COME ADOTTARE UN MODELLO DI COMPLIANCE ZERO-DAY PER LA GESTIONE DELLE PATCH DI WINDOWS 10
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
WHITE PAPER - OTTOBRE 2017 COME ADOTTARE UN MODELLO DI COMPLIANCE ZERO-DAY PER LA GESTIONE DELLE PATCH DI WINDOWS 10
COME ADOTTARE UN MODELLO DI COMPLIANCE ZERO-DAY PER LA GESTIONE DELLE PATCH DI WINDOWS 10
Sommario
Introduzione 3
Canali di manutenzione e aggiornamenti cumulativi:
problematiche e implicazioni 4
Il ruolo delle soluzioni UEM di classe enterprise:
libertà di scelta e flessibilità 5
VMware AirWatch modernizza e semplifica la gestione
delle patch di Windows 10 6
Conclusioni 8
WHITE PAPER | 2
COME ADOTTARE UN MODELLO DI COMPLIANCE ZERO-DAY PER LA GESTIONE DELLE PATCH DI WINDOWS 10
Elementi di costo degli Windows 10, che è ormai una realtà di fatto per la maggior parte delle aziende,
aggiornamenti Windows offre un'ampia gamma di miglioramenti e vantaggi rispetto ai sistemi Windows
legacy. E tuttavia Microsoft ha cambiato le regole del gioco introducendo
• Gestione e generazione
nuovi modi per distribuire e gestire gli aggiornamenti del sistema operativo.
di report per i server Questi cambiamenti hanno importanti conseguenze per le organizzazioni
• Licenze Server IT che desiderano garantire la sicurezza degli endpoint e ristabilire l'ordine
nell'installazione delle patch Windows nell'ambito di un ambiente di sistema
• Punti di distribuzione
operativo in rapido mutamento.
• VPN e switch di rete
Sebbene la gestione degli aggiornamenti Windows sia sempre stata un requisito
• Strumenti di gestione chiave per la sicurezza del sistema operativo, il metodo tradizionalmente adottato
di terze parti per gestire le patch e gli aggiornamenti periodici del sistema operativo era senza
• Convalida, test e ombra di dubbio inefficiente, dispendioso in termini di tempo e particolarmente
generazione di report sgradito agli amministratori IT. Inoltre, questo approccio legacy non garantiva
la giusta scalabilità per tutti gli utenti, i dispositivi e le posizioni, mettendo
a repentaglio la sicurezza degli endpoint e facendo aumentare i costi.
Secondo le stime di alcuni analisti, il costo di gestione delle patch del sistema
operativo ammontava a $ 150
(o 2,9 ore) all'anno per ogni utente.
La prospettiva di lasciare che
gli amministratori dedicassero
più tempo ai "Patch Tuesday"
e ad altre attività legate agli
aggiornamenti era esasperante
per i dirigenti IT e frustrante
per i leader aziendali, che si
preoccupavano della capacità
di risposta dell'IT e dell'aumento
dei costi di gestione.
Per fortuna, Microsoft ha cambiato modello di distribuzione delle patch,
abbandonando l'approccio legacy (on-site e incentrato sulla rete) all'installazione
di patch e aggiornamenti in favore del modello "Windows Updates as a Service".
