Bundesamt für Sicherheit in der Informationstechnik

M 4.444 Patchmanagement für Cloud-Komponenten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Änderungsmanager

Alle Cloud-Komponenten müssen in das Patch- und Änderungsmanagement integriert sein (siehe Baustein B 1.14 Patch- und Änderungsmanagement ).

Beim Patchmanagement und bei der Installation des Patchens für Cloud-Komponenten müssen die Verantwortlichkeiten gemäß Maßnahme M 2.423 Festlegung der Verantwortlichkeiten für das Patch- und Änderungsmanagement beachtet werden.

Mit steigender Komplexität von Cloud-Infrastrukturen ist es üblich, dass die Mitarbeiter verschiedener Bereiche eines Cloud-Diensteanbieters unterschiedliche Verantwortlichkeiten bezüglich des Patchens besitzen. So kann es beispielsweise unterschiedliche Zuständigkeiten geben für

  • Netze (Infrastrukturkomponenten, Router, Switches etc. )
  • Betriebssysteme
  • Virtualisierungs-Komponenten
  • Applikationen
  • Sicherheitskomponenten ( z. B. Sicherheitsgateway, Schutz vor Schadprogrammen, Intrusion Detection).

Es ist nötig, sich bei den Software-Herstellern und Herausgebern von Patches regelmäßig über neue Patches zu informieren (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ).

Das Patchmanagement bildet den Rahmenprozess zur Kontrolle eines durchgängig angemessenen Sicherheitsniveaus durch aktuelle Patch-Stände. Detaillierte Vorgaben, wie beim Patchen einer Anwendung vorzugehen ist, enthält Maßnahme M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates .

Das Patchmanagement in Clouds umfasst verschiedene Teilaufgaben (siehe M 4.446 Einführung in das Cloud Management ):

  • Patchen von Cloud-Diensten ( PaaS oder SaaS )
  • Patchen von unterliegender Cloud-Infrastruktur ( IaaS , PaaS und SaaS ) einschließlich Zugangskomponenten wie Self-Service-Portal
  • Patchen des Cloud-Verwaltungsservers und der Cloud-Verwaltungssoftware
  • Patchen von Cloud-Ressourcen und Element-Managern

Beim Patchen von Cloud-Diensten wird empfohlen, nach Maßnahme M 2.422 Umgang mit Änderungsanforderungen vorzugehen. Hinsichtlich der Aspekte "Beurteilung der Auswirkungen" und Zeitplan ("geplantes Datum für die Umsetzung der Änderung") ist beim Cloud Management zu beachten:

  • Das Patch- und Änderungsmanagement sollte in den Verträgen/Dienstgüte-Vereinbarungen ( SLA s) mit Cloud-Anwendern geregelt sein.
  • Diese Vereinbarungen zum Patch- und Änderungsmanagement können die Regelung von Standard-Änderungen (vergleiche Maßnahme M 3.66 Grundbegriffe des Patch- und Änderungsmanagements ) einschließen.
  • Während des Patchens können Cloud-Dienste zeitweise nicht oder mit verringerter Funktion bzw. reduzierter Leistung zur Verfügung stehen, mit Auswirkungen auf die Arbeitsfähigkeit der Cloud-Anwender.
  • Auch bei bestmöglicher Vorbereitung sind unvorhergesehene Auswirkungen möglich, sodass die Funktion oder Verfügbarkeit von Cloud-Diensten nach dem Patchen beeinträchtigt sind. Eventuell muss eine Änderung sogar wieder rückgängig gemacht werden.
  • Wegen dieser möglichen Auswirkungen sollten die betroffenen Cloud-Anwender vorher über anstehende Patches, den Zeitplan dafür und mögliche Auswirkungen informiert werden.
  • Die Pflicht zur Information über anstehende Patches und die Abstimmung darüber mit dem Cloud-Anwender muss vertraglich festgelegt sein ( SLA ).

Die unterschiedlichen Service-Modelle legen die Einflussbereiche und somit die Verantwortung des Cloud-Diensteanbieters und des Cloud-Anwenders fest. Im Falle von IaaS sind die Patch-Möglichkeiten für den Cloud-Diensteanbieter eingeschränkt. Die Verantwortung für das Patch- und Änderungsmanagement auf Betriebssystemebene, Plattformebene und Anwendungsebene hat hier der Cloud-Anwender. Diese Verantwortungsbereiche sollten in den SLA s klar definiert sein.

Die durchgängige Virtualisierung beim Cloud Computing bietet für das Patch- und Änderungsmanagement Vorteile. Die Lastverteilung und die Beweglichkeit der virtuellen Ressourcen ermöglichen neue Strategien für das Patchen. So kann z. B. das Betriebssystem unter einem SaaS -Angebot gepatcht werden, ohne die Verfügbarkeit des Cloud-Dienstes zu stören. Ferner erlaubt die Cloud-Verwaltungslösung den Einsatz von Patch-Strategien, bei denen die Durchführung von Änderungen weitgehend automatisiert wird. Grundsätzlich wird eine Automatisierung zum Ausrollen von aktuellen Patch-Ständen z. B. über Cloud-Diensteprofile empfohlen. Es muss jedoch sichergestellt werden, dass die Konfigurationen der Cloud-Ressourcen nicht durch neue Patches beeinträchtigt werden. Alle Änderungen sollten entsprechend Maßnahme M 2.221 Änderungsmanagement oder Maßnahme M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates geplant, getestet, genehmigt und dokumentiert werden. Wenn vollständige Tests auf speziellen Test-Systemen nicht möglich sind, müssen zumindest die Konfigurationen vorab auf mögliche Auswirkungen von Patches überprüft werden.

Beim Ausrollen einer Anwendung für einen neuen Mandanten sollte die für diesen Mandanten genutzte Software auf den aktuellen Patch-Stand gebracht werden, bevor von außen auf die Anwendung zugegriffen werden kann.

In der Praxis sollte der Patch-Stand von den in der Cloud angebotenen Betriebssystemen und Anwendungen über einen sogenannten Update Manager des Cloud- oder Virtualisierungsproduktes verwaltet werden. Dafür muss konfiguriert werden, welche Updates auf Betriebssysteme und Anwendungen auf den Virtualisierungs-Hosts und virtuellen Maschinen durchgeführt werden sollen.

Prüffragen:

  • Sind Patch-Verantwortliche für die Cloud-Dienste benannt?

  • Werden beim Ausrollen neuer Mandanten alle Softwarestände auf den aktuellen Patch-Stand gebracht, bevor von außen auf die Anwendung zugegriffen werden kann?

  • Ist die Verantwortung für das Patchen der Cloud-Systeme in den SLA vereinbart?

Stand: 14. EL Stand 2014