Segurança para data centers virtualizados
Como a maioria de vocês que estão lendo este artigo, eu negligenciar uma boa higiene de correção.
Há muito boas razões por que devemos todos nós obsessivamente testar cada patch e consertar nossos sistemas de imediato, mas patching é uma dor no ASCII.
As ferramentas de chupar, a reinicialização é uma porcaria, e mais condenável de tudo, algo geralmente quebra.
Cada PC, ea maioria dos servidores, mais aplicativos instalados hoje do que quando eu era um garoto. Tudo também é muito mais interconectado e interdependente. No mundo de hoje, remendos cascata, e há sempre muitos deles.
A loja da esquina parou de vender os 1,0 lâmpadas que estavam comprando e só vende a versão 2.0. Lâmpada 2.0 precisa de um novo aplicativo cliente para falar com ele. Os aplicativos clientes devem estar em lock-passo, não só com aplicativos de servidor, mas com rápida evolução APIs baseadas na web também.
Múltiplas fontes de autenticação e identidade são assados em praticamente tudo - cada uma API separada, a aplicação cliente ou servidor de seu próprio para se preocupar.
Depois de reiniciar o que parece ser a metade dos computadores no continente você finalmente se tudo atualizados
Os aplicativos de servidor são muitas vezes um banco de dados, um servidor web de alguma variedade e um conjunto de binários executados em um ou mais sistemas operacionais, distribuídos por quem sabe quantos hosts.
Cada máquina tem seu próprio hypervisor. O hypervisor tem o seu próprio servidor de gerenciamento, que tem seu próprio aplicativo cliente que ganchos para essas fontes de autenticação. Depois de reiniciar o que parece ser a metade dos computadores no continente você finalmente se tudo atualizados para onde é suposto ser.
Apenas para descobrir, é claro, que o novo aplicativo cliente não é compatível com a sua base instalada de 1,0 lâmpadas. Patching é algo de uma confusão.
Pare o mundo
Reinicialização é uma grande parte do problema com a correção. Todos os sistemas operacionais têm o problema em algum grau, mas o Windows da Microsoft faz com que a grande maioria da frustração.
Quando você está remendar um servidor necessite de uma de duas coisas. Você pode ter uma cara infra-estrutura de alta disponibilidade que garante que você pode derrubar cópias individuais de qualquer aplicativo do servidor que você está usando sem perda de serviço; ou você pode programar janelas de manutenção.
O patch infame terça-feira é algo que todos nós estão muito familiarizados com. As janelas de manutenção são poucos e distantes entre si. Ubíquo à banda larga e capacidades de dados móveis utilizáveis ter visto um aumento de pessoas trabalhando remotamente.
As empresas, os trabalhadores e os clientes esperam 24/7 acesso a tudo. Para muitos de nós, programando o tempo de inatividade leva quase tanto tempo quanto o próprio patch.
É ainda pior do lado do usuário final. Reiniciando desktops é uma dor real direita. Olhando para o meu próprio ambiente de trabalho, tem sido atualizações pendentes por cerca de quatro meses, mesmo que eu sei muito bem o quão importante é patching.
Se eu quisesse consertar esse sistema eu teria que organizar e guardar todos os restos de dados em uma dúzia ou instâncias do bloco de notas tão aberta, então lembre-se de voltar a abri-los quando eu logon novamente. Eu tenho que lidar com os sete e-mails que parecem ser perpetuamente aberta.
Eu tenho que salvar, organizar e reabrir os artigos que tenho aberto no Writer, desenterrar esse código para que eu possa reconectar PowerShell para Office 365, reabrir o Windows Explorer para as quatro pastas que eu mantenho aberto e anotar qualquer informação necessária a partir de o "off the record" IMs e chats eu correr.
Em suma, é uma trabalheira ( XKCD obrigatória ). Eu só quero o meu computador para trabalhar e eu não quero tomar a melhor parte de uma economia de horas, a triagem, o encerramento, para descobrir o que precisa ser corrigido, aplicação de patches, reiniciar e, em seguida, abrir tudo de novo.
Como um administrador de sistema eu realmente deveria chutar minha própria bunda para a exibição de tal atitude. Eu certamente não aceitaria que a partir de qualquer um dos meus usuários. Tem que haver algo que possamos fazer para quebrar o impasse.
Muitos buracos
Nenhum de nós pode fazer muito sobre a necessidade de Windows para reiniciar. A resposta da Microsoft para o problema é inventar qualquer número de tecnologias para tornar o processo de inicialização mais rápido, ignorando as verdadeiras fontes de frustração que impedem os usuários de reiniciar.
Esta dança vai continuar por algum tempo, mas não é uma batalha que nós, o cliente, vamos ganhar.
Os desenvolvedores de software podem fazer a diferença. Navegadores web adequado, como Chrome e Firefox agora lembrar as abas que estavam abertas na reinicialização e irá "restaurar sessão anterior," quando o sistema está de volta.
Se podemos encorajar outros desenvolvedores a adotar uma abordagem semelhante que poderia muito bem fazer os usuários atualizar com mais freqüência.
Uma razão pela qual eu não corrigir tudo o que muitas vezes é simplesmente porque ele leva uma eternidade para encontrar todas as coisas que precisam ser corrigidas. Windows pode querer um patch, mas quando eu reiniciar uma meia dúzia de outros aplicativos estão indo para executar as suas "na inicialização" sistemas de atualização.
Isso vai me lembrar que eu tenho 30 ou mais aplicativos no meu sistema que não têm atualizadores da sua própria, e agora eu tenho que ir ver se eles estão desatualizados.
Uma coisa importante que podemos fazer é obter ferramentas adequadas de gestão de patches. Remendar e reiniciar é tão frustrante que nada podemos fazer para minimizar o número de casos deve ocorrer é uma coisa decididamente bom.
Quando eu falo de ferramentas de gerenciamento de patches, eu não estou falando sobre o Windows Server Update Services da Microsoft. É bonito, mas abrange apenas os produtos da Microsoft. Muitos dos aplicativos em nossos computadores não têm programas de atualização dos seus próprios.
Aqueles que o fazem vão desde assustadoramente irritante para pouco funcional. A única aplicação que lida com patch para o sistema operacional, bem como aplicativos de terceiros é necessária.
Períodos de teste
Muitos de nós simplesmente não manchas de teste. Em alguns casos, isso é devido ao espaço limitado do laboratório, mas muitas vezes fazendo a dança atualização leva tanto tempo que vale a pena correr um risco.
Revertendo alterações devido a um problema de patch é algo que temos que fazer apenas a cada ano ou dois. O teste de sensibilidade pode levar dias de cada mês.
Um dos benefícios mais importantes de aplicações adequadas de gerenciamento de patches é um que apenas os administradores de sistemas irão ver. Se pudermos encontrar todos os aplicativos em um determinado sistema de uma só vez, em seguida, a carga de realmente testar essas manchas no laboratório antes de liberá-los é reduzida consideravelmente.
Da mesma forma, se nós podemos empurrar patches para os nossos usuários - ou a nós mesmos - como uma única massa uma vez por mês e saber que estamos em dia, então podemos adquirir o hábito de reservar um tempo a cada mês para fazer isso acontecer.
Nenhum de nós vai gostar remendar, mas se tivermos as ferramentas adequadas envolvidos, pelo menos podemos torná-lo suportável. ®
