Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

Отправляясь на встречу со специалистом по внедрению продукции Intel Александром Мельниковым, я надеялся на интересную беседу, и ожидания мои оправдались. Увлечённость, с которой Александр рассказывал о технологии Intel® vPro™, превратила, казалось бы, обычное интервью в захватывающий разговор.

Александр Мельников, специалист по внедрению продукции Intel. Фото: Владслав Бояров.

Владислав Бояров: Технология PAT с появлением Intel® vPro™ полностью забыта или Intel отводит ей какую-то нишу?

На самом деле это два принципиально разных подхода, две принципиально разных технологии. Забыта технология PAT или нет, я, к сожалению, сказать не могу, потому что PAT никогда не была корпоративной технологией, а разрабатывалась для китайских интернет-кафе. И, поскольку я занимаюсь исключительно корпоративными технологиями, у меня нет информации, насколько PAT поддерживается на материнских платах обычного сегмента. Опыт применения PAT на китайском рынке оказался удачным, платы с поддержкой PAT стали реализовывать по всему миру, в том числе и в России. Сотрудники Intel проводили у нас тренинги и демонстрации PAT, но, поскольку это тот сегмент рынка, которым я не занимаюсь, оперативной информацией не обладаю.

Про сегментацию понятно. Однако PAT представлялась мне низшей ступенью развития технологии удалённого доступа к клиентским машинам, поэтому и стало интересно: поглотила ли vPro PAT, или Intel развивает обе технологии.

Нет, эти технологии не связаны между собой. И поскольку я занимаюсь в основном крупными проектами, про технологии для других рыночных ниш я не готов отвечать.

Получается, что vPro – это технология именно для проектов, а не просто для ниши рынка, как, например, знаменитая Intel® Centrino®?

Изначально vPro ориентирована на корпоративный сегмент, точнее, большие и средние компании, но сейчас она вызывает интерес и в потребительском сегменте, в том числе и у домашних пользователей. Должен заметить, что неправильно называть vPro технологией – это платформа. Под логотипом vPro мы гарантируем потребителю определённый набор аппаратных компонентов и технологий. С развитием vPro туда стали включать расширенный набор технологий, которые могут быть полезны и домашнему пользователю. И сейчас поставщики различных сервисов могут удалённо решать проблемы в рамках договоров на техподдержку, хотя изначально vPro был анонсирован исключительно как платформа для бизнеса.

Вы мыслите внедрение vPro как продажу компьютеров под конкретные проекты, или планируете просто увеличивать долю компьютеров на этой платформе, чтобы компании и частные пользователи впоследствии активировали функции vPro? По аналогии с Intel® Centrino®: когда в эксплуатации стало много компьютеров с беспроводным доступом к сети, появился и беспроводной интернет в общественных местах, и точки доступа в квартирах и офисах.

Скорее ни один из перечисленных Вами подходов. При анонсировании vPro мы старались показать компаниям, какую выгоду они получат, если при апгрейде компьютерного парка будут приобретать машины исключительно с поддержкой этой платформы, и, достигнув некоей критической массы, начнут активировать функции, которые там заложены.

Вот это очень важный момент для меня, потому что прозвучало выражение «критическая масса». То есть они покупают компьютеры с прицелом на перспективу, и не планируют немедленную выгоду. И только по мере достижения, как Вы сказали «критической массы», vPro начинают эксплуатировать.

Безусловно. Ни одна, даже самая богатая компания, не будет менять весь компьютерный парк из-за того, что ей понравилась какая-то одна технология. Однако приняв стратегическое решение и оценив преимущества перехода на новую технологию, они будут планомерно двигаться в выбранном направлении. Опыт показывает, что все компании – американские, европейские, российские – идут только таким путём. Конечно, решение принимается на основе анализа и сделанных расчётов. И хотя активация vPro максимально оптимизирована и отлажена, всё равно она требует некоторых усилий, ресурсов. Пусть даже не будет никаких лицензионных отчислений, но остаётся необходимость обучения персонала, изменения регламентов. Понятно также, что чем больше компьютеров одновременно мы активируем, тем меньше расходы на активацию каждого компьютера. Поэтому каждая компания выбирает оптимальный момент для активации. Также активация требует подготовки инфраструктуры, поэтому разрабатывается план внедрения, учитывающий исходное состояние. То есть нельзя сказать, что платформа предназначена под конкретные проекты, она в принципе удобна для компании, обладающей определённым количеством компьютеров.

