白皮书
英特尔ITIT最佳实践云计算和互联计算2012年6月
云中客户端感知服务
基于之前的技术探索和已开发的客户端和云之间工作负载分配的用例,我们现在正实施支持互联计算和企业私有云工作的基础
客户端感知服务。
执行概述 英特尔IT正在转变我们的应用交付模式,让后端云和前端客户端可以协同工作,以支持日益增多的操作系统、设备和计算模式组合。
我们的目标是支持用户使用互联计算的广泛设备,无缝安全地访问基于云的企业和个人应用与服务。
那些可以识别并利用客户端功能的应用可以将此愿景变为现实。
基于之前在技术方面的探索和已开发与客户端和云之间工作负载分配的用例,我们现在正实施下列支持互联计算和企业私有云工作的基础客户端感知服务: •安全服务。
基于恶意软件防范、设备管理和内容保护,处理不同设备的独立级别访问。
•内容同步服务。
将设备和云之间的内容设置和状态同步,可从任何地方使 用计算功能。
通过内容共享,也可支持最终用户协作。
•业务应用服务。
跨平台创建并使用可访问企业传统后端服务的强劲、安全、环境感知和设备感知型应用。
这些基础服务把客户端和云连到一起,并充分利用二者的优势。
OmerBen-Shalom英特尔IT首席高级工程师 ChuckBrown英特尔架构事业部新兴计算实验室总监 JohnDunlop英特尔IT企业架构师 目录 执行概述................................................1背景..........................................................2解决方案................................................2 安全服务....................................................3内容同步服务..........................................5业务应用服务..........................................6总结..........................................................7了解更多信息......................................7缩写词....................................................8 IT@Intel IT@Intel计划将全球各地的IT专业人员及其在我们机构中的同仁紧密联系在一起,共同分享经验教训、方法和战略。
我们的目标十分简单:分享英特尔IT创造业务价值使之成为IT竞争优势的最佳实践。
如欲了解更多信息,请访问/IT或联系您当地的英特尔代表。
背景 我们在开发客户端感知企业私有云时遇到的最大挑战,就是要解决日益增多的操作系统、设备和计算模式所带来的多元化和复杂程度。
英特尔IT的企业私有云环境部署在位于世界各地的数据中心,而80%业务新应用都部署在云中。
我们改造企业安全架构,不但可以支持广泛的设备和应用交付模式,并同时保护英特尔的关键资产。
当过渡到云中心的应用交付模式时,我们专注于提供最佳的用户体验。
应用需要识别客户端并利用功能来改善用户体验,同时支持IT维护信息安全和增强管理,从而履行法律义务和保护用户的隐私。
为此,我们一直在调查客户端感知技术,如移动应用框架、富互联网应用(richapplications,简称RIA)和工作负载转移。
这类技术帮助支持云的中央工作区管理以及跨设备的最佳用户体验。
我们还确定了几个与客户端和云之间工作负载分配相关的用例。
•即时协作。
从任何一台笔记本电脑、智能手机或平板电脑,轻松启动音频、视 频和数据会议与一个或多个团队成员就内容方面协作。
•在各种工作区的适应。
按环境动态使用多份个性化的配置。
无论员工身处工作场所或家里,还是在出差旅途中,设置、外观和服务均能满足员工的需求。
•业务助理。
充分按用户所在和设备环境,为员工提供不同类型的帮助。
举个例,当员工出差到一个陌生的英特尔办公地点时,能快速找到企业在当地的可用资源,例如会议室、打印机或工作站。
随着对多个客户端感知技术和其他企业用例的了解,我们下一步就是实施可支持广泛设备访问基于云的应用的客户端感知服务。
解决方案 我们致力于实施支持后端云和前端客户端协同工作的基础功能。
这些功能将形成包含设备和云元素的平台即服务。
我们确定了三项客户端感知服务,如图1所示,这些服务对实施客户端感知云至关重要。
安全服务 为员工设备配置设备和用户身份、数据安全和 管理软件 客户端感知云服务 内容同步服务同步设备和云之间的内容和设置 业务应用服务 创建并使用可访问企业传统后端的安全、环境感知 和设备感知型应用 企业就绪型用户设备 采用任何设备工作 对企业服务的无缝访问 图
1.数据安全、内容同步和业务应用服务形成了客户端感知云的基础。
2/IT 云中客户端感知服务IT@lntel白皮书 •安全服务。
建立设备感知信任,提供设备管理和内容保护。
•内容同步服务。
将设备和云之间的内容、设置和状态同步,可从任何地方使用计算功能。