Le nuove minacce dell'era del mobile-cloud fanno sì che le organizzazioni
debbano aggiornare il sistema operativo in modo più rapido e affidabile rispetto
al passato, un po' come avviene con gli aggiornamenti per i sistemi operativi dei
dispositivi mobili. L'aspetto negativo è che questo ritmo assai più rapido genera
tutta una serie di problematiche. Alcune sono:
• Mantenere aggiornati gli endpoint con aggiornamenti molto più frequenti
• Garantire la compatibilità delle applicazioni ad ogni aggiornamento,
in particolar modo per i servizi di sicurezza di terze parti
• Distribuire gli aggiornamenti del sistema operativo, che hanno dimensioni
nettamente superiori rispetto a quelle dei tradizionali service pack
e aumentare il carico che grava sulla larghezza di banda delle filiali
• Distribuire roll-up cumulativi di tipo "tutto o niente" combinando un numero
elevato di patch che devono essere testate e distribuite in una sola volta
WHITE PAPER | 3COME ADOTTARE UN MODELLO DI COMPLIANCE ZERO-DAY PER LA GESTIONE DELLE PATCH DI WINDOWS 10
Il nuovo approccio E questo approccio non si applica esclusivamente a Windows 10. Microsoft sta
adottando questa nuova strategia di gestione delle patch per tutte le sue più
di Windows 10
note applicazioni, come Microsoft Office 365, che adesso vengono aggiornate
all'installazione delle patch tramite lo stesso servizio di aggiornamenti Windows. Poiché questa è la nuova
del sistema operativo si realtà per la community IT di utenti Windows, non è possibile rimandare e
ritardare l'adozione del modello "Windows Updates as a Service". Al contrario,
basa su due nuovi tipi di l'obiettivo deve essere quello di accogliere questo nuovo paradigma senza
aggiornamenti: upgrade incrementare la complessità e senza aumentare il carico di gestione che grava
su un'organizzazione IT già sotto pressione.
dei rami e aggiornamenti
cumulativi. Canali di manutenzione e aggiornamenti cumulativi: problematiche
e implicazioni
Il nuovo approccio di Windows 10 all'installazione delle patch del sistema
operativo si basa su due nuovi tipi di aggiornamenti: upgrade dei rami
e aggiornamenti cumulativi.
Canali di manutenzione
Microsoft ha implementato i canali di
rilascio per far sì che i professionisti
IT abbiano più voce in capitolo sulla
frequenza e sull'estensione degli
aggiornamenti per i dispositivi.
Esistono tre tipi di canali di manutenzione:
• Insider Preview: le build di Insider
vengono rilasciate in modo
continuo da Microsoft e sono progettate per consentire a early adopter,
professionisti IT e sviluppatori di prevedere in anticipo il grado di utilizzabilità
e i test necessari per le versioni successive.
• Canale semestrale (in precedenza Current Branch e Current Branch for
Business): questo è il ramo predefinito per gli endpoint basati su Windows ed
è pensato per essere utilizzato su un'ampia gamma di dispositivi per utenti,
aziende e istituti di istruzione. Il ramo Canale semestrale viene rilasciato due
volte all'anno (a marzo e settembre).
• Long-Term Servicing Channel (in precedenza Long-Term Servicing Branch):
questo ramo è pensato per essere utilizzato con "sistemi specifici o mission
critical", ad esempio gli endpoint che vengono spesso utilizzati in ambienti
IoT (Internet of Things) come quelli del settore medico, industriale e della
vendita al dettaglio. Come suggerito dal nome, questo canale può usufruire
dell'assistenza Microsoft per circa 10 anni.
WHITE PAPER | 4COME ADOTTARE UN MODELLO DI COMPLIANCE ZERO-DAY PER LA GESTIONE DELLE PATCH DI WINDOWS 10
Man mano che aumenta Vi sono diverse ragioni per cui i canali di manutenzione possono creare delle
problematiche per i professionisti IT. Ad esempio, questi aggiornamenti hanno
il numero degli endpoint
dimensioni pari a quelle di una nuova immagine del sistema operativo. Di
e che questi ultimi si conseguenza, l'aggiornamento di tutti i dispositivi nelle reti aziendali sarà
diversificano in termini particolarmente gravoso per la larghezza di banda e l'infrastruttura dorsale.
