IT 資產管理的大小事 — 如何選擇最適合的資產管理方法

你知道 IT 資產也有生命週期嗎？Agent-based 與 Agentless 的管理方法有什麼區別，各自又有什麼優缺點呢？

有沒有遇過不清楚軟硬體資產數量的狀況？或是找不到硬體資產的實體位置？又或是設備上線了卻不知道應該如何進行存取控制？不知道軟體或是作業系統是否有依照最新的版本進行更新？那你就是忽略了 IT 資產管理的重要性。

本文快速指引

• IT 設備的生命週期管理
• 資產管理所面臨的困難
• UPAS 如何進行資產管理

IT 設備的生命週期管理

不知道各位在管理 IT 資產的時候，是否有依照一定的流程進行管理與控制？還是在購置資產後就將其直接接上網路進行使用？

其實正如其他資產設備一樣，IT 資產也有其生命周期，分別為：採購、運行、維護與報廢。在每個環節中進行相對應的管理措施相當重要，如果有任何一步缺失維護管理，小至工作效率不佳、大至造成資安危機。接下來帶大家認識一下在這四個生命週期中應該分別進行什麼樣的管理控制措施。

• 採購
  採購是 IT 資產生命週期的第一部份，在這個步驟很重要的一部分就是需要對於網路環境中的資產有數量詳細的了解，將其搭配業務需求進行 IT 資產的採購。所以在採購的部分需要注意的是：
  1. 採購數量盤點
  2. 採購品項紀錄
  3. 設備庫存檢查
  這三項看似簡單的管理措施其實非常考驗管理人員對網路環境與資產的掌握度，如果不足很有可能造成重複購置資產、購置不需要的資產設備等效率不佳與浪費資源的狀況發生。資產盤點的重要性可以看這篇：

資產盤點的重要性 — 該如何進行資產盤點

• 運行
  當設備成功備採購至企業內後，接著便要進行設備上機前的詳細檢查，再這個步驟包含了以下須注意的管理措施：
  1. 設備接入管理
  2. 設備合規檢查
  3. 設備授權檢查
  這些步驟對新接入設備進行連網能力的管控同時對設備進行詳細的安全性檢查，防止新接入設備自帶危害造成資安危機。想了解 UPAS 是如何進行設備接入管理與合規檢查的話可以看這篇：

NAC，IP/MAC管理的最佳幫手！(一)

• 維護
  設備上線後，需要持續的對其進行安全性檢查，及時修補任何的已知安全漏洞，並且在設備產生違規操作或資安危機時及時的阻斷其連網的能力防止危害進一步擴大，以此來防止更為嚴重的資安侵害。
  1. 設備漏洞修補
  2. 設備遠端維護
  3. 設備違規處置
  要達成以上三點控制措施，必須時時監控內網所有設備的運行狀態，包括作業系統、設備所使用的軟體程式，若發現上述兩者有未更新的版本或是使用盜版軟體等情形發生，須立即採取相對應的行動，扼殺所有可能造成危害的漏洞。
• 報廢
  這雖然身為 IT 資產生命週期的最後一步，可是其所含的內容也是極為重要。老舊設備若沒有經過適當的報廢程序，很有可能被遺留於內網中，在之後的駭客攻擊被作為跳板使用，成為資安破口。
  1. 設備 IP 回收
  2. 設備記錄註銷
  3. 設備權限移除
  報廢的設備若沒有進行以上的報廢程序，有心人士便可以利用該設備留存於內網的權限進行操作；同時，老舊設備包含著作業系統不再支援更新的隱患，任何微小的系統漏洞都可能因為無法更新進行修補而被駭客利用。

資產管理所面臨的困難

當你下定決心要好好整頓環境內的 IT 資產時，會發現市面上的 IT 資產管理大致上分為兩類，Agentless 與 Agent-based。上述兩者之間的區別在於是否有於終端設備安裝 Agent(代理程式)，彼此之間各有優缺點並無優劣之分。

• Agentless 的資產管理方案
  Agentless 通常皆是採用 ARP、SNMP、Nmap 等技術來掃描網路或是被動監聽網路封包，透過這些技術來獲取網路環境內的設備基本資料。
  其優點為不需部屬 Agent，讓管理系統的建置時間縮短，同時減少系統資源的用量，並且可以有效的降低系統的維護成本。
  但是缺點也顯而易見，上述技術仰賴一次次的收發來獲取資訊，導致無法及時的更新資料，在掃描的過程中會耗費大量的頻寬，並且只能取得基本資料，重要的軟體資料並無法透過上述技術獲取。
  並且大部分的 Agentless 資產管理方案並無法對設備進行控制，導致管理人員在發生事件時無法透過管理系統限制設備的使用，只能透過人工方式解除設備的連網能力。
  綜合上述內容，市面上 Agentless 管理方案的功能被侷限於收集設備資料而無法對設備進行操作與控制，造成危害很有可能隨著時間漸漸擴大。
• Agent-based 的資產管理方案
  Agent-based 顧名思義就是在終端設備上安裝 Agent，透過 Agent 主動蒐集資料並且回傳給主機。
  使用 Agent 進行資產管理的優點為，因為是直接從終端設備中獲取資訊所以可以取得較為詳盡的軟硬體資料，在資料有變動時可以及時回傳資訊給管理系統；並且可以較為容易的對終端設備進行控制。
  但是基於 Agent 的資產管理手段須建立於完善的資產盤點之上，若沒有全面的資產盤點 Agent 便無法有效的派發於所有的終端設備，導致 Agent 的部屬率無法無法提高，那些未安裝 Agent 的設備便無法管理。

UPAS 如何進行資產管理

綜合 Agentless 與 Agent-based 管理方案的優缺點，UPAS 在資產管理上擷取 Agentless 的優點來補足 Agent-based 的缺點，同時滿足資產盤點與設備管控。

UPAS 採用了 Agentless 的方式來達成設備盤點與存取控制的部分，透過專利 ARP 封包解析和單播技術可即時盤點內網上線設備收集設備 IP/MAC/OS/名稱/屬性/群組/網卡廠牌等資訊，並且不需安裝 Agent 即可對設備進行 IP 管理與設備接入管理。

在設備皆被納入資產盤點的清單，便可以補足 Agent-based 的缺陷，將所有有需要管理的終端設備派送獨家輕量化跨平台 Agent 來蒐集資料並實施控制。輕量化 Agent 避免系統過度負擔，同時跨平台支援可相容多種複雜的網路環境，並可蒐集所有 OS 的軟硬體資料達到資產管理零死角。

結合 Agentless 和 Agent-based，就算是大型環境，UPAS也可以達成超過98%的Agent部署率，確保所有上線設備皆納入管理。

相關文章：

UPAS如何提高內網設備資安合規率？超過98%全面推進！

ITAM，資訊資產管理的守門員(四)