Blog: Security updates automatisch uitrollen middels Puppet

09 May 2016

Bijna dagelijks komen er security updates uit voor de meest uiteenlopende systemen en softwareapplicaties. Deze security updates zorgen ervoor dat een systeem of applicatie veilig en stabiel blijft draaien. Het is daarom van groot belang dat de periode tussen de release van de update en de installatie van de update zo kort mogelijk wordt gehouden. Dit betekent dat een Managed Hoster 24/7 security updates moet uitrollen en niet alleen op vastgestelde momenten want; hoe korter de periode tussen de release van een security update en de installatie is, hoe kleiner de kans dat er misbruik zal worden gemaakt van kwetsbaarheden in de software. 

Zero-day exploit attacks
Een zero-day exploit is een kwetsbaarheid in de beveiliging van software die ontdekt wordt door derden en dus niet door de software ontwikkelaar zelf. Dit heeft als gevolg dat er nog geen patch is ontwikkeld. Hierdoor kan er, vanaf de eerste dag van ontdekking (zero-day), misbruik worden gemaakt van zo’n kwetsbaarheid. Dit wordt een zero-day attack genoemd. Over het algemeen is het erg moeilijk om een zero-day attack te analyseren omdat gegevens pas beschikbaar zijn nadat een aanval is ontdekt. Er is een onderzoek verricht naar zero-day attacks door Bilge & Dumitras (2012) waaruit onder andere de onderstaande bevindingen naar voren komen.

 Bevindingen onderzoek Bilge & Dumitras

 Bilge, L & Dumitras, T, 2012, An empirical study of Zero-Day Attacks in the real world

Security updates en management tools
Zero-day attacks kunnen niet worden voorkomen met het automatisch uitrollen van security updates. Een zero-day attack wordt meestal geheim gehouden door de ontdekker wanneer deze kwade bedoelingen heeft, hierdoor is er weinig tegen een zero-day attack te doen. Het belang van 24/7 security updates zit dan ook vooral in het moment dat de (security) update, patch of de kwetsbaarheid zelf algemeen bekend wordt. Op zo’n moment neemt het aantal aanvallen in de uren, dagen, weken en maanden daarna fors toe met gemiddeld een factor 10. Daarom dient de periode tussen de bekendmaking van een kwetsbaarheid en het uitrollen van een (security) update zo kort mogelijk te zijn; dit is waar het 24/7 automatisch uitrollen van (security) updates een zeer grote meerwaarde heeft.

Om het dag en nacht uitrollen van security updates efficiënt en consequent te laten verlopen kunnen management tools worden gebruikt, zoals: Ansible, Capistrano, Chef, Puppet en Salt. Puppet is één van de bekendste op dit gebied en wordt tevens door Shock Media gebruikt. Puppet is een Open Source management tool welke ontwikkeld wordt door Puppet Labs. Kort gezegd automatiseert Puppet verschillende (administratieve) taken, zoals security updates en het beheer van de configuratie van servers, van een groot aantal servers. Hierdoor kunnen duizenden servers tegelijk worden beheerd, geüpdate en geconfigureerd.

Visualisatie werking Puppet

Hoe werkt Puppet?
De werking van Puppet wordt in de afbeelding hiernaast gevisualiseerd. Puppet Master bevat alle configuraties voor de verschillende hosts (nodes), in Puppet worden dit manifests genoemd. Manifests zijn dus feitelijke beschrijvingen van hoe de server geconfigureerd moet zijn. De Puppet Master draait als Deamon/Service op de Puppet Master Server. Een Deamon (Unix) of een Service (Windows) is een proces dat op de achtergrond draait.

De Puppet Master Server heeft doorgaans honderden tot duizenden servers (nodes) waarop de Puppet Agent als Deamon/Service draait. Puppet maakt hierbij standaard gebruik van een pull-model, waarbij elke Agent zijn systeemstatus vergelijkt met de status zoals deze volgens de manifests van de Puppet Master moet zijn. Vervolgens voert de agent de eventuele wijzigingen en/of updates door en stuurt vervolgens een rapport terug naar de Puppet Master Server. De frequentie voor het automatisch vergelijken wordt vooraf ingesteld. De Puppet Agent communiceert met de Puppet Master Server middels een versleutelde SSL verbinding. Via deze verbinding worden onder andere configuratie wijzigingen opgevraagd, belangrijke updates geautomatiseerd en wordt de status van applicaties gecontroleerd.

Puppet bij Shock Media
Veel hosting partijen gebruiken Puppet primair voor het uitrollen van gestandaardiseerde installaties. Shock Media richt zich voor een groot deel op maatwerk, hierdoor wordt Puppet in mindere mate gebruikt voor de installaties maar zet Shock Media Puppet primair in voor het automatisch uitrollen van (security) updates. Door deze acties op deze wijze te automatiseren hoeven de System Administrators van Shock Media niet elk systeem apart te updaten wat zeer veel kostbare tijd bespaard. Dit heeft naast efficiency dus ook een groot veiligheidsvoordeel omdat servers veel sneller zijn voorzien van (security) updates. Daarnaast wordt door het gebruik van Puppet het beheer van servers veel overzichtelijker en minder foutgevoelig. 

_________________________________________________________________________________________

Over de auteurs
Isabelle Walter en Romy Hoeksma zijn Managed Hosting Specialist bij Shock Media. Zij houden zich onder andere bezig met het adviseren en begeleiden bij complexe hosting projecten en het opbouwen en onderhouden van duurzame klantrelaties. 

Wil je meer weten over Security Updates, Puppet of heb je andere vragen naar aanleiding van deze blog?
Neem dan gerust contact op met Isabelle of Romy via sales@shockmedia.nl of telefonisch via 0546-714360.

Waarom Shock Media?

  • Actief sinds 1999
  • Maximale performance
  • Deskundige ondersteuning
  • 24/7 proactieve support
  • Innovatieve oplossingen
  • Duidelijke garanties