Возможно, я не совсем понятно выразился. Вернусь к Centrino. Когда появилась эта платформа, корпорация Intel не стала дожидаться пока люди сознательно будут покупать ноутбуки с Wi-Fi, а фактически просто не оставляла выбора. Со временем ноутбуков с беспроводной связью стало много, и сервисы стали востребованными. Не планирует ли Intel аналогичным способом продвинуть vPro?

Может быть в каких-то ситуациях такой подход и сработает, но надо понимать, что бизнес прагматичен по своей сути, и корпоративный заказчик всегда стремится сэкономить.

Тогда обязательно надо понять насколько vPro удорожает аппаратную часть.

Это сложный и неоднозначный вопрос, который мы уже обсуждали на IT Galaxy. Это зависит от политики компаний, производящих компьютеры. Некоторые производители позиционируют компьютеры с vPro как топовые модели, другие – как недорогие офисные машины.

А какова политика компании Intel?

Intel не производит компьютеров.

Это известно. Но я имел в виду другое. Ведь впаять на материнскую плату чипсет с vPro и без vPro по себестоимости будет одинаково, установка материнской платы с vPro в компьютер уж точно не дороже установки такой же, но без vPro. То есть объективно вся разница будет в стоимости чипсета, который как раз производит Intel.

Да, один из основных компонентов vPro – это материнская плата.

А что ещё?

Процессор. И если установить процессор, не валидированный под vPro, часть функционала, обеспечивающего виртуализацию, становится недоступной. Тогда у нас остаётся только то, что называется AMT Standard Manageability. Материнские платы условно делятся на три сегмента: Low-End, Mainstream и High-End. К высшей категории относятся, как правило, геймерские платы, стоят они достаточно дорого, рассчитаны на оверклокинг и прочие красивости в виде горящих синих лампочек. Mainstream – это стандартные материнские платы, рассчитанные на основного потребителя. Те из них, что предназначены для бизнеса, отличаются высокой надёжностью и определённым набором портов (определённое количество слотов PCI, PCI Express, банки памяти). Если рассматривать этот сегмент, то материнская плата хорошо зарекомендовавшего себя производителя стоит $100 или чуть больше. Материнская плата от компании Intel на чипсете «Q» – vPro Ready – будет в этом же ценовом диапазоне.

То есть дополнительной наценки за vPro нет?

Я думаю, что если сравнивать похожие платы на чипсете Q57 и H57, то разница будет несколько долларов. Но если вспомнить те времена, когда только начинали интегрировать на материнские платы сетевые адаптеры, разница в цене тоже составляла несколько долларов.

И никто не обращал на это внимание – покупали не задумываясь. И таким образом в эксплуатации оказалось множество материнских плат с сетевой поддержкой, что облегчило внедрение локальных сетей и интернета.

Да, и если вернуться к процессорной технологии Intel vPro, то здесь основная добавка к цене – это валидированный под vPro процессор. Особенно это касается последнего поколения – процессоров Intel Core vPro 2010 года, где процессор Intel Core i5 с интегрированной графикой – это далеко не самый дешёвый процессор. А процессор Intel Core i3 – это уже не полноценная vPro, а AMT Standard Manageability. И крупные компании делают выбор: нужен им полная vPro или достаточно функционала AMT Standard Manageability. Подход вполне прагматичный и понятный, поскольку в большинстве компаний настольные компьютеры используются как продвинутые пишущие машинки, но с учётом обеспечения корпоративной безопасности. Поэтому многие компании из соображений экономии покупают материнские платы с поддержкой Intel vPro, с установленными на них невалидированными процессорами.

Тогда следующий вопрос: чем было вызвано объединение под одним брендом Intel® vPro™ таких разных технологий, как удалённое администрирование и виртуализация? Мне кажется, что одно к другому вообще не имеет отношения.

