在云計算中對系統(tǒng)和應(yīng)用程序進行補丁升級就如同一般的生產(chǎn)環(huán)境中進行相同的操作，這種想法對嗎?也許答案并非如此。雖然從整體安全性和風(fēng)險管理計劃上來說，補丁升級的概念、重要性和實用性并沒有發(fā)生變化，但是基于云計算的補丁升級管理的細節(jié)變化還是與傳統(tǒng)的內(nèi)部補丁管理大相徑庭。

在本文中，我們將探討云計算環(huán)境中補丁升級管理所帶來的若干挑戰(zhàn)，以及如何更有效地保證系統(tǒng)和應(yīng)用程序能夠升級至***版本的一些想法。

基于云計算補丁升級管理的思考

與云計算中補丁升級工作相關(guān)的***個思考就是云計算各類工作的中一個老問題，即：應(yīng)該由誰來負責(zé)這項工作?與云計算中很多問題的回答相類似，這個問題的答案取決于云計算的交付模式。

對于軟件即服務(wù)(SaaS)模式來說，消費者完全失去了對補丁升級過程的控制權(quán)。這種情況下，如果云計算供應(yīng)商沒有一個完備的補丁升級和配置管理流程，那么由此給消費者帶的負面影響是可想而知的。例如在2010年，由于一次錯誤的補丁升級操作，博客平臺WordPress就經(jīng)歷了一次嚴重的業(yè)務(wù)停用事件。對于所有使用SaaS或平臺即服務(wù)(PaaS)服務(wù)的消費者，云計算安全聯(lián)盟(CSA)建議他們的供應(yīng)商們應(yīng)當(dāng)遵守其云計算控制矩陣(1.3版)，具體要求如下：

應(yīng)制定與漏洞和補丁升級相關(guān)的策略、程序和實施機制，從而確保及時評估應(yīng)用程序、系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的漏洞，以基于風(fēng)險的方法優(yōu)先考慮關(guān)鍵補丁并及時做好供應(yīng)商提供的安全補丁的升級工作。

在PaaS環(huán)境中，企業(yè)用戶對補丁升級和配置可能擁有更多的控制權(quán)，尤其是應(yīng)用程序和開發(fā)環(huán)境的組件與開發(fā)庫等。把對所有使用的平臺(如ASP.NET、PHP、Java等)和在該平臺上運行的應(yīng)用程序的補丁升級整合至現(xiàn)有的測試和QA周期，同時，并同時(或在相同的周期內(nèi))將其視作內(nèi)部應(yīng)用程序一樣進行補丁升級。

在PaaS環(huán)境中，更大的挑戰(zhàn)在于管理。目前，當(dāng)實施補丁升級時，基礎(chǔ)設(shè)施組甚至需要比以往更為緊密地與開發(fā)組和測試組協(xié)作。仍然由供應(yīng)商負責(zé)所有包括操作系統(tǒng)和網(wǎng)絡(luò)組件在內(nèi)的后端基礎(chǔ)設(shè)施的補丁升級任務(wù)，在SaaS環(huán)境中所提及的相同問題和關(guān)注點同樣也適用于該模式。

對于基礎(chǔ)設(shè)施即服務(wù)(IaaS)供應(yīng)商來說，維護團隊可以安裝由諸如IBM公司和微軟公司等供應(yīng)商提供的傳統(tǒng)補丁升級管理代理程序。這些代理程序可以向位于中央數(shù)據(jù)中心或甚至相同的云計算基礎(chǔ)設(shè)施中的補丁升級管理系統(tǒng)報告，這取決于具體的部署場景。對于云計算服務(wù)器，還有一些新的基于云計算的補丁升級管理選項，例如來自于供應(yīng)商ScaleXtreme的產(chǎn)品就包括了適用于內(nèi)部和公共云計算系統(tǒng)(該云計算系統(tǒng)可由Amazon EC2和其它主要的云計算供應(yīng)商托管)，從而降低了在相同補丁升級任務(wù)中對兩個系統(tǒng)進行評估和打補丁的難度。其它基于云計算的補丁升級管理選項還包括了Fiberlink通信公司的MaaS360和VMware公司的Go。

補丁升級的準備：云計算供應(yīng)商應(yīng)當(dāng)提供的支持

除了實施針對你的基于云計算補丁升級管理任務(wù)的供應(yīng)商模式，云計算安全聯(lián)盟的一致性評估計劃還建議向所有潛在的云計算服務(wù)供應(yīng)商們(CSP)提出與補丁升級和漏洞管理相關(guān)的問題，具體如下：

• 按照行業(yè)***操作實務(wù)的規(guī)定，你是否定期進行網(wǎng)絡(luò)層漏洞掃描?

• 按照行業(yè)***操作實務(wù)的規(guī)定，你是否定期進行應(yīng)用層漏洞掃描?

• 按照行業(yè)***操作實務(wù)的規(guī)定，你是否定期進行本地操作系統(tǒng)層漏洞掃描?

• 如果你的用戶要求，你是否會把漏洞掃描的結(jié)果提供給他們?

• 你是否有能力對你所有的計算機設(shè)備、應(yīng)用程序以及系統(tǒng)執(zhí)行快速補丁升級任務(wù)?

• 如果你的用戶要求，你是否會向他們提供基于風(fēng)險的系統(tǒng)補丁升級時間表?

歸根結(jié)底，企業(yè)向云計算供應(yīng)商尋求的支持應(yīng)當(dāng)是針對他們內(nèi)部補丁升級管理實踐和標準的一些調(diào)整。對于諸如Windows和Linux這樣的標準操作系統(tǒng)，需要考慮的關(guān)鍵因素包括開放等級(系統(tǒng)的部署)、重要程度(系統(tǒng)的重要性)以及補丁程序的重要程度(如果不進行補丁升級，系統(tǒng)漏洞的危害程度)。相對開放的重要系統(tǒng)應(yīng)當(dāng)盡快地進行所有的關(guān)鍵補丁升級，建議在幾天之內(nèi)完成。盡管配套供應(yīng)商可能不會透露他們補丁升級管理和變更控制的所有策略和程序，但是他們應(yīng)當(dāng)能夠提供盡可能足夠的細節(jié)信息和保證，以表明他們是否克盡職守。

準備進行一次新的補丁升級

在云計算環(huán)境中進行補丁升級操作為我們帶來了新挑戰(zhàn)，對于IaaS和PaaS環(huán)境來說，主要是協(xié)作和配置控制兩方面。雖然所有的供應(yīng)商都正式通過了內(nèi)部的補丁升級和漏洞管理控制評估，同時他們也都能***限度提供控件的一個獨立認證證明(如一份SSAE 16報告)，但是在PaaS和SaaS環(huán)境中審計和評估云計算供應(yīng)商也被證明是存在著問題的，雖然不斷出現(xiàn)的新產(chǎn)品可以讓我們更容易地實現(xiàn)跨內(nèi)外系統(tǒng)的補丁升級任務(wù)，雖然在同一云計算環(huán)境中的一個本地化補丁升級庫和/或管理平臺更為適用，但是大多數(shù)的企業(yè)仍然可能沿用IaaS部署時所使用的工具。