沙箱軟體);記憶體完整性:1;顯示機密性:1(本地管理代理確認所安裝的圖形驅動程式、私人螢幕及視需要由使用者管理的相機);顯示完整性:1;使用者鑑認:1(本地代理確認基本GPO通行碼規則被組態並由使用者滿足—例如,字元數、無會話屆滿等);IT管理員範疇:1(本地代理以系統特權運行,確認IT管理員帳戶列在本地管理員使用者群組中列出—例如,按GPO列出);及法規遵從性:1(本地代理不安裝任何遵從性輔助軟體)。
在確認組態後,工作空間編排服務及本地管理代理可為使用者賦予對所請求的本地機密檔案之存取,且使用者可開始在一新創建的工作空間中工作。 用例B
在用例B中,一使用者可在咖啡店使用一開放公共網路及一IT管理/擁有的PC請求對一機密資料檔案之存取,這如關於圖1之IHS 100及圖3之用戶端IHS 300B所描述般組態。
首先,由一用戶端IHS (300B)執行之一本地管理代理(332)取得所請求的情境並基於情境計算安全性及工作效率分數。在此用例中,本地管理代理可能已由IT安裝,且可能作為一服務在背景中運行。機密資料可保存在一共用IT管理網路資源內部(例如,回到一主要公司辦公室),且本地管理代理可負責監視使用者何時請求此資料路徑(例如,使用者點擊一特定URL、IP等)。此外,本地管理代理可持續收集所有當前情境並將其發送至工作空間編排服務,以稍後輔助評分程序(這亦可在使用者發出存取請求或意圖指示時進行,而非一持續收集)。
當使用者選擇期望的機密資料檔案時,用戶端IHS (300B)的OS呼叫與通向機密資料檔案之路徑相關聯之本地管理代理,並呼叫回至一遠端工作空間編排服務(206)以請求一工作空間定義。
在此實例中,工作空間編排服務可基於以下情境資訊或輸入(該情境資訊或輸入之各者亦被給定為基於一選定策略之一風險度量)而使用一經加權、機器學習或人工智慧演算法來將一整體安全風險評分為一值「4」:場所:5(公共、安全國家);使用者角色:5(新使用者,分類資料尚未存在);網路風險:5(中等,公共但常見位置,偵測到無線連接);裝置風險:1(高度控制、公司擁有/管理平台、已知版本、啟用安全特徵等);及監管:1(基於使用者、資料、位置組合—例如,對通用資料保護法規或「GDPR」、健康保險流通與責任法案「HIPAA」、支付卡行業「PCI」、技術出口等沒有限制)。
工作空間編排服務亦可基於情境資訊或輸入而使用一經加權、機器學習或人工智慧演算法計算具有一值「5」之一工作效率分數,該情境資訊或輸入之各者亦被賦予基於一選定策略之一資源度量。例如,安全情境輸入可包括場所:6(遠端位置,但在美國主要城市,在一公共區域,非員工在裝置之視覺/音訊範圍內);使用者角色:5(未知置信度「空」分類,使用預設入職假設);網路速度/延時:4(中等,無線但AC在共用網路上);及裝置效能:8(快速、昂貴的CPU、記憶體、圖形,但儲存只需要大約< 10 GB)。
其次,基於安全分數及/或情境資訊,工作空間編排服務構建具有帶呈一機器可讀格式(例如,JSON名稱-值、XML結構化等)之工作空間定義屬性的任何合適結構之一工作空間定義檔案。在此實例中,基於表示負載、對安全控制及約束特徵之需要或需求之一屬性值組合,一安全目標可被認為具有一值「4」,該等屬性值如下:威脅監視:4(中等需求);威脅偵測:4(中等需求);威脅分析:4(中等需求);威脅回應:4(中等需求);儲存機密性:4(中等);儲存完整性:9(高);網路機密:5(中等);網路完整性:2(低);記憶體機密性:4(中等);記憶體完整性:8(高);顯示機密性:7(中/高—擔心「背後偷窺者」自一附近相鄰座椅或桌子、公共位置讀取資料);顯示完整性:2(低);使用者鑑認:4(中等,使用一硬體符記進行雙重因素鑑認,休眠時會話屆滿,螢幕鎖定或登出);IT管理範疇:3(若使用者呼叫管理員尋求IT問題幫助,則管理員可遠端地監視、管理及復原);及法規遵從性:1(無GDPR、無HIPAA、無PCI、無技術出口限制等)。
基於工作效率目標及/或情境資訊,工作空間定義之一工作效率目標可基於表示工作效率要求之一屬性值組合而被認為具有一值「7」(定義一高品質、回應性使用者體驗),該等屬性值如下:本地儲存裝置:7(部分硬碟控制、一些儲存裝置為IT負載預留);CPU存取:10(無限制);本地圖形:10(無限制);及應用程式堆疊:7(可使用應用程式,可安裝使用者需要的一些經IT批准的應用程式,但沒有管理員權限,因為不能信任使用者只安裝有效/安全的工作效率軟體,但可根據需要安裝預先批准的IT應用程式)。
第三,在工作空間定義完成後,工作空間編排服務及本地管理代理可組裝工作空間並將其針對使用者進行實例化。例如,本地管理代理可自編排服務接收定義檔案(例如,JSON、XML等),且其可解析該檔案以實施安全風險控制,諸如:威脅監視:5(本地管理代理安裝或確認TDR軟體之先前安裝/組態);威脅偵測:5(本地管理代理安裝或確認TDR軟體之先前安裝/組態);威脅分析:5(編排確認遙測係可存取的,若尚未登記,則OS將被登記至日誌記錄中);威脅回應:2(本地管理代理下載但不運行遠端事件回應應用程式—為偵測到事件做準備);儲存機密性:5(本地管理代理以受限「保存」許可部署一本地容器技術,諸如沙箱,使得將不容許機密檔案保存在PC本地,但只要會話在記憶體中處於活動狀態即可存取);儲存完整性:5;網路機密性:5(本地管理代理加強防火牆保護,禁用所有不必要的埠,並建立返回公司辦公室之一VPN以保護到達本地沙箱之流量);網路完整性:5;記憶體機密性:5(本地管理代理組態沙箱容器以將應用程式及資料與可能滲入主機OS之其他應用程式/威脅隔離);記憶體完整性:5;顯示機密性:7(本地管理代理確認已安裝圖形驅動程式,執行私人螢幕並使用相機偵測特定旁觀者威脅);顯示完整性:7;使用者鑑認:4(本地代理確認基本GPO通行碼規則被組態並由使用者滿足—例如,字元數、無會話屆滿等,但亦增加硬體符記登錄及再次建立網路之要求);IT管理員範疇:4(本地代理以管理員及遠端存取特權運行,確認IT管理員帳戶列在本地管理員使用者群組中列出—例如,按GPO列出);及法規遵從性:4(本地代理安裝州特定規則執行或監視軟體)。
在確認組態後,工作空間編排服務及本地管理代理可為使用者賦予對所請求的本地機密檔案之存取,且使用者可開始在一新創建的工作空間中工作。 用例C
在用例C中,一使用者可使用來自哈薩克斯坦之一瀏覽器請求對一網頁託管的遠端入口中之一機密資料檔案的存取,而在網吧使用一借用/租用的PC請求存取,這如關於圖1之IHS 100及圖3之用戶端IHS 300B所描述般在一開放WiFi網路上組態。
首先,一遠端工作空間編排服務(332)攔截存取請求並評估瀏覽器及使用者情境,並計算安全性及工作效率分數。在此用例中,沒有本地管理代理;所有已知的只是瀏覽器及透過HTTP/S會話返回或獲得之任何遙測資料。出於此實例,假設機密資料可保存在一共用IT管理網路資源內部(例如,回到一主要公司辦公室),且資料檔案將僅以遠端呈現/存取特權保留在那裡。基於網頁之情境可透過瀏覽器會話蒐集或由使用者供應。此外,亦可透過替代邊頻道(例如,旅行行事曆資訊、公司信用卡上的最近使用者計費活動、電話呼叫日誌及/或位置資料)為工作空間編排服務收集使用者情境。
