Documentação
técnica
Processadores da Intel® para
computadores voltados para
o segmento corporativo
Segurança para computadores voltados para o
segmento corporativo com processadores da Intel®
Sumário executivo
Os computadores criados com processadores da Intel® oferecem segurança reforçada com
melhoria da produtividade para os usuários1. As tecnologias de segurança embarcadas nesses
processadores funcionam além do SO – no hardware e no firmware – para proteger os usuários
e a empresa contra novos ataques dissimulados que são difíceis de detectar com soluções de
software convencionais. Funcionando no hardware e firmware, elas melhoram a produtividade
do usuário, permitem melhor controle de ameaças, detectam e impedem melhor o roubo de
identidade, proporcionam criptografia mais aprofundada e segura, protegem contra roubos de
dados e dispositivos e, no caso de uma violação, ajudam a reduzir os custos de reparos.
Essas tecnologias de segurança integradas ajudam a proteger os computadores de empresas onde
as tecnologias atuais não podem alcançar. Esta documentação aborda essas tecnologias embarcadas
da Intel e o modo como elas podem ajudar a enfrentar os difíceis desafios de segurança da TI.
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
Índice
Sumário executivo
1
Identidade e proteção de acesso
6
Quem é quem?
6
Equilibrando segurança, produtividade
e gerenciamento na empresa
3
Tecnologia Intel® Identity Protection
6
Produtividade segura na empresa
3
Segurança baseada em hardware com
conveniência baseada em software
6
Proteção para entradas do usuário
6
Fácil implantação da Intel® IPT com OTP
6
Rápida migração para a Intel® IPT com PKI
6
Aprimore as experiências no ambiente virtual
3
Volte ao trabalho rapidamente
3
Tome decisões mais inteligentes mais rapidamente
3
Ganhe produtividade com dispositivos mais seguros
3
Segurança embarcada auxiliada por hardware
Proteção de dados
Perdidos, mas não esquecidos
7
Desafios de segurança crescentes da TI
4
Permitindo criptografia onipresente
7
Estratégias de proteção – Segurança dentro e fora do SO
4
Números realmente aleatórios
7
Computadores de empresas com segurança integrada
4
Redução de ameaças
5
Monitoramento e reparos seguros
com a Tecnologia Intel® vPro™
8
A fonte de todos os males e outros malwares
5
Monitoramento de todo o sistema
8
Protegendo os domínios virtuais
5
Monitoramento e prevenção
8
Inicialização segura
5
Mantendo o código no seu lugar
5
Simplifique e acelere a ativação
9
Oferecendo proteção além do SO
5
Permanecendo no lugar – Minimizando custos
através do aprimoramento do controle remoto
9
Gerenciamento e automação
Conclusão
2
7
4
9
10
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
Equilibrando segurança, produtividade
e gerenciamento na empresa
As ameaças modernas aproveitam todas as interações que os seus
usuários têm com os seus dados, dispositivos e aplicativos. Novas
distribuições de serviços, incluindo desktops virtuais e serviços
baseados em nuvem, implementados para aumentar a produtividade,
aumentam os desafios para garantir que uma estrutura esteja
protegida contra ameaças sofisticadas. Cada um dos canais de
comunicações – aplicativos baseados na Web, identidades, acesso às
redes empresariais, contas confidenciais e e-mail – apresenta vetores
através dos quais as ameaças e as invasões são possíveis.
Volte ao trabalho rapidamente
Esperar por um PC na empresa para estar pronto para o trabalho
consome um tempo valioso. A Tecnologia Intel® Rapid Start4 permite
que os usuários voltem ao trabalho rapidamente enquanto economiza
energia permitindo ao dispositivo entrar no modo de standby, mas ser
ativado instantaneamente. Os usuários do Ultrabook™ poderão
trabalhar por mais tempo na energia da bateria, enquanto outros PCs,
como os PCs All-in-One (AIOs)5 ajudam a reduzir o consumo de energia
na empresa.
Tome decisões mais inteligentes mais rapidamente
Para complicar ainda mais os problemas de segurança há a gama em
expansão de dispositivos portáteis que devem ser mantidos dentro de
um perímetro seguro. Além dos notebooks onipresentes, mais
dispositivos portáteis estão se tornando populares, incluindo
smartphones e tablets. A TI precisa protegê-los e gerenciá-los todos –
não apenas protegê-los contra ataques de malware, mas também
minimizar e reparar os roubos tradicionais de "pegar e correr".
O acesso instantâneo a informações importantes pode ajudar os
tomadores de decisões a chegar a soluções mais inteligentes mais
rapidamente. A Tecnologia Intel® Smart Connect6 mantém as informações de rede e fontes da Internet seguras, acessíveis e atualizadas no
PC enquanto os profissionais ocupados estão em trânsito, permitindo
que seus dados estejam prontos quando eles estiverem.
Para ajudar a TI a alcançar os seus objetivos, as tecnologias embarcadas da Intel®1, juntamente com o software e as tecnologias da McAfee
trabalham no hardware e além do SO para ajudar a proporcionar maior
produtividade, segurança e gerenciamento.
Ganhe produtividade com dispositivos mais seguros
Produtividade segura na empresa
Aprimore as experiências no ambiente virtual
À medida que a virtualização continua a evoluir com mais ambientes
funcionando conjuntamente, novas implementações, como reprodução de estrutura de controle de máquina virtual (VMCS) e virtualização
agrupada, ajudam a aprimorar essa tecnologia vital. Mas torna-se cada
vez mais crítico assegurar a separação e a segurança desses ambientes e que as experiências do usuário não sejam impactadas por
múltiplas VMMs funcionando no mesmo sistema.
A 4ª. geração de processadores Intel® Core™ vPro™ suporta mais
plataformas de empresas e formatos inovadores, incluindo PCs
All-in-One (AIOs), Ultrabooks, notebooks, desktops, plataformas
ultrapequenas e tablets para empresas, capacitando uma ampla gama
de computadores de empresas que ajudam a manter os usuários
produtivos onde quer que estiverem. À medida que as empresas
continuam a adotar a consumerização e os departamentos de TI
gerenciam uma variedade maior de dispositivos, as tecnologias da
Intel® ajudam as empresas a permanecerem ágeis e competitivas sem
sacrificar suas políticas críticas de TI.
