Сложные задачи в простом интерфейсе: ключевые обновления в новом релизе «Колибри-АРМ»

В новый релиз, выпущенный в декабре, включены мажорные обновления продукта, привносящие множество полезных возможностей как для администраторов, так и для пользователей. В числе нововведений — модуль управления конфигурациями, который значительно упрощает настройку и мониторинг управляемых систем, а также функция сетевого сканирования, способствующая повышению оперативности инвентаризации. Эти группы функциональных возможностей среди российских систем по управлению ИТ-инфраструктурой реализованы в полной мере только в «Колибри-АРМ» и являются существенным преимуществом продукта. Есть и большие изменения «под капотом»: решение с открытым исходным кодом Salt, постепенно замещаемое проприетарным программным кодом с начала 2024 года, было полностью выведено из архитектуры «Колибри-АРМ». Благодаря этому удалось повысить надежность и масштабируемость продукта. К тому же бэкенд «Колибри-АРМ» был полностью контейнеризирован, что обеспечивает большую гибкость и масштабируемость платформы.

Модуль управления конфигурациями

В системе «Колибри-АРМ» модуль управления конфигурациями предназначен для их создания и контроля на управляемых рабочих местах. Его основная задача заключается в формировании наборов конфигураций и автоматическом мониторинге их соответствия заданным целевым состояниям.

Например, администратор разрабатывает конфигурации для соблюдения политик информационной безопасности, куда могут входить отключение небезопасных протоколов шифрования и обязательное включение антивирусного ПО. Затем эти настройки применяются к рабочим местам. Агент «Колибри-АРМ» отвечает за периодическую проверку таких конфигураций. Если что-то изменилось, скажем, кто-то отключил антивирус, агент автоматически исправит ситуацию. А администратор увидит, какие компьютеры не соответствуют установленным конфигурациям. Таким образом, с помощью данного инструмента можно эффективно решить проблему с нарушениями политики безопасности. Это позволяет индивидуально работать с сотрудниками, которые внесли изменения в настройки, или передавать информацию в службу информационной безопасности для дальнейшего решения вопросов.

Данный модуль найдет применение и в организациях, где рабочие места должны быть сконфигурированы согласно требованиям ФСТЭК. Правильно настроенный в «Колибри-АРМ» шаблон конфигурации позволит пройти проверку соответствия всех компонентов АРМ установленным нормативам информационной безопасности. Модуль помогает придерживаться золотого стандарта конфигурации, действующего в организации. Это декларативный подход: администраторы описывают желаемое состояние, а система следит за его соблюдением и в случае отклонений вносит необходимые исправления. Все процессы находятся под контролем, что значительно повышает уровень информационной безопасности на предприятии.

Сканирование сети

Сетевое сканирование в продукте «Колибри-АРМ» позволяет администраторам настраивать данный процесс автоматически для идентификации различных подсетей в организации. Другими словами, сервер «Колибри-АРМ» будет собирать информацию обо всех устройствах, подключенных к сети.

Во время сканирования сервер опрашивает активные адреса, выясняя, какие устройства находятся в сети и какие порты у них открыты. При этом «Колибри-АРМ» может определить тип устройства: компьютер, принтер, точка доступа или роутер. Таким образом, администраторы получат полное представление о том, какие устройства есть в сети, что позволит поддерживать информацию об ИТ-активах в актуальном состоянии.

Одно из практических применений этой функции — автоматическое обнаружение компьютеров. Сервер «Колибри-АРМ» сможет самостоятельно идентифицировать новые устройства в сети и устанавливать на них агент «Колибри-АРМ», тем самым упрощая и автоматизируя процесс подключения компьютеров к системе. Кроме того, собранная информация обо всех устройствах, таких как принтеры и сетевые устройства, даст администраторам более полное представление о состоянии инфраструктуры и повысит эффективность инвентаризации.

Замена Salt на собственный компонент

Перед нашим продуктом стоят задачи обеспечения производительности и надежности для крупных инфраструктур с сотнями тысячами управляемых устройств. Изначально в системе «Колибри-АРМ» в качестве транспортного компонента использовался инструмент с открытым исходным кодом Salt. Однако в ходе нагрузочных тестирований мы столкнулись с проблемами обеспечения масштабируемости данного подхода. После ряда исследований было решено полностью отказаться от этого компонента и разработать собственное решение для уровня транспорта.

Немного деталей. При большом количестве клиентов сервер Salt плохо справлялся с нагрузкой, и некоторые операции заканчивались неуспешно. Все это обусловлено самим механизмом работы компонента. Миньоны непрерывно обменивались сообщениями с мастером, скапливалась и переполнялась очередь. Были предприняты меры по использованию встроенных схем масштабирования с применением синдиков с отказоустойчивым механизмом хранения ключей, однако, помимо значительного усложнения инфраструктурной составляющей, надежность данного подходя была невысокой. На смену перегруженности серверов Salt пришли проблемы с ротацией ключей и переподключений миньонов.

Уход от Salt дал несколько ключевых преимуществ:

Улучшение масштабируемости: «Колибри-АРМ» позволяет эффективнее управлять большим количеством устройств. Повышение стабильности: установка и регистрация агентов теперь занимают всего около одной минуты, в отличие от прежних 15–20 минут. Это существенно ускоряет процесс первичного развертывания и последующего масштабирования. Снижение зависимости от открытого исходного кода: убирая еще один внешний компонент, «Колибри-АРМ» еще раз подчеркивает звание полностью отечественной разработки.