它也为员工协作支持内容共享。
•业务应用服务。
跨平台创建并使用可访问企业传统后端服务的强劲、安全、环境感知和设备感知型应用。
如果没有这些服务,对于企业而言,全力支持IT消费化(IT以用户选择的设备为导向提供服务)并让员工使用各种电子设备无缝访问服务和应用将极具挑战,只能为最终用户提供较差的体验。
这些基础服务把客户端和云连到一起,充分利用二者的优势,可轻松创建在不同操作系统和设备上运行的软件。
我们定义了建立客户端感知云所需的基础功能后,便开始开发这些服务。
由于这些服务尚未在市场上获得供应,我们先选择了融合第三方和定制的解决方案。
安全服务 虽然我们正在实施集中管理云服务,还需要对客户端多了解,这样就可以保护静态数据、使用中的数据和传输中的数据,并区分具有不同功能集的各种设备。
如图2所示,安全服务可解决信任级别、设备的管理和内容保护问题。
确定信任级别在我们的计算环境中,根本不可能为每台设备提供相同的服务。
由于有各种不同的硬件、操作系统和所有权模型;不同级别的控制可使一些设备具有更强的功能,而另一些设备却达不到IT所要求的某些的机密数据最低安全配置水平;只有少数设备能够广泛访问企业数据。
我们基于设备的可信度决定访问控制和授权。
此外,由于有些设备不适合用来运作部分应用,我们亦考虑各种用户界面和屏幕尺寸如何影响设备和应用交互。
因此,不能将用户身份作为确定访问权限的唯一决定因素,我们需要考虑用户、 信息安全服务 信任级别 基于用户、设备和环境,控制对企业数据的访问和执行敏感 操作的能力 设备系统管理控制并保护网络中所有移动设 备的数据和配置设置 内容保护使用内容标记、动态和静态数据保护和数据丢失防护来保护数据 图
2.安全服务支持客户端感知云的方法是保护静态、使用中的和传输中的数据。
英特尔®架构支持客户端感知云 使用英特尔架构和解决方案可提高我们云服务的信息安全。
•配备平台嵌入式非对称令牌的英特尔®身份保护技术提供了内建于处理器的双因素身份验证。
•单次用的密码。
嵌入于平台硬件和固件的密码生成功能独立于操作系统运行。
•Intel®Insider。
提供了额外的可支持安全高清内容数据流的内容保护层。
•英特尔®防盗技术。
允许IT远程禁用丢失或被盗的电脑。
•英特尔®可信执行技术。
提供了基于硬件的安全基础,可为电脑上存储、处理和交换的信息提供更高级别的保护。
•英特尔®云SSO。
凭借基于标准的单点登录、环境感知型强验证和帐户配置和取消配置,英特尔的身份即服务简化了为用户提供数百个软件即服务应用的过程。
/IT3 借助增强的信息安全功能增加能够访问的应用和数据 等同托管全面访问公司数据,与公司台式机或笔记本电脑的访问权限相当•一般应用•内联网•网络共享驱动器•备份与恢复•协作 中级访问目标业务部门或协作应用•内联网(受限)•含附件的电子邮件•特定工作应用 基本访问非常有限的公司数据•日程表•通讯录•过滤的电子邮件 较为机密基于设备为某员工所有的记录•IP语音•薪酬•电话会议预约•会议室预约系统 公共公共服务器上的企业数据•库存•互联网——通过 或过滤网站•出差•开支报告 图
3.在员工使用个人设备办公时,不同的访问级别有助于保护企业数据。
设备、应用、位置和任务执行的环境。
例如,我们可能会限制在某些位置访问机密数据,例如在某些国家、英特尔工厂或办公地点以外)。
我们开发了一种使用受管的用户身份、多因素身份验证和证书服务等技术的安全模型,按用户、设备、应用和位置感知,计算出个人设备的信任程度。
然后,安全模型动态执行该设备的访问策略,即将其分配给适当的安全级别。
如图3所示,每个安全级别对应用和数据支持不同程度的访问和授权。
实施设备管理通过控制和保护网络中所有高度可信的移动设备上的数据和配置设置,移动设备管理(mobiledevicemanagement,简称MDM)可大幅降低支持成本和业务风险,确保至少可以安全交付有限的服务。
使用MDM来维护系统较为经济高效,比如使用正常的映像取代损坏的映像。
MDM也支持远程故障排除及远程设备的锁定和擦除。
一般MDM都是基于软件的。
我们正在探索利用基于英特尔®架构(见侧栏)的设备中内置的硬件功能是否可增强MDM,因为这将有助于提升平台中的信任度。
例如,如果其证书受英特尔®身份保护技术保护,我们便能向MDM解决方案供应的设备分配较高信任得分。
由于某些设备缺乏某些功能或特性,IT无法全面管理它们。
个人设备和公共设备尤其如此。
在信任计算时,要考虑对设备的全面MDM控制的缺失;这会影响容许设备可以访问哪些数据和服务。
在某些情况下,这会导致在不使用MDM的情况下,使用移动应用管理。
增强内容保护我们开发的一个最基础的平台组件,在设备、操作系统和所有权模型呈爆炸式增长的计算环境中作全面数据保护。
维护知识产权保护面临的挑战相当大,特别是因为我们的目标是使数据更容易提供,以便提高用户的工作效率并为在差旅中的用户提供数据。
为了实现这一点,我们正在探索各种技术组合,包括内容标记、数据丢失防护(datalossprevention,简称DLP)以及其它平台感知和网络感知功能。
DLP解决方案可以保护静态数据、使用中的数据和传输中的数据。