A reprodução de estrutura de controle de máquina virtual da Intel®
(Intel® VMCS Shadowing)2,3 ajuda a proporcionar uma experiência mais
ágil e segura em desktops virtualizados. A Intel® VMCS Shadowing
proporciona segurança avançada e flexibilidade de modelo de
computação, permitindo maior controle e separação de partições de
ambientes operacionais como áreas do usuário e gerenciadas pela TI.
3
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
Segurança embarcada
auxiliada por hardware
Desafios de segurança crescentes da TI
Diferentes das ameaças de antigamente, os ataques atuais infiltram-se
profundamente no sistema. Essas ameaças utilizam técnicas de
dissimulação, permitindo que penetrem sob o sistema operacional
(SO), tornando-se difíceis de detectar e mais difíceis de combater.
Os códigos ficam à espera, fora da vista e do alcance dos agentes de
software e do SO, até a hora de atacar e se reproduzir de uma maneira
que os torna difíceis de encontrar. Eles frequentemente visam atividades específicas, como espionagem corporativa, minando as operações,
expondo dados secretos, pirataria com fins políticos, roubo financeiro, etc.
A patologia de malware da Stuxnet e a toolkit fornecida pela Zeus
ilustram como essas ameaças se tornaram sofisticadas e com é fácil
criar bugs ocultos e onerosos. Esses são os tipos de novas ameaças à
segurança da TI. E, de acordo com os especialistas em segurança da
McAfee, as empresas podem esperar que esses tipos de ataque
ocorram mais frequentemente7.
Estratégias de proteção –
Segurança sob e além do SO
A realidade das ameaças atuais é que um software muito inteligente
pode encontrar vulnerabilidades e invadir onde é difícil para as
ferramentas de detecção de vírus alcançá-los e removê-los. A
superação desses códigos requer soluções baseadas em hardware
que complementem – e até auxiliem – o software sofisticado de
detecção de vírus e segurança que funciona sob e além do SO,
detectando e detendo ameaças à medida que elas tentam aproveitar
uma vulnerabilidade (Figura 1).
A proteção contra ataques requer uma estratégia sólida em todas as
frentes contra o que vier. Ela inclui o seguinte:
Redução das ameaças – Não apenas identificando e detendo códigosinsidiosos detectáveis com a utilização de software de detecção e
remoção, mas protegendo as vulnerabilidades onde elas oferecem
encontradas, especialmente sob e além dos sistemas operacionais.
Identificação e proteção de acesso – Assegurando que os usuários
são quem dizem ser e não um malware impostor utilizando uma
identidade roubada.
Proteção de dados – Protegendo contra os danos causados por
roubos de dados e dispositivos e oferecendo o mais alto nível de
criptografia.
Monitoramento e reparos – Prevenindo e reduzindo as ameaças
através do conhecimento e bloqueio de vulnerabilidades antes que um
malware as encontre e reduzindo os custos e os desafios da prevenir e
recuperar após um ataque.
Computadores para o mercado corporativo
com segurança integrada
Os PCs para o segmento corporativo baseados em processadores da
Intel® possuem tecnologias de segurança integradas no silício do
processador, no hardware da plataforma e no firmware – sob o sistema
operacional (Figura 2). As tecnologias da Intel®, o software da McAfee*
e as ferramentas integradas ajudam a detectar ameaças baseadas em
software, desviar e prevenir roubos de identidade antes que aconteçam, fortalecer uma forte criptografia e conter os custos do roubo
físico – até ajudando a recuperar notebooks perdidos. Além de
oferecer um alto nível de segurança, as tecnologias da Intel® também
não constituem processos complicados que impactam a produtividade
do usuário. Elas oferecem segurança com simplicidade.
Software antivírus / de segurança
Sistema operacional
Redução
de ameaças
Proteção de
identidade / acesso
Agentes de segurança auxiliados por hardware
Dispositivo de gerenciamento da Tecnologia Intel® vPro™
Monitoramento de
segurança /
gerenciamento /
relatórios
Proteção de dados /
monitoramento de
segurança / reparos
Figura 1. Pilares de segurança da Intel®:
Abordagem holística para proteger a sua empresa.
Processadores da Intel® para computadores de empresas
I/O
Silício da Intel®
Memória
Disco
Rede
Display
Outros softwares
Software de
segurança de terceiros
Figura 2. Segurança integrada em nível de hardware da Intel®.
4
Hardware
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
Redução de ameaças
A fonte de todos os males e outros malwares
Os criminosos sofisticados atualmente utilizam rootkits, conhecimento
de vulnerabilidades de dia zero e injeção de vírus na memória do
aplicativo para ocultar seu código malicioso da visão e do alcance do
antivírus. Como não é detectado, ele pode ser executado pelo SO,
embarcado em um ambiente virtual ou ativado despercebidamente
durante os processos de aplicativos normais.
As tecnologias de redução de ameaças da Intel® protegem contra
esses ataques, com as seguintes capacidades embarcadas no silício:
• Proporcionando uma base segura de
confiança para ambientes virtuais.
• Capacitando a segurança desde o início com
suporte para inicialização segura do Windows 8*.
• Protegendo contra malwares que utilizam
ataques de escala de privilégios.
• Funcionando sob o SO com tecnologias e estratégias
para ajudar a proteger contra invasões de malware
utilizando a Tecnologia McAfee DeepSAFE*.
Protegendo os domínios virtuais
Novos modelos de distribuição de serviços, como a computação
baseada em nuvem e desktops virtuais, apresentam novos desafios
para as equipes de TI. Códigos não detectados que conseguem se
infiltrar em uma máquina virtual (VM) assim que é ativada, comprometem todo o ambiente para os usuários que estão ligados a ele, seja um
desktop virtual de um único usuário ou todo um serviço. As tecnologias de segurança embarcadas da Intel, incluindo novos aplicativos
para a Tecnologia Intel® Virtualization2 (Intel® VT), ajudam a proteger
os ambientes físicos e virtuais, no nível de distribuição de serviços e
para computadores individuais virtualizados.