當使用者自網頁瀏覽器中選擇期望的機密資料檔案時,後端網頁伺服器基礎設施呼叫回至工作空間編排服務以請求一工作空間定義。
在此實例中,工作空間編排服務可基於以下情境資訊或輸入(該情境資訊或輸入之各者亦被評分為基於一選定策略之一風險度量)而使用一經加權、機器學習或人工智慧演算法來將一整體安全風險評分為值「9」:場所:9(哈薩克斯坦);使用者角色:1(預期使用者在那裡,基於以往登錄,時間似乎係正確的,且他具有一生物特徵手錶通信器,該生物特徵手錶通信器證明他自己還活著且位於他所說的地方,使得IT可始終信任他);網路風險:9(高,公共且在一非常隱蔽的地方);裝置風險:9(零信任);及監管:8(基於使用者、資料、位置組合)。
工作空間編排服務亦可基於以下情境資訊或輸入(該等情境資訊或輸入中之各者亦被給定作為基於一選定策略之一資源度量)而使用一經加權、機器學習或人工智慧演算法來計算一工作效率分數而得出一值「5」:場所:3(效能不佳之網吧裝置);使用者角色:9(已知有高置信度及「有技巧的」分類—高級計算任務、熟練程度及速度);網路速度/延時:3(低品質——遠距離無線G);及裝置效能:3(必須能夠輕鬆瀏覽網頁,但基於服務認為能力將為何種能力,服務應構建簡單能力)。
其次,基於安全分數及/或情境資訊,工作空間編排服務構建具有帶呈一機器可讀格式(例如,JSON名稱-值、XML結構化等)之工作空間定義屬性的任何合適結構之一工作空間定義檔案。在此實例中,基於表示負載、對安全控制及約束特徵之需要或需求之一屬性值組合,一安全目標可被認為具有一值「9」,該等屬性值如下:威脅監視:10(高需求,要在伺服器側處置);威脅偵測:10(高需求,要在伺服器側處置);威脅分析:10(高需求,要在伺服器側處置);威脅回應:10(高需求,要在伺服器側處置);儲存機密性:10(高需求,要在伺服器側處置);儲存完整性:8;網路機密性:10(高需求,要在伺服器側處置);網路完整性:9;記憶體機密性:10(高需求,要在伺服器側處理);記憶體完整性:9;顯示機密性:10(高,「背後偷窺者」可自一公共位置附近之一相鄰座椅或桌子讀取資料檔案);顯示完整性:9;使用者鑑認:10(高,使用登錄、硬體符記及生物特徵衛星手錶進行三重因素鑑認——會話屆滿並每30秒刷新一次);IT管理員範疇:8(若使用者呼叫管理員尋求幫助或發生任何意外情況,則管理員可遠端地監視、管理及復原);及法規遵從性:10(所有網路流量皆受到安全監視,所呈現之資料亦係如此)。
基於工作效率目標及/或情境資訊,針對工作空間定義之一工作效率目標可基於表示工作效率要求之一屬性值組合而被認為具有一值「3」(定義主要為消費而非工作效率構建之一可用安全使用者體驗),該等屬性值如下:本地儲存裝置:1(僅快取);CPU存取:3(為有限期望而構建);本地圖形:3(為有限期望而構建);及應用程式堆疊:1(一獨立式終端機服務台模式裝置上之網頁瀏覽器體驗、有限的資料輸入能力、透過VDI渲染之獨立式終端機服務台對僅需要已知的資訊之有限讀取存取)。
第三,在工作空間定義完成後,工作空間編排服務及遠端雲端網頁入口(例如,使用者透過瀏覽器登錄之會話)可組裝工作空間並在瀏覽器中將其針對使用者進行實例化。例如,網頁入口可自編排服務接收定義檔案(例如,JSON、XML等)且其可解析該檔案以實施安全風險控制,諸如:威脅監視:9(基於資料中心之管理代理安裝或確認TDR軟體之先前安裝/組態);威脅偵測:9(基於資料中心之管理代理安裝或確認TDR軟體之先前安裝/組態);威脅分析:9(編排確認遙測係可存取的,若尚未登記,則託管網路伺服器之伺服器可登記至日誌記錄中——來自邊頻道之使用者行為遙測亦可被持續監視以確認係否存在可疑/異常活動);威脅回應:10(基於資料中心之管理代理設定看門狗計時器以自動終止會話,而無需自編排、使用者遙測及網頁瀏覽器中定期簽入);儲存機密性:9(基於資料中心之管理代理構建一漸進式網路應用程式,該漸進式網路應用程式可用於透過一安全TLS鏈路顯示資料,該資料將被渲染,但僅視覺化之需要部分呈現給使用者,且可不保存任何事物);儲存完整性:10;網路機密性:9(盡最大努力路由流量以保護位置——除透過可執行網路進行位元圖渲染外,不容許進行任何操作);網路完整性:4;記憶體機密性:9(僅網頁檢視器——沒有資料離開資料中心,沒有自租用的PC獲取機密輸入,不容許鍵盤輸入,且所有輸入皆可使用滑鼠點擊座標自隨機虛擬鍵盤捕獲);記憶體完整性:8;顯示機密性:8(盡最大努力確保機密性——至少提示使用者——可調字體大小,但預設為小字體、模糊文字等);顯示完整性:2;使用者鑑認:9(本地代理確認基本通行碼規則已被組態且由使用者滿足——例如,字元數、無會話屆滿等,但亦添加對硬體符記及生物特徵、衛星手錶登錄並再次建立網路之要求,需要使用者頻繁重新確認);IT管理員範疇:7(基於資料中心之遠端環境);及法規遵從性:8(不存在本地代理,但基於資料中心之代理監視/阻止不合適的資料)。
在確認組態後,工作空間編排服務及本地管理代理可為使用者賦予對所請求的渲染資料之存取,且使用者可開始在一新創建的工作空間中工作。
圖4係描繪根據各種實施例之用於保護一企業工作效率生態系統中之一動態工作空間的一程序之某些步驟的一流程圖。所圖解說明的實施例開始於方塊405:使用者使用諸如關於圖1及圖3所描述之一IHS選擇由諸如關於圖2及圖3描述之一企業工作效率生態系統管理且可經由一啟動點獲得之資料或一應用程式。例如,一使用者可請求對經由企業工作效率生態系統管理之一資料源的存取。此一資料源可包括位於一特定伺服器上之一遠端驅動器、經由一雲端系統存取之一遠端虛擬驅動器或位於使用者的IHS上之一資料源。在一些例項中,資料源可為位於此等位置中之一者中之特定檔案夾或檔案。在其他例項中,使用者可藉由請求對可經由由本地管理代理所提供之一啟動點獲得之一應用程式或服務的存取來啟動圖4之程序。
在偵測到對存取受管理資料或受管理資源之一請求時,在方塊410處,工作空間編排服務可鑑認作出該請求之使用者的身份。在一些實施例中,本地管理代理可能先前已鑑認使用者以便授予使用者存取啟動點之權限並判定待經由啟動點呈現給使用者之受管理資料源及應用程式。在一些例項中,可將由本地管理代理進行此一鑑認之結果提供給工作空間編排服務。在一些實施例中,可能需要額外鑑認以評估一使用者請求並判定使用者請求之一風險分數。因此,在方塊410處可能需要額外鑑認因素來判定使用者之身份。
