概述
补丁管理是指管理员对操作系统(OS)、平台或应用更新进行控制。这涉及识别可改进或修复的系统功能、进行改进或创建补丁、发布更新软件包,以及验证这些更新的安装。修补以及软件更新和系统重新配置是 IT 系统生命周期管理和漏洞管理的重要组成部分。
什么是补丁?
补丁是决定操作系统、平台或应用行为的新代码行或更新代码行。补丁通常是按需发布,以修复代码中的错误,改进现有功能的性能,或在软件中添加新功能。补丁不是重新编译的操作系统、平台或应用,而是始终以现有软件的更新形式发布。
补丁也可能会影响硬件,例如,我们有时发布的补丁会更改内存管理,创建负载屏障,以及为应对 2018 年以微芯片为目标的熔毁和幽灵攻击而对分支预测器硬件进行训练。
由于这类修改通常比次要或主要软件版本的发布速度更快,因此补丁经常被用作网络安全工具,以抵御网络攻击、安全漏洞和恶意软件,而这些漏洞是由新出现的威胁、补丁过时或缺少补丁以及系统错误配置造成的。
为什么要管理补丁?
因为如果没有明确定义的补丁管理流程,修补工作可能会变得一团糟。
企业 IT 环境可能包含数百个由大型团队操作的系统,需要数千个安全补丁、错误修复和配置更改。即使使用扫描工具,手动筛选数据文件来识别系统、更新和补丁也非常麻烦。
补丁管理工具可生成有关修补了哪些系统、哪些系统需要修补以及哪些系统不合规的清晰报告。
了解红帽的安全防护和合规路径。
补丁管理最佳实践
未打补丁和系统过时,可能是造成合规性问题和安全漏洞的根源。事实上,大多数被利用的漏洞都是安全和 IT 团队在发生泄露时已经知道的漏洞。
识别不合规、容易受到攻击或未安装补丁的系统。每日扫描系统。
根据潜在影响确定补丁的优先级。将风险、性能和时间因素考虑在内。
经常发布补丁。 通常一个月或更短时间发布一次补丁。
先测试补丁再投入使用。
修补策略还要考虑从基础镜像部署的云和容器化资源。确保基础镜像符合企业级安全基线。与物理和虚拟化系统一样,定期扫描和修补基础镜像。修补基础镜像时,基于该镜像重建和重新部署所有容器和云资源。
补丁管理自动化
实施谨慎的补丁管理策略需要规划,但补丁管理解决方案可与自动化软件搭配使用,以提高配置和补丁的准确性,减少人为错误并缩短停机时间。
自动化可以大大减少 IT 团队在重复性任务上花费的时间,例如跨数千个端点识别安全风险、测试系统和部署补丁。减少所需的手动输入工作量,轻松管理这些耗时的流程,从而释放资源,让团队将精力优先投入到更加积极主动的项目上。
例如,只需少量红帽® Ansible® 自动化平台模块就能实现部分修补流程的自动化,包括调用 HTTP 补丁方法、使用 GNU 补丁工具应用补丁以及应用(或恢复)所有可用系统补丁。
在许多企业组织中,多台服务器协同工作,为一位客户提供服务,而在部署补丁时,这些服务器必须以特定的顺序重启(因为它们的功能相互关联)。采用 Ansible 自动化平台后,Ansible Playbook 可确保这一过程正确一致地完成,无需 IT 团队为此操心。
Ansible 和红帽 Ansible 自动化平台有什么区别?
补丁管理自动化实践
埃默里大学
埃默里大学的 IT 团队负责管理 500 多台使用红帽企业 Linux 的服务器,如果必须手动安装补丁,将会使大学的基础架构暴露于网络安全威胁,导致他们未来的发展道路将会十分艰难。为解决这个问题,他们使用 Ansible Playbook 来自动将补丁应用到每一服务器。在所有服务器上部署补丁和修复程序原本需要长达两周时间,现在只花了四个小时。
亚洲开发银行(ADB)
通过使用 Ansible 自动化平台,ADB 大大缩短了完成置备、修补和其他基础架构管理任务所需的时间。采用自动化修补流程后,该企业组织每月节省的时间大约为 20 个工作日;而利用自动化数据恢复功能,每个事件的处理时间缩短约 2 小时。
自动化可以为您节省多少时间?
只需回答几个简短的问题,就能了解在整个企业组织中使用 Ansible 自动化平台可以助您节省多少时间。