Al centro di VSA 10 si trova un motore di gestione delle policy reingegnerizzato, progettato per fornire ai tecnici un equilibrio efficace tra usabilità e flessibilità. Il modo semplice ma potente in cui le policy operano fornisce agli utenti di VSA 10 gli strumenti necessari per costruire e mantenere la piena conformità delle impostazioni di configurazione.

Attualmente, VSA 10 implementa una struttura di policy meno monolitica, aggiungendo miglioramenti alla qualità della gestione generale delle policy. A partire dalla versione 10.6, le policy di configurazione del dispositivo e le policy di monitoraggio sono state convertite alla nuova struttura delle policy, mentre gli altri tipi di policy saranno convertiti nelle versioni successive.

Le policy rappresentano il metodo con cui la configurazione di una o più impostazioni VSA 10 viene applicata a un insieme specifico di oggetti, come ad esempio gruppi o singoli dispositivi. VSA 10 garantisce che i dispositivi cui è assegnata una policy ricevano e mantengano la conformità alle impostazioni della policy stessa. Le policy si distinguono per il tipo di servizio che impattano. Esistono diversi tipi di policy.

Le policy applicano le impostazioni corrette ai dispositivi corretti. A partire dalla versione 10.6, le policy non sono cumulative, il che significa che solo una policy di un dato tipo può essere assegnata a una determinata entità.

ESEMPIO: può essere assegnata solo una policy di configurazione del dispositivo a un’organizzazione specifica. Puoi creare ulteriori policy di configurazione del dispositivo, ma solo una alla volta può essere assegnata a quell’organizzazione.

Le policy supportano un modello di ereditarietà discendente in diverse aree, compreso il contesto (o scope).

ESEMPIO: quando si assegna una policy a un’organizzazione, i siti e i gruppi di quella organizzazione erediteranno automaticamente la policy dell’organizzazione, poiché i siti e i gruppi sono oggetti figlio di un’organizzazione. Tuttavia, è possibile interrompere l’ereditarietà assegnando direttamente una policy diversa a ciascun livello di sito e/o gruppo.

Tipi di policy

I seguenti tipi di policy sono disponibili per la configurazione in VSA 10:

  • Configurazione del dispositivo
  • Monitoraggio
  • Protezione degli endpoint (rilevamento ransomware e Webroot)
  • Gestione delle patch

Componenti di una policy

Una policy è il veicolo per la distribuzione e la gestione delle impostazioni sui dispositivi. Le policy hanno tre componenti chiave:

  1. Profiles: contenitori di impostazioni che fungono da elementi costitutivi delle policy. I profiles controllano quali impostazioni una policy distribuirà.
  2. Targeting Criteria: attributi utilizzati per l’assegnazione automatica delle policy. I criteri di targeting controllano quali dispositivi riceveranno la policy.
  3. Extensions: utilizzate per modificare le impostazioni della policy in base alle eccezioni del dispositivo. Le estensioni forniscono un modo per apportare modifiche a una policy per un sottoinsieme specifico di dispositivi senza richiedere la creazione di una nuova policy separata.

I Profili

Il concetto di profilo semplifica la configurazione e la gestione delle impostazioni delle policy.

Un profile è un piccolo contenitore distinto di impostazioni VSA 10 raggruppate per una categoria specifica (ad esempio, il profilo dei log degli eventi è un tipo di profilo di monitoraggio).

I profiles consentono di configurare combinazioni specifiche di impostazioni una sola volta e di riutilizzarle in più di una policy. Questo concetto consente anche al profile di fungere da modello in modo che eventuali modifiche future siano automaticamente riflesse ovunque il profile venga utilizzato.

I profiles possono essere non cumulativi o cumulativi, il che significa che un profile di un dato tipo può essere applicato una o più volte a un dispositivo.

Profiles cumulativi rispetto a profiles non cumulativi

I profiles cumulativi sono tipi specifici di profiles che possono essere applicati a un dispositivo più di una volta perché le loro impostazioni sono considerate sicure per la sovrapposizione, il che significa che le loro impostazioni non entrano in conflitto se applicate più di una volta.

Esempi di profiles cumulativi sono alcuni profiles di monitoraggio. Ad esempio, se vuoi avere un insieme di log degli eventi di base che si applica a tutti i tuoi dispositivi Windows, creerai un profile specifico di Monitoring >Event Log con quelle impostazioni. Ma potresti anche necessitare di un insieme più avanzato di eventi che si applica a un sottoinsieme di dispositivi Windows; quindi, creerai un secondo profile di Monitoring >Event Log con impostazioni verticali. Sfruttando la possibilità di applicare profiles cumulativi, entrambi i profiles potranno essere applicati ai dispositivi che richiedono le impostazioni di base e avanzate, e le impostazioni verranno aggregate. Ciò elimina la necessità di duplicare le impostazioni comuni dei log degli eventi del primo profile nel profile avanzato.

