HCL BigFix for Managed Service Providers (MSPs) の翻訳版です。
マネージド・サービス・プロバイダー(MSPs) での HCL BigFix
2022年4月12日
著者: Cyril Englert / Solution Architect
中小企業では、マルチプラットフォームのエンドポイントに継続的にパッチを適用し、コンプライアンスを維持するために、マネージド・サービス・プロバイダー(MSP)を求める声が高まっています。
BigFixを使用することで、MSPは30万台のエンドポイントごとに1台の低コストな管理サーバーを使用し、日常的に1人のFTEでサポートし、集中管理モデルまたは委任管理モデルをサポートするマルチテナントプラットフォームで数十万台のエンドポイントを管理できます。これらはすべて、最低の総所有コストで最高品質のサービスを提供することにつながり、結果としてエンドユーザーにとってよりコスト効率の高いソリューションとなります。
BigFixは通常、下図のような集中型アーキテクチャでインストールされます。BigFixは、BigFixリレーを活用することで、各クライアントへのVPN接続を必要とせずに、数千の管理対象エンドポイントを持つ数千の個別の顧客環境を管理できます。BigFixリレーは、配信ポイントとして機能する追加責任を持つ管理対象エンドポイントです。BigFixは、自宅、オフィス、ホテル、カフェなどの「ローミング」エンドポイントも管理できます。
MSPのセントラルサイトにある1台のBigFixエンタープライズサーバで、最大30万台のエンドポイントを管理できます。
顧客のエンドポイントを管理するために、MSPはBigFixサーバーを1つ以上のリレーを介して公衆インターネットから分離する必要があります。容量が増えれば、複数のトップレベル・リレーが必要になる場合もあります。各トップレベル・リレーは最大1000の子リレーをサポートし、各子リレーはMSPのBigFixサーバに戻る通信を担当します。その結果、1つのトップレベル・リレーで、MSPが管理する最大1000の顧客をサポートできます。
冗長性を確保するため、2台目のトップレベル・リレーを推奨します。2つのトップレベル・リレーを使用すると、MSPは最大2000の子リレー(または管理対象顧客)をサポートできます。
MSPが管理する各顧客オフィスでは、そのDMZにBigFixクライアント・リレーを設置することが推奨されます。そうすることで、各エンドポイントがトップレベル・リレーに通信し直すことによる不要なトラフィックや帯域幅の増大を避けられます。
BigFixクライアント・リレーは、DMZ内にあるWindows、Linux、またはUNIXを実行している既存のサーバにインストールできます。DMZのクライアント・リレーは、トップレベル・リレーに通信するように構成されたBigFixエージェントです。DMZリレーは、BigFixエンタープライズサーバからのインバウンドおよびアウトバウンドの通信を安全に転送するための仲介役として機能します。子リレーが専用システムである場合、最大5000の管理対象エンドポイントをサポートできます。
TCP ポート 52311 を MSP とクライアントの両方のファイアウォールで開いていることを確認します。また、MSP は後述するクライアント登録のために、トップレベル・リレーの DNS 名を指定する必要があります。将来的なネットワーク診断のために、各顧客のネットワークにクライアントリレー用の DNS エントリを定義することは必要ありません。
各顧客のエンドポイントは、MSP の BigFix Enterprise サーバーに登録する必要があります。エンドポイントからBigFixサーバへの直接通信は、リモートクライアントが近くのリレーを経由して登録するように構成することで回避されます。
ほとんどのMSPは、このWikiの記事で説明されているように、顧客ごとに一意のクライアントID(CID)を割り当てます。CIDは、顧客のエンドポイントを簡単にグループ化できるようにするために使用されます。CIDの値は、エンドポイントがリレーに登録する際に定義されるか、BigFixコンソールから設定できます。
特定の顧客に関連するすべてのエンドポイントにCIDが設定されると、指定されたCIDに一致するエンドポイントのみを管理することを許可する別の管理者アカウントを定義できます。BigFixは、エンドポイントの適切なターゲティング、コンテンツやレポートの適用を促進するために、役割ベースのアクセス制御を組み込んでいます。MSP管理者は、顧客ロールのセットを作成し、各ロールは特権のリストと関連する許可のコレクションを定義します。MSPカスタマは、MSPがカスタマに提供または委譲したい権限に応じて、1つまたは複数のロールを割り当てることができる。
MSPは、特定の顧客のためにカスタムコンテンツを管理および/またはデプロイする必要がある状況が発生する可能性があります。MSP が管理するすべての BigFix クライアントがカスタム・コンテンツをダウンロードおよび評価することを避けるために、MSP は「カスタム・サイト」を作成し、特定の MSP 顧客に関連する BigFix クライアントのみをそのサイトにサブスクライブできます。
また、デフォルトでは、顧客ごとに作成したBigFix Operatorアカウントは、Patches for Windows、Asset Discovery、Inventory & Licenseなどの外部コンテンツ・サイトにアクセスできないので、顧客固有のBigFix Console Operatorアカウントで必要となる外部サイトに対して「読み取り」アクセスを与える必要があることに注意してください。
リモートエンドポイントへのActionの実行
上記のようなBigFixのアーキテクチャがあれば、管理者は遠隔地のエンドポイントにパッチを展開し、その進捗をリアルタイムに確認できます。この短いビデオでは、BigFixを使用したWindowsのパッチ適用について概要を説明しています。
BigFixは、複雑なネットワークやサーバーを必要としないマルチテナントのエンドポイント管理ソリューションを必要とするマネージド・サービス・プロバイダーにとって、効果的なエンドポイント管理ソリューションとなります。
HCL BigFix の詳細については、HCL Software までお問い合わせください。!