Bijwerken en optimaliseren

Hoe virtualisatie het patchbeheer lastiger maakt

Print
Email
1 5
2 5
3 5
4 5
5 5

: Curtis Franklin Jr. (11-2-2011)

Zonder twijfel zijn software waarin geen patches zijn geïnstalleerd en verouderde software de grootste bron van kwetsbaarheden in de beveiliging voor de IT van een onderneming. Terwijl sociale netwerken, phishingaanvallen en social engineering tegenwoordig meer aandacht in de pers krijgen, zetten eenvoudige, weinig sexy fouten in patchbeheer de deuren tot het hart van de onderneming wijd open voor aanvallers. Hoewel vaststaat dat patchbeheer voor een groot bestand van virtuele servers of virtuele desktops efficiënter kan worden beheerd dan hetzelfde proces op een aantal fysieke apparaten, kan de fijnafstemming van het proces leiden tot complicaties voor het betreffende IT-team. Een van de lastige vragen, met name bij besturingssysteempatches, is de vraag op welke plaats de patch exact moet worden toegepast. Moet de patch bijvoorbeeld op de hostserver (de server waarop de hypervisor en alle virtuele servers feitelijk worden uitgevoerd), de virtuele servers of beide worden toegepast? Als de patch op beide moet worden toegepast: in welke volgorde moet dat dan gebeuren? En daarmee kom je nog niet eens toe aan de vragen die opkomen waar het gaat om onbedoelde gevolgen en interacties. Het leuke van virtuele servers is dat deze snel en met weinig overloop naar andere virtuele servers kunnen worden gemaakt en afgebroken. Als interne klanten afhankelijk zijn van de toepassingen die worden uitgevoerd op een van deze virtuele servers, kunnen de consequenties van een patch die bestaande toepassingen breekt enorm zijn. Veel organisaties willen patches in de "sand box" uitproberen alvorens die uit te rollen over de 8. De snelle toename van toepassingen die op virtuele servers kunnen worden uitgevoerd kan dit proces lastiger maken, omdat IT-technici proberen rekening te houden met alle mogelijke softwarecombinaties. Dergelijke combinaties worden een nog groter probleem met de implementatie van virtuele desktops, omdat er in het algemeen meer hardwareplatforms zijn — variërend van smartphones tot tablets tot traditionele laptopcomputers — die de virtuele desktop kunnen ondersteunen. Omdat meer lokale clients vroeger de virtuele desktop op de verschillende hardwareplatforms accepteerden. En omdat veel meer netwerkkoppelingen moeten worden gevolgd bij de implementatie van de virtuele desktop. In het algemeen hoeft er echter voor de desktop minder in de sand box te worden getest, omdat een aparte fout in het algemeen slechts één gebruiker tegelijk zal treffen en niet de honderden of duizenden die zouden worden getroffen door een serverfout. Met alle complicaties die samenhangen met patchbeheer in een virtuele omgeving is het de moeite waard te onthouden dat er ook aanzienlijke voordelen zijn. Kritieke updates kunnen op één “hoofdinstantie” van de virtuele omgeving worden toegepast, waarna die op elke kopie van die omgeving kunnen worden toegepast door een simpele herstart van de actieve instanties. Bovendien heeft het IT-personeel veel betere controle op het exacte moment waarop patches worden toegepast, omdat deze vanaf een centrale locatie kunnen worden geactiveerd en niet hoeft te worden gewacht tot gebruikers hun systeem afsluiten of laptopcomputers naar een centrale locatie brengen. Als een laatste opmerking met betrekking tot complexiteit willen we erop wijzen dat het voor systeembeheerders belangrijk is om te onthouden dat de hypervisors zelf softwarecomponenten zijn die net zo moeten worden onderhouden en van patches moeten worden voorzien als besturingssystemen en toepassingen. Natuurlijk moeten de patch- en onderhoudscyclussen van een hypervisorinstantie die verantwoordelijk is voor honderden of duizenden server- of desktopbesturingssysteeminstanties zorgvuldig worden geselecteerd, maar de uitgebreide beveiliging, de verbeterde betrouwbaarheid en de volledigere naleving van regelgeving die samenhangen met een gepast patchbeleid en de juiste procedures zijn te waardevol om te negeren, hoe complex het patchbeheer ook wordt. Zie voor meer informatie: Server Consolidation With Virtualization (Serverconsolidatie met virtualisatie) Storage Virtualization (Opslagvirtualisatie) Desktop Virtualization (Desktopvirtualisatie).