I profiles non cumulativi sono tipi specifici di profiles che possono essere applicati a un dispositivo solo una volta perché le loro impostazioni sono considerate problematiche per la sovrapposizione, il che significa che le loro impostazioni entrano direttamente in conflitto se applicate più di una volta.

Esempi di profiles non cumulativi sono i profiles di configurazione del dispositivo. Ad esempio, se vuoi abilitare la conferma della sessione desktop remoto per tutti i tuoi dispositivi, creerai un profile specifico di Device Configuration >Remote Desktop con quella impostazione. Ma potresti voler disabilitare la conferma della sessione desktop remoto per un sottoinsieme di dispositivi; quindi, creeresti un secondo profile di Configurazione del dispositivo: Desktop remoto con quella impostazione. Tuttavia, ciascun dispositivo può ricevere solo uno di questi profiles, non entrambi. In questo caso, quando si lavora all’interno delle policy, è presente un controllo per impedirti di applicare un secondo tipo di profile non cumulativo agli stessi target a cui è già stato assegnato uno, e VSA 10 presenterà opzioni per correggere il conflitto.

Il diagramma seguente mostra come funziona un profile utilizzando il monitoraggio come esempio.

Didascalia: due policy di monitoraggio separate richiedono lo stesso set di impostazioni del log degli eventi, il che significa che è possibile creare un singolo profile di Log degli eventi con le impostazioni richieste e assegnare il profile a entrambe le policy. Un ulteriore vantaggio di questa struttura è la gestione dei cambiamenti.

Se le impostazioni del log degli eventi devono essere modificate, è sufficiente modificarle all’interno del singolo profile, non all’interno di ogni policy.

Criteri di Targeting

Come suggerisce il nome, i criteri di targeting espongono vari attributi che possono essere selezionati all’interno di ciascuna policy e delle sue estensioni in modo da poter controllare esplicitamente e implicitamente dove una policy deve essere applicata. Ciò significa che è possibile configurare le policy una volta e sapere che verranno applicate automaticamente a qualsiasi dispositivo che corrisponda ai criteri di targeting, sia esistenti sia nuovi.

Di seguito sono riportati esempi di criteri di targeting:

  • Context: Si riferisce alla struttura organizzativa dei dispositivi.
  • Device Type: Il tipo primario di dispositivo.
  • OS Type: Si riferisce al sistema operativo di un dispositivo e include le versioni principali.
  • Manufacturer: Il produttore di un dispositivo.

Estensioni

Un’estensione consente di modificare le impostazioni di una policy per un sottoinsieme dei dispositivi senza duplicare l’intera policy.

Caso d’uso

Una policy gestisce la combinazione specifica di impostazioni che si applicano a un insieme di dispositivi, ma per un sottoinsieme di quei dispositivi è necessario un leggero aggiustamento delle impostazioni.

In VSA 9 sarebbe necessario fare una delle seguenti azioni:

  • creare una seconda policy con le impostazioni specifiche per il sottoinsieme di dispositivi e tutte le stesse impostazioni della prima policy che sono anche necessarie per quei dispositivi. Il risultato sono due policy con potenziali sovrapposizioni nelle impostazioni. Per apportare modifiche a quelle impostazioni condivise, entrambe le policy dovranno essere aggiornate individualmente.
  • creare un override per ciascun dispositivo, che di solito viene fatto verticalmente sul dispositivo stesso. Il risultato è un’eccezione manuale decentralizzata, spesso senza associazione o visibilità al di fuori della specifica area di configurazione del dispositivo.

Entrambi gli esempi precedenti creano complessità non necessaria, visibilità incompleta e mancanza di controllo. Come sempre, ogni eccezione da gestire manualmente è un costo (o lo diventerà in futuro), anche soltanto in caso di verifiche di conformità.

Il concetto di estensione risolve questi problemi (e altri ancora) creando effettivamente una policy figlia che rimane associata alla sua genitrice. L’estensione eredita automaticamente le impostazioni e i criteri di targeting dalla genitrice; tuttavia, è possibile regolare i criteri di targeting per affinare la selezione dei dispositivi ed è possibile aggiungere, modificare e rimuovere i profiles lasciando intatti i profiles rilevanti dalla genitrice.

Facendo riferimento al caso d’uso originale menzionato, risolveresti questo problema eseguendo i seguenti passaggi in VSA 10:

  1. Crea una policy iniziale e assegna i profiles pertinenti per l’insieme più ampio di dispositivi.
  2. Crea un’estensione alla policy, configurando le modifiche pertinenti al profile (aggiunta, modifica, rimozione) e affinando il targeting per applicarsi solo al sottoinsieme più piccolo di dispositivi.

