Kraftway Security Shell 2012 Шумилов Максим

2 Модульная архитектура Минимальные изменения с коде BIOS Модули безопасности реализованы в виде Plug-In Легко расширяется, легко портируется Работает в фазах DXE и BDS Встроенная внутренняя файловая система Все данные и модели хранятся в защищенной встроенной файловой системе.

3 SPI Flash Regions BIOS ME PDR GBE DESC SPI Flash Chip

4 Оболочка безопасности Начинает работу в процессе загрузки UEFI BIOS в фазе DXE Чтение конфигурации Запуск модулей безопасности в конце фазы DXE Проверка всех модулей безопасности при помощи цифровой подписи Запуск необходимых драйверов SMM и DXE

5 Executable And Data Internal FS Процесс исполнения оболочки безопасности Services Drivers, Data Files Module Manager Main BIOS Module Manager Driver Расширяет основной цикл загрузки DXE Настраиваемый цикл исполнения

6 Текущее состояние проекта Выпуск продукта Июнь 2012 Базовая система оболочки безопасности Все модули независимы от производителя BIOS и оборудования Два варианта исполнения: Независимый модуль Полная интеграция с основным интерфейсом BIOS Все модули находятся в защищенной области SPI Flash. Поддержка Ext 2/3/4 файловых систем Интеграция с Kraftway System Manager (KSM) Особенности Поддержка большинства существующих ключей и смарткарт Поддержка многофакторной авторизации Поддержка проверки целостности файловой системы Возможность сохранения Single Sign On информации в защищенной области ключа

7 Сетевая авторизация Выпуск продукта Август 2012 Защищенный и шифрованный канал с сервером авторизации Поддержка OpenSource Open LDAP и MS Active Directory Перенос AD Kerberos Tickets в ОС для защищенного SSO Поддержка дополнительных полей LDAP для выбора загружаемой ОС. Поддержка гостевого режима

8 Антивирусная защита на уровне UEFI Выпуск продукта Сентябрь 2012 Встроенная среда и драйверы для запуска антивирусных модулей уровня UEFI Встроенный антивирусный модуль Антивирусная проверка системы до загрузки ОС Проверка ядра антивируса во время работы ОС Доверенный сервер для обновления баз данных антивируса

9 Доверенный сервер мониторинга и управления Выпуск продукта Декабрь 2012 Доверенный сервер мониторинга и управления оболочкой безопасности. Разработка на базе открытых исходных кодов. Защищенные каналы обмена с сервером управления с использованием криптографии и доверенной идентификации системы. Возможность удаленной начальной настройки оболочки безопасности (списки пользователей, сертификаты, права, конфигурация) Возможность централизованного мониторинга событий безопасности. Возможность централизованного группового управления оболочкой безопасности безопасности (списки пользователей, сертификаты, права, конфигурация)

10 Гипервизор уровня UEFI Выпуск продукта Q Гипервизор встроенный в UEFI Режим полной изоляции виртуальных машин API для интеграции модулей потокового шифрования ввода / вывода. API для интеграции модулей антивирусной защиты ввода /вывода. API для интеграции модулей семантического анализа данных ввода/вывода. Интеграция в централизованную систему управления и мониторинга. Возможность запуска различных виртуальных машин в зависимости от настроек каждого конкретного пользователя.

Спасибо за внимание!