Záplatovací systémy se postarají o nápravu
10/04/2007 09:00:05 AM

Produkty pro správu záplat neboli patch management se z nástrojů, které jednoduše distribuují záplaty, vyvinuly v dnešní systémy, jež zahrnují více preventivních bezpečnostních opatření včetně manipulace s nastavením bezpečnostních konfigurací, nasazování standardních softwarových balíků, zajišťování shody politik a přebírání aktivní role v nápravě zranitelností.

V dnešním testu jsme se podívali na čtyři produkty dříve zakotvené v oblasti správy záplat, o nichž nyní dnes výrobci tvrdí, že pomohou zjednodušit nápravné aktivity. Mezi testované zástupce patří Altiris Client Security Management Suite, LANDesk Security Suite, McAfee (dříve Citadel Security) Hercules a PatchLink Update.

U každého produktu jsme se při testech zaměřili na pět klíčových oblastí:


Altiris

Altiris Client Security Management Suite 6.1 obsahuje modul SecurityExpressions – nástroj, který nabízí schopnost kontrolovat bezpečnostní konfigurace i nastavení pro dosažení shody a opravovat problémy pomocí modulů Endpoint Security, Local Security a Application Control. Patch Management je poskytován jako samostatná komponenta. Tato kombinace modulů běží na základní architektuře nazývané Altiris Notification Server. My jsme se zaměřili především na komponenty SecurityExpressions a Patch Management, neboť právě tato kombinace splňovala kritéria testu.

Uvedené moduly Altirisu zvládaly veškerou základní nápravnou funkcionalitu, již jsme vyžadovali, přičemž excelovaly ve schopnosti vytvářet zákaznické kontroly, jako třeba pro specifická nastavení klíčů registru, a opravné akce, například změny nastavení klíčů registru.

SecurityExpressions není plně integrován do systému Altiris. Například vývoj politik se v SecurityExpressions stále provádí v samostatné konzoli, avšak kontroly politik si lze prohlížet v konzoli Altirisu. Protože je tento modul srdcem náprav zranitelností, bylo by lépe, kdyby byl plně integrován tak, aby vytváření politik a kontroly konfigurací probíhali v rámci téhož rozhraní a procesu. Stejně tak Patch Management bychom raději viděli jako součást celé sady Client Security Management Suite, neboť jde o integrální součást nápravného schématu. Správa záplat je jen jednou ze součástí rozsáhlého správního řešení Altirisu – některé z možností jeho koncepce tak oceníte zejména tehdy, využijete-li i některé další komponenty.
Správa všech modulů se provádí přes webovou konzoli, která byla z hlediska použití trochu těžkopádná. Občas nebylo snadné provádět ani jednoduché úlohy, jako plánování a zavádění záplat. Správní konzole poskytuje několik dashboardů zobrazujících tabulky a grafy například pro chybějící záplaty na základě jejich kritičnosti. Grafy neposkytují možnost dostat se přímo k odpovídajícím datům.

Nastavení pro nasazování záplat včetně kontroly rebootů a notifikace uživatelů jsou prováděna přes konfigurační politiky. Administrátoři definují politiky pro to, jak by měly být záplaty rozmísťovány. To je výhodné, pokud jsou nastavení stejná pro každou úlohu, ale vyžaduje to určitou dodatečnou práci, potřebujete-li distribuovat záplatu zahrnující odlišná nastavení. Musíme rovněž poznamenat, že Altiris nepodporuje některé vyspělejší možnosti dostupné v některých jiných produktech, jako je pozastavení nebo odložení zavádění záplat.


Altiris Client Security Management Suite 6.1 si pro správě záplat vystačí s moduly SecurityExpressions a Patch Management, které excelují ve schopnosti definovat zákaznické kontroly a nápravné akce.

Kontrola přístupu je navázána na základní skupiny Windows a je administrována z konzole produktu, takže je snadné ji integrovat s podnikovými rolemi a procesy správy identit. Pár defaultních rolí, jako Administrator a Guest, je zde zahrnuto a administrátoři si pak mohou vytvářet své vlastní zákaznické role. Každé roli jsou přidělována oprávnění, jež mohou být popsána velmi detailně.

Nicméně přítomnost uživatelského rozhraní pro nastavení bezpečnostních oprávnění znamená, že budete do jisté míry postrádat centralizovanou kontrolu. Přístup přidělujete z tabulky vlastností pro různé objekty, nikoliv z centralizovaného bodu. Jestliže například chcete poskytnout přístup k reportům, vstoupíte do tabulky oprávnění pro Reports a zde provedete nezbytné změny.

