Patching is niet de meest sexy taak in infrastructuurbeheer, maar wel een levensnoodzakelijke. Door er end-to-end een geautomatiseerde oplossing van te maken – inclusief rapportering en alerting – helpen we onze klanten op weg naar continuous compliance.
Het uitgangspunt kennen we allemaal: hackers dringen een systeem binnen via een onbeschermde kwetsbaarheid van de infrastructuur. Regelmatig patchen is dan ook de boodschap. Die patches dekken kwetsbare plaatsen af en verkleinen zo het risico op ongewenste bezoekers. Alleen: patches installeren is niet het interessantste aspect van infrastructuurbeheer. Patching komt zo maar al te vaak op de lange baan.
Met één druk op de knop
Automatisering biedt hierop een antwoord. Je hele infrastructuur patchen met één druk op de spreekwoordelijke knop: daar droomt iedere infrastructuurbeheerder van. Puppet Enterprise, om er één te noemen, is een tool die over zo’n patchingmodule beschikt. Alleen is het werk daarmee niet af. Elke rechtgeaarde CISO vraagt op dat moment om een rapport: zijn alle patches correct uitgevoerd, wat moet er nog gebeuren, wat is de stand van zaken?
Die informatie is niet zomaar standaard in Puppet Enterprise beschikbaar. Het zette ons ertoe aan de hele uitdaging rond patching iets ruimer te bekijken. Met Prometheus (observability) halen we alle benodigde data uit Puppet. Vervolgens gebruiken we Grafana (visualisatie) om de data om te zetten in begrijpelijke informatie. Het resultaat is een end-to-end oplossing voor patching, inclusief alle gewenste rapportering en de bijhorende alerting. We brengen het geheel samen in een dashboard op maat van het bedrijf, waar de CISO in één oogopslag ziet hoe de zaken ervoor staan.
Kiezen voor de vaatwasser
Het nut van zo’n end-to-end oplossing voor patching moet je als bedrijf situeren binnen je ruimere securitybeleid. Correct en tijdig uitgevoerde patching verkleint het aantal incidenten van buitenaf. Door het proces te automatiseren en met een end-to-end oplossing te ondersteunen, neem je tegelijk ook een tweede risico weg. Bij heel wat IT-afdelingen heeft patching te lijden onder uitstelgedrag. En niet zonder reden. Bij de installatie van een nieuwe patch bestaat het risico dat sommige stukken van de infrastructuur plots niet meer werken. Die fouten opsporen en herstellen, is doorgaans een lastige oefening.
De automatisering van de patching vermijdt dat de IT-afdeling in een neerwaartse spiraal terechtkomt. Wie de installatie van patches uitstelt uit vrees voor technische moeilijkheden, moet vroeg of laat een heleboel patches installeren, wat het risico op die moeilijkheden alleen maar vergroot. Door de patching uit te stellen, groeit tegelijk de attack surface. Met andere woorden: de kans op een securityincident neemt toe.
Ergens is patching dus zoals afwassen. Wie geen zin heeft in afwassen, ziet de stapel vaat alleen maar groeien. En naarmate de stapel aangroeit, neemt de zin om in actie te schieten verder af. Dan is een vaatwasser een stuk handiger: de machine doet de vaat op de juiste manier, op het juiste moment. Dat is precies de rol die onze end-to-end oplossing voor patching vervult.
Continuous compliance
Ook voor organisaties met een bescheiden IT-infrastructuur is het nuttig om het beheer van de patches te automatiseren. Het is niet omdat je maar vijf servers te beheren hebt, dat je graag tijd verliest aan repetitief werk, toch? Meer nog, een kleine organisatie heeft vaak geen eigen IT-afdeling, wat de beschikbare tijd voor IT nog schaarser maakt. Klein zijn is hier dus geen valabel argument.
Of je nu groot of klein bent, feit is dat de IT-infrastructuur van je organisatie aan bepaalde regels moet voldoen. Geautomatiseerde patching laat toe een stuk manueel werk uit te schakelen. De automatisering helpt ervoor zorgen dat je altijd in orde bent met de voorschriften op het vlak van security. Geautomatiseerd patch management draagt zo bij aan continuous compliance.