Технологически – реализации, безусловно, разные. Но задачи у них в чём-то схожи. Во-первых, что позволяет AMT? AMT позволяет улучшить безопасность и удалённую управляемость компьютеров на аппаратном уровне. Безопасность бывает проактивная и реактивная, а управляемость бывает локальная и удалённая. AMT позволяет улучшить как проактивную, так и реактивную безопасность, а также решать проблемы с управляемостью. Технология виртуализации, которая является второй составляющей платформы vPro, наиболее полно раскрывает свои возможности при использовании соответствующих гипервизоров (например, от компании Citrix, который был анонсирован этой зимой, или от компании VMWare, который ожидается этим летом). Операционная система (даже единственная) в этом случае загружается на компьютер в виртуальной капсуле, что также решает проблемы управляемости и безопасности рабочих станций на программном уровне. Эта технология работает на любых процессорах, однако использование специальных процессоров с поддержкой виртуализации на аппаратном уровне позволяет избежать потери производительности. Виртуализация, как программный подход, даёт огромное количество преимуществ: повышенные надёжность и безопасность, которые раньше требовали дорогих аппаратных решений. Как я уже сказал, недорогие софтверные методы виртуализации позволяли и раньше реализовывать эти преимущества, но расплачиваться за это приходилось потерей производительности. Причём потери эти были значительными, особенно на операциях ввода/вывода. И как раз технологии Intel аппаратной поддержки виртуализации позволяют значительно сократить эти потери.

То есть предполагается, что операционная система на рабочие станции будет не грузится с диска, а закачиваться по сети?

Концепция использования виртуализации на десктопах подразумевает, что непосредственно на компьютер устанавливается менеджер виртуальных машин. Пользовательская операционная система, которая исполняется в виртуальной среде, в какой-то момент закачивается по сети, а дальше хранится на локальном диске.

А почему это лучше, чем загружать ОС с диска непосредственно, без виртуализации?

Во-первых, операционная система оказывается изолированной от аппаратного слоя. Таким образом, для компании значительно упрощается процесс управления корпоративными образами ОС. В любой компании есть некоторый «зоопарк» компьютеров, и под каждую модель (конфигурацию) компьютера требуется свой образ ОС с драйверами под конкретные компоненты. Естественно, каждая компания старается оптимизировать набор используемого «железа», но полностью унифицировать парк клиентских машин всё равно нереально. При использовании виртуализации компания сможет иметь единственный образ ОС, а под каждую конфигурацию (модель, платформу) ей всего лишь надо будет валидировать менеджер виртуальных машин. В этом случае миграция пользователей с одного компьютера на другой также становится совершенно безболезненной. При этом виртуальная машина пользователя может по сети постоянно синхронизироваться со своим образом на сервере.

Второе преимущество виртуализации в том, что пользователю может выгружаться несколько виртуальных машин, то есть он может одновременно работать в разных операционных системах.

Это на самом деле часто бывает нужно?

В корпоративной среде – да. У нас есть большое количество корпоративных заказчиков, у которых на рабочих местах пользователей находится до пяти компьютеров. В первую очередь это связано с тем, что пользователь может работать со средами, у которых разные требования по безопасности. Например, с одного компьютера он может ходить в интернет, со второго работает с внутренними корпоративными данными, а с третьего – с особо секретной информацией. Соответственно, все эти компьютеры подключены к разным сетям, чтобы избежать утечек информации из одной сети в другую. Это реализуется либо с помощью VLAN (Virtual Local Area Network — виртуальная локальная компьютерная сеть), либо с помощью разных физических сетей. Виртуализированный компьютер в случае подключения через VLAN будет использовать только «бортовую» сетевую карту, если же политика компании предусматривает разные физические сети, на него будут установлены дополнительные сетевые карты. В настоящее время изоляция виртуальных сред организована настолько хорошо, что можно не опасаться перетекания информации – «перегородки» между виртуальными машинами абсолютно непроницаемы. Пользователь может с помощью комбинации клавиш переключаться между несколькими машинами, но никаким образом не сможет перенести информацию из одной среды в другую.

В рамках этой концепции вместо того, чтобы выдавать сотруднику корпоративный компьютер (как правило, ноутбук), компания будет полностью либо частично спонсировать покупку собственного компьютера (bring your own PC). Для компании это большое облегчение: не нужно вести компьютер по бухгалтерии, амортизировать, апгредить. Техническую поддержку владельцу компьютера будут оказывать продавец и производитель компьютера, минуя компанию, в которой сотрудник работает.

Простите, а удалённый доступ (AMT), диагностика аппаратной и программной части, в этом случае тоже за продавцом?

Аппаратную часть, безусловно, будет обслуживать сервис продавца, и здесь AMT может даже не использоваться.

Но в материале про единую службу крови централизация закупки и последующей техподдержки компьютеров мотивировалась как раз с последующим использованием удалённого администрирования?