使用者之身份資訊可由本地管理代理收集並提供給工作空間編排服務。在方塊415處,工作空間編排服務可評估描述由使用者呈現之風險等級的一或多個屬性。例如,使用者可被識別為一高風險訪客使用者、有安全問題歷史之一高風險僱員、一正常風險僱員使用者、一中等風險受邀訪客使用者、一中等風險合同僱員使用者、沒有安全問題歷史之一低風險專家僱員使用者或一低風險管理使用者。另外或替代地,可利用其他群組分類來對由使用者呈現之風險等級進行歸類,諸如使用者係一全職亦或兼職僱員,亦或使用者所屬之一業務群組(例如,財務、人力資源、工程設計、銷售、技術支援、法律)。在某些例項中,不同的風險等級可與不同的群組分類相關聯。例如,財務使用者可與一低風險相關聯,因為他們幾乎存取很少類型的資料且自一公司設施內之一固定位置進行存取,而銷售使用者可與一高風險相關聯,因為他們自不同位置存取各種類型的資料。在一些實施例中,可基於使用者隸屬於工作空間編排服務之提供者的時間長度或使用者成為一特定公司之一僱員的時間長度來評估由一使用者呈現之風險等級。在一些實施例中,可基於與一特定使用者相關聯之歷史資訊來評估由一使用者呈現之風險等級,諸如使用者之前係否被判定違反了安全性策略或未能遵循企業工作效率生態系統所利用之最佳實踐。在額外實施例中,與一使用者(例如,管理員、訪客等)相關聯之一特權狀態分類可指示一風險等級。在此等實施例中,特權狀態分類之變化亦可指示風險情境資訊。例如,歷史特權狀態分類可指示一使用者特權分類自一普通使用者至一管理使用者之一最近變化。此一情況可指示使用此帳戶可能存在安全漏洞,因此保證來自此使用者之一工作空間請求的一風險分數較高。
除鑑認作出請求之使用者的身份外,亦可鑑認用於作出該請求之IHS的身份。在一些實施例中,IHS之身份可基於與IHS相關聯之一唯一識別符(諸如圖3之一服務標籤或序列號或裝置ID)來判定。基於此等唯一識別符,一IHS可由工作空間編排服務特別識別,且在某些例項中,可用於判定IHS之特定硬體及軟體能力。如關於圖1之IHS 100所描述,可使用在一IHS之一可信製造程序期間或在一IHS之可信管理期間為此等組件產生之參考簽名來確認一IHS之各種組件的完整性。在此等實施例中,一IHS之身份可被鑑認為包括可被確認為未失陷之組件的一特定IHS。在方塊420處,一IHS之本地管理代理可收集提供給工作空間編排服務之身份資訊,其中在方塊425處,硬體身份資訊可用於判定與IHS之硬體相關聯的風險屬性。
IHS硬體之風險屬性可指示與一特定IHS相關聯之一風險等級。一最高風險等級可被指派給很少有或沒有硬體資源可用之一IHS,諸如操作一無法識別之IHS的一訪客使用者。一高風險等級亦可被指派給可被確認為先前已失陷的一IHS,諸如基於與該特定IHS相關聯之日誌資訊。一中等風險等級可被指派給來自有安全問題歷史之一第一製造商的一IHS,而一較低風險等級可被指派給來自有較少安全問題之一第二製造商的一IHS。與內部硬體組件利用最新韌體之一IHS相比,利用帶過時韌體之內部硬體組件的一IHS可被指派一更高風險等級。一中等風險等級可被指派給已以一非推薦方式組態之一IHS,該非推薦方式諸如組態UEFI屬性以禁用IHS上之安全啟動程序或啟用某些USB或其他I/O埠之使用。一最低風險等級可被指派給一經辨識IHS,該經辨識IHS可諸如基於對韌體簽名之驗證而被確認為利用非失陷硬體硬件。
在方塊430處,可判定用於作出請求之IHS的軟體身份。IHS之軟體身份描述其中可部署一工作空間之邏輯環境。在某些例項中,一IHS之軟體身份可由IHS之作業系統指示,且可包括作業系統之版本資訊以及已應用於作業系統之更新及補丁。IHS之軟體身份亦可識別由作業系統支援之安全相關軟體應用程式,包括諸如防火牆、防毒軟體之安全應用程式及諸如DELL DATA GUARDIAN之安全套件,該等安全相關軟體應用程式可經組態以安全地管理憑證及儲存在一安全組件(諸如由圖1之IHS 100支援的可信控制器115)中之其他安全資訊。IHS之軟體身份亦可識別在IHS之作業系統內操作之所有應用程式及/或程序。在此等實施例中,軟體身份資訊可進一步包括當前在IHS之作業系統中運行之一些或所有應用程式的版本資訊及更新資訊。更新資訊可指示特定補丁(例如,解決特定安全性漏洞之補丁)係否已安裝在IHS上及/或至IHS或至IHS之一應用程式之最新補丁的日期。如所描述,在一些實施例中,本地管理代理可全部或部分地在一安全執行環境中操作,該安全執行環境在與IHS之OS分開操作之一可信控制器上運行。IHS之軟體身份因此亦可包括本地管理代理之隔離等級。
與IHS之硬體身份資訊一樣,軟體身份資訊可提供給工作空間編排服務。在方塊435處,軟體身份資訊可用於判定與使用者已自其請求存取一受管理資料源或其他資源之IHS的邏輯環境相關聯之風險屬性。例如,可基於缺乏對IHS之作業系統的更新來指示一高風險邏輯環境。一中等風險邏輯環境可由一經更新作業系統來指示,在該經更新作業系統中使用若干其他應用程式,包括支援使用者輸入之應用程式,諸如一文書處理應用程式,該等應用程式可用於手動地複製經由亦將在作業系統內操作之一工作空間提供的資訊。當在作業系統內操作之應用程式主要用於向使用者提供媒體輸出(諸如其中使用者輸入不用於資料鍵入之一媒體播放器或遊戲應用程式)時,可指示較低風險邏輯環境。當應用程式之一者係一網頁瀏覽器時可指示一更高風險邏輯環境,該網頁瀏覽器可為一使用者提供可能不容易被監視或追蹤之廣泛的基於網頁的工具及應用程式,諸如基於網頁的電子郵件及檔案傳送。可在支援資料檔案傳輸之一應用程式(諸如一電子郵件用戶端或FTP用戶端)操作之任意時間指示一中等風險邏輯環境。
在許多情況下,IHS所處之實體環境可指示風險。在方塊440處,可判定IHS之實體位置。如關於圖1所描述,根據實施例之IHS可經組態以收集各種類型的位置資訊。例如,一IHS之地理座標可自可用感測器收集或基於三角量測資訊而產生。亦可基於由IHS之網路介面偵測到之網路廣播信號的身份來確定位置資訊。在一些實施例中,可基於由IHS偵測到之各種無線信號的強度來改良經判定位置資訊之精度,因此提供用於識別一IHS在一特定房間或其他區域內之位置的一能力。在一些實施例中,此位置資訊可由在IHS上操作之本地管理代理收集作為存取一受管理資料源或其他資源之一請求的一部分。
在方塊445處,工作空間編排服務可利用由一本地管理代理報告之位置資訊,以便判定與IHS之實體位置相關聯的風險屬性。工作空間編排服務可利用所接收的位置資訊以便判定與該位置相關聯之一風險屬性。可藉由基於由使用者之僱主提供的一無線網路廣播之網路資訊判定IHS位於使用者的工作位置處來指示一低風險實體位置。一中等風險實體位置可由位置資訊經由一公共無線網路指示,該位置資訊指示IHS位於一經常使用的位置處,諸如使用者工作地點附近的一咖啡店。當使用者係一飛機、車輛或公共交通工具中之一乘客且正在利用任何可用的蜂巢式或公共無線網路時,亦可藉由指示IHS正在使用中之位置資訊來指示一中等風險實體位置。一更高風險實體位置可由位置資訊來指示,該位置資訊指示IHS位於一無法辨識之位置處且正在使用一公共無線網路,IHS亦偵測到多個額外無線網路。一高風險實體位置亦可由位置資訊來指示,該位置資訊指示IHS位於某個國家、城市、地理圍欄區域、設施、郵遞區號、區號或已被歸類為指示一高風險區域之其他地理區域中。一高風險實體位置亦可由位置資訊來指示,該位置資訊指示IHS位置之一可疑變化。例如,IHS可在上午被識別為位於使用者在美國之常規工作地點,但在當天下午晚些時候,接收到確定IHS現在位於歐洲之位置資訊。
