Buongiorno,
la misura 4.5.1 recita:
“Installare automaticamente le patch e gli aggiornamenti del software sia per il sistema operativo sia per le applicazioni.”
Il significato è quello che le patch devono installarsi AUTOMATICAMENTE senza intervento dell’uomo (quindi diciamo autonomamente) oppure che l’installazione deve avvenire in modo, diciamo agevole, dando una semplice conferma da parte dell’amministratore di sistema (vedi ad esempio WSUS sotto dominio Microsoft).
2 Mi Piace
Ciao Alessandro!
Ottima domanda, a cui provo a risponderti nel dettaglio:
-
Il rilascio di aggiornamenti ai client della propria rete attraverso WSUS (nel contesto Microsoft) è assolutamente l’approccio migliore. Conseguentemente, e probabilmente dico una cosa ovvia, ci aspettiamo che i client vengano configurati in modalità ‘applica automaticamente gli aggiornamenti disponibili’ a livello globale (eg. setting impostato a livello di AD).
-
Per quanto riguarda le macchine *nix, ci sono decisamente una serie di strade percorribili:
– Ubuntu/Debian: “unattended-upgrades”, vedi https://wiki.ubuntu.com/Security/Upgrades
– RHEL/CentOS: via “yum-plugin-security”, o Red Hat Satellite / Spacewalk ove disponibile
Personalmente ho sempre adottato l’approccio ansible/puppet/saltstack per fare il deploy degli aggiornamenti sulle mie infrastrutture (e relativo pinning alla specifica versione contenente le risoluzioni a determinati CVE), ma questo metodo non esclude l’altro.
Quindi, per quanto mi riguarda, installare automaticamente le patch puo’ essere fatto in diversi modi aventi tutti lo stesso fine - ottenere, nella maniera piu’ agevole e scalabile possibile, l’aggiornamento di tutti i client (sia per le componenti server che quelle legate agli applicativi sui client).
Gian
Grazie della risposta.
Tuttavia volevo avere più un chiarimento se AUTOMATICO si intende “in modalità autonoma/senza intervento umano”.
Io personalmente, se la visione è quella di un automatismo che fa il sistema in modo proprio, è una misura obbligatoria che mi fa rabbrividire.
Inoltre, WSUS esculso, come gestisci le patch di Java? di Acrobat? di firefox? ecc ecc…
1 Mi Piace
Per maggiore chiarezza, dato come presupporto il deploy degli aggiornamenti ai client windows tramite WSUS con i client configurati per effettuare l’aggiornamento automatico ad orari predefiniti, è possibile effettuare la sincronizzazione di wsus manualmente da parte di chi gestisce il sistema ?
Se non dico fesserie, gli aggiornamenti in WSUS vanno approvati prima che siano distributi.
Ad ogni modo fai attenzione che WSUS è solo una punta dell’interno iceberg degli aggiornamenti.
Così, giusto per dire quanto è seria l’installazione delle patch automatiche, mi hanno appena riferito che l’update KB4048954 blocca alcune stampanti ad aghi (epson LQ-2190 nel caso) e quindi le carta d’identità non si potevano fare…si certo, potevano scriverle a mano. 
@Alessandro_Carloni stiamo dicendo esattamente la stessa cosa. Gli aggiornamenti andrebbero in primis testati dai sistemisti e poi distribuiti a tutti i client e server tramite approvazione.
Concordiamo.
Peccato la norma “SEMBRA” dire altro…
Toc Toc qualcuno da AGID può darci una risposta?
Grazie!
Buongiorno,
domanda:se al punto relativo alle installazioni automatiche delle patch di sicurezza si scrive il concetto espresso da @Alessandro_Carloni mettendo così in primis che “la funzionalità delle apparecchiature deve essere garantita tramite attestazione dell’amministratore della rete riguardo la compatibilità delle patch, prima della loro installazione” si arriva tranquillamente alla conclusione che “installazioni automatiche” cara Agid è meglio che le lasciamo perdere. Noi anche gli aggiornamenti automatici di W8 Pro e W10 Pro Non li lasciamo… Se le persone non possono più lavorare a causa di aggiornamenti automatici lo riteniamo molto grave e anche costoso. Gli interventi per ristabilire la continuità operativa a seguito di installazioni automatiche per esperienza sono molto più invasivi perché non ho ancora avuto esperienza di disinstallazioni automatiche, e quindi ho sempre dovuto mandare “l’omino” a togliere ciò che automaticamente ha bloccato l’operatività della pdl. Faccio in esempio: gli aggiornamenti automatici di Java !!!
Ma pensa appunto come possa rendere automatico un comune di, chessò, 5 dipendenti, l’installazione automatica delle patch di
- Java
- Adobe
- Flash
- Firefox
- Libreoffice
- …
Mah…
Da spararsi per risolvere le conseguenze
Ma c’è qualcuno in agid che sappia dare una risposta ufficiale?
Qua sembra che AGID sia capace di dare ORDINI su cosa fare, ma non sappia prendersi la RESPONSABILITA’ di chiarire in caso di dubbi.
Agid per favore, smentiscimi!
2 Mi Piace
Secondo me il problema del punto 4.5.1 si scompone in due parti, ed è questo che genera la confusione. I due processi distinti nella vita di un sistemista sono
- APPROVARE le patch
- INSTALLARE le patch
Solitamente in mezzo ci starebbe un “installare le patch in un ambiente di test”
Adesso, che Agid mi chieda di procede al punto 2 in maniera automatica, cioè di non dover girare computer per computer per fare aggiornamenti (cosa che comporta più che altro macchine non aggiornate per mesi nella migliore elle ipotesi), è cosa correttissima.
Ma il punto 1), cioè APPROVARE la patch automaticamente (cosa che si può fare con molti software), non è affatto consigliabile, anzi, direi dagli innumerevoli episodi capitati è proprio DEPRECABILE come suggerimento.
Poiché son certo che in Agid ci sono persone intelligenti e preparate, sono convinto che per “installare automaticamente” si intenda solo la parte 2) ma che la parte di APPROVAZIONE (seguita preferibilmente da quella di test) vada intesa come da fare come più ci piace, solitamente in maniera manuale appunto.
Non sono disponibile a fare in maniera diversa del resto, nessuna norma può essere superiore ad anni di best practices utilizzati in tutto il mondo, mica me lo sono inventato io di verificare cosa si approva scusate.
Poi è anche corretto e comprensibile suggerire di non far passare troppo tempo dal rilascio di una patch alla sua installazione, cioè non è nemmeno corretto che la patch che esce oggi io mi prendo la briga di approvarla tra due mesi, ma questo è un altro discorso che comunque non può obbligarmi a fare approvazioni automatiche.
Vado infine leggermente OT dicendo che però non bisogna neppure far passare le persone, ed in questo caso i sysadmin dei vari enti, per sciocche: le software house, per prime proprio alcune di carattere “nazionale”, ci obbligano ad avere vecchie versione di java, flash, sistema operativo ecc ecc. Non prendiamoci allora in giro dicendo all’ultima ruota del carro cosa deve fare (come non lo sapesse benissimo per altro), si può anche fare una carinissima norