工程师“大话”IT管理,Ivanti 技术专家为您分享来自一线的观察和思考,本期嘉宾是Ivanti资深工程师寿贝宁。您还在为是否给服务器打补丁纠结吗?从根本上解决隐患,永远都不是一个落伍的话题!

一起来看看一线工程师和用户的对话。

首先简单回顾一下病毒发展的历史,CIH(1998年)、红色代码(2001年)、冲击波(2003年)、震荡波(2004年)、熊猫烧香(2006年)、磁碟机(2007年)、超级病毒(2010年)、WannaCry永恒之蓝(2017年),纵观这些年间计算机病毒的发展历史,不难发现,尽管病毒是伴随着计算机与互联网同步生成的一个产物,但随着各种安全防护工具普及,以及人们安全意识的提高,近些年类似“熊猫烧香”这样的恶性病毒已经越来越少见了。不过近期爆发的WannaCry还是给我们敲响了一记警钟,定期打补丁,从根本上解决隐患,永远都不是一个落伍的话题!

其实是否需要给服务器打补丁已经是一个不需要过多进行讨论的话题了,但是很多安全管理员之所以还在纠结是否需要给服务器打补丁,主要是还没有一套能够打动他们的最佳实践。下面一段Ivanti工程师和用户的对话,希望可以对大家有所帮助:

用户A:按照行业规范要求,我们企业现在必须要把服务器定期打补丁的方案做到计划里了。

Ivanti工程师:了解,我们正好有服务器打补丁的解决方案。

用户A:我听过很多了,但是都不能很好的适应我们企业的现状。首先我们现在有超过600台服务器,包括了物理机和VM虚拟机,分布在6个机房和数据中心,我怎么能快速的发现所有的服务器,我不希望有遗漏。

Ivanti工程师:针对物理服务器,我们提供了多种发现方式,IP地址范围、LDAP组、主机名称、域名等,对于VMware,我们可以直接联动vCenter或者ESX,把所有的虚拟机甚至虚拟模板全部发现和展现出来。

用户A:嗯哼,我们虚拟机占比还是比较大的,以后也会向VM迁移,你们这个方案不错,但是这么多分布各异的服务器挨个装客户端也不太现实,即使我愿意抽调人手和时间,兼容性测试就是一个很大的问题。

Ivanti工程师:我们针对服务器提供无代理解决方案。

用户A:哦,这个好,能解决我们很多部署的麻烦。对了,我们大多数服务器都不能访问Internet,你们有对应的解决方案吧?

Ivanti工程师:首先,可以从控制台进行集中补丁回滚操作。其次,对于虚拟机,我们还可以在修复补丁前后自动快照,当然,不定期的测试环节还是不能少的。

用户A:测试我们肯定还是会做的,但是还有一个非常关键的问题,虽然安全是由我们部门制定安全基线,但是一些生产服务器还是归应用部门运维,如果我们后台自动打补丁,会带来很多困扰,让应用部门打补丁,他们很难在不连Internet的情况下找全所有补丁。

Ivanti工程师:针对这种情况,我们可以自动把每台服务器缺少的补丁安装程序自动推送到指定目录下,并在此过程中自动将漏洞报告发给指定的应用服务器管理员,这样他们就可以方便的进行安装测试了,之后安全管理员只要定期运行补丁报告进行监管就可以了。

用户A:这个方法好,这样的话这个方案基本就可以落地了。

Ivanti工程师:其实您虚机环境中可定还有一些不开机的服务器和模板机,我们的补丁扫描甚至可以在不开机的情况下进行漏洞扫描,对于模板机我们也有一套自动化的补丁修复方案,以后不必面临从模板机复制出虚机后就要打一大堆补丁的问题了,我们还可以检查ESX服务器本身缺少的补丁,我们还可以联动Xtraction为您展现更加丰富的补丁修复情况…

用户A:好了,接下来请你们的销售尽快联系我吧。

怎么样?不真正解决客户问题的工程师都不是好厨子(#^.^#)

关键是,有Ivanti给力的解决方案为您一路“保驾护航”。