patch-management-kuva-2Halusimme vertailla idealtaan vastaavanlaisia Patch Management -ratkaisuja kuin oma vakiosovellusten hallintapalvelumme. Esittelemme blogissamme erilaisten ratkaisujen hyvät ja huonot puolet käyttäjien näkökulmasta käyden läpi aina yhden ratkaisun joka viikko.

Secunian Patch Management -ratkaisu eli Corporate Software Inspector kertoo tuotteesta jo omassa nimessään jonkin verran. Pelkästään sana corporate on pakko mieltää siten, että kyseessä on todennäköisesti se isojen poikien työkalu. Ainakin päivitysten määrä on Secunian itsensä mukaan suurin verrattuna kaikkiin muihin kilpailijoihin.

Skannattavia sovelluksia todella paljon

Secunia kertoo, että CSI sisältää tuen yli 20 000 sovellukseen. Tässä ilmeisesti tarkoitetaan Secunian tietokantaa, jonka perusteella voidaan tarkkailla, onko jokin sovellus ajan tasalla. Valmiiksi konfiguroituja patcheja he lupaavat satoja. Koska vastaavanlaista tuettujen sovellusten listaa ei löytynyt, suhtaudumme tuotteen päivitysten laajuuteen hieman varauksellisesti.

Hurjien lähtötietojen perusteella ei voi ainakaan väittää, etteivätkö isoimmatkin organisaatiot voisi käyttää CSI:tä. Tuote on selainpohjainen, jos ei käytetä System Center -liitännäistä. Palvelun käytön aloittaminen vaatii tuotteen tilauksen, jonka jälkeen pilvimallisesti saadaan tunnukset hallintapaneeliin. Hallinnassa ensimmäinen tehtävä on asentaa selainliitännäinen, joka luo selaimelle puitteet skannata isäntäkoneen kautta lähiverkon laitteita. Testiympäristössä tämä ominaisuus toimi kohtalaisen hyvin, kunhan skannattaville koneille avattiin tietyt reitit palomuuriin. Toisaalta Secunian kutsumat hostit eli valvottavat laitteet voidaan tuoda myös järjestelmään agenttien kautta tai liittämällä paikallinen AD, josta koneobjektit haetaan. Mikäli SC-plugin on käytössä, niin myös configuration managerista voidaan tuoda halutut laitteet.

Skaalautuuko Secunia?

Laitteiden valvontaan ottaminen tuntuu ainakin skaalautuvan erilaisiin ympäristöihin verrattain hyvin. Tapoja, joilla hostit saadaan seurantaan hallintapaneelissa, on erilaisia. Aivan kuten muidenkaan pilvipohjaisten palveluiden, ei myöskään Secunian käyttöönotto ja peruskäyttö ole vaikeaa. Toisaalta pakettien jakamiseen Secunia tarjoaa suoraan kolme eri tapaa. Ne voidaan jakaa WSUS:lla tai Altiriksella tai tuoda paketti Secuniasta ulos ja jakaa halutulla keinolla. Käytännössä patchien jakamiseen tarvitaan taas kerran joku kanava. Meillä se oli testiympäristössä WSUS, jota monet muutkin ratkaisut ovat käyttäneet. Aivan pienimpiin ympäristöihin tämä tuo haasteita jakamisen suhteen.

Testiympäristössämme on seitsemän eri testilaitetta. Ensiskannauksen jälkeen Secunia asettaa pisteet päätelaitteen turvallisuudelle päivitysten ja sovellusversioiden perusteella. Puutteet saadaan näkyviin sovellus- sekä laitekohtaisesti. Käytännössä itse pätsääminen tapahtuu havaittujen puutteiden perusteella.

Secunia tarjoaa valmiita paketteja jakeluun, joita voidaan muokata kiitettävän laajasti. Tärkeäksi havaitut asetukset olivat säädeltävissä ainakin käytetyimmissä sovelluksissa. Secunian valmiista paketeista tai itse tuodusta paketista tehdään julkaisu esimerkiksi juuri WSUS:iin. Tämän jälkeen päivitys on jakelussa kuten muissakin WSUS:iin perustuvissa aiemmin läpi käydyissä ratkaisuissa. Kustomointi tuntuu olevan Secunian yksi vahvuus, ja myös versioiden hallinnasta pitää antaa erityismaininta muihin ratkaisuihin verrattuna. Automaattiset päivitykset saa pois käytöstä ainakin yleisimmissä sovelluksissa ja sovellustenhallinta tapahtuu WSUS:n kautta.

Ongelmia pienimmissä organisaatioissa

Käyttöönoton ja tuotteen käytöstä poistamisen helppous riippuu siitä, millä tasolla Secunia on otettu käyttöön: onko se liitetty agenttipohjaisesti laitteisiin tai onko paketit jaettu WSUS:lla. CSI:ssä ei kuitenkaan itsessään ole mitään sellaista, minkä takia se olisi erityisen vaikeaa kummassakaan tilanteessa. Vaatimukset olivat hyvin pitkälti samaa luokkaa kuin Shavlikissa ja Solarwindsin tuotteessa. Järjestelmää voitaisiin pitää skaalautuvuutensa puolesta ihan huippuna, mikäli sillä olisi agenttipohjainen sovelluksen jakelumekanismi. Nyt se kuitenkin tarvitsee kaverikseen jonkin olemassa olevan systeemin. Ryhmittelyt ja politiikat määrittelyineen ovat hyvät.

Testiympäristö kaatuili pelottavan paljon

Yhtenä täysin omana kriteerinä on Secunian yhteydessä otettava luotettavuus. Testijakson aikana havaitsimme useammassa eri moduulissa ja järjestelmän osassa omituisia kaatumisia, ja joitakin taskeja ei voinut yksinkertaisesti suorittaa. Pilvipohjaisena järjestelmänä toimimattomuusilmoitusten perusteella oli todella vaikea tehdä mitään. Lokitkaan eivät kertoneet sen enempää kuin yksinkertaisen kaatumisilmoituksen verran.

Tuote on kova, mutta niin on hintakin

Hinnaltaan Secunia on vastaavanlaisten tuotteiden kanssa melko yhteneväinen. Kolmen vuoden sopimuskaudella 250 laitteen ympäristö maksaa vuodessa reilut 4 100 euroa. Ympäristölle, jossa on 2 500 laitetta, tulee kustannuksia puolestaan vähän vajaa 20 000 euroa vuodessa. Ainakin paperilla voidaan sanoa, että Secunia CSI:ssä on potentiaalia vaikka mihin. Kolmen vuoden sopimusta en kuitenkaan uskaltaisi tehdä vielä tämän testijakson perusteella, vaikka hallittavia laitteita olisi vähemmänkin.

Seuraavan viikon jutussa kerromme, millainen Centeron vakiosovelluspalvelu on Patch Management -ratkaisuna. Tutustu vertailun vuoksi myös Centeron vakiosovelluspalveluun!