FineArt News

資安新知

Agent-Based 與 Agentless ITAM 資訊資產管理系統,哪一種適合你 ?

資產管理的挑戰

資產管理對於不同規模和業務屬性的組織,帶來了截然不同的挑戰。規模較小的組織,尤其是在新創啟動階段,所擁有資產可能還很少,因此認為沒有必要對其進行正式管理與稽核。如果整個公司的 IT 資產成長到一定規模,或者IT資產(如筆電)會隨員工出門行動;就可能認為需要對資產規畫流程,進行追蹤管理。

隨著公司的發展成長,員工越來越多,會增加使用伺服器,以及更替筆電。在這個時候,引進一個專業的資產管理系統,來追蹤和盤點這些資產,管理替換生命週期,對組織業務運作上都會有實質幫助。

 

那麼該選哪一種?

IT 資產管理系統依據其收集資料的方式不同,可以分成 Agent-based 以及Agentless。首先定義一下IT 資產管理 (ITAM):一套追蹤和稽核IT設備資產生命週期的實務系統。IT 相關設備的資訊,包括庫存數量,以及授權效期、維護合約等及其相關費用。這些通常包括購買價格、年度維護成本、購買日期以及授權終止/服務終止日期 (EOL/EOS) 日期等詳細資訊。可以通過 IT 資產管理系統,將合約與其申請採購的案例相關聯。軟硬體授權數和實際安裝使用總數比對,清查使用狀況,作為採購、作業管理的依據。ITAM 系統不僅限於這些功能 , 許多系統還可以擴充更多附加、進階功能。但是最基本的IT 資產管理系統,至少能夠自動化盤點 IT 資產的詳細資訊;更有甚者,還可追蹤管理執行中程序,檢視比對機碼、組態設定,關聯主體與配件間或軟體與執行中行程的相依或連接關係。

發展中的公司組織並不會一成不變,資產狀態也會變動。成長超過一定規模,會面臨庫存管理、異動、調用等問題;另一種情況是在合併或收購,其中被收購的組織變更,原有的資產轉移、報銷、併入新組織的異動;ITAM系統能夠核對新收購的資產,並與當前資產資料合併?這些過程可以手動執行,或自動執行。

資產管理的第一件事就是要清查出所有資產(本文中皆稱Asset discovery 資產探索),不論是 agent-based 或agentless  的方案都各有其優點,甚至某些解決方案採取混合架構,舉例比較二者間優缺點:

  Agentless Agent-based
 優點 
  • 掃描網路即可盤點資產
  • 不需要在端點安裝程式
  • 不需事先預估精確的資產數量
  • 不需在資產上安裝軟體
  • 系統資源耗用最少
  • 工具取得容易,不受限特定廠商
  • 低維護成本,只需維護中央掃描套件
  • 支援跨平台,不受作業系統限制
  • 不需額外開通網路通訊供掃描
  • 能夠提供詳細的系統程序執行狀態
  • 常駐程式可以取得較詳細的系統資訊
  • 不需額外取得執行權限
  • 可以執行軟體安裝,移除,控制軟體執行
  • 可擴充資安功能,執行強制控管,稽核記錄
  • 即時(Real-Time)取得資產異動狀態
  • 遠端執行安全有效的Help Desk
 缺點 
  • 被盤點的資產必須在掃描時期,網路上即時回應特定通訊
  • 無法掃描獨立 / 隔離網段或電腦設備
  • 取得的細節有限,遠低於端點程式
  • 被動的資產狀態更新,受限於掃描週期
  • 掃描時耗費大量網路頻寬
  • 所有列管資產都必須安裝端點程式
  • 維護時需要全面更新端點程式
  • 有裝端點程式的資產才能被盤點管理
  • 專屬功能工具易受制於廠商
  • 端點安裝支援作業系統平台受限

 

雖然實施流程上存在許多不同細節,但本質上只有三種用於探索及管理追蹤方法。無論最終採用哪種特定方法,最後脫不了下列三種:

  • 手動資產探索/追蹤 (現在沒人想這麼做吧)
  • Agent 自動探索/追蹤
  • Agentless資產追蹤和探索。

 

什麼是真正的自動化資產探索?

