03-11-2021 - De noodzaak om patches te installeren op servers staat niet ter discussie. Hoe we dat doen snel en efficient doen voor honderden servers? Dat lees je hier.
Een cruciaal onderdeel van onze managed services is het beheer van patches en upgrades. Met de regelmaat van de klok worden er kwetsbaarheden ontdekt in software. Soms is de impact beperkt voor onze servers en klanten, maar soms is het alle hens aan dek. Eens de kwetsbaarheid bekend is, start een heel legertje hackers methodes uit te denken om er misbruik van te maken.
Binnen het patchmanagement willen we zo snel mogelijk die kwetsbaarheiden en bugs oplossen. De patches zijn nodig om de gegevens, toepassingen en servers veilig en snel en de infrastructuur stabiel te houden. De ernst van de kwetsbaarheid bepaalt hoe snel we schakelen tussen het uitkomen van een patch en het implementeren ervan.
Omdat we vele honderden managed servers beheren in verschillende datacenters met verschillende besturingssystemen en tientallen verschillende softwarepakketten is continue waakzaam zijn een noodzaak. Gelukkig hebben we een slimme automatisatie gebouwd die daarbij kan helpen.
Die slimme software is gebaseerd op onze eigen security client. Dat is een stukje software dat op ieder van onze servers actief is. De functies van de security client zijn uiteenlopend: van het monitoren van alle processen en automatisch blokkeren van ip-adressen met een slechte reputatie tot in kaart brengen van alle softwarecomponenten op een server.
Dat is waar het bij ons patch management om draait. We hebben een volledige catalogus van alle software die op een server actief is. Zo weten we perfect welke softwareversies in gebruik zijn en welke servers er mogelijk kwetsbaar zijn voor een aanval.
De uitrol van de patches verloopt in een schema op maat van iedere klant. We spreken daarbij af hoe we gaan patchen en op welke tijdstippen er het minste hinder voor gebruikers is. Voor sommige installaties kan het immers nodig zijn om de services of de server te herstarten. Meestal is er het minste hinder in de periode tussen 3 uur ’s nachts en 6 uur in de ochtend, maar voor (zakelijke) toepassingen die wereldwijd in gebruik zijn, is zaterdag of zondag een betere keuze.
Voor iedere patch en kwetsbaarheid evalueren we de ernst. Als er een direct gevaar is voor de toepassing, de servers of de gegevens van de klanten en de kwetsbaarheid kan uitgevoerd worden vanop het internet, zonder geprivilegieerde toegang, dan worden die updates zo snel mogelijk - maar uiterlijk binnen de 48 uur - uitgevoerd.
Andere updates worden uitgevoerd binnen de normale update cyclus van 2 maanden. Binnen die cyclus worden de updates eerst in een testomgeving uitgerold. Daarna komen de updates op de productie servers.
Voor sommige partners hanteren we een bijkomende, snellere cyclus waarbij wekelijks enkel de security patches worden geïnstalleerd.
Ook de uitrol van de updates verloopt geautomatiseerd. Binnen het afgesproken onderhoudsmoment zal Ansible, een open-source tool voor de installatie en configuratie van servers, de installatie starten en eventueel de gepatchte service opnieuw starten om de nieuwe software versie actief te maken.
Een uurtje na de uitrol rapporteert de security client welke software is geüpdatet en daardoor is de cirkel rond. Via handige rapportjes en zoekfuncties zien we gemakkelijk hoe die uitrol is verlopen en welke servers nog een interventie nodig hebben.