Контейнеризация «Колибри-АРМ»

В последнем обновлении продукт «Колибри-АРМ» был переведен на контейнеры Docker. Это значительное изменение, которое принесет несколько важных преимуществ.

Первое — теперь серверная часть «Колибри-АРМ» станет независимой от платформы. Раньше система могла устанавливаться только на Debian и Astrа Linux, а теперь она будет работать на любой операционной системе, поддерживающей Docker. Это значит, что «Колибри-АРМ» можно установить на такие российские дистрибутивы, как РЕД ОС, «Альт» и другие версии Linux.

Второе преимущество заключается в улучшении возможностей развертывания высокодоступных топологий продукта. С помощью контейнеров и технологии Docker Swarm развернуть приложение с высокой доступностью станет значительно проще. Таким образом обеспечивается большая надежность и доступность нашего продукта.

Соответственно, переход на контейнеризацию делает «Колибри-АРМ» более гибким, надежным и удобным для использования на различных платформах.

МАЛЕНЬКИЕ, НО НЕ МЕНЕЕ ВАЖНЫЕ ИЗМЕНЕНИЯ

Окна обслуживания и перезагрузки

В каждой организации существуют определенные ограничения касательно установки программного обеспечения и перезагрузки серверов. Например, в некоторых компаниях нельзя делать это в рабочие дни, а значит, у технических администраторов, которые управляют серверами с помощью «Колибри-АРМ», возникают дополнительные сложности. В результате специалистам нужно очень внимательно выстраивать работу, чтобы обновления и перезагрузки происходили именно в выходные или в нерабочее время. Для решения этой проблемы была внедрена концепция «окон обслуживания».

Теперь для каждой группы компьютеров, управляемых «Колибри-АРМ», можно установить окно обслуживания. Это позволяет явно указать, что настройки и обслуживание данных устройств могут проводиться только в заданное администратором время — к примеру, в субботу и воскресенье. Если кто-то попытается начать обновление или перезагрузку через «Колибри-АРМ» в будний день, система просто не позволит запустить процесс до тех пор, пока не наступит установленное окно обслуживания. Такое нововведение помогает защитить систему и предотвращает возможные ошибки, которые могут возникнуть из-за неопытности новых сотрудников или по другим причинам.

Теперь технические администраторы могут быть уверены, что даже если что-то пойдет не так, серьезных последствий не будет. Важно отметить, что только определенные пользователи получат доступ к окнам обслуживания, а это повышает безопасность и контроль над процессом обновления.

Критические уязвимости нулевого дня, он же zero-day

В ситуациях, когда возникают критические уязвимости нулевого дня, нельзя ждать наступления окна обслуживания, и теперь с «Колибри-АРМ» вы не столкнетесь с такой проблемой. При развертывании ПО, скриптов или обновлений безопасности у администраторов будет возможность установить галочку «Игнорировать окно обслуживания». То есть, если необходимо срочно запустить какую-то задачу, можно воспользоваться данной опцией. Таким образом была сохранена гибкость системы, устраняющая потребность в сложных манипуляциях — например, изменение окна обслуживания или создание новой коллекции устройств.

Теперь администраторы могут просто установить галочку и продолжить работу, если возникнет экстренная ситуация. Это упрощает процесс и позволяет быстро реагировать на угрозы, не создавая дополнительной нагрузки на технический персонал.

Развертывание ПО: обязательное, доступное или гибридное

При создании развертывания программного обеспечения в «Колибри-АРМ» появилась возможность выбирать, будет ли оно обязательным, доступным или же понадобится гибридный формат. Если мы выбираем обязательный вариант, программа устанавливается на компьютерах пользователей в фоновом режиме без их согласия. В случае доступного развертывания программа становится видимой в специальном магазине приложений «Колибри-АРМ» и каждый пользователь может установить ее по своему усмотрению в удобное время.

Гибридный подход к развертыванию предусматривает, что определенное приложение должно быть установлено на всех компьютерах, но сначала оно становится доступным для пользователей на определенный период.

Представьте, что в понедельник создается развертывание ПО и устанавливается его доступность до пятницы. В это время сотрудники организации получают уведомление: «Уважаемые пользователи, вам необходимо обновить офисное ПО. В течение недели, с понедельника до пятницы, вы можете зайти в магазин «Колибри-АРМ» и установить обновление в любое удобное время. Если до конца недели вы этого не сделаете, обновление установится автоматически в понедельник утром». Таким образом, с понедельника по пятницу у пользователей есть возможность выбрать наиболее подходящее время для установки нового ПО, а если они не успеют сделать это сами, обновление будет выполнено принудительно в начале следующей недели.

Такой подход предоставляет большую гибкость как для ИТ-отдела, так и для пользователей, существенно повышая удовлетворенность от применения ИT-сервисов. Это особенно важно, поскольку принудительная установка без предварительного уведомления может привести к недовольству сотрудников, особенно если у пользователей есть несохраненные документы.

#Теги

В раздел «Управление ПО: пакеты, скрипты» был добавлен удобный функционал тега. Теперь при создании пакета или скрипта вы можете «протегировать» его для последующей более удобной фильтрации, сортировки и организации пространства. Например, можно поставить тег по региону компании, подразделению или другим условным обозначениям, необходимым конкретно под ваши задачи.