Reportingový engine poskytuje základní funkcionalitu – mohli jsme naplánovat běhy reportů a vytvořit standardní reporty ukazující chybějící záplaty ve Windows a provedené nápravné akce. Export reportů v rámci správní konzole k dispozici není, dostupná je ale samostatná utilita ImportExportUtil pro export dat z notifikačního serveru. Trendové reporty by podle výrobce měly být k dispozici v příští verzi.
LANDesk

LANDesk Security Suite běží jako komponenta základny LANDesk Management Suite a podporuje všechny platformy operačních systémů a opravnou funkcionalitu zahrnutou v našem testu, i když podpora na „ne-Windows“ platformy je v některých směrech omezená. Jedním z příkladů je neschopnost poradit si s detekcí šířky pásma pro unixové systémy, což je funkce, která u agentů pro Windows k dispozici je. Klíčovou výhodou LANDesku je ale v našem prostředí především podpora záplat pro lokalizované OS Microsoftu.

LANDesk dovoluje efektivní centralizovanou a řízenou distribuci záplat včetně možností jejich testování. K dispozici jsou i možnosti skenování a podrobné definice úloh pro různé skupiny strojů – velmi dobré jsou možnosti určení prioritizace záplat, která umožňuje co nejrychleji ošetřit nejkritičtější místa. Stejně tak vám produkt dovolí získat přehled o závislostech mezi různými záplatami. Při samotné distribuci je velmi užitečný systém multicastingu nebo peer downloadu, který šetří zatížení sítě a současně urychluje rozmístění patchů.

Schopnost posílat varovná hlášení, když jsou provedeny změny konfigurace nebo chybějí záplaty na monitorovaných systémech, je do produktu velmi dobře integrována a podporuje více komunikačních médií včetně SNMP a e-mailu.


LANDesk Security Suite, komponenta základny LANDesk Management Suite, podporuje zasílání varování, návraty k předchozím stavům a množství možností konfigurace distribuce záplat.

Možnosti LANDesk pro návrat k předešlému stavu jsou řízeny na bázi nasazených záplat. Znamená to, že i když je opravné opatření řízeno zranitelností, která zahrnuje více patchů, nemůžete se vrátit zpět jednorázově; musíte postupně odstranit jednotlivé záplaty, které jsou zahrnuty v rámci akce pro nápravu dané zranitelnosti. Ve většině situací však tento systém bude vyhovující.

Funkcionalita pro kontrolu přístupu splňuje kritéria našeho testu velmi dobře. Jsou definovány oblasti působnosti, které identifikují, k čemu mohou jednotliví uživatelé přistupovat, stejně jako které funkce mohou provádět, jakmile se dostanou k daným strojům. Můžete například specifikovat, že administrátoři Windows budou přistupovat pouze k Windows systémům – a nikoliv k unixovým – a že mohou instalovat záplaty pro Windows pouze na stroje, když k nim získají přístup.

LANDesk podporuje zasílání varování týkající se definovaných událostí, návraty k předchozím stavům a množství možností konfigurace rozmístění záplat. Administrátoři si mohou třeba zobrazit průběh skenování, pozdržet instalaci, posílat zprávy uživatelům, povolit stornování a kontrolovat spotřebu šířky pásma při distribuci.

LANDesk podporuje zákaznické skripty, což může být užitečné, ačkoliv pro jejich tvorbu je používán bezejmenný zákaznický skriptovací jazyk, takže administrátoři musejí pro tuto funkcionalitu počítat s vyšší křivkou učení.

Možnosti reportingu poskytované se sadou Security Suite jsou velmi silné. K dispozici je více formátů (PDF, HTML, XLS), reporty mohou být plánovány a byli jsme schopni vytvořit většinu z požadovaných testovacích reportů. Přivítali bychom schopnost volit časové rámce pro generování reportů, což je funkce v mnoha jiných produktech dostupná. Tvorba zákaznických reportů je podporována prostřednictvím utility pro design reportů, nástroje, který jsme shledali komplexním z hlediska použití, ale velmi úplný co do funkčnosti. Za zmínku stojí příznivá licenční politika orientovaná na počet pracovních stanic – ta by mohla být výhodná zejména pro méně rozsáhlá nasazení.

LANDesk Security Suite disponuje širokou funkcionalitou, ale používání produktu je právě proto místy poněkud obtížnější a občas jsme se museli spolehnout na dokumentaci. Tento produkt nicméně skvěle zvládl většinu funkcí, jež jsme vyžadovali a testovali, přičemž jako součást LANDesk Management Suite může tvořit velmi silnou sadu nástrojů pro ulehčení života správců.

