Meilleures pratiques pour la gestion des correctifs

En tant qu'architecte de solutions, on me demande souvent quelles sont les meilleures pratiques de Red Hat en matière de gestion des correctifs. Dans cet article, je vais laisser de côté le superflu et mentionner des travaux et documents pertinents le cas échéant, afin d'offrir des conseils ciblés sur ce qu'est une meilleure pratique et sur les outils à utiliser pour gérer les correctifs.

Après avoir lu cet article, vous aurez une idée plus précise des outils et approches à utiliser pour distribuer des correctifs au sein de votre entreprise, ainsi que des meilleures pratiques pour la définition de ce processus.

Qualifier une approche de « meilleure pratique » est certes un peu présomptueux. Ce qui convient à une entreprise peut ne pas être adapté à une autre. Alors, au lieu de qualifier une approche de « meilleure pratique », je préfère parler du processus le plus approprié pour un niveau de risque donné. Lorsque l'on évoque la gestion des correctifs, on fait finalement référence à la gestion des risques ou à la gestion des modifications.

Chaque entreprise a besoin d'une approche pour gérer les risques. Chacune a cependant besoin d'une approche unique pour définir ce projet, cibler les priorités et évaluer les différentes contraintes et retombées.

J'estime que l'expression « bonnes pratiques » est plus appropriée. Par exemple, la communauté de pratique autour de l’automatisation publie un document sur les bonnes pratiques en matière d’automatisation élaboré grâce aux informations issues de l'assistance fournie aux clients sur le terrain.

Sur quoi pouvons-nous nous appuyer dans le cadre de notre approche et de nos outils de gestion des correctifs ?

Il existe des outils et des méthodologies pour définir la gestion des correctifs dans votre infrastructure.

1. Définitions des errata

Red Hat répartit ses modifications de code ou de contenu (errata) en trois catégories différentes. Chaque catégorie a un objectif et un taux de changement différents. En fonction des objectifs de votre entreprise et de sa tolérance au changement, une option peut s'aligner sur un objectif et un taux de changement mieux qu'une autre.

• Red Hat Security Advisory (RHSA) : des modifications urgentes ont été apportées pour protéger vos systèmes.
• Red Hat Bug Advisory (RHBA) : des correctifs de bogues qui peuvent ou non vous affecter sont disponibles.
• Red Hat Enhancement Advisory (RHEA) : de nouvelles fonctions ont été ajoutées.

Pour plus d'informations, consultez la page Pratique de rétroportage de la sécurité de Red Hat et l'article Le rétroportage, qu'est-ce que c'est ? Et comment s'applique-t-il à RHEL et aux autres produits Red Hat ?

En appliquant ce principe, vous pouvez isoler les errata par type et par risque, puis choisir les correctifs qui vous paraissent nécessaires et ceux que vous considérez comme facultatifs. 

Par exemple, dans le cas d'une infrastructure connectée à Internet ou d'une zone démilitarisée qui dispose d'un profil de sécurité élevé, vous pouvez choisir de n'appliquer que les errata Red Hat Security Advisory dès qu'un errata est publié dans cet environnement. Cela permet de répondre aux besoins d'une infrastructure à haut risque et de diviser les modifications en petits lots faciles à utiliser. 

Ces liens sont des exemples de la façon d'appliquer uniquement les errata de sécurité dans un processus d'application des correctifs :

• Est-il possible de limiter yum de sorte qu’il ne répertorie ou n’installe que les mises à jour de sécurité ?
• Comment appliquer les errata de sécurité de Red Hat Satellite ?

Il est possible d'appliquer des correctifs à des sous-ensembles de paquets afin de limiter encore davantage les risques de modification. Cela offre également la flexibilité d'une restauration au cas où le correctif interagirait avec votre système de manière inattendue. Comme toute approche, elle implique des compromis à prendre en compte et à gérer. Ce processus peut sembler trop granulaire pour certains, alors que pour d'autres, il peut mieux correspondre à la tolérance au changement.

2. Création d'un environnement d'exploitation standard en 10 étapes

Cet article fournit un guide détaillé sur l'utilisation de Red Hat Satellite pour activer et gérer un environnement d'exploitation standard. Il couvre chaque sujet en détail et a pour but de répondre aux questions les plus fréquentes sur les meilleures pratiques. Ce contenu a été écrit il y a plusieurs années lors du lancement de Red Hat Satellite 6, mais ses concepts fondamentaux sont toujours d'actualité.

La gestion et l'indexation du contenu sont de la plus haute importance pour le processus d'application des correctifs. Ces éléments fournissent la base pour la présentation du contenu des correctifs dans l'infrastructure et jouent un rôle majeur dans le processus d'application des correctifs pour la gestion et la réduction des risques.

Portez une attention particulière aux environnements de cycle de vie et aux vues de contenu de Satellite. Ces concepts sont essentiels à l’indexation du contenu et à sa promotion (ou restauration) dans l’infrastructure.

