ITAM-решение на базе агентской или безагентской инвентаризации: Что лучше для вашего бизнеса?

16/09/2024

Давайте рассмотрим различные способы, с помощью которых системы управления ИТ-активами (ITAM-системы) собирают данные. Начнем с определения управления ИТ-активами (ITAM): управление ИТ-активами описывает набор практик, которые отслеживают и обеспечивают автоматизацию жизненного цикла любых приобретенных активов, связанных с ИТ в данном случае, включая инвентаризацию, а также любые расходы по договорам, такие как лицензирование, поддержка и прочее. Подобные записи часто включают такие детали, как цена покупки, любые ежегодные текущие расходы (лицензии и/или обслуживание), даты покупки и, если применимо, даты окончания жизненного цикла (EOL) или окончания поддержки (EOS). Договоры на обслуживание можно отслеживать с помощью систем управления ИТ-активами, связывая их с активами, к которым они применяются. Лицензионные соглашения, их тип, стоимость, схема лицензирования и даты начала и окончания также отслеживаются в ITAM-системах.

ITAM-системы не ограничиваются выполнением только этих задач – многие выполняют гораздо больше. Хорошая система управления ИТ-активами, однако, должна как минимум уметь отслеживать эти базовые данные о каждом ИТ-активе. Качественные системы часто отслеживают гораздо больше, включая каждый IP-адрес, установленное программное обеспечение и службы, которые запущены или не запущены, их конфигурации и, что особенно важно, взаимозависимости между всеми этими сущностями!

Вызовы управления ИТ-активами

В зависимости от размера и зрелости организации, перед ней будут стоять разные задачи, связанные с управлением ИТ-активами. Небольшие компании, особенно на этапе стартапа, могут иметь настолько мало «активов», что их официальный учет может показаться ненужным. Если все ИТ-активы компании могут уместиться в одной машине или переговорной комнате, или если все активы перемещаются вместе с сотрудниками (например, несколько ноутбуков), многим может показаться (и справедливо), что создание детализированного процесса отслеживания этих активов необязательно.

Однако, по мере роста компаний, когда они начинают нанимать все больше сотрудников и приобретать свои первые, вторые, пятые и десятые серверы, а также 50-й, 100-й и т.д. ноутбук, в какой-то момент становится целесообразным выстроить официальный процесс управления активами для управления их жизненным циклом.

Компании, находящиеся в стадии роста, часто оказываются в такой ситуации и должны решить, как действовать дальше, когда процесс разработан и встаёт вопрос заполнения пустой базы инвентаризации всеми активами организации и их данными. 

Другой случай, когда эта проблема возникает – слияние или поглощение, при котором у поглощаемой организации отсутствует/плохая/утрачена или просто совершенно другая процедура управления ИТ-активами. Как можно легко согласовать новые активы и интегрировать их данные с данными о ваших текущих активах? Этот процесс можно выполнить вручную или автоматически, и если автоматически, то с использованием агентов (небольших приложений, устанавливаемых на устройство, которое необходимо инвентаризировать) или без них.

Peшения, которые повлияют на дальнейший процесс миграции:

Безагентский подход

Плюсы:

  • Может «сканировать/искать» конечные точки инвентаризации
  • Не требуется установка агентов на каждое устройство
  • Нет необходимости иметь точные данные об устройствах в инфраструктуре для установки агентов
  • Нет необходимости устанавливать программное обеспечение на каждую машину
  • Минимальная загрузка ресурсов удаленных устройств
  • Меньше зависимости от поставщика
  • Низкие трудозатраты на обслуживание – нет нужды обновлять агентов на всех устройствах

Агентский подход

Плюсы:

  • Нет необходимости разрешать входящий трафик для обнаружения (агент сам передает данные)
  • Возможность просматривать все процессы на устройствах благодаря локальному агенту
  • Агенты могут перехватывать процессы и получать самую детализированную информацию
  • Поскольку агенты работают локально, обычно не требуются отдельные учетные данные
  • Агенты могут собирать данные даже в то время, когда у устройства нет связи с управляющим сервером, и впоследствии эти данные передать на сервер для учёта и анализа

Безагентский подход

Минусы:

  • Активы, подлежащие обнаружению, должны быть доступны для безагентского обнаружения
  • Уровень детализации может быть ниже по сравнению с агентским подходом в некоторых случаях
  • Невозможно собирать данные о запускавшихся на устройстве процессах и службах для анализа
  • В случае потери связи, будут записаны только изменения текущего состояния относительно последнего просканированного
  • Для сканирования требуется открытие определённого порта и использования учётной записи, в большинстве случаев, обладающей правами администратора

Агентский подход

Минусы:

  • Необходимо установить агенты на каждое устройство
  • Требуется точная информация об инфраструктуре для того, чтобы установить агентов и ничего не пропустить
  • Большинство агентов являются проприетарными, что увеличивает зависимость от поставщика
  • Установка агентов сопряжена с рисками безопасности, особенно в случае, когда через агента можно запускать скрипты или осуществлять управление устройством
  • С помощью агентов возможно инвентаризировать только устройства с операционной системой

Три подхода к управлению ИТ-активами: ручное, агентское и безагентское обнаружение

Давайте рассмотрим управление ИТ-активами с высоты «птичьего полёта». С этого ракурса можно заметить, что, несмотря на разнообразие процессов, многие из которых различаются в деталях и реализации, по сути существуют только три основных подхода к обнаружению для управления активами. Независимо от того, какой конкретный метод вы в конечном итоге выберете, он почти наверняка будет использовать один из этих трех методов:

  1. Ручное обнаружение/отслеживание активов
  2. Автоматическое обнаружение/отслеживание на основе агентов
  3. Автоматическое безагентское обнаружение и отслеживание активов

Что значит «автоматическое» обнаружение активов?

Автоматизация в контексте обнаружения активов означает то, что вы, вероятно, и предполагаете. Вместо того чтобы обходить (или отправлять сотрудника) в серверную или каждый офис, чтобы вручную осуществлять инвентаризацию каждого сервера или рабочей станции с помощью бумаги и ручки, инструменты автоматизации принимают на вход имя сервера, IP-адрес или диапазон IP-адресов и могут «автоматически» сканировать и обнаруживать машины, используя предоставленные вами учетные данные. Все, что требуется – чтобы целевые машины были в сети в указанном вами адресном пространстве, чтобы эти серверы были включены и чтобы они принимали предоставленные вами учетные данные для обнаружения.

Безагентское обнаружение активов

В случае использования механизма безагентского обнаружения, система обращается к каждому серверу, пытается «войти» или просканировать сервер, используя стандартные и/или специфичные для производителя протоколы (в зависимости от возможностей используемого ПО для обнаружения). Эти протоколы могут варьироваться от SNMP или SSH для «полностью универсального» обнаружения сетевого оборудования [большинство операционных систем поддерживают хотя бы частично SNMP]. Также могут использоваться более платформо-специфичные API, такие как WMI и WinRM для Windows и SSH для Linux/Unix. Другие методы используют Netflow для отслеживания трафика между сетевыми устройствами, получения информации о том, что используется, или перехвата пакетов и анализа трафика, проходящего по сети.

Все эти методы требуют, чтобы система инвентаризации для обнаружения ИТ-активов имела доступ к той же сети, что и конечные устройства, которые должны быть обнаружены, и чтобы это соединение поддерживалось в рабочем состоянии. В большинстве случаев это не является проблемой, поскольку если сеть выходит из строя, то, скорее всего, сервисы, которые контролируются, также отключаются, и процесс безагентского обнаружения может возобновить сканирование, как только соединение будет восстановлено. Однако существуют особые случаи с ультра-защищенными сетями, которые не разрешают двустороннее соединение или доступ к определенным подсетям — в таких случаях агентский подход может быть предпочтительным (или даже единственным возможным выбором).

Агентское обнаружение

В случае использования механизма агентского обнаружения, в операционную систему целевого устройства устанавливается «агент». Этот программный агент – это фрагмент кода, который работает на целевом устройстве, и вместо того, чтобы устройство опрашивали удаленно (как это делается в случае с безагентским сканированием по SNMP), агент сам записывает, сохраняет и «передает данные», сообщая о своих результатах серверу управления через определённые промежутки времени, в зависимости от типа данных, которые нужно собирать, и частоты, с которой их необходимо обновлять. При этом важно учитывать, что более частые обновления могут начать создавать значительную нагрузку.

Одним из преимуществ агентского обнаружения, часто упоминаемых поставщиками, использующими эту модель, является то, что данные могут собираться без открытого порта на целевой машине и даже без прямого подключения между системой и целевой машиной. Агент, находясь локально, может собирать данные и «сохранять» их, передавая на сервер управления раз в час, день, неделю или даже месяц, как только подключение станет доступным. Другие сценарии, где это может быть полезно, включают, например, сбор данных с ноутбуков полевых сотрудников, которые часто находящихся вне офиса, или изолированные серверы в собственных VLAN. Конечно, данные могут передаваться на более регулярной основе по расписанию, или, в самых строгих случаях, реже, а возможно даже вручную через переносные носители (для крайне изолированных и/или отключенных от сети систем). Примером инструмента ITAM, использующего агентский метод обнаружения является Snow Software.

Можно ли скомбинировать агентский и безагентский подход?

