Bijna dagelijks komen er security updates uit voor de meest uiteenlopende systemen en softwareapplicaties. Deze security updates zorgen ervoor dat een systeem of applicatie veilig en stabiel blijft draaien. Het is daarom van groot belang dat de periode tussen de release van de update en de installatie van de update zo kort mogelijk wordt gehouden. Dit betekent dat een Managed Hoster 24/7 security updates moet uitrollen en niet alleen op vastgestelde momenten want; hoe korter de periode tussen de release van een security update en de installatie is, hoe kleiner de kans dat er misbruik zal worden gemaakt van kwetsbaarheden in de software.
Auteur
Een zero-day exploit is een kwetsbaarheid in de beveiliging van software die ontdekt wordt door derden en dus niet door de software ontwikkelaar zelf. Dit heeft als gevolg dat er nog geen patch is ontwikkeld. Hierdoor kan er, vanaf de eerste dag van ontdekking (zero-day), misbruik worden gemaakt van zo’n kwetsbaarheid. Dit wordt een zero-day attack genoemd. Over het algemeen is het erg moeilijk om een zero-day attack te analyseren omdat gegevens pas beschikbaar zijn nadat een aanval is ontdekt. Er is een onderzoek verricht naar zero-day attacks door Bilge & Dumitras (2012) waaruit onder andere de onderstaande bevindingen naar voren komen.
Zero-day attacks kunnen niet worden voorkomen met het automatisch uitrollen van security updates. Een zero-day attack wordt meestal geheim gehouden door de ontdekker wanneer deze kwade bedoelingen heeft, hierdoor is er weinig tegen een zero-day attack te doen. Het belang van 24/7 security updates zit dan ook vooral in het moment dat de (security) update, patch of de kwetsbaarheid zelf algemeen bekend wordt. Op zo’n moment neemt het aantal aanvallen in de uren, dagen, weken en maanden daarna fors toe met gemiddeld een factor 10. Daarom dient de periode tussen de bekendmaking van een kwetsbaarheid en het uitrollen van een (security) update zo kort mogelijk te zijn; dit is waar het 24/7 automatisch uitrollen van (security) updates een zeer grote meerwaarde heeft.
Om het dag en nacht uitrollen van security updates efficiënt en consequent te laten verlopen kunnen management tools worden gebruikt, zoals: Ansible, Capistrano, Chef, Puppet en Salt. Puppet is één van de bekendste op dit gebied en wordt tevens door Shock Media gebruikt. Puppet is een Open Source management tool welke ontwikkeld wordt door Puppet Labs. Kort gezegd automatiseert Puppet verschillende (administratieve) taken, zoals security updates en het beheer van de configuratie van servers, van een groot aantal servers. Hierdoor kunnen duizenden servers tegelijk worden beheerd, geüpdate en geconfigureerd.
De werking van Puppet wordt in de afbeelding hiernaast gevisualiseerd. Puppet Master bevat alle configuraties voor de verschillende hosts (nodes), in Puppet worden dit manifests genoemd. Manifests zijn dus feitelijke beschrijvingen van hoe de server geconfigureerd moet zijn. De Puppet Master draait als Deamon/Service op de Puppet Master Server. Een Deamon (Unix) of een Service (Windows) is een proces dat op de achtergrond draait.
De Puppet Master Server heeft doorgaans honderden tot duizenden servers (nodes) waarop de Puppet Agent als Deamon/Service draait. Puppet maakt hierbij standaard gebruik van een pull-model, waarbij elke Agent zijn systeemstatus vergelijkt met de status zoals deze volgens de manifests van de Puppet Master moet zijn. Vervolgens voert de agent de eventuele wijzigingen en/of updates door en stuurt vervolgens een rapport terug naar de Puppet Master Server. De frequentie voor het automatisch vergelijken wordt vooraf ingesteld. De Puppet Agent communiceert met de Puppet Master Server middels een versleutelde SSL verbinding. Via deze verbinding worden onder andere configuratie wijzigingen opgevraagd, belangrijke updates geautomatiseerd en wordt de status van applicaties gecontroleerd.
Veel hosting partijen gebruiken Puppet primair voor het uitrollen van gestandaardiseerde installaties. Shock Media richt zich voor een groot deel op maatwerk, hierdoor wordt Puppet in mindere mate gebruikt voor de installaties maar zet Shock Media Puppet primair in voor het automatisch uitrollen van (security) updates. Door deze acties op deze wijze te automatiseren hoeven de System Administrators van Shock Media niet elk systeem apart te updaten wat zeer veel kostbare tijd bespaard. Dit heeft naast efficiency dus ook een groot veiligheidsvoordeel omdat servers veel sneller zijn voorzien van (security) updates. Daarnaast wordt door het gebruik van Puppet het beheer van servers veel overzichtelijker en minder foutgevoelig.
Wilt u meer weten over Security Updates, Puppet of heeft u andere vragen? Neem dan gerust contact met ons op.
Hij is bijna 10 jaar geleden begonnen als student maar heeft zich ontwikkeld tot Head of Development. Hij is niet alleen een ervaren Developer met een talent voor analytisch programmeren, maar heeft ook bewezen handig te zijn in het compleet zelfstandig verbouwen van zijn eigen woning. Ik heb het natuurlijk over… Matthijs! In deze blog stel ik hem graag aan jullie voor.
Met zijn zeer brede kennis en expertise is onze Head of Support al ruim 9 jaar een zeer waardevol lid van ons team en staat hij altijd klaar om onze klanten en onze collega's te helpen bij het oplossen van hun problemen. Ik heb het natuurlijk over… Remon! In deze blog stel ik hem graag aan jullie voor.
Afgelopen vrijdag was het gelukkig weer zover, een nieuwe editie van onze zeer befaamde LAN-party! We hadden er allemaal enorm veel zin in en zijn dan ook druk bezig geweest met de voorbereidingen om er weer een onvergetelijke avond van te maken. En dat is zeker gelukt! Er is tot in de late uurtjes (of beter gezegd: vroege uurtjes) gegamed, gelachen, gegeten en genoten. Wie zal er deze keer vandoor zijn gegaan met de bekers?