vPro 2.0: Intels neue Plattform mit Q35-Chipsatz und TXT
Erstmals Trusted-Computing als Teil einer Business-Plattform verbindlich. Ab dem 27. August 2007 liefert Intel nun die Komponenten für die 2007er-Ausgabe seiner Plattform "vPro" für Business-PCs. Die Kombination aus Virtualisierung und Trusted Computing soll für mehr Sicherheit und kürzere Support-Zyklen sorgen.
Ähnlich wie seine Centrino-Plattformen müssen PCs, die sich mit dem Logo "vPro" schmücken, aus ganz bestimmten Intel-Chips aufgebaut sein. Ist das der Fall, garantiert Intel mit seinem "Stable Image Platform Programm" ( SIPP(öffnet im neuen Fenster) ), dass sich einmal eingerichtete Rechner 15 Monate lang mit demselben Festplatten-Image klonen lassen und die Komponenten unverändert zur Verfügung stehen. Das ist bei den sonst viel kürzeren Entwicklungszyklen, beispielweise den BIOS-Versionen, von Consumer-Hardware nicht selbstverständlich.
Für die vPro-Version 2007, die früher unter dem Codenamen "Weybridge" bekannt war, schreibt Intel als Prozessor einen Core 2 Duo in den Versionen E6550 (2,33 GHz), E6750 (2,66 GHz) und E6850 (3 GHz) vor. Diese drei Modelle stammen aus der neuen Linie der CPUs mit einem effektiven FSB-Takt von 1.333 MHz und sind bereits länger verfügbar. Für vPro qualifiziert sie neben der auch bei anderen Core-2-Prozessoren zu findenden Funktion "VT", wie Intel seine Virtualisierungsfunktionen nennt, vor allem die neue Funktion "TXT" oder "Trusted Execution Technology". Dahinter verbirgt sich das schon seit 2002 durch die Roadmaps geisternde "La Grande", eine Sicherheitstechnik, die ob der ersten Aufregung um Trusted Computing von Intel lange zurückgehalten wurde.
Im Zusammenspiel mit der Virtualisierung soll TXT für mehr Sicherheit sorgen. Neben der Signierung von Anwendungen selbst kann TXT auch dafür sorgen, dass Anwendungen und auch das Betriebssystems des Nutzers nur in genau definierten Zuständen starten. Baut man beispielsweise die Festplatte aus und schiebt dem PC ein Schnüffelprogramm unter, kann TXT das erkennen und startet den Rechner gar nicht erst komplett neu. Da sich über ein Hypervisor-OS, von Intel "Lightweight Virtual Machine Monitor" (LWVMM mit exklusivem Ring-0-Zugriff) genannt, der Administrator in den Rechner einklinken kann, lässt sich das Problem auch aus der Ferne beheben. Der LWVMM hosted dazu zum einen das für den Anwender sichtbare Betriebssystem und zum anderen ein "Service OS", treffend "SOS" abgekürzt.
Was in diesem SOS laufen kann, sind die früher auch als "Embedded IT" bezeichneten kleinen Anwendungen, beispielsweise ein Paketfilter für die Netzwerkkarte. Daher ist auch der Gigabit-Ethernet-Baustein 82566DM für vPro vorgeschrieben, dessen Zugriffe sich mit vPro virtualisieren lassen. Im Zusammenspiel mit Intels "Active Management" (AMT) kann der Administrator einen heruntergefahrenen PC starten, Änderungen an den SOS-Anwendungen oder am User-Betriebssystem vornehmen und den Rechner anschließend wieder schlafen legen. Die Authentifizierung des Administrators wie auch der einzelnen Anwendungen erfolgt dabei über ein Trusted-Platform-Modul (TMP 1.2) im vPro-Rechner. Dies bietet Intel aber nicht selbst an, sondern verweist auf Dritthersteller wie beispielsweise Infineon.
Letzte Komponente von vPro ist der Chipsatz Q35, der aus der 3er-Serie stammt und sämtliche Funktionen wie die Virtualisierung, AMT und den schnelleren FSB unterstützt. Er arbeitet mit einer "ICH9-DO" genannten Southbridge zusammen, das "DO" steht dabei für "Digital Office". Funktional unterscheidet sich der Baustein aber außer der vPro-Zertifizierung nicht vom bisherigen ICH9.
Was das Zusammenspiel aus der Erkennungsbedrohung und der Fernwartung im IT-Alltag bringen kann, hat Intel auf Basis der letzten vPro-Plattform unter anderem beim IT-Outsourcer GiJima AST(öffnet im neuen Fenster) in Südafrika untersuchen lassen. Das Unternehmen betreut rund eine halbe Million PCs in Unternehmen und konnte durch vPro die Vor-Ort-Besuche am PC des Benutzers um 27 Prozent reduzieren. Auch Siemens freut sich laut Intels Angaben in seiner internen IT über vPro, vor allem die geplanten Updates über Nacht bei ausgeschaltetem PC sollen dem Unternehmen jährlich 264.000,- US-Dollar eingespart haben.
Wie üblich konzentriert sich Intel mit vPro ganz auf die Hardware: Weder den LWVMM noch das SOS oder die Anwendungen dafür will man selbst herstellen. Wie sich jüngst Symantec beklagte , ist die kostengünstige Entwicklung von virtualisierten Sicherheitslösungen aber auf Grund von Lizenzfragen nicht eben einfach. Intel verweist dabei auch auf die PC-Hersteller, nicht mehr unbedingt die Anbieter von Sicherheitssoftware. Welche Funktionen ein vPro-Rechner also im Einzelnen beherrscht, hängt immer vom jeweiligen Lieferanten ab. Auch auf Quad-Cores für die vPro-Plattform muss man noch etwas warten: Intel will sie erst im vierten Quartal 2007 auf Basis des 45-Nanometer-Designs Penryn vorstellen.
