Überblick
Unter Patch-Management versteht man die Kontrolle von Administrationsteams über Updates von Betriebssystemen (BS), Plattformen oder Anwendungen. Es umfasst die Identifikation von Systemfunktionen, die verbessert oder korrigiert werden können, das Erstellen dieser Verbesserung oder Korrektur, das Release des Update-Pakets sowie die Validierung der Installation dieser Updates. Patching ist – neben Software-Updates und der Neukonfiguration des Systems – ein wichtiger Bestandteil des Schwachstellen- und Lifecycle-Managements von IT-Systemen.
Was sind Patches?
Patches sind neue oder aktualisierte Codezeilen, die das Verhalten von Betriebssystemen, Plattformen oder Anwendungen bestimmen. Sie werden normalerweise nach Bedarf veröffentlicht, um Fehler im Code zu beheben, die Leistung vorhandener Funktionen zu verbessern oder neue Features hinzuzufügen. Patches stellen keine neu kompilierten Betriebssysteme, Plattformen oder Anwendungen dar, sondern werden als Updates für vorhandene Software veröffentlicht.
Sie können sich auch auf die Hardware auswirken, wenn wir beispielsweise Patches veröffentlichen, die die Speicherverwaltung verändern, Lastbeschränkungen erstellen und die Hardware für Sprungvorhersagen-Hardware als Reaktion auf die auf Mikrochips abzielenden Meltdown- und Spectre-Angriffe von 2018 trainieren.
Da Änderungen wie diese normalerweise schneller verteilt werden können als kleinere oder größere Software-Releases, werden Patches regelmäßig als Netzwerksicherheits-Tools gegen Cyberangriffe, Sicherheitsverletzungen und Malware verwendet. Das sind Schwachstellen, die durch neu auftretende Bedrohungen, veraltete Patches oder Systemfehlkonfigurationen verursacht werden.
Gründe für das Patch-Management
Beim Patchen ohne einen klar definierten Patch-Management-Prozess kann es schnell unübersichtlich werden.
IT-Umgebungen in Unternehmen können Hunderte von Systemen enthalten, die von großen Teams betreut werden. Dies wiederum erfordert Tausende von Sicherheits-Patches, Bug Fixes und Konfigurationsänderungen. Selbst mit einem Scan-Tool kann sich das manuelle Durchsuchen von Datendateien zur Identifikation von Systemen, Updates und Patches als sehr mühsam erweisen.
Mithilfe von Patch-Managementtools können Sie klare Berichte darüber erstellen, welche Systeme gepatcht sind, welche gepatcht werden müssen und welche nicht konform sind.
Erfahren Sie mehr über das Sicherheits- und Compliance-Konzept von Red Hat.
Best Practices beim Patch-Management
Nicht gepatchte und veraltete Systeme können eine Ursache für Compliance-Probleme und Sicherheitslücken darstellen. Tatsächlich sind die meisten ausgenutzten Sicherheitslücken den Sicherheits- und IT-Teams bereits bekannt, wenn eine Verletzung auftritt.
Identifikation von Systemen, die nicht konform, fehleranfällig oder nicht gepatcht sind: Scannen Sie Ihre Systemen täglich.
Priorisierung von Patches basierend auf potenziellen Auswirkungen: Berücksichtigen Sie dabei Risiko, Performance und Zeitaufwand.
Regelmäßiges Patching: Patches werden normalerweise einmal im Monat oder in kürzeren Zeitabständen bereitgestellt.
Testen von Patches, bevor sie in der Produktivumgebung bereitgestellt werden.
Ihre Patching-Strategie sollte auch Cloud- und containerisierte Ressourcen berücksichtigen, die über Basis-Images bereitgestellt werden. Stellen Sie sicher, dass die Basis-Images mit den Sicherheits-Baselines Ihres Unternehmens konform sind. Überprüfen und patchen Sie Basis-Images regelmäßig, wie bei physischen und virtualisierten Systemen. Wenn Sie ein Basis-Image patchen, sollten Sie Ihre Container und Cloud-Ressourcen basierend auf diesem Image neu erstellen und neu bereitstellen.
Automatisierung des Patch-Managements
Die Implementierung einer Richtlinie für ein umsichtiges Patch-Management erfordert Planung. Patch-Management-Lösungen können jedoch mit Automatisierungssoftware kombiniert werden, um die Konfigurations- und Patch-Genauigkeit zu verbessern, menschliche Fehler zu reduzieren und Ausfallzeiten zu begrenzen.
Mithilfe von Automatisierung lässt sich die Zeit, die IT-Teams mit repetitiven Aufgaben wie dem Identifizieren von Sicherheitsrisiken, dem Testen von Systemen und dem Bereitstellen von Patches auf Tausenden von Endpunkten verbringen, drastisch reduzieren. Durch die Verwaltung dieser zeitaufwändigen Prozesse mit weniger manuellem Einsatz werden Ressourcen freigesetzt, sodass Teams proaktivere Projekte priorisieren können.
Beispielsweise lassen sich mit wenigen Red Hat® Ansible® Automation Platform Modulen Patch-Prozesse teilweise automatisieren, darunter das Aufrufen von HTTP-Patch-Methoden, die Anwendung von Patches mit dem Patch-Tool GNU sowie das Anwenden (oder Zurücksetzen) von verfügbaren System-Patches.
In vielen Organisationen arbeiten mehrere Server für einen Kunden zusammen. Da ihre Funktionen miteinander verknüpft sind, müssen diese Server in einer bestimmten Reihenfolge neu gestartet werden, wenn Patches bereitgestellt werden. Bei Ansible Automation Platform stellt das Ansible Playbook sicher, dass dieser Vorgang korrekt und konsistent erfolgt. Ihre IT-Teams müssen sich also nicht darum kümmern.
Automatisierung des Patch-Managements in der Praxis
Emory University
Bei der Emory University verwenden mehr als 500 Server Red Hat Enterprise Linux. Das IT-Team der Universität war sich daher bewusst, dass eine manuelle Patch-Installation schwierig und langwierig sein würde und die Infrastruktur der Universität Cybersicherheitsbedrohungen aussetzen würde. Die Lösung: Mit einem Ansible Playbook ließen sich die Patches automatisch auf die einzelnen Server anwenden. Das Patch-Deployment und die Fehlerbehebung für sämtliche Server hätten normalerweise bis zu zwei Wochen in Anspruch genommen. So dauerte es nur vier Stunden.
Asian Development Bank (ADB)
ADB hat mit Ansible Automation Platform den zeitlichen Aufwand für Provisioning, Patching und andere Infrastrukturmanagementaufgaben erheblich reduziert. Das Unternehmen spart mit automatisierten Patching-Prozessen etwa 20 Arbeitstage pro Monat und mit automatisierter Datenwiederherstellung etwa zwei Stunden pro Vorfall.
