NetChk Protect 6.5 фирмы Shavlik позволяет администраторам ИТ устанавливать исправления даже на тех виртуальных машинах VMware, которые временно не подключены к сети
Устанавливать программные заплатки на виртуальные и физические системы стало намного проще после того, как 2 сентября фирма Shavlik представила свой пакет NetChk Protect 6.5. У менеджеров ИТ появилась возможность пересылать исправления на виртуальные машины VMware, даже если они отключены от сети, а вместе с нею и уверенность в том, что самые свежие заплатки, оперативные исправления и сервисные пакеты будут установлены даже на тех системах, которые используются от случая к случаю.
Тестовый центр eWeek Labs, правда, решил не присваивать новинке почетное звание “Выбор аналитика”, но лишь потому, что NetChk Protect 6.5 ориентирован исключительно на среду Microsoft Windows/VMware и не способен предложить более-менее серьезной кроссплатформенной поддержки. И все же ИТ-руководителям стоит рассмотреть возможность применения этой новинки для обеспечения безопасности в долговременной перспективе. Ее способность постоянно обновлять в автоматическом режиме то, что труднее всего поддается обновлению, а именно редко используемые виртуальные машины, которые в момент рассылки обновлений не были подключены к сети, обещает дать немалую экономию труда и времени.
В декабре 2007 г. Shavlik частично интегрировала элементы своей технологии управления программными заплатами в диспетчер VMware Update Manager. Как VMware Update, так и Shavlik NetChk Protect способны сканировать и обновлять онлайновые и автономные образы ESX Server, а решение Shavlik, кроме того, поддерживает образы VMware Workstation и WMware Server. В дальнейшем, как пообещала компания-изготовитель, планируется поддержка виртуальных машин на платформах Microsoft Hyper-V и Citrix XenServer.
Лицензия на Shavlik NetChk Protect состоит из разовой платы в размере 75 долл. за сервер и 35 долл. за рабочую станцию, а также ежегодной оплаты сопровождения системы в размере 25% от общей суммы (при количестве машин больше 100).
Для обслуживания виртуальных машин в автономном режиме на консоли NetChk создается специальная группа, после чего пользователь задает график проверки неподключенных к сети систем. Загрузка образов на временные диски консоли NetChk производится с помощью утилиты монтирования VMware; параллельно открывается временный доступ к параметрам реестра. Программные заплаты и график NetChk копируются в офлайновый образ. После этого система дожидается выхода виртуальной машины в сеть и, как только это произошло, первым делом запускает обновление NetChk.
В моих тестах планировщик NetChk работал как положено и запланированные на определенное время обновления проводились не раньше, чем было задано в графике. Можно было также задать немедленное обновление виртуальной машины сразу же после ее включения.
Добавление виртуальных образов в группу сканирования офлайновых машин особого труда не составляет. Проводя проверку NetChk Protect в среде VMware с серверами ESX Server под управлением VirtualCenter 2.5, я сначала вошел в систему VirtualCenter, затем перешел в нужный сервер ESX и выбрал свои виртуальные образы.
Первая версия инструментария сканирования и обновления, конечно, не без недостатков. Важно отметить, что когда машина, включенная в группу офлайнового обслуживания, работает, то ее обновление производится по стандартным правилам для подключенных к сети виртуальных машин. В результате, если в процессе сканирования планировалась установка офлайнового образа, на экране появлялось сообщение об ошибке “Machine not scanned” (“Машина не сканирована”), что может восприниматься ИТ-сотрудниками как сбой в работе программы.
Некоторые неудобства обнаружились и в пользовательском интерфейсе. Иногда, скажем, перед моими глазами появлялось сообщение о том, что база данных с программными заплатами была обновлена с безопасного узла Shavlik, хотя система была настроена на работу без подключения. А виртуальные машины, которые в момент сканирования были подключены к сети, а затем выведены в автономный режим, даже при следующем сканировании помечались в окне состояния значком “Connected” (“Подключены”). Это также приводило меня в замешательство, которое, скорее всего, испытают и сотрудники ИТ-отделов.
NetChk Protect не поддерживает довольно много различных офлайновых виртуальных конфигураций. В их список входят и системы с двойной загрузкой, и шифрованные виртуальные диски, и виртуальные образы со сжатыми и шифрованными файлами VMDK (Virtual Machine Disk — диск виртуальной машины), и связанные клоны, и образы шаблонов, и сжатые образы. Впрочем, в моей тестовой среде, призванной консолидировать как можно больше гостевых ОС на одном хосте с максимальной простотой и эффективностью, столь долгий перечень исключений никаких проблем не создал.
Обилие консолей
Среди интересных особенностей NetChk Protect следует отметить два существенных административных обновления, которые заметно помогают ИТ-администраторам налагать программные заплаты. Появившееся здесь “машино-центричное” окно содержит информацию о сканировании, обновлении и состоянии отдельной системы, а ролевое администрирование позволяет легко ограничивать доступ ИТ-сотрудников лишь к тем машинам (как физическим, так и виртуальным), за которые они отвечают.
В ходе тестирования я пользовался преимущественно машино-центричным окном, и должен сказать, что у тех, кто работал с прежними версиями NetChk Protect, оно должно вызвать немало охов и ахов. Возможность докапываться в этом окне до отдельной системы обещает сэкономить много времени при повседневной работе по поиску исключений для заплат на каждой из машин.
Ролевое администрирование означает в общих чертах, что управление обновлением может быть доверено сотрудникам более низкого звена. Хотя NetChk Protect и нельзя назвать рекордсменом по простоте обращения, но его инструментарий позволяет привлекать к управлению обновлениями даже не слишком опытных специалистов, открывая им доступ лишь к небольшому количеству второстепенных машин. А по мере того, как они станут набираться опыта и осваивать науку поддержания систем на должном уровне, их роль можно легко расширить прямо из пользовательского интерфейса NetChk Protect.