Patch Management -ratkaisut vertailussa – GFI LanGuard – Osa 8/14

GFI-LG-logoVuosittain tehtävä vertailu

Teimme noin vuosi sitten vertailun markkinoilla olevista tärkeimmistä patch management -työkaluista. Päätimme tehdä vertailusta vuosittaisen katsauksen patch management -ratkaisujen tarjontaan. Nyt on taas aika käydä vanhoja sekä uusia tuotteita läpi. Julkaisemme nyt vertailun 14-osaisena blogisarjana.

Jos et malta odottaa, vaan haluat lukea koko vertailun läpi heti. Voit ladata sen PDF-muodossa täältä.

Edelliseen osaan pääset artikkelin lopusta olevasta linkistä. Samoin seuraavaan osaan sen ilmestyttyä. Voit selata artikkeleja myös sivun oikeassa reunassa olevan uutisarkiston kautta.

Blogisarjan osat:

  1. Vertailun lähtökohdat
  2. F-Secure Software Updater
  3. ControlNow
  4. Panorama9
  5. N-Central
  6. Shavlik Protect
  7. ManageEngine
  8. GFI LanGuard
  9. Ninite Pro
  10. Shavlik Patch for Microsoft System Center
  11. Solarwinds Patch Manager
  12. Secunia CSI
  13. Centero Software Manager
  14. Lopputulos, yhteenveto ja hintavertailu

Melko kattava kirjo tuettuja sovelluksia

GFI LanGuard on jo olemassa olevaan organisaation infrastruktuuriin implementoitava päätelaitteiden turvallisuutta skannaava ratkaisu. Tämän yksi luonnollinen osa-alue on haavoittuvuuksien havaitseminen ja paikkaaminen sekä Microsoftin, että kolmansien osapuolten sovellusten kohdalla. Ratkaisu tukee melko mukavaa noin sadan sovelluksen joukkoa. Tältä osin LanGuard sijoittuu vertailun kärkipäähän.

Vaatimukset palvelimen osalta eivät ole mitenkään erikoiset. Testijaksolla käytimme Windows Server 2012 R2 -palvelinta, mutta myös Windows-työasemakäyttöjärjestelmät kelpaavat. Ratkaisu skaalautuu vaatimustensa puolesta hyvin pienestä isompaankin yritykseen.

Käyttöönotto ohjattua ja sutjakkaa

Asennus on tehty mukavan leppoisaksi, ja muutaman klikkauksen jälkeen palvelinohjelmisto on valmis käytettäväksi. LanGuard on hieman nimeensäkin noudatellen jonkinlainen haavoittuvuustutka. Positiivisena asiana ratkaisu skannasi heti ensimmäisenä laitteen, mihin palvelinohjelmisto oli asennettu. Siinä ikään kuin annetaan edellytykset lähteä liikkeelle puhtaalta pöydältä turvallisin keinoin. LanGuard otetaan asennuksen jälkeen käyttöön etsimällä laitteet, mitkä halutaan valvonnan piiriin. Tämä tapahtuu käyttämällä hyväksi työryhmää tai toimialuetta. Laitteet on myös mahdollista lisätä yksitellen määrittelemällä IP-osoite tai tuoda IP-osoitteet tekstitiedostona.

Kun laitteisiin on saatu yhteys toimivilla tunnuksilla, niin agenttien asentaminen on mahdollista. Ratkaisua on toisin sanottuna kohtuullisen helppo käyttää, lukuun ottamatta pieniä yhdistämisongelmia. Käytännössä testin aikana työaseman palomuuri piti ottaa pois päältä, jotta asiakaskoneet saatiin yhdistämään palvelimeen. Sama asia olisi toki voitu hoitaa avaamalla vaaditut portit. LanGuardissa kiinnittyi huomio myös melko pitkiin skannausaikoihin per laite. Aika on varmasti lyhempi, mikäli haavoittuvuudet halutaan etsiä ainoastaan sovelluksista.

Prosessin kannalta juuri olennaisia asioita voidaan määritellä

Agenteilla suoritetaan laitteille haluttu skannaus halutuilla asetuksilla. Asetuksia ei periaatteessa oli järjin paljon. Tuotteesta huomaa, että päivitysten hallinta on vain yksi osa kokonaisuutta. Skannausasetuksiin voidaan määrittää koneiden herättäminen unesta ja koneen sammuttaminen, jos päivitystyö valmistuu esimerkiksi yöaikaan. Yksi arvostettava asia on kustomoitavat viestit, jotka käyttäjien työasemille lähtee ennen ajoitettua päivitys-skannausta.

LanGuard mahdollistaa monelle ratkaisulle tutun tavan määrittää niin sanotun päivityksen jälkeiset tapahtumat. Mahdollisuuksia on sammuttaa kone, käynnistää se uudelleen tai tehdä tämä ajoitetusti. Yleisistä päivitysasetuksista on mahdollisuus valita aina sovelluskohtaisesti hyväksymään uudet päivitykset automaattisesti tai hyväksyä päivitykset manuaalisesti. Tämä on itseasiassa toteutettu aika hyvin ja mahdollistaa haluttuun versioon jättämisen minkä tahansa sovelluksen kohdalla. Toisaalta taas halutut sovellukset voidaan laittaa ns. autopilotin eli automaattisen hyväksynnän piiriin. Aivan suurimpiin organisaatioihin eivät LanGuardin asetusmäärät välttämättä riitä, jonka takia ratkaisun skaalautuvuus ei ole paras mahdollinen.

Kokonaisvaltainen tietoturvaskanneri omituisella hintaskaalalla

Omia MSI-paketteja ratkaisulla ei voi jakaa, eikä päivitystiedostoja voi korvata tai määritellä mitenkään. Pakettien laatu on samaa luokkaa, mitä suurimmassa osassa vertailun ratkaisuissa. Ne ovat sovellusvalmistajan oletuspaketteja oletusasetuksilla. Käytöstä poistaminen tapahtuu kuten oikeastaan kaikissa lähiverkkoon implementoitavissa ratkaisuissa. Palvelin poistetaan käytöstä ja agentit poistetaan valvottavilta laitteilta.

Languard jäi mieleen kokonaisvaltaisena haavoittuvuusskannerina. Toimintavarmuus oli hyvällä tasolla testijakson aikana. Ratkaisu hinnoitellaan per skannattava IP per vuosi. Käytännössä 250 työaseman ympäristö maksaa noin 2200 € vuodessa. 2500 työaseman ympäristö pysyy hinnaltaan suhteessa täysin samana, jolloin sen kustannus vuodessa on noin 22000 €.

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: Patch Management -ratkaisut vertailussa – ManageEngine – Osa 7/14
» Seuraava artikkeli: Patch Management -ratkaisut vertailussa – Ninite Pro – Osa 9/14