kavin

补丁管理服务:如何对远程系统打补丁并核实

kavin 安全防护 2023-01-17 306浏览 0

传输距离是给客户提供补丁管理服务的障碍之一。即便客户是你的邻居,他可能也不希望你每天都在他的服务器上进行操作。就算是客户不介意你总是呆在他们的办公室,随着你的业务量增大,最终你会陷入麻烦(如果现在你还没有陷进去的话)——不可能每天都面面俱到的访问每个客户。这样,运行远程补丁则成了***可行的运作方式。

当然,远程补丁也有其自身的问题。每个客户的网络都是不同的,那么如何远程传输、应用及核实这些补丁呢?遗憾地是,对于这个问题我无法给出一个明确的回答。适合我的补丁管理方法可能对你又不适用。因此,我不准备介绍某些具体的软件。取而代之,我将在这篇文章中指导大家建立一个基本框架,这个框架能让大家成功地进行各自的远程补丁管理。

给远程系统打补丁不像它听起来那么难。毕竟,大公司每天都在做这样的工作。想想看,大公司通常都有一个总部和很多的分支机构。这些分支机构又常常有很多需要打补丁的系统。因此,你可以注意大公司是怎样给其分支机构打补丁的,并从中学习如何修补远程系统,克服困难。

当大公司远程给其分支机构办公室打补丁时,几乎从不以单个系统为目标。想象一下,如果你要给一个拥有50台电脑的办公室打一个25MB的补丁会发生什么事情。如果你试图把补丁单独送到每个系统中,那么你必须传输1250MB的数据。即使你的端口拥有世界上所有的带宽,你的客户可能还是不满意传输补丁所引起的Internet网速变慢。

没有必要把同一个补丁传输50次。更好的办法是在客户端放置一个服务器,这个服务器在客户的网络中只进行补丁管理。当你发布补丁时,先把它们发到客户的补丁管理服务器上。然后这个服务器负责通过客户的网络对客户系统分别进行补丁升级。

这个方法有很多优点。最明显的优点就是,补丁只需要通过客户的广域网连接传输一次,而这样做将节省带宽。

第二个好处是,你不必为与互联网上的其他个人电脑通信而担忧。因为大多数工作站的配置设为使用动态IP地址,在互联网上你不能直接获取这种IP地址。而这种方法将使得和远程工作站直接通信变得困难。不过,直接通过互联网来访问工作站存在严重的安全隐患。

典型的情况是,当你传输一个补丁到位于你客户办公室的服务器上时,远程服务器将负责对网络上其他各个系统的补丁进行传输、应用以及核实。通常情况下,这也就意味着其他各个系统必须运行一个代理软件,该软件主要负责将各补丁的信息发送给分布式服务器。由于你可以在外部直接与分布式服务器进行通信,所以你能够访问分布式服务器所收集到的信息,并且可以利用这些信息来监测远程系统上的补丁管理情况。

几乎每个企业的补丁管理解决方案都支持一种分等级的补丁管理服务器布局,比如我在上文中描述的那种布局方式。使用这种技术的一个缺点是,你必须能够和你客户的网络服务器进行通信。这也就意味着你的客户不得不在他们的防火墙上专门为你至少开放一个端口。大多数组织会顾忌一些已知的安全漏洞而不愿意为你开放防火墙上的端口。这就意味着,你接下来的工作就是说服你的客户,让他们明白目前的补丁管理模式所带来的好处将超过因开放防火墙端口而引起的风险。

不可否认的是,将补丁应用到远程网络上的确有点棘手。但我希望我提供的这些技术方面的见解,能够对你实施远程补丁管理有所帮助。

继续浏览有关 安全 的文章
发表评论