Red Hat Enterprise Linux を 定期的に更新する

Transcript

1. Copyright Red Hat K.K. All rights reserved. 1 Red Hat

   Enterprise Linux を 定期的に更新するに更新する更新するする

2. Copyright Red Hat K.K. All rights reserved. 2 RHEL も定期的なアップ定期的に更新するなアップデートがアップデートが必要が必要必要

   • Windows Server は定期的なアップ定期的なアップデートなアップデートがアップデートが普及が普及普及 – 毎月？ 3 ヶ月おき？月おき？ • 同じことをじことを RHEL では定期的なアップできていなアップデートがいお客様がが普及 沢山いますいます – 「インストが普及ールした時点の最新した時点の最新で」時点の最新で」「はの最新で」「はい最新で」「はい」で」「は定期的なアップい」 「 3 年経ちました……」ちました時点の最新で」……」「は定期的なアップい……」 • RHEL でも定期的なアップ定期的なアップデートなアップデートがアップデートが普及は定期的なアップ必須です

3. Copyright Red Hat K.K. All rights reserved. 3 素朴な質問……なアップデートが質問…… ?

   「管理しているシステしているシステムでシステムででいま一番深刻ななアップデートが 脆弱性は定期的なアップ、どの最新で」「はいシステムでの最新で」「はい何ですか？」ですか？」 「その最新で」「はい問題はは定期的なアップ 1 ヶ月おき？月以内に対応が完了しま対応が完了しまが普及完了しましま すか？」 ※ 深刻ななアップデートが脆弱性は定期的なアップ、 1 ヶ月おき？月以内に対応が完了しま実際の攻撃にの最新で」「はい攻撃にに対応が完了しま 利用されはじめますされは定期的なアップじめます。

4. Copyright Red Hat K.K. All rights reserved. 4 アップデートが必要を実施する際の課題する際の課題の課題課題 •

   課題はを認識 : 修正がどのシステムが普及どの最新で」「はいシステムでに対応が完了しまどれだけ必必 要か認識、作業にか認識、作業に抜け漏れはなに対応が完了しま抜け漏れはないかけ必漏れはないか確認れは定期的なアップなアップデートがいか確認 • 優先順位を設定を設定 : どの最新で」「はい修正がどのシステムは定期的なアップすぐ対応するべき対応が完了しまするシステムでべき か、どの最新で」「はい修正がどのシステムは定期的なアップ定期更新で」「はい」でいいの最新で」「はいか • 更新で」「はい」を実施 : パッケージの入手、テストの最新で」「はい入手、テストが普及環境でで の最新で」「はいテストが普及実施、本番環境ででの最新で」「はいアップデートが普及実施

5. Copyright Red Hat K.K. All rights reserved. 5 課題を認識 •

   現状把握や作業の抜け漏や作業の抜け漏れ作業に抜け漏れはなの最新で」「はい抜け漏れはないかけ必漏れはないか確認れ予防のための最新で」「はいた時点の最新で」め インベントが普及リ管理管理しているシステが普及必要か認識、作業に – システムでそれぞれに対応が完了しまどの最新で」「はいパッケージの入手、テストが普及含まれまれ ているシステムでか？ – 適用されはじめますするシステムでべき修正がどのシステムが普及どの最新で」「はいシステムでに対応が完了しまどれだけ必 存在しているか？しているシステムでか？

6. Copyright Red Hat K.K. All rights reserved. 6 関連する修正だけをする修正だけを表示だけを表示 /

   通知 全 errata 情報 各ユーザのユーザのの 登録システムシステム 導入 rpm 情報 導入されている rpm を更新する更新するする errata のみ 抽出 システムに対応する対応するする errata W Web eb で で表示 表示 メールで通知で通知 メールで通知で通知

7. Copyright Red Hat K.K. All rights reserved. 7 優先順位を設定するを設定する •

   対処するべき脆弱性するシステムでべき脆弱性や作業の抜け漏れ設定の最新で」「はい問題はは定期的なアップ多数あるあるシステムで → 各修正がどのシステム作業に抜け漏れはなに対応が完了しま優先順位を設定を設定するシステムで必要か認識、作業に性 • ポリ管理シーから自動的に決定自動的なアップデートに対応が完了しま決定 – 問題はの最新で」「はい性質 : 問題はの最新で」「はい重大さ、既知の攻撃さ、既知の攻撃手法の有の最新で」「はい攻撃に手法の有の最新で」「はい有 無、アップデートが普及以外の対策の有無、の最新で」「はい対策の有無、などの最新で」「はい有無、なアップデートがど – システムでの最新で」「はい性質：システムの可用システムでの最新で」「はい可用されはじめます性要か認識、作業に件、被害にに対応が完了しま あった時点の最新で」場合の深刻さ、などの最新で」「はい深刻なさ、なアップデートがど

