Các ứng dụng quản lý vá
lỗi tự động
Trong tương lai, các nhà cung cấp sẽ chỉ đưa ra các phần
mềm an toàn, việc vá lỗi sẽ chỉ còn là vấn đề của quá khứ.
Tất nhiên đây sẽ phương thuốc hữu hiệu cho cuộc sống của
chúng ta. Năm 2006, chương trình CERT tại Viện Công
nghệ phần mềm Carnegie Mellon đã đưa ra thống kê con số
lên tới trên 8,000 ứng dụng dễ bị tấn công cần phải được vá
lỗi phần mềm. Tăng hơn 30% so với năm 2005. Không phải
mối nguy hiểm nào cũng được vá lỗi thành công. Ngày nay
chúng ta đang phải đối mặt với nhiều cuộc tấn hơn bao giờ hết
và với nhiều công ty chuyên về CNTT thì việc vá lỗi vẫn còn
đem lại nhiều lo ngại, bởi hầu như họ thiếu các công cụ,
phương pháp và tài nguyên cần thiết để thực hiện việc vá lỗi
hiệu quả.
Nhưng đó không phải là lý do để chúng tôi dừng lại. Không
dưới 14 đại lý quản lý các bản vá đang tiếp tục nghiên cứu và
đưa ra các sản phẩm mới. Mỗi sản phẩm đều có điểm mạnh và
điểm yếu riêng. Các hãng đang hy vọng đưa hầu hết các
sảnphẩm này vào trong phòng thí nghiệm trong thời gian tới, sẽ
làm nổi bật lên các tài nguyên như PatchManagement.org
Listserv, và đưa ra quyết định thảo luận các chủ đề về quản lý
bản vá an toàn trên phạm vi rộng trong các hệ điều hành, các
ứng dụng và thiết bị mạng.
Trong các công ty lớn việc quản lý bản vá sẽ là một thành phần
của hệ thống phân phối quản lý và cấu hình toàn diện phần
mềm. Những công ty nhỏ hơn cũng có thể tham gia với các
công cụ độc lập nhưng nhiều công ty cần các sản phẩm khác
nhau cho các loại ứng dụng và thiết bị khác nhau. Khi bạn quản
lý, việc tự động hoá cũng gặp một số vấn đề như việc thay đổi
tài liệu, kiểm tra để đảm bảo rằng bản vá không phá hủy các
ứng dụng khác và triển khai các phương pháp tránh làm ngắt
mạng.
Điều gì xảy ra ở Redmond…
Trước nhu cầu cần thiết vá lỗi các ứng dụng trở thành quen
thuộc như việc sử dụng máy tính, thì các bản nâng cấp
Windows cùng với sự thống trị thị trường của Microsoft đã tập
trung chú ý tới vấn đề này. Từ khi công bố bản Windows 98,
Microsoft đã đưa vào việc vá lỗi tự động trên các máy chủ
Window và các máy để bàn. Phiên bản hiện nay là Windows
Server Update Services hay WSUS cung cấp một phần mềm
quản lý nội bộ liên tục cập nhật tới hệ thống Microsoft Update.
Sử dụng WSUS có thể tự động phân phối các bản vá và cập
nhật chúng tới máy khác từ một máy chủ trung tâm.
WSUS được khởi đầu như như là dịch vụ cập nhật phần mềm
và chỉ tập trung vào các bản vá trên hệ điều hành và sửa lỗi.
Phiên bản hiện thời mở rộng trên phạm vi của phần mềm có thể
cập nhật và là cải tiến lớn khi sử dụng trang web Windows
Microsoft Update. Bạn sẽ tiết kiệm được băng thông, thời gian
và không gian đĩa. Tuy rằng các máy tính riêng lẻ không kết nối
tới máy chủ ngoài nhưng nó tập trung các bản vá qua một máy
chủ trung tâm nội bộ. Với Windows 2008, tính năng này sẽ kết
hợp với ứng dụng. WSUS là chương trình tải xuống miễn phí
trên trang web của Microsoft.
Nhưng là đa số các công ty còn có rất nhiều máy móc khác
không chỉ là các máy để bàn và máy chủ Window. Do đó công
cụ miễn phí trên của Microsoft không đáp ứng đầy đủ yêu cầu
của các hãng lớn.
Cung cấp kịp thời
Công cụ quản lý bản vá thường được tìm thấy tại những nơi
phân phối phần mềm. Quản lý dự trữ và cấu hình trong thời
gian đầu càng được ưa chuộng thì càng được mở rộng thêm.
