在雲計算中對系統和應用程式進行補丁升級就如同一般的生產環境中進行相同的操作,這種想法對嗎?也許答案並非如此。 雖然從整體安全性和風險管理計劃上來說,補丁升級的概念、重要性和實用性並沒有發生變化,但是基於雲計算的補丁升級管理的細節變化還是與傳統的內部補丁管理大相徑庭。
在本文中,我們將探討雲計算環境中補丁升級管理所帶來的若干挑戰,以及如何更有效地保證系統和應用程式能夠升級至最新版本的一些想法。
基於雲計算補丁升級管理的思考
與雲計算中補丁升級工作相關的第一個思考就是雲計算各類工作的中一個老問題,即:應該由誰來負責這項工作?與雲計算中很多問題的回答相類似,這個問題的答案取決於雲計算的交付模式。
對於軟體即服務(SaaS)模式來說,消費者完全失去了對補丁升級過程的控制權。 這種情況下,如果雲計算供應商沒有一個完備的補丁升級和建構管理流程,那麼由此給消費者帶的負面影響是可想而知的。 例如在2010年,由於一次錯誤的補丁升級操作,博客平臺WordPress就經歷了一次嚴重的業務停用事件。 對於所有使用SaaS或平臺即服務(PaaS)服務的消費者,雲計算安全聯盟(CSA)建議他們的供應商們應當遵守其雲計算控制矩陣(1.3版),具體要求如下:
應制定與漏洞和補丁升級相關的策略、程式和實施機制,從而確保及時評估應用程式、系統以及網路設備的漏洞,以基於風險的方法優先考慮關鍵補丁並及時做好供應商提供的安全補丁的升級工作。
在PaaS環境中,企業使用者對補丁升級和配置可能擁有更多的控制權,尤其是應用程式和開發環境的元件與開發庫等。 把對所有使用的平臺(如ASP.NET、PHP、JAVA等)和在該平臺上運行的應用程式的補丁升級整合至現有的測試和QA週期,同時,並同時(或在相同的週期內)將其視作內部應用程式一樣進行補丁升級。
在PaaS環境中,更大的挑戰在於管理。 目前,當實施補丁升級時,基礎設施組甚至需要比以往更為緊密地與開發組和測試組協作。 仍然由供應商負責所有包括作業系統和網路元件在內的後端基礎設施的補丁升級任務,在SaaS環境中所提及的相同問題和關注點同樣也適用于該模式。
對於基礎設施即服務(IaaS)供應商來說,維護團隊可以安裝由諸如IBM公司和微軟公司等供應商提供的傳統補丁升級管理代理程式。 這些代理程式可以向位於中央資料中心或甚至相同的雲計算基礎設施中的補丁升級管理系統報告,這取決於具體的部署場景。 對於雲計算伺服器,還有一些新的基於雲計算的補丁升級管理選項,例如來自于供應商ScaleXtreme的產品就包括了適用于內部和公共雲計算系統(該雲計算系統可由Amazon EC2和其它主要的雲計算供應商託管), 從而降低了在相同補丁升級任務中對兩個系統進行評估和打補丁的難度。 其它基於雲計算的補丁升級管理選項還包括了Fiberlink通信公司的MaaS360和VMware公司的Go。
補丁升級的準備:雲計算供應商應當提供的支援
除了實施針對你的基於雲計算補丁升級管理工作的供應商模式,雲計算安全聯盟的一致性評估計畫還建議向所有潛在的雲計算服務供應商們(CSP)提出與補丁升級和漏洞管理相關的問題,具體如下:
按照行業最佳操作實務的規定,你是否定期進行網路層漏洞掃描?
按照行業最佳操作實務的規定,你是否定期進行應用層漏洞掃描?
按照行業最佳操作實務的規定,你是否定期進行本地作業系統層漏洞掃描?
如果你的使用者要求,你是否會把漏洞掃描的結果提供給他們?
你是否有能力對你所有的電腦設備、應用程式以及系統執行快速補丁升級任務?
如果你的使用者要求,你是否會向他們提供基於風險的系統補丁升級時程表?
歸根結底,企業向雲計算供應商尋求的支援應當是針對他們內部補丁升級管理實踐和標準的一些調整。 對於諸如Windows和Linux這樣的標準作業系統,需要考慮的關鍵因素包括開放等級(系統的部署)、重要程度(系統的重要性)以及補丁程式的重要程度(如果不進行補丁升級,系統漏洞的危害程度)。 相對開放的重要系統應當儘快地進行所有的關鍵補丁升級,建議在幾天之內完成。 儘管配套供應商可能不會透露他們補丁升級管理和變更控制的所有策略和程式,但是他們應當能夠提供盡可能足夠的細節資訊和保證,以表明他們是否克盡職守。
準備進行一次新的補丁升級
在雲計算環境中進行補丁升級操作為我們帶來了新挑戰,對於IaaS和PaaS環境來說,主要是協作和配置控制兩方面。 雖然所有的供應商都正式通過了內部的補丁升級和漏洞管理控制評估,同時他們也都能最低限度提供控制項的一個獨立認證證明(如一份SSAE 16報告),但是在PaaS和SaaS環境中審計和評估雲計算供應商也被證明是存在著問題的, 雖然不斷出現的新產品可以讓我們更容易地實現跨內外系統的補丁升級任務,雖然在同一雲計算環境中的一個當地語系化補丁升級庫和/或管理平臺更為適用,但是大多數的企業仍然可能沿用IaaS部署時所使用的工具。
(責任編輯:蒙遺善)
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
