尽管多年来人们已经奋力应战,但补丁问题仍持续引发沉重的焦虑感。我们经常看到机构在补丁程序发布一个月后,还未把最新补丁打上–这使病毒和安全隐患有了可乘之机。为什么要冒这样的风险呢?因为许多IT团队缺少工具、流程和资源有效地打补丁。
超过14个补丁管理软件厂商期望能翻转局势。这些产品各有自己的优势和劣势,我们预期在不久的将来能在信息周刊的Real-World Labs(真实世界实验室)测试这其中的大部分产品。请参见在我们"滚动评测"栏目里的自动补丁管理邀请名单与要求。
理想情况下,补丁管理只是大公司一整套配置管理或软件分发系统里的一个组件。小公司可以使用独立工具,但许多公司为了给各种不同的应用和设备打补丁,可能需要好几种功能相对单一的产品。但无论如何管理,自动化是关键,其他功能如文档变更管理,必要的测试以确保补丁不会影响其他应用程序,以及设定部署策略以避免网络瘫痪等功能也很重要。
微软的实践
自从有计算机开始,应用程序就有打补丁的需求,而随着Microsoft微软操作系统在市场地位上的日益巩固,引人瞩目地Windows补丁的数量也日渐增加。自从Windows 98以来,微软就开始探索为Windows服务器和桌面机自动打补丁的方式。它目前的实现方式叫Windows Server Update Services(Windows Server更新服务),简称WSUS,它是除本机Microsoft Update系统之外的另一种打补丁方式,WSUS提供由本地管理的软件升级服务。使用WSUS IT部门就可以自行分发补丁,从中心服务器端直接升级各客户端机器。
目前版本WSUS的升级范围已日益扩展,比使用微软的Windows更新网站方式是一大进步。因为单台计算机不再需要访问外部服务器,这样可以节省带宽、时间和磁盘空间。在Windows Server 2008里,应用程序本身就带升级功能,目前WSUS可以从微软网站免费下载。
免费确实不赖,但大多数机构的环境要远比单纯的微软桌面机和服务器更复杂。而微软的免费工具也不能提供大机构所需要的灵活性和扩展度。
补丁管理工具通常都包含在软件分发、设备和配置管理套装中,尽管开始时相对昂贵,但可以根据需要进行扩展。它们是否值得这个昂贵的价钱取决于你需要部署哪种类型的补丁。如果你负责包括服务器和桌面机在内的诸多网络设备,需要一个可以管理各种机器的工具,惠普公司(HP)的Opsware也许是个好选择。如果你只需要关注桌面机,可以缩小考虑范围,比如CA的补丁管理程序就可以了。如果你需要为服务器打补丁,是只需要管理Windows操作系统或还需要Unix、Linux甚或虚拟系统呢?
自动化是关键。手工打补丁的人力成本非常高昂,令人难以接受。为补丁流程的每一步制定详尽的列表,包括收集补丁信息,确定严重性和优先级,做详尽的演习部署,以确定补丁是否会影响其他系统和确定哪些端点机器需要更新。向考虑购买的厂家咨询是否这些步骤都可以自动实现。
因为和补丁管理相关,变更控制也很重要。打补丁的频率和时间是什么?谁可以部署和授权更新?怎样测试补丁?什么情况下会需要回滚?考虑补丁软件的时候,还需要了解自己有多少台要管理的设备,和在可见将来会有的设备数。管理50到100台设备的软件报价和成百上千台是不一样的。大公司在考虑与配置相关的产品时,如软件分发或配置管理数据库,应确保它们包含强壮的补丁管理能力。如果你有资产和设备清单系统,了解其中是否整合了补丁管理功能,否则你可能就要自己到处瞎找了。
考虑到那种情愿与否都要打补丁的方式会对用户和网络造成负面影响,需要了解补丁产品如何处理在打补丁时没有在线的应用和设备。它是否能够实现广播分发、高级压缩、端点检查和重启功能?如果通讯连接中断,终端设备是一台离线的笔记本电脑,或因为某些原因补丁程序安装失败,该软件会如何处理?理想情况下,补丁软件应该有办法尝试再次为程序打补丁,并根据重复的失败发出通知和报警。
日志也很重要。需要确保产品支持审计和通知。对受萨班斯-奥克斯利(Sarbanes-Oxley)法案监管的许多公众组织而言,这是一项严格的要求,忽视它可能会招致大额罚款。
各显神通的补丁软件厂商们
通常来说,根据它们提供的补丁内容和如何使用代理的方式,补丁管理产品主要有四种类型:微软桌面机和服务器可选代理方式;Windows桌面机和服务器必须使用代理;跨平台系统且必须使用代理;支持跨平台系统使用代理且支持虚拟化环境和数据中心。以下是我们希望测试的一些产品的预览介绍。
微软桌面机和服务器可选代理方式:
许多机构希望为他们成百上千台Windows桌面机和服务器提供特定的补丁资源,以杜绝病毒和恶意代码通过网络大规模扩散和肆虐,引起系统或网络的瘫痪。Shavlik Technologies的 NetChk Protect组合了补丁和恶意软件管理,既可使用代理也可以不用;除了Windows操作系统之外它还能为将近700多种应用程序打补丁。包括BMC、微软和Symantec等众多厂商都在自己的补丁管理套装中使用了Shavlik的产品。
