Patchen in het datacenter vereist nog veel handmatig werk. Deze conclusie trok ik na gesproken te hebben met verschillende klanten, partners en managed service providers. Ivanti kan helpen bij het stroomlijnen van het patchproces van back-endsystemen met behulp van automatisering en integratie met Service Management systemen.

Tijdens de gesprekken die ik het afgelopen half jaar met verschillende beheerders heb gevoerd over hun patchproces, vroeg ik expliciet naar de handmatige taken die zij uitvoeren. Hier kwamen veelvuldig de volgende zaken voorbij:

  • Beheerders moeten een overzicht krijgen van alle ontbrekende patches op verschillende systemen. Meestal is dit een handmatige taak en is het vaak moeilijk te achterhalen of een bepaalde patch al op een systeem is geïnstalleerd. Dit wordt nog lastiger als het systemen betreft die onder controle staan van een andere beheerder of een leverancier. Hierdoor is het ook voor Security Officers lastig om een compleet beeld te krijgen van de patch-status van alle systemen.
  • Nadat de rapporten zijn gemaakt, moeten verschillende wijzigingsverzoeken (Change Requests) gemaakt worden voor alle systemen die updates nodig hebben. Deze wijzigingsverzoeken moeten om te beginnen de te installeren patches bevatten. Daarnaast wordt vaak een risicoanalyse gemaakt om te beoordelen welke andere systemen of services getroffen worden als het systeem dat wordt gepatched tijdelijk ‘down’ gaat. Dit resulteert vervolgens in een onderhoudsvenster.
  • Tijdens dit onderhoudsvenster moet een beheerder op de verschillende servers inloggen om de patches te installeren en de server eventueel opnieuw te starten. Als dit allemaal geslaagd is, kan het wijzigingsverzoek worden afgesloten. De onderhoudsvensters bevinden zich vaak buiten kantooruren, waardoor systeembeheerders tot ’s avonds laat aan het werk zijn.
  • Het is lastig om te achterhalen of een patch goed op het systeem is geïnstalleerd. Windows Server Update Services (WSUS) geeft de status niet altijd goed weer en hierdoor is het lastig om een goed overzicht te krijgen van de status van alle systemen na het installeren van de patches.

Een bijkomende uitdaging is dat er vaak nog diverse ‘vergeten’ applicaties op een server draaien, die bijvoorbeeld geïnstalleerd zijn tijdens de installatie van andere software, zoals Java of Adobe Acrobat. Ook zijn deze ‘vergeten’ applicaties, vaak applicaties die gebruikt zijn om snel een aantal taken uit te voeren zonder naar een andere machine te hoeven lopen, zoals bijvoorbeeld Google Chrome om direct op de server een installatiebestand te downloaden. Deze applicaties worden vaak vergeten tijdens controle op benodigde patches. De meeste cyberaanvallen zijn helaas succesvol door de kwetsbaarheden in deze vergeten applicaties.

Ivanti Security Controls kan systemen in het datacenter patchen zonder een agent te gebruiken. De oplossing zoekt welke patches nodig zijn voor het besturingssysteem en daarnaast voor veel voorkomende software van derde partijen, zoals Adobe Acrobat, Flash, Java, Google Chrome en Firefox. Door Ivanti Security Controls te combineren met Ivanti Automation kan een groot deel van het patchproces geautomatiseerd worden. Denk bijvoorbeeld aan het scannen van systemen buiten kantooruren en het genereren van up-to-date rapporten voor beheerders en de Security Officer.

Ivanti Automation kan ook integreren met uw Service Management systeem. Ivanti Automation heeft een directe integratie met Ivanti Service Manager, maar kan ook verbinding maken met andere oplossingen via API’s. Door middel van deze integratie is het mogelijk om automatisch wijzigingsverzoeken aan te maken wanneer uit een scan met Security Controls blijkt dat er patches ontbreken. Configuration Items (CI’s) worden automatisch gekoppeld aan het wijzigingsverzoek, zodat in één oogopslag te zien is op welke systemen het wijzigingsverzoek betrekking heeft.  Ivanti Service Manager kan hierbij ook tonen welke andere systemen en services geraakt worden door een patch implementatie. Het enige wat een beheerder nog moet doen, is de wijziging goedkeuren en een onderhoudsvenster bepalen.

Op het moment dat een onderhoudsvenster ingaat, start Ivanti Service Manager de installatie van de geplande patches. Een beheerder hoeft zijn avond hierdoor niet op kantoor door te brengen en kan thuis stand-by staan. Eerst worden de te patchen systemen in het Service Management-systeem op ‘Under Maintenance’ geplaatst. Dat geeft andere gebruikers, zoals de bedrijfshelpdesk, een overzicht van de systemen die op dat moment tijdelijk in onderhoud zijn. Ivanti Security Controls installeert vervolgens alle patches en herstart de systemen als dat nodig is. Nadat alle patches zijn geïnstalleerd, worden de systemen opnieuw gescand om te controleren of ze goed zijn toegepast. Het resultaat van de installatie wordt daarna teruggestuurd naar Ivanti Automation. Als alle patches zonder problemen zijn geïnstalleerd, wordt het wijzigingsverzoek gesloten binnen Service Manager en het CI weer in productie genomen. Mocht er iets zijn misgegaan in het patch-proces, zoals een mislukte installatie, houdt Ivanti Automation het wijzigingsverzoek open en blijft het CI ‘Under Maintenance’. De beheerder wordt op dat moment per email of sms gewaarschuwd dat er iets mis is gegaan en dat handmatige tussenkomst nodig is. Aangezien Ivanti Security Controls het systeem scant nadat de patches zijn geïmplementeerd, wordt deze status ook direct zichtbaar in alle rapporten voor beheerders en de Security Officer.

Het mag helder zijn dat veel handmatig werk van het patch-proces geautomatiseerd kan worden door Ivanti-producten te gebruiken, zonder dat u daarbij de controle over het proces verliest. Op elk moment krijg je een goed overzicht van de patch-status van de omgeving. De combinatie van Ivanti Security Controls, Ivanti Automation en Ivanti Service Manager geeft je de ‘True Power of Unified IT’ en dat maakt het leven van de beheerder en Security Officer een stuk eenvoudiger op het gebied van patching.

De onderstaande video toont de ‘Power of Unified IT’ in actie. Neem contact op met je accountmanager voor meer informatie over hoe wij je kunnen helpen met het patchen van het datacenter.

Op 26 maart is er een webinar gehouden over het patchen van het datacenter. Deze webinar is terug te kijken op https://www.ivanti.com/lp/patch/webinars/2020/q1/patch-your-servers