menu di navigazione del network

4.5.1 - Installazione automatica delle patch


(Alessandro Carloni) #1

Buongiorno,
la misura 4.5.1 recita:
“Installare automaticamente le patch e gli aggiornamenti del software sia per il sistema operativo sia per le applicazioni.”
Il significato è quello che le patch devono installarsi AUTOMATICAMENTE senza intervento dell’uomo (quindi diciamo autonomamente) oppure che l’installazione deve avvenire in modo, diciamo agevole, dando una semplice conferma da parte dell’amministratore di sistema (vedi ad esempio WSUS sotto dominio Microsoft).


(Gianluca Varisco) #2

Ciao Alessandro!

Ottima domanda, a cui provo a risponderti nel dettaglio:

  • Il rilascio di aggiornamenti ai client della propria rete attraverso WSUS (nel contesto Microsoft) è assolutamente l’approccio migliore. Conseguentemente, e probabilmente dico una cosa ovvia, ci aspettiamo che i client vengano configurati in modalità ‘applica automaticamente gli aggiornamenti disponibili’ a livello globale (eg. setting impostato a livello di AD).

  • Per quanto riguarda le macchine *nix, ci sono decisamente una serie di strade percorribili:
    – Ubuntu/Debian: “unattended-upgrades”, vedi https://wiki.ubuntu.com/Security/Upgrades
    – RHEL/CentOS: via “yum-plugin-security”, o Red Hat Satellite / Spacewalk ove disponibile

Personalmente ho sempre adottato l’approccio ansible/puppet/saltstack per fare il deploy degli aggiornamenti sulle mie infrastrutture (e relativo pinning alla specifica versione contenente le risoluzioni a determinati CVE), ma questo metodo non esclude l’altro.

Quindi, per quanto mi riguarda, installare automaticamente le patch puo’ essere fatto in diversi modi aventi tutti lo stesso fine - ottenere, nella maniera piu’ agevole e scalabile possibile, l’aggiornamento di tutti i client (sia per le componenti server che quelle legate agli applicativi sui client).

Gian


(Alessandro Carloni) #3

Grazie della risposta.
Tuttavia volevo avere più un chiarimento se AUTOMATICO si intende “in modalità autonoma/senza intervento umano”.
Io personalmente, se la visione è quella di un automatismo che fa il sistema in modo proprio, è una misura obbligatoria che mi fa rabbrividire.

Inoltre, WSUS esculso, come gestisci le patch di Java? di Acrobat? di firefox? ecc ecc…


Dubbi sulle Misure Minime PA
(Beppe Scavia) #4

Per maggiore chiarezza, dato come presupporto il deploy degli aggiornamenti ai client windows tramite WSUS con i client configurati per effettuare l’aggiornamento automatico ad orari predefiniti, è possibile effettuare la sincronizzazione di wsus manualmente da parte di chi gestisce il sistema ?


(Alessandro Carloni) #5

Se non dico fesserie, gli aggiornamenti in WSUS vanno approvati prima che siano distributi.
Ad ogni modo fai attenzione che WSUS è solo una punta dell’interno iceberg degli aggiornamenti.


(Alessandro Carloni) #6

Così, giusto per dire quanto è seria l’installazione delle patch automatiche, mi hanno appena riferito che l’update KB4048954 blocca alcune stampanti ad aghi (epson LQ-2190 nel caso) e quindi le carta d’identità non si potevano fare…si certo, potevano scriverle a mano. :zipper_mouth_face:


(Beppe Scavia) #7

@Alessandro_Carloni stiamo dicendo esattamente la stessa cosa. Gli aggiornamenti andrebbero in primis testati dai sistemisti e poi distribuiti a tutti i client e server tramite approvazione.


(Alessandro Carloni) #8

Concordiamo.
Peccato la norma “SEMBRA” dire altro…
Toc Toc qualcuno da AGID può darci una risposta?

Grazie!


(Giancarlo Buzzi) #9

Buongiorno,
domanda:se al punto relativo alle installazioni automatiche delle patch di sicurezza si scrive il concetto espresso da @Alessandro_Carloni mettendo così in primis che “la funzionalità delle apparecchiature deve essere garantita tramite attestazione dell’amministratore della rete riguardo la compatibilità delle patch, prima della loro installazione” si arriva tranquillamente alla conclusione che “installazioni automatiche” cara Agid è meglio che le lasciamo perdere. Noi anche gli aggiornamenti automatici di W8 Pro e W10 Pro Non li lasciamo… Se le persone non possono più lavorare a causa di aggiornamenti automatici lo riteniamo molto grave e anche costoso. Gli interventi per ristabilire la continuità operativa a seguito di installazioni automatiche per esperienza sono molto più invasivi perché non ho ancora avuto esperienza di disinstallazioni automatiche, e quindi ho sempre dovuto mandare “l’omino” a togliere ciò che automaticamente ha bloccato l’operatività della pdl. Faccio in esempio: gli aggiornamenti automatici di Java !!!


(Alessandro Carloni) #10

Ma pensa appunto come possa rendere automatico un comune di, chessò, 5 dipendenti, l’installazione automatica delle patch di

  1. Java
  2. Adobe
  3. Flash
  4. Firefox
  5. Libreoffice

Mah…


(Giancarlo Buzzi) #11

Da spararsi per risolvere le conseguenze


(Alessandro Carloni) #12

Ma c’è qualcuno in agid che sappia dare una risposta ufficiale?