McAfee (dříve Citadel)

Hercules Remediation Manager, který byl v jádru vždy produktem pro provádění nápravných opatření, zahrnuje základní Hercules Server, Channel Server, který se stará o komunikaci se základním serverem, a Download Server, jenž je neustále synchronizován s novými zranitelnostmi a opravnými prostředky, které jsou zpřístupňovány společností. Jako reportingový engine produkt využívá SQL Reporting Services od Microsoftu. Na klientských systémech je umístěn agent produktu Hercules.

Rozhraní pro správu bylo jedním z nejjednodušších v testu. K nejlepším funkcím patřil modul rychlého startu, který nás provedl všemi klíčovými akcemi potřebnými pro používání produktu, jako je rozmísťování agentů, provádění inventarizace systémů, spouštění vyhodnocení zabezpečení a vytváření reportů.

Silnou stránkou balíku McAfee je kontrola přístupů. Mohou být vytvářeny zákaznické role, kde každé může být přiřazena jakákoliv podmnožina z více než 70 identifikovaných úloh. To poskytuje vysokou flexibilitu při vytváření přístupových kontrol, aby dobře co nejlépe zapadly do struktury organizace. Můžete například vytvořit roli pro podmnožinu vašeho týmu správců Windows serverů a povolit jejím členům pouze specifické úlohy, které potřebují provádět.

Funkce náprav pracovaly dobře a podporovaly všechny naše klíčové akce. Za poznámku stojí, že zatímco Remediation Manager podporuje vytváření zákaznických opravných opatření, detekce není definována tak snadno, jako v jiných produktech v testu. Můžete kupříkladu vytvářet opravy, které spouštějí skripty nebo změní nastavení klíče registru, nemůžete však jednoduše vytvářet zákaznickou kontrolu zranitelností, abyste definovali, jak prověřovat systém, aby bylo vidět zda je třeba nápravné akce provést.

Zavádění opravných akcí bylo možné provádět snadno pro manuální i plánované úlohy. U manuálních úloh si vybíráte z menu po kliknutí pravým tlačítkem; pro plánované úlohy musíte projít příslušným průvodcem.

V rámci voleb pro zavádění záplat Remediation Manager podporuje standardní nastavení, jako jsou uživatelské odklady a uživatelské zprávy, nepodporuje však některé vyspělejší volby, jako jsou omezení počtu odkladů nebo doba zpoždění nápravné akce.

Reporting je oblastí, kde by Remediation Manager snesl jisté vylepšení. Možnosti plánovat předpřipravené a vytvářet uživatelské reporty k dispozici jsou, ale tyto úlohy jsou prováděny přes SQL Reporting Services, nikoliv přes samotný produkt Remediation Manager. Tyto úlohy by měly být lépe integrovány do konzole systému, aby se zjednodušilo jejich použití.
PatchLink

Pro tento test PatchLink nabídnul PatchLink Update 6.3, nejnovější verzi svého systému. Ačkoliv tento produkt obsahuje prvky veškeré funkcionality, již jsme testovali, PatchLink nabízí i další přídavné komponenty, které by jeho produkt dále vylepšily, například podnikové reportingové služby a vývojový kit. Celkově PatchLink Update představuje velmi solidní opravný produkt.

PatchLink Update je webový systém, kde téměř veškerá administrace probíhá přes rozhraní založené na prohlížeči, s nímž se snadno pracuje a lze se v něm rychle zorientovat. Výjimkou je správní centrum softwarových agentů, které pomáhá provádět a spravovat jejich distribuci. Agenti mohou být rozmístěni také přes webové rozhraní, avšak tento dodatečný software pomáhá při rozsáhlejší distribuci.

Veškerá opravná funkčnost, již jsme vyžadovali pro tento test, byla k dispozici a pracovala bez problémů. K dispozici je podpora více operačních systémů, nasazování softwaru, změny klíče registru i změny konfigurace.

Dostupné jsou manuální i plánované nápravné služby, jež při testování pracovaly tak, jak výrobce uvádí. Nastavení je prováděno prostřednictvím procesu řízeného průvodcem,který jej zjednodušuje pro nováčky a zajišťuje, aby žádný krok nepřeskočili. Za účelem zákaznických změn PatchLink Update podporuje vytváření balíčků pro nasazení, podobných nápravným prostředkům McAfee. Co v základním produktu dělat nemůžete, je vytvářet kontroly zranitelností, které by vám mohly říci, na které systémy je potřeba tyto úlohy aplikovat. Například pokud má systém klíč registru, který vám může říci, zda je potřeba danou verzi softwaru aktualizovat, nemůžete tuto kontrolu provést pomocí zákaznického balíčku, dokud si nekoupíte vývojový kit, jak uvedl výrobce.

