Shavlik NetChk Protect 6.5 предоставляет ИТ-администраторам возможность устанавливать обновления на неактивные виртуальные машины (ВМ), созданные по технологии корпорации VMware. После выхода этого ПО устанавливать программные “заплатки” на виртуальных и физических системах стало значительно проще.
Имея возможность обновлять простаивающие виртуальные машины VMware, ИТ-менеджеры теперь могут быть уверены, что запускаемые лишь от случая к случаю ВМ будут работать с использованием новейших “заплаток”, обновлений и сервисных пакетов.
NetChk Pro 6.5 предназначается для среды Microsoft Windows/VMware. Это гораздо более узкая сфера применения, чем у кросс-платформенного гипервизора, который хотелось бы видеть в продукте, отмеченном как “Выбор аналитика лаборатории eWeek Labs”. Но несмотря на этот серьезный недостаток думаю, что ИТ-менеджерам следовало бы поставить этот продукт на первое место в любых планах по реализации стратегии безопасности, поскольку он позволяет экономить силы и время благодаря автоматической и последовательной установке обновлений на отключенных ВМ, которые довольно трудно обновлять иными способами.
В декабре 2007 г. компания Shavlik интегрировала некоторые свои технологии управления “заплатками” в продукт VMware Update Manager. Как и Shavlik NetChk Protect, он может сканировать активные и неактивные образы сервера ESX Server и устанавливать исправления. Помимо этого NetChk Protect способен сканировать образы VMware Workstation и VMware Server. А впоследствии, как заявили представители компании, он будет работать и с виртуальными машинами, созданными с помощью Microsoft Hyper-V и Citrix XenServer.
Стоимость лицензии на Shavlik NetChk Protect составляет 75 долл. за каждый сервер и 35 долл. за рабочую станцию плюс 25% ежегодно за техническую поддержку ста машин.
Приступая к работе с неиспользуемыми ВМ, нужно прежде всего поместить их в специальную группу на консоли NetChk. После этого я с помощью той же консоли составил расписание их сканирования. Для загрузки образа системы на временный диск консоли NetChk использует утилиту монтирования разработки VMware. При этом открывается временный доступ к настройкам реестра. “Заплатки” и расписание работы NetChk копируются в образ. При запуске виртуальной машины первой исполняемой задачей становится обновление с помощью NetChk.
Во время моих тестов расписание NetChk действовало, как описано выше. Запланированная на будущее установка обновлений не производилась до наступления заданной даты. А установка “заплат”, которую следовало произвести немедленно, осуществлялась сразу после запуска образа ВМ.
С помощью NetChk Protect виртуальные образы легко добавляются к сканируемой группе. Поскольку я тестировал NetChk Protect в среде инфраструктуры VMware с использованием сервера ESX под управлением VirtualCenter 2.5, я через браузер отыскал систему, на которой был установлен VirtualCenter, затем — ту, где стоял ESX server, и выбрал нужные виртуальные образы.
Первая версия инструментария компании Shavlik для сканирования и установки “заплат” не лишена недостатков. Важно иметь в виду, что виртуальные образы, включенные в группу выведенных из эксплуатации машин, не сканируются с использованием предназначенных для них политик, если они запущены. Они сканируются в рамках традиционного процесса, который обычно применяется при установке исправлений на работающие системы. На практике это означает, что я получал сообщение “Машина не просканирована”, когда расписанием предусматривалось сканирование нормальных незадействованных образов. Сотрудники ИТ-службы могут истолковать это как сообщение об ошибке.
Еще одна забавная вещь обнаружилась в интерфейсе пользователя. Выдавалось сообщение, что содержащая исправления база данных обновляется, получая информацию с защищенного сайта компании Shavlik, даже когда продукт был настроен на работу без выхода в Интернет. Кроме того, ВМ, которые работали при первоначальном сканировании, а затем были выведены из эксплуатации и подвергнуты сканированию, по-прежнему обозначались значком “Подключено” на экранах, отображающих их статус. Это тоже несколько смущало меня во время тестирования и, наверное, будет смущать работников ИТ-подразделений.
Перечень незадействованных конфигураций виртуальных машин, которые NetChk Protect не поддерживает, довольно длинен. В нем фигурируют системы с двойной загрузкой (одной из двух операционных систем по выбору пользователя), зашифрованные виртуальные диски, виртуальные образы, связанные с файлами .VMDK (Virtual Machine Disk), которые сжаты или зашифрованы, подключаемые клоны, образы шаблонов, сжатые образы. Для моей тестовой системы этот объемистый перечень исключений не создал никаких проблем, поскольку я поставил перед собой задачу как можно проще и эффективнее консолидировать максимально возможное число гостевых систем на одной машине.
Множество представлений
Новым в NetChk Protect являются два усовершенствования, внесенные в инструментарий администратора. Они значительно расширяют возможности управления установкой “заплат”. Теперь можно видеть информацию о сканировании, о внесении исправлений и статусе, относящуюся к отдельным системам. Появилось также администрирование на основе распределения ролей, упростившее ограничение полномочий каждого работника кругом тех машин (физических и виртуальных), за которые он отвечает.
При тестировании я часто пользовался “машиноцентрическим” представлением. У тех сотрудников ИТ-подразделений, которые уже работали с NetChk Protect, оно вызовет много охов и ахов. Возможность увидеть каждую систему в отдельности сэкономит массу времени при осуществлении повседневных операций, поскольку администраторы будут видеть, какие “заплатки” установлены на индивидуальных машинах.
Администрирование на основе распределения ролей в сущности означает, что внесение исправлений можно доверить младшему персоналу. Хотя изучение NetChk Protect является далеко не простым делом, можно с меньшими опасениями поручить все еще непростую задачу установки “заплат” не самым квалифицированным сотрудникам, предоставив им ограниченный доступ к небольшому числу не играющих важной роли машин. Когда они освоят искусство и науку поддержания систем на уровне современных требований, можно будет легко расширить их полномочия с помощью NetChk Protect UI.