資產管理的挑戰

資產管理對於不同規模和業務屬性的組織，帶來了截然不同的挑戰。規模較小的組織，尤其是在新創啟動階段，所擁有資產可能還很少，因此認為沒有必要對其進行正式管理與稽核。如果整個公司的 IT 資產成長到一定規模，或者IT資產(如筆電)會隨員工出門行動；就可能認為需要對資產規畫流程，進行追蹤管理。

隨著公司的發展成長，員工越來越多，會增加使用伺服器，以及更替筆電。在這個時候，引進一個專業的資產管理系統，來追蹤和盤點這些資產，管理替換生命週期，對組織業務運作上都會有實質幫助。

那麼該選哪一種?

IT 資產管理系統依據其收集資料的方式不同，可以分成 Agent-based 以及Agentless。首先定義一下IT 資產管理 （ITAM）：一套追蹤和稽核IT設備資產生命週期的實務系統。IT 相關設備的資訊，包括庫存數量，以及授權效期、維護合約等及其相關費用。這些通常包括購買價格、年度維護成本、購買日期以及授權終止/服務終止日期 （EOL/EOS） 日期等詳細資訊。可以通過 IT 資產管理系統，將合約與其申請採購的案例相關聯。軟硬體授權數和實際安裝使用總數比對，清查使用狀況，作為採購、作業管理的依據。ITAM 系統不僅限於這些功能 ， 許多系統還可以擴充更多附加、進階功能。但是最基本的IT 資產管理系統，至少能夠自動化盤點 IT 資產的詳細資訊；更有甚者，還可追蹤管理執行中程序，檢視比對機碼、組態設定，關聯主體與配件間或軟體與執行中行程的相依或連接關係。

發展中的公司組織並不會一成不變，資產狀態也會變動。成長超過一定規模，會面臨庫存管理、異動、調用等問題；另一種情況是在合併或收購，其中被收購的組織變更，原有的資產轉移、報銷、併入新組織的異動；ITAM系統能夠核對新收購的資產，並與當前資產資料合併？這些過程可以手動執行，或自動執行。

資產管理的第一件事就是要清查出所有資產(本文中皆稱Asset discovery 資產探索)，不論是 agent-based 或agentless  的方案都各有其優點，甚至某些解決方案採取混合架構，舉例比較二者間優缺點：

雖然實施流程上存在許多不同細節，但本質上只有三種用於探索及管理追蹤方法。無論最終採用哪種特定方法，最後脫不了下列三種：

手動資產探索/追蹤 (現在沒人想這麼做吧)

Agent 自動探索/追蹤

Agentless資產追蹤和探索。 

什麼是真正的自動化資產探索?

在探索資產方面實現自動化就如同你認知的其他IT自動化一樣。相較於人工到機房、辦公室現場，用紙筆計算盤點設備，自動化盤點系統需要少許的設定，如伺服器名稱、IP 位址範圍或登入網域。只需要目標電腦在網路上，回應指定的通訊埠，並接受所提供的身分驗證，即可自動掃描和探索的整個網路上的IT資產。

Agentless

掃描主機探訪指定網路範圍內每個伺服器、PC、設備，先嘗試判斷作業系統或製造商特定的協定，從 SNMP 到 SSH，適用於一般的網路硬體及大多數作業系統。更進一步用特定作業平臺 API技術，如 Windows 的 WMI 和 WinRM ，及用於 Linux/BSD/Unix 的 SSH。除此之外，其他方法使用側錄網路設備之間的封包流量，用收集到的資訊來推斷設備的類型。

這些技術都要求將資產掃描軟體，連接到與被探索的端點相同的網路，並且保持此連線。在大多數情況下，這不會是問題；但因為資訊安全上的考量，現實環境大部分的網路通訊協定都被關閉，被監視的服務很可能也關閉。在這種情況下，Agent-based的方案可能是首選，甚至可能是唯一的解決方案。

Agent-Based

Agent-Based資產的探索是在每個標的電腦設備上安裝一個軟體程式。這程式是在目的電腦上是獨立執行運作的程序，而不是被遠端呼叫用的程序（例如RPC）。使用此方法探索資產的優點是，可以在目標上沒有開啟通訊埠(如SNMP)的情況下收集資料；甚至沒有直接連線的獨立網段及主機，也能夠收集並儲存資料。如果在連線的狀態下，agent 可以提供定期回報如，每小時、天、周甚至數月的活動資料。其他有效運用的情境方案，像是筆電經常會外出使用 ，等到回到組織或連接其自己的 VLAN 上，就可以更新及回傳資料。或者在最嚴格的情況下，對隔離和獨立封閉的系統，以手動間接存檔方式，匯資料回到伺服器上。

然而在Agent-Based系統上，要追蹤您的資產，必須先安裝程式；但是，如果尚未安裝程式，管理員應該從何處知道有此項資產呢 ？又如何取得需要安裝的電腦完整清單？ 裝了之後，管理人員如何知道是否取得了完整資產名單？然而，這是一個非常現實的問題，因無法確保部署工作是否完成，及剩下那些資產未部署完成，這也是規模大的單位選擇Agentless掃描方法的主要原因之一。

結合 Agentless 及 Agent-based ，並且更優化 ? 

與許多事情一樣，選擇方案面臨的最大挑戰之一是，大多數產品供應商只將開發工作重點放在一種技術上。然而最好的選擇通常是從所有選項中，擷取優勢項目並充分利用。直覺的理解，同時提供Agentless 及 Agent-based的解決方案是比較好的選擇。但有一種方案可能遠優於前述的單純混合方案，考慮以Agent-Based 資產管理為主要架構，外掛獨立資產掃描服務。

在軟體資產管理範疇中，通常包含軟體執行的控制與管理以及其他安全控制。為維持資安防護有效性，agent 本身就需要具備一定強度的自我防護。除了防護之外，Agent-based更可以時時監控，精準掌握資產狀態。這方面適用於大部分Windows 平台，而其他作業平台、設備則以Agentless掃描來補足。即便是由Agent-based 的資安防護系統衍伸而來的，通常也會整合部署工具，內建網路掃描服務，清查未安裝的電腦。

相較之下，只為蒐集資產而設計的agent，功能陽春了許多；也因安全防護強度不足，自身極易受到其他程式干擾，導致傳輸資料缺漏，甚至於完全沒有作用。雖然可以用掃描來補，但資產資訊詳細度，資產異動即時性上面就比不上 Agent-Based 的系統。若是以掃描為主軸搭配 (light) agent 這樣的架構，對資產掌握的精確度跟有效性就不是那麼可靠了。當面臨這樣選擇購時，你會怎麼選呢?不要單單僅參考供應商的書面資訊，要依據你環境狀況評估需要的內容，準備測試計畫，驗證可行性、可靠度等。別忘了考量管理複雜度，這可能會影響未來幾年的工作效率！