在方塊450處,可為已請求之資料源或其他資源判定風險屬性。在一些情況下,可基於與一資料源、應用程式、服務或其他資源相關聯之一分類(諸如使用資料作為機密的、秘密的、公開的或有特權之一指定)來直接判定一風險分類。亦可基於正在請求之一資料類型來判定一風險分類。例如,與財務資訊或與詳細工程設計示意圖相關聯之一檔案類型可指示高風險資料,而對一串流傳輸媒體檔案之一請求可指示低風險資料。亦可基於其中儲存所請求資料之位置來判定風險分類。例如,高風險資料可藉由其儲存在IHS之一安全記憶體或與IHS成一體並已被指定用於儲存重要的受管理資料之另一本地儲存裝置中來指示。中等風險資料可藉由儲存在已被指定用於一般用途之一本地或遠端儲存裝置中來指示。中等風險資料可藉由儲存在一受信任且經辨識雲端資源中來指示,而較高風險資料可藉由儲存在一無法辨識之雲端資源中來指示。
在各種實施例中,可以上文描述之操作序列的任何合適組合產生諸如上文描述之風險屬性,使得可以任何順序及/或同時執行圖4之步驟。實施例可利用任何或所有收集的資訊,該資訊描述其中將實例化一工作空間以便產生風險屬性之情境。在一些實施例中,用於產生風險屬性之資料可由在IHS上操作之一本地管理代理收集且可被傳達至工作空間編排服務以用於在455處評估及計算與該請求相關聯之一風險分數。在一些實施例中,一風險分數可為一定義範圍或尺度內之數值,諸如介於零與一百之間的一風險分數,或介於一與十之間的一評級。
實施例可利用機器學習技術來計算風險分數。例如,評估與使用者、實體環境、邏輯環境、IHS及資料相關聯之風險等級的各種安全屬性可作為輸入提供給機器學習演算法。在此等實施例中,可產生一數值風險分數作為機器學習之一輸出。訓練以此方式使用之機器演算法可透過使用對資料或其他資源之請求的訓練集來完成,其中訓練資料中之每一請求與該情境之情境資訊及風險屬性相關聯。此等手動訓練集亦可將特定風險分數與風險屬性之不同組合相關聯。一旦經訓練,機器學習能力即可用於為未包括在訓練集中並使用新類型的風險屬性(諸如與新類型的受管理資料源相關聯、或與新類型的實體位置相關聯、或與指定與使用者相關聯之風險等級的新度量相關聯之風險等級)之各種情境產生風險課程。
在460處,可利用與一請求相關聯之所產生風險分數,以便判定支援順應該請求之一工作空間的安全特性。例如,一最低風險分數可與一可信位置處之一經辨識IHS的一經鑑認使用者之一請求相關聯,其中該請求尋求存取諸如一網頁瀏覽器、遊戲應用程式或一串流傳輸媒體播放器之一應用程式。回應於具有如此低風險分數之一請求,可選擇一工作空間定義,該工作空間定義指定工作空間之最小隔離,對可用於進出工作空間之資料傳輸的協定沒有限制,不需要額外鑑認,且對進出工作空間之資料傳送沒有限制。一中等風險分數可與一經辨識IHS之一經鑑認使用者對經常存取資料的一請求相關聯,該經辨識IHS位於使用者工作地點附近之一未經辨識位置處。在此一情況下,可選擇一工作空間定義,該工作空間定義指定工作空間之最小隔離但對必須利用之加密等級提出要求且要求使用者定期重新鑑認。在一較高風險情況下,同一使用者在處於位於另一個國家之一無法辨識之位置處時,現可請求存取很少使用的財務資訊。在此一情況下,可選擇一工作空間定義,該工作空間定義指定一更大程度的隔離,對加密使用提出嚴格要求,要求使用額外鑑認因素確認使用者的身份,並要求對使用者進行定期鑑認且要求使用者保持靠近IHS。藉由一較新的使用者利用無法辨識或者無法驗證為使用非失陷硬體之一IHS,可呈現一更高風險情況。此一風險分數可與一工作空間定義相關聯,該工作空間定義要求工作空間使用一安全且經隔離記憶體。一高風險情況亦可藉由一經辨識使用者請求存取高風險資料,同時利用來自一無法辨識之位置的一無法辨識之IHS來呈現。在此一場景中,可選擇一工作空間定義,該工作空間定義需要最大程度地隔離工作空間,其中在一雲端資源上實例化工作空間,且僅經由IHS提供所請求資料之一不可變影像,且需要最大程度地使用可用鑑認因素以便積極地確認使用者之身份。
以此方式,風險分數可用於選擇一工作空間定義,該工作空間定義提供適合於其中將使用受管理資料或其他資源之情境的保護。因此,以此方式產生之工作空間促進在其中風險等級較低之情況下為使用者提供最大工作效率,且隨著與請求相關聯之風險等級增加而適當降低工作效率以便執行額外安全要求。在判定順應使用者請求之一工作空間的安全要求並產生指定安全要求之工作空間定義後,在465處,工作空間編排服務可將工作空間定義傳輸至IHS,其中該定義可由本地管理代理使用以構建並操作一工作空間,該工作空間為使用者提供對所請求資料或其他資源之存取。
圖5係描繪根據各種實施例之用於持續地保護一企業工作效率生態系統中之一動態工作空間的一額外程序之某些步驟的一流程圖。圖5之實施例可在方塊505處開始:基於一工作空間定義中闡述之要求在IHS上實例化一工作空間,該工作空間係如圖4中描述般基於一風險分數而選擇,該風險分數基於描述其中將使用工作空間之情境的風險屬性而計算。在方塊510處,使用者使用受管理資料或使用者請求之其他資源來操作工作空間。由於管理一工作空間操作之工作空間定義係基於使用者請求時之情境而選擇,因此情境變化可更改風險分數,其現與所請求資料及/或應用程式之持續使用相關聯。因此,在方塊515、520、525、530處,可偵測所請求資料或其他資源之持續使用的各種情境變化。
例如,在方塊515處,工作空間編排服務可自本地管理代理接收其中操作一工作空間之邏輯環境之變化的通知。在其中一工作空間作為IHS之作業系統內的一隔離應用程式操作之一情況下,某些作業系統應用程式之初始化可保證重新評估與經由工作空間持續存取受管理資料相關聯之風險。例如,一工作空間可為使用者提供對專有技術資訊(諸如CAD繪圖)之存取,及用於操縱技術資訊之一應用程式(諸如一CAD應用程式)之使用。在接收到使用者已初始化一電子郵件應用程式或獲得對不受企業工作效率生態系統管理之一資料儲存器之存取的通知後,可保證重新評估與專有技術資訊之持續使用相關聯的風險分數。因此,在方塊535處,可諸如藉由升級與工作空間之操作邏輯環境相關聯之風險等級來判定與專有技術資訊之持續使用相關聯的風險屬性。
類似地,在方塊520處,可偵測對額外資料或其他資源之所請求存取的偵測並將該偵測提供給工作空間編排服務。在某些例項中,可能已產生一工作空間以向一使用者提供對公共或其他未受保護資訊之存取。然而,在偵測到存取機密資訊之一額外使用者請求時,可保證重新評估工作空間之安全要求。在另一種情況下,一工作空間可為使用者提供對受管理資料之存取及用於檢視受管理資料之一應用程式,但偵測到對可修改受管理資料之一應用程式之一存取請求可要求重新評估工作空間安全要求。在方塊540處,可諸如藉由升級與待經由工作空間存取之資料相關聯的風險等級來為經更新資料集或正在請求之其他資源判定經更新風險屬性。