和NetChk Protect一样,Ecora Software公司的Patch Manager为IT管理员提供使用代理可选方式。它偏重于对Windows工作站和服务器信息挖掘、补丁评估和补丁安装。Ecora可以限制打补丁时需要的带宽。Ecora承诺提供如补丁回滚、远程唤醒(wake on LAN)、在生产环境里部署之前搭建测试环境等关键性功能,此外还有各种日志有利于审计与合规。
Windows 桌面机和服务器必须使用代理:
通常来说,当IT部门对所管理的设备不拥有完全可控权限时,适合采用补丁代理的方式,例如那些只是间或连上公司网络的笔记本电脑。另外如果需要分配打补丁时的流量与带宽,也适用于代理程序方式,因为它们能提供对设备更严密的控制权限。
Kaseya的Patch Management软件能自动发现缺少的补丁和升级包,并根据设定的时间表自动部署和安装补丁。初始扫描完成后,IT部门可以审阅每台机器的扫描结果并确定是否需要升级、什么时候升级以及如何升级缺失的补丁包。还可以由IT管理员跟踪或批核补丁以实现审计和报告功能。
Novell的Zenworks配置管理软件(Configuration Management)侧重于在出现新的安全升级时,迅速通知IT部门以确保这些升级在分发到客户机前,能预先安装和测试补丁程序。Novell专门有一组安全专家负责跟踪各软件厂商的支持站点和收集为机构提供的升级信息。
IBM的配置管理软件(Configuration Manager)为分布式环境提供微软客户端和服务器软件自动补丁功能。Configuration Manager也可以扫描客户端缺少的补丁、建立补丁计划和分发客户端所需补丁。
和IBM的软件一样,CA Unicenter的补丁管理程序也侧重于Windows平台,不过主要针对桌面机。CA的产品监控最新可用的补丁包和鉴定可用的补丁包。
跨平台必须使用代理:
如果你的工作环境包括:Unix、Linux还有Mac OS,你需要选择支持跨平台应用和操作系统的厂商。BigFix公司在拥有各种策略管理产品之外,还能为主流操作系统和常用应用程序提供补丁管理和安全升级分发的功能,它可以管理超过5万台设备。BigFix Server(BigFix 服务器)运行在Windows平台上,每个管理节点需要部署一个代理。
LANDesk的 Patch Manager 包括一个能收集和分析混合环境下补丁信息的订购服务。和其他软件一样,通过扫描管理的设备,确定应用程序和操作系统的漏洞;一旦发现问题,用户就可以下载相关的补丁,并查看补丁的相关环境需求、依赖关系、程序交互性和已知问题。LANDesk监控每次安装的状态,并提供带宽限制、预演测试环境和详细的策略与合规报告。
以前名叫Marimba的BMC Patch Manager可以提供测试功能,并通过分析补丁包对节点的影响帮助管理员把风险降到最低。BMC Patch Manager Policy Engine 能协助完成初步的补丁安装,并继续监控补丁以确保它们不会被卸载。Lumension的 PatchLink Patch Management能为诸多操作系统提供自动收集、分析和分发软件补丁的功能。它的日志功能也很全面。
其他厂商通过配置管理数据库来实现补丁的管理和控制。Configuresoft公司的Enterprise Configuration Manager(企业配置管理软件)能自动发现新系统和追踪预设时间内的配置变更,以确保最新的补丁信息可用。它可以按机器的功能或角色为机器分组,并支持对不同配置的机器进行补丁测试(不确定)。该软件能持续更新所有机器的补丁状态,维护补丁部署的审计记录,这对合规报告极为有用。类似地Symantec的Altiris 补丁管理也使用集中可扩展的存储库方式。
跨平台必须使用代理,支持虚拟化和数据中心:
为了节省成本和提高效率,许多机构正逐渐向数据中心整合和虚拟机靠拢,确保IT部门有能力维护那些被整合的服务器非常重要。补丁管理是其中的关键,理应花费精力与厂商合作以支持更复杂更多样化的操作系统环境,包括运行在VMware里的各种Windows、Linux和Unix服务器。惠普的Opsware/SAS(Server Automation System,服务器自动系统)和BladeLogic就适用于这种环境。
相对于桌面机环境而言,BladeLogic更侧重于数据中心服务器,它支持各种操作系统和服务器组件如中间件、工具、系统软件和虚拟环境里的多层架构应用。
BladeLogic Configuration Manager用基于策略的方式,当策略变更时,就与目标服务器进行同步。该公司说这种双向的模式可以极大地降低与管理服务器相关的成本与错误。配置服务器也能提供跨平台的命令行界面,以支持使用各种授权协议的单点登录方式。所有的通讯都被加密,所有的用户行为都被记录,并可根据角色制定授权许可,这对有高度安全要求的环境很重要,这样的功能特点在中端产品市场中比较难觅。
Opsware SAS 可以自动检测服务器硬件、配置和软件信息。丰富的配置和配置管理能力,SAS可以为数量众多的服务器同时打补丁,还可以创建和执行补丁策略。SAS在审计和修补定义中也提供最佳实践方式,以确保在修补安全或合规漏洞要打补丁时,能实现快速响应。