A Tecnologia Intel® Trusted Execution8 (Intel® TXT) estabelece uma
base de confiança em hardware para VMs que estão sendo ativadas
em um host. A Intel® TXT examina um ambiente de hospedagem
conhecido como bom e armazena suas condições e estados como uma
base de confiança. Sempre que o sistema host inicializa, a Intel® TXT
valida o comportamento dos principais componentes em relação aos
exames que os classificaram como conhecidos como bons e inicializará
as VMs somente se o ambiente for confiável. Depois de ativada, a
Intel® TXT isola as partições de memórias atribuídas de outros
softwares do sistema, mantendo ataques potenciais fora do host ou
de outros ambientes de VM. Quando um aplicativo ou a VM é fechado,
a Intel® TXT fecha o software sem expor os seus dados a outros
aplicativos ou ao ambiente limpando o espaço da memória. Como a
Intel® TXT é baseada em tecnologia habilitada por hardware, ela
protege os ambientes físicos e virtuais contra malware e rootkits que
tentam corromper o software do computador.
A Tecnologia Intel® Virtualization tem sido um recurso de confiança
para várias gerações de processadores da Intel®, melhorando a
robustez e o desempenho do ambiente virtual. A Intel® VT também
proporciona proteção de segurança específica de dois aspectos da
Intel® VT: Intel® VT-x e Intel® VT-d.
• A Intel® VT-x isola cada ambiente de execução de VM e monitora
a memória, assim o malware existente ou que tente invadir um
ambiente de VM não pode afetar outra VM no mesmo host.
• A Intel® VT-d isola os dispositivos de memória, seus espaços de
memória e os endereços virtuais. Os ataques utilizando acessos de
DMA são impedidos porque a ameaça não tem acesso direto à
memória do dispositivo.
Inicialização segura
O Windows 8* adiciona um novo nível de proteção da inicialização do
computador à inicialização do SO e os processadores da Intel® para
computadores de empresas suportam a inicialização segura para uma
ampla gama de plataformas com múltiplas tecnologias.
• Os computadores de empresas baseados na 4ª. geração de
processadores Intel® Core™ vPro™ implementam um módulo de
plataforma confiável (TPM) que suporta a inicialização segura do
Windows 8*.
• Os computadores de empresas baseados nos processadores Intel®
Atom™ incluem a Tecnologia Intel® Platform Trust (Intel® PTT) que
oferece uma tecnologia confiável baseada em firmware para a
inicialização segura do Windows 8* e serviços sempre ativados e
conectados (AOAC).
• Os computadores de empresas baseados na 4ª. geração de
processadores Intel® Core™ sem UEFI pode utilizar a Tecnologia
Intel® Platform Protection com Boot Guard1, uma tecnologia de
inicialização segura sob a proteção do SO.
Mantendo o código no seu lugar
O bit de desativação de execução da Intel®, implementado há várias
gerações de processadores da Intel®, ajudou a proteger milhares de
computadores de empresas contra ataques de estouro de buffer,
impedindo a execução de códigos mal-intencionados na memória de
dados. Entretanto, as ameaças estão se inserindo no espaço de
memória de aplicativos e sendo executadas sob um nível de privilégio
assumido para o aplicativo.
O Intel® OS Guard9, a próxima geração do bit de desativação de
execução da Intel®, protege contra esses ataques de escala de
privilégios impedindo o código mal-intencionado de ser executado no
espaço de memória do aplicativo e memória de dados. Essas proteção
sob o SO protege contra vírus mais sofisticados e contra os danos que
podem causar.
Oferecendo proteção além do SO
O malware frequentemente utiliza rootkits e outros dispositivos para
bloquear o software de proteção no nível de sistema e os agentes de
segurança. Essas ameaças então propagam seu código ou atacam
áreas específicas permanecendo ocultas sob o SO. A Tecnologia
McAfee DeepSAFE desenvolvida em conjunto com a Intel detecta,
bloqueia e repara ataques oculto avançados desde a inicialização até a
operação pelo usuário.
5
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
Identidade e proteção de acesso
Quem é quem?
Segurança baseada em hardware com
conveniência baseada em software
As empresas têm visto um número crescente de ataques direcionados através de brechas na identidade. Para reduzir esses ataques,
elas utilizam credenciais seguras que requerem autenticação para
acessá-las. As credenciais apenas de software são armazenadas em
função do SO e de aplicativos, onde são vulneráveis a roubos e
corrupção por malwares dissimulados e sofisticados. Muitas organizações implantaram códigos em hardware, smartcards ou chaves USB
para reduzir esse risco. Mas o fornecimento, gerenciamento e suporte
dessas soluções podem ser onerosos.
A Intel® IPT armazena códigos de OTP e chaves de certificados no
silício, fora da vista e do acesso do SO e aplicativos. A Intel® IPT ainda
permite fácil cancelamento, substituição e gerenciamento. Os
problemas com a perda de dispositivos de hardware são eliminados. As
chaves são fornecidas somente quando a autenticação apropriada é
fornecida, como uma senha ou PIN.
A Tecnologia Intel® Identity Protection10 (Intel® IPT) é um conjunto de
produtos que oferecem segurança integrada em nível de hardware
para proteger contra o roubo de identidade sem a necessidade de
códigos discretos ou smartcards. A Tecnologia Intel® Identity
Protection oferece a segurança de códigos discretos com a facilidade
de manutenção e as capacidades de rápida resposta às brechas na
segurança resultantes de soluções baseadas em software.
• Protege as chaves de certificados ou credenciais de OTP em silício
fora do alcance de malware, sob o software e o sistema operacional.
Tecnologia Intel® Identity Protection
Os especialistas em segurança concordam - autenticação de único
fator, como senha fixa, não é suficiente. Muitas empresas escolheram
proteger os pontos de acesso, como logins de VPN e portais da Web
ou e-mail seguro e criptografia de documentos, com forte autenticação de dois fatores. As duas formas mais comuns são códigos com
senha de única utilização (OTP) e certificados de infraestrutura de
chave pública (PKI), frequentemente implantados em códigos
discretos ou smartcards, respectivamente.