在方塊525處,對IHS之硬體身份之任何修改皆可報告給工作空間編排服務。例如,將一可移除儲存裝置耦合至IHS可指示一安全情境變化。一經辨識儲存裝置(諸如一經常使用的外部硬碟)之耦合可僅導致持續使用資料之風險分數發生微小變化,而一未無法辨識之拇指驅動器之耦合可導致風險分數顯著變化。在方塊545處,可判定工作空間之操作的硬體環境的經更新風險屬性。在另一實例中,偵測到IHS與一經辨識外部顯示器之耦合可導致持續使用資料之風險分數發生微小變化,而IHS與一無法辨識之投影顯示器的耦合可導致與IHS之硬體身份相關聯的風險屬性顯著變化。如所描述,在一些實施例中,一IHS可支援對由硬體組件使用之韌體的證明。在此等實施例中,無任何能力來證明先前已驗證之韌體或偵測到未證明組件可導致IHS之硬體身份顯著變化,從而導致風險分數顯著變化。
在方塊530處,可向工作空間編排服務報告在IHS之實體環境中之任何偵測到的變化。例如,若IHS之感測器提供IHS正在運輸之指示,則可預期安全情境基於在IHS移動時可利用之不同網路而改變。因此,自一可信網路至一非可信網路之任何改變皆可導致在550處判定與IHS所處之實體環境相關聯之風險屬性發生顯著改變。在一些實施例中,根據實施例組態之一IHS可偵測使用者何時出現在IHS附近,且亦可偵測在IHS附近係否存在額外個人。在此等實施例中,可向工作空間編排服務報告偵測到額外個人以及與彼等個人相關聯之任何可用身份資訊。在一些情況下,當在IHS附近偵測到額外個人時,繼續存取機密資料可取決於使用者提供額外鑑認資訊。在其他情況下,回應於在IHS附近偵測到額外個人,工作空間可禁用外部顯示器之使用。
在方塊560處,根據偵測到之情境變化,利用經更新風險屬性產生對所請求資料及/或應用程式之持續存取的一經更新風險分數。如關於圖4所描述,可訓練機器學習演算法以基於表徵各種風險屬性之輸入來計算數值風險核心,該等各種風險屬性描述其中部署或將部署工作空間之情境。在方塊565處,當前部署的工作空間(如其工作空間定義所指定)之安全特性基於由安全情境變化產生之經更新風險分數來評估。若當前工作空間定義沒有為經更新風險等級提供足夠的安全性,則在方塊570處,判定並傳輸經更新工作空間定義以供本地管理代理使用來基於經更新工作空間定義調適或重新初始化工作空間。 * * *
如前所述,可分別基於自初始工作效率及安全情境產生之工作效率及安全目標來創建一使用者的工作空間。此外,當使用者在一工作空間中執行動作時,工作空間之各種組態隨時間而改變。
在本文描述之各種系統及方法中,當一工作空間變成失陷(例如,被惡意軟體攻擊)時,工作空間編排服務206可自以往的及當前的組態變化中學習以預測未來的潛在失陷。特定言之,工作空間編排服務206可在一會話期間監視選定工作空間組態之變化。若一給定工作空間遭遇失陷,則監視服務創建一失陷指標(IOC),該IOC表示自一初始黃金工作空間組態至失陷工作空間組態之一漂移。一旦創建,IoC即可用於預測工作空間失陷之未來例項。
圖6係用於基於組態漂移來創建及處置工作空間IOC之方法600之一實例的圖示。在各種實施例中,方法600可至少部分地透過執行組態監視及漂移引擎601之機器學習或人工智慧演算法來執行,該組態監視及漂移引擎例如被部署作為工作空間編排服務206內之分析服務323的一部分。首先,初始工作空間定義檔案602由具有如下一系列組態及/或設定之工作空間編排服務206產生:X1、X2、X3、...、X(n)。
一旦本地管理代理332使用初始工作空間定義文件602來實例化處於「狀態G」603之工作空間,組態監視及漂移引擎601即可遠端地監視黃金組態604(X1=n1,X2=n2,X3=n3、...、X(n)=n(n))以及對其所做之任何變化。例如,本地管理代理332可經組態以將此等待監視之組態或設定之當前值發送至雲端監視及漂移引擎601。隨後,當一或多個工作空間組態被修改(例如,藉由使用者輸入、一入侵者、惡意軟體攻擊等)使得工作空間現在處於「狀態A」605時,經修改組態快照606(X1=a1、X2=b2、X3=a3、…、X(n)=a(n))由組態監視及漂移引擎601接收並儲存。
適合在IOC 609中追蹤之組態變化的實例可包括但不限於:VPN(值:啟用、禁用、加密演算法(AES、DES)、金鑰大小)、防火牆(值:啟用、禁用、開放埠數目、策略變化)、資料加密(值:啟用、禁用、類型)、網路安全(值:啟用、禁用、連接類型(WEP、WPA)、網路速度(值:編號)、資料位置(值:檔案夾位置)、已安裝的應用程式版本(值:編號)、反惡意軟體解決方案(值:已安裝、已禁用、解決方案類型(簽名,ML))、裝置效能:CPU、記憶體、磁碟(值:即時效能),裝置組態(值:CPU、記憶體、磁碟(編號))、附接的周邊設備(值:顯示器、鍵盤、滑鼠、藍芽周邊設備、銜接器)、使用者鑑認(值:MFA、生物特徵、hello、通行碼)、主要應用程式安裝狀態(值:文件處理器、試算表、帶外掛程式之瀏覽器)、BIOS組態(值:基線組態)等。
在一後續時間點,當再次修改工作空間組態使得工作空間處於「狀態B」607時,經額外修改之組態快照608(X1=b1、X2=b2、X3=b3、...、X(n)=b(n))由組態監視及漂移引擎601接收且儲存。
在會話期間,組態監視及漂移引擎601可維護一組態變化歷史,且在一些情況下,每一變化皆可與一各自時間戳記相關聯,藉此創建或監視IOC 609(X1=n1->a1->b1、...->c1;X2=n2->a1->b1、...->c1;X3=n3->a3->b3、...->c3;...;X(n)=n4->a4->b4、...->c4)。若在某個時間點,隨著工作空間改變狀態(例如,自603改變為605、改變為607等),偵測到一入侵或失陷事件(例如,如工作空間之當前安全風險所指示),則IOC 609可經儲存以進行未來失陷預測。
在一些實施方案中,當每一組態改變發生在前一組態改變時間戳記之一可選時間範圍內時,可發現一當前組態改變序列與一IOC之間的一匹配。在其他實施方案中,當一工作空間的組態向已知IOC漂移了小於鏈中之所有變化的100%之一選定量時,可預測失陷。此選定量可用於調諧方法600的偵測靈敏度,例如,若偵測到一IOC中之所有組態改變 N%,則可提醒IT管理員或安全分析師,可終止工作空間,可限制存取敏感資料,可基於初始或一新的工作空間定義來實例化一新的工作空間等。在一些情況下,在方法400及/或500中可使用與一或多個IoC中之變化匹配之愈來愈多的組態變化來改變或增加一風險分數。在又一些其他實施方案中,可儲存跨越兩個或更多個工作空間或會話之一IoC,該兩個或更多個工作空間或會話已基於相同或類似的工作空間定義檔案602按一順序實例化。
因而,在各種實施例中,本文描述之系統及方法可藉由監視特定組態並針對部分或全部IOC鏈評估組態漂移來實現對一工作空間的失陷之預測。
應理解,本文中所描述之各種操作可在藉由處理電路、硬體或其組合執行之軟體中實施。執行一給定方法之每一操作的順序可改變,且各種操作可經添加、重新排序、組合、省略、修改等。意欲本文所描述之本發明包含所有此等修改及變化,且因此以上描述應視為具有一說明性而非一限制性意義。