Deuxièmement, concentrez-vous sur les organisations, les emplacements et les groupes d'hôtes pour classer l'infrastructure et l'inventaire. Trop souvent, j'observe des utilisateurs qui essaient d'utiliser ces structures pour classer des emplacements géographiques, des environnements cloud, une infrastructure similaire ou des équipes différentes au sein d'une entreprise.

3. Application des correctifs de noyau en direct

L'application des correctifs de noyau en direct est disponible depuis plusieurs années et fait partie de plusieurs versions majeures de RHEL. Vous pouvez appliquer des correctifs en direct sur un noyau sans redémarrage afin de corriger une vulnérabilité très rapidement. Cela permet aux administrateurs de traiter les risques immédiatement et de planifier un créneau de maintenance plus approprié lorsqu'un redémarrage peut être effectué. 

Ceci peut également être orchestré à l'aide de Red Hat Satellite.

4. Identifiez les paquets qui nécessitent un redémarrage du système après une mise à jour

En fonction du contenu des mises à jour et des errata, il peut être inutile de redémarrer après un correctif. Parfois, il suffit de redémarrer un service après une mise à jour pour utiliser un binaire mis à jour. 

Depuis RHEL 7, yum-utils inclut un plug-in appelé needs-restarting. Cet utilitaire signale si un redémarrage est nécessaire après l’application des correctifs. Vous pouvez ainsi comprendre la nécessité d'apporter des modifications à un système et réduire le nombre de redémarrages à effectuer lors de l'application de correctifs.

Satellite offre également une fonctionnalité appelée Tracer. Tracer réalise la même chose du point de vue de Satellite, en aidant les administrateurs à identifier les applications qui doivent être redémarrées après l'application de correctifs à un système.

5. Envisagez d'ouvrir un dossier d'assistance Red Hat proactif

En ayant une connaissance approfondie d'une activité de maintenance donnée et en ayant la possibilité de collecter des informations et des données à l'avance, vous pouvez réduire les temps d'arrêt et certains des risques associés à l'application des correctifs.

L'ouverture d'un dossier d'assistance proactif permet de réduire considérablement le délai de résolution des problèmes nécessaire à la récupération d'un service, et d'examiner à l'avance les procédures ou approches possibles. Vous pouvez ainsi réduire considérablement les pannes et le délai moyen de récupération.

6. Automatisez !

Ce n'est un secret pour personne : le remplacement des étapes manuelles par une approche automatisée permet de réduire les erreurs humaines, d'améliorer la fiabilité et d'accélérer le processus d'application des correctifs. L'automatisation est un facteur de différenciation important pour l'adoption des meilleures pratiques appropriées pour votre entreprise.

Red Hat Satellite permet d'utiliser l'exécution à distance avec Ansible. Red Hat Satellite peut exécuter des playbooks et des rôles Ansible sur son inventaire RHEL, et peut facilement automatiser et planifier l'application des correctifs.

En effet, avec la collection Ansible officielle redhat.satellite fournie dans Red Hat Ansible Automation Platform, vous pouvez automatiser et orchestrer l'ensemble de la gestion du contenu de Satellite, en plus d'appliquer des correctifs après l'indexation du contenu.

Si l'on va même plus loin, il existe des modules Ansible qui permettent d'effectuer des tests fonctionnels pour les services web ou de procéder à la vérification des services après avoir appliqué un correctif.

Récapitulatif

Red Hat a publié Une approche ouverte de la gestion des vulnérabilités, une méthodologie à la fois concise et complète sur la manière dont les entreprises abordent la gestion des vulnérabilités. La gestion des risques est une décision que vous devez prendre après avoir pris en compte et évalué les différentes contraintes et retombées pour l'entreprise.

Alors, toutes les vulnérabilités ont-elles vraiment de l'importance ? Cet article met en évidence certaines réalités et certains compromis liés à l'évaluation des différentes contraintes et retombées. Il s’agit d’un bon exemple pour évaluer le désir de résultats par rapport au coût et aux avantages de leur réalisation. Toutefois, si chaque risque doit être pris en compte, tous les risques ne doivent pas être considérés de la même manière, et personne ne dispose de ressources illimitées pour traiter chaque risque. Dans cet exemple, il s'agit de donner la priorité aux éléments les plus importants et de définir une stratégie pour classer les risques qu'il est intéressant d'atténuer et ceux qui sont acceptables.

Autrement dit, vous avez besoin d'itération et d'engagement. Aucun des exemples présentés dans cet article ne constitue la première tentative de stratégie. Ils ont tous été revisités et affinés à plusieurs reprises jusqu'à ce que nous trouvions un équilibre en matière de gestion des risques qui convenait à Red Hat. Nous continuons à ajuster ces méthodes à mesure que nous apprenons de nouvelles choses et que le paysage du secteur évolue. Il est aussi important de continuer à évaluer votre tolérance aux risques et votre posture que de définir une approche. C'est grâce à l'adaptation et au perfectionnement continus qu'on peut parler de « meilleures pratiques ».