基于云的新補(bǔ)丁管理策略

山東 趙長林

基于云的補(bǔ)丁管理系統(tǒng)和應(yīng)用可能不同于傳統(tǒng)的內(nèi)部程序。這些不同點(diǎn)將擴(kuò)展到不同的部署類型，例如，對SaaS 部署的補(bǔ)丁相對直接而簡單，因?yàn)橄M(fèi)者無法控制補(bǔ)丁過程。如果供應(yīng)商不能實(shí)時(shí)地對軟件和組件打補(bǔ)丁，就會帶來巨大的風(fēng)險(xiǎn)。

企業(yè)對基于云的補(bǔ)丁管理的責(zé)任

所有的企業(yè)都應(yīng)當(dāng)驗(yàn)證其SaaS 或PaaS 供應(yīng)商的補(bǔ)丁周期。服務(wù)供應(yīng)商還應(yīng)當(dāng)將打補(bǔ)丁的方式傳達(dá)給企業(yè)，從而使企業(yè)知道潛在的性能或可能性問題。

要確保供應(yīng)商有能力快速地對所有設(shè)備、應(yīng)用和系統(tǒng)的漏洞打上補(bǔ)丁。應(yīng)考慮供應(yīng)商是否與客戶共享其基于風(fēng)險(xiǎn)的打補(bǔ)丁的時(shí)間。最終，企業(yè)應(yīng)當(dāng)尋求這樣一種云服務(wù)供應(yīng)商：其服務(wù)要與企業(yè)的內(nèi)部管理實(shí)踐和標(biāo)準(zhǔn)保持一致。

PaaS 基于云的補(bǔ)丁管理的最佳實(shí)踐

對于PaaS 環(huán)境來說，企業(yè)將擁有對補(bǔ)丁和配置的更多控制，尤其是對于應(yīng)用和開發(fā)環(huán)境的組件和庫來說。企業(yè)應(yīng)尋求將任何已用的平臺（ASP .NET、PHP、Java 等）和運(yùn)行在其上的應(yīng)用程序都集成到現(xiàn)有的測試和質(zhì)量保證周期中，將在同一時(shí)間或在相同的周期內(nèi)實(shí)施的修復(fù)作為內(nèi)部應(yīng)用。

補(bǔ)丁管理是PaaS 環(huán)境中的一個(gè)巨大挑戰(zhàn)。在應(yīng)用這些補(bǔ)丁時(shí)，基礎(chǔ)架構(gòu)團(tuán)隊(duì)需要與開發(fā)和測試團(tuán)隊(duì)密切協(xié)作。改變窗口還需要提前計(jì)劃，以適應(yīng)云供應(yīng)商的認(rèn)可。如果要使用PaaS 的部署容器，容器的鏡像在被部署到一個(gè)安全存儲庫之前，可以打上補(bǔ)丁和實(shí)施測試。

所有后端的基礎(chǔ)架構(gòu)，包括操作系統(tǒng)和網(wǎng)絡(luò)組件，仍由供應(yīng)商打補(bǔ)丁。針對SaaS環(huán)境所涉及的問題也應(yīng)當(dāng)適用于這種模型。

IaaS 基于云的補(bǔ)丁管理的最佳實(shí)踐

對于IaaS 供應(yīng)商，團(tuán)隊(duì)可以安裝供應(yīng)商的傳統(tǒng)的補(bǔ)丁管理代理。這些代理可以向位于中央數(shù)據(jù)中心或位于相同的云基礎(chǔ)架構(gòu)中的補(bǔ)丁管理系統(tǒng)報(bào)告，當(dāng)然，這要依賴部署的具體情況。

對于云負(fù)載來說，新的基于云的補(bǔ)丁管理選項(xiàng)正在出現(xiàn)，例如微軟的Azure 更新管理服務(wù)。這些工具可能更加高效，并且在本地就可以與運(yùn)行在云基礎(chǔ)架構(gòu)中的任何實(shí)例相集成。這些工具還包括腳本和調(diào)度等選擇。

新的和正在出現(xiàn)的本地云服務(wù)使得修復(fù)云負(fù)載的過程更加便捷，但是還有一些企業(yè)仍選擇使用已經(jīng)擁有的工具實(shí)施IaaS 部署，用以簡化運(yùn)營管理。

激進(jìn)的云工程團(tuán)隊(duì)和運(yùn)營團(tuán)隊(duì)正從傳統(tǒng)的補(bǔ)丁模型轉(zhuǎn)移。開發(fā)運(yùn)營團(tuán)隊(duì)不再花費(fèi)需為應(yīng)用程序打補(bǔ)丁以使系統(tǒng)運(yùn)行的更長時(shí)間運(yùn)行負(fù)載，而是轉(zhuǎn)向可被應(yīng)用到新系統(tǒng)鏡像的補(bǔ)丁和更新。然后，推出這些補(bǔ)丁和更新，用以替換老舊的負(fù)載。

這就要求考慮到在部署過程中的大量測試。隨著自動(dòng)化配置管理工具的使用，補(bǔ)丁和配置被大量地自動(dòng)化。通過配置模板和配置管理工具而應(yīng)用補(bǔ)丁，團(tuán)隊(duì)就可以更容易地在負(fù)載鏡像上部署補(bǔ)丁和測試結(jié)果，然后再將部署了所有更新的新鏡像推送到生產(chǎn)云中。

或者，在“藍(lán)綠部署”中，測試環(huán)境被驗(yàn)證，然后再投入生產(chǎn)，而老的生產(chǎn)環(huán)境成了測試區(qū)域。

不管所使用的云模式是什么，企業(yè)都應(yīng)當(dāng)正式地評估所有的供應(yīng)商，以用于內(nèi)部的補(bǔ)丁和漏洞管理控制。至少，供應(yīng)商也應(yīng)當(dāng)能夠提供獨(dú)立的經(jīng)驗(yàn)證的控制證明，例如，一份SSAE 18 SOC報(bào)告。