Patch management is een gebied van systeembeheer dat zich bezighoudt met het verwerven, testen en installeren van meerdere patches, of codewijzigingen, op een beheerd computersysteem. Tot de taken van patchbeheer behoren het bijhouden van actuele kennis van beschikbare patches, het beslissen welke patches geschikt zijn voor bepaalde systemen, ervoor zorgen dat patches correct worden geïnstalleerd, het testen van systemen na installatie, en het documenteren van alle bijbehorende procedures, zoals specifieke vereiste configuraties. Er zijn verschillende producten beschikbaar om patchbeheertaken te automatiseren, waaronder RingMaster Software’s APM, ManageEngine’s Desktop Central en SolarWinds Patch Manager.
Waarom is patchbeheer belangrijk?
atchbeheer is belangrijk omdat patches helpen om de gezondheid en veiligheid van de systemen die worden gepatcht te handhaven. Daarnaast worden patches soms gebruikt om software up-to-date te brengen, zodat deze werkt met de nieuwste hardware.
Hoe werkt patch management?
atch management werkt anders, afhankelijk van of een patch wordt toegepast op een stand-alone systeem of wordt toegepast op systemen in een bedrijfsnetwerk. In het geval van een stand-alone systeem, zullen het besturingssysteem en de applicaties op dat systeem periodiek een automatische controle uitvoeren om te zien of er patches beschikbaar zijn. Als blijkt dat er nieuwe patches zijn, worden deze automatisch gedownload en geïnstalleerd.
Patchbeheer werkt anders in een bedrijfsomgeving, omdat organisaties over het algemeen proberen om softwareversieconsistentie te handhaven op al hun computers. Als zodanig, voeren organisaties gewoonlijk gecentraliseerd patchbeheer uit eerder dan elke computer toe te staan om zijn eigen patches te downloaden.
Gecentraliseerd patchbeheer gebruikt een gecentraliseerde patchbeheerserver die patches namens de organisatie downloadt en die patches aan de computers op het netwerk van de organisatie in overeenstemming met het patchbeheerbeleid van de organisatie verdeelt.
Een gecentraliseerde patchbeheerserver doet meer dan alleen patchbeheer automatiseren. Het geeft de organisatie ook een zekere mate van controle over het patch management proces. Als bijvoorbeeld wordt vastgesteld dat een bepaalde patch problematisch is, dan kan de organisatie het patchbeleid zo configureren dat die bepaalde patch niet wordt uitgerold.
Een ander voordeel van het uitvoeren van gecentraliseerd patchbeheer is dat dit helpt om internetbandbreedte te besparen. Het heeft vanuit een bandbreedte perspectief weinig zin om iedere computer in de hele organisatie exact dezelfde patch te laten downloaden. In plaats daarvan kan de gecentraliseerde server voor patchbeheer de patch downloaden en hem dan distribueren naar alle computers binnen de organisatie. Dit betekent dat de patch slechts eenmaal hoeft te worden gedownload, in plaats van voor elke computer een aparte kopie te downloaden.
Hoewel veel organisaties patchbeheer zelf uitvoeren, voeren sommige managed service providers patchbeheer uit in combinatie met de andere netwerkbeheerdiensten die zij aan hun klanten leveren.
Voordelen van patchbeheer
De meeste grote softwarebedrijven brengen periodiek patches uit voor hun producten. Deze patches kunnen drie hoofddoelen dienen.
In de eerste plaats worden patches vaak gebruikt om beveiligingslekken te verhelpen. Als een softwareleverancier ontdekt dat zijn product een beveiligingsrisico met zich meebrengt, zal hij meestal een patch uitbrengen om dat risico aan te pakken. Het is belangrijk dat organisaties beveiligingspatches zo snel mogelijk toepassen, omdat hackers en malware-auteurs op de hoogte zijn van de beveiligingslekken die een patch moet verhelpen, en actief op zoek gaan naar ongepatchte systemen.
Een tweede reden waarom softwarebedrijven vaak patches uitbrengen, is om bugs te verhelpen die in hun software zijn ontdekt. Het toepassen van dergelijke patches kan de stabiliteit van de software verbeteren, terwijl ook vervelende problemen worden verholpen.
Ter derde brengen softwarebedrijven af en toe patches uit als een manier om nieuwe features te introduceren. Feature-updates komen steeds vaker voor als gevolg van de overgang naar software-licenties op basis van abonnementen.
Gemeenschappelijke problemen met patch-management
Het meest voorkomende probleem bij patch-management is dat van een buggy patch. Af en toe zal een patch problemen introduceren die voorheen niet bestonden. Deze problemen kunnen zich voordoen in het product dat wordt gepatcht, of de problemen kunnen zich elders manifesteren als andere software een afhankelijkheidsrelatie heeft met de software die onlangs is gepatcht.
Omdat patches soms problemen kunnen introduceren in een systeem dat voorheen correct werkte, is het belangrijk voor beheerders om patches te testen voordat ze worden uitgerold op een organisatiebrede basis.
Een ander veelvoorkomend probleem in verband met patch management is dat losgekoppelde systemen patches mogelijk niet op tijd ontvangen. Als een mobiele gebruiker bijvoorbeeld zelden verbinding maakt met het bedrijfsnetwerk, dan kan het apparaat van die gebruiker lange tijd niet worden gepatcht. In dergelijke gevallen kan het beter zijn om het apparaat te configureren voor stand-alone patch management in plaats van te vertrouwen op gecentraliseerd patch management.
Patch management life cycle
Wanneer een nieuwe patch wordt uitgebracht, zou een organisatie de patch moeten testen voordat deze organisatiebreed wordt uitgerold. De IT-afdeling kan in eerste instantie een aantal basistests uitvoeren in een sandbox-omgeving. Dit voorkomt dat eventuele problemen met de patch gevolgen hebben voor de productiesystemen.
Als er geen duidelijke problemen worden ontdekt tijdens het testen in de sandbox, dan kan de IT-afdeling een proefimplementatie uitvoeren. Bij een proefimplementatie worden de patches op een beperkt aantal productiesystemen uitgerold om te controleren of de patch in een productieomgeving goed werkt. Na verloop van tijd wordt de patch in de hele organisatie uitgerold.
Ook kan het voorkomen dat de IT-afdeling een patch moet verwijderen die op productiesystemen is aangebracht. Dit kan gebeuren als blijkt dat de patches problemen veroorzaken, maar er zijn ook andere redenen om een patch te verwijderen. Een patch kan bijvoorbeeld worden verwijderd als een softwareleverancier een nieuwe patch uitbrengt die niet kan worden toegepast zolang de vorige patch op het systeem is aangebracht. In een dergelijk geval wordt gezegd dat de nieuwe patch de vorige patch vervangt.
Voorbeelden van patchbeheer
Microsoft verstrekt vaak patches voor zijn Windows-besturingssystemen en voor andere producten, zoals Office 365. Deze patches worden normaal gesproken op geplande basis uitgebracht, op een dag die bekend is geworden als Patch Tuesday.
Stand-alone systemen vertrouwen op Windows Update om automatisch alle beschikbare patches te downloaden en uit te rollen. In bedrijfsomgevingen is het echter veel gebruikelijker om Windows Server Update Services te gebruiken voor het beheren en uitrollen van Microsoft-patches. De Windows Server Update Services, die gewoonlijk WSUS worden genoemd, worden met Windows Server meegeleverd en zijn speciaal ontworpen om patch management te centraliseren. Er zijn echter tal van producten van derden die ook in staat zijn om Microsoft patches te downloaden, beheren en uit te rollen.