M 4.444 Patchmanagement für Cloud-Komponenten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Änderungsmanager

Alle Cloud-Komponenten müssen in das Patch- und Änderungsmanagement integriert sein (siehe Baustein B 1.14 Patch- und Änderungsmanagement).

Beim Patchmanagement und bei der Installation des Patchens für Cloud-Komponenten müssen die Verantwortlichkeiten gemäß Maßnahme M 2.423 Festlegung der Verantwortlichkeiten für das Patch- und Änderungsmanagement beachtet werden.

Mit steigender Komplexität von Cloud-Infrastrukturen ist es üblich, dass die Mitarbeiter verschiedener Bereiche eines Cloud-Diensteanbieters unterschiedliche Verantwortlichkeiten bezüglich des Patchens besitzen. So kann es beispielsweise unterschiedliche Zuständigkeiten geben für

Es ist nötig, sich bei den Software-Herstellern und Herausgebern von Patches regelmäßig über neue Patches zu informieren (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems).

Das Patchmanagement bildet den Rahmenprozess zur Kontrolle eines durchgängig angemessenen Sicherheitsniveaus durch aktuelle Patch-Stände. Detaillierte Vorgaben, wie beim Patchen einer Anwendung vorzugehen ist, enthält Maßnahme M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates.

Das Patchmanagement in Clouds umfasst verschiedene Teilaufgaben (siehe M 4.446 Einführung in das Cloud Management):

Beim Patchen von Cloud-Diensten wird empfohlen, nach Maßnahme M 2.422 Umgang mit Änderungsanforderungen vorzugehen. Hinsichtlich der Aspekte "Beurteilung der Auswirkungen" und Zeitplan ("geplantes Datum für die Umsetzung der Änderung") ist beim Cloud Management zu beachten:

Die unterschiedlichen Service-Modelle legen die Einflussbereiche und somit die Verantwortung des Cloud-Diensteanbieters und des Cloud-Anwenders fest. Im Falle von IaaS sind die Patch-Möglichkeiten für den Cloud-Diensteanbieter eingeschränkt. Die Verantwortung für das Patch- und Änderungsmanagement auf Betriebssystemebene, Plattformebene und Anwendungsebene hat hier der Cloud-Anwender. Diese Verantwortungsbereiche sollten in den SLAs klar definiert sein.

Die durchgängige Virtualisierung beim Cloud Computing bietet für das Patch- und Änderungsmanagement Vorteile. Die Lastverteilung und die Beweglichkeit der virtuellen Ressourcen ermöglichen neue Strategien für das Patchen. So kann z. B. das Betriebssystem unter einem SaaS-Angebot gepatcht werden, ohne die Verfügbarkeit des Cloud-Dienstes zu stören. Ferner erlaubt die Cloud-Verwaltungslösung den Einsatz von Patch-Strategien, bei denen die Durchführung von Änderungen weitgehend automatisiert wird. Grundsätzlich wird eine Automatisierung zum Ausrollen von aktuellen Patch-Ständen z. B. über Cloud-Diensteprofile empfohlen. Es muss jedoch sichergestellt werden, dass die Konfigurationen der Cloud-Ressourcen nicht durch neue Patches beeinträchtigt werden. Alle Änderungen sollten entsprechend Maßnahme M 2.221 Änderungsmanagement oder Maßnahme M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates geplant, getestet, genehmigt und dokumentiert werden. Wenn vollständige Tests auf speziellen Test-Systemen nicht möglich sind, müssen zumindest die Konfigurationen vorab auf mögliche Auswirkungen von Patches überprüft werden.

Beim Ausrollen einer Anwendung für einen neuen Mandanten sollte die für diesen Mandanten genutzte Software auf den aktuellen Patch-Stand gebracht werden, bevor von außen auf die Anwendung zugegriffen werden kann.

In der Praxis sollte der Patch-Stand von den in der Cloud angebotenen Betriebssystemen und Anwendungen über einen sogenannten Update Manager des Cloud- oder Virtualisierungsproduktes verwaltet werden. Dafür muss konfiguriert werden, welche Updates auf Betriebssysteme und Anwendungen auf den Virtualisierungs-Hosts und virtuellen Maschinen durchgeführt werden sollen.

Prüffragen: