Tehoa palvelinten päivitysprosesseihin

Tehoa palvelinten päivitysprosesseihin

Palvelinten päivityskäytännöt, tuo IT-maailman riippakivi. Tässä blogissa käsittelen aihetta joka on ollut pitkään kaikkien palvelinten hallinnan kanssa edes etäisesti mukana olleiden kuukausittainen murheenkryyni. Tuotteita on ollut paljon, päivitysmallin rakentaminen on ollut työlästä, päivitysmalli on vaatinut käsitöitä ja niin edelleen. Ongelmatiikkaa ei ole poistanut pilven tulo, vaikka moni on niin toivonut ja olettanut.

Oman kokemukseni mukaan vaikuttaa siltä, että haasteet päivityksien kanssa ovatkin monessa kohtaa vain moninaistuneet, ja itse ongelma on edelleen vahvasti läsnä. Yksi merkittävimmistä havainnoista tekemissämme tietoturvakatselmoinneissa ovat puutteet tietoturvapäivitysten jakeluprosesseissa. Uskon, että tämä johtuu siitä, että organisaatioilla on käytössään useita pilviä joka on johtanut tietynlaiseen hallinnan jakautumiseen. Tietysti optimitilanne on pyrkiä eroon palvelimista, mutta mikäli niitä organisaatiossa vielä on pitäisi niiden päivittämiseen kiinnittää riittävää huomiota.

Miten Microsoft taistelee näitä haasteita vastaan?

Syksyllä 2022 Microsoft julkaisi uuden Azure Update Management Center palvelun, joka on edelleen Preview-tilassa. Olemme käyttöönottaneet palvelua muutamille asiakkaille, ja tulokset ovat olleet rohkaisevia. Update Management Center perustuu erittäin yksinkertaiseen käyttöliittymään ja riittävän pitkälle vietyyn automaatiomoottoriin joka auttaa helposti rakentamaan halutunlaisen päivitysautomatiikan isollekin määrälle palvelimia. Yksi merkittävimmistä ajatuksista on, että mikäli palvelimille ei määritellä tiettyä päivityssykliä päivittyy se automaattisesti ilman asetettua päivitysautomatiikkaakin, kunhan se on ylipäänsä asetettu käyttämään palvelua.

Palvelun käyttöönottoon pätevät samat lainalaisuudet kuin palvelinten päivittämiseen ylipäänsä, eli ensin täytyy määritellä aikataulut joiden mukaan palvelimia päivitetään. Tämän jälkeen Update Management Centeriin on helppo määritellä ajastukset ”Maintenance configurations” -toiminteen avulla. Ajastuksissa myös määritellään minkä tyyppisiä päivityksiä palvelimiin ajetaan.

Ajastuksien luominen on yksinkertaista, esimerkiksi vanhassa WSUS -palvelussa vastaavan ajastuksen luominen olisi ollut hankalaa.

Helppoahan se Azuressa on?

Kuten esipuheessa mainitsin, nykyään palvelinten päivityksien haasteena on myös se että palvelimet voivat sijaita käytännössä missä tahansa. Omassa konesalissa, palvelutoimittajan konesalissa, Azuressa, AWS:ssä tai vaikka Googlella. Update Management Center ei yksinään pysty auttamaan mikäli palvelimet ovat hajallaan, mutta Update Management Center tukee myös Azure Arc piiriin tuotuja palvelimia, jotka voivat olla missä tahansa pilvessä tai vaikka paikallisessa konselissa. Azure Arc on Microsoftin tuottama palvelu jolla voidaan hallita hallintasovelluksen avulla palvelimia, riippumatta siitä millä alustalla ne pyörivät. Näissä tapauksissa saadaan kokonaishallinta Azuren työkaluihin ja pystytään muunmuassa rakentamaan yksi päivityskokonaisuus ja päivitysnäkymä kaikille palvelimille pyörivätpä ne missä tahansa ympäristössä.

Lisäksi muiden Azure työkalujen kuten Azure policyn avulla voidaan varmistua, että myös kaikki uudet palvelimet tulevat saamaan oikeat päivitykset ilman että niihin täytyy erikseen määritellä päivityskäytännöt.

Päivityssykli?

Usean asiakasorganisaation kanssa olemme käyneet myös mielenkiintoisia keskusteluja liittyen päivityksien asennus-sykleihin. Ilokseni olen huomannut, että näiltä osin aletaan rohkaistumaan ja useassa asiakasorganisaatiossamme myös palvelimia on alettu päivittää viikkosykleissä perinteisen kuukausittaisen asentamisen sijaan. Hyvä huomioida, että organisaatiossa kannattaa tietyissä tilanteissa asentaa päivityksiä myös tätä nopeammin.

Autamme mielellämme päivitystarpeiden ja tietoturvatason yhteensaattamisessa – ole empimättä yhteydessä!