Essa proteção de identidade baseada em hardware ajuda a reduzir
significativamente ou eliminar a fraude e limita o acesso a redes e
contas protegidas somente a usuários válidos. Entretanto, experiências das empresas e eventos passados destacaram os desafios
dessa opção11:
• As perdas ou esquecimentos das credenciais sobrecarregam os
departamentos de help desk.
• Os códigos, smartcards e software de gerenciamento adicional
podem ser onerosos.
• Recentes violações em lojas de códigos destacaram os custos de
substituição física de códigos e a perda de produtividade enquanto
os usuários esperam pela substituição de códigos. E, embora os
smartcards não sejam tão difíceis de substituir, eles ainda são
vulneráveis a ataques.
Para reduzir os custos associados com a manutenção da segurança
em hardware, algumas soluções armazenam códigos e certificados de
PKI no PC. Eles podem ser facilmente cancelados e substituídos
quando necessário. Entretanto, as soluções baseadas em software
são tipicamente armazenadas em função do SO e aplicativos, onde
enfrentam riscos crescentes de ataques direcionados.
6
A Intel® IPT combina a segurança das soluções baseadas em hardware
com a flexibilidade e as economias de custos do software oferecendo
as seguintes capacidades:
• Impede o acesso às chaves sem autenticação apropriada onde
somente um usuário real pode entrar.
• Oculta a entrada de dados do usuário do SO e aplicativos, como
registros de pressionamentos de teclas e capturas de telas.
Proteção para entradas do usuário
As senhas e PINs de autenticação podem ser capturados por um
registro de pressionamentos de teclas para acessar dados vitais. A
Intel® IPT com display de transação protegida ajuda a eliminar o roubo
de identidade através de registros de pressionamentos de teclas e
capturas de telas, capturando e exibindo as entradas do usuário fora
da vista do SO e dos drivers de dispositivo. Os registros de pressionamentos de teclas e s códigos de leitura do buffer de quadros são
blindados para a atividade do usuário.
Fácil implantação da Intel® IPT com OTP
Muitas empresas escolheram um dos populares fornecedores de
autenticação para implementar suas soluções de OTP. A Intel® ITP com
OTP é suportada por vários desses principais fornecedores. A utilização da Intel® ITP com OTP requer apenas mínimas mudanças nas
implementações atuais, enquanto oferece segurança baseada em
hardware com conveniência baseada em software. À medida que as
empresas migram seus computadores de empresa para PCs baseados
na 4ª. geração de processadores Intel® Core™ vPro™, elas podem utilizar
o mesmo fornecedor de autenticação para fornecer credenciais de
OTP baseadas em hardware para essas máquinas e desativar seus
códigos físicos.
Rápida migração para a Intel® IPT com PKI
Para as empresas que implementam soluções baseadas em certificado
de PKI, a Intel® IPT com PKI simplifica o gerenciamento de certificados
enquanto oferece segurança baseada em hardware. A Intel IPT com
PKI é compatível com a Symantec Managed PKI Solution*. Ela
necessita apenas de mínimas mudanças na implementação atual da
empresa. À medida que as empresas substituem seus PCs por
computadores baseados na 4ª. geração de processadores Intel® Core™
vPro™, elas podem fornecer certificados de PKI baseados em hardware
para essas máquinas utilizando o mesmo fornecedor de autenticação e
desativando os smartcards físicos.
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
Proteção de dados
Permitindo criptografia onipresente
Perdidos, mas não esquecidos
Os dados criptografados são os dados mais seguros. Sem uma
criptografia sólida os ladrões podem facilmente acessar o ativo mais
importante de uma empresa – o seu conhecimento coletivo. A
criptografia permite a uma organização proteger as suas informações
confidenciais utilizando criptografia completa de disco ou seletiva de
arquivo/pasta. Tradicionalmente, entretanto, a criptografia e descriptografia dinâmicas impactariam o desempenho do computador e a
produtividade dos funcionários. Assim, as empresas ficam relutantes
em implantar a criptografia em toda a empresa.
Os dados em notebooks são frequentemente os mais críticos e
difíceis de proteger, mesmo com as mais rígidas políticas de TI para
utilização de portáteis. Os criminosos envolvidos em espionagem
industrial e roubos de segredos comerciais conhecem a vulnerabilidade apresentada pelos dispositivos portáteis.
Todos os dias centenas de notebooks são perdidos em aeroportos ao
redor do mundo – muitos deles com dados altamente vitais. A
Tecnologia Intel® Antirroubo12 (Intel® AT), embarcada na 4ª. geração
de processadores Intel® Core™ vPro™, protege os dados e o notebook
onde eles residem se ele for perdido. Ela pode até permitir que o
computador perdido informe a sua localização. E a Intel® AT permite à
TI restaurar remotamente um notebook quando o sistema é
encontrado e devolvido.
Com a Intel® AT habilitada em um computador de empresas, o
gerenciamento de segurança de TI pode definir uma ameaça para o
dispositivo. A ameaça pode ser uma identidade de login incorreta
inserida por um ladrão, uma identidade de login "falsa" inserida por um
usuário sob coação, ou impedimento para o dispositivo se conectar a
uma rede corporativa para o "check in" periódico. A ameaça faz com
que o sistema de gerenciamento da TI envie uma "pílula de veneno"
ao dispositivo para bloqueá-lo ou faça uma autodesativação sem uma
conexão de rede.
Com a Intel® AT, o bloqueio do sistema inclui o seguinte, tornando o
dispositivo e os dados inúteis:
• Essencialmente embaralha todas as chaves de segurança
embarcadas no dispositivo para que não possam ser utilizadas no
roubo de identidade; mas as chaves podem ser restauradas pela TI.
• Impede o acesso ao drive de disco e a descriptografia de dados,
incluindo drives de disco de autocriptografia, mesmo se o drive
estiver instalado em outro dispositivo.
• Desabilita o acesso a quaisquer funções da plataforma depois de
ligada, mesmo se um novo drive estiver instalado no computador.
• Se o dispositivo incluir conectividade de rede 3G, ele pode enviar
sua própria localização por GPS ao departamento de TI.
Se o sistema for finalmente recuperado, ele pode ser restaurado para
a condição de trabalho – até remotamente pela TI – com o simples
contato do usuário com a equipe de TI fornecendo a autenticação
apropriada. Os técnicos podem restaurar as chaves de identidade e
desbloquear o sistema, colocando-o em funcionamento novamente
em minutos ao invés de em horas ou dias.
As tecnologias de segurança integradas baseadas em hardware da
Intel protegem os dados e notebooks em trânsito onde quer que
estejam localizados.
Os algoritmos do padrão avançado de criptografia são amplamente
utilizados nos processos de criptografia/descriptografia em sistemas
operacionais e software de segurança. O Padrão avançado de
criptografia da Intel® - Novas instruções13 (AES-NI) inclui sete novas
instruções de processador que aceleram a criptografia e a descriptografia até quatro vezes mais rapidamente em aplicativos otimizados
para o Intel® AES-NI como o McAfee Endpoint Encryption*. Quando um
produto criptografado otimizado é empregado, os usuários evitam
uma "sobrecarga de produtividade/desempenho" com o AES-NI,
permitindo às empresas empregar criptografia onipresente na
empresa nos computadores baseados na 4ª. geração de processadores
Intel® Core™ vPro™.
Agora é possível simultaneamente tornar os dados mais seguros e
manter os funcionários produtivos.
Números realmente aleatórios
A criptografia segura e protegida começa com um gerador de números
aleatórios, tipicamente fornecido por um gerador de números
pseudoaleatórios no computador. Números de maior qualidade são
menos previsíveis e proporcionam melhor segurança. E quanto mais
protegido o número estiver durante a geração, mais segura é a
criptografia. Os números armazenados na memória durante a geração
estão eventualmente em risco por malware sofisticado.
A Intel® Secure Key14 com RdSeed 2.0 propicia uma fonte muito rápida
e limpa de números aleatórios através da geração em hardware, fora
da vista do malware. O gerador de números aleatórios digitais
fechados reside no encapsulamento do processador tornando-o
independente do chipset.
A Intel® Secure Key é:
• Compatível com padrões (NIST SP 800-90B e 800-90C) e NIST
FIPS 140-2 nível 2 certificado.
• Facilmente acessível para todos os aplicativos e qualquer nível de
privilégio utilizando uma nova instrução de processador.
• Um sistema fechado – o estado do sistema nunca é visto, nunca é
colocado na memória e nunca é "armazenado em nenhum lugar".
7
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
Qualquer aplicativo pode se beneficiar da Intel® Secure Key,
incluindo os seguintes:
• ISVs de segurança que emitem certificados
• Navegadores da Web seguros com links de segurança SSL
• Fornecedores de criptografia de dados
Monitoramento e prevenção
Todos os computadores de empresas baseados na 4ª. geração do
processador Intel® Core™ vPro™ mantêm um alto nível de consciência
situacional com proteção de BIOS, constante monitoramento da
situação, inventários de hardware e software e respostas apropriadas
a quaisquer irregularidades detectadas.
• Sistemas operacionais
A Intel® Secure Key aprofunda a proteção de criptografia sem
impactar o desempenho.
Monitoramento e reparos seguros
com a Tecnologia Intel® vPro™
Detectar uma ameaça, notificar o sistema de gerenciamento da TI
sobre isso e restaurar os dados e a produtividade do usuário podem
representar um processo oneroso que consome tempo. Quanto mais
o tempo passa, maior o custo potencial da ameaça.
As tecnologias de segurança embarcadas da Intel® e a Tecnologia Intel®
Active Management15 (Intel® AMT) podem ajudar a maximizar a
conscientização, controle e resposta da TI, enquanto minimizam os
custos de reparos e gerenciamento. Essas tecnologias fazem parte dos
computadores de empresas baseados na 4ª. geração da família de
processadores Intel® Core™ vPro™, permitindo as seguintes capacidades:
• Em notebooks, detecção e bloqueio automáticos de ameaças –
algumas vezes mesmo antes de o usuário perceber – relatórios de
ameaças e reparos remotos quando o dispositivo é recuperado.
• Inventário remoto de hardware e software para assegurar que
todos os softwares de segurança e bancos de dados estejam
atualizados.
• Downloads automáticos para o computador e atualizações de
software crítico, mesmo fora do horário normal de trabalho, esteja
ou não ligado o sistema16.
• Detecção automática de agentes de segurança críticos funcionando e notificações quando se encontrarem perdidos ou desativados.
• Filtragem automática de tráfego de rede e desconexão em
resposta a uma ameaça.
• Acesos remoto aos computadores de empresa, com controle
completo sobre o sistema como se o técnico estivesse sentado em
frente a eles.
Monitoramento de todo o sistema
Para uma rápida resposta para detectar ameaças, os computadores de
empresas baseados na 4ª. geração de processadores Intel® Core™
permitem monitoramento automático e reparos com a utilização de
aplicativos de segurança para empresas da McAfee. A TI podem
aproveitar as capacidades integradas e o software da McAfee para
detectar e tratar uma ameaça rapidamente. As plataformas baseadas
na 4ª. geração do processador Intel® Core™ vPro™ combinadas com o
McAfee ePolicy Orchestrator*, McAfee Deep Command* e McAfee
Risk Advisor* permitem à TI reduzir os custos de operações e
permitem um gerenciamento abrangente de redes empresariais e
segurança de terminais.
8
Proteção para o BIOS
Ameaças muito sofisticadas estão surgindo ao redor do globo e nos
BIOS de PCs, corrompendo o núcleo do processo de inicialização. A
Tecnologia Intel® Platform Protection com BIOS Guard1 ajuda a
proteger os computadores de empresas contra corrupção do BIOS por
mudanças no BIOS sem sinalização e autorização apropriada.