Většina nápravných akcí se v PatchLinku provádí prostřednictvím průvodce, který uživatele krok za krokem provede procesy, jako je plánování nasazování nebo vytváření balíčku. To uživateli nedovolí zapomenout na některé kritické kroky v procesu, jako třeba na kontrolu nastavení nasazení před provedením aktualizace.

Prostředkem reportingu je v PatchLink Update sbírka zhruba 20 předdefinovaných reportů, ty se však jeví jako úplný seznam, s nímž by bylo možné s trochou flexibility manipulovat. Během testování jsme byli schopni vytvářet všechny potřebné reporty kromě jednoho, který ukazuje čas potřebný k nápravě problému od počáteční detekce. Kromě toho můžete vstoupit do konzole a vytvořit report založený na definovaném časovém rámci, avšak nemůžete například plánovat, aby report běžel na periodické bázi a výsledky vám byly automaticky zasílány e-mailem.

Kontrola přístupů je velmi detailní a flexibilní. Defaultně je definována pouze hrstka rolí, avšak administrátoři si mohou vytvořit více rolí prostřednictvím webové správní konzole. Přiřazování funkcí pro tyto role je velmi detailní, takže přístup uživatelů je omezen jen na nezbytné funkce.

Závěrečné hodnocení

V celkovém pohledu je třeba říci, že námi testované produkty pro správu záplat patřičně rozšířily své horizonty a možnosti. Byli bychom však rádi, kdyby se v tomto směru ještě dále vyvíjely.

Specificky s tím, jak roste důležitost požadavků na shodu a procesů řízení změn v organizacích, bychom uvítali rozšíření funkcionality workflow nápravných opatření (která byla v testovaných produktech obecně na slabší úrovni), aby bylo možné sledování schvalování nutné pro dokončení opravných úloh. Například když je identifikována nová zranitelnost vyžadující opravu, měl by být celý proces, jímž náprava probíhá, včetně schvalování nápravných opatření manažerem i provádění nápravných akcí technikem, systémem sledován. Ze stejných důvodů bychom v budoucnu uvítali i vyšší flexibilitu reportingu, vyžadovanou pro technická i obchodní oddělení podniku.


Jak jsme testovali
Po instalaci produktů na server s Windows 2003 Enterprise Edition a nasazení agentů na pracovní stanice běžící nad systémy Windows XP nebo Red Hat Enterprise Linux, jsme se zaměřili na schopnost produktu zvládat zavádění záplat, změny klíčů registru či systémových konfigurací a nasazování dalšího softwaru. Tyto změny jsme provedli manuálně, nebo jsme naplánovali, aby náprava proběhla v budoucím čase. Při testech nasazení jsme prověřili možnosti zahrnující kontrolu rebootů, zasílání zpráv uživatelům a uživatelské odklady. Vytvořili jsme také zákaznickou kontrolu pro vyhledávání specifického klíče registru a spustili skript, pokud klíč nebyl nalezen.

V rámci reportingu jsme se pokusili vytvořit report ukazující chybějící bezpečnostní záplaty ve Windows, nápravné akce provedené pro specifický počítač a nápravné akce provedené během časového rozmezí na všech počítačích. Pokusili jsme se také vytvořit report ukazující čas, který uběhl od data identifikace do opravy, a zákaznické reporty, jež jsou definovány jako něco, co není dostupné v defaultních reportech.
Při testování kontroly přístupu jsme se na zaměřili na to, jak mohou administrátoři delegovat akce. Snažili jsme se vytvořit zákaznické role a definovat přístup tak, abychom uživateli povolili vykonávat pouze specifické funkce vyžadované v rámci jejich povinností. Čím byly možnosti podrobnější, tím lépe bylo možné lépe tohoto cíle dosáhnout.

Testovali jsme také workflow náprav, když jsme se zaměřili na možnosti schvalování, sledování úloh a zasílání varování v případě výskytu daných událostí. Zajímala nás schopnost vrátit změny zpět, pokud se něco stane a změna musí být ihned vrácena zpět.

Nakonec jsme hodnotili celkové možnosti administrace produktu, uživatelskou přívětivost a jednoduchost použití při provádění testů. Zde je podstatné, zda se lze v produktu snadno vyznat a kdykoliv získat přehled o kritických opravných úlohách. Je k dispozici souhrnný dashboard s rychlým přehledem aktuálního stavu, nebo je třeba projít více obrazovek či vygenerovat report, abyste tyto informace získali? Důležitá je také dokumentace – jak dobře popisovala produkt a jak dokázala pomoci, když jsme měli nejasnosti o tom, jak produkt funguje.

Autor: Mandy Andressová / Pat

Vytištěno z www.computerworld.cz
dne: 12/05/2008 10:06:15 AM