Patch-Management für OS und Apps

Geteilte Verantwortung

13. Juni 2017, 8:00 Uhr | Von Jochen Renner.

Um Sicherheitslücken zu schließen, müssen IT-Verantwortliche regelmäßig Updates einspielen. In Virtual-Server-Infrastrukturen mit bis zu tausenden Windows-Servern wird das schnell sehr komplex. In vielen Unternehmen bleiben deshalb einzelne Systeme über Jahre hinweg ungepatcht. Eine Automationslösung auf Self-Service-Basis kann hier helfen, Prozesse zu vereinfachen.

Jeden zweiten Dienstag im Monat - am "Patch Tuesday" - veröffentlicht Microsoft ein Paket mit Sicherheits-Updates für all seine unterstützten Betriebssysteme. Die Pakete enthalten mitunter über 20 einzelne Patches. IT-Verantwortliche stehen nun vor der Herausforderung, diese so schnell wie möglich auszubringen, denn ein veraltetes System schafft unnötige Angriffsflächen für Cyberkriminelle.

Doch das ist leichter gesagt als getan: In der Praxis gestaltet sich das Patch-Management oft aufwendig und unübersichtlich. In den meisten Unternehmen gibt es ein Windows-Basisteam, das auch für die Aktualisierung der Betriebssysteme und Komponenten verantwortlich ist.

Die Applikationsverantwortung liegt dagegen meist in den jeweiligen Fachabteilungen. Beim Rollout der Patches müssen beide zusammenarbeiten: Bevor das Windows-Basisteam ein Update aufspielen kann, muss es überprüfen, ob dieses die Funktionsfähigkeit von Anwendungen beeinträchtigt. Dafür müssen die Applikationsverantwortlichen die nötigen Informationen bereitstellen.

Welche Probleme könnten durch die Patches für die Anwendung entstehen und wie lässt sich das Update testen? Solche Fragen sind vorab zu klären - und das bisweilen für mehrere tausend Systeme.

LL06NT04a
Moderne Patch-Management-Lösungen bieten ein übersichtliches Dashboard, das speziell für die Bedürfnisse von IT-Administratoren entwickelt ist. Bild: Axians IT Solutions

Ein durchschnittliches mittelständisches Unternehmen hat heute zwischen 400 und 2.000 Windows-Server im Einsatz. In den meisten Fällen sind das keine physischen Server mehr, sondern virtuelle. Virtualisierung bringt einerseits Flexibilität und Kostenersparnis, lässt andererseits aber auch die Anzahl der zu verwaltenden Systeme stark anwachsen.

VMs erhöhen die Komplexität

Anwendungen laufen heute häufig verteilt: Eine Applikation besteht nicht nur aus einem Server, sondern aus mehreren. Administratoren setzen eine Vielzahl von Betriebssysteminstanzen auf, sodass kritische Anwendungskomponenten jeweils auf einer separaten Instanz arbeiten können. Dies vermeidet, dass Komponenten miteinander in Konflikt geraten - ein gängiges Problem bei Anwendungen auf einem physischen Server.

Will man nun aber ein Update einspielen, müssen IT-Verantwortliche pro Applikation gleich mehrere Server betrachten. Erschwerend kommt hinzu, dass man diese nicht alle gleichzeitig neu starten darf. Stattdessen ist eine bestimmte Reihenfolge einzuhalten, damit der Betrieb ungestört weiterlaufen kann. Des Weiteren ist ein Neustart zwingend erforderlich, um den Update-Prozess abzuschließen. Das Windows-Basisteam muss diese Neustarts also genau planen. Für jede Applikation müssen die Administratoren definieren, wann und in welcher Reihenfolge welcher Server gepatcht werden darf. Anschließend muss der Rollout der Updates genau nach diesem Plan ablaufen - bei über tausend Systemen äußerst komplex und manuell kaum noch zu schaffen.

Automation und Self-Service

Eine Automatisierung ist hier also dringend erforderlich. Auf dem Markt gibt es einige Lösungen, die es ermöglichen, Updates in einem Wartungscenter zu planen und nach einem festgelegten Zeitplan anzustoßen. Ein Problem jedoch bleibt: Das Windows-Basisteam muss die Informationen über die Applikationen und deren zugehörige Server immer noch von den Applikationsverantwortlichen einholen und in das Wartungscenter einpflegen.

Deutlich vereinfachen lassen sich diese Prozesse mit einem Self-Service-Portal, das die Applikationsbetreuer stärker in die Verantwortung nimmt. Ein solches Self-Service-Portal dient dann als zentrale Konsole für das Patch-Management und zeigt alle Server-Systeme in der IT-Infrastruktur an. Betriebssystemadministratoren wie auch Anwendungsverantwortliche haben dabei Zugriff auf die ihnen jeweils zugeordneten Systeme. Sobald Microsoft neue Update-Pakete zur Verfügung stellt, fließen diese automatisch in das Portal ein: Die Software listet die enthaltenen Patches dort einzeln auf und ordnet sie den jeweiligen Systemen zu.

So sieht jeder Applikationsverantwortliche sofort, welche Patches für die Server seiner Anwendungen anstehen. Ist ein System noch nicht auf dem neuesten Stand, warnt eine rote Ampel; sind die Updates installiert, schaltet die Anzeige auf Grün. Den Update-Prozess kann der Applikationsbetreuer auf Knopfdruck anstoßen oder aber so planen, dass die Workflows automatisiert im Hintergrund ablaufen. Dafür definiert er vorab, in welcher Reihenfolge welche Server für welche Applikation zu patchen und neu zu starten sind. Das Betriebssystemteam hinterlegt Automatismen für verschiedene Konfigurationen. Aus den Informationen, die der Applikationsverantwortliche eingibt, erstellt die Software automatisiert die erforderliche Konfiguration für das Zielsystem und setzt sie anhand der definierten technischen Abläufe um.

LL06NT04b
Ein automatisiertes Patch-Management ist eine komfortable Möglichkeit, große Server-Farmen auf dem neuesten Stand zu halten. Bild: Axians IT Solutions

Ein automatisiertes Patch-Management auf Basis eines Self-Service-Portals macht den Update-Status besser durchschaubar: Systemverantwortliche haben alle Server im Blick und sehen anhand der Ampelanzeige sofort, auf welchem Stand die Server sind. Dies verringert das Risiko, dass man Systeme vergisst und diese deshalb über Jahre hinweg ungepatcht bleiben. Applikationsverantwortliche wiederum erhalten eine gefilterte Ansicht der Systeme, für die sie zuständig sind. Sie kümmern sich selbst um alle Fragen, die auf Anwendungsebene in Bezug auf die Updates entstehen.

Dies entlastet das Windows-Basisteam stark, da es keinen Informationen mehr hinterherlaufen muss. Es kann sich darauf konzentrieren, das Patch-Management insgesamt zu überwachen und sicherzustellen, dass die Systeme auf dem erforderlichen Stand sind. Indem sich Betriebssystem- und Applikationsbetreuer die Patch-Verantwortung teilen, sorgen sie für bessere Update-Prozesse und damit für mehr Sicherheit.

Jochen Renner ist Solutions Expert Systems and Service Management bei Axians IT Solutions ().

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Motorola GmbH Idstein

Weitere Artikel zu M86 Security

Matchmaker+