A prevenção é melhor do que o reparo
Detectar e evitar riscos potenciais é mais fácil e menos oneroso do
que reparar um risco real. É por isso que os computadores de
empresas com a 4ª. geração de processadores Intel® Core™ passam
por inventários periódicos de hardware e software, monitoram sua
própria situação e informam irregularidades.
Esses computadores de empresas mantêm registros na memória não
volátil de todas as atividades e condições não monitoradas onde a
equipe de TI – ou o console automatizado – pode recuperar as
informações. Os inventários de software podem ser verificados quanto
á atualização e risco e as atualizações automáticas são programadas de
acordo – imediatamente para alto risco ou fora do horário de trabalho
para aplicativos de menor risco. O firmware com risco conhecido pode
ser remotamente atualizado e o hardware pode ser marcado para
atualizações ou substituição quando necessário. A prevenção reduz os
custos e o conhecimento dos recursos de todos os PCs permite à TI
tomar decisões inteligentes eficientes e informadas sobre como
gerenciar o seu conjunto de computadores de empresas.
Vigilância constante – Monitoramento automático
e relatórios de presença de agentes críticos
Alguns sistemas de gerenciamento central de TI pesquisam computadores remotos na rede para verificar a presença de agentes de
segurança críticos funcionando, como antivírus e software de
criptografia. Tipicamente, os agentes estão presentes e ativos,
significando que nenhuma ameaça foi detectada, mas a prospecção
utiliza largura de banda de rede valiosa para um relatório positivo. Um
monitoramento crítico é interrompido se uma conexão de rede estiver
indisponível como quando um notebook está se movendo.
Os computadores de empresas com a Intel® AMT contém agentes de
autopesquisa embarcados no sistema; esses agentes monitoram e
registram a presença de software crítico. Os resultados de todas as
pesquisas são armazenados no sistema em memória não volátil para
acesso remoto a qualquer tempo pela TI.
Se o software necessário não relatar corretamente, a Intel® AMT
pode contatar o console de gerenciamento para notificar a TI e
responder de acordo com as políticas de TI. Fazendo o automonitoramento ao invés de responde r às pesquisas de rede, o computador
está continuamente protegido, independentemente do acesso à rede
e não utiliza largura de banda quando o sistema está operando
normalmente. O monitoramento automatizado sem a intervenção
direta da TI resulta em melhor proteção com menor custo.
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
Contendo contágios – Monitoramento
de rede e resposta automáticos
Permanecendo no lugar – Minimizando custos
através do aprimoramento do controle remoto
Os computadores de empresas baseados na 4ª. geração de processadores Intel® Core™ vPro™ protegem-se contra vários tipos de vetores
de intrusão, incluindo monitoramento do tráfego de rede. Esse nível
de monitoramento e proteção é realizado no hardware pelo adaptador
de rede, não pelo software que está funcionando, o qual pode ser
potencialmente corrompido.
As chamadas locais e do centro de serviços podem absorver a maior
parte do orçamento da TI. Quando uma visita é resultado de uma
ameaça ativa, os custos já estão acumulados. O reparo remoto
minimiza os custos relativos a visitas e ajuda a retornar um funcionário
rapidamente à produtividade.
A TI pode definir filtros de rede que disparam uma resposta de
segurança para proteger os recursos do computador e corporativos na
rede. A detecção de ameaças na rede inclui os seguintes métodos:
• O tipo de tráfego que passa pelo adaptador de rede para proteger
contra ameaças embarcadas nos dados.
• A taxa de atividade (computadores desktop) para proteger contra
ataques de negação de serviço distribuída (DDoS).
Quando o sistema detecta uma ameaça, ele imediatamente responde
isolando-se da rede para prevenir a propagação de um contágio ou
participação em um ataque de DDoS. A desconexão de rede é
realizada pelo adaptador de rede, não pela estrutura de rede do
sistema operacional, para assegurar que o isolamento esteja protegido em hardware, além do alcance de malware dissimulado potencialmente invasor.
O canal de reparos fora de banda continua aberto para a TI gerenciar
remotamente o sistema e restaurá-lo para serviço.
Gerenciamento e automação
Simplifique e acelere a ativação
A Intel® AMT com controle remoto de KVM aprimorado17 coloca a
equipe de TI no controle – literalmente – com total controle remoto de
um computador de empresas para permitir as seguintes capacidades:
• Inicialização remota/redirecionada – inicialize para um estado
limpo ou redirecione o dispositivo de inicialização para um local
limpo ou imagem remota, um diagnóstico ou servidor de reparo, ou
outro dispositivo.
• Redirecionamento de console de Serial sobre LAN (SOL) para
controlar o teclado fora do SO para a realização de tarefas como
edição de configurações do BIOS do centro de serviços – sem a
participação do usuário.
• Acesse as informações de ativos a qualquer hora para
identificar componentes de hardware perdidos ou falhos e verificar
as informações de versão de software.
• Guie um PC através de uma sessão de identificação e solução
de problemas sem a participação do usuário – mesmo para
problemas complexos como problemas de BIOS, telas azuis,
congelamentos, falhas de correção de software e outros problemas
de software periférico.
• Veja como o BIOS, drivers e SO tentam carregar para
identificar problemas com o processo de inicialização.
Depois que os PCs são implantados, a ativação de quaisquer serviços
de gerenciamento e segurança que não estão rodando podem ser
ativados em minutos. A versão mais recente do Intel® Setup and
Configuration Software permite à equipe de TI configurar rapidamente os serviços para que a empresa e os usuários obtenham benefícios
totais imediatos da segurança embarcada, gerenciamento remoto e
desempenho. Você pode encontrar mais informações sobre a
configuração no site da Intel em www.intel.com/go/scs.
• Atualize as configurações do BIOS, identifique as versões do
BIOS ou envie uma nova versão do BIOS para o PC para solucionar
um problema particular.
As tecnologias embarcadas nos computadores de empresas utilizando
a 4ª. geração de processadores Intel® Core™ vPro™ proporcionam uma
solução para todo o sistema que se estende em toda a infraestrutura
de TI para permitir segurança, gerenciamento e economias de energia.