它应允许数据所有者来定义在特定设备上用户可以访问哪些数据以及对控制内容存储的位置。
例如,在某些情况下,DLP解决方案可以阻止数据被复制到可移动介质或在某些地方来防止数据被解密。
因此数据必须在传输中加密来保护内容,并根据文件属性、元数据或关键字来应用相应策略来过滤内容,以确保只有授权的人才能访问内容。
为了帮助电子证据发现(eDiscovery),DLP解决方案还应该创建内容源头和去向的资料以供审查。
DLP解决方案配有高级保护功能和执行功能,包括端点安全、网络安全和安全商务智能(businessintelligence,简称BI)以及信任感知策略框架。
端点安全特性包括验证系统的完整、内存保护、系统调用监控和浏览器的安全。
网络安全和安全商务智能特性包括高级传感器网络、增强的网络访问控制以及检测、修复和取证环境。
信任基础包括策略制定和执行、应用网关和防火墙。
4/IT 云中客户端感知服务IT@lntel白皮书 内容同步服务 为了让用户在多个工作区使用物理设备、虚拟机和其它类型容器时拥有一致的体验,只要访问符合安全策略,我们需要随时随地为他们提供企业和个人内容资料。
虽然有些设备可能适合创建和使用内容,而另一些只适合使用内容,我们的长期目标是让用户能够在每个批准的设备上创建并使用批准的内容。
为了达到这个目标,我们需要提供对多个地点的内容和设置的访问,包括设备和云。
如果设备具备加密的存储容器和足够的存储容量,我们可能要在有条件的情况下同步云和设备之间的数据,或直接同步两个设备之间的数据。
在其它情况下,该设备可能无法充分或安全地支持本地内容存储。
在某些情况下,用户可指定本地存储是不必要的或仅在某些情况下是必要的。
这样的话,我们可能容许没有本地存储的设备访问在线内容。
通过支持内容保护和共享的企业安全和扩展,我们的内容同步服务将增加商业价值。
这项服务将配合安全服务DLP功能,保护云中和设备上的知识产权和企业数据,从而履行法律和监管义务。
如图4所示,为了实施功能齐全的内容同步服务,我们需要确定同步哪些内容对象,如何组织它们,确定需要同步的地点并支持共享同步的对象进行协作。
确定同步的内容并组织同步的对象最初,我们的企业内容同步服务将专注于用户文档、媒体文件和用户资料,包括工作区偏好。
我们也将提供一项服务以维持设备间体验一致。
例如,该服务将记住用户查看或更新文档时离开的位置。
我们的目标是根据基于策略的规则和环境同步内容,如图4所示。
示例环境包括工作和家庭,或工作中的各种项目。
要实现同步,我们将内容对象组 织为逻辑内容组(contentgroup)并构建保持内容组独立的功能。
例如,要分开企业和个人的内容组或分开属于特定项目的内容,并让其他人也可使用。
随着时间的推移,我们将开发一种能力,使用元数据来标记内容,超越任何文件系统中与文件相关的一般属性。
这些元数据包括安全分类(例如,“机密”或“公共”)和项目生命周期状态(例如,“批准”或“待定”)。
我们可使用元数据对内容分组同步,并决定哪些内容会被复制到哪些设备以及如何同步。
确定在哪里同步内容组每个内容组可被同步到一个或多个用户工作区。
无论在哪里同步,我们将保持内容组之间的隔离。
如上文所述,我们计划使用富元数据实现这一点,但在短期内,将使用存储库和文件夹结构层级以及更常见的文件属性来定义内容组并确定在哪里同步操作。
内容同步服务 内容组组织根据基于策略的规则和环境, 同步内容对象和状态 工作区同步 将一组内容同步到一个或多个工作区并维持各组内容之 间的隔离 图
4.通过组织同步的对象,进行同步操作和协作,内容同步服务可支持客户端感知云。
协作在任何时间,任何地点,从任何设备与同事共享同步的内容 /IT5 IT@lntel白皮书云中客户端感知服务 在不同的工作区,相同内容对象可能有不同的处理方式。
例如,每个工作区都可能具有不同的在线和离线功能组合、对公有云和私有云的访问和加密的或纯文本存储。
有些内容对象可从一种格式自动转换到另一种更适合设备的格式,以适应工作区。
这是设备感知云服务帮助创建更加无缝的用户体验的另一个例子。
就同步的内容进行协作我们希望支持内容的安全共享,以便用户可以正在使用的任何设备,随时随地与同事联系并协作。
这项功能有助于提高员工的工作效率。
我们建立灵活的基础设施,能最终将服务扩展到外部环境中,如外部协作。
业务应用服务 过去,IT以“一刀切”的方式交付服务。
这种方法在当时已足够了,因为我们只使用一种主要的平台(运行在由IT构建且属于英特尔的电脑上的MicrosoftWindows*操作系统),且只有一种浏览器标准。
然而,随着多种使用不同操作系统,不同外 形和输入方法的计算平台出现,我们需要以更加灵活的方式为各种设备交付适当的服务。
如图5所示,我们设想一种业务应用服务,该服务支持跨平台应用开发,简化云和客户端之间的环境感知连接,并支持为访问基于云服务的设备提供控制和翻译服务的中间件模型。
支持跨平台开发我们正在实施一项基础设施,支持英特尔应用开发人员编写单一版本的企业应用,并允许我们为各种设备交付同一服务或其部分功能。
该基础设施将优化应用交付并提供更一致的跨平台最终用户体验。