8. Copyright Red Hat K.K. All rights reserved. 8 ポリシーの課題例 都度判断すると困難かつするシステムでと困難かつ遅い→ポリかつ遅い→ポリシー遅い→ポリシーがい→ポリ管理シーが普及必要か認識、作業に

   既知の攻撃手法の有の最新で」「はい攻撃に 緩和策の有無、など有無 Critical Important Moderate 以 下 既知の攻撃手法の有の最新で」「はい攻撃に あり 緩和策の有無、などなアップデートがし 3 日以内に対応が完了しま更新で」「はい」 1 ヶ月おき？月以内 に対応が完了しま更新で」「はい」適用されはじめます 緩和策の有無、などが普及あ れば 2 週以 内に対応が完了しま適用されはじめます 定期更新で」「はい」で 対応が完了しま 緩和策の有無、などあり 3 日以内に対応が完了しま緩和策の有無、など 2 週以内に対応が完了しま更新で」「はい」 既知の攻撃手法の有の最新で」「はい攻撃に なアップデートがし 緩和策の有無、などなアップデートがし 1 週以内に対応が完了しま更新で」「はい」 緩和策の有無、などあり 1 週以内に対応が完了しま緩和策の有無、など 2 週間以内に対応が完了しま更新で」「はい」

9. Copyright Red Hat K.K. All rights reserved. 9 更新するの課題実施する際の課題 •

   複雑なシステムではなアップデートがシステムででは定期的なアップ単純に「に対応が完了しま「 yum update を実行してして 完了しま」では定期的なアップ済まないまなアップデートがい – 前後に手順が必要に対応が完了しま手順が普及必要か認識、作業に：システムの可用事前に対応が完了しまバックアップ作成、ロード バランサ切り替え、クラ切り替え、クラスり替え、クラスタかえ、クラスタからの除外・再から自動的に決定の最新で」「はい除外の対策の有無、・再参加などなアップデートがど – 各種の制約条件の最新で」「はい制約条件：システムの可用同じことを一クラスタからの除外・再内では定期的なアップ同じことを時に対応が完了しま 1 台しかしか 停止しないなどしなアップデートがいなアップデートがど • アップデートが普及に対応が完了しま工数あるが普及かかるシステムでと適時実施が普及困難かつ遅い→ポリに対応が完了しまなアップデートがるシステムで → 自動化が普及有効

10. Copyright Red Hat K.K. All rights reserved. 10 vCenter 更新する処理自動化の例の課題例

    1. アップデートが普及前に対応が完了しま VMware で VM の最新で」「はいスナップショットが普及を作成 2. クラスタからの除外・再に対応が完了しま属するシステムをするシステムでシステムでを 1 台しかずつ遅い→ポリシー yum でアップデートが普及 log 4. 各ジの入手、テストョブの成功・失敗、の最新で」「はい成功・失敗、ログを確認を確認 playbook 3. エラーが普及発生したら更新をした時点の最新で」ら自動的に決定更新で」「はい」を 中止しないなどしスナップショットが普及への最新で」「はい ロールした時点の最新バックを実施。

11. 11 プラン 以下を決めるを更新する決めるめる : 対策対象 完了日時目標 準備項目 対策手順 障害などなど Satellite

    定期更新する 優先度 判定 調査 新する errata 対応する不要 3 ヶ月経過月経過 定期更新する より前に前にに対応する 更新するが必要必要 テストが必要 リポジトリ準備 Playbook 作成 Playbook 試験 回帰テスト等テスト等 実施する際の課題 リポジトリ割当 Playbook 実行 更新する以外のの 対応するが必要必要 イベント源 To Be: 定期更新する + 緊急対応 Insights 新する Action

12. Copyright Red Hat K.K. All rights reserved. 12 Next Action

    と関連製品関連する修正だけを製品 • 修正がどのシステム情報と連携したインと連携したインベントした時点の最新で」インベントが普及リ管理管理しているシステを実施す るシステムで (Red HatRed Hat Satellite) • システムでを自動診断すると困難かつして、優先順位を設定づけ必、更新で」「はい」 以外の対策の有無、の最新で」「はい緩和策の有無、なども定期的なアップ提示して情報収集をして情報と連携したイン収集を省力化するを省力化するシステムで (Red HatRed Hat Insights) • 頻繁に実施されるパに対応が完了しま実施されるシステムでパッケージの入手、テストの最新で」「はい更新で」「はい」処するべき脆弱性理しているシステを自動 化し、テストが普及およびアップデート実アップデートが普及実施に対応が完了しまかかるシステムで 時間を短縮するするシステムで (Red HatRed Hat Ansible Automation)