MR - stock.adobe.com

Was Admins beim Patchen in Cloud-Umgebungen beachten müssen

Wenn Anwendungen in PaaS- oder SaaS-Umgebungen betrieben werden, entfallen einige Patch-Aufgaben auf den Provider. Dafür werden andere Verantwortlichkeiten aber noch wichtiger.

Das Einspielen von Patches ist eine der IT-Aufgaben, die bereits existiert, seit Rechenzentren überhaupt betrieben werden. Für viele Admins ist dies eine ganz alltägliche Routineaufgabe. So sind die Abläufe über Tools wie Windows Server Update Services (WSUS) und andere gängige Werkzeuge meist relativ eingespielt. Updates lassen sich so meist ganz gut kontrollieren und das Risiko gefährlicher oder schlechter Updates ist relativ gering.

Aber wie in vielen anderen Bereichen der IT auch, ändert sich mit der Cloud-Nutzung auch der Patch-Management-Prozess. Nur weil eine Anwendung in der Cloud gehostet wird, bedeutet dies nicht, dass das zugehörige Patch-Management der Vergangenheit angehört. Manchmal ist sich die IT dessen nicht wirklich bewusst, manchmal ist die eigene IT auch weniger direkt beteiligt. In jedem Fall sind bei der Cloud-Nutzung diesbezüglich mehr externe Akteure im Spiel.

Geht es um das aktuell Halten und Patchen von Cloud-Anwendungen, so unterscheiden sich PaaS (Platform as a Service) und SaaS (Software as a Service) in den verschiedenen Ebenen der Kontrolle und der Verantwortung.

Richtig patchen in SaaS-Umgebungen

SaaS ist für Administratoren das zahlenmäßig meist häufigste, am wenigsten zu wartende und zugleich zeitweilig auch das problematische Modell der Cloud-Nutzung. Hierbei übernimmt der Anbieter die Aufgabe, die Anwendungen zu warten und aktuell zu halten.

Dazu gehört auch das Einspielen der Patches. Dies erledigt der Provider und stellt das Endergebnis den Anwenderunternehmen und deren Nutzern zur Verfügung. Dieses Modell hat unter anderem zum großen Erfolg von Anwendungen wie Office 365 oder maschinellem Lernen aus der Cloud beigetragen.

Auf den ersten Blick scheinen diese Dienste nur wenig Nachteile aufzuweisen. Zumindest bis die IT-Abteilung unter Umständen aufgrund von Updates in der Cloud Anpassungen in der eigenen Umgebung vornehmen muss. Bei SaaS-Plattformen sind Patches nicht kunden- sondern herstellerorientiert.

Das bedeutet das SaaS-Anwendungs-Patches, die neue Funktionen, Sicherheitsrisiken oder Leistungsmerkmale berücksichtigen, in der Regel vom Anbieter entschieden und verwaltet werden. Das Anwenderunternehmen hat darauf dann eher keinen oder geringen Einfluss.

Je nachdem, wie umfangreich ein solches Update ist, kann dies zu Änderungen in der Anwendung führen. Dies kann zum einen den normalen Geschäftsbetrieb für die Endanwender stören und eine Herausforderung für IT-Abteilungen darstellen. Derlei Änderungen während normaler Arbeitsabläufe können für durchschnittliche Unternehmen, beziehungsweise deren Endanwender, ein Albtraum sein.

Aber das Hauptproblem bei Updates von Cloud-Anwendungen und den möglichen Folgen für das SaaS-Angebot ist nicht die Benutzerfreundlichkeit. Es ist der potenzielle Umfang der Änderungen. Signifikante und vor allem gleichzeitige Änderungen an der Benutzeroberfläche, den Funktionen oder APIs einer SaaS-Anwendung können Endanwender und IT-Abteilungen gleichermaßen beeinträchtigen.

So kann beispielsweise eine Änderung einer API dazu führen, dass die Integration zwischen SaaS-Anwendungen und anderen geschäftskritischen Applikationen beeinträchtigt wird. Nachfolgend könnten die Systeme die Authentifizierung verweigern und wären daher nicht mehr in der Lage, ordnungsgemäß Daten auszutauschen. Obwohl selbstredend unbeabsichtigt, treten derlei Probleme immer wieder auf. Insbesondere bei Unternehmen, die Ressourcen auf mehreren Cloud-Plattformen nutzen beziehungsweise speichern oder ein umfassendes Single Sign-On-Framework über ihre gesamte Umgebung nutzen.

Üblicherweise warnen die Cloud-Anbieter ihre Kunden und Anwender vor bevorstehenden Änderungen. Dennoch kommen diese für die eigene Umgebung und Mannschaft nicht immer zur passenden Zeit. SaaS-Anbieter sind sich dessen durchaus bewusst und legen derlei größere Updates häufig in entsprechend ruhige Phasen oder außerhalb der Geschäftszeiten. Microsoft nimmt viele Office-365-Updates über Nacht oder am Wochenende vor. Und viele Machine-Learning-Plattformen für Hochschulen werden in den Sommermonaten mit Updates versorgt.

Der Schlüssel zum erfolgreichen Update von Cloud-Anwendungen ist wie so häufig Kommunikation. Dies gilt sowohl im Hinblick auf die Endanwender als auch diejenigen in der IT-Abteilung, die mit der SaaS-Anwendung arbeiten. Administratoren müssen die Informationen, die ein Update begleiten und die Änderung erklären nicht nur zur Kenntnis nehmen, sondern sich detailliert damit auseinandersetzen. Die Nutzung von Cloud-Angeboten macht dies unumgänglich. Schließlich hat die IT keine Möglichkeit Änderungen rückgängig zu machen, da sie keine Kontrolle darüber hat.

Richtig patchen in PaaS-Umgebungen

Beim PaaS-Modell behält die eigene IT-Abteilung die Kontrolle über die Anwendung, aber nicht über das Betriebssystem und den Hypervisor-Stack. Dies erhöht die Verfügungsgewalt der eigenen IT, denn Patches bei Betriebssystem und Hypervisor sorgen weit weniger wahrscheinlich für Änderungen oder Ausfälle bei den Anwendungen.

Beim PaaS-Modell sind die eigenen Administratoren für die Konfiguration, Leistung und Bereitstellung der Anwendung verantwortlich. Und das bedeutet eben auch das Einspielen von Patches und Updates für die Anwendungen.

Das ist zwar im Vergleich zum Patchen von Betriebssystem und Hypervisor meist überschaubar, bedeutet aber, dass das eigene IT-Team diesbezüglich die Füße hochlegen können. Wenn nach einem Update die Leistung der Anwendung schwächelt, ist es nicht so einfach das Betriebssystem hierfür verantwortlich zu machen – oder dies gar zu ändern.

Zwar können die Unternehmen ihre Cloud-Instanz – gegen Gebühren – entsprechend anpassen, um die Leistung wieder zu verbessern. Aber es ist kein empfehlenswerter Ansatz, ein Problem zu lösen, in dem man einfach mehr Cloud-Ressourcen dafür einsetzt.

Sowohl Software wie Hardware müssen immer wieder mal mit Updates versehen werden. Mit der Cloud haben sich nur der Standort und der Grad der Verantwortung der internen IT verändert. Die direkte Belastung der IT-Abteilung durch das Patchen nimmt mit der Cloud-Nutzung durchaus ab. Dafür nimmt die Notwendigkeit sich mit den Cloud-Anbietern und -Diensten bezüglich der Updates zu beschäftigen deutlich zu. Viele Cloud-Provider verfügen über Skripte und Automatisierungsfunktionen, um den Update-Prozess zu vereinfachen.

Wichtig für einen reibungslosen Patch-Ablauf und dem Umgang mit den Auswirkungen ist eine hohe Aufmerksamkeit gegenüber allen Änderungen die damit einhergehen und eine rechtzeitige Kommunikation derselben an alle Beteiligten und Betroffenen.

Nächste Schritte

Gratis-eBook: Cloud-Sicherheit planen und umsetzen

Gratis-eBook: Multi-Cloud-Umgebungen sicher verwalten

So kann man Sicherheit in der Multi-Cloud gewährleisten

Erfahren Sie mehr über Cloud-Sicherheit