Там другая концепция, это касается корпоративных компьютеров.

Но ведь купленный сотрудником при финансовой поддержке работодателя компьютер функционально тоже является корпоративным?

Я позже об этом расскажу. Вернёмся к модели спонсирования покупки компьютеров сотрудниками, как она работает с точки зрения виртуализации. Технологий Intel vPro существует уже 4 года и всё это время мы акцентировали внимание на возможности удалённого администрирования. Концепция использования AMT за это время стала в основном всем понятной. И только сейчас, когда появились первые коммерческие продукты виртуализации рабочих станций, мы начинаем более активно продвигать и вторую составляющую vPro. Идея в том, что изначально на компьютер устанавливается менеджер виртуальных машин, далее компания устанавливает корпоративную ОС со всеми необходимыми настройками и приложениями, а пользователь ставит домашнюю ОС. При этом образ корпоративной ОС будет находиться на этом компьютере в защищённом виде, поэтому если даже компьютер попадёт в чужие руки, корпоративная информация останется недоступной. ИТ-служба работодателя, активируя технологию AMT, получает возможность удалённой диагностики компьютера и обновления корпоративной системы.

Но раз эта концепция существует, она должна быть целостной. Сформулирую вопрос так: что в рамках этой концепции Intel рекомендует тем, кто спонсирует покупку компьютеров сотрудниками?

Здесь многое зависит от степени конфиденциальности корпоративной информации, хранящейся на компьютере сотрудника и от политики безопасности, принятой в компании. Если это какая-то небольшая компания, желающая оптимизировать свои расходы на поддержание корпоративного компьютерного парка, и информация для них не является ключевыми аспектами бизнеса, то эта концепция вполне приемлема. Но техническое обслуживание не обязательно является обязанностью работодателя или продавца. Есть и компании интеграторы, есть понятие аутсорсинга. То есть vPro предоставляет техническую возможность удалённого обслуживания, а использовать её можно в различных организационных формах. Надо сказать, что аутсорсинг широко используется в Европе и вообще в развитых странах, но не очень хорошо работает у нас в России.

Но есть чисто практический вопрос: диагностировать компьютер должна компания, спонсировавшая покупку, и она будет говорить пользователю, что у него начал сыпаться диск и машину нужно срочно отдать в сервис, или это будет делать продавец, который заинтересован в своей репутации?

Я вижу это в другом разрезе. С точки зрения технической поддержки и подходов к эксплуатации компьютеров мало что меняется. Просто появился дополнительный инструментарий, который позволяет оптимизировать процесс диагностики и устранения проблем. А в каких-то случаях своевременная диагностика поможет избежать возникновения проблем. Но концепция взаимоотношений компании, сотрудника, поставщика техники, сервисной службы не меняется. Будет ли компания держать штат инженеров и сама обслуживать технику, или отдаст обслуживание на аутсорсинг – это вопрос, выходящий за рамки обсуждения самих технологий. Однако независимо от того, какое решение приняла компания, платформа vPro позволяет упростить, удешевить и одновременно сделать более эффективным процесс технической поддержки.

Однако зачастую новые технические возможности позволяют изменить, усовершенствовать, организацию процессов. Поэтому мне кажется, что разработчик новых технических возможностей всегда держит в голове модель их использования, он же не просто так их создаёт. И в этом случае, почему бы не предлагать потребителям комплексное решение?

По собственному опыту внедрения, а также по опыту внедрения моих европейских и американских коллег, эффективное внедрение технологии AMT возможно только в той компании, которая имеет централизованную структуру управления, централизованное управление своей ИТ-инфраструктурой, и имеет отстроенную службу технической поддержки, работающую с соответствующим софтом по сопровождению клиентов. Нельзя придти в компанию, в которой ничего этого нет (администратор решает проблемы по мере их поступления, ведёт таблицу статических IP-адресов) и сказать, что у вас мгновенно всё наладится, если вы поставите компьютеры с поддержкой vPro. Нужно понять, что эта технология, поскольку она изначально ориентировалась на определённый сектор, на определённые концепции использования техники, позволяет оптимизировать работу, проводящуюся в рамках определённых концепций, а именно концепции централизованного администрирования. Технология имеет очень большой функционал. Она предоставляет очень большие возможности, и именно поэтому должен быть очень жёсткий контроль за тем, как она внедряется и как она используется. При правильном внедрении и эксплуатации она обеспечивает безопасную работу ИТ-структуры.

