在云計(jì)算中對(duì)系統(tǒng)和應(yīng)用程序進(jìn)行補(bǔ)丁升級(jí)就如同一般的生產(chǎn)環(huán)境中進(jìn)行相同的操作，這種想法對(duì)嗎?也許答案并非如此。雖然從整體安全性和風(fēng)險(xiǎn)管理計(jì)劃上來(lái)說(shuō)，補(bǔ)丁升級(jí)的概念、重要性和實(shí)用性并沒有發(fā)生變化，但是基于云計(jì)算的補(bǔ)丁升級(jí)管理的細(xì)節(jié)變化還是與傳統(tǒng)的內(nèi)部補(bǔ)丁管理大相徑庭。

在本文中，我們將探討云計(jì)算環(huán)境中補(bǔ)丁升級(jí)管理所帶來(lái)的若干挑戰(zhàn)，以及如何更有效地保證系統(tǒng)和應(yīng)用程序能夠升級(jí)至最新版本的一些想法。

基于云計(jì)算補(bǔ)丁升級(jí)管理的思考

與云計(jì)算中補(bǔ)丁升級(jí)工作相關(guān)的第一個(gè)思考就是云計(jì)算各類工作的中一個(gè)老問(wèn)題，即：應(yīng)該由誰(shuí)來(lái)負(fù)責(zé)這項(xiàng)工作?與云計(jì)算中很多問(wèn)題的回答相類似，這個(gè)問(wèn)題的答案取決于云計(jì)算的交付模式。

對(duì)于軟件即服務(wù)(SaaS)模式來(lái)說(shuō)，消費(fèi)者完全失去了對(duì)補(bǔ)丁升級(jí)過(guò)程的控制權(quán)。這種情況下，如果云計(jì)算供應(yīng)商沒有一個(gè)完備的補(bǔ)丁升級(jí)和配置管理流程，那么由此給消費(fèi)者帶的負(fù)面影響是可想而知的。例如在2010年，由于一次錯(cuò)誤的補(bǔ)丁升級(jí)操作，博客平臺(tái)WordPress就經(jīng)歷了一次嚴(yán)重的業(yè)務(wù)停用事件。對(duì)于所有使用SaaS或平臺(tái)即服務(wù)(PaaS)服務(wù)的消費(fèi)者，云計(jì)算安全聯(lián)盟(CSA)建議他們的供應(yīng)商們應(yīng)當(dāng)遵守其云計(jì)算控制矩陣(1.3版)，具體要求如下：

應(yīng)制定與漏洞和補(bǔ)丁升級(jí)相關(guān)的策略、程序和實(shí)施機(jī)制，從而確保及時(shí)評(píng)估應(yīng)用程序、系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的漏洞，以基于風(fēng)險(xiǎn)的方法優(yōu)先考慮關(guān)鍵補(bǔ)丁并及時(shí)做好供應(yīng)商提供的安全補(bǔ)丁的升級(jí)工作。

在PaaS環(huán)境中，企業(yè)用戶對(duì)補(bǔ)丁升級(jí)和配置可能擁有更多的控制權(quán)，尤其是應(yīng)用程序和開發(fā)環(huán)境的組件與開發(fā)庫(kù)等。把對(duì)所有使用的平臺(tái)(如ASP.NET、PHP、Java等)和在該平臺(tái)上運(yùn)行的應(yīng)用程序的補(bǔ)丁升級(jí)整合至現(xiàn)有的測(cè)試和QA周期，同時(shí)，并同時(shí)(或在相同的周期內(nèi))將其視作內(nèi)部應(yīng)用程序一樣進(jìn)行補(bǔ)丁升級(jí)。

在PaaS環(huán)境中，更大的挑戰(zhàn)在于管理。目前，當(dāng)實(shí)施補(bǔ)丁升級(jí)時(shí)，基礎(chǔ)設(shè)施組甚至需要比以往更為緊密地與開發(fā)組和測(cè)試組協(xié)作。仍然由供應(yīng)商負(fù)責(zé)所有包括操作系統(tǒng)和網(wǎng)絡(luò)組件在內(nèi)的后端基礎(chǔ)設(shè)施的補(bǔ)丁升級(jí)任務(wù)，在SaaS環(huán)境中所提及的相同問(wèn)題和關(guān)注點(diǎn)同樣也適用于該模式。