Vậy các công cụ này có đáng giá không? Nó phụ thuộc vào loại
miếng vá mà bạn cần triển khai. Nếu bạn phải chịu trách nhiệm
về các thiết bị mạng cũng như máy chủ và máy để bàn thì một
công cụ có khả năng xử lý tất cả những vấn đề trên như
Opsware của HP sẽ rất giá trị. Nếu bạn chỉ gặp sự cố trên các
máy để bàn thì có thể dùng chương trình lý bản vá của CA. Nếu
cần vá lỗi máy chủ, bạn chỉ dùng Windows, hay có Unix, Linux
và các hệ thống ảo?
Tự động hóa tối đa là rất quan trọng. Bạn không nên vá lỗi theo
cách thủ công. Ghi lại một danh sách chi tiết mọi bước trong
quá trình vá lỗi, từ việc thu nhặt thông tin để xác định độ
nghiêm trọng đến việc thực hiện lại từng chi tiết khi mà phát
hiện ra bản vá làm ảnh hưởng tới các hệ thống khác hay quyết
định những điểm cuối nào sẽ được cập nhật. Yêu cầu tất cả các
bước trên thể được tự động trong phần mềm bạn đang sử dụng.
Điều khiển các thay đổi cũng quan trọng như quản lý bản vá.
Mức độ thường xuyên và thời gian áp dụng bản vá của bạn là
như thế nào? Ai có thể triển khai hoặc cho phép cập nhật? Các
bản vá được kiểm tra trước khi đưa ra như thế nào? Những vấn
đề gì thúc đẩy chúng quay trở lại? Tất cả những câu hỏi này
định nghĩa toàn bộ quá trình. Chúng tôi thường xuyên thấy các
hãng dành hơn một tháng cho việc vá lỗi các ứng dụng, nhằm
vào virut và các xâm phạm bảo mật.
Nắm được con số bao nhiêu thiết bị mà bạn có đã được quản lý,
và những báo trước trong tương lai cũng rất quan trọng khi xem
xét các phần mềm. Trong phạm vi quản lý từ 50 tới 100 thiết bị,
có thể lên tới hàng trăm hàng nghìn. Các công ty lớn tính đến
việc sử dubhg các sản phẩn chó cấu hình liên quan đến nhau
như phân phối phần mềm hay CMDB, bao gồm cả bảo đảm khả
năng quản lý miếng vá linh hoạt. Nếu bạn có một tài sản và hệ
thống kiểm kê, hãy kiểm tra chức năng quản lý miếng vá.
Áp dụng vá lỗi chống các tác động tiêu cực dù muốn dù không
tới người sử dụng và mạng, xem xét các sản phẩm đó giải quyết
việc tận dụng và những thiết bị không thể kết nối cùng lúc. Nó
có thể sử dụng băng thông mạng hiệu quả hay không, chẳng
hạn như việc thuê kênh phân phối nhiều chức năng, độ nén cao,
khả năng kiểm tra khởi động lại? nếu một mối liên kết truyền
thông bị ngắt, thiết bị cuối là một laptop ngoài mạng hay một số
lý do nào đó vá lỗi ứng dụng thất bại thì chuyện gì sẽ xảy ra? Sẽ
phải có một phương hướng cho phần mềm nhằm chấm dứt việc
phải vá lại một lần nữa cũng như đi theo một loạt các thông
báo, cảnh báo từ sự thất bại lặp lại này.
Báo cáo cũng rất quan trọng. Bảo đảm rằng sản phẩm có thể hỗ
trợ kiểm định cũng như thông báo để cung cấp rõ ràng hơn
thông tin các ứng dụng quản lý bản vá đang làm gì. Ở nhiều tổ
chức công cộng được bảo vệ bởi Sarbanes- Oxley, đây là một
yêu cầu chặt chẽ mà nếu không chú ý thì có thể dẫn đến những
hậu quả nghiêm trọng.
Các hãng phần mềm "cứu nguy"
Nói chung, có bốn chủng loại sản phẩm quản lý bản vá phân
theo chức năng và tác nhân sử dụng: Các máy để bàn và máy
chủ Window với tác nhân tùy chọn; Các máy để bàn và máy
chủ Window với tác nhân yêu cầu; Các hệ thống đa nền tảng
với tác nhân yêu cầu và một trung tâm hỗ trợ/dữ liệu ảo. Dưới
đây là một số sản phẩm chúng tôi đã đưa vào thử nghiệm.
