Red Hat SummitVisão geral
O gerenciamento de patches é o processo de controle de um administrador sobre as atualizações em um sistema operacional, plataforma ou aplicação. Ele inclui a identificação das funcionalidades do sistema que podem ser corrigidas ou aprimoradas, a criação dessas melhorias ou correções, o lançamento do pacote de atualização e a validação da instalação dessa atualização. A aplicação de patches, além da reconfiguração do sistema e das atualizações de software, é uma parte importante do gerenciamento de ciclo de vida do sistema de TI e da vulnerabilidade.
O que são patches?
Os patches são linhas de código novas ou atualizadas que determinam o funcionamento de um sistema operacional, plataforma ou aplicação. Normalmente, os patches são lançados de acordo com as necessidades para corrigir os erros no código, melhorar o desempenho das funcionalidades atuais ou adicionar novos recursos ao software. Eles são sempre lançados como atualizações no software atual e não são sistemas operacionais, plataformas ou aplicações recém-compilados.
Os patches também afetam o hardware: por exemplo, para responder aos ataques Meltdown e Spectre em 2018, cujos alvos eram microchips, lançamos patches para alterar o gerenciamento da memória, criar restrições de carregamento e treinar um hardware previsor de ramificações.
Como esses tipos de modificação costumam ser mais rápidos de distribuir do que lançamentos principais e secundários de software, os patches são frequentemente usados como ferramentas de segurança de rede contra ataques cibernéticos, violações de segurança e malware. E o que causa essas vulnerabilidades são configurações incorretas no sistema, patches desatualizados ou ausentes e novas ameaças.
Por que gerenciar patches?
A aplicação de patches sem um processo de gerenciamento de patches claramente definido pode se tornar uma bagunça.
Os ambientes de TI empresarial podem conter centenas de sistemas executados por equipes grandes. Isso requer milhares de patches de segurança, correções de bugs e mudanças de configuração. Examinar manualmente os arquivos de dados para identificar patches, atualizações e sistemas é trabalhoso até mesmo usando uma ferramenta de verificação.
Com as ferramentas de gerenciamento de patches, você gera relatórios claros sobre quais sistemas receberam patches, quais precisam receber patches e quais não estão em conformidade.
Leia mais sobre como a Red Hat aborda a segurança e a conformidade
Práticas recomendadas sobre o gerenciamento de patches
Sistemas desatualizados e que não receberam os devidos patches podem ser uma fonte de problemas de conformidade e vulnerabilidades de segurança. De fato, a maioria das vulnerabilidades exploradas quando uma violação ocorre são aquelas que já são conhecidas pelas equipes de TI e segurança.
Identifique os sistemas vulneráveis, que estão fora de conformidade ou que precisam de patches. Examine os sistemas diariamente.
Priorize os patches de acordo com o possível impacto. Calcule riscos, desempenho e considerações de tempo.
Aplique patches com frequência pelo menos uma vez ao mês ou antes.
Teste os patches antes de enviá-los para produção.
A estratégia de aplicação de patches também deve considerar os recursos de nuvem e em containers, que são implantados a partir de imagens base. Certifique-se de que as imagens base estejam em conformidade com as linhas de base de segurança de toda a organização. Assim como é feito com sistemas físicos e virtualizados, verifique e aplique patches nas imagens base regularmente. Ao fazer isso, crie e implante novamente todos os recursos de nuvem e containers baseados nas imagens.
Como automatizar o gerenciamento de patches
A implementação de uma política de gerenciamento de patches vigilante exige planejamento, mas as soluções de gerenciamento de patches podem ser combinadas com um software de automação para melhorar a configuração e a precisão dos patches, reduzir o erro humano e o downtime.
A automação pode reduzir drasticamente o tempo gasto pelas equipes de TI em tarefas repetitivas, como identificar riscos à segurança, testar sistemas e implantar patches em milhares de endpoints. O gerenciamento desses processos demorados com a redução do trabalho manual libera recursos e permite que as equipes priorizem projetos mais proativos.
Por exemplo, com alguns módulos do Red Hat® Ansible® Automation Platform, você automatiza determinadas partes dos processos de aplicação de patches. Isso inclui a invocação de métodos HTTP, o uso da ferramenta GNU e a aplicação ou reversão de todos os patches de sistema disponíveis.
Para muitas organizações, vários servidores trabalham juntos para um cliente, e esses servidores, como suas funções estão interligadas, devem ser reinicializados em uma ordem específica quando os patches são implantados. Com o Ansible Automation Platform, o Ansible playbook garante que isso aconteça de maneira correta e consistente, para que as equipes de TI não tenham que se preocupar com isso.
Automação do gerenciamento de patches em ação
Emory University
Com mais de 500 servidores usando o Red Hat Enterprise Linux, a equipe de TI da Emory sabia que teria um caminho difícil pela frente se precisasse instalar o patch manualmente, o que exporia a infraestrutura da universidade a ameaças de segurança cibernética. A solução foi usar um Ansible playbook para aplicar os patches automaticamente a cada servidor. Embora a implantação e a correção de patches em todos os servidores precisassem de até duas semanas, foram necessárias apenas quatro horas.
Banco Asiático de Desenvolvimento (ADB)
Com o Ansible Automation Platform, o ADB reduziu significativamente o tempo necessário para concluir o provisionamento, a aplicação de patches e outras tarefas de gerenciamento de infraestrutura. A organização economiza cerca de 20 dias úteis por mês com processos automatizados de aplicação de patches e cerca de 2 horas por incidente com a recuperação de dados automatizada.