Как часто бывает, истина находится посередине и лучшим подходом будет комбинация из агентского и безагентского обнаружения, если взять лучшее из всех вариантов и использовать каждый из них в тех случаях, где он будет наиболее эффективным. Одной из самых больших проблем с таким логичным, хотя и идеалистичным подходом является тот факт, что большинство поставщиков сосредотачивают свои усилия на разработке одной технологии или другой, и поэтому предлагают либо только безагентское, либо только агентское решение, или же в других случаях предлагают оба варианта, но поддерживают только один из них. В некоторых случаях они могут предлагать и поддерживать оба варианта, но один метод значительно превосходит другой по объёму собираемых данных или поддержке технологического стека по причине, упомянутой выше.

Если вы найдете поставщика, который поддерживает как безагентское, так и агентское обнаружение (например, Device42 или USU), и при этом оба метода имеют одинаковые возможности, то лучшим выбором может оказаться использование комбинации обоих методов для смешанных сетей. 

Другим разумным подходом может быть выполнение начального обнаружения с помощью безагентского метода, чтобы в дальнейшем использовать полученные данные как список устройств, на которые необходимо установить агенты; эта техника использует сильные стороны обоих подходов для первоначального обнаружения и последующей установки агентов для дальнейшего управления и отслеживания активов. Такой подход избавляет компанию от необходимости иметь заранее существующую и функциональную систему управления активами.

Выбор поставщика, который предлагает платформу, соответствующую вашим потребностям

Оба подхода имеют свои преимущества. Если вам необходимо выбрать программное решение, которое предлагает только один из вариантов, примите во внимание следующие моменты:

  1. Готовы ли вы устанавливать агентов на каждую машину?
  2. Есть ли у вас есть точный список машин, на которые необходимо установить агентов?
  3. Комфортно ли вам выполнять подготовительные работы, связанные с установкой агентов?
  4. Есть ли у вас сеть, которая требует использования агентов для доступа к значительному количеству защищенных машин, которые вы точно хотите отслеживать?
  5. Сможете ли вы согласовать заведение на конечных машинах учётных записей необходимых для безагентского сканирования?
  6. Важны ли для вас точные данные об использовании установленного на устройствах ПО?

Если вы уверены в этих аспектах, убедитесь, что выбрали поставщика с хорошей репутацией и историей удовлетворения потребностей клиентов, например Snow Software или USU в случае с агентским (или преимущественно агентским в случае с USU LiMa) обнаружением. Убедитесь, что возможности выбранной платформы известны, и что поставщик, которого вы рассматриваете, соблюдает требования безопасности при обращении с данными о ваших активах. 

Поставщик, который поддерживает безагенское обнаружение в качестве основного метода, например, Device42, или, наоборот, только безагентский поставщик, может стать идеальным выбором для вас, если ваша организация обладает достаточно большой ИТ-инфраструктурой и/или не имеет четкого представления о том, сколько ИТ-активов нужно обнаружить.

Не забывайте обращать внимание на детали того, что именно обнаруживается!

Независимо от того, какой метод обнаружения вы выберете, убедитесь, что вы чётко представляете, что именно обнаруживается, ведь в конечном итоге для принятия решений бизнес-руководителям важны данные, которые позволяет собрать выбранный метод! Что толку от того или иного метода обнаружения, если он не может предоставить вам необходимую информацию об активах?

Сравните предложения (и результаты обнаружения!) от нескольких поставщиков. Поспешный выбор или оценка продукта может привести к приобретению «альтернативного» продукта, который на самом деле не является альтернативой вообще..! Как говорится на латыни, Caveat emptor — что примерно переводится как «покупатель, будь осторожен»!

Как выбрать надёжное решение для управления ИТ-активами: советы и подводные камни

Не доверяйте ни одному поставщику на слово, когда речь идет о такой важной (и относительно крупной) покупке, которая, вероятно, повлияет на направление вашего бизнеса на долгие годы! Когда дело касается хорошего ITAM, не торопитесь и не соглашайтесь на компромиссы, особенно с поставщиками, которые не позволяют вам протестировать их решение до покупки. Существуют многие надежные и зрелые продукты для управления ИТ-активами, однако есть и такие, которые больше сосредоточены на маркетинге, чем на функциональности. Убедитесь, что вы сможете попробовать продукт на своей реальной среде до того, как решите его купить!

Squalio сотрудничает с крупнейшими проверенными временем поставщиками программных решений для автоматизации управления ИТ-активами – Snow Software, USU, Device42, Flexera. Мы имеем огромный проектный опыт и уникальную экспертизу в области как ITAM-процессов, так и средств их автоматизации, и сможем чётко объяснить вам разницу между решениями из нашего портфеля и прочими продуктами на рынке, подбирая инструмент и подход, наилучшим образом подходящий под нужды клиента.