Poiché gli aggiornamenti sono più frequenti rispetto ai tradizionali service
di formato e casi d'uso, è pack, aumenta ancora di più la pressione sulle risorse richieste per i test
sempre più indispensabile e l'implementazione nell'intera base di utenti. Inoltre, la distribuzione dei nuovi
aggiornamenti ai rami di Windows 10 richiede anche che l'IT mantenga sempre
(e al tempo stesso,
aggiornati all'ultima release gli strumenti di gestione del ciclo di vita del PC
sempre più difficile) esistenti (ad esempio, ConfigMgr).
gestire questi dispositivi in
Le organizzazioni possono quindi usare Insider Preview e Canale semestrale per
modo efficace e coerente. creare internamente degli anelli di distribuzione personalizzati per l'esecuzione
di test. Ogni organizzazione può avere esigenze diverse. Tuttavia, per la maggior
parte dei casi d'uso, VMware suggerisce di:
• Impiegare alcuni membri del reparto IT per testare Insider Preview in modo
continuo
• Distribuire Canale semestrale (al momento del rilascio) al team IT per
l'esecuzione di test in modo continuo
• Eseguire l'implementazione in una piccola parte (circa il 5%) dell'intera
organizzazione
• Scalare al 20% dell'organizzazione per l'esecuzione della fase finale di test
• Distribuire Canale semestrale nella parte restante dell'organizzazione
• Distribuire LTSC a tutti i dispositivi mission critical
Il ruolo delle soluzioni UEM di classe enterprise: libertà di scelta
e flessibilità
Man mano che aumenta il numero degli endpoint e che questi ultimi si
diversificano in termini di formato e casi d'uso, è sempre più indispensabile
(e al tempo stesso, sempre più difficile) gestire questi dispositivi in modo
efficace e coerente.
Per questi motivi, la domanda di soluzioni per la gestione unificata degli
endpoint (UEM) è cresciuta bruscamente. Si prevede che il mercato UEM
globale superi i 3,7 miliardi di dollari entro il 2020, con un tasso di crescita
annuale composto pari al 43%.1 La natura sempre più ibrida dell'IT è un
altro fattore chiave per la richiesta di soluzioni UEM, che sono in grado
di supportare endpoint sia fisici che virtuali, on-site, off-site e nel cloud.
1 "Unified Endpoint Management Market by Deployment Mode, (Cloud, On-Premise, Hybrid), Vertical,
Region – Global Forecast to 2020", MarketsandMarkets, febbraio 2016
WHITE PAPER | 5COME ADOTTARE UN MODELLO DI COMPLIANCE ZERO-DAY PER LA GESTIONE DELLE PATCH DI WINDOWS 10
I professionisti IT vogliono Ora, le patch e gli aggiornamenti per gli endpoint vengono distribuiti sempre
più spesso da Microsoft come servizio basato su cloud, con gli aggiornamenti
avere più controllo e non
che si diffondono progressivamente a una nuova serie di piattaforme mobili
sobbarcarsi innumerevoli (dai notebook ai tablet, fino agli smartphone e ai dispositivi IoT). Tutto questo
aggiornamenti non fa aumentare la necessità di soluzioni UEM basate sui concetti di mobility e cloud,
oltre ad affrontare le carenze del sistema "Windows Updates as a Service" in
necessari. termini di limitazione del controllo
e della libertà di scelta per il reparto
IT sulle decisioni di accettare
o rifiutare gli aggiornamenti
in base a specifiche esigenze.
Per quanto l'idea degli aggiornamenti
cumulativi e dei roll-up di patch
possa essere buona, i professionisti
IT vogliono avere più controllo e non sobbarcarsi innumerevoli aggiornamenti
non necessari. La soluzione UEM ideale dovrebbe consentire agli amministratori
di vedere solo gli aggiornamenti utili per i dispositivi di cui si occupano,
anziché tutti quelli che Microsoft offre in un determinato momento. Inoltre, gli
amministratori vorrebbero anche poter entrare in una dashboard e visualizzare la
Knowledge Base per uno specifico aggiornamento, riguardante una determinata
categoria di dispositivi. In questo modo, potrebbero pre-approvare dei gruppi
di aggiornamenti in base alle informazioni ottenute dalla Knowledge Base di
Microsoft.
