Fotolia
Parche los servidores correctamente sin perder tiempo
Es un trabajo duro, pero alguien tiene que hacerlo. Con esta guía, los administradores pueden agilizar los procesos de parchado de servidores.
La gestión de parches ha sido una pesadilla para el equipo de operaciones de TI: consume mucho tiempo, es tediosa e ineficiente.
El equipo de operaciones puede administrar de forma proactiva el proceso de parchado y limitar su monotonía al invertir en soluciones centrales de gestión de parches, probar actualizaciones y un cierto conocimiento tecnológico.
Demasiadas compañías parchan los servidores de un modo reactivo, en lugar de proactivo. La mitad de las empresas cree que los parches del lado del cliente se liberan a una velocidad inmanejable, y el 67% de los administradores de sistemas tienen dificultad para determinar qué parche debe ser aplicado a qué sistema al menos una parte del tiempo, encontró un estudio de Tripwire. Casi todos los administradores aplicarán parches en el curso de su trabajo, por lo que cada administrador debe adoptar las mejores prácticas de parcheo que facilitan el proceso.
Se llama ‘Léame’ por una razón
Antes de aplicar cualquier actualización, lea cuidadosamente y comprenda el archivo Read Me (Léame) que se envía con cada parche. Este archivo describe importantes piezas de información sobre el parche en sí, tales como los requisitos de instalación y las principales razones por las que fue construido.
Tomarse tiempo al inicio del proceso significa menos trabajo más tarde en el ciclo de implementación de parches. Los parches de servidor modernos a menudo consisten en un número de componentes interrelacionados. Los productos integrados, como los parches de Adobe Flash Player liberados con Google Chrome, hacen más compleja la comprensión del efecto global de un parche y están sujetos a interpretaciones erróneas, reportó el 86% de los encuestados por Tripwire. Por lo tanto, antes de tocar un servidor, examine la letra pequeña.
Reduzca la complejidad del parchado de servidor
Debido a que hay varias herramientas para parchar servidores, los equipos de operaciones de TI a menudo trabajan con una variedad de herramientas puntuales de manera fragmentada. Una solución proporciona actualizaciones de Microsoft Windows, otra actualiza Adobe, una tercera solo ve la acción de los parches de Mac OS, y aún otra parcha la aplicación de nómina. Incluso al limitar los parches al software de un proveedor, pueden surgir múltiples opciones. Las organizaciones centradas en Microsoft a menudo dependen del producto gratuito Windows Server Update Services de Microsoft para implementar las actualizaciones de Windows, pero usan otras herramientas para los parches de software de aplicación de Microsoft.
Con tantas herramientas para tantos fines de parches, el equipo de operaciones a menudo carece de la visibilidad necesaria para entender la postura de riesgos de la implementación de TI.
Basarse en una herramienta para hacerlo todo es una mejor práctica de parchado de servidores. Ponga los parches para productos de Microsoft, software de terceros, hardware basado en PC, computadoras Mac, sistemas cliente y servidores a través de la misma herramienta, con los mismos procesos. Varios fabricantes producen sus plataformas de gestión de parches que todo lo abarcan, entre ellos BMC Software, CA Technologies, Dell, IBM, Indigo Rose Inc., ManageEngine y SolarWinds. Estas herramientas simplifican la complejidad de la infraestructura de TI porque operaciones ya no mantiene múltiples soluciones de parchado. También reduce la formación técnica y del usuario final.
Establezca un horario razonable
Miles de parches son liberados al día. Aplicar cada parche tan pronto como sale al mercado puede abrumar las redes empresariales. Clasifique los parches en categorías, dando prioridad a los de más importancia y minimizando aquellos con el menor impacto posible.
Una vez que haya una jerarquía para cómo aplicar los parches de servidores, examine qué parte del proceso de parchado automatizar. Dejar que los sistemas se actualicen automáticamente reduce el trabajo de mantenimiento; sin embargo, en una escala empresarial, descargas de archivos de parches simultáneas para todos los usuarios pueden crear cuellos de botella de rendimiento. Considere integrar los sistemas de escaneo de vulnerabilidades con los productos de gestión de parches para añadir inteligencia a la aplicación de parches automatizada; el escáner de vulnerabilidad identifica cualquier lugar con problemas potenciales y la solución de parchado aplica la corrección.
La importancia de las pruebas
La automatización de parches lleva al siguiente problema potencial: la instalación de parches malos. Las corporaciones pueden prohibir al personal de TI que instale parches de servidor de inmediato en el entorno de producción en vivo. En lugar de eso, ellos ponen a prueba el parche primero, porque este paso disminuye la probabilidad de que algo vaya mal.
Otra de las razones para probar los parches es la personalización de los entornos de TI empresariales. Los proveedores examinan los parches contra las implementaciones de fábrica y las configuraciones que siguen las mejores prácticas. La configuración de una empresa no siempre es tan pura. Poner el parche en un sandbox permite a operaciones determinar lo que sucederá una vez que la actualización sea implementada, y evitar problemas.
Tenga un botón de deshacer para los parches del servidor
Incluso con las pruebas, los parches no son perfectos, así que añada un rollback a sus mejores prácticas en parchado de servidores. La capacidad de deshacer un parche desplegado también proporciona una suficiente red de seguridad para que algunas organizaciones implementen parches rápidos y sucios, esos que no han pasado por un riguroso proceso de pruebas. Los parches no probados o ligeramente probados reducen la sobrecarga involucrada con parchar los servidores rápidamente.
Verifique, verifique, verifique
Confía, pero verifica es mantra para las operaciones de TI, y no es diferente cuando es el momento de parchar servidores. Asegúrese de que un parche se implementa en todos los sistemas de la organización a través de al menos un método. Idealmente, el envío de reportes está integrado en el software de gestión de parches de la empresa y describe el estado de cada sistema. Un negocio también puede comprobar in situ las máquinas individuales, y luego ejecutar escaneos periódicos con una herramienta de evaluación de vulnerabilidades para asegurarse de que todos los sistemas están parchados, y cualesquiera otros sistemas nuevos añadidos a la red están totalmente al día. La última opción es manualmente intensiva: Revisar los registros de aplicación de parches e iniciar sesión y comprobar cada máquina, caso por caso.
Revise las noticias
Saber lo que sus compañeros encontraron con un nuevo parche es muy útil, y hay un montón de opciones para mantenerse informado sobre el proceso de revisión. Haga un hábito monitorear los foros de redes sociales, consulte con el Instituto SANS y manténgase al día con la información de los proveedores de herramientas de operaciones. Si se libera un mal parche, estas fuentes levantan una bandera roja y ayudan a los usuarios a mitigar el daño potencial.
Parchar servidores no le hará ganar ningún reconocimiento o premio. Sin embargo, salir del paso con procesos de parchado ineficientes invita a posibles daños significativos al entorno de TI, que podrían perjudicar a la empresa. Centralizar la gestión de parches, incluyendo una función de reversión (rollback), y verificar las actualizaciones del sistema ayudan a que el proceso ocurra sin problemas.
