在云計算中對系統(tǒng)和應用程序進行補丁升級就如同一般的生產(chǎn)環(huán)境中進行相同的操作，這種想法對嗎?也許答案并非如此。雖然從整體安全性和風險管理計劃上來說，補丁升級的概念、重要性和實用性并沒有發(fā)生變化，但是基于云計算的補丁升級管理的細節(jié)變化還是與傳統(tǒng)的內(nèi)部補丁管理大相徑庭。

在本文中，我們將探討云計算環(huán)境中補丁升級管理所帶來的若干挑戰(zhàn)，以及如何更有效地保證系統(tǒng)和應用程序能夠升級至***版本的一些想法。

基于云計算補丁升級管理的思考

與云計算中補丁升級工作相關的***個思考就是云計算各類工作的中一個老問題，即：應該由誰來負責這項工作?與云計算中很多問題的回答相類似，這個問題的答案取決于云計算的交付模式。

對于軟件即服務(SaaS)模式來說，消費者完全失去了對補丁升級過程的控制權。這種情況下，如果云計算供應商沒有一個完備的補丁升級和配置管理流程，那么由此給消費者帶的負面影響是可想而知的。例如在2010年，由于一次錯誤的補丁升級操作，博客平臺WordPress就經(jīng)歷了一次嚴重的業(yè)務停用事件。對于所有使用SaaS或平臺即服務(PaaS)服務的消費者，云計算安全聯(lián)盟(CSA)建議他們的供應商們應當遵守其云計算控制矩陣(1.3版)，具體要求如下：

應制定與漏洞和補丁升級相關的策略、程序和實施機制，從而確保及時評估應用程序、系統(tǒng)以及網(wǎng)絡設備的漏洞，以基于風險的方法優(yōu)先考慮關鍵補丁并及時做好供應商提供的安全補丁的升級工作。

在PaaS環(huán)境中，企業(yè)用戶對補丁升級和配置可能擁有更多的控制權，尤其是應用程序和開發(fā)環(huán)境的組件與開發(fā)庫等。把對所有使用的平臺(如ASP.NET、PHP、Java等)和在該平臺上運行的應用程序的補丁升級整合至現(xiàn)有的測試和QA周期，同時，并同時(或在相同的周期內(nèi))將其視作內(nèi)部應用程序一樣進行補丁升級。

在PaaS環(huán)境中，更大的挑戰(zhàn)在于管理。目前，當實施補丁升級時，基礎設施組甚至需要比以往更為緊密地與開發(fā)組和測試組協(xié)作。仍然由供應商負責所有包括操作系統(tǒng)和網(wǎng)絡組件在內(nèi)的后端基礎設施的補丁升級任務，在SaaS環(huán)境中所提及的相同問題和關注點同樣也適用于該模式。

對于基礎設施即服務(IaaS)供應商來說，維護團隊可以安裝由諸如IBM公司和微軟公司等供應商提供的傳統(tǒng)補丁升級管理代理程序。這些代理程序可以向位于中央數(shù)據(jù)中心或甚至相同的云計算基礎設施中的補丁升級管理系統(tǒng)報告，這取決于具體的部署場景。對于云計算服務器，還有一些新的基于云計算的補丁升級管理選項，例如來自于供應商ScaleXtreme的產(chǎn)品就包括了適用于內(nèi)部和公共云計算系統(tǒng)(該云計算系統(tǒng)可由Amazon EC2和其它主要的云計算供應商托管)，從而降低了在相同補丁升級任務中對兩個系統(tǒng)進行評估和打補丁的難度。其它基于云計算的補丁升級管理選項還包括了Fiberlink通信公司的MaaS360和VMware公司的Go。

補丁升級的準備：云計算供應商應當提供的支持

除了實施針對你的基于云計算補丁升級管理任務的供應商模式，云計算安全聯(lián)盟的一致性評估計劃還建議向所有潛在的云計算服務供應商們(CSP)提出與補丁升級和漏洞管理相關的問題，具體如下：

• 按照行業(yè)***操作實務的規(guī)定，你是否定期進行網(wǎng)絡層漏洞掃描?

• 按照行業(yè)***操作實務的規(guī)定，你是否定期進行應用層漏洞掃描?

• 按照行業(yè)***操作實務的規(guī)定，你是否定期進行本地操作系統(tǒng)層漏洞掃描?

• 如果你的用戶要求，你是否會把漏洞掃描的結果提供給他們?

• 你是否有能力對你所有的計算機設備、應用程序以及系統(tǒng)執(zhí)行快速補丁升級任務?

• 如果你的用戶要求，你是否會向他們提供基于風險的系統(tǒng)補丁升級時間表?

歸根結底，企業(yè)向云計算供應商尋求的支持應當是針對他們內(nèi)部補丁升級管理實踐和標準的一些調(diào)整。對于諸如Windows和Linux這樣的標準操作系統(tǒng)，需要考慮的關鍵因素包括開放等級(系統(tǒng)的部署)、重要程度(系統(tǒng)的重要性)以及補丁程序的重要程度(如果不進行補丁升級，系統(tǒng)漏洞的危害程度)。相對開放的重要系統(tǒng)應當盡快地進行所有的關鍵補丁升級，建議在幾天之內(nèi)完成。盡管配套供應商可能不會透露他們補丁升級管理和變更控制的所有策略和程序，但是他們應當能夠提供盡可能足夠的細節(jié)信息和保證，以表明他們是否克盡職守。

準備進行一次新的補丁升級

在云計算環(huán)境中進行補丁升級操作為我們帶來了新挑戰(zhàn)，對于IaaS和PaaS環(huán)境來說，主要是協(xié)作和配置控制兩方面。雖然所有的供應商都正式通過了內(nèi)部的補丁升級和漏洞管理控制評估，同時他們也都能***限度提供控件的一個獨立認證證明(如一份SSAE 16報告)，但是在PaaS和SaaS環(huán)境中審計和評估云計算供應商也被證明是存在著問題的，雖然不斷出現(xiàn)的新產(chǎn)品可以讓我們更容易地實現(xiàn)跨內(nèi)外系統(tǒng)的補丁升級任務，雖然在同一云計算環(huán)境中的一個本地化補丁升級庫和/或管理平臺更為適用，但是大多數(shù)的企業(yè)仍然可能沿用IaaS部署時所使用的工具。