A configuração e implantação da solução está além do escopo deste
documento. Para obter mais informações sobre a implementação de
serviços de gerenciamento e segurança, consulte
www.intel.com/go/vpro.
• Restaure um SO enviando novas cópias dos arquivos perdidos
ou corrompidos como arquivos .DLL.
• Envie o logo de evento contínuo da memória não volátil para
identificar a sequência de eventos (como picos de temperatura ou
download de software não autorizado) que ocorreram antes de o
sistema falhar.
• Recrie ou atualize o SO ou recrie totalmente a imagem do disco
rígido remotamente.
• Escolha o seu estilo de trabalho. O controle remoto KVM
suporta até três monitores com resolução de até 2560x1600 e
está disponível em 27 idiomas.
As tecnologias baseadas em hardware ajudam a automatizar e
simplificar a proteção e os reparos, reduzindo os custos.
9
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
Conclusão
Embora as ameaças atuais utilizem novas técnicas de dissimulação
para ataques direcionados em empresas e organizações, as plataformas de empresas baseadas em processadores da Intel® para computadores de empresas ajudam a bloquear essas ameaças com tecnologias
de segurança integradas baseadas em hardware. Essas tecnologias da
Intel® funcionam sob o SO e oferecem assistência em hardware para
agentes de segurança avançados além do SO.
• O Intel® OS Guard, Intel® TXT e Intel® VT ajudam a TI a gerenciar
ameaças impedindo a invasão do malware sob o SO.
• A Intel® PTT e a Tecnologia Intel® Platform Protection com Boot
Guard suportam inicialização segura do Windows 8* para um
ambiente seguro antes do carregamento do SO.
• A Intel IPT com PKI, Intel IPT com OPT e Intel IPT com display de
transação protegida ajudam a prevenir o roubo de identidade com a
utilização de segurança baseada em hardware com resposta
baseada em software e para conveniência e reparos.
• O Intel® AES-NI e Intel® Secure Key permitem criptografias mais
seguras e mais rápidas.
• A Intel® AT protege os dados quando o dispositivo está em
trânsito.
• A Tecnologia Intel® vPro™ ajuda a reduzir os esforços e os custos
de prevenção de ameaças e reparos.
Todas essas tecnologias integradas, disponíveis somente em sistemas
baseados em processadores da Intel® para computadores de empresas, ajudam a manter as empresas e seus dados mais seguros
protegendo os dados e as redes contra as avançadas e contínuas
ameaças atuais e ataques direcionados.
Para obter mais informações, consulte
www.intel.com/vpro
10
Documentação técnica: Processadores da Intel® para computadores voltados para o segmento corporativo
1 Nenhum sistema de computação pode oferecer segurança absoluta sob todas as condições. Os recursos de segurança integrados disponíveis em processadores Intel® Core™ selecionados podem requerer software, hardware, serviços
adicionais e/ou uma conexão à Internet. Os resultados podem variar dependendo da configuração. Consulte o seu fabricante de PC para obter mais detalhes. Para obter informações adicionais, visite www.intel.com/technology/security.
2 A Tecnologia Intel® Virtualization requer um sistema de computação com um processador, BIOS e monitor de máquina virtual (VMM) habilitados. Os benefícios de funcionalidade, desempenho ou outros vão variar dependendo das
configurações de hardware e software. Os aplicativos podem não ser compatíveis com todos os sistemas operacionais. Consulte o seu fabricante de PC. Para obter mais informações, visite http://www.intel.com/go/virtualization.
3 A Tecnologia Intel® vPro™ é sofisticada e requer instalação e configuração. A disponibilidade de recursos e os resultados dependerão da instalação e configuração do seu hardware, software e ambiente de TI. Para saber mais, visite:
http://www.intel.
com/technology/vpro/.
4 A Tecnologia Intel® Rapid Start requer um processador Intel® selecionado, atualização de software e BIOS da Intel® e Drive Intel® Solid-State (SSD). Dependendo da sua configuração de sistema, seus resultados podem variar. Contate
o seu fabricante de sistemas para obter mais informações.
5 A Tecnologia Intel® Rapid Start faz a transição de um sistema que esteja na condição de hibernação ou standby, na condição de energia S3 que mantém a memória e outros componentes funcionando, para um estado de energia em
hardware que não faz isso, um estado de energia S4. Consulte as especificações do fabricante para ver informações específicas sobre o sistema.
6 Requer a 3ª. ou 4ª. geração do processador Intel® Core™, software da Intel® e BIOS de OEM, adaptador de comunicações sem fios da Intel® e conectividade da Internet. Drive solid-state (SSD) ou equivalente pode ser requerido.
Dependendo da configuração do sistema, os seus resultados podem variar. Contate o seu fabricante de sistemas para obter mais informações.
7 "2012 Threats Predictions", relatório da McAfee Labs; http://www.mcafee.com/us/resources/reports/rp-threat-predictions-2012.pdf
8 Nenhum sistema de computação pode oferecer segurança absoluta sob todas as condições. A Tecnologia Intel® Trusted Execution (Intel® TXT) requer um sistema de computação com a Tecnologia Intel® Virtualization, um processador
habilitado para a Intel® TXT, chipset, BIOS, Módulos de Códigos Autenticados e um ambiente de inicialização medido (MLE) compatível com a Intel® TXT. A Intel® TXT também requer que o sistema contenha um TPM v1.s. Para obter
mais informações, consulte http://www.intel.com/technology/security.
9 Nenhum sistema pode oferecer segurança absoluta. Requer um sistema habilitado para o Intel® OS Guard com a 4ª. geração do processador Intel® Core™ vPro™ e um sistema operacional habilitado. Consulte o seu fabricante de
sistemas para obter mais informações.
10 Nenhum sistema pode oferecer segurança absoluta sob todas as condições. Requer um sistema habilitado para a Tecnologia Intel® Identity Protection, incluindo a 2ª., 3ª. ou 4ª. geração do processador Intel® Core™, chipset, firmware
e software habilitados e site participante. Consulte o seu fabricante de sistemas. A Intel não assume nenhuma responsabilidade por dados e/ou sistemas perdidos ou roubados ou por quaisquer danos resultantes. Para obter mais
informações, visite http://ipt.intel.com.