In più, avrebbero la possibilità (ancora più interessante) di assegnare policy
e aggiornamenti non solo a un determinato tipo di dispositivo o utente, ma
anche a specifici marchi di dispositivi o specifiche versioni di sistemi operativi.
VMware AirWatch modernizza e semplifica la gestione delle patch
di Windows 10
A causa delle problematiche e delle difficoltà riscontrate con il sistema
"Windows Updates as a Service", le aziende hanno iniziato a cercare
soluzioni UEM ottimizzate per il modello operativo basato su mobility/
cloud. Queste soluzioni devono contribuire a fugare i dubbi su svariati
aspetti, tra cui:
• Impossibilità di controllare quali Knowledge Base vengono distribuite
o differite con aggiornamenti più rapidi e frequenti.
• Gestione dell'inevitabile carico di lavoro a cui la larghezza di banda della rete
viene sottoposta per la distribuzione degli aggiornamenti sulle reti WAN
aziendali, considerando soprattutto sia il numero elevato di dispositivi
e utenti situati off-site sia l'utilizzo di più dispositivi e più identità.
• Preoccupazione per i rischi legati a potenziali interruzioni del servizio e
problemi del sistema operativo dovuti all'impossibilità di eseguire sufficienti
test interni sugli aggiornamenti prima del rilascio agli utenti negli ambienti
di produzione.
WHITE PAPER | 6COME ADOTTARE UN MODELLO DI COMPLIANCE ZERO-DAY PER LA GESTIONE DELLE PATCH DI WINDOWS 10
Il problema degli VMware AirWatch è una soluzione UEM appositamente studiata per risolvere
queste problematiche, oltre che per garantire alle aziende la possibilità di
upgrade forzati dal
supportare correttamente il nuovo modello di servizio degli aggiornamenti
sistema "Windows Microsoft. AirWatch permette agli amministratori di controllare in modo più
Updates as a Service" rigoroso e personalizzabile la gestione e la distribuzione degli aggiornamenti.
(che altrimenti sarebbe Ecco alcune delle capacità e funzionalità specifiche offerte da AirWatch per gli
molto preoccupante per ambienti con Windows 10:
gli amministratori IT) è • Eliminazione delle dipendenze dalla rete, che spesso comportano prestazioni
ridotte, problemi di disponibilità e un'esperienza d'uso di qualità inferiore,
facilmente superabile soprattutto per gli utenti che lavorano al di fuori della rete dorsale.
nella console di gestione • Flessibilità per le aziende che adottano il sistema "Windows Updates as
di AirWatch... a Service", con possibilità di personalizzare la soluzione in base alle proprie
esigenze specifiche. Le aziende possono scegliere una strategia più
aggressiva o muoversi con maggiore cautela adottando le iterazioni del
nuovo modello di servizio. In ogni caso, AirWatch può essere adattato
(e modificato rapidamente) in base alle specifiche situazioni.
• Possibilità di individuare e scegliere i rami e gli aggiornamenti più adatti
ai diversi dispositivi.
• Assegnazione di smart group AirWatch, che consentono di gestire
policy e aggiornamenti in modo estremamente personalizzabile. Policy
e aggiornamenti possono non solo essere assegnati per singolo dispositivo
o utente, ma anche implementati a un livello molto più granulare (ad
esempio, per notebook di specifici marchi o smartphone con determinati
sistemi operativi).
• Ottimizzazione della larghezza di banda grazie a un framework di gestione
e sicurezza over-the-air solido e sicuro.
• Visibilità (per gli amministratori) di tutti gli aggiornamenti disponibili e dello
stato delle macchine, senza le necessità di ricorrere allo sviluppo di script
personalizzati basati su complesse query SQL.
