Azure Security Center: Update management aneb patchujte Windows i Linux

Azure Security Center (produkt, který postupně konsoliduje vlastnosti security v Azure a bezpečnostní analýzu OMS), nástroj pro hybridní správu vašeho datového centra i cloudu, nabízí schopnost přehledu chybějících aktulizací operačních systému Windows a Linux. Ujistěte se, že jsou vaše servery v dobrém stavu a můžete ASC využít i k inicializaci a plánování jejich patchování. Podívejme se dnes jak to funguje a proč je to užitečné.

Update Management

Update Management je dnes součástí systému OMS a bude se postupně integrovat do Azure Security Center. Dnes se k němu dostaneme klasicky přes OMS konzoli, ale v průběhu roku můžete očekávat těsnou integraci do Azure portálu zejména do oblasti Azure Security Center a také přímo na obrazovku jednotlivých VM.  V klasickém OMS si přidejte funkci v "obchůdku".

Pro samotné patchování používá OMS funkce Azure Automation, takže pokud ještě nemáte přiřazen Automation účet k vašemo OMS prostoru, musíme to teď udělat.

Jakmile bude účet vytvořen a provázán, můžeme Update Management přidat.

Nový modul se vám objeví v hlavním GUI, ale dejme mu chvilku čas o systémech zjistit vše potřebné.

Linux se obnovuje zhruba každé tři hodiny, Windows dvakrát denně, takže teď bude dobré chvilku počkat. Odpoledne nacházím tento výsledek:

Jak to funguje? OMS agent pravidelně posílá informace o nainstalovaných aktualizacích s využitím vlastností daného operačního systému, tedy např. Windows, apt či yum. Azure je napojen na vydavatele patchů a získává informace o vážnosti a kategorii každého chybějícího balíčku. To potom zobrazuje.

Podívejme se na informace o našich čtyřech systémech.

Jednotlivé servery můžete rozkliknout a získat tak přesné konkrétní detaily.

Každá aktualizace je tedy samostatnou řádkou v Log Analytics a snadno tak můžete vytvářet vlastní vyhledávání, reporty a vizualizace. Pokud přepnete na záložku Updates dostanete souhrné informace za tento konkrétní Windows server.

Stejně dobře se OMS vypořádá třeba s Ubuntu.

A také CentOS / Red Hat a další.

Jdeme zpátky do přehledové obrazovky. Místo pohledu přes počítače se můžeme podívat přes aktualizace.

Úplně vpravo pak najdete příklady užitečných query do Log Analytics, která vás určitě mohou inspirovat k formulaci vlastních specifických dotazů.

Řízená instalace aktualizací

Jednu dlaždici v GUI jsme přeskočili. Tuhle:

Tušíte správně - Azure dokáže naplánovat spuštění aktualizace. K tomu musí být OS namířeno na repozitář, například Windows Update, WSUS a a repozitáře pro package manažery jako je apt nebo yum. Pokud používáte Azure marketplace image Red Hat Enterprise Linux tak ten je namířen na zrcadlo RHUI přímo v Azure. Samotné zajištění aktualizace udělá Azure přes Azure Automation. Pokud chcete řídit i Linux stroje, tato funkce je v době psaní článku zatím v Preview a musíte si ji explicitně povolit v nastavení.

Pojďmě zpět na Update management, klikněte na dlaždici a následně přidejme plánovaný update.

Vybereme si konkrétní Linux mašinu, nicméně v praxi je určitě lepší použít skupiny. Ty mohou být například získány z Active Directory, WSUS, System Center nebo jako jednotlivé Query (můžete tedy vytvořit dotazem na jakoukoli položku dynamickou skupinu serverů). Pro dnešní ukázku si vyberu Linux stroje přímo.

Úlohu mohu naplánovat jednou nebo ji spouštět každý týden v sobotu, každý měsíc apod.

Přidám totéž pro Windows stroje.

Teď pojďme čekat, jak to všechno dopadne. Ráno se nacházím v podstatně příznivějším stavu.

Prohlédněme si naše dvě úlohy.

Úspěšně jsme nainstalovali několik Windows aktualizací na dva počítače.

Jaké aktualizace to byly?

Každou můžete rozkliknout a získat podrobnosti.

Podobně jsme nainstalovali aktualizace na moje Linux stroje.

OMS pro patchování používá Azure Automation, tak pokud chcete, podívejte se mu pod ruku přímov Azure portálu.

Takhle třeba vypadají logy z Windows úlohy.

Jak vypadá terminálový výstup z Linuxu?

 

 

Azure přináší mnoho zajímavých řešení pro monitoring a správu a management aktualizací je určitě jedno z nich. Získejte přehled o svých Windows a Linux strojích, plánujte updaty a nad přehledovými dashboardy vytvářejte i svoje vlastní pohledy či alerty na základě query do systému. Vyzkoušejte to!

 

 

 

 



Kubernetes praticky: bezpečné řešení přístupu například do Key Vault přes AAD Pod Identity Security
Azure Stack: napojení na Azure Monitor pro hybridní správu Monitoring
Kubernetes prakticky: řízení přístupu (RBAC) s integrací na Azure Active Directory Security
Dynamické schvalování přístupů do Azure s Privileged Identity Management Security
Modernizujte konektivitu vašich poboček s Azure Virtual WAN Security