为了避免开发只适用于最低标准设备的应用,应用需要具备客户端感知能力。
例如,应用应该能够确定使用设备的方式和地点以及它具有的功能和控制。
我们希望应用开发人员专注于业务逻辑,而不是底层细节。
因此,我们计划提供一致的平台和开发人员经验,尽可能屏蔽以下软硬件的差异: •安全功能(如加密、单点登录和双因素身份验证)可能会因设备不同而有所差异。
•访问一个设备的硬件组件(如全球定位系统、无线电或照相机),有可能异于访问其它设备上的相同组件。
•根据不同的平台,保存设备的状态信息需要不同的操作。
•实施因平台不同而有所差异的通知和推送服务。
•我们设想的应用平台可以让开发人员保持不同设备和状态之间的一致。
它具有一套统一的发现功能,开发人员可将其用于客户端感知交付决策,也可重新使用安全和内容同步服务。
支持环境感知为了提供最佳的用户体验,应用必须能够充分利用特定平台功能。
例如,RIA能在云和客户端设备之间分配处理任务,提高应用的响应速度。
对于RIA,代码下载至客户端设备上并利用RIA软件框架来执行,后者通常基于HTML5。
我们预计,能够发现硬件功能(使用诸如英特尔®Web 业务应用服务 内容感知屏蔽与设备相关的细节,支持开发人员专注于业务逻辑 跨平台开发 动态检测客户端的实时硬件、软件和位置,并提供后端服务使用 网络连接规范后端服务,支持可提供控制和翻译服务的中间件模型 图
5.通过提供跨平台应用开发、客户端感知连接和环境感知功能,业务应用服务可支持客户端感知云。
6/IT 云中客户端感知服务IT@lntel白皮书 API等机制)的客户端感知应用将不断涌现。
我们也在致力于提高基于HTML5和JavaScript*的解决方案的性能。
英特尔目前正投资开发相应的API,支持开发人员编写可从客户端检测实时硬件信息的RIA,例如处理器性能、电池使用时间和网络带宽等。
应用可动态地使用这些信息,同时还消除了针对最低标准开发应用的限制。
我们支持前端应用收集环境信息并将其传递到后端服务,可以定制提供后端服务的方式,以提高用户体验。
总结 我们的企业私有云环境部署在世界各地的数据中心;80%的新业务计算服务亦部署在云中。
但是,随着云服务以及各种平台和IT消费化的增长,用户期望在各种设备中均可使用应用(甚至基于云的应用)并得到优化。
我们正在改变应用交付模式,支持后端云和前端客户端协作,以提供最佳的用户体验。
同时,我们的目标是简化这些跨平台应用的开发和部署,改进开发人员的体验。
我们要让应用轻松访问其所需的业务服务。
为了实现这一点,我们尽可能将后端服务标准化。
例如,将使用许可、计量、记录、身份验证、授权和策略的常见功能。
这支持我们在特定服务器使用中间件模型,它位于隔离区,在设备试图访问内部资源时提供控制和翻译服务。
例如,如果智能手机尝试访问服务,中间件服务器会由于智能手机的小尺寸屏幕限制应用显示的信息量。
但是,如果电脑访问相同的服务,中间件服务器将检测到更大的屏幕并显示更多的信息。
中间件服务器还可以使用情景环境。
例如,使用客户端提供的物理位置及Wi-Fi*网络距离,中间件服务器能够确定设备是在工作场所中使用还是在家庭环境中使用,并相应允许或拒绝访问,或提示需要额外的证书。
基于我们之前对客户端感知云技术的探索和与跨客户端和云工作负载分配相关的若干用例开发,现在正实施三项支持互联计算和企业私有云工作的基础客户端感知服务。
•安全服务将处理设备信任、设备管理和内容保护。
•内容同步服务将设备和云之间的内容设置和状态安全同步,支持在任何地方进行计算,以及内容共享进行协作。
•业务应用服务将帮助开发人员跨平台创建安全、环境感知和设备感知型应用(可访问企业传统后端服务),为用户提供工作所需的强大应用套件。
这些服务充分利用与客户端设备和云相关的独特优势,为支持客户端感知云和云感知客户端提供了基础。
了解更多信息 如欲参阅以下相关主题的白皮书,请访问:/it: •《在桌面虚拟化和云服务领域应用客户端感知技术》 •《支持员工使用私有智能手机工作的最佳实践》 •《采用客户端感知技术支持新兴企业使用》 •《企业计算的未来:为互联计算做好准备》 •《提高个人设备的数据安全和移动计算》 •《允许在企业中使用员工私有手持设备并同时保持信息安全》 •《重新思考信息安全》•“保障实施”(ProtecttoEnable)信息 安全战略(视频) 如欲获得更多有关英特尔IT最佳实践的信息,请访问:/it /IT7 缩写词 Bl 商务智能 DLP数据丢失防护 MDM移动设备管理 RIA富互联网应用 SSO单点登录 本白皮书仅用于参考目的。
本文件以概不保证摂方式提供,英特尔不做任何形式的保证,包括对适销、不侵权,以及适用于特定用途的担保,或任何由建议、规范或范例所产生的任何其它担保。
英特尔不承担因使用本规范相关信息所产生的任何责任,包括对侵犯任何知识产权的责任。
本文不代表英特尔公司或其它机构向任何人明确或隐含地授予任何知识产权。
英特尔和Intel标识是英特尔公司在美国和其他国家(地区)的商标。
*文中涉及的其它名称及商标属于各自持有者。
版权所有©2012英特尔公司。
所有权利保留。