Các máy để bàn và máy chủ Window với nhân tùy chọn:
Nhiều tổ chức sẵn sàng dành hết các nguồn tài nguyên chuyên
dụng để vá hàng trăm thậm trí hàng nghìn máy để bàn và máy
chủ Window trước khi một virut hay mã nguy hiểm lan truyền
khắp mạng. Những sản phẩm như NetChk Protect của Shavlik
kết hợp quản lý vá lỗi và spyware với tùy chọn sử dụng kiến
trúc nền tảng tác nhân hay không; Nó có thể vá gần 700 ứng
dụng cũng như các hệ điều hành Window. Nhiều nhà cung cấp,
bao gồm BMC, Symantec và Microsoft sử dụng Shavlik để
quản lý vá lỗi.
Tương tự Shavlik, Patch Manager của Ecora cho các nhà quản
trị tùy chọn sử dụng các tác nhân hoặc chạy mà không cần
chúng. Bằng việc tập hợp các nghiên cứu, thẩm định và cài đặt
bản vá trên cả các máy trạm và máy chủ Window, Ecora sử
dụng tốc độ băng thông để giới hạn tài nguyên mạng dành cho
vá lỗi. Chức năng quan trọng như vá ngược và khả năng chỉ
định môi trường vá thử trước khi triển khai sản xuất đã được
hứa hẹn bởi Ecora, và rất nhiều báo cáo kèm theo trợ giúp cho
việc kiểm định.
Các máy để bàn và máy chủ Window với tác nhân yêu cầu:
Các tác nhân thường được sử dụng trong những môi trường
không được phép truy nhập quản lý thiết bị, như laptop nối rời
rạc trên mạng cộng đồng.
Phần mềm Patch Management của Kaseya tự động phát hiện
cập nhật lỗi và có thể tự động triển khai cài đặt trên một biểu đồ
xác định. Khi chương trình quét xong nó có thể tổng hợp kết
quả cho mỗi máy và quyết định liệu các lỗi và cập nhật nào sẽ
được áp dụng khi nào và như thế nào. Các nhà quản trị cũng có
thể theo dõi và kiểm định các bản vá. Chương trình quản lý cấu
hình ZENworks của Novell sẽ đưa ra thông báo khi có một sự
cập nhật bảo mật mới và bảo đảm cập nhật đó đã được phân
phối. Novell cung cấp một nhóm các chuyên gia bảo mật để hỗ
trợ các trang web cập nhật nhiều tổ chức.
Configuration Manager của IBM cung cấp các khả năng tự
động vá lỗi cho máy khách và máy chủ Microsoft trong các môi
trường được phân phối. Configuration Manager có thể cũng
quét các máy khách, xác định lỗi, xây dựng kế hoạch triển khai
vá lỗi và phân phối các bản được yêu cầu tới máy khách. Cũng
như IBM, Patch Management của CA Unicenter cũng tập trung
vào Window điển hình là các máy để bàn. CA theo dõi và đánh
giá những bản vá mới nhất.
Đa nền tảng, các tác nhân được yêu cầu
Nếu bạn một môi trường máy bao gồm cả Unix, Linux và hoặc
Mac OS, nhà cung cấp sẽ hỗ trợ các ứng dụng và hệ điều hành
đa hệ. Ngoài việc đề xuất các sản phẩm quản lý lớn
hơn, BigFix cung cấp quản lý bản vá và cập nhật bảo mật cho
các hệ điều hành chính cũng như các ứng dụng chung và có thể
xử lý hơn 50.000 thiết bị. Bạn cần chạy máy chủ BigFix trên
Windows và triển khai một tác nhân trên mỗi nút quản lý.
Patch Manager của LANDesk bao gồm dịch vụ quyên góp sẽ
tập hợp và phân tích miếng vá cho các môi trường không đồng
nhất. Giống như các chương trình khác, nó quét các thiết bị
quản lý để xác định các ứng dụng và hệ điều hành dễ bị xâm
nhập; khi phát hiện lỗi, bạn có thể tải xuống bản vá lỗi kết hợp
và các yêu cầu nghiên cứu, phụ thuộc và ảnh hưởng. LANDesk
theo dõi trạng thái từng cài đặt và cung cấp băng thông, thông
báo chi tiết tới phạm vi rộng của các hệ điều hành.
Patch Manager BMC, trước đây là Marimba, cung cấp khả năng
kiểm tra cho phép người quản trị tối thiểu nguy cơ rủi ro bằng
việc phân tích tác động một bản vá sẽ có trên một điểm cuối và
nhận biết những xung đột hay những vấn đề khác trước khi vá
lỗi. BMC Patch Manager Policy Engine tạo điều kiện thuận lợi
cho cài đặt bản vá ban đầu và các bản vá kiểm soát tiếp theo để
bảo đảm cài đặt quản lý các điểm cuối.