Александр Мельников, специалист по внедрению продукции Intel. Фото: Владслав Бояров.

Какие главные подводные камни, по Вашему мнению, подстерегают системных администраторов? Чего надо бояться?

Мне кажется, вопрос немного неправильно поставлен. Не чего надо бояться, а на чём следует акцентировать внимание при внедрении vPro. Прежде всего, как и в любой централизованной системе администрирования, это делегирование полномочий. Если в компании есть правильно отстроенная служба технической поддержки, есть правильная инфраструктура, существует чёткая политика безопасности, то, естественно, при добавлении любого нового сервиса, любого нового функционала назначается определённая группа администраторов с определёнными правами в отношении данного сервиса. Здесь то же самое. В vPro заложены стандарты, позволяющие интегрировать её в существующую инфраструктуру, в том числе и в Microsoft Active Directory. Это значительно упрощает и оптимизирует процесс делегирования полномочий. То есть с точки зрения безопасности имеется достаточно широкий набор стандартных функций, которые обеспечивают, например, даже возможность аудирования действий администраторов, которые работают с технологией AMT не только со стороны сервера, но и с использованием энергонезависимой памяти самой AMT. Таким образом, можно контролировать действия аутенцифицированных и авторизованных администраторов.

То есть старшие администраторы, соединившись с клиентом, могут увидеть, что там делали их младшие коллеги?

Есть собственный журнал безопасности AMT, причём учётная запись дефолтного администратора разделена с учётной записью аудитора. В самом параноидальном случае строго определённая группа администраторов со строго определённой консоли смогут подключаться к строго определённым компьютерам на платформе AMT по криптованным каналам (при этом будет производиться двухсторонняя аутентификация при помощи сертификатов), потом по установленному криптованному туннелю будет идти аутентификация по протоколу Kerberos. Разумеется, администратор не может редактировать записи логов. Функционал AMT очень большой и он разбит на несколько десятков подфункций. Права доступа различных групп администраторов можно очень тонко делегировать, разрешая делать им совершенно конкретные вещи. Таким образом, придерживаясь основного правила централизованного администрирования, мы можем давать только те права, которые необходимы для выполнения служебных обязанностей.

Существует ли альтернатива vPro, есть ли у этой платформы конкуренты на рынке?

AMT поддерживает несколько индустриальных открытых стандартов, в их числе DASH и WS-Management, продвигаемый корпорацией Microsoft. AMT во-первых, в полном объёме поддерживает эти стандарты, а во-вторых, предлагает более широкий функционал. Например, в стандарте DASH 1.1 нет никаких функций по обеспечению безопасности. По этим причинам его никак нельзя рассматривать в качестве конкурента AMT.

Но ведь AMT прежде всего позволяет нам взаимодействовать с выключенным компьютером, с компьютером, на котором отсутствует операционная система. Понятно, что Microsoft здесь не может предложить никакой альтернативы.

Да. AMT – это программа, исполняемая непосредственно на чипсете. Чипсет vPro обладает собственным вычислительным модулем, который может исполнять программы. Исходный код этой программы хранится в энергонезависимой памяти, которая обычно используется только BIOS`ом. Для vPro объём памяти пришлось увеличить. То есть по сути это компьютер в компьютере. Соответственно, там есть собственная реализация стека TCP/IP, возможно использование как статического, так и динамического IP-адреса.

А чего сейчас не хватает AMT, и какими функциями Intel планирует расширить эту технологию?

Политика Intel – не говорить о тех продуктах, которые ещё не анонсированы. Но могу сказать, что мы очень ждали выхода новых процессоров Intel Core vPro 2010 года, потому что использование предыдущих поколений этой платформы требовало серьёзной адаптации службы технической поддержки, для удалённого устранения неисправности требовались загрузочные диски консольных ОС. Поэтому приходилось обучать персонал другим подходам работы с удалёнными компьютерами и создавать для каждой компании отдельный набор загрузочных дисков для решения различных проблем. Появление аппаратного KVM`а позволяет интегрировать vPro без каких-либо серьёзных модификаций бизнес-процессов службы технической поддержки. В свою очередь реализация KVM стала возможной после интеграции графического адаптера в процессор, и сейчас картинка формируется в процессоре, а затем через шину передаётся либо на экран локального монитора, либо по сети на консоль управления.