C请注意环保 0612/JGLU/KC/PDF 327471-001
执行概述 英特尔IT正在转变我们的应用交付模式,让后端云和前端客户端可以协同工作,以支持日益增多的操作系统、设备和计算模式组合。
我们的目标是支持用户使用互联计算的广泛设备,无缝安全地访问基于云的企业和个人应用与服务。
那些可以识别并利用客户端功能的应用可以将此愿景变为现实。
基于之前在技术方面的探索和已开发与客户端和云之间工作负载分配的用例,我们现在正实施下列支持互联计算和企业私有云工作的基础客户端感知服务: •安全服务。
基于恶意软件防范、设备管理和内容保护,处理不同设备的独立级别访问。
•内容同步服务。
将设备和云之间的内容设置和状态同步,可从任何地方使 用计算功能。
通过内容共享,也可支持最终用户协作。
•业务应用服务。
跨平台创建并使用可访问企业传统后端服务的强劲、安全、环境感知和设备感知型应用。
这些基础服务把客户端和云连到一起,并充分利用二者的优势。
OmerBen-Shalom英特尔IT首席高级工程师 ChuckBrown英特尔架构事业部新兴计算实验室总监 JohnDunlop英特尔IT企业架构师 目录 执行概述................................................1背景..........................................................2解决方案................................................2 安全服务....................................................3内容同步服务..........................................5业务应用服务..........................................6总结..........................................................7了解更多信息......................................7缩写词....................................................8 IT@Intel IT@Intel计划将全球各地的IT专业人员及其在我们机构中的同仁紧密联系在一起,共同分享经验教训、方法和战略。
我们的目标十分简单:分享英特尔IT创造业务价值使之成为IT竞争优势的最佳实践。
如欲了解更多信息,请访问/IT或联系您当地的英特尔代表。
背景 我们在开发客户端感知企业私有云时遇到的最大挑战,就是要解决日益增多的操作系统、设备和计算模式所带来的多元化和复杂程度。
英特尔IT的企业私有云环境部署在位于世界各地的数据中心,而80%业务新应用都部署在云中。
我们改造企业安全架构,不但可以支持广泛的设备和应用交付模式,并同时保护英特尔的关键资产。
当过渡到云中心的应用交付模式时,我们专注于提供最佳的用户体验。
应用需要识别客户端并利用功能来改善用户体验,同时支持IT维护信息安全和增强管理,从而履行法律义务和保护用户的隐私。
为此,我们一直在调查客户端感知技术,如移动应用框架、富互联网应用(richapplications,简称RIA)和工作负载转移。
这类技术帮助支持云的中央工作区管理以及跨设备的最佳用户体验。
我们还确定了几个与客户端和云之间工作负载分配相关的用例。
•即时协作。
从任何一台笔记本电脑、智能手机或平板电脑,轻松启动音频、视 频和数据会议与一个或多个团队成员就内容方面协作。
•在各种工作区的适应。
按环境动态使用多份个性化的配置。
无论员工身处工作场所或家里,还是在出差旅途中,设置、外观和服务均能满足员工的需求。
•业务助理。
充分按用户所在和设备环境,为员工提供不同类型的帮助。
举个例,当员工出差到一个陌生的英特尔办公地点时,能快速找到企业在当地的可用资源,例如会议室、打印机或工作站。
随着对多个客户端感知技术和其他企业用例的了解,我们下一步就是实施可支持广泛设备访问基于云的应用的客户端感知服务。
解决方案 我们致力于实施支持后端云和前端客户端协同工作的基础功能。
这些功能将形成包含设备和云元素的平台即服务。
我们确定了三项客户端感知服务,如图1所示,这些服务对实施客户端感知云至关重要。
安全服务 为员工设备配置设备和用户身份、数据安全和 管理软件 客户端感知云服务 内容同步服务同步设备和云之间的内容和设置 业务应用服务 创建并使用可访问企业传统后端的安全、环境感知 和设备感知型应用 企业就绪型用户设备 采用任何设备工作 对企业服务的无缝访问 图
1.数据安全、内容同步和业务应用服务形成了客户端感知云的基础。
2/IT 云中客户端感知服务IT@lntel白皮书 •安全服务。
建立设备感知信任,提供设备管理和内容保护。
•内容同步服务。
将设备和云之间的内容、设置和状态同步,可从任何地方使用计算功能。
它也为员工协作支持内容共享。
•业务应用服务。
跨平台创建并使用可访问企业传统后端服务的强劲、安全、环境感知和设备感知型应用。
