Security updates automatisch uitrollen middels Puppet

Bijna dagelijks komen er security updates uit voor de meest uiteenlopende systemen en softwareapplicaties. Deze security updates zorgen ervoor dat een systeem of applicatie veilig en stabiel blijft draaien. Het is daarom van groot belang dat de periode tussen de release van de update en de installatie van de update zo kort mogelijk wordt gehouden. Dit betekent dat een Managed Hoster 24/7 security updates moet uitrollen en niet alleen op vastgestelde momenten want; hoe korter de periode tussen de release van een security update en de installatie is, hoe kleiner de kans dat er misbruik zal worden gemaakt van kwetsbaarheden in de software. 

Shock Media

Auteur

Zero-day exploit attacks

Een zero-day exploit is een kwetsbaarheid in de beveiliging van software die ontdekt wordt door derden en dus niet door de software ontwikkelaar zelf. Dit heeft als gevolg dat er nog geen patch is ontwikkeld. Hierdoor kan er, vanaf de eerste dag van ontdekking (zero-day), misbruik worden gemaakt van zo’n kwetsbaarheid. Dit wordt een zero-day attack genoemd. Over het algemeen is het erg moeilijk om een zero-day attack te analyseren omdat gegevens pas beschikbaar zijn nadat een aanval is ontdekt. Er is een onderzoek verricht naar zero-day attacks door Bilge & Dumitras (2012) waaruit onder andere de onderstaande bevindingen naar voren komen.

Security updates en management tools

Zero-day attacks kunnen niet worden voorkomen met het automatisch uitrollen van security updates. Een zero-day attack wordt meestal geheim gehouden door de ontdekker wanneer deze kwade bedoelingen heeft, hierdoor is er weinig tegen een zero-day attack te doen. Het belang van 24/7 security updates zit dan ook vooral in het moment dat de (security) update, patch of de kwetsbaarheid zelf algemeen bekend wordt. Op zo’n moment neemt het aantal aanvallen in de uren, dagen, weken en maanden daarna fors toe met gemiddeld een factor 10. Daarom dient de periode tussen de bekendmaking van een kwetsbaarheid en het uitrollen van een (security) update zo kort mogelijk te zijn; dit is waar het 24/7 automatisch uitrollen van (security) updates een zeer grote meerwaarde heeft.

Om het dag en nacht uitrollen van security updates efficiënt en consequent te laten verlopen kunnen management tools worden gebruikt, zoals: Ansible, Capistrano, Chef, Puppet en Salt. Puppet is één van de bekendste op dit gebied en wordt tevens door Shock Media gebruikt. Puppet is een Open Source management tool welke ontwikkeld wordt door Puppet Labs. Kort gezegd automatiseert Puppet verschillende (administratieve) taken, zoals security updates en het beheer van de configuratie van servers, van een groot aantal servers. Hierdoor kunnen duizenden servers tegelijk worden beheerd, geüpdate en geconfigureerd.

Hoe werkt Puppet?

De werking van Puppet wordt in de afbeelding hiernaast gevisualiseerd. Puppet Master bevat alle configuraties voor de verschillende hosts (nodes), in Puppet worden dit manifests genoemd. Manifests zijn dus feitelijke beschrijvingen van hoe de server geconfigureerd moet zijn. De Puppet Master draait als Deamon/Service op de Puppet Master Server. Een Deamon (Unix) of een Service (Windows) is een proces dat op de achtergrond draait.

De Puppet Master Server heeft doorgaans honderden tot duizenden servers (nodes) waarop de Puppet Agent als Deamon/Service draait. Puppet maakt hierbij standaard gebruik van een pull-model, waarbij elke Agent zijn systeemstatus vergelijkt met de status zoals deze volgens de manifests van de Puppet Master moet zijn. Vervolgens voert de agent de eventuele wijzigingen en/of updates door en stuurt vervolgens een rapport terug naar de Puppet Master Server. De frequentie voor het automatisch vergelijken wordt vooraf ingesteld. De Puppet Agent communiceert met de Puppet Master Server middels een versleutelde SSL verbinding. Via deze verbinding worden onder andere configuratie wijzigingen opgevraagd, belangrijke updates geautomatiseerd en wordt de status van applicaties gecontroleerd.

Puppet bij Shock Media

Veel hosting partijen gebruiken Puppet primair voor het uitrollen van gestandaardiseerde installaties. Shock Media richt zich voor een groot deel op maatwerk, hierdoor wordt Puppet in mindere mate gebruikt voor de installaties maar zet Shock Media Puppet primair in voor het automatisch uitrollen van (security) updates. Door deze acties op deze wijze te automatiseren hoeven de System Administrators van Shock Media niet elk systeem apart te updaten wat zeer veel kostbare tijd bespaard. Dit heeft naast efficiency dus ook een groot veiligheidsvoordeel omdat servers veel sneller zijn voorzien van (security) updates. Daarnaast wordt door het gebruik van Puppet het beheer van servers veel overzichtelijker en minder foutgevoelig. 

Wilt u meer weten over Security Updates, Puppet of heeft u andere vragen? Neem dan gerust contact met ons op.

Hulp nodig, vragen of opmerkingen?

+31 (0) 546 - 714360

Meer actueel

De Shock Media LAN-party!

Afgelopen vrijdag was het weer zover: de Shock Media LAN-party De personeelsvereniging van Shock is altijd in voor het organiseren van een feestje. Een LAN-party is zonder twijfel het ultieme feestje voor IT’ers. En een feestje dat was het zeker! Zoals altijd waren er 3 competities waarin gestreden werd voor die felbegeerde wisselbekers!

A recap of our first meetup

Afgelopen donderdag hebben wij onze eerste meet-up georganiseerd om de Kubernetes community in het oosten van ons land te boosten. Deze meet-up stond in het teken van kennisdelen en connecties maken. Of je nu een doorgewinterde Kubernetes Engineer bent, overweegt om met Kubernetes aan de slag te gaan of de techniek gewoon heel interessant vindt, bij ons was je welkom.

Shock Media voor de 11e keer op rij FD Gazelle winnaar

Vandaag is bekend geworden dat Shock Media voor de 11e maal winnaar is van de FD Gazelle in de categorie middelgrote bedrijven, de prestigieuze prijs van het Financiële Dagblad voor de snelst groeiende bedrijven in Nederland. Sinds 2012 is Shock Media onafgebroken FD Gazelle winnaar, hetgeen een extreem unieke prestatie is. Shock Media heeft hiermee langer dan een decennium van onafgebroken hoge groei waar gemaakt.