Насколько я помню, видеоадаптер не совсем интегрирован в процессор, а просто находится теперь с ним в одном корпусе. Хотя синий экран смерти, который на презентации демонстрировал Алексей Рогачков на удалённом компьютере, меня потряс. Видно, что степень интеграции очень высока. Следующий вопрос: сейчас vPro работает либо через Ethernet, либо через Wi-Fi. Однако в последнее время развивается WiMax, а, например, компания Fujitsu достаточно активно продвигает ноутбуки со встроенными 3G-модемами. Стоит ли ожидать, что платформа vPro обретёт что-то вроде обратного роутера, через который сигналы с любого из интерфейсов будут попадать в систему управления?

Действительно, в текущем поколении vPro работа через WiMax или 3G невозможна. О том, что политика Intel не предусматривает обсуждения продуктов, которые ещё не анонсированы, я уже говорил. Однако для этих случаев мы предлагаем рассмотреть использование внешних WiMax или 3G роутеров. Они передадут сигнал компьютеру по локальной проводной или беспроводной сети, а дальше будет работать существующая версия vPro.

Вопрос по станциям переливания крови: парк ПК обновлялся полностью или наращивались некоторые сегменты?

Из описания данного кейса может быть не совсем очевидно, но фактически под эту программу модернизации закупался практически весь компьютерный парк, произошла полная замена компьютеров и теперь все они поддерживают vPro. Из этого следует также, что нельзя сравнивать эффективность работы службы до и после внедрения vPro, потому что эта структура создавалась сразу на платформе vPro. Если мы обратимся к материалу, то увидим, что одновременно с внедрением vPro появилась централизованная система управления всеми станциями переливания крови. Точнее, не просто одновременно: изначально было принято осознанное решение разворачивать систему управления с поддержкой платформы vPro. В настоящий момент это компьютеры на базе чипсета Q35. В дальнейшем, разумеется, будут устанавливаться компьютеры с более новыми версиями.

Следующий вопрос: сеть охватила все систему или она пока работает только в Москве и около Москвы? Будет ли она расширяться на регионы?

На самом деле компьютеры с поддержкой vPro установлены во всех регионах, и в большей части регионов vPro уже активирована.

Я недавно разговаривал с заведующей ИТ-отдела самарской станции переливания крови, и она сказала, что на станции нет компьютеров с vPro.

Дело в том, что локальные системные администраторы могут и не подозревать о том, что они обслуживают компьютеры с vPro, даже если vPro активирована. Использование функционала vPro осуществляется централизованно из московского офиса. Активация удалённых машин также производится из московского офиса. Интегратор, который поставляет компьютеры, доводит их до так называемого предактивированного состояния, а окончательная активация происходит уже после того, как через VPN эти компьютеры подключаются к общей сети Центра крови.

Чисто практический вопрос. Так получилось, что я хорошо знаю специалистов, обслуживающих информационную систему самарского центра крови и знаю, что это обслуживание проводится на приемлемом для администрации уровня. Теперь это делает Москва. Предположим, обнаружились неполадки в работе аппаратной части – и что дальше? Кто теперь будет производить ремонт?

Местные специалисты занимаются аппаратной поддержкой?

Не только. И системное обслуживание, и обслуживание приложений, написанных здесь же, в Самарской области.

Аппаратные проблемы мы ещё не научились устранять удалённо, и в случае их возникновения всегда потребуется локальная техническая поддержка.

Но в Самаре сегодня нет и неразрешимых программных проблем. Разумеется, как и в любой работе, какие-то проблемы возникают, но они тут же и решаются. Что нам даст управление из Москвы?

Есть не просто программные проблемы, а эффективность их устранения. Если в Самаре возникают проблемы с прикладным или системным ПО, они решаются. Вопрос в том, насколько эффективно это делается, как быстро они решаются, и насколько это устраивает сотрудников службы крови. Использование технологии vPro позволит оптимизировать этот процесс. В основном оптимизация достигается на этапе установки критически важных обновлений. Из Москвы будет осуществляться контроль за тем, чтобы все обновления были своевременно установлены на всех компьютерах, в том числе и на тех, которые на данный момент не используются. Существует опасность, что компьютер, включенный после простоя не будет содержать обновлений и станет уязвимым для различного рода атак из интернета.