如果没有这些服务,对于企业而言,全力支持IT消费化(IT以用户选择的设备为导向提供服务)并让员工使用各种电子设备无缝访问服务和应用将极具挑战,只能为最终用户提供较差的体验。
这些基础服务把客户端和云连到一起,充分利用二者的优势,可轻松创建在不同操作系统和设备上运行的软件。
我们定义了建立客户端感知云所需的基础功能后,便开始开发这些服务。
由于这些服务尚未在市场上获得供应,我们先选择了融合第三方和定制的解决方案。
安全服务 虽然我们正在实施集中管理云服务,还需要对客户端多了解,这样就可以保护静态数据、使用中的数据和传输中的数据,并区分具有不同功能集的各种设备。
如图2所示,安全服务可解决信任级别、设备的管理和内容保护问题。
确定信任级别在我们的计算环境中,根本不可能为每台设备提供相同的服务。
由于有各种不同的硬件、操作系统和所有权模型;不同级别的控制可使一些设备具有更强的功能,而另一些设备却达不到IT所要求的某些的机密数据最低安全配置水平;只有少数设备能够广泛访问企业数据。
我们基于设备的可信度决定访问控制和授权。
此外,由于有些设备不适合用来运作部分应用,我们亦考虑各种用户界面和屏幕尺寸如何影响设备和应用交互。
因此,不能将用户身份作为确定访问权限的唯一决定因素,我们需要考虑用户、 信息安全服务 信任级别 基于用户、设备和环境,控制对企业数据的访问和执行敏感 操作的能力 设备系统管理控制并保护网络中所有移动设 备的数据和配置设置 内容保护使用内容标记、动态和静态数据保护和数据丢失防护来保护数据 图
2.安全服务支持客户端感知云的方法是保护静态、使用中的和传输中的数据。
英特尔®架构支持客户端感知云 使用英特尔架构和解决方案可提高我们云服务的信息安全。
•配备平台嵌入式非对称令牌的英特尔®身份保护技术提供了内建于处理器的双因素身份验证。
•单次用的密码。
嵌入于平台硬件和固件的密码生成功能独立于操作系统运行。
•Intel®Insider。
提供了额外的可支持安全高清内容数据流的内容保护层。
•英特尔®防盗技术。
允许IT远程禁用丢失或被盗的电脑。
•英特尔®可信执行技术。
提供了基于硬件的安全基础,可为电脑上存储、处理和交换的信息提供更高级别的保护。
•英特尔®云SSO。
凭借基于标准的单点登录、环境感知型强验证和帐户配置和取消配置,英特尔的身份即服务简化了为用户提供数百个软件即服务应用的过程。
/IT3 借助增强的信息安全功能增加能够访问的应用和数据 等同托管全面访问公司数据,与公司台式机或笔记本电脑的访问权限相当•一般应用•内联网•网络共享驱动器•备份与恢复•协作 中级访问目标业务部门或协作应用•内联网(受限)•含附件的电子邮件•特定工作应用 基本访问非常有限的公司数据•日程表•通讯录•过滤的电子邮件 较为机密基于设备为某员工所有的记录•IP语音•薪酬•电话会议预约•会议室预约系统 公共公共服务器上的企业数据•库存•互联网——通过 或过滤网站•出差•开支报告 图
3.在员工使用个人设备办公时,不同的访问级别有助于保护企业数据。
设备、应用、位置和任务执行的环境。
例如,我们可能会限制在某些位置访问机密数据,例如在某些国家、英特尔工厂或办公地点以外)。
我们开发了一种使用受管的用户身份、多因素身份验证和证书服务等技术的安全模型,按用户、设备、应用和位置感知,计算出个人设备的信任程度。
然后,安全模型动态执行该设备的访问策略,即将其分配给适当的安全级别。
如图3所示,每个安全级别对应用和数据支持不同程度的访问和授权。
实施设备管理通过控制和保护网络中所有高度可信的移动设备上的数据和配置设置,移动设备管理(mobiledevicemanagement,简称MDM)可大幅降低支持成本和业务风险,确保至少可以安全交付有限的服务。
使用MDM来维护系统较为经济高效,比如使用正常的映像取代损坏的映像。
MDM也支持远程故障排除及远程设备的锁定和擦除。
一般MDM都是基于软件的。
我们正在探索利用基于英特尔®架构(见侧栏)的设备中内置的硬件功能是否可增强MDM,因为这将有助于提升平台中的信任度。
例如,如果其证书受英特尔®身份保护技术保护,我们便能向MDM解决方案供应的设备分配较高信任得分。
由于某些设备缺乏某些功能或特性,IT无法全面管理它们。
个人设备和公共设备尤其如此。
在信任计算时,要考虑对设备的全面MDM控制的缺失;这会影响容许设备可以访问哪些数据和服务。
在某些情况下,这会导致在不使用MDM的情况下,使用移动应用管理。
增强内容保护我们开发的一个最基础的平台组件,在设备、操作系统和所有权模型呈爆炸式增长的计算环境中作全面数据保护。
维护知识产权保护面临的挑战相当大,特别是因为我们的目标是使数据更容易提供,以便提高用户的工作效率并为在差旅中的用户提供数据。
为了实现这一点,我们正在探索各种技术组合,包括内容标记、数据丢失防护(datalossprevention,简称DLP)以及其它平台感知和网络感知功能。
DLP解决方案可以保护静态数据、使用中的数据和传输中的数据。
它应允许数据所有者来定义在特定设备上用户可以访问哪些数据以及对控制内容存储的位置。
例如,在某些情况下,DLP解决方案可以阻止数据被复制到可移动介质或在某些地方来防止数据被解密。
