2006年,卡内基?梅隆大学软件工程学会的计算机紧急响应小组(CERT)报道了需要软件补丁的应用程序漏洞超过8000个——这个数字比2005年增加了30%还多。尽管多年来我们在这个方面下了很大力气,但补丁问题仍在引起许多人的忧虑。我们经常看到许多公司在补丁程序发布了一个多月后,还没有打上补丁,因而给病毒和安全破坏留下了可趁之机。为什么面临这种风险呢?这是因为许多IT部门缺少有效打上补丁的工具、流程和资源。
至少有14家厂商在期望改善这种形势。每个产品各有其强项和弱项,本文希望作一简单评述。
理想情况下,补丁管理只是大公司内部全面的配置管理或者软件分发系统当中的一个组件。小公司也可以使用独立工具,但许多公司需要几种功能单一的单点产品,满足给不同类型的应用程序和设备打补丁的需要。但无论你如何管理,自动化极其重要,变更记录、确保补丁不干扰其他应用程序的测试以及避免堵塞网络的部署策略也极其重要。
微软的做法
虽然自从有了计算机,就需要给应用程序打补丁,但大量出现的Windows更新程序以及微软在市场上的主导地位使人们对补丁问题引起了注意。自推出 Windows 98以来,微软就致力于能够自动给Windows服务器和桌面机打补丁。最新版本的更新程序:Windows服务器更新服务(WSUS)提供了本地管理的软件更新服务,这是除本地微软更新系统之外的一种选择。IT人员使用WSUS,就可以从中心服务器,自动分发补丁和更新程序给客户机。
最新版本的更新程序扩大了它能更新的软件的范围,它与使用微软的Windows更新网站相比是一大进步。因为单台计算机不必连接到外部服务器,所以可以节省带宽、时间和磁盘空间。在Windows Server 2008中,应用程序本身带有这项功能。WSUS则可以从微软网站免费下载。
免费确实不错,但大多数公司的环境使用的不仅仅是微软的桌面机和服务器。微软的免费工具也提供不了大公司所需要的那种灵活性或者扩展性。
补丁管理工具通常都包含在软件分发、供应及配置管理套件中——这些套件尽管开始时相对昂贵,但能根据需要进行扩展。购买这种工具是否值得,这取决于你需要部署哪种类型的补丁。如果你负责给服务器、桌面机以及其他网络设备打补丁,购买能够处理所有这些设备的工具也许是值得的,比如惠普公司的Opsware。如果你只关注给桌面机打补丁,不妨考虑使用功能较单一的工具,比如冠群公司的补丁管理(Patch Management)产品。而如果你需要给服务器打补丁,那还得看情况:单单运行Windows?还是同时运行Unix、Linux或者虚拟系统?
自动化极其重要。手工打补丁这项工作需要大量的人力。要列一份详细的清单,列出补丁流程的每一个步骤,包括收集补丁信息、确定严重性和优先级、进行详细测试以便发现补丁会不会影响其他系统,以及确定哪些端点设备需要更新。你要问清楚考虑购买的某款软件能否实现所有这些步骤的自动化。
因为与补丁管理密切相关,所以变更控制也很重要。你每过多久打补丁、何时打补丁?谁可以部署以及/或者授权更新?如何测试补丁?哪些情况下需要恢复原状(rollback)?你在考虑选购补丁软件时,知道自己目前管理着多少设备、在可预见的将来会有多少设备也很重要。市面上有不同软件,有的可以管理50 到100个设备,有的最多可以管理成百上千个设备。大公司在考虑与配置有关的产品(如软件分发或者配置管理数据库)时,应当确保产品含有可靠成熟的补丁管理功能。如果你有资产清查系统,就要检查是否集成了补丁管理功能,否则最后你不得不完成发现资产的工作。
考虑到不管你愿不愿都要打补丁可能会给用户和网络带来负面影响,因而需要了解补丁产品如何发挥作用,以及如何处理打补丁时未连接到网络上的设备。它能实现多播分发、高级压缩、检查和重启等功能吗?要是通信链路出现了故障,终端设备是一台未联网的笔记本电脑,或者由于某种原因未能成功打上补丁,该软件会如何处理?理想情况下,软件会有一套办法来试图再次打补丁;如果屡屡失败,就会发出通知和报警。
报告功能也很重要。需要确保产品能支持通知和审计功能。在受到《萨班斯-奥克斯利法案》监管的许多上市公司,这是一项严格要求;稍有疏忽就会招致巨额罚款。
软件厂商挺身相救?
