Centeron guru, Juha Haapsaari, tilittää vakiosovellusten merkityksestä maailmalle.

 

Tutut pikkusovellukset maistuvat hyökkääjille. Entä ylläpitäjille?

Kaikki me tiedämme, miten usein sovellukset nykyään päivittyvät. Eteenkin ne pienet kaikkien tarvitsemat palikat kuten Adobe Reader, Adobe Flash, Java Runtime Environment (tuttavallisemmin vain Java), Firefox jne.. Nämä sovellukset päivittyvät hyvin usein ja ovat käytössä varmasti yli 90 % kaikista maailman PC-koneista. Me Centerolla kutsumme näitä sovelluksia ”vakiosovelluksiksi”.

Koska vakiosovellukset ovat hyvin laajalti käytössä, on ne siksi myös hyökkääjien mieleen. Tästä edelleen seuraa se, että sovellukset päivittyvät usein. Syynä ei niinkään usein ole uudet ominaisuudet, vaan se että hyökkääjien havaitsemia ja hyväksikäyttämiä haavoittuvuuksia tilkitään sovellustoimittajan toimesta.

Kotikoneilla tai hyvin pienissä organisaatioissa vakiosovellusten elinkaari on vielä mahdollista hallita manuaalisesti, mutta kun laitteiden määrä kasvaa yhden käden sormien lukumäärää suuremmaksi on vakiosovellusten hallinta usein jopa tuskallisen työlästä. Edellä mainittu pätee siinä tapauksessa, että ympäristön tietoturvataso sekä hallittavuus halutaan pitää halutulla tasolla.

Jos joku uskaltaa nykypäivänä tinkiä näistä asioista, niin käsi ylös!

 

Vaihtoehdot vakiosovellusten hallitsemiseksi

Vakiosovellukset ja niiden elinkaari voidaan hallita muutamalla eri tavalla. Alla on kuvattu erilaisia vaihtoehtoja ja erityisesti sitä, mitkä ovat minkäkin vaihtoehdon plussat ja miinukset.

 

Vaihtoehto 1: Ei hallita ollenkaan

Kun työasema(t) asennetaan, laitetaan sellaiset versiot vakiosovelluksista mitä yrityksessä sillä hetkellä halutaan käyttää. Vakiosovelluksista puhuttaessa, käytännössä asennetaan sen hetken uusimmat versiot tai sitten käyttäjä asentaa sovelluksen sitä tarvitessaan ja osaamisen riittäessä.

Tämän jälkeen ei näitä sovelluksia aktiivisesti päivitellä. Loppukäyttäjällä ei mahdollisesti ole ylläpitäjän oikeuksia, joten loppukäyttäjäkään ei voi itse sovellusta päivittää. Mikäli sovellus jossain vaiheessa päivitetään, johtunee se siitä, että sovelluksen versio on niin vanha, ettei se toimi enää toivotulla tavalla. Esim. nettipankki on uudistunut ja tarvitsee tuoreemman version Javasta.

+ Halpa käyttöönotto

– Tietoturvataso heikko

– Jos käyttäjillä ei ole ylläpitäjä-oikeuksia, automaattiset päivitykset aiheuttavat ylimääräistä päänvaivaa käyttäjille ja/tai ylläpitäjille

– Asennukset kuitenkin muokattava niin että automaattiset päivitykset pyritään poistamaan käytöstä

– Ympäristö on vakiosovellusten osalta erittäin hallitsemattomassa tilassa

 

Vaihtoehto 2: Loppukäyttäjän vastuulla

Tässä vaihtoehdossa käyttöönotto ei poikkea edellisestä. Ylläpito onkin jo eri juttu. Osaako loppukäyttäjä tehdä päivitykset tai pyytää sitä tarvittaessa IT-tuesta? Onko loppukäyttäjällä tarpeeksi oikeuksia tehdä päivityksiä? Onko IT-tuella aikaa tehdä asennuksia käyttäjien puolesta Adidas-tekniikalla?

Jo se, että käyttäjillä on käytössään ylläpitäjän oikeudet työasemaan ainoastaan sen vuoksi, että sovellusten päivitykset onnistuvat, nostattaa monen niskakarvat pystyyn.

+ Halpa käyttöönotto

+ Uusimmat versiot käytettävissä

– Ylläpito joudutaan laittamaan loppukäyttäjien harteille

– Tietoturvataso vaarantunut

– Työasemaympäristön yhtenäisyys häviää todella nopeasti

– Sovellukset voivat asentua käyttäjäkohtaisesti ja tällöin konekohtainen ylläpito menetetään

– Loppukäyttäjille joudutaan antamaan enempi opastusta ja ylläpitäjän oikeudet

 

Vaihtoehto 3: Kolmansien osapuolten tuotteet

On aina mahdollista hankkia jokin markkinoilla oleva tuote, joka osaa hallita vakiosovellusten elinkaaren tai jollain tapaa ainakin avustaa siinä. Nämä tuotteet (Altiris Patch Management, Secunia jne.) toimivat yleensä siten, että työasemien kaikki koodia sisältävät tiedostot (esim. EXE, DLL, OCX) skannataan koneelta. Sen jälkeen tiedostojen informaatiota verrataan hallintasovelluksen omaan tietokantaan ja päätellään, mitä on asennettuna ja mitä pitää päivittää.

Osa tuotteista pitää sisällään automaattisen päivitykset, osa vaatii jonkin toisen järjestelmän tekemään itse päivityksen ja osa ainoastaan raportoi tilannetta. Useimmat näistä sovelluksista hyödyntävät itse sovellustoimittajien (esim. Adobe) julkaisemia katalogeja havaitakseen, onko sovellus tuoreimmalla tasolla.

