红帽全球峰会概述
补丁管理是指管理员对操作系统(OS)、平台或应用更新进行控制。这涉及了识别可改进或修复的系统功能,创建改进或修复,发布更新软件包,以及验证这些更新的安装。修补以及软件更新和系统重新配置是 IT 系统生命周期管理和漏洞管理的重要组成部分。
什么是补丁?
补丁是决定操作系统、平台或应用行为的新代码行或更新代码行。补丁通常是按需发布,以修复代码中的错误,改进现有功能的性能,或在软件中添加新功能。补丁不是重新编译的 OS、平台或应用,而始终以现有软件的更新形式发布。
补丁也可能会影响硬件,例如,我们有时发布的补丁会更改内存管理,创建负载屏障,以及为应对 2018 年以微芯片为目标的熔毁和幽灵攻击而对分支预测器硬件进行训练。
由于分发这种修改通常比发布软件的主要或次要版本更快,补丁经常被用作防止网络攻击、安全漏洞和恶意软件(造成这些漏洞的是威胁层出不穷、补丁过时或欠缺,或系统配置不当)的网络安全工具。
为什么要管理补丁?
若无明确定义的补丁管理流程,补丁可能会变得一团糟。
企业 IT 环境可能包含数百个由大型团队操作的系统,需要数千个安全补丁、错误修复和配置更改。即使使用扫描工具,手动筛选数据文件来识别系统、更新和补丁也很麻烦。
补丁管理工具可生成有关修补了哪些系统、哪些系统需要修补以及哪些系统不合规的清晰报告。
了解红帽的安全防护和合规路径。
补丁管理最佳实践
未打补丁和过时的系统可能是合规性问题和安全漏洞的根源。事实上,大多数被利用的漏洞都是安全和 IT 团队在发生泄露时已经知道的漏洞。
识别不合规、容易受到攻击或未安装补丁的系统。每日扫描系统。
根据潜在影响确定补丁的优先级。计算风险、性能和时间考虑因素。
经常发布补丁。通常一个月或更短时间发布一次补丁。
先测试补丁再投入使用。
修补策略还要考虑从基础镜像部署的云和容器化资源。确保基础镜像符合企业的安全基线。与物理和虚拟化系统一样,定期扫描和修补基础镜像。修补基础镜像时,基于该镜像重建和重新部署所有容器和云资源。
补丁管理自动化
实施谨慎的补丁管理策略需要规划,但补丁管理解决方案可与自动化软件搭配使用,以提高配置和补丁的准确性,减少人为错误并缩短停机时间。
自动化可以大大减少 IT 团队在重复性任务上花费的时间,例如跨数千个端点识别安全风险、测试系统和部署补丁。以更少的人力来管理这些耗时的流程,可以释放资源,让团队能够将精力优先投入到更加积极的项目上。
例如,只需少量红帽® Ansible® 自动化平台模块就能实现部分修补流程的自动化,包括调用 HTTP 补丁方法、使用 GNU 补丁工具应用补丁以及应用(或恢复)所有可用系统补丁。
在许多企业中,多台服务器协同为一个客户工作,而在部署补丁时,这些服务器必须以特定的顺序重启(因为它们的功能相互交织)。采用 Ansible 自动化平台后,Ansible Playbook 可确保这一过程正确一致地进行,无需 IT 团队为此操心。
补丁管理自动化实践
埃默里大学
埃默里大学的 IT 团队负责管理 500 多台使用红帽企业 Linux 的服务器,如果必须手动安装补丁,将会使大学的基础架构暴露于网络安全威胁,他们的前途将黯淡无光。为解决这个问题,他们使用了 Ansible Playbook 来自动将补丁应用到每一服务器。在所有服务器上部署补丁和修复程序原本需要长达两周时间,现在只花了四个小时。
亚洲开发银行(ADB)
借助 Ansible 自动化平台,ADB 大大缩短了完成置备、修补和其他基础架构管理任务所需的时间。自动化修补流程使这家机构每月节省大约 20 个工作天,而自动化数据恢复则令每个事件的处理时间缩短约 2 小时。
