Azure Update Management: introduzione alla soluzione

Davide SalsiAzure Automation, Cloud, Log Analytics, Microsoft Azure

Una delle soluzioni più innovative ed utili per le aziende in ambito security management è sicuramente la soluzione Azure Update Management.

Per molte aziende, la gestione degli aggiornamenti di security e non è un’importante sfida sia dal punto di vista organizzativo che tecnico; non tutte le organizzazioni hanno la possibilità di utilizzare Configuration Manager per la distribuzione degli update e la soluzione WSUS risulta essere obsoleta e poco flessibile.

Azure Update Management permette di gestire gli aggiornamenti legati ai sistemi operativi Windows e Linux, sia in ambienti On-Premise che in ambienti Cloud; altro aspetto fondamentale da non sottovalutare è che la soluzione risulta essere Free.

Tale soluzione utilizza Azure Monitor ed il rispettivo workspace per collezionare le informazioni riguardanti i sistemi e Azure Automation per gestire la distribuzione degli aggiornamenti; inoltre, i singoli sistemi inclusi nella soluzione sfruttano le seguenti componenti durante il processo di scansione e valutazione degli aggiornamenti:

  • Microsoft Monitoring Agent (MMA) (per sistemi Windows o Linux);
  • PowerShell Desired State Configuration (DSC) (per sistemi Linux);
  • Hybrid Worker Runbook;
  • Microsoft Update o Windows Server Update Services (WSUS) (per sistemi Windows)

Riportiamo qui sotto un overview del processo di aggiornamento dei sistemi attraverso Azure Update Management:

Figura 1 – Azure Update Management overview

Ambiti supportati

Allo stato attuale, è possibile attivare tale soluzione sui seguenti sistemi operativi:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 (RTM e SP1 Standard)
  • CentOS 6 (x86/x64) e 7 (x64)*
  • Red Hat Enterprise 6 (x86/x64) e 7 (x64)*
  • SUSE Linux Enterprise Server 11 (x86/x64) e 12 (x64)*
  • Ubuntu 14.04 LTS, 16.04 LTS e 18.04 LTS (x86/x64)*

*Gli agenti Linux hanno la necessità di avere accesso ad un repository degli aggiornamenti.

E’ possibile attivare la soluzione anche su VM presenti su tenant differenti da quello dove risulta essere stato attivato Azure Update Management (solo per sistemi Windows).

Per il momento questa funzionalità non è attivabile per sistemi operativi Windows Client, Windows Server 2016 Nano Server e Azure Kubernetes Service Nodes.

I sistemi Windows devono essere configurati per comunicare con un WSUS server oppure direttamente verso Microsoft Update; per quanto riguarda i sistemi Linux, questi devono essere configurati per accedere ad un repository degli aggiornamenti pubblico o privato.

Predisposizione dei prerequisiti

Riportiamo qui sotto una breve guida per poter procedere con la creazione dei prerequisiti necessari alla soluzione; ovviamente se si è già in possesso di un Azure Monitor workspace e di un Azure Automation Account, la procedura sotto riportata non è indispensabile.

  • Connettersi ad Azure Portal;
  • Nella Home Page selezionare More services e cercare la voce Log Analytics workspaces all’interno del campo di ricerca;
  • Selezionare la risorsa interessata e premere sul pulsante Add per effettuare la creazione di un nuovo workspace;
  • Completare il wizard di creazione sulla base delle proprie esigenze:
Figura 2 – Wizard Azure Update Management
  • Tornare alla Home Page e cercare la voce Automation Accounts all’interno del campo di ricerca;
  • Selezionare la risorsa interessata e premere sul pulsante Add per effettuare la creazione di un nuovo account;
  • Completare il wizard sulla base delle proprie esigenze:
Figura 3 – Wizard Automation Account

Attivazione della soluzione

Riportiamo qui sotto una breve guida per poter attivare la soluzione Azure Update Management:

  • Connettersi ad Azure Portal;
  • Accedere alla Home page e selezionare la risorsa Virtual Machines;
  • Selezionare la VM interessata;
  • All’interno del blade, selezionare l’opzione Update Management presente nella sezione Operations;
  • Procedere con l’attivazione della soluzione, accertandosi di inserire il workspace e l’automation account creati in precedenza;
Figura 4 – Attivazione soluzione
  • Premere sul pulsante Enable per completare l’attivazione;

NOTA: come indicato nella seguente nota tecnica, una volta attivata la soluzione, ogni sistema verrà visualizzato come Hybrid Runbook Worker all’interno della sezione System hybrid worker group del panel Hybrid worker groups.

  • Accedere alla sezione All services -> Automation Account e selezionare l’automation account indicato in precedenza nella configurazione della VM;
  • Selezionare l’opzione Update Management e verificare che la VM configurata risulti visibile;

NOTA: è possibile che sia necessario attendere circa 15 minuti prima di visualizzare la VM all’interno della sezione interessata.

  • Attraverso i pulsanti Add Azure VMs e Add non-Azure machine, è possibile aggiungere ulteriori sistemi alla soluzione;

Pianificazione degli aggiornamenti

Per pianificare gli aggiornamenti sui vari sistemi inseriti all’interno della soluzione, è necessario seguire gli step sotto indicati:

  • Creare un nuovo Schedule Update Deployment attraverso l’apposito pulsante;
Figura 5 – Creazione Deployment Schedule
  • Selezionando l’opzione Groups to update o Machines to update all’interno del nuovo blade, sarà possibile introdurre le VM all’interno del nuovo deployment;

NOTA: Su questa soluzione è possibile avere, come target, dei gruppi dinamici di macchine virtuali, generati da query basate su concetti nativi di Azure (come ad esempio Resource Group, Location e Tags). Per quanto riguarda i sistemi non in ambiente Azure, è possibile aggiungere tali sistemi dinamicamente alla distribuzione attraverso apposite ricerche salvate su Azure Monitor.

Figura 6 – Saved Searches
  • All’interno del menù a tendina Update Classifications, è possibile definire la tipologia di aggiornamenti da autorizzare;
  • Selezionando l’opzione Include/Exlude Updates, è possibile definire quali aggiornamenti dovranno essere applicati e quali eventualmente esclusi dall’applicazione (es: upgrade del sistema operativo);
  • Attraverso l’opzione Schedule settings, verranno definiti giorno e ora in cui verranno applicati gli aggiornamenti;
Figura 7 – Schedulazione aggiornamenti

NOTA: Una delle funzionalità molto utili presenti nella soluzione risulta essere quella Pre/Post-Scripts; questa funzionalità permette di eseguire automaticamente uno o più task prima e dopo il processo di aggiornamento.

  • Una volta terminate le configurazioni premere sul pulsante Create;

Controllo sullo stato degli aggiornamenti

Nei giorni e nell’orario concordato, verrà eseguito un runbook per permettere l’aggiornamento del sistema; per consultare l’esecuzione dei deployment accedere alla sezione History e selezionare il deployment interessato:

Figura 8 – History delle schedulazioni

In questa sezione è possibile visualizzare gli aggiornamenti installati sulle VMs e lo stato di quest’ultime; nel caso in cui il deployment dovesse terminare in errore, è possibile accedere alla sezione All Logs per determinare le cause del problema nell’installazione degli aggiornamenti.

Riferimenti

Si riportano alcuni utili riferimenti alla documentazione ufficiale Microsoft:

Conclusioni

Azure Update Management è la soluzione ottimale per permettere l’aggiornamento di sistemi Windows e Linux in ambienti Cloud (e non) dove l’introduzione di Microsoft Endpoint Configuration Manager risulta essere troppo onerosa in termini tecnici e economici.