Con AirWatch, gli amministratori possono anche distribuire e/o differire gli
aggiornamenti dei rami appropriati per il sistema operativo sulla base della
priorità dei dispositivi e delle finestre di manutenzione desiderate. Il problema
degli upgrade forzati dal sistema "Windows Updates as a Service" (che altrimenti
sarebbe molto preoccupante per gli amministratori IT) è facilmente superabile
nella console di gestione di AirWatch, che offre ai professionisti IT più informati sui
requisiti a livello di utente e dispositivo un controllo maggiore su aggiornamenti
e patch.
WHITE PAPER | 7COME ADOTTARE UN MODELLO DI COMPLIANCE ZERO-DAY PER LA GESTIONE DELLE PATCH DI WINDOWS 10
Grazie al nuovo modello Inoltre, il caching peer-to-peer per garantire l'ottimizzazione degli aggiornamenti
contribuisce a evitare la potenziale congestione della rete (rischio derivante dai
"Windows Updates as a
massicci aggiornamenti cumulativi).
Service" per l'installazione
di patch e aggiornamenti, Infine, la funzionalità di gestione istantanea basata su push disponibile in AirWatch
semplifica notevolmente lo scenario, sempre più diffuso, dell'installazione di patch
i "Patch Tuesday" sono
fuori rete.
ormai un ricordo del
passato. Conclusioni
Dopo decenni in cui Windows veniva distribuito sulla base di un paradigma di
tipo on-site dipendente dalla rete, i professionisti IT stanno ora facendo i conti con
"Windows as a service" (WaaS), e in particolar modo con gli importanti requisiti in
termini di gestione delle patch. Grazie al nuovo modello "Windows Updates as a
Service" per l'installazione di patch e aggiornamenti, i "Patch Tuesday" sono ormai
un ricordo del passato. Tuttavia, questo modello porta con sé anche notevoli
problematiche per i professionisti IT, che potrebbero non apprezzare la necessità
di gestire continui aggiornamenti e rami di manutenzione.
Per recuperare il controllo sull'intera gamma di attività correlate alla gestione
del ciclo di vita degli endpoint utilizzando la gestione over-the-air di policy e
configurazioni modernizzate, la gestione delle applicazioni e la sicurezza in tempo
reale, le aziende devono prendere in considerazione una soluzione UEM su misura.
VMware AirWatch è una piattaforma UEM ottimizzata per il cloud e la mobility
che consente ai professionisti IT di usufruire dei numerosi vantaggi del modello
WaaS, mantenendo comunque il controllo su come, quando e dove implementare
patch e aggiornamenti senza il rischio di gravare eccessivamente su budget,
risorse umane e larghezza di banda della rete.
Per ulteriori informazioni sulle soluzioni offerte da AirWatch per i numerosi
problemi associati al sistema "Windows Updates as a Service", visitare la
pagina web www.vmware.com/it/products/airwatch-enterprise-mobility-
management.html
WHITE PAPER | 8VMware, Inc. 3401 Hillview Avenue Palo Alto CA 94304 USA Tel. 877-486-9273 Fax 650-427-5001 www.vmware.com VMware Inc. - Via Spadolini, 5 - Edificio A - 20141 Milano - Tel.: (+39) 02 3041 2700 Fax: (+39) 02 3041 2701 www.vmware.com/it Copyright © 2017-2018 VMware, Inc. Tutti i diritti sono riservati. Questo prodotto è protetto dalle leggi sul copyright vigenti negli Stati Uniti e in altri Paesi e da altre leggi sulla proprietà intellettuale. I prodotti VMware sono coperti da uno o più brevetti, come indicato nella pagina http://www.vmware.com/go/patents. VMware è un marchio registrato o marchio di VMware, Inc. e delle sue consociate negli Stati Uniti e in altre giurisdizioni. Tutti gli altri marchi e nomi menzionati possono essere marchi delle rispettive società. Item No: VMware Windows_IT 10/17
Puoi anche leggere