11 "Chinese hackers target smart cards to grab US defense data;", pela Techspot. http://www.techspot.com/news/47053-chinese-hackers-target-smart-cards-to-grab-us-defense-data.html.
12 Nenhum sistema pode oferecer segurança absoluta sob todas as condições. Requer um chipset, BIOS, firmware e software habilitados e uma assinatura junto a um fornecedor de serviços capaz. Consulte o seu fabricante de sistemas
e fornecedor de serviços sobre disponibilidade e funcionalidade. A Intel não assume nenhuma responsabilidade por dados e/ou sistemas perdidos ou roubados ou por quaisquer outros danos resultantes. Para obter mais informações,
visite http://www.intel.com/go/anti-theft.
13 O Padrão avançado de criptografia da Intel® - Novas instruções (AES-NI) requer um sistema de computação com um processador habilitado para o AES-NI e um software não produzido pela Intel para executar as instruções na sequência
correta. O AES-NI está disponível em processadores Intel® Core™ selecionados. Para obter informações sobre disponibilidade, consulte o seu fabricante de sistemas. Para obter informações adicionais, consulte
http:///software.intel.com/en-us/articles/intel-advanced-encryption-standard-instructions-aes-ni
14 Nenhum sistema pode oferecer segurança absoluta. Requer um PC habilitado para a Intel® Secure Key com a 4ª. geração do processador Intel® Core™ vPro™ e software otimizado para suportar a Intel® Secure Key. Consulte o seu
fabricante de sistemas para obter mais informações.
15 Os recursos de segurança habilitados pela Tecnologia Intel® Active Management (AMT) requerem um chip habilitado, hardware e software de rede e uma conexão de rede corporativa. A Intel® AMT pode estar indisponível ou certas
capacidades podem ser limitadas em uma VPN baseada em SO host, em conexão sem fios, em energia de bateria, em standby, em hibernação ou quando os equipamentos estão desligados. A instalação requer configuração e pode
requerer scripting com o console de gerenciamento ou integração adicional nas estruturas de segurança existentes, e modificações ou implementações de novos processos na empresa. Para obter mais informações, consulte
http://www.intel.com/technology/manage/iamt.
16 Sistemas que utilizam o Acesso remoto iniciado pelo computador (CIRA) requerem conectividade de LAN com ou sem fios e podem não estar disponíveis em hotspots públicos ou locais de "clicar para aceitar".
17 O controle remoto KVM (teclado, vídeo, mouse) está disponível somente em processadores Intel® Core™ i5 vPro™ e processadores Intel® Core™ i7 vPro™ com gráficos ativos do processador. Gráficos discretos não são suportados
AS INFORMAÇÕES CONSTANTES DESTE DOCUMENTO SÃO FORNECIDAS EM CONEXÃO COM OS PRODUTOS DA INTEL®. NENHUMA LICENÇA, EXPRESSA OU IMPLÍCITA, POR FORÇA LEGAL OU DE OUTRA MANEIRA,
PARA QUAISQUER DIREITOS DE PROPRIEDADE INTELECTUAL, É CONCEDIDA ATRAVÉS DESTE DOCUMENTO. EXCETO SE CONSTANTE DOS TERMOS E CONDIÇÕES DA INTEL® PARA VENDA DESSES PRODUTOS, A
INTEL NÃO ASSUME NENHUMA RESPONSABILIDADE, QUALQUER QUE SEJA, E A INTEL NEGA QUALQUER GARANTIA EXPRESSA OU IMPLÍCITA RELATIVA À VENDA E/OU UTILIZAÇÃO DE PRODUTOS DA INTEL,
INCLUINDO RESPONSABILIDADE OU GARANTIAS RELATIVAS À ADEQUAÇÃO PARA UM PROPÓSITO PARTICULAR, COMERCIALIZAÇÃO, OU VIOLAÇÃO DE QUALQUER PATENTE, DIREITOS AUTORAIS OU OUTROS
DIREITOS DE PROPRIEDADE INTELECTUAL. A MENOS QUE TENHA A CONCORDÂNCIA POR ESCRITO DA INTEL® OS SEUS PRODUTOS NÃO SÃO PROJETADOS NEM SE DESTINAM A QUALQUER APLICAÇÃO ONDE A
FALHA DO PRODUTO DA INTEL® PODE CRIAR UMA SITUAÇÃO EM QUE POSSA OCORRER DANOS PESSOAIS OU MORTE.
A Intel pode fazer mudanças nas especificações e descrições de produtos a qualquer tempo sem aviso prévio. Os projetistas não devem confiar na falta de características de quaisquer recursos ou instruções marcados como "reservado"
ou "indefinido".
A Intel reserva estes para futura definição e não terá nenhuma responsabilidade, qualquer que seja, por conflitos ou incompatibilidades surgidas de futuras mudanças neles. As informações aqui constantes estão sujeitas a mudanças
sem aviso prévio.
Não conclua um projeto com estas informações.
Os produtos descritos neste documento podem conter defeitos ou erros de design conhecidos como errata que podem fazer com que os produtos sejam diferentes das especificações publicadas. Erratas atuais caracterizadas estão
disponíveis sob pedido. Contate o seu escritório local de vendas da Intel ou o seu distribuidor para obter as especificações mais recentes e antes de fazer o seu pedido de produto. Cópias de documentos que têm um número de pedido
e são referenciados neste documento ou outras publicações da Intel podem ser obtidos ligando-se para 1-800-548-4725 ou acessando o site da Intel em www.intel.com.
11
Copyright © 2013 Intel Corporation. Todos os direitos reservados. Intel, o logotipo Intel,
Intel Core, Intel vPro, Intel Atom, Atom Inside, Ultrabook e Core Inside são marcas
registradas da Intel Corporation nos Estados Unidos e em outros países.
*Os outros nomes e marcas podem ser considerados como propriedade de terceiros.