La gestione delle patch è un’area della gestione dei sistemi che comporta l’acquisizione, il test e l’installazione di più patch, o modifiche al codice, in un sistema informatico amministrato. I compiti di gestione delle patch includono il mantenimento della conoscenza corrente delle patch disponibili, la decisione di quali patch sono appropriate per particolari sistemi, la garanzia che le patch siano installate correttamente, il test dei sistemi dopo l’installazione e la documentazione di tutte le procedure associate, come le configurazioni specifiche richieste. Sono disponibili diversi prodotti per automatizzare le attività di gestione delle patch, tra cui APM di RingMaster Software, Desktop Central di ManageEngine e SolarWinds Patch Manager.
Perché la gestione delle patch è importante?
La gestione delle patch è importante perché le patch aiutano a mantenere la salute e la sicurezza dei sistemi che vengono applicati. Inoltre, le patch sono talvolta utilizzate per aggiornare il software in modo che funzioni con l’hardware più recente.
Come funziona la gestione delle patch?
La gestione delle patch funziona in modo diverso a seconda che una patch venga applicata a un sistema autonomo o a sistemi su una rete aziendale. Nel caso di un sistema autonomo, il sistema operativo e le applicazioni su quel sistema eseguiranno periodicamente un controllo automatico per vedere se ci sono patch disponibili. Se si trova l’esistenza di nuove patch, queste vengono in genere scaricate e installate automaticamente.
La gestione delle patch tende a funzionare in modo diverso in un ambiente aziendale, perché le organizzazioni generalmente cercano di mantenere la coerenza della versione del software nei loro computer. Come tale, le organizzazioni di solito eseguono una gestione centralizzata delle patch piuttosto che permettere ad ogni computer di scaricare le proprie patch.
La gestione centralizzata delle patch utilizza un server centralizzato di gestione delle patch che scarica le patch per conto dell’organizzazione e le distribuisce ai computer della rete dell’organizzazione in conformità con la politica di gestione delle patch dell’organizzazione.
Un server centralizzato di gestione delle patch fa più che automatizzare la gestione delle patch. Dà anche all’organizzazione un certo grado di controllo sul processo di gestione delle patch. Per esempio, se una particolare patch è ritenuta problematica, l’organizzazione può configurare la sua politica di gestione delle patch per impedire che quella particolare patch venga distribuita.
Un altro vantaggio di eseguire una gestione centralizzata delle patch è che così facendo aiuta a conservare la larghezza di banda di Internet. Ha poco senso, dal punto di vista della larghezza di banda, permettere ad ogni computer dell’intera organizzazione di scaricare la stessa identica patch. Invece, il server di gestione centralizzata delle patch può scaricare la patch e poi distribuirla a tutti i computer dell’organizzazione. Questo significa che la patch deve essere scaricata solo una volta, piuttosto che scaricare una copia separata per ogni computer.
Anche se molte organizzazioni gestiscono la gestione delle patch per conto proprio, alcuni fornitori di servizi gestiti eseguono la gestione delle patch insieme agli altri servizi di gestione della rete che forniscono ai loro clienti.
Benefici della gestione delle patch
La maggior parte delle principali società di software rilascia periodicamente patch per i propri prodotti. Queste patch possono servire a tre scopi principali.
In primo luogo, le patch sono spesso utilizzate per affrontare le vulnerabilità di sicurezza. Se un fornitore di software scopre che c’è un rischio di sicurezza associato al suo prodotto, di solito rilascia una patch per affrontare tale rischio. È importante che le organizzazioni applichino le patch di sicurezza il più rapidamente possibile, perché gli hacker e gli autori di malware conoscono le vulnerabilità di sicurezza che una patch è progettata per correggere, e cercano attivamente sistemi senza patch.
Un secondo motivo per cui le aziende di software rilasciano comunemente le patch è quello di risolvere i bug che sono stati scoperti nel loro software. L’applicazione di tali patch può migliorare la stabilità del software, sbarazzandosi anche di problemi fastidiosi.
In terzo luogo, le aziende di software occasionalmente rilasciano patch come un modo per introdurre nuove funzionalità. Gli aggiornamenti delle caratteristiche stanno diventando molto più comuni di una volta, come risultato della transizione alle licenze software basate su abbonamento.
Problemi comuni con la gestione delle patch
Il problema più comune associato al processo di gestione delle patch è quello di una patch difettosa. Occasionalmente, una patch introduce problemi che prima non esistevano. Questi problemi possono manifestarsi nel prodotto che viene patchato, o i problemi possono manifestarsi altrove se altri software hanno una relazione di dipendenza con il software che è stato recentemente patchato.
Perché le patch possono talvolta introdurre problemi in un sistema che prima funzionava correttamente, è importante che gli amministratori testino le patch prima di distribuirle su base organizzativa.
Un altro problema comune associato alla gestione delle patch è che i sistemi disconnessi possono non ricevere le patch in modo tempestivo. Se un utente mobile si connette raramente alla rete aziendale, per esempio, allora il suo dispositivo può passare lunghi periodi di tempo senza ricevere le patch. In questi casi, potrebbe essere meglio configurare il dispositivo per una gestione autonoma delle patch piuttosto che affidarsi a una gestione centralizzata delle patch.
Ciclo di vita della gestione delle patch
Quando viene rilasciata una nuova patch, un’organizzazione dovrebbe testarla prima di distribuirla a livello aziendale. Il dipartimento IT può inizialmente eseguire alcuni test di base all’interno di un ambiente sandbox. Questo evita che qualsiasi problema con la patch abbia un impatto sui sistemi di produzione.
Se non vengono scoperti problemi evidenti durante il test della sandbox, allora il dipartimento IT può eseguire un deployment pilota. Un dispiegamento pilota consiste nel distribuire le patch a un numero limitato di sistemi di produzione per verificare che la patch funzioni correttamente in un ambiente di produzione. Dopo un periodo di tempo, la patch viene distribuita in tutta l’organizzazione.
Occasione, il dipartimento IT potrebbe aver bisogno di rimuovere una patch che è stata applicata ai sistemi di produzione. Questo può accadere se si scopre che le patch causano problemi, ma ci sono altre ragioni per rimuovere una patch. Una patch potrebbe essere rimossa, per esempio, se un fornitore di software rilascia una nuova patch che non può essere messa in atto mentre la patch precedente rimane sul sistema. In questo caso, si dice che la nuova patch sostituisce la precedente.
Esempi di gestione delle patch
Microsoft fornisce spesso patch ai suoi sistemi operativi Windows e ad altri prodotti come Office 365. Queste patch sono normalmente rilasciate su base programmata, in un giorno che è diventato noto come Patch Tuesday.
I sistemi indipendenti si affidano a Windows Update per scaricare e distribuire automaticamente le patch disponibili. Negli ambienti aziendali, tuttavia, è molto più comune usare Windows Server Update Services per gestire e distribuire le patch di Microsoft. I Windows Server Update Services, che sono comunemente chiamati WSUS, sono inclusi in Windows Server e specificamente progettati per centralizzare la gestione delle patch. Tuttavia, ci sono numerosi prodotti di terze parti che sono anche in grado di scaricare, gestire e distribuire le patch Microsoft.