因此数据必须在传输中加密来保护内容,并根据文件属性、元数据或关键字来应用相应策略来过滤内容,以确保只有授权的人才能访问内容。
为了帮助电子证据发现(eDiscovery),DLP解决方案还应该创建内容源头和去向的资料以供审查。
DLP解决方案配有高级保护功能和执行功能,包括端点安全、网络安全和安全商务智能(businessintelligence,简称BI)以及信任感知策略框架。
端点安全特性包括验证系统的完整、内存保护、系统调用监控和浏览器的安全。
网络安全和安全商务智能特性包括高级传感器网络、增强的网络访问控制以及检测、修复和取证环境。
信任基础包括策略制定和执行、应用网关和防火墙。
4/IT 云中客户端感知服务IT@lntel白皮书 内容同步服务 为了让用户在多个工作区使用物理设备、虚拟机和其它类型容器时拥有一致的体验,只要访问符合安全策略,我们需要随时随地为他们提供企业和个人内容资料。
虽然有些设备可能适合创建和使用内容,而另一些只适合使用内容,我们的长期目标是让用户能够在每个批准的设备上创建并使用批准的内容。
为了达到这个目标,我们需要提供对多个地点的内容和设置的访问,包括设备和云。
如果设备具备加密的存储容器和足够的存储容量,我们可能要在有条件的情况下同步云和设备之间的数据,或直接同步两个设备之间的数据。
在其它情况下,该设备可能无法充分或安全地支持本地内容存储。
在某些情况下,用户可指定本地存储是不必要的或仅在某些情况下是必要的。
这样的话,我们可能容许没有本地存储的设备访问在线内容。
通过支持内容保护和共享的企业安全和扩展,我们的内容同步服务将增加商业价值。
这项服务将配合安全服务DLP功能,保护云中和设备上的知识产权和企业数据,从而履行法律和监管义务。
如图4所示,为了实施功能齐全的内容同步服务,我们需要确定同步哪些内容对象,如何组织它们,确定需要同步的地点并支持共享同步的对象进行协作。
确定同步的内容并组织同步的对象最初,我们的企业内容同步服务将专注于用户文档、媒体文件和用户资料,包括工作区偏好。
我们也将提供一项服务以维持设备间体验一致。
例如,该服务将记住用户查看或更新文档时离开的位置。
我们的目标是根据基于策略的规则和环境同步内容,如图4所示。
示例环境包括工作和家庭,或工作中的各种项目。
要实现同步,我们将内容对象组 织为逻辑内容组(contentgroup)并构建保持内容组独立的功能。
例如,要分开企业和个人的内容组或分开属于特定项目的内容,并让其他人也可使用。
随着时间的推移,我们将开发一种能力,使用元数据来标记内容,超越任何文件系统中与文件相关的一般属性。
这些元数据包括安全分类(例如,“机密”或“公共”)和项目生命周期状态(例如,“批准”或“待定”)。
我们可使用元数据对内容分组同步,并决定哪些内容会被复制到哪些设备以及如何同步。
确定在哪里同步内容组每个内容组可被同步到一个或多个用户工作区。
无论在哪里同步,我们将保持内容组之间的隔离。
如上文所述,我们计划使用富元数据实现这一点,但在短期内,将使用存储库和文件夹结构层级以及更常见的文件属性来定义内容组并确定在哪里同步操作。
内容同步服务 内容组组织根据基于策略的规则和环境, 同步内容对象和状态 工作区同步 将一组内容同步到一个或多个工作区并维持各组内容之 间的隔离 图
4.通过组织同步的对象,进行同步操作和协作,内容同步服务可支持客户端感知云。
协作在任何时间,任何地点,从任何设备与同事共享同步的内容 /IT5 IT@lntel白皮书云中客户端感知服务 在不同的工作区,相同内容对象可能有不同的处理方式。
例如,每个工作区都可能具有不同的在线和离线功能组合、对公有云和私有云的访问和加密的或纯文本存储。
有些内容对象可从一种格式自动转换到另一种更适合设备的格式,以适应工作区。
这是设备感知云服务帮助创建更加无缝的用户体验的另一个例子。
就同步的内容进行协作我们希望支持内容的安全共享,以便用户可以正在使用的任何设备,随时随地与同事联系并协作。
这项功能有助于提高员工的工作效率。
我们建立灵活的基础设施,能最终将服务扩展到外部环境中,如外部协作。
业务应用服务 过去,IT以“一刀切”的方式交付服务。
这种方法在当时已足够了,因为我们只使用一种主要的平台(运行在由IT构建且属于英特尔的电脑上的MicrosoftWindows*操作系统),且只有一种浏览器标准。
然而,随着多种使用不同操作系统,不同外 形和输入方法的计算平台出现,我们需要以更加灵活的方式为各种设备交付适当的服务。
如图5所示,我们设想一种业务应用服务,该服务支持跨平台应用开发,简化云和客户端之间的环境感知连接,并支持为访问基于云服务的设备提供控制和翻译服务的中间件模型。
支持跨平台开发我们正在实施一项基础设施,支持英特尔应用开发人员编写单一版本的企业应用,并允许我们为各种设备交付同一服务或其部分功能。
该基础设施将优化应用交付并提供更一致的跨平台最终用户体验。
为了避免开发只适用于最低标准设备的应用,应用需要具备客户端感知能力。
例如,应用应该能够确定使用设备的方式和地点以及它具有的功能和控制。