通常来说,根据打补丁的对象以及使用代理的方式,补丁管理产品可分为四类:Windows桌面机和服务器使用可选代理;Windows桌面机和服务器使用必选代理;多平台系统使用必选代理;多平台系统使用必选代理,并且关注虚拟化支持/数据中心。下面简要介绍一下相关的部分产品。
·Windows桌面机和服务器使用可选代理
许多公司愿意专门投入资源给成百上千台Windows桌面机和服务器打上补丁,以免病毒或者恶意代码在整个网络上传播,从而导致网络长时间停运。 Shavlik Technologies公司的 NetChk Protect结合了补丁和间谍软件管理功能以及这个选项:使用基于代理或者不使用代理的架构。除了Windows操作系统外,它还能给近700种应用程序打上补丁。包括BMC、微软和赛门铁克在内的许多厂商都在各自的补丁管理套件中使用了Shavlik的产品。
与NetChk Protect一样,Ecora Software公司的补丁管理器(Patch Manager)让IT管理员可以使用代理,也可以不用代理直接运行。Ecora侧重于Windows工作站和服务器上的资产发现、补丁评估及补丁安装,所以使用带宽遏制(bandwidth throttling)功能来限制专门用于打补丁的网络资源。Ecora承诺可提供诸多重要功能,比如补丁恢复原状、网络唤醒,以及在部署到生产环境之前能够指定打补丁所用的测试环境;另外包括有助于审计及法规遵从的各种报告。
·Windows 桌面机和服务器使用必选代理
代理通常用于这样的环境:IT部门可能没有专门投入资源给得到管理的设备,比如偶尔连接到公司网络上的笔记本电脑。如果你需要分发与打补丁有关的网络流量,代理也可能比较方便;它们往往可以对设备提供比较严格的控制。
Kaseya公司的补丁管理(Patch Management)软件可自动发现缺少的补丁和更新程序;还能按设定的时间表自动部署及安装补丁。一旦初始扫描完毕,IT部门就能审查每台机器的扫描结果,并确定是否需要打上每个缺少的补丁或者更新程序,以及何时及如何打上补丁。IT管理员还可以跟踪及批准补丁,用于审计和报告功能。
Novell公司的Zenworks配置管理(Zenworks Configuration Management)软件侧重于出现新的安全更新程序时,通知IT人员;并确保更新程序经过测试之后再分发出去。Novell设有安全专家小组,负责跟踪软件厂商的支持网站,为公司客户提供最新的更新程序。
IBM的配置管理器(Configuration Manager)为分布式环境提供了微软客户机和服务器软件自动补丁功能。配置管理器还能扫描客户机,查找缺少的补丁、制订补丁计划,并且分发所需补丁到客户机。与IBM一样,冠群Unicenter的补丁管理(Patch Management)软件也侧重于Windows——不过是针对桌面机环境。冠群的产品可以监控最近可用的补丁,并对可用补丁进行验证。
·多平台使用必选代理
如果你的环境包括Unix、Linux以及/或者Mac OS,就需要求助于支持跨平台应用程序和操作系统的厂商。BigFix公司除了提供一系列较广泛的策略管理产品外,还为常见应用程序及主流操作系统提供了补丁管理和安全更新程序分发功能;它还可以管理5万多个设备。你需要在Windows上运行BigFix服务器(BigFix Server),并且在每个被管理的节点上部署代理。
蓝代斯克公司的补丁管理器(Patch Manager)包括了一项订购服务,可以收集及分析异构环境下的补丁。与其他套件一样,它可以扫描被管理的设备,并认别应用程序和操作系统存在的漏洞;一旦发现了问题,你可以下载相关补丁,并查看补丁的相关要求、依赖关系、相互影响及已知问题。蓝代斯克产品可以监控每个安装补丁的状态,并提供带宽遏制、测试及详细的策略与法规遵从报告等功能。
