Red Hat SummitPanoramica
Con gestione delle patch si intende un'attività di controllo amministrativo degli aggiornamenti di un sistema operativo, di una piattaforma o di un'applicazione. Implica l'identificazione di caratteristiche del sistema che possono essere migliorate o risolte, il rilascio dei pacchetti di aggiornamento e la convalida della loro installazione. Insieme agli aggiornamenti software e alla riconfigurazione del sistema, l'applicazione delle patch è un elemento importante della gestione del ciclo di vita dei sistemi IT e delle vulnerabilità.
Cosa sono le patch?
Le patch sono righe di codice, nuove o aggiornate, che determinano il comportamento di un sistema operativo, di una piattaforma o di un'applicazione. Vengono in genere rilasciate per correggere gli errori nel codice, migliorare le prestazioni di funzioni esistenti o aggiungerne di nuove al software, secondo necessità, e sempre come aggiornamenti al software esistente. Non si tratta pertanto di SO, piattaforme o applicazioni di nuova compilazione.
In alcuni casi, le patch possono incidere anche sull'hardware, come nel caso delle patch rilasciate per modificare la gestione della memoria, creare load fences e addestrare l'hardware per prevedere le diramazioni in risposta agli attacchi Meltdown e Spectre del 2018, che colpivano i microchip.
Poiché modifiche come queste sono in genere più rapide da distribuire rispetto alle release software primarie o secondarie, le patch sono utilizzate come strumenti per la sicurezza della rete contro attacchi informatici, violazioni della sicurezza e malware, ovvero le vulnerabilità causate da minacce emergenti, patch obsolete o mancanti ed errate configurazioni dei sistemi.
Perché gestire le patch?
L'applicazione delle patch senza un processo di gestione delle patch chiaramente definito può creare confusione.
Gli ambienti IT aziendali possono contenere centinaia di sistemi su cui operano team di grandi dimensioni, il che si traduce in migliaia di patch di sicurezza, correzioni di bug e modifiche alla configurazione. Anche con uno strumento di scansione, filtrare i file di dati manualmente per identificare sistemi, aggiornamenti e patch è un compito gravoso.
Gli strumenti di gestione delle patch aiutano a generare report chiari sui sistemi sui quali intervenire o meno e su quelli non conformi.
Scopri di più sull'approccio di Red Hat alla sicurezza e alla conformità.
Best practice per gestire le patch
Non disporre di sistemi con patch e aggiornamenti eseguiti con cadenza regolare può portare a problemi di compliance, causando vulnerabilità alla sicurezza. Molte delle vulnerabilità sfruttate alla base di una violazione sono infatti già note ai team IT e dedicati alla sicurezza.
Identificazione dei sistemi non conformi, vulnerabili o sprovvisti di patch. Eseguire quotidianamente la scansione dei sistemi.
Dare priorità alle patch in base all'impatto potenziale. Calcolare rischi, prestazioni e considerazioni temporali.
Applicare frequentemente le patch. Le patch vengono rilasciate come minimo una volta al mese.
Testare le patch prima di immetterle negli ambienti di produzione.
La strategia di applicazione delle patch deve anche tenere conto delle risorse cloud e containerizzate, che vengono avviate a partire da immagini di base. Assicurati che le immagini di base siano conformi alle baseline relative alla sicurezza della tua organizzazione. Come con i sistemi fisici e virtualizzati, analizza e applica patch regolarmente alle immagini di base. Quando applichi patch a un'immagine di base, crea e implementa nuovamente tutti i container e le risorse cloud su quell'immagine.
Gestione automatizzata delle patch
L'implementazione di una politica di gestione delle patch attenta richiede pianificazione, ma le soluzioni di gestione delle patch possono essere abbinate a software di automazione per migliorare la configurazione e la precisione delle patch, ridurre gli errori umani e limitare i downtime.
L'automazione può ridurre drasticamente il tempo che i team IT dedicano ad attività ripetitive, come l'identificazione dei rischi per la sicurezza, il test dei sistemi e il deployment delle patch su migliaia di endpoint. Gestire questi processi dispendiosi in termini di tempo con un intervento manuale ridotto consente di liberare risorse e permette ai team di assegnare priorità ai progetti in modo più proattivo.
Ad esempio, pochi moduli di Red Hat® Ansible® Automation Platform possono automatizzare parti dei processi di patching, tra cui richiamare metodi di patch HTTP, applicare patch tramite lo strumento patch di GNU e applicare o ripristinare tutte le patch di sistema disponibili.
In molte organizzazioni, più server lavorano insieme per un solo cliente e, poiché le loro funzioni sono interconnesse, devono essere riavviati in base a un ordine specifico quando vengono distribuite le patch. Grazie ad Ansible Automation Platform, Ansible Playbook garantisce che ciò avvenga in modo corretto e coerente, evitando che i team IT siano tenuti a farlo.
Vantaggi dell'automazione della gestione delle patch
Emory University
Con più di 500 server che utilizzano Red Hat Enterprise Linux da monitorare, il team IT di Emory sapeva che l'installazione manuale delle patch sarebbe stata un compito arduo che avrebbe esposto l'infrastruttura dell'università alle minacce alla sicurezza dei dati. La soluzione è stata utilizzare un Ansible Playbook per applicare le patch automaticamente a ciascun server. Il completamento del deployment delle patch e della correzione su tutti i server ha richiesto solo quattro ore a fronte di due settimane.
Asian Development Bank (ADB)
Con Ansible Automation Platform, ADB ha ridotto significativamente il tempo necessario per completare il provisioning, l'applicazione delle patch e altre attività di gestione dell'infrastruttura. Grazie ai processi automatizzati di applicazione delle patch, l'organizzazione risparmia circa 20 giorni lavorativi al mese e circa 2 ore per incidente grazie al ripristino automatico dei dati.