如本文中所使用,術語「有形」及「非暫時性」意欲描述不包括傳播電磁信號之一電腦可讀儲存媒體(或「記憶體」);但不意欲另外限制由片語電腦可讀媒體或記憶體涵蓋之實體電腦可讀儲存裝置的類型。例如,術語「非暫時性電腦可讀媒體」或「有形記憶體」意欲涵蓋未必永久地儲存資訊之儲存裝置類型,包括例如RAM。以非暫時性形式儲存在一有形電腦可存取儲存媒體上之程式指令及資料可在之後藉由傳輸媒體或信號(諸如電信號、電磁信號或數位信號)傳輸,該等信號可經由諸如一網路及/或一無線鏈路之一通信媒體傳送。
雖然在本文中參考特定實施例來描述本發明,但是可在不脫離如以下請求項闡述的本發明之範疇的情況下進行各種修改及變化。因此,說明書及圖式應視為具有一說明性而非一限制性意義,且所有此等修改意欲包括在本發明之範疇內。在本文中關於特定實施例所描述的任何益處、優勢、或問題之解決方案並不意欲理解為任何或所有請求項之關鍵、必需、或基本特徵或元件。
除非另外說明,否則諸如「第一」及「第二」之術語用於在此等術語所描述之元件之間任意地區分。因此,此等術語不一定意欲表示此等元件之時間或其他優先次序。術語「耦合」或「可操作地耦合」定義為連接,但不一定直接連接,且不一定機械連接。除非另外說明,否則術語「一」、「一個」被定義為一或多個。術語「包含」(及「包含」之任何形式,諸如「包含(comprises)」及「包含(comprising)」)、「具有」(及「具有」之任何形式,諸如「具有(has)」及「具有(having)」)、「包括」(及「包括」之任何形式,諸如「包括(includes)」及「包括(including)」)及「含有」(及「含有」之任何形式,諸如「含有(contains)」及「含有(containing)」)為開放式連接動詞。因此,「包含」、「具有」、「包括」或「含有」一或多個元件之系統、裝置、或設備具有彼等一或多個元件但不限於僅具有彼等一或多個元件。類似地,一種「包含」、「具有」、「包括」或「含有」一或多個操作之方法或程序具有彼等一或多個操作但不限於僅具有彼等一或多個操作。
100:資訊處置系統/IHS 101:處理器 102:匯流排 103:晶片組 104:高速記憶體介面 105:系統記憶體 106:郵箱 107:圖形處理器 108:顯示裝置 109:網路介面 110:輸入/輸出(I/O)控制器、輸入/輸出(I/O)裝置 111:使用者輸入裝置 112:感測器 114:光碟機 115:可信控制器 116:輸入/輸出(I/O)埠 117:基本輸入輸出(BIOS)系統 118:積體記憶體控制器、記憶體控制器 119:儲存裝置 120:安全儲存裝置 121:安全儲存裝置 200:方法 200A:工作空間初始化階段 200B:工作空間編排階段 200C:工作空間終止階段 201:使用者 202:實體環境、環境 203:啟動點 204:初始工作效率及安全上下文 205:初始安全及工作效率目標 206:遠端工作空間編排服務、工作空間編排服務 207:計算安全及效能目標 208:工作空間定義 209:組裝 210:創建、更新或維持工作空間 211:使用 212:工作效率及安全上下文 213:分割工作空間 300A:系統組件、工作空間編排服務 300B:系統組件、雲端服務、IHS 301:應用程式服務 302:使用者介面及自動化服務 303:情境邏輯或引擎 304:分類策略/邏輯 305:條件控制模組或引擎 306:網頁服務、應用程式服務 307:應用程式/工作空間服務 308:租戶訂閱模組 309:許可追蹤模組 310:存取控制模組 311:統一端點管理(UEM)模組 312:資源提供服務 314:端點註冊模組 315:目錄服務 316:裝置組態服務 317:製造商整合組件 318:憑證機構 319:身份服務模組或引擎 320:訂單權限模組或引擎 321:所有權儲存庫 322:客戶目錄 323:分析服務 324:支援輔助智慧引擎(SAIE) 325:工作空間洞察及遙測引擎 326:工作空間智慧 327:工作空間集線器 328:本地環境管理模組 329:本地智慧邏輯或引擎 330:本地身份模組/VIDM 331A:工作空間A 331B:工作空間B 331N:工作空間N 332:本地管理代理 333:工作空間證明模組 334:命令監視器 335:遙測模組 336:資料彙總器 337:資源管理器模組 338:安全模組 339:經鑑認基本輸入輸出系統/BIOS介面 340:基本輸入輸出系統分析模組/BIOS系統分析模組 341:安全嵌入式控制器 342:信任根模組 343:裝置證明服務 344:安全對象儲存器 345:安全平台/安全執行環境 346:永久性模組 347:原生管理模組 348:數位裝置ID模組 400:方法 405:方塊/步驟 410:方塊/步驟 415:方塊/步驟 420:方塊/步驟 425:方塊/步驟 430:方塊/步驟 435:方塊/步驟 440:方塊/步驟 445:方塊/步驟 450:方塊/步驟 455:方塊/步驟 460:方塊/步驟 465:方塊/步驟 500:方法 505:方塊/步驟 510:方塊/步驟 515:方塊/步驟 520:方塊/步驟 525:方塊/步驟 530:方塊/步驟 535:方塊/步驟 540:方塊/步驟 545:方塊/步驟 550:方塊/步驟 560:方塊/步驟 565:方塊/步驟 570:方塊/步驟 600:方法 601:組態監視及漂移引擎/組態漂移監視引擎 602:初始工作空間定義檔案 603:狀態G 604:黃金組態 605:狀態A 606:經修改組態快照 607:狀態B 608:額外經修改之組態快照 609:失陷指標/IOC
本發明藉由實例來圖解說明且不受隨附圖式限制,其中相同元件符號指示類似元件。圖式中之元件係出於簡潔及清晰之目的而圖解說明且不一定按比例繪製。
圖1係描繪根據各種實施例之經組態以使一企業工作效率生態系統中之工作空間及硬體生命週期管理現代化之IHS的組件之實例的一圖式。 圖2係描繪根據各種實施例之用於使一企業工作效率生態系統中之工作空間及硬體生命週期管理現代化之方法之一實例的一圖示。 圖3A及圖3B係描繪根據各種實施例之經組態以使一企業工作效率生態系統中之工作空間及硬體生命週期管理現代化之系統之一實例的圖示。 圖4係描述根據各種實施例之用於保護一企業工作效率生態系統中之一動態工作空間的程序之某些步驟的一流程圖。 圖5係描述根據各種實施例之用於在一企業工作效率生態系統內持續保護一動態工作空間之程序之某些步驟的一流程圖。 圖6係根據各種實施例之用於基於組態漂移創建及處理工作空間失陷指標(IOC)之方法之一實例的一圖示。
206:遠端工作空間編排服務、工作空間編排服務
332:本地管理代理
600:方法
601:組態監視及漂移引擎/組態漂移監視引擎
602:初始工作空間定義檔案
603:狀態G
604:黃金組態
605:狀態A
606:經修改組態快照
607:狀態B
608:額外經修改之組態快照
609:失陷指標/IOC

