Rol security updates efficiënt uit met Puppet


Bijna dagelijks komen er security updates uit voor de meest uiteenlopende systemen en softwareapplicaties. Deze security updates zorgen ervoor dat een systeem of applicatie veilig en stabiel blijft draaien. Het is daarom van groot belang dat de periode tussen de release van de update en de installatie van de update zo kort mogelijk wordt gehouden. Dit betekent dat een managed hoster 24/7 security updates moet uitrollen en niet alleen op vastgestelde momenten want; hoe korter de periode tussen de release van een security update en de installatie is, hoe kleiner de kans dat er misbruik zal worden gemaakt van kwetsbaarheden in de software.

Zero-day exploit attacks
Een zero-day exploit is een kwetsbaarheid in de beveiliging van software die ontdekt wordt door derden en dus niet door de softwareontwikkelaar zelf. Dit heeft als gevolg dat er nog geen patch is ontwikkeld. Hierdoor kan er, vanaf de eerste dag van ontdekking (zero-day), misbruik worden gemaakt van zo’n kwetsbaarheid. Dit wordt een zero-day attack genoemd. Over het algemeen is het erg moeilijk om een zero-day attack te analyseren omdat gegevens pas beschikbaar zijn nadat een aanval is ontdekt. Er is een onderzoek verricht naar zero-day attacks door Bilge & Dumitras (2012) waaruit onder andere de onderstaande bevindingen (afbeelding 1) naar voren komen.

Puppet afbeelding 1 onderzoek

Security updates en management tools
Zero-day attacks kunnen niet worden voorkomen met het automatisch uitrollen van security updates. Een zero-day attack wordt meestal geheim gehouden door de ontdekker wanneer deze kwade bedoelingen heeft, hierdoor is er weinig tegen een zero-day attack te doen. Het belang van 24/7 security updates zit dan ook vooral in het moment dat de (security) update, patch of de kwetsbaarheid zelf algemeen bekend wordt. Op zo’n moment neemt het aantal aanvallen in de uren, dagen, weken en maanden daarna fors toe met gemiddeld een factor 10. Daarom dient de periode tussen de bekendmaking van een kwetsbaarheid en het uitrollen van een (security) update zo kort mogelijk te zijn; dit is waar het 24/7 automatisch uitrollen van (security) updates een zeer grote meerwaarde heeft.

Om het dag en nacht uitrollen van security updates efficiënt en consequent te laten verlopen, kunnen management tools worden gebruikt, zoals: Ansible, Capistrano, Chef, Puppet en Salt. Puppet is één van de bekendste op dit gebied en wordt tevens door ons gebruikt. Puppet is een open-source managementtool welke ontwikkeld wordt door Puppet Labs. Kort gezegd automatiseert Puppet verschillende (administratieve) taken, zoals security updates en het beheer van de configuratie van servers, van een groot aantal servers. Hierdoor kunnen duizenden servers tegelijk worden beheerd, geüpdatet en geconfigureerd.

Hoe werkt Puppet?
De Puppet Master (zie afbeelding 2) bevat alle configuraties voor de verschillende hosts (nodes), in Puppet worden dit manifests genoemd. Manifests zijn dus feitelijke beschrijvingen van hoe de server geconfigureerd moet zijn. De Puppet Master draait als Deamon/Service op de Puppet Master Server. Een Deamon (Unix) of een Service (Windows) is een proces dat op de achtergrond draait.

Puppet afbeelding 2 visualisatie

De Puppet Master Server heeft doorgaans honderden tot duizenden servers (nodes) waarop de Puppet Agent als Deamon/Service draait. Puppet maakt hierbij standaard gebruik van een pull-model, waarbij elke Agent zijn systeemstatus vergelijkt met de status zoals deze volgens de manifests van de Puppet Master moet zijn. Vervolgens voert de agent de eventuele wijzigingen en/of updates door en stuurt vervolgens een rapport terug naar de Puppet Master Server. De frequentie voor het automatisch vergelijken wordt vooraf ingesteld. De Puppet Agent communiceert met de Puppet Master Server middels een versleutelde SSL-verbinding. Via deze verbinding worden onder andere configuratiewijzigingen opgevraagd, belangrijke updates geautomatiseerd en wordt de status van applicaties gecontroleerd.

Hoe gebruiken wij Puppet?
Veel hostingpartijen gebruiken Puppet primair voor het uitrollen van gestandaardiseerde installaties. Wij richten ons voor een groot deel op maatwerk, hierdoor wordt Puppet in mindere mate gebruikt voor de installaties maar zetten wij Puppet primair in voor het automatisch uitrollen van (security) updates. Door deze acties op deze wijze te automatiseren hoeven onze System Administrators niet elk systeem apart te updaten wat zeer veel kostbare tijd bespaart. Dit heeft naast efficiency dus ook een groot veiligheidsvoordeel omdat servers veel sneller zijn voorzien van (security) updates. Daarnaast wordt door het gebruik van Puppet het beheer van servers veel overzichtelijker en minder foutgevoelig.

Geschreven door Isabelle Walter, Managed Hosting Specialist (Shock Media)

Dit ingezonden artikel is geschreven door Isabelle Walter, Managed Hosting Specialist van Shock Media.

Lees ook de onderstaande artikelen van Shock Media

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!

Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via [email protected] of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.