我们希望应用开发人员专注于业务逻辑,而不是底层细节。
因此,我们计划提供一致的平台和开发人员经验,尽可能屏蔽以下软硬件的差异: •安全功能(如加密、单点登录和双因素身份验证)可能会因设备不同而有所差异。
•访问一个设备的硬件组件(如全球定位系统、无线电或照相机),有可能异于访问其它设备上的相同组件。
•根据不同的平台,保存设备的状态信息需要不同的操作。
•实施因平台不同而有所差异的通知和推送服务。
•我们设想的应用平台可以让开发人员保持不同设备和状态之间的一致。
它具有一套统一的发现功能,开发人员可将其用于客户端感知交付决策,也可重新使用安全和内容同步服务。
支持环境感知为了提供最佳的用户体验,应用必须能够充分利用特定平台功能。
例如,RIA能在云和客户端设备之间分配处理任务,提高应用的响应速度。
对于RIA,代码下载至客户端设备上并利用RIA软件框架来执行,后者通常基于HTML5。
我们预计,能够发现硬件功能(使用诸如英特尔®Web 业务应用服务 内容感知屏蔽与设备相关的细节,支持开发人员专注于业务逻辑 跨平台开发 动态检测客户端的实时硬件、软件和位置,并提供后端服务使用 网络连接规范后端服务,支持可提供控制和翻译服务的中间件模型 图
5.通过提供跨平台应用开发、客户端感知连接和环境感知功能,业务应用服务可支持客户端感知云。
6/IT 云中客户端感知服务IT@lntel白皮书 API等机制)的客户端感知应用将不断涌现。
我们也在致力于提高基于HTML5和JavaScript*的解决方案的性能。
英特尔目前正投资开发相应的API,支持开发人员编写可从客户端检测实时硬件信息的RIA,例如处理器性能、电池使用时间和网络带宽等。
应用可动态地使用这些信息,同时还消除了针对最低标准开发应用的限制。
我们支持前端应用收集环境信息并将其传递到后端服务,可以定制提供后端服务的方式,以提高用户体验。
总结 我们的企业私有云环境部署在世界各地的数据中心;80%的新业务计算服务亦部署在云中。
但是,随着云服务以及各种平台和IT消费化的增长,用户期望在各种设备中均可使用应用(甚至基于云的应用)并得到优化。
我们正在改变应用交付模式,支持后端云和前端客户端协作,以提供最佳的用户体验。
同时,我们的目标是简化这些跨平台应用的开发和部署,改进开发人员的体验。
我们要让应用轻松访问其所需的业务服务。
为了实现这一点,我们尽可能将后端服务标准化。
例如,将使用许可、计量、记录、身份验证、授权和策略的常见功能。
这支持我们在特定服务器使用中间件模型,它位于隔离区,在设备试图访问内部资源时提供控制和翻译服务。
例如,如果智能手机尝试访问服务,中间件服务器会由于智能手机的小尺寸屏幕限制应用显示的信息量。
但是,如果电脑访问相同的服务,中间件服务器将检测到更大的屏幕并显示更多的信息。
中间件服务器还可以使用情景环境。
例如,使用客户端提供的物理位置及Wi-Fi*网络距离,中间件服务器能够确定设备是在工作场所中使用还是在家庭环境中使用,并相应允许或拒绝访问,或提示需要额外的证书。
基于我们之前对客户端感知云技术的探索和与跨客户端和云工作负载分配相关的若干用例开发,现在正实施三项支持互联计算和企业私有云工作的基础客户端感知服务。
•安全服务将处理设备信任、设备管理和内容保护。
•内容同步服务将设备和云之间的内容设置和状态安全同步,支持在任何地方进行计算,以及内容共享进行协作。
•业务应用服务将帮助开发人员跨平台创建安全、环境感知和设备感知型应用(可访问企业传统后端服务),为用户提供工作所需的强大应用套件。
这些服务充分利用与客户端设备和云相关的独特优势,为支持客户端感知云和云感知客户端提供了基础。
了解更多信息 如欲参阅以下相关主题的白皮书,请访问:/it: •《在桌面虚拟化和云服务领域应用客户端感知技术》 •《支持员工使用私有智能手机工作的最佳实践》 •《采用客户端感知技术支持新兴企业使用》 •《企业计算的未来:为互联计算做好准备》 •《提高个人设备的数据安全和移动计算》 •《允许在企业中使用员工私有手持设备并同时保持信息安全》 •《重新思考信息安全》•“保障实施”(ProtecttoEnable)信息 安全战略(视频) 如欲获得更多有关英特尔IT最佳实践的信息,请访问:/it /IT7 缩写词 Bl 商务智能 DLP数据丢失防护 MDM移动设备管理 RIA富互联网应用 SSO单点登录 本白皮书仅用于参考目的。
本文件以概不保证摂方式提供,英特尔不做任何形式的保证,包括对适销、不侵权,以及适用于特定用途的担保,或任何由建议、规范或范例所产生的任何其它担保。
英特尔不承担因使用本规范相关信息所产生的任何责任,包括对侵犯任何知识产权的责任。
本文不代表英特尔公司或其它机构向任何人明确或隐含地授予任何知识产权。
英特尔和Intel标识是英特尔公司在美国和其他国家(地区)的商标。
*文中涉及的其它名称及商标属于各自持有者。
版权所有©2012英特尔公司。
所有权利保留。
C请注意环保 0612/JGLU/KC/PDF 327471-001
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