Qua sembra che AGID sia capace di dare ORDINI su cosa fare, ma non sappia prendersi la RESPONSABILITA’ di chiarire in caso di dubbi.

Agid per favore, smentiscimi!


(Alessandro) #13

Secondo me il problema del punto 4.5.1 si scompone in due parti, ed è questo che genera la confusione. I due processi distinti nella vita di un sistemista sono

  1. APPROVARE le patch
  2. INSTALLARE le patch

Solitamente in mezzo ci starebbe un “installare le patch in un ambiente di test”

Adesso, che Agid mi chieda di procede al punto 2 in maniera automatica, cioè di non dover girare computer per computer per fare aggiornamenti (cosa che comporta più che altro macchine non aggiornate per mesi nella migliore elle ipotesi), è cosa correttissima.
Ma il punto 1), cioè APPROVARE la patch automaticamente (cosa che si può fare con molti software), non è affatto consigliabile, anzi, direi dagli innumerevoli episodi capitati è proprio DEPRECABILE come suggerimento.
Poiché son certo che in Agid ci sono persone intelligenti e preparate, sono convinto che per “installare automaticamente” si intenda solo la parte 2) ma che la parte di APPROVAZIONE (seguita preferibilmente da quella di test) vada intesa come da fare come più ci piace, solitamente in maniera manuale appunto.

Non sono disponibile a fare in maniera diversa del resto, nessuna norma può essere superiore ad anni di best practices utilizzati in tutto il mondo, mica me lo sono inventato io di verificare cosa si approva scusate.
Poi è anche corretto e comprensibile suggerire di non far passare troppo tempo dal rilascio di una patch alla sua installazione, cioè non è nemmeno corretto che la patch che esce oggi io mi prendo la briga di approvarla tra due mesi, ma questo è un altro discorso che comunque non può obbligarmi a fare approvazioni automatiche.
Vado infine leggermente OT dicendo che però non bisogna neppure far passare le persone, ed in questo caso i sysadmin dei vari enti, per sciocche: le software house, per prime proprio alcune di carattere “nazionale”, ci obbligano ad avere vecchie versione di java, flash, sistema operativo ecc ecc. Non prendiamoci allora in giro dicendo all’ultima ruota del carro cosa deve fare (come non lo sapesse benissimo per altro), si può anche fare una carinissima norma nazionale, come quelle che obbligano i fornitori ad usare la fattura elettronica ad esempio, dicendo che i fornitori di software delle PA sono obbligati a rilasciare gli aggiornamenti dei loro software per essere compatibili con gli ultimi aggioranmenti dei sistemi operativi e software di appoggio (insomma, non mi si può dire nel 2017 che il software che mi dai gira solo con jvm 1.8 e testato solo su XP!). Se poi vogliamo aggiungere che non devono girare con diritti amministrativi allora sarebbe ancora meglio :wink: . Ma forse si fa prima a dettare obblighi al povero “ceddista” che a fare i conti con chi queste situazione le crea.

Buon lavoro a tutti


(Giovanni Caporale) #14

Automaticamente" non significa “appena vengono rilasciate dal produttore” ma “in modo che l’utente finale non possa impedirlo”.
Un periodo di staging e i test di compatibilità con la propria infrastruttura sono attività che di solito ogni Admin esegue e sono ovviamente ammesse.


(Alessandro Carloni) #15

Fantastico. Allora avevo capito giusto che si trattava di un automatico non automatizzato.

Visto che ci siamo, con prodotti come JAVA o Adobe reader per dire… come si risolve l’installazione automatica?

Grazie!


(Simone Piunno) #16

Ciao Alessandro

cosa ti impedisce di mettere questo vincolo nei capitolati delle gare quando compri il software?

Simone Piunno
Team per la Trasformazione Digitale


(Alessandro Carloni) #17

Temo che il problema si ponga quando il software già lo hai in produzione…


(Alessandro) #18

Certo che si può fare qualcosa, ma quando sei costretto ad usare software fatto da Sogei, offerto da un qualche Ministero, dall’inps ecc ecc, quello che hanno ti prendi, altrimenti fai a mano o in altri modi.
Inoltre capita anche che certe richieste il mercato non le soddisfi, non voglio entrare in particolari ma ho visto gare di appalto con tutti i partecipanti esclusi, e l’appaltante costretto a tenersi il vecchio software.
Sono tutto sommato ottimista per il futuro, ma credo che la realtà o la pratica se vogliamo, vada un po’ in conflitto con la teoria, soprattutto quando fai parte di una PA e anche per le piccole cose devi far partire un iter burocratico non indifferente e con il fiato della corte dei conti sul collo.


(Pietro Cristofoli) #19

Concordo. In occasione di tutti gli incontri a cui ho potuto partecipare (tra atenei e con AgID) è sempre emerso che il termine “automaticamente” fa riferimento alla necessità che gli aggiornamenti siano gestiti da amministratori di sistema, evitando che possa/debba farsene carico l’utente finale. Il rilascio, chiaramente, dovrebbe essere sempre testato in opportuni ambienti di prova (e le eccezioni documentate). In linea di principio … in certi ambiti è davvero difficile arginare deleghe e deroghe …