Axians IT-Solution über modernes Patch-Management

Über das optimale Patch Management für Server

Über das optimale Patch Management für Server

Wer sicher sein will, muss aktualisieren

Von Markus Köstner, Teamleiter Digital Experience Development bei Axians IT Solutions

Wer darauf verzichtet, regelmäßig Security- und System-Updates auf Servern einzuspielen, lebt gefährlich. Denn für Hacker sind ungepatchte Systeme eine leichte Beute. Abhilfe schaffen Lösungen, mit denen sich Patches schnell und auf unkomplizierte Weise prüfen und bereitstellen lassen.

Markus Köstner, Teamleiter Digital Experience Development bei Axians IT Solutions (Quelle: Axians)

Keine Software ist perfekt, weder Server-Betriebssysteme wie Windows Server oder Linux noch Anwendungen, die auf solchen Systemen laufen. Das ist nachvollziehbar, wenn man den Funktionsumfang von aktuellen Versionen einer Software mit dem der Vorgänger vergleicht. Das gilt auch für Server-Betriebssysteme wie etwa Windows Server 2008 und Windows Server 2019. Daher ist es logisch, dass die Software-Anbieter regelmäßig Aktualisierungen bereitstellen.

Besonders wichtig sind Patches, also Software-Updates, die Sicherheitslücken schließen. Das gilt vor allem für Server-Systeme. Der Grund liegt auf der Hand: Verschafft sich ein Hacker Zugang zu solchen Systemen, könnte er Geschäftsdaten „absaugen“. Im Extremfall führen offene Sicherheitslücken auf Servern dazu, dass Angreifer komplette Server-Farmen oder Rechenzentren lahmlegen. Nach Erfahrungswerten der IT-Experten von Axians lassen sich bis zu 97 Prozent solcher Attacken verhindern, wenn Server-Systeme stets auf dem aktuellen Stand sind.

In der Praxis ist es jedoch alles andere als trivial, Sicherheitslücken bei Servern zu schließen. Ein Grund ist, dass in der Regel nicht ein einzelner Administrator einen Server verwaltet. Vielmehr können unterschiedliche Systemverwalter für ein System zuständig sein. Dies ist speziell in mittelständischen und größeren Unternehmen der Fall. Eine Anforderung ist zudem, dass Systemverantwortliche auch Server verwalten können, die in räumlich entfernten Serverräumen oder Rechenzentren stehen.

Patch Management der neuen Generation

Ein Beispiel dafür, wie eine moderne Patch-Management-Lösung aussehen kann, ist myOperations Patch Management von Axians. Die Grundlage bildet Microsoft System Center, in Verbindung mit Werkzeugen wie System Center Configuration Manager (SCCM), welches durch myOperations Patch Management eine Delegierungsschicht hinzugewinnt. System Center ist eine Zusammenstellung von Management-Tools, mit denen Administratoren physische und virtualisierte IT-Umgebungen verwalten, inklusive Servern. Allerdings ist die Bedienung des System Centers komplex. Das gilt vor allem für IT-Fachleute, die nicht regelmäßig mit dieser Software-Suite arbeiten.

myOperations stellt ein Web-Portal bereit, über das auch weniger geübte Nutzer auf intuitive Weise Aufgaben im Bereich Server-Administration übernehmen können. Das gilt auch für das Einspielen von Patches. Ein Vorteil dieses Ansatzes: Es sind keine zig Meetings und E-Mails zwischen Administratoren und Usern mehr nötig, um einen Patch-Vorgang anzustoßen und durchzuführen. Das bedeutet allerdings nicht, dass nun jeder „normale" IT-Nutzer nach Belieben System-Updates auf einem Server vornehmen kann. Mithilfe von Regelwerken (Policies) lässt sich steuern, welche Mitarbeiter auf bestimmten Servern Patches installieren dürfen.

Flexible Konfiguration und Rechtevergabe

Ein flexibler Ansatz funktioniert nur dann, wenn ein umfassendes und „feinkörniges" Rechtemanagement vorhanden ist. Mit ihm lassen sich Nutzern und Gruppen Rollen zuweisen, etwa „Anwender", „Key User" und „Administrator". Diese Rollen sollten frei definierbar sein. Auf diese Weise kann die IT-Abteilung Aufgaben aus dem Bereich Patch Management beispielsweise an Fachabteilungen weitergeben. Je nach Know-how und Rolle erhalten Mitarbeiter dieser Abteilungen differenzierte Zugriffsrechte auf die Funktionen der Patch-Management-Lösung.

Unterstützt wird ein solches Rollenkonzept von der Option, die Benutzeroberfläche eines Self-Service-Portals individuell zu gestalten. Bei myOperations lässt sich ein Großteil der Elemente der Oberfläche an die Anforderungen des Unternehmens und der User anpassen. Administratoren können festlegen, welche Navigationspunkte und Listenansichten bestimmten Nutzergruppen zur Verfügung stehen. Diese Variabilität weisen nur wenige Patch-Management-Lösungen für Server auf.

Ein weiterer Vorteil der Lösung ist, dass die Daten, die System Center bereitstellt, deutlich schneller verarbeitet werden. Außerdem können Systemverwalter Elemente von System Center mithilfe der Search Engine bis zu 30 Mal schneller auffinden. Eine vergleichbare Suchfunktion stellt System Center selbst nicht zur Verfügung.

Wahlmöglichkeit: On Premises oder Cloud

Ein wichtiges Kriterium, das eine Lösung für das Server Patch Management erfüllen muss, ist eine hohe Flexibilität bei der Bereitstellung. Unternehmen sollten selbst entscheiden können, ob sie die Software im eigenen Rechenzentrum (On Premises) implementieren oder „as a Service" von einer Cloud-Plattform wie Microsoft Azure beziehen.

myOperations unterstützt beide Modelle. Die Cloud-Version myOperations Portal as Azure Service ist über Microsofts Plattform Azure verfügbar. Die Datenbank und die integrierte Suchmaschine laufen in diesem Fall auf Cloud-Servern. Für Unternehmen, die ausschließlich ein Server Patch Management benötigen und dieses im eigenen Datacenter bereitstellen möchten, ist eine On-Premises-Version das Richtige. Auch die eigenständige Patch-Management-Lösung basiert auf System Center Configuration Manager. Sie spricht IT-Abteilungen an, die in Eigenregie ein Server Patch Management implementieren und betreiben möchten.

Fazit

Patch Management für Server-Systeme erleichtert die Arbeit der Administratoren und erhöht die Sicherheit im Rechenzentrum. Entsprechende Lösungen helfen, den Patch-Status von Servern zu überprüfen und automatisch Systemaktualisierungen einzuspielen. Das gilt insbesondere für Systeme in Unternehmens-Rechenzentren, Private Clouds sowie virtuelle Server in Public Clouds verschiedener Anbieter. Wer stattdessen darauf setzt, dass er vor Hacker-Angriffen verschont bleibt und daher auf Sicherheits-Updates verzichten kann, spielt mit dem Feuer. Denn der Verlust von Geschäftsinformationen und Kundendaten kann für ein Unternehmen gravierende wirtschaftliche und juristische Konsequenzen haben.