La nuova soluzione per gestire e governare gli aggiornamenti dei sistemi

Le comuni pratiche in materia di sicurezza informatica prevedono, tra i molteplici accorgimenti, l’applicazione tempestiva degli aggiornamenti software. Infatti, questa attività risulta di fondamentale importanza anche per eliminare le vulnerabilità che permettono l’attuazione di specifici attacchi informatici sui sistemi aziendali. Per facilitare l’applicazione delle patch, relative al sistema operativo, alle macchine della propria infrastruttura, Microsoft ha recentemente annunciato la disponibilità di una nuova soluzione denominata “Update management center”. In questo articolo vengono riportate le caratteristiche e le peculiarità di questa soluzione che aiuta a semplificare la gestione degli aggiornamenti e a raggiungere la conformità per quanto concerne questi aspetti legati alla sicurezza.

Cosa consente di fare questa soluzione?

Update management center è la nuova soluzione che aiuta a gestire e a governare centralmente gli aggiornamenti di tutte le macchine presenti nella propria infrastruttura. Infatti, mediante questa soluzione risulta possibile:

  • Controllare la conformità degli aggiornamenti per l’intero parco macchine.
  • Distribuire istantaneamente aggiornamenti critici per proteggere i propri sistemi oppure pianificare l’installazione all’interno di una finestra di manutenzione definita.
  • Sfruttare le differenti opzioni di applicazione delle patch, come Automatic VM guest patching in Azure, hot patching, e le pianificazioni delle manutenzioni definite dal cliente.

Ad oggi, Update management center è in grado di gestire e governare gli aggiornamenti su:

  • Sistemi operativi Windows e Linux.
  • Macchine che risiedono in Azure, in locale e su altre piattaforme cloud, grazie ad Azure Arc.

Il diagramma seguente illustra come Update management center effettua la valutazione e l’applicazione degli aggiornamenti su tutti i sistemi Azure e sui server abilitati per Arc, sia Windows sia Linux.

Figura 1 – Panoramica di Update management center

Update Management Center si basa su una nuova Azure extension progettata per fornire tutte le funzionalità necessarie per interagire con il sistema operativo per quanto riguarda la valutazione e l’applicazione degli aggiornamenti. Questa extension viene installata automaticamente all’avvio di qualsiasi operazione di Update Management Center. La distribuzione dell’extension è supportata sulle macchine virtuali di Azure oppure sui server abilitati per Arc e viene installata e gestita utilizzando:

  • L’agente Windows oppure l’agente Linux per le macchine virtuali di Azure.
  • L’agente Azure Arc per computer o server fisici non Azure (sia Linux, sia Windows).

L’installazione e la configurazione dell’extension viene gestita dalla soluzione e non è necessario alcun intervento manuale, purché gli agenti delle macchine virtuali di Azure o gli agenti per Azure Arc siano funzionanti. L’extension dell’Update management center esegue il codice in locale sul computer per interagire con il sistema operativo e consente di:

  • Recuperare le informazioni di valutazione sullo stato degli aggiornamenti di sistema, specificati dall’agente di Windows Update oppure dal Linux package manager*.
  • Avviare il download e l’installazione degli aggiornamenti approvati dal client Windows Update oppure dal Linux package manager.
  • Ottenere tutte le informazioni sui risultati dell’installazione degli aggiornamenti, le quali vengono riportate nell’Update management center dall’extension e sono disponibili per essere analizzate tramite Azure Resource Graph. La visualizzazione dei dati delle valutazioni è possibile consultarla per gli ultimi sette giorni ed i risultati riguardanti l’installazione degli aggiornamenti è disponibile per gli ultimi trenta giorni.

* Le macchine erogano le segnalazioni sugli aggiornamenti in base all’origine con cui sono configurate per la sincronizzazione. Windows Update Agent (WUA) su macchine Windows può essere configurato per far riferimento a Windows Server Update Services (WSUS) oppure a Microsoft Update. Le macchine Linux possono essere configurate per far riferimento a un repository di pacchetti YUM o APT locale oppure pubblico.

Benefici della soluzione

Update management center funziona senza la necessità di fare attività di onboarding, in quanto è una soluzione che si basa nativamente sulla piattaforma Azure Compute e su Azure Arc-enabled servers. Questa soluzione prenderà presto il posto di Update Management di Azure Automation, rimuovendo qualsiasi dipendenza da Azure Automation e da Log Analytics.

Nei paragrafi seguenti vengono sintetizzati i principali punti di forza della nuova soluzione.

Visibilità centralizzata degli aggiornamenti

Grazie a questa soluzione è possibile consultare in modo centralizzato, direttamente dal portale Azure, lo stato di compliance rispetto agli aggiornamenti richiesti e distribuiti sui vari sistemi.

Integrazione nativa e zero onboarding

Trattandosi di una soluzione creata come funzionalità nativa della piattaforma Azure, non è presente nessuna dipendenza da Log Analytics e da Azure Automation. Inoltre, la soluzione supporta una totale integrazione con le Azure Policy.

Integrazione con i ruoli e le identità di Azure

La soluzione consente di ottenere un controllo di accesso granulare a livello di risorsa. Il tutto è basato su Azure Resource Manager e quindi consente l’utilizzo di RBAC e dei ruoli basati su ARM in Azure.

Elevata flessibilità nella gestione degli aggiornamenti

La possibilità di controllare automaticamente gli aggiornamenti mancanti oppure su richiesta, così come la capacità di agire installando immediatamente gli aggiornamenti oppure di pianificarli per una data successiva sono elementi che garantiscono una elevata flessibilità. Inoltre, è consentito mantenere aggiornati i sistemi adottando nuove tecniche, come ad esempio l’automatic VM guest patching in Azure e l’hotpatching.

Integrazione con altre soluzioni

In questo contesto è opportuno considerare che Microsoft offre, oltre a questa soluzione, anche altre funzionalità per gestire gli aggiornamenti per le macchine virtuali di Azure.  Queste funzionalità è necessario considerarle come parte integrante della propria strategia generale per la gestione degli aggiornamenti. Tra le varie funzionalità troviamo:

  • Automatic OS image upgrade
  • Automatic VM guest patching
  • Automatic extension upgrade
  • Hotpatch
  • Maintenance control
  • Scheduled events

Per approfondire tutte queste soluzioni riportate è possibile consultare la documentazione ufficiale Microsoft.

Conclusioni

Questa nuova funzionalità, totalmente integrata nella piattaforma Azure ed in grado di sfruttare le potenzialità di Azure Arc permette di mantenere aggiornati tutti i sistemi della propria infrastruttura in modo semplice, diretto e con un effort amministrativo molto ridotto. Inoltre, garantisce una visibilità totale sulla compliance degli update sia per i sistemi Windows sia per i sistemi Linux, elemento fondamentale per aumentare la security posture della propria infrastruttura.