在探索資產方面實現自動化就如同你認知的其他IT自動化一樣。相較於人工到機房、辦公室現場,用紙筆計算盤點設備,自動化盤點系統需要少許的設定,如伺服器名稱、IP 位址範圍或登入網域。只需要目標電腦在網路上,回應指定的通訊埠,並接受所提供的身分驗證,即可自動掃描和探索的整個網路上的IT資產。

Agentless

掃描主機探訪指定網路範圍內每個伺服器、PC、設備,先嘗試判斷作業系統或製造商特定的協定,從 SNMP 到 SSH,適用於一般的網路硬體及大多數作業系統。更進一步用特定作業平臺 API技術,如 Windows 的 WMI 和 WinRM ,及用於 Linux/BSD/Unix 的 SSH。除此之外,其他方法使用側錄網路設備之間的封包流量,用收集到的資訊來推斷設備的類型。

這些技術都要求將資產掃描軟體,連接到與被探索的端點相同的網路,並且保持此連線。在大多數情況下,這不會是問題;但因為資訊安全上的考量,現實環境大部分的網路通訊協定都被關閉,被監視的服務很可能也關閉。在這種情況下,Agent-based的方案可能是首選,甚至可能是唯一的解決方案。

Agent-Based

Agent-Based資產的探索是在每個標的電腦設備上安裝一個軟體程式。這程式是在目的電腦上是獨立執行運作的程序,而不是被遠端呼叫用的程序(例如RPC)。使用此方法探索資產的優點是,可以在目標上沒有開啟通訊埠(如SNMP)的情況下收集資料;甚至沒有直接連線的獨立網段及主機,也能夠收集並儲存資料。如果在連線的狀態下,agent 可以提供定期回報如,每小時、天、周甚至數月的活動資料。其他有效運用的情境方案,像是筆電經常會外出使用 ,等到回到組織或連接其自己的 VLAN 上,就可以更新及回傳資料。或者在最嚴格的情況下,對隔離和獨立封閉的系統,以手動間接存檔方式,匯資料回到伺服器上。

然而在Agent-Based系統上,要追蹤您的資產,必須先安裝程式;但是,如果尚未安裝程式,管理員應該從何處知道有此項資產呢 ?又如何取得需要安裝的電腦完整清單? 裝了之後,管理人員如何知道是否取得了完整資產名單?然而,這是一個非常現實的問題,因無法確保部署工作是否完成,及剩下那些資產未部署完成,這也是規模大的單位選擇Agentless掃描方法的主要原因之一。

 

結合 Agentless 及 Agent-based ,並且更優化 ? 

與許多事情一樣,選擇方案面臨的最大挑戰之一是,大多數產品供應商只將開發工作重點放在一種技術上。然而最好的選擇通常是從所有選項中,擷取優勢項目並充分利用。直覺的理解,同時提供Agentless 及 Agent-based的解決方案是比較好的選擇。但有一種方案可能遠優於前述的單純混合方案,考慮以Agent-Based 資產管理為主要架構,外掛獨立資產掃描服務。

在軟體資產管理範疇中,通常包含軟體執行的控制與管理以及其他安全控制。為維持資安防護有效性,agent 本身就需要具備一定強度的自我防護。除了防護之外,Agent-based更可以時時監控,精準掌握資產狀態。這方面適用於大部分Windows 平台,而其他作業平台、設備則以Agentless掃描來補足。即便是由Agent-based 的資安防護系統衍伸而來的,通常也會整合部署工具,內建網路掃描服務,清查未安裝的電腦。

相較之下,只為蒐集資產而設計的agent,功能陽春了許多;也因安全防護強度不足,自身極易受到其他程式干擾,導致傳輸資料缺漏,甚至於完全沒有作用。雖然可以用掃描來補,但資產資訊詳細度,資產異動即時性上面就比不上 Agent-Based 的系統。若是以掃描為主軸搭配 (light) agent 這樣的架構,對資產掌握的精確度跟有效性就不是那麼可靠了。當面臨這樣選擇購時,你會怎麼選呢?不要單單僅參考供應商的書面資訊,要依據你環境狀況評估需要的內容,準備測試計畫,驗證可行性、可靠度等。別忘了考量管理複雜度,這可能會影響未來幾年的工作效率!