Kuulostaa hyvältä ja sitä se onkin, mutta tässä tapauksessa pitää hankkia yksi tai useampi uusi hallintasovellus tai niiden lisäosia. Näiden työkalujen avulla sovelluksien konfiguraatioiden hallinta on hankalaa.

Haluammeko esimerkiksi aina levittää vakiosovelluksen sellaisenaan? Kuinka moni on esim. törmännyt vakiosovelluksen asennuksessa kohtaan ”Asenna Google Toolbar”, ”Asenna tämä ja tämä add-in samalla”, ”Ota käyttöön automaattiset päivitykset”, ” Saako lähettää tietoja sovellustoimittajalle” jne. jne..

Ylläpitäjän hanskat hikoavat kun ajatellaan noiden valintojen oletusasentoja.

+ Päivitysten automaattinen jakelu (pakotetusti tai tarjotaan käyttäjälle)

+ Tietoturva parempi ja yhtenäisempi työasemaympäristö (kun päivitykset pakotetaan)

+ Keskitetty ylläpito ja usein myös raportointi

– Käyttöönotto vie aikaa ja rahaa

– Lisää ylläpidettäviä järjestelmiä tai lisäosia

– Päivitykset tehdään sovellustoimittajan oletusasetuksin

 

Vaihtoehto 4: Vakiosovellusten hallintapalvelussa käytetään olemassa olevaa jakelujärjestelmää ja MSI-paketointia

Centero on kehittänyt vakiosovellusten hallintapalvelun sovelluksille, jonka avulla palvelua käyttävä asiakas saa käyttöönsä aina uusimmat sovellusten versiot 5 työpäivän sisällä niiden julkaisusta. Vakiosovellukset on tuotteistettu MSI-paketoimalla: niistä on poistettu kaikki turhat lisäpalikat (kuten Google Toolbar), automaattiset päivitykset on otettu pois käytöstä keskitetyn hallinnan nimissä, ja asennuspaketit toteutetaan aina yrityskäyttöön soveltuvien parhaiden käytäntöjen mukaisesti ja ennen kaikkea sovellusten elinkaari huomioiden. Uudet versiot ja niiden päivittyminen vanhoja versioita vasten testataan aina tarkkaan ennen sovellusten julkaisemista.

Elinkaarella sovellusten osalta tarkoitetaan kaikkea sitä, mitä ylläpidollisesti tarvitsee tehdä sovelluksen asennuksesta aina sen poistoon saakka. Asennus sujuu yleensä kepeästi varsinkin jotakin hallintajärjestelmää (SCCM tms.) käytettäessä, mutta vakiosovellusten päivittäminen tai myös poistaminen on sitten jo ihan oma tarinansa, mikäli käytetään tuotteistamattomia asennuspaketteja.

Vakiosovellusten hallintapalvelun avulla siis saadaan näihin paljon käytettyihin pikkusovelluksiin aivan samanlainen kontrolli ja keskitetyn hallinnan tuoma edut, kuin mihin tahansa muuhunkin sovellukseen, jota hallitaan mitä tahansa jakelu-/hallintajärjestelmää esim. SCCM:ää, Altirista, Microsoft Intunea tms. käyttäen.

+ Uusimmat versiot käytettävissä (testattuna ja parhaiden käytäntöjen mukaisesti räätälöityinä)

+ Tietoturva parempi

+ Ei tarvita lisäsovellusten tai –osien hankintaa eikä ylläpitoa

+ Voidaan käyttää nykyistä jakelujärjestelmää (kaikki käy Adidas tossuista aina hienoimpiin automaattisiin jakelujärjestelmiin)

+ Tiedetään tarkkaan mitkä versiot koneilta löytyy

– Ei tämäkään ilmaista ole, mutta ei kyllä kallistakaan =)

 

Yhteenveto eri vaihtoehtojen plussista ja miinuksista

Vakiosovellukset_vertailutaulukko

Mikä vaihtoehto kullekin?

Jokaisen organisaation kohdalla päätös pitää tehdä tavoitteiden mukaan. Onko tavoitteena päästä mahdollisimman halvalla (hällä väliä tietoturva ja keskitetty hallinta), vai onko tavoite kenties selättää vakiosovellukset kustannustehokkaasti, turvallisesti ja käyttäjien sekä ylläpitäjien hermoja säästäen. Olettaen, että nykypäivänä vaihtoehdot 1 ja 2 eivät tule kyseeseen kuin poikkeustapauksissa, on valinta tehtävä vaihtoehtojen 3 ja 4 välillä.

Uudet hallintatyökalut keskitetyn hallinnan tehostamiselle ja automatisoinnille on todella hyvä asia, mutta tässä tapauksessa ko. työkaluja käyttämällä menetetään täysi hallinta siihen, miten vakiosovellukset asentuvat ja päivittyvät. Näin täydellinen automatisointi johtaa helposti keskitetyn hallinnan ryvettymiseen.

Juuri näiden tuskien poistamiseksi ja sen tavoitellun yhtenäisyyden, hallittavuuden ja ennen kaikkea käytettävyyden saavuttamiseksi, tarjoaa Centero Kapellimestari vakiosovellusten hallintapalvelua. Ei sen päivittämisen siis tarvitse olla tuskaa!

Jos haluat lisää tietoa, miten työasemaorkesterinne saadaan soimaan tahdissa ja oikeassa sävelessä niin lue lisää Centero Kapellimestari -palvelusta.