對(duì)于基礎(chǔ)設(shè)施即服務(wù)(IaaS)供應(yīng)商來(lái)說(shuō)，維護(hù)團(tuán)隊(duì)可以安裝由諸如IBM公司和微軟公司等供應(yīng)商提供的傳統(tǒng)補(bǔ)丁升級(jí)管理代理程序。這些代理程序可以向位于中央數(shù)據(jù)中心或甚至相同的云計(jì)算基礎(chǔ)設(shè)施中的補(bǔ)丁升級(jí)管理系統(tǒng)報(bào)告，這取決于具體的部署場(chǎng)景。對(duì)于云計(jì)算服務(wù)器，還有一些新的基于云計(jì)算的補(bǔ)丁升級(jí)管理選項(xiàng)，例如來(lái)自于供應(yīng)商ScaleXtreme的產(chǎn)品就包括了適用于內(nèi)部和公共云計(jì)算系統(tǒng)(該云計(jì)算系統(tǒng)可由Amazon EC2和其它主要的云計(jì)算供應(yīng)商托管)，從而降低了在相同補(bǔ)丁升級(jí)任務(wù)中對(duì)兩個(gè)系統(tǒng)進(jìn)行評(píng)估和打補(bǔ)丁的難度。其它基于云計(jì)算的補(bǔ)丁升級(jí)管理選項(xiàng)還包括了Fiberlink通信公司的MaaS360和VMware公司的Go。

補(bǔ)丁升級(jí)的準(zhǔn)備：云計(jì)算供應(yīng)商應(yīng)當(dāng)提供的支持

除了實(shí)施針對(duì)你的基于云計(jì)算補(bǔ)丁升級(jí)管理任務(wù)的供應(yīng)商模式，云計(jì)算安全聯(lián)盟的一致性評(píng)估計(jì)劃還建議向所有潛在的云計(jì)算服務(wù)供應(yīng)商們(CSP)提出與補(bǔ)丁升級(jí)和漏洞管理相關(guān)的問(wèn)題，具體如下：

 按照行業(yè)最佳操作實(shí)務(wù)的規(guī)定，你是否定期進(jìn)行網(wǎng)絡(luò)層漏洞掃描?

 按照行業(yè)最佳操作實(shí)務(wù)的規(guī)定，你是否定期進(jìn)行應(yīng)用層漏洞掃描?

 按照行業(yè)最佳操作實(shí)務(wù)的規(guī)定，你是否定期進(jìn)行本地操作系統(tǒng)層漏洞掃描?

 如果你的用戶要求，你是否會(huì)把漏洞掃描的結(jié)果提供給他們?

 你是否有能力對(duì)你所有的計(jì)算機(jī)設(shè)備、應(yīng)用程序以及系統(tǒng)執(zhí)行快速補(bǔ)丁升級(jí)任務(wù)?

 如果你的用戶要求，你是否會(huì)向他們提供基于風(fēng)險(xiǎn)的系統(tǒng)補(bǔ)丁升級(jí)時(shí)間表?

歸根結(jié)底，企業(yè)向云計(jì)算供應(yīng)商尋求的支持應(yīng)當(dāng)是針對(duì)他們內(nèi)部補(bǔ)丁升級(jí)管理實(shí)踐和標(biāo)準(zhǔn)的一些調(diào)整。對(duì)于諸如Windows和Linux這樣的標(biāo)準(zhǔn)操作系統(tǒng)，需要考慮的關(guān)鍵因素包括開放等級(jí)(系統(tǒng)的部署)、重要程度(系統(tǒng)的重要性)以及補(bǔ)丁程序的重要程度(如果不進(jìn)行補(bǔ)丁升級(jí)，系統(tǒng)漏洞的危害程度)。相對(duì)開放的重要系統(tǒng)應(yīng)當(dāng)盡快地進(jìn)行所有的關(guān)鍵補(bǔ)丁升級(jí)，建議在幾天之內(nèi)完成。盡管配套供應(yīng)商可能不會(huì)透露他們補(bǔ)丁升級(jí)管理和變更控制的所有策略和程序，但是他們應(yīng)當(dāng)能夠提供盡可能足夠的細(xì)節(jié)信息和保證，以表明他們是否克盡職守。

準(zhǔn)備進(jìn)行一次新的補(bǔ)丁升級(jí)

在云計(jì)算環(huán)境中進(jìn)行補(bǔ)丁升級(jí)操作為我們帶來(lái)了新挑戰(zhàn)，對(duì)于IaaS和PaaS環(huán)境來(lái)說(shuō)，主要是協(xié)作和配置控制兩方面。雖然所有的供應(yīng)商都正式通過(guò)了內(nèi)部的補(bǔ)丁升級(jí)和漏洞管理控制評(píng)估，同時(shí)他們也都能最低限度提供控件的一個(gè)獨(dú)立認(rèn)證證明(如一份SSAE 16報(bào)告)，但是在PaaS和SaaS環(huán)境中審計(jì)和評(píng)估云計(jì)算供應(yīng)商也被證明是存在著問(wèn)題的，雖然不斷出現(xiàn)的新產(chǎn)品可以讓我們更容易地實(shí)現(xiàn)跨內(nèi)外系統(tǒng)的補(bǔ)丁升級(jí)任務(wù)，雖然在同一云計(jì)算環(huán)境中的一個(gè)本地化補(bǔ)丁升級(jí)庫(kù)和/或管理平臺(tái)更為適用，但是大多數(shù)的企業(yè)仍然可能沿用IaaS部署時(shí)所使用的工具。