Il risultato sarà che il sottoinsieme di dispositivi impattato dall’estensione riceverà i profiles all’interno dell’estensione, mentre il resto dei dispositivi impattati dalla policy genitrice riceverà i profiles all’interno di quella policy.

Le policy di VSA 10 supportano più estensioni allo stesso livello e la possibilità di ampliare l’ambito di un’estensione.

ESEMPIO: potresti voler creare un’estensione che cambia alcune impostazioni genitoriali per i dispositivi Linux e, allo stesso livello, creare una diversa estensione che cambia alcune impostazioni genitoriali per i dispositivi macOS. Inoltre, potresti voler creare un’estensione dell’estensione macOS per raffinare alcune impostazioni per i dispositivi macOS 12.

Il diagramma seguente mostra come funziona il concetto di estensione della policy.

Didascalia: puoi pensare a ciascuna estensione come a una policy con priorità più alta, poiché ciascuna estensione raffina i suoi target con maggiore precisione rispetto ai criteri utilizzati all’interno della policy genitrice e dell’estensione. Ad esempio, i dispositivi Windows 11 riceveranno solo l’Estensione 1.1 perché sono mirati in modo più specifico rispetto ai criteri utilizzati all’interno della Policy 1 e dell’Estensione 1. Tuttavia, se dovessi eliminare l’Estensione 1.1, tutti i dispositivi Windows 11 adotterebbero automaticamente le impostazioni dell’Estensione 1 poiché quella estensione mira a tutti i dispositivi Windows.

Il modello di estensione della policy ti aiuta a costruire le tue policy con portata più ampia ai livelli superiori, coprendo quindi più dispositivi con impostazioni comuni, consentendoti contemporaneamente di utilizzare estensioni per raffinare in modo granulare i criteri di targeting e gli aggiustamenti delle impostazioni per gestire eccezioni, situazioni speciali e livelli di servizio avanzati.

Effective Settings (Impostazioni Effettive)

Anche la migliore implementazione nella gestione delle policy può fallire se la soluzione non fornisce una visibilità completa dell’impatto che hanno, potranno avere o avranno su tutto l’ambiente. VSA 10 fornisce la visibilità dell’impatto sul front end durante la creazione e la configurazione delle policy, nonché sul backend una volta che le policy sono impostate.

Mentre configuri le policy, l’editor ti mostrerà quali oggetti VSA 10 riceveranno quella policy prima di salvarla. Una volta che le policy sono state configurate, gli Effective Settings forniscono visibilità sulle policy, sui loro profiles e sulle impostazioni che sono state assegnate e applicate a tutti i livelli della tua piattaforma VSA 10.

Questo include organizzazioni, siti, gruppi e dispositivi. Ad esempio, quando stai lavorando su un dispositivo e hai bisogno di vedere rapidamente quali impostazioni potrebbero influenzare una determinata area di servizio, gli Effective Settings ti aiuteranno a capire queste informazioni consentendoti di mantenere il contesto del tuo flusso operativo.

Effective Settings (Impostazioni Effettive)

Per fornirti un avvio rapido e aiutarti a comprendere i concetti delle policy spiegati in questo argomento, VSA 10 include un set di base di profiles e policy preconfigurati con alcune estensioni.

Profiles

Diversi profiles con configurazioni comuni sono disponibili in VSA 10. Questi possono essere trovati navigando su Administration > Configuration > Profiles e sono raggruppati per cartelle o tag di contenuto.

ESEMPIO: i profiles integrati di configurazione e monitoraggio del dispositivo sono raggruppati come Basic Device Profiles.

Policies

Le policy integrate sono nominate in modo simile al nome del raggruppamento del profile.

ESEMPIO: le policy di configurazione e monitoraggio del dispositivo sono nominate Basic Device Configuration Policy e Basic Device Monitoring Policy, rispettivamente.

Le policy predefinite includono i profiles integrati, e ciascuna policy contiene due estensioni: una per i server Windows e una per le workstation Windows.

ATTENZIONE: per i nuovi tenant, ogni policy principale è già configurata per mirare a Tutte le Organizzazioni, il che significa che è attiva e si applicherà automaticamente a tutti i dispositivi con un agente che inserisci.

NOTA: per i tenant precedenti a quando il pacchetto è stato introdotto con la versione 10.6 di VSA, le policy principali non sono configurate con un target di contesto, il che significa che le policy non saranno assegnate automaticamente a nessun dispositivo. Per utilizzare le policy, assegna semplicemente la policy principale a qualsiasi contesto (cioè organizzazione, sito, gruppo).