以前名叫Marimba的BMC补丁管理器(BMC Patch Manager)提供了测试功能,让管理员可以通过分析补丁对端点设备的影响,从而尽量降低风险。BMC补丁管理器策略引擎便于补丁的初始安装,可不断监控补丁,以确保它们未被卸载。Lumension公司的 PatchLink补丁管理(PatchLink Patch Management)套件可自动收集及分析软件补丁,并且把补丁分发到众多操作系统。它还侧重于报告功能。
其他厂商部署了配置管理数据库来管理及控制补丁。Configuresoft公司的企业配置管理器(Enterprise Configuration Manager)可按指定的间隔时间自动发现新系统、跟踪配置变化,从而确保获得最新的补丁信息。它可以按功能或者角色对机器进行分组,并且支持对不同配置的机器进行补丁测试。该软件可不断更新所有机器的补丁状态,维护补丁部署的审计历史记录,这对法规遵从报告极其有用。同样,赛门铁克的Altiris 补丁管理(Altiris Patch Management)软件侧重于集中、可扩展的存储库。
·多平台使用必选代理,并且关注虚拟化支持/数据中心
许多公司在向数据中心合并和虚拟机先锋,以便降低成本、提高效率,因而确保IT部门能维护那些合并的服务器是关键。补丁管理极其重要,必须注重与这样的厂商合作:能够支持复杂、异构的操作系统环境,包括在VMware上运行Windows、Linux和Unix的诸多服务器。惠普的Opsware/ SAS和BladeLogic非常适合这种环境。
BladeLogic比较侧重于数据中心服务器环境,而不是桌面机环境,它支持诸多操作系统、服务器组件(如中间件、实用程序和系统软件)以及虚拟化环境下的中间层软件。BladeLogic配置管理器使用基于策略的方法:先是改变策略,然后与目标服务器进行同步。该公司声称,这种双向方法大大减少了与管理服务器有关的成本和错误。配置服务器还拥有跨平台的命令行界面,可支持使用各种验证协议的单点登录方式。所有通信都被加密;用户的所有行为都被记入日志,可以根据角色来授权行为;这对需要高度安全的环境而言很重要;中档产品可能不具备这样的功能。
Opsware SAS 可自动发现服务器硬件、配置及软件。借助全面的配置和供应功能,SAS除了可创建及执行补丁策略外,还能识别数量众多的服务器,并打上补丁。SAS还使用审计方面的最佳实践及设定的补救办法,以便能够迅速应对需要打补丁的安全或者法规遵从方面的漏洞。
小贴士:询问厂商的七大问题
1、你的软件侧重于桌面机还是服务器?对这些设备而言,得到支持的是哪些具体的操作系统和版本?
2、软件在打补丁时能够控制网络带宽吗?
3、你的产品如何处理未能成功打上补丁的情况?
4、软件如何发现环境中有哪些应用程序和操作系统?
5、产品能够与其他资产清查或者配置管理产品集成吗?
6、它能报告成功和失败、并且为我提供所有补丁的全面审计日志吗?
7、产品如何知道有补丁可用、如何知道补丁的轻重缓急?
打补丁方面的七大错误
1、没有在部署补丁之前进行测试。有些补丁与其他应用程序不兼容,甚至会完全干扰其他程序。
2、没有恢复原状方案。要是未能成功打上补丁,你就需要能够轻松恢复到原状。
3、破坏网络。同时在网络上部署多个补丁会导致其他应用程序停止运行,激起用户的怒火。
4、正常工作时间“需要重启”。许多补丁需要用户重新启动系统。尽可能在工作时间之外部署这些补丁。
5、缺少补丁。常常是用户提出了要求或者出现了病毒,才拼命寻找缺少的补丁。要随时了解最新版本,尽量减少停运时间。
6、没有补丁审计跟踪。如果你经常打补丁,就要跟踪打上了哪些补丁、何时打上,用于审计和跟踪。
7、没有正式的补丁流程。事先定义策略来指定谁可以批准补丁、并指定补丁部署规程,这对补丁管理的成功至关重要。
