Untergeordnete Seiten
  • IT-Sicherheit – Aktualisierungspolitik von Software auf Serversystemen
Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Aktualisierungen von Betriebssystemen auf Serversystemen

Auf den von uns betriebenen virtuellen Maschinen kommt das Betriebssystem „Ubuntu Server“ zum Einsatz. Von diesem erscheinen in regelmäßigen Intervallen sowohl neue Versionen („Releases“) als auch Sicherheitsupdates für einen bestimmten Release-Zweig. Bei uns wird die „Long Term Support“-Variante verwendet, welche über einen Zeitraum von 5 Jahren seitens Ubuntu mit Sicherheitsupdates versorgt wird. Diese Sicherheitsupdates schließen bekannte Lücken in den eingesetzten Programmen, verändern darüberhinaus die Programmversion aber nicht, stellen also kein „Upgrade“ dar. Ferner erstrecken sich Ubuntus Sicherheitsupdates nur auf Software, die auch von Ubuntu bereitgestellt wird – darunter fällt zum Beispiel keine Atlassian-Software. Gemeint ist mit diesen Sicherheitsupdates also das „Basissystem“.

Es werden auf all unseren virtuellen Maschinen einmal pro Woche automatisch die von Ubuntu bereitgestellten Sicherheitsupdates eingespielt.

Vollständige Upgrades auf neue Ubuntu-Releases werden in der Regel spätestens einmal in 5 Jahren vollzogen, also vor Ablauf des „Long Term Support“ seitens Ubuntu. Sie können auch früher stattfinden, beispielsweise im Rahmen einer Migration des jeweiligen Systems in ein anderes Rechenzentrum oder im Zuge von Anwendungsupdates (siehe entsprechender Abschnitt).

Von diesen Regelungen sind sowohl Kundensysteme betroffen als auch solche, die //SEIBERT/MEDIA für den Eigenbedarf betreibt („interne Systeme“).

Aktualisierungen von Anwendungssoftware

Zusätzlich zum oben erwähnten „Basissystem“ wird in aller Regel weitere Software auf unseren Servern betrieben. Darunter fallen zum Beispiel Atlassian-Anwendungen wie Confluence oder Jira. Da diese nicht von den automatischen Sicherheitsupdates durch Ubuntu profitieren, wurden zusätzliche Prozesse geschaffen, um Aktualisierungen zeitnah zu gewährleisten.

Da größere Anwendungsupdates meistens mit einer Nichterreichbarkeit des Dienstes verbunden sind, empfiehlt es sich häufig, im gleichen Atemzug auch das Ubuntu-Basissystem auf ein neueres Release zu aktualisieren, sofern eines verfügbar ist. Dies ist jedoch keine Notwendigkeit.

Auf Kundensystemen

Anwendungssoftware wird auf Kundensystemen mindestens einmal pro Jahr oder auf direkte Anfrage des jeweiligen Kunden aktualisiert. Dies geschieht durch unsere Systemadministratorengruppe, welche sich um Kundensysteme kümmert. Siehe auch:

Zusätzlich kann es erforderlich sein, kritische Sicherheitsupdates außerhalb dieser Zyklen einzuspielen.

Auf internen Systemen von //SEIBERT/MEDIA

Die interne IT von //SEIBERT/MEDIA prüft in regelmäßigen Abständen alle intern betriebenen Systeme auf verfügbare Anwendungsupdates. Sollten solche zur Verfügung stehen, so werden diese als Aufgaben („Tickets“) eingeplant und möglichst zeitnah ebenfalls durch die interne IT eingespielt.

In beiden Fällen: Wie erfahren wir von der Notwendigkeit eines kritischen Sicherheitsupdates für Anwendungssoftware?

Atlassian stellt seinen Partnern im Vorfeld Informationen hinsichtlich kritischer Sicherheitslücken zur Verfügung, bevor diese öffentlich gemacht werden. Über diesen Mechanismus werden wir informiert. Für jedes notwendige Update wird somit automatisiert bei uns eine Aufgabe („Ticket“) erstellt, die dann in der Folge den betroffenen Systemen und Kunden-Teams zugeordnet wird.

Etwaige andere Anwendungssoftware, die weder von Atlassian noch von Ubuntu zur Verfügung gestellt wird, muss auf ähnliche Weise auf Sicherheitsupdates beobachtet werden. In der Regel besitzt der jeweilige Hersteller entsprechende Kanäle, über die er proaktiv informieren kann oder die von //SEIBERT/MEDIA in regelmäßigen Abständen abgefragt werden müssen. Erfahren wir hierüber von einem notwendigen Update, so greift analog der oben beschriebene Mechanismus (Erstellung und Zuordnung von Tickets).

  • Keine Stichwörter