InfoWorld, США
Решение Intel интегрировать средства контроля сетевым доступом в свои новейшие процессоры для настольных систем открывает интересные возможности в части использования систем аутентификации устройств и позволяет и дальше укреплять технологические стандарты, которые эти устройства поддерживают.
Одна из множества новых функций обеспечения безопасности, встроенных в процессоры vPro Core 2 Duo, — поддержка стандарта 802.1x и совместимость с нормами Cisco Network Admission Control, обеспечиваемыми за счет Intel Embedded Trust Agent в процессорах, — может способствовать широкому распространению систем аутентификации устройств и при этом расширяет поддержку двух форматов.
Системы контроля сетевым доступом (Network Access Control, NAC) используются для сканирования информации, требуемой для аутентификации устройств и пользователей, всякий раз, когда машина пытается зарегистрироваться в сети, защищенной с помощью данного инструментария. Помимо того что данный инструментарий обеспечивает защиту от нежелательного проникновения извне, он также считается полезной альтернативой для предприятий, которым требуется разграничивать права доступа при совместном с партнерами или подрядчиками использовании тех или иных систем.
По словам представителей Intel, благодаря Embedded Trust Agent компания теперь может предоставить системы NAC, в том числе созданные на платформах 802.1x или Cisco NAC, для получения идентификационной информации устройств непосредственно из процессора. Это избавит от необходимости применения технологий аутентификации, предусматривающих взаимодействие с операционной системой.
Одна из потенциальных возможностей обойти системы NAC, о чем предупреждают специалисты по безопасности, состоит в использовании некоторых методов подмены или искажения информации об устройстве для того, чтобы «обмануть» средства обеспечения безопасности сети. В Intel считают, что при наличии идентификационных данных в процессоре подобные атаки в большинстве своем обречены на провал.
Несмотря на то что Intel не поддерживает прямую связь между Embedded Trust Agent и Network Access Protection, NAC-механизма от Microsoft, уже интегрированного в операционную систему Vista), Cisco и Microsoft ранее объявили о соглашении, в соответствии с которым намерены обеспечить совместимость своих систем сетевой аутентификации.
Схожая поддержка NAC на мобильных платформах будет реализована в следующей серии процессоров Centrino, выпуск которой запланирован на 2008 год.
Представители Cisco, принимавшие участие в мероприятиях, посвященных выпуску vPro, отметили, что интеграция NAC на уровне центрального процессора может способствовать быстрому распространению данной технологии, популярность которой до сих пор, по мнению отраслевых экспертов, росла крайне медленно, несмотря на заявления сетевой корпорации о том, что многие ее клиенты ориентируются на следующее поколение систем аутентификации.
«Достоинство NAC, безусловно, состоит в надежности информации, которую вы можете предоставить сети, и получение прямого доступа к этой информации на аппаратном обеспечении открывает новые возможности, недоступные в случае взаимодействия только с операционной системой», — подчеркнул Бренден О’Коннелл, старший менеджер по продуктам группы Cisco Security Technology Group.
«В прошлом, даже при наличии систем NAC, при начале работы ПК в сети решение вопросов, связанных с безопасностью, откладывалось, несмотря на то что другие операции выполнялись в фоновом режиме. Однако мы надеемся, что эта ситуация изменится, и мы сможем все это делать значительно раньше, — сказал он. — Огромное преимущество заключается в том, чтобы получить такого рода информацию, необходимую для оценки уровня безопасности устройства в самом начале процесса подключения к сети как для настольных систем, так и впоследствии для других видов устройств».
Поставщики процессорных технологий пытаются предлагать аналогичные инструментальные средства обеспечения безопасности на базе процессоров (в частности, это делает компания Phoenix Technologies), но эти попытки чаще всего пользователи игнорируют. Так, например, Phoenix недавно отказалась от выпуска своих основных программных систем обеспечения безопасности из-за невысокого спроса на них.
Другие производители NAC-решений считают, что шаги, предпринятые Intel для использования NAC, должны пробудить новый интерес к этим системами и выявить четкое распределение компаний в отрасли по группам, в зависимости от того, какой стандарт они выберут для поддержки.
«На функциональном уровне это будет весьма полезно, поскольку ускорит тестирование. Вместо того чтобы ждать, пока машина загрузится для того, чтобы получить оценку ее безопасности, система NAC сразу может распознать атрибуты машины и начать присваивание привилегий», — заметил Алан Шимел, директор по стратегии компании StillSecure, выпускающей программное обеспечение NAC.
Как отметил Шимел, несмотря на прекрасные дополнения, для того, чтобы предложить полный спектр возможностей аутентификации, большинству систем NAC по-прежнему будут нужны идентификационные данные пользователя, как правило получаемые через программное обеспечение, работающее с операционной системой устройства.
«Будет интересно увидеть, как развивается ситуация. Если AMD выберет аналогичный подход и те же самые стандарты, это может оказать хорошее влияние на отрасль в целом, — сказал он. — Приятно то, что Intel поддерживает 802.1x, поскольку с этим стандартом работает большинство производителей NAC».
Несмотря на то что интеграция на уровне процессора — это прекрасное дополнение, некоторые аналитики отрасли считают, что пройдет еще какое-то время, прежде чем NAC начнут широко применять достаточно большое количество корпоративных пользователей.