Tipps für ein Patch-Management in virtuellen Umgebungen

1. Zusätzliche Komponenten in die Patch-Strategie einbeziehen

In vielen Firmen werden die Virtualisierungs-Hosts gemeinsam unter einer Domäne betrieben. Das soll die Infrastruktur leichter verwaltbar und zugleich sicherer machen. Die für diese Aufgabe vorgesehene Domäne ist dann getrennt von weiteren Domänen, in der die Nutzer-Accounts und andere produktiv genutzte Ressourcen untergebracht sind.

Wenn Ihr Unternehmen seine Virtualisierungs-Hosts in einer separaten Domäne gruppiert, müssen Sie auch die Domänen-Komponenten zusammen mit den Hosts aktualisieren. Dazu gehören nicht nur die Domänen-Controller und die DNS-Server (Domain Name Service), sondern meist auch noch andere zusätzliche Komponenten, die daher ebenfalls in Ihre Patch-Strategie integriert werden müssen.

2. Firmware-Updates nicht vergessen

Die Server, auf denen die Virtualisierungs-Hosts untergebracht sind, benötigen nur selten Updates für ihre Firmware. Bei virtuellen Festplatten sieht das anders aus. Die meisten Storage-Anbieter veröffentlichen Patches weit häufiger als die Server-Hersteller. Virtuelle Festplatten befinden sich meist auf einem im gesamten Cluster geteilten Medium, das wiederum auf einem externen Storage Array untergebracht ist. Firmware-Updates für virtuelle Festplatten schließen in der Regel neu entdeckte Schwachstellen, beheben Fehler im Bereich iSCSI oder Fibre Channel oder verbessern die Storage-Performance. Sie sollten daher eingespielt werden, nachdem sie getestet wurden.

Nicht jedes automatisierte System zum Patch-Management kümmert sich aber auch um die Updates für die Firmware. Möglicherweise müssen Sie deswegen zu einem proprietären Tool Ihres Hardware-Anbieters greifen, um nach neuen Updates zu suchen, sie herunterzuladen und um sie zu installieren.

3. Unterbrechungen durch Patches minimieren

In produktiven Umgebungen werden die für die Virtualisierung genutzten Hosts in fast allen Fällen zu einem Cluster zusammengefasst. Das wird hauptsächlich gemacht, um die Zahl der möglichen Fehler zu reduzieren. Wenn zum Beispiel ein Node im Cluster einen Defekt aufweist, können die VMs, die auf ihm laufen, schnell auf einen anderen Node übertragen werden. So kommt es zu keinen spürbaren Unterbrechungen. Diese Architektur ist zudem nützlich, wenn es um das Einspielen von Patches geht. Das Aktualisieren eines Host-Servers erfordert fast immer einen Neustart der jeweiligen Maschine. Update-Architekturen, die auf Cluster ausgelegt sind, können die VMs daher dynamisch von Host zu Host migrieren, während sie neue Aktualisierungen einspielen.

Aber selbst dann können noch Unterbrechungen durch Patches auftreten. Das Installieren von Updates auf einem Virtualisierungs-Host stellt normalerweise kein Problem dar, da die meisten Tools neue Updates auf dem C:\-Laufwerk einspielen, wo sich aber in der Regel keine virtuellen Maschinen befinden. Wenn die Updates jedoch zu einer Zeit eingespielt werden, an der die Server bereits an ihrer Belastungsgrenze arbeiten, kann es zu Performance-Einbrüchen kommen, sobald VMs migriert werden müssen. Planen Sie das Installieren der Patches daher besser für weniger stark ausgelastete Zeiten ein, um dieses Problem zu umgehen.

4. Mehr als nur ein einziges Tool zum Patch-Management einsetzen

In manchen Situationen benötigen Sie mehr als nur einziges Tool zum Patch-Management. So arbeitet zum Beispiel eine Lösung zum Aktualisieren von Hyper-V-Hosts nicht automatisch auch mit vSphere zusammen. Ebenso benötigen bei AWS (Amazon Web Series), Azure oder Google gehostete VMs keine Tools zum Patchen der zugrundeliegenden Server, da sich ja die Cloud-Provider um diese Aufgabe kümmern.

Nichtsdestotrotz werden Sie wahrscheinlich feststellen, dass es noch weitere Infrastruktur-Komponenten in Ihrer virtuellen Umgebung gibt, die ebenfalls aktualisiert werden müssen. Abhängig davon, welche Teile dies sind und wo sie sich befinden, benötigen Sie dann unter Umständen doch noch weitere Tools.

5. Einen Workflow für das Einspielen der Patches festlegen

Entwickeln Sie daher besser einen formellen Ablauf für das Installieren neuer Updates. Dieser Workflow muss alle Schritte enthalten, die beim Patch-Management erforderlich sind. Die Unterlagen sollten sich unter anderem mit folgenden Themen beschäftigen:

• Wie Sie neue Patches aufspüren und herunterladen,
• welche Tools Sie zum Einspielen der Patches benötigen,
• wie Sie die Patches vorher testen,
• wie lange dieser Testprozess dauern soll,
• wie schnell Sie besonders kritische Patches einspielen können,
• wie die Prozedur für einen Rollback bei problematischen Patches aussieht und
• wer überhaupt für den gesamten Prozess verantwortlich ist.

Die Patches testen

Ein letzter Punkt sollte nicht vergessen werden: Prüfen Sie unbedingt vorher alle Patches gründlich, die Sie in Ihre produktive virtuelle Umgebung einbringen wollen. Eine gut geeignete Möglichkeit dafür ist das Erstellen einer speziellen Testumgebung, die in ihrem Aufbau und in ihrer Konfiguration der produktiv genutzten Umgebung entspricht. Mit einem solchen Testaufbau testen Sie verschiedene Workloads und Patches und stellen sicher, dass sie Ihre produktive Umgebung nicht versehentlich in Mitleidenschaft ziehen.