Claims (19)

  1. 一種其上儲存有程式指令之記憶體儲存裝置,該等程式指令在由一工作空間編排服務之一資訊處置系統(IHS)的一或多個處理器執行時使該IHS:在一工作空間編排服務下自一用戶端IHS接收當前組態資訊,其中該當前組態資訊表示由該用戶端IHS執行之一工作空間之一組態的一變化,其中基於由該工作空間編排服務提供之一工作空間定義來實例化該工作空間,其中,該工作空間定義包括一初始工作空間定義文件,該初始工作空間定義文件具有用於一初始組態的一初始值,並且其中,該當前組態資訊包括用於儲存在該初始工作空間定義文件中之相同組態的當前值;將該當前組態資訊儲存在該工作空間編排服務中,其中,該當前組態資訊與在實例化該工作空間後對該組態的每次先前變化的組態資訊一起儲存;由該工作空間編排服務判定該當前組態資訊與一失陷指標(IOC)匹配;且自該工作空間編排服務向該用戶端IHS傳輸一指令以回應於該IOC而執行一動作。
  2. 如請求項1之記憶體儲存裝置,其中該當前組態資訊包含以下各者中之至少一者的一值:虛擬私人網路(VPN)、防火牆、資料加密、網路安全、網路速度、資料位置、已安裝的應用程式版本、反惡意軟體、裝置效能、裝置組態、已附接的周邊設備、使用者鑑認、主要應用程式安裝狀態或基本輸入/輸出系統(BIOS)組態。
  3. 如請求項1之記憶體儲存裝置,其中該IOC是複數個IOC中之一者,且其中每一IOC包含一組態變化鏈。
  4. 如請求項3之記憶體儲存裝置,其中該當前組態資訊表示比該IOC中之組態變化的一總數更少之變化。
  5. 如請求項3之記憶體儲存裝置,其中該組態變化鏈可由該工作空間編排服務使用以預測該工作空間正接近或已遭受一安全失陷。
  6. 如請求項1之記憶體儲存裝置,其中在接收該當前組態資訊之前,該工作空間編排服務經組態以基於對先前組態變化之一評估來產生該IOC,其中在實例化該工作空間後對該組態的每次先前變化的組態資訊係藉由該工作空間編排服務儲存。
  7. 如請求項1之記憶體儲存裝置,其中用於回應於該IOC而執行該動作之該指令包含用於終止該工作空間之一指令。
  8. 如請求項1之記憶體儲存裝置,其中用於回應於該IOC而執行該動作之該指令包含用於基於一新的工作空間定義實例化一新的工作空間之一指令。
  9. 一種資訊處置系統(IHS),其包含:一處理器;及一記憶體,該記憶體耦合至該處理器,該記憶體具有儲存在其上之程式指令,該等程式指令在執行時使該IHS:向一工作空間編排服務傳輸組態資訊,其中該組態資訊表示由該IHS執行之一工作空間之一組態的一變化,且其中基於由該工作空間編排服務提供之一工作空間定義來實例化該工作空間,其中,該工作空間定義基於一工作效率情境和一安全情境來滿足一安全目標和一工作效率目標;且自該工作空間編排服務接收一指令以回應於由該工作空間編排服務基於該組態資訊所識別之一失陷指標(IOC)而執行一動作。
  10. 如請求項9之IHS,其中該組態資訊包含以下各者中之至少一者的一值:虛擬私人網路(VPN)、防火牆、資料加密、網路安全、網路速度、資料位置、已安裝的應用程式版本、反惡意軟體、裝置效能、裝置組態、已 附接的周邊設備、使用者鑑認、主要應用程式安裝狀態或基本輸入/輸出系統(BIOS)組態。
  11. 如請求項9之IHS,其中該IOC是複數個IOC中之一者,且其中每一IOC包含一組態變化鏈。
  12. 如請求項11之IHS,其中該組態資訊表示比該IOC中之組態變化的一總數更少之變化。
  13. 如請求項11之IHS,其中該組態變化鏈可由該工作空間編排服務使用以預測該工作空間正接近或已遭受一安全失陷。
  14. 如請求項9之IHS,其中用於回應於該IOC而執行該動作之該指令包含用於終止該工作空間之一指令。
  15. 如請求項9之IHS,其中用於回應於該IOC而執行該動作之該指令包含用於基於一新的工作空間定義實例化一新的工作空間之一指令。
  16. 一種用於創建及處置工作空間失陷指標之方法,其包含:在一工作空間編排服務下自一資訊處置系統(IHS)接收組態資訊,其中該組態資訊表示由該IHS執行之一工作空間之一組態的一變化,且其中基於由該工作空間編排服務提供之一工作空間定義實例化該工作空間;由該工作空間編排服務判定該組態資訊與複數個失陷指標(IOC)中之一給定IOC匹配,其中該給定IOC包含一組態變化鏈,其中,工作空間編排服務將在該IOC中之該組態變化鏈與用於該工作空間之一組態變化鏈相匹配,以預測該工作空間正接近或已遭受一安全失陷,並且其中用於該工作空間之該組態變化鏈包括在實例化該工作空間之後對該工作空間之組態的每一個先前變化;及回應於該判定而自該工作空間編排服務向該IHS傳輸至少一指令以:(a)終止該工作空間;或者(b)基於一新的工作空間定義來實例化一新的工作空 間。
  17. 如請求項16之方法,其中該組態資訊包含以下各者中之至少一者的一值:虛擬私人網路(VPN)、防火牆、資料加密、網路安全、網路速度、資料位置、已安裝的應用程式版本、反惡意軟體、裝置效能、裝置組態、已附接的周邊設備、使用者鑑認、主要應用程式安裝狀態或基本輸入/輸出系統(BIOS)組態。
  18. 如請求項16之方法,其中該組態資訊表示比該給定IOC中之組態變化的一總數更少之變化。
  19. 如請求項16之方法,其中在接收該組態資訊之前,該工作空間編排服務經組態以基於對先前組態變化之一評估來產生該給定IOC。
TW110125113A 2020-12-18 2021-07-08 基於組態漂移創建及處置工作空間失陷指標(ioc) TWI793667B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/126,122 2020-12-18
US17/126,122 US11522883B2 (en) 2020-12-18 2020-12-18 Creating and handling workspace indicators of compromise (IOC) based upon configuration drift

