Mit LOGINventory können Cloud-Umgebungen (z.B. Azure oder AWS) ebenso erfasst werden, wie on-premises Setups. Hier zeigen wir, welche Konfigurationsschritte notwendig sind und welche Daten wie ausgelesen werden können.
Prinzipiell gelten für die Inventarisierung von Cloud-Umgebungen die gleichen Anforderungen, wie für die Inventarisierung von klassischen on-premises Umgebungen (LAN):
- Agentenloser Scan: Anpingbarkeit des Zielgeräts, Hinterlegen der berechtigten Benutzerkonten, Erreichbarkeit der benötigten Ports
- LOGINfo.exe: Ausführen der exe, Ablegen der inv-Datei im zentralen Datenverzeichnis
- Offline-Agent: Installation auf dem zu scannenden Gerät, Übertragung der Daten an https-Adresse
- AD-Lookup: Ausführen des Remote-Scans auf einem Domain-Mitglied und Erreichbarkeit des Domain-Controllers oder Ausführen der LOGINfoAD.exe auf einem Domain-Mitglied und Ablegen der inv-Dateien im zentralen Datenverzeichnis
Etwas komplizierter wird es erst, wenn die Umgebung sich sowohl auf die Cloud, als auch auf eine on-premises-Umgebung erstreckt – also praktisch ein weiterer Standort existiert. Generell gilt es dann in irgendeiner Form die “Grenze” zwischen on-premises-Umgebung und Cloud zu überwinden, damit die Daten der Cloud-Rechner in die on-premises-LOGINventory-Datenbank (oder umgekehrt) eingetragen werden können.
Prinzipiell gibt es dafür folgende Ansätze, bei denen immer von einer einzigen LOGINventory-Installation (in LAN oder Cloud) ausgegangen wird:
- Site-to-Site-VPN zwischen Cloud und LAN
- Installation eines Windows Offline-Agent im Zusammenspiel mit einem LOGINventory Remote Scanner in der Cloud
- Installation des Offline-Agenten auf allen Rechnern in der Cloud (Windows oder Linux)
- Erfassung direkt via SSH (gilt nur für Linux-Maschinen)
Je nachdem, um wie viele Cloud-VMs es sich handelt, kann es praktischer sein, die VMs einzeln zu erfassen oder den Remote-Scanner als Standalone-Version auf einer Cloud-Windows-VM zu installieren. Dieser erfasst dann in der Cloud-Umgebung alle VMs, die erreicht werden können. Wenn dann z.B. der Offline-Agent zusätzlich auf dieser Maschine installiert wird, werden alle inv-Dateien automatisch in die on-premises-Umgebung übertragen, sehr ähnlich zu dem hier beschriebenen Vorgehen. Alternativ kann auch ein Site-to-Site-VPN eingerichtet werden, sodass die Cloud-VMs direkt von der on-premises-Umgebung erreicht werden können.
Im Folgenden zeigen wir je Geräte-Typ die möglichen Erfassungsmethoden noch einmal einzeln auf.
Windows-VMs
- Möglichkeit: Einrichtung eines Site-to-Site-VPNs und direkter agentenloser Scan von der on-premises-Installation in die Cloud-Umgebung
- Möglichkeit: Installation des Offline-Agenten auf allen VMs. Diese übertragen die inv-Dateien via https zur on-premises-Installation
- Installation des Standalone-Remote-Scanners auf einer Windows-VM, die alle anderen erreichbaren Cloud-VMs erfasst und anschließende Datenübertragung z.B. mittels Offline-Agent, One-Drive oder einer sonstigen Automatisierung
- Regelmäßiges Ausführen der LOGINfo.exe auf jeder VM und anschließende Datenübertragung z.B. mittels One-Drive oder einer sonstigen Automatisierung
Das Vorgehen zur Erfassung von Windows-VMs zeigen wir hier exemplarisch mit Screenshots:
Linux-VMs
- Möglichkeit: Freigeben des SSH-Zugangs und direkter agentenloser Scan von der on-premises-Installation in die Cloud-Umgebung
- Möglichkeit: Einrichtung eines Site-to-Site-VPNs und direkter agentenloser Scan von der on-premises-Installation in die Cloud-Umgebung
- Möglichkeit: Installation des Linux-Offline-Agenten auf allen VMs. Diese übertragen die inv-Dateien via https zur on-premises-Installation
- Installation des Standalone-Remote-Scanners auf einer Windows-VM, die alle anderen erreichbaren Cloud-VMs erfasst und anschließende Datenübertragung z.B. mittels Offline-Agent, One-Drive oder einer sonstigen Automatisierung
Active-Directory
Falls ein reines Cloud-Active-Directory, z.B. Azure Active Directory Domain Services verwendet wird, dann können natürlich auch die Informationen zu Gruppen, Usern etc. aus diesem AD ausgelesen werden. Falls eine Hybrid-Konfiguration verwendet wird, ist dies nicht nötig, da die Cloud-AD-Daten denen des on-premises-AD entsprechen.
- Möglichkeit: Einrichtung eines Site-to-Site-VPNs und direkter agentenloser Scan von der on-premises-Installation in die Cloud-Umgebung: Verwendung des Remote-Scanner-Definitions-Typs “Active Directory Lookup”
- Installation des Standalone-Remote-Scanners auf einer Windows-VM, die alle anderen erreichbaren Cloud-VMs, sowie das Cloud-Active-Directory erfasst und anschließende Datenübertragung z.B. mittels Offline-Agent, One-Drive oder einer sonstigen Automatisierung
- Manuelles Ausführen der LOGINfoAD.exe und anschließende Datenübertragung z.B. mittels Offline-Agent, One-Drive oder einer sonstigen Automatisierung
Zusammenfassung
Falls eine Cloud-Umgebung erfasst werden soll, bietet LOGINventory durch seinen modularen Aufbau eine Vielzahl von Möglichkeiten. Die Datenübertragung muss dabei prinzipiell so eingerichtet werden, wie die Datenübertragung von einem anderen Standort. Insbesondere durch den Einsatz des Offline-Agenten (Übertragung via https) lassen sich so schnell und einfach die Daten zu Cloud-Umgebungen übertragen.