Zonder twijfel zijn software waarin geen patches zijn geïnstalleerd en verouderde software de grootste bron van kwetsbaarheden in de beveiliging voor de IT van een onderneming. Terwijl sociale netwerken, phishingaanvallen en social engineering tegenwoordig meer aandacht in de pers krijgen, zetten eenvoudige, weinig sexy fouten in patchbeheer de deuren tot het hart van de onderneming wijd open voor aanvallers. Hoewel vaststaat dat patchbeheer voor een groot bestand van virtuele servers of virtuele desktops efficiënter kan worden beheerd dan hetzelfde proces op een aantal fysieke apparaten, kan de fijnafstemming van het proces leiden tot complicaties voor het betreffende IT-team.
Een van de lastige vragen, met name bij besturingssysteempatches, is de vraag op welke plaats de patch exact moet worden toegepast.
Moet de patch bijvoorbeeld op de hostserver (de server waarop de hypervisor en alle virtuele servers feitelijk worden uitgevoerd), de virtuele servers of beide worden toegepast? Als de patch op beide moet worden toegepast: in welke volgorde moet dat dan gebeuren? En daarmee kom je nog niet eens toe aan de vragen die opkomen waar het gaat om onbedoelde gevolgen en interacties.

Het leuke van virtuele servers is dat deze snel en met weinig overloop naar andere virtuele servers kunnen worden gemaakt en afgebroken. Als interne klanten afhankelijk zijn van de toepassingen die worden uitgevoerd op een van deze virtuele servers, kunnen de consequenties van een patch die bestaande toepassingen breekt enorm zijn. Veel organisaties willen patches in de "sand box" uitproberen alvorens die uit te rollen over de 8. De snelle toename van toepassingen die op virtuele servers kunnen worden uitgevoerd kan dit proces lastiger maken, omdat IT-technici proberen rekening te houden met alle mogelijke softwarecombinaties.
Dergelijke combinaties worden een nog groter probleem met de implementatie van virtuele desktops, omdat er in het algemeen meer hardwareplatforms zijn — variërend van
smartphones
tot tablets tot traditionele laptopcomputers — die de virtuele desktop kunnen ondersteunen. Omdat meer lokale clients vroeger de virtuele desktop op de verschillende hardwareplatforms accepteerden. En omdat veel meer netwerkkoppelingen moeten worden gevolgd bij de implementatie van de virtuele desktop.
In het algemeen hoeft er echter voor de desktop minder in de sand box te worden getest, omdat een aparte fout in het algemeen slechts één gebruiker tegelijk zal treffen en niet de honderden of duizenden die zouden worden getroffen door een serverfout.

Met alle complicaties die samenhangen met patchbeheer in een virtuele omgeving is het de moeite waard te onthouden dat er ook aanzienlijke voordelen zijn. Kritieke updates kunnen op één “hoofdinstantie” van de virtuele omgeving worden toegepast, waarna die op elke kopie van die omgeving kunnen worden toegepast door een simpele herstart van de actieve instanties. Bovendien heeft het IT-personeel veel betere controle op het exacte moment waarop patches worden toegepast, omdat deze vanaf een centrale locatie kunnen worden geactiveerd en niet hoeft te worden gewacht tot gebruikers hun systeem afsluiten of laptopcomputers naar een centrale locatie brengen.

Als een laatste opmerking met betrekking tot complexiteit willen we erop wijzen dat het voor systeembeheerders belangrijk is om te onthouden dat de hypervisors zelf softwarecomponenten zijn die net zo moeten worden onderhouden en van patches moeten worden voorzien als besturingssystemen en toepassingen. Natuurlijk moeten de patch- en onderhoudscyclussen van een hypervisorinstantie die verantwoordelijk is voor honderden of duizenden server- of desktopbesturingssysteeminstanties zorgvuldig worden geselecteerd, maar de uitgebreide beveiliging, de verbeterde betrouwbaarheid en de volledigere naleving van regelgeving die samenhangen met een gepast patchbeleid en de juiste procedures zijn te waardevol om te negeren, hoe complex het patchbeheer ook wordt.
Zie voor meer informatie:

Server Consolidation With Virtualization (Serverconsolidatie met virtualisatie)
Storage Virtualization (Opslagvirtualisatie)
Desktop Virtualization (Desktopvirtualisatie).