PatchLink Patch Management của Lumension tự động sưu tập,
phân tích và phân bố của phần mềm vá lỗi trên phạm vi nhiều
hệ điều hành. Nó cũng tập trung vào việc báo cáo.
Các nhà cung cấp khác tiếp cận triển khai CMDB để quản lý và
kiểm soát bản vá. Enterprise Configuration Manager
(ECM) của ConfigureSoft tự động khám phá những hệ thống
mới và theo dõi các thay đổi cấu hình bảo đảm cho thông tin
bản vá mới nhất sẵn có. Nhóm ECM hoạt động bởi chức năng
hay vai trò và hỗ trợ thử nghiệm trên các cấu hình khác. Phần
mềm liên tục cập nhật trạng thái bản vá trên tất cả các máy và
bảo trì quá trình kiểm định bản vá. Tương tự, Altiris Patch
Management của Symantec tập trung tại trung tâm, dễ mở rộng
kho chứa tới các hệ điều hành, phần cứng và phần mềm.
Đa nền tảng, các tác nhân được yêu cầu, tập trung trung tâm
hỗ trợ/dữ liệu ảo: Khi các công ty hướng tới việc củng cố trung
tâm dữ liệu và các máy ảo nhằm giảm chi phí và tăng hiệu quả,
bảo đảm có thể bảo trì các máy chủ đồng nhất. Quản lý bản vá
rất quan trọng, chú ý sự tương thích với các nhà cung cấp hỗ trợ
các hệ điều hành phức tạp bao gồm các máy chủ Window,
Linux và Unix trên VMware, Opsware/ SAS của HP hay
BladeLogic.
BladeLogic được tập trung vào môi trường dữ liệu máy chủ
trung tâm hơn máy để bàn và hỗ trợ các hệ điều hành, các thành
phần máy chủ như thành phần trung tâm, tiện ích, phần mềm hệ
thống và ứng dụng nhiều tầng lớp trong môi trường ảo.
BladeLogic sử dụng cách tiếp cận trên nền chính sách nơi mọi
thay đổi được ứng dụng vào một chính sách, rồi được đồng bộ
hóa với máy chủ đích đến. Công ty cho rằng phương pháp này
có chi phí thấp kết hợp với máy chủ quản lý. Quản lý cấu hình
cũng làm nổi bật một giao diện hỗ trợ dòng lệnh đa hệ đơn
trong việc sử dụng phạm vi các giao thức chứng thực. Mọi
truyền thông được mã hóa, và tất cả hoạt động của người dùng
đều có thể được cho phép dựa vào nguyên tắc, chìa khóa cho
những môi trường bảo mật cao và những thứ không sẵn có trên
thị trường.
Opsware SAS sẽ tự động tìm kiếm phần cứng, cấu hình và phần
mềm. Với khả năng dự phòng cấu hình lớn, SAS có thể nhận
biết và vá một số lớn máy chủ cũng như tạo ra và giám sát việc
thi hành bản vá. SAS cũng sử dụng các phương pháp kiểm soát
tốt nhất để đáp ứng nhanh sự bảo mật an toàn hay đặc tính dễ bị
xâm nhập miếng vá.
7 thiếu sót khi vá lỗi
1. Không kiểm tra trước bản vá.
Một số bản vá sẽ không tương
thích hay thậm chí phá hỏng các
ứng dụng khác.
2. Không có một phiên bản quay ngược lại. Nếu bản vá thất bại,
bạn cần khả năng tái tạo lại.
3. Chết mạng. Việc triển khai nhiều bản vá cùng lúc qua mạng
sẽ ảnh hưởng tới các ứng dụng khác gây khó chịu cho người
dùng.
4. “Khởi động lại". Nhiều bản vá yêu cầu người dùng khởi động
lại hệ thống. Hãy thực hiện khởi động lại khi thích hợp.
5. Mất bản vá. Thường thì người dùng lao vào tìm kiếm các bản
vá thiếu. Sử dụng các phiên bản mới nhất tối ưu thời gian
ngừng.
6. Không vá theo dõi kiểm toán. Nếu bản vá đều đặn, bạn cần
theo dõi điều cản trở ứng dụng để đưa ra kiểm định và báo cáo.
7. Không hình thức hóa quá trình vá lỗi. Một cách chỉ rõ người
dùng có thể phê duyệt bản vá và thủ tục triển khai chúng để
quản lý thành công vá lỗi.
