本篇內容來自於文獻：Secure your endpoints: "Building a Healthy Fleet"

當你定義清楚健康機群的狀態後，你會發現你無法放諸四海皆準地對所有平臺施行控制措施——不同平臺無論是設備本身還是管理層面，能力都有所不同（有時差距很大）。

例如，Chrome OS 的 Secure Access 提供了堅實的軟體控制，但 Linux 在防止惡意軟件方面沒有內建功能。

爲了確保 BeyondCorp 轄下的所有平臺都能保持一致的安全性，我們需要將安全評估正規化。雖然期望在不同平臺之間達到 100% 的安全一致性是不恰當的期待，因爲平臺能力和威脅模型不同，我們的目標是當不同平臺在面對需要採取行動的安全風險時，要保持判斷一致性。

爲了完成對不同平臺的安全評估正規化，我們分析了所有平臺的現狀，和與理想狀態的差距。我們針對 Google 轄下的所有機群創建了一份整體機群健康狀況報告，讓所有人對不同平臺的安全狀態有一個共識。我們對每個平臺進行了以下評估：

• 該平臺可以支持我們將要施行的控制措施嗎？（包含硬體資產管理、軟體配置管理、安全策略、分層防禦、用戶和設備驗證、遠程監控等）
• 平臺上的控制措施是否預設開啓？
• 控制狀態是否可衡量？
• 機群是合規的嗎？

爲了客觀的評估不同平臺的安全性，你可以考慮：

• 設定控制變因：補丁發佈後的時間、地理位置、國家
• 進行比較：不同版本、平臺支持的功能和實際實施的功能

設定這些測量標準是最難的部分。一旦設定了檢驗標準，討論機群健康狀況的能力就會大大提高。

現代操作系統具有非常複雜的攻擊面、能力和威脅模型；我們發現，將設備的期望特性與其實際特性進行手動比較是整合所有這些信息的最佳方式。這種比較使我們能夠就填補缺口使其達到理想狀態提出高層次的建議。無論驅使這些結論的數據來源是什麼，重要的是要記錄結論的依據，或者至少記錄生成結論的過程。這樣做能夠讓安全工程師以外的人能夠理解機群的狀態。

看完這段不難發現，因爲平臺多樣性的原因 managing a healthy fleet 不是件容易的事情。針對不同平臺進行安全評估正規化的時候會需要設定測量標準， which 是最難的部分。

儘管我們盡了最大的努力來定義、部署、測量和執行控制措施，但現實是殘酷的，100% 統一的控制部署是不切實際的神話。因此，您需要為偏離理想狀態、分析根本原因和處理異常而制定計劃。

明天我們來看如何處理這些偏離理想狀態的情況，以及全文最關鍵的一部分：如何將這幾天提到的關於如何構建健康機群、控制措施、維護方法、衡量不同平臺安全性等等，落地到自己的機群中？How to get started managing your own fleet?

明天見。