Дело в том, что локальные сети станций переливания крови самарской области не имеют выхода в интернет, поскольку хранят наиболее охраняемые биометрические персональные данные. Они были отсоединены от интернета после вступления в силу закона «О персональных данных». Теоретически можно установить оборудование и ПО, обеспечивающие выход в интернет без нарушения закона, но это стоит таких огромных денег, поэтому дешевле получается немного поработать администраторам.

Как известно, апдейты и патчи могут устанавливаться со специальных серверов локальной сети без доступа в интернет. В том числе это решается и при помощи ситем ценрализованного управления ИТ.

Что было самое сложное в реализации программы инженерами? Возникали неустранимые проблемы или все устранялось опытом и волевыми решениями?

Сложности встречались при активации компьютеров. Сначала оказалось, что неправильно настроены локальные DNS-сервера, неправильно сконфигурированы брандмауэры – то есть в регионах местные инженеры неправильно настраивали инфраструктуру, и в результате запросы не доходили до московского сервера активации. Приходилось из Москвы удалённо сначала настраивать региональные сети.

Планируется ли в уже созданной информсистеме ФМБА использование не только технологий и возможностей Intel AMT, но также и технологий виртуализации Intel VT?

Виртуализация пока не используется, из арсенала vPro задействована только AMT. Я уже говорил о том, что программные продукты для виртуализации клиентских машин появились совсем недавно и во многих компаниях пока они ещё проходят тестирование. Поэтому о промышленном внедрении пока говорить рано, хотя такие проекты уже прорабатываются нами с рядом заказчиков.

А что можно сказать по поводу виртуализации в нетбуках с процессорами Intel® Atom™?

В последнем поколении платформы Atom уже есть аппаратная поддержка виртуализации. Напомню, что виртуализацию можно использовать и без аппаратной поддержки, просто в этом случае будет наблюдаться потеря производительности.

Если речь идет о высоком уровне защиты, то помимо внешних атак есть еще и внутренние факторы. В статье ни слова о методах аутентификации пользователей этой системы. Какой именно метод выбран и какие рассматривались - интересен процесс и причины принятие этого решения?

Безопасность – это всегда комплексный вопрос. Прежде всего, это технические методы защиты, и физические методы защиты. vPro даже при минимальном объёме использования функционала технически обеспечивает более высокий уровень безопасности за счёт гарантированной установки всех последний обновлений.

С одной стороны – да. Но если для этого необходимо давать доступ в интернет, которого до внедрения vPro не существовало – здесь, наверное, уже надо взвешивать? (см. Примечание выше, доступа в интернет для раздачи апдейтов не требуется)

LanDesk, который используется в службе крови, позволяет осуществлять фильтрацию сетевого трафика. Этот функционал тестировался в процессе принятия решения об использовании vPro.

Александр Мельников, специалист по внедрению продукции Intel. Фото: Владслав Бояров.

Краткий комментарий:

Конечно, в этом интервью было раскрыто множество технических аспектов использования платформы vPro, но мне бы хотелось обратить внимание на следующие слова Александра Мельникова: «эффективное внедрение технологии AMT возможно только в той компании, которая имеет централизованную структуру управления, централизованное управление своей ИТ-инфраструктурой, и имеет отстроенную службу технической поддержки, работающую с соответствующим софтом по сопровождению запросов клиентов». Я уже не помню, чьи эти слова, сказанные ещё на заре компьютеризации: «Если автоматизировать бардак, то получится автоматизированный бардак». И в этом смысле всё осталось по-прежнему: залог успеха внедрения технологии в подготовке структуры. Понятно также, что внутрикорпоративное обслуживание всегда более упорядочено, чем обслуживание частных клиентов, поэтому придёт vPro в «обычные» сервисные службы только обкатавшись на корпоративных системах. Альтернатив, как мы убедились, нет.

----

«я-ИТ-ы» в Самаре – слагаемые карьеры

«я-ИТ-ы» в Самаре – слагаемые карьеры. Статья Владислава Боярова. 29.03.2024 г.

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть четвёртая

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть четвёртая. Статья Владислава Боярова. 12.03.2024 г.

«Домашний компьютер». Конкурс в Самаре.

«Домашний компьютер». Конкурс в Самаре.

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть третья, объединительная

Галопом по вычислительным Европам. Часть 10. Китайский путь и персональная безопасность.

Галопом по вычислительным Европам. Часть 10. Китайский путь и персональная безопасность. Статья Ильи Вайцмана. 11.12.2023 г.