Resumen
La gestión de parches consiste en el control administrativo de las actualizaciones de los sistemas operativos (SO), las plataformas o las aplicaciones. Implica identificar las funciones del sistema que se pueden mejorar o corregir, diseñar esa mejora o corrección, lanzar el paquete de actualización y validar su instalación. La aplicación de parches, junto con las actualizaciones de software y la reconfiguración del sistema, es una parte importante de la gestión del ciclo de vida de los sistemas de TI.
¿Qué son los parches?
Los parches son líneas de código nuevas o actualizadas que determinan el comportamiento de un sistema operativo, una plataforma o una aplicación. Por lo general, se lanzan según sea necesario para corregir errores en el código, mejorar el rendimiento de las funciones actuales o agregar nuevas. Los parches se lanzan como actualizaciones del software actual y no son sistemas operativos, plataformas ni aplicaciones compilados desde cero.
También pueden tener un efecto sobre el hardware. Por ejemplo, en una ocasión, lanzamos parches que alteraron la gestión de la memoria, crearon límites de carga (load fences) y entrenaron al hardware predictor de saltos en respuesta a los ataques Meltdown y Spectre de 2018 que tenían como objetivo los microchips.
Debido a que estas modificaciones se suelen distribuir más rápido que las versiones de software principales o secundarias, los parches se utilizan como herramientas de seguridad de la red contra ataques cibernéticos, fallos de seguridad y malware (puntos vulnerables causados por amenazas nuevas, parches desactualizados o faltantes, y errores de configuración del sistema).
¿Por qué es importante gestionar los parches?
Porque si el proceso de gestión no se define con claridad, puede resultar complicado aplicarlos.
Los entornos de TI empresariales pueden contener cientos de sistemas en manos de equipos muy grandes. Esto requiere miles de parches de seguridad, correcciones de errores y cambios en la configuración. La tarea de examinar manualmente los archivos de datos para identificar sistemas, actualizaciones y parches puede ser abrumadora, incluso con una herramienta de análisis.
Las herramientas de gestión de parches permiten generar informes precisos para identificar los sistemas que tienen parches, los que los necesitan y los que no cumplen con las normas.
Conozca el enfoque de seguridad y cumplimiento de Red Hat.
Prácticas recomendadas para la gestión de parches
Los sistemas desactualizados y sin parches pueden ser fuente de problemas de cumplimiento y puntos vulnerables de seguridad. De hecho, cuando se produce un fallo, los equipos de seguridad y TI ya saben de qué punto vulnerable se trata.
Identifique los sistemas que no cumplen con las normas, que presentan puntos vulnerables o que no están actualizados. Escanee los sistemas a diario.
Priorice los parches en función de su posible impacto. Calcule los aspectos relacionados con el riesgo, el rendimiento y el tiempo.
Ejecute los parches con regularidad. Por lo general, se distribuyen una vez al mes, o con mayor frecuencia.
Pruebe los parches antes de implementarlos en la producción.
La estrategia de aplicación de parches también debe contemplar los recursos en la nube y en contenedores, que se implementan a partir de imágenes base. Asegúrese de que las imágenes base cumplan con los estándares de seguridad de toda la empresa. Al igual que con los sistemas físicos y virtualizados, analice y ejecute parches regularmente en las imágenes de base. Una vez hecho esto, vuelva a desarrollar e implementar todos los recursos de nube y contenedores basados en esa imagen.
Automatización de la gestión de parches
Implementar una política de gestión de parches controlada requiere planificación, pero las soluciones de gestión de parches se pueden combinar con software de automatización para mejorar la configuración y la precisión de los parches, reducir los errores humanos y disminuir el tiempo de inactividad.
La automatización puede reducir considerablemente el tiempo que los equipos de TI dedican a tareas repetitivas, como identificar riesgos de seguridad, probar sistemas e implementar parches en miles de terminales. Al gestionar estos procesos que requieren mucho tiempo con menos trabajo manual, se ahorran recursos y los equipos pueden priorizar proyectos con mayor iniciativa.
Por ejemplo, con unos cuantos módulos de Red Hat® Ansible® Automation Platform es posible automatizar parte de los procesos de aplicación de parches, lo que incluye invocar métodos de ejecución de parches HTTP, aplicarlos con la herramienta GNU y aplicar (o revertir) todos los parches del sistema disponibles.
En muchas empresas, se utilizan varios servidores a la vez para un mismo cliente, y, como sus funciones están entrelazadas, deben reiniciarse en un orden específico cuando se aplican los parches. Con Ansible Automation Platform, el uso del playbook de Ansible garantiza que esto suceda de manera correcta y uniforme, para que no deban intervenir los equipos de TI.
¿Cuál es la diferencia entre Ansible y Red Hat Ansible Automation Platform?
Automatización de la gestión de parches en acción
Emory University
El equipo de TI de Emory, que se encargaba de más de 500 servidores con Red Hat Enterprise Linux, sabía que tenía un camino difícil por delante si debía instalar el parche manualmente, ya que hacerlo expondría la infraestructura de la universidad a amenazas de ciberseguridad. La solución fue usar un playbook de Ansible para aplicar los parches a cada servidor de manera automática. Usualmente, la implementación y la corrección de parches en todos los servidores hubiera tardado hasta dos semanas; de esta manera, solo tomó cuatro horas.
Asian Development Bank (ADB)
ADB redujo considerablemente el tiempo necesario para completar la implementación, la aplicación de parches y otras tareas de gestión de la infraestructura con Ansible Automation Platform. La empresa ahorra alrededor de 20 días laborales al mes con los procesos de aplicación de parches automatizados y alrededor de 2 horas por incidente con la recuperación de datos automatizada.
¿Cuánto tiempo puede ahorrar con la automatización?
Responda un par de preguntas para ver cuánto tiempo puede ahorrar en su empresa si utiliza Ansible Automation Platform.