Publications (2)

Publication Number Publication Date
TW202225965A TW202225965A (zh) 2022-07-01
TWI793667B true TWI793667B (zh) 2023-02-21

Family

ID=82022722

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110125113A TWI793667B (zh) 2020-12-18 2021-07-08 基於組態漂移創建及處置工作空間失陷指標(ioc)

Country Status (5)

Country Link
US (1) US11522883B2 (zh)
EP (1) EP4264425A1 (zh)
CN (1) CN116615714A (zh)
TW (1) TWI793667B (zh)
WO (1) WO2022132218A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11777992B1 (en) 2020-04-08 2023-10-03 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US11706241B1 (en) * 2020-04-08 2023-07-18 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US11720686B1 (en) 2020-04-08 2023-08-08 Wells Fargo Bank, N.A. Security model utilizing multi-channel data with risk-entity facing cybersecurity alert engine and portal
US20230388180A1 (en) * 2022-05-31 2023-11-30 Microsoft Technology Licensing, Llc Techniques for provisioning workspaces in cloud-based computing platforms

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170150399A1 (en) * 2014-08-07 2017-05-25 Intel IP Corporation Virtualized network function management
US20190280918A1 (en) * 2018-03-07 2019-09-12 Amdocs Development Limited System, method, and computer program for automatically generating training data for analyzing a new configuration of a communication network
US10855536B1 (en) * 2019-01-25 2020-12-01 Wells Fargo Bank, N.A. Cloud compliance drift automation and root cause analysis tool
TW202046094A (zh) * 2019-01-31 2020-12-16 美商萬國商業機器公司 處理輸入輸出儲存指令

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US7150044B2 (en) * 2003-03-10 2006-12-12 Mci, Llc Secure self-organizing and self-provisioning anomalous event detection systems
US7287279B2 (en) * 2004-10-01 2007-10-23 Webroot Software, Inc. System and method for locating malware
US20060075494A1 (en) * 2004-10-01 2006-04-06 Bertman Justin R Method and system for analyzing data for potential malware
US20060075490A1 (en) * 2004-10-01 2006-04-06 Boney Matthew L System and method for actively operating malware to generate a definition
US20090217382A1 (en) * 2008-02-25 2009-08-27 Alcatel-Lucent Method and procedure to automatically detect router security configuration changes and optionally apply corrections based on a target configuration
US9223972B1 (en) * 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US11075819B2 (en) * 2014-08-07 2021-07-27 Ca, Inc. Identifying unauthorized changes to network elements and determining the impact of unauthorized changes to network elements on network services
US10826931B1 (en) * 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170150399A1 (en) * 2014-08-07 2017-05-25 Intel IP Corporation Virtualized network function management
US20190280918A1 (en) * 2018-03-07 2019-09-12 Amdocs Development Limited System, method, and computer program for automatically generating training data for analyzing a new configuration of a communication network
US10855536B1 (en) * 2019-01-25 2020-12-01 Wells Fargo Bank, N.A. Cloud compliance drift automation and root cause analysis tool
TW202046094A (zh) * 2019-01-31 2020-12-16 美商萬國商業機器公司 處理輸入輸出儲存指令

Also Published As

Publication number Publication date
TW202225965A (zh) 2022-07-01
US11522883B2 (en) 2022-12-06
EP4264425A1 (en) 2023-10-25
US20220201009A1 (en) 2022-06-23
CN116615714A (zh) 2023-08-18
WO2022132218A1 (en) 2022-06-23

Similar Documents

Publication Publication Date Title
US11316902B2 (en) Systems and methods for securing a dynamic workspace in an enterprise productivity ecosystem
US11843509B2 (en) Systems and methods for workspace continuity and remediation
US11657126B2 (en) Systems and methods for dynamic workspace targeting with crowdsourced user context
TWI793667B (zh) 基於組態漂移創建及處置工作空間失陷指標(ioc)
US11757881B2 (en) Workspace deployment using a secondary trusted device
TWI794872B (zh) 資訊處置系統、記憶體儲存裝置及用於操作工作區之方法
US11762750B2 (en) Systems and methods for modernizing workspace and hardware lifecycle management in an enterprise productivity ecosystem
US20230179613A1 (en) Detecting security attacks using workspace orchestration logs
US11720682B2 (en) Systems and methods for bare-metal or pre-boot user-machine authentication, binding, and entitlement provisioning
US11586738B2 (en) Systems and methods for evaluating security risks using a manufacturer-signed software identification manifest
US11336655B2 (en) Multilevel authorization of workspaces using certificates
US20230063135A1 (en) Trusted local orchestration of workspaces
US20230153426A1 (en) Hardware-based protection of application programming interface (api) keys
US11595322B2 (en) Systems and methods for performing self-contained posture assessment from within a protected portable-code workspace
US12003623B2 (en) Multilayer encryption for user privacy compliance and corporate confidentiality
US20230153150A1 (en) Systems and methods for migrating users and modifying workspace definitions of persona groups
US20220200796A1 (en) Multilayer encryption for user privacy compliance and corporate confidentiality