1. Cos'è la gestione delle patch e come viene affrontata in Linux?

2. Perché la gestione delle patch di Linux è importante?

3. Gestione delle patch passo-passo

4. Le migliori pratiche di gestione delle patch di Linux

5. Software per la gestione automatizzata delle patch per Linux

6. Blog

7. Risorse aggiuntive

Cos'è la gestione delle patch e come viene affrontata in Linux?

La gestione delle patch consiste nella scansione di computer, dispositivi mobili o altre macchine in rete alla ricerca di aggiornamenti software mancanti, noti come "patch", e nel risolvere i problemi distribuendo le patch non appena disponibili. Le patch sono composte da codice che viene inserito nel codice di un programma software esistente.

Il processo di gestione delle patch per i sistemi operativi Linux inizia con la scansione degli endpoint Linux e l'identificazione di eventuali patch mancanti, per poi scaricare le patch dai siti dei fornitori e distribuirle ai computer client. Le patch di Linux non si limitano a una semplice applicazione al codice sorgente del kernel. Queste patch includono aggiornamenti che migliorano la sicurezza del sistema, riducono gli errori e introducono nuove funzionalità.

La gestione delle patch in Linux presenta sfide particolari da considerare. A causa della maggiore diffusione del sistema operativo Windows, a volte gli amministratori non si preoccupano di applicare le patch ai sistemi Linux presenti nella loro rete. Tuttavia, il codice open-source di Linux può comunque presentare bug e vulnerabilità, che devono essere corretti per evitare l'hacking. Ogni nuova versione di Linux include più di 10.000 patch. Inoltre, ogni versione di Linux gestisce le patch in modo diverso. Le soluzioni possono essere complicate, entrare in conflitto tra loro o fornire un controllo ridotto sulle patch.

Le patch del kernel Linux sono generalmente trattate in modo diverso e separato rispetto alle patch di altri software. Per le patch del kernel può essere necessario un riavvio del sistema, a differenza di quanto avviene per le patch di altri software in esecuzione sul server Linux.

Sempre più organizzazioni stanno migrando verso fornitori di servizi cloud come Amazon Web Services (AWS). Anche se i centri dati e l'architettura di AWS possono essere sicuri, la sicurezza delle applicazioni in esecuzione sul cloud AWS è responsabilità delle singole aziende. È importante eseguire regolarmente la scansione delle vulnerabilità e delle patch e monitorare l'inventario corrente di dispositivi e server.

I punti importanti da comprendere sulla gestione delle patch sono riportati di seguito.

• La gestione delle patch serve ad acquisire, testare e installare le modifiche al codice dei sistemi informatici gestiti per mantenerli aggiornati. Il processo determina anche le patch corrette per ogni programma software e ne pianifica l'installazione sui diversi sistemi.

• Le patch sono necessarie per garantire che i sistemi siano corretti, aggiornati e privi di falle di sicurezza e di bug. La mancanza di patch rende una rete doppiamente vulnerabile: non solo la vulnerabilità è presente, ma è anche pubblica, cosa che rende più probabile il suo sfruttamento da parte di malintenzionati, hacker e autori di virus.

• Nella gestione delle patch, un singolo team o un software automatizzato determina quali strumenti necessitano di patch e monitora quando devono essere installate. In molti casi, l'installazione può essere effettuata prima su un computer amministrativo centrale e poi distribuita a tutti gli altri dispositivi. In alcuni casi, le patch devono essere installate separatamente su dispositivi diversi, soprattutto se si tratta di software installati solo su alcuni computer.

• La gestione delle patch comporta anche la determinazione di quali patch sono davvero essenziali e di quando devono essere installate su un sistema.

Perché la gestione delle patch di Linux è importante?

Una corretta gestione delle patch può migliorare notevolmente la sicurezza di un'azienda, risolvendo le vulnerabilità del software e dei sistemi operativi. Ad esempio, l'FBI e il SANS Institute elencano le vulnerabilità software dei sistemi Linux tra le 20 vulnerabilità più critiche.

Ecco alcuni motivi per cui la gestione delle patch è parte fondamentale di quasi tutti i budget IT:

• Sicurezza
  Una corretta gestione delle patch fornisce vantaggi fondamentali in termini di sicurezza. Le violazioni della sicurezza di rete sono spesso causate dalla mancanza di patch nei sistemi operativi e in altre applicazioni. Anche se Linux non è facile da violare, è comunque vulnerabile alle minacce informatiche, comprese quelle provenienti da applicazioni installate con accesso root. È meglio monitorare gli avvisi di sicurezza e applicare le patch per aggiornare i server e chiudere eventuali falle di sicurezza causate da software non aggiornati o applicazioni non progettate correttamente..

• BYOD
  L'emergere del "bring your own device", o BYOD, ha fornito nuove opportunità per i malintenzionati. Un buon software di gestione delle patch installa le patch su tutti i dispositivi, indipendentemente dalla loro posizione fisica. In questo modo, vengono risolte molte delle problematiche legate all'utilizzo dei dispositivi personali..

• Produttività
  A causa di un software difettoso, possono verificarsi arresti anomali del computer con conseguente riduzione della produttività. Una patch, invece, riduce la possibilità di crash e conseguenti tempi di inattività, consentendo ai dipendenti di svolgere le proprie mansioni senza interruzioni. Ad esempio, le patch che riparano gli arresti anomali di Linux o le patch che migliorano le prestazioni, sono patch estremamente importanti, anche se non strettamente legate alla sicurezza, per il loro impatto sulla produttività dei dipendenti.

• Rispetto delle normative
  Le minacce informatiche sono diventate comuni ed è per questo che gli enti di regolamentazione impongono alle aziende di applicare le patch più recenti per prevenire queste minacce. L'inosservanza può causare multe e sanzioni, quindi è necessario avere un sistema Linux totalmente aggiornato per rispettare le normative.

• Aggiornamenti di funzionalità
  Le patch non riguardano sempre la correzione di bug. Possono anche aggiungere caratteristiche e funzionalità in grado di sfruttare al meglio il software esistente. La manutenzione dei server Linux tramite patch può creare comunque problemi di dipendenza. Se si commette un errore nell'applicazione di patch Linux, possono insorgere conflitti software che impediscono l'aggiornamento di altri software, come le applicazioni aziendali.

• Prospettiva sul contesto aziendale
  La gestione delle patch può fornire una panoramica dell'ambiente aziendale. Spesso i fornitori smettono di produrre patch per il loro software perché stanno già lavorando su una versione successiva o perché l'azienda ha cessato l'attività. È consigliabile interrompere l'utilizzo di software che non dispone più di supporto tecnico. La gestione delle patch aiuta a identificare tali software, in modo da sapere quando passare a un nuovo sistema.

Strategie di gestione delle patch di Linux

Rispetto al sistema operativo Windows della Microsoft, il patching dei server Linux è più complesso. La natura del software open source rende lo sviluppo del software Linux meno regolato, quindi gli aggiornamenti possono essere più imprevedibili. È inoltre fondamentale sapere sempre quando terminerà il supporto per le varie versioni del sistema operativo Linux. Questo è particolarmente importante per le aziende o gli ambienti che utilizzano distribuzioni aziendali come Red Hat. 

L'installazione diretta e immediata degli ultimi aggiornamenti non è il processo più efficace di gestione delle patch. Ogni strumento dovrebbe seguire una serie dettagliata di passaggi per garantire che il risultato finale sia economico, efficiente ed efficace.

Ecco alcuni passaggi fondamentali per sviluppare un inventario aggiornato dei dispositivi esistenti:

1. Creare una politica di gestione delle patch.

2. Eseguire regolarmente una scansione della rete e dei dispositivi per identificare le vulnerabilità e le patch mancanti.

3. Testare le patch scaricate in un ambiente di test per verificare la presenza di eventuali incompatibilità o problemi di prestazioni.

4. Applicare le patch a tutta l'azienda solo se non sono emersi problemi durante la fase di test.

5. Creare documentazione e report dettagliati sul download, il test e l'installazione delle patch per le verifiche e la conformità

Anche se questi passaggi possono variare, il punto fondamentale è che gli aggiornamenti non devono essere installati immediatamente non appena si rendono disponibili. Al contrario, occorre seguire un processo stabilito dall'azienda. Un approccio di questo tipo rende più facile rispettare le migliori pratiche di gestione delle patch.

Le migliori pratiche di gestione delle patch di Linux

Ecco alcune best practice per la gestione delle patch di Linux che possono aiutare un'azienda a migliorare la propria sicurezza e ad avere costantemente software aggiornati.

• Comunicare i vantaggi della gestione delle patch
  La gestione delle patch è una parte essenziale del mondo del software ed è importante che la direzione e il team amministrativo ne comprendano i vantaggi per l'intera azienda.

• Definire standard procedurali per l'applicazione delle patch
  Gli standard devono essere pubblicati e consegnati a tutti gli amministratori di sistema.

• Iscriversi alla mailing list di sicurezza della propria distribuzione Linux
  Per il software di base, è importante avere una notifica immediata sulle patch di sicurezza necessarie.

• Mantenere un inventario
  Avere un elenco delle versioni del software per server Linux, delle release e dei livelli di patch nel software di produzione. Questo permette di confrontare automaticamente le patch in arrivo con l'inventario del software.

• Automatizzare dove possibile
  È possibile liberare il tempo del personale IT implementando uno degli strumenti di gestione automatizzata delle patch compatibili con i server Linux. L'automazione riduce il tempo che passa tra la ricezione della patch, il test e la distribuzione.

• Leggere la documentazione prima di applicare le patch
  È fondamentale esaminare le informazioni presenti nei "readme", i prerequisiti, i problemi, le modifiche alle funzionalità e altri possibili workaround. A volte le patch possono danneggiare il sistema.

• Dare la priorità alle patch per il server Linux
  Determinare quali patch per server Linux sono critiche e quali possono essere applicate in un secondo momento.

• Testare accuratamente le patch prima della distribuzione
  L'ideale sarebbe testare le patch in un ambiente di produzione Linux simulato. Come minimo, occorre distribuire le patch su poche macchine di produzione attentamente monitorate, sulle quali è possibile eseguire rapidamente il rollback in caso di problemi. Quando si distribuiscono le patch senza averle testate correttamente, si rischiano conflitti software che causano danni ai sistemi dell'intera azienda.

• Informare tutte le parti in causa
  È importante avvisare gli utenti e gli amministratori della distribuzione delle patch per i server Linux, incluso cosa fare nel caso rilevino problemi.

• Collaborare con i fornitori di servizi gestiti
  Molti fornitori di servizi gestiti offrono servizi di gestione delle patch per soddisfare le esigenze di diverse aziende. Chi è a corto di tempo o di risorse, può prendere in considerazione questa opzione, in modo da potersi concentrare sul proprio core business

• Stabilire un piano di disaster recovery
  I backup sono l'opzione più semplice e possono essere utilizzati anche per mitigare altri rischi, come un'infezione da virus o un'intrusione.

Strumenti software per la gestione automatizzata delle patch di Linux

Negli ultimi anni sono emersi strumenti di gestione automatizzata delle patch che riducono la pressione sugli amministratori e migliorano l'efficienza complessiva del processo di download e installazione delle patch su diversi dispositivi.

Le soluzioni di monitoraggio della rete possono aiutare a distribuire le patch dei server Linux in modo più rapido e organizzato. È consigliabile utilizzare strumenti di gestione automatizzata delle patch quando il numero di server Linux supera i 40 o 50. Con un numero così elevato di dispositivi, il dipartimento IT potrebbe, realisticamente, avere tempo per applicare manualmente solo le patch più urgenti e a più elevata priorità.

Come scegliere il software di gestione delle patch giusto, visto il gran numero di strumenti oggi disponibili? Ecco alcune funzionalità che dovrebbero essere presenti in ogni buon software di gestione delle patch automatizzato:

• Deve funzionare su diverse piattaforme e sistemi operativi, compresi i sistemi operativi Microsoft®, MAC OS X® e Linux®, Amazon Web Services (AWS), altre piattaforme cloud e applicazioni di terze parti

• Deve eseguire una scansione dell'intera rete per identificare le patch mancanti tra i diversi software

• Deve scaricare le patch direttamente dai siti dei fornitori

• Deve includere funzionalità di test e distribuzione delle patch

• Deve includere report dettagliati per dare agli amministratori un'idea completa delle patch mancanti, scaricate, testate e installate

• Deve essere facile da installare su tutti i dispositivi, come desktop, laptop e server

• Può essere facilmente integrato con la gestione automatizzata delle patch per risparmiare tempo

• Deve poter generare report sullo stato di ogni aggiornamento e statistiche sulle installazioni e gli aggiornamenti delle patch a scopo di audit

Le aziende con reti di grandi dimensioni possono utilizzare uno strumento di gestione automatizzata delle patch come GFI LanGuard per centralizzare le funzioni di monitoraggio e reportistica con funzionalità di accesso remoto. GFI LanGuard offre una console basata sul web accessibile tramite protocolli sicuri da qualsiasi luogo o dispositivo, utilizzando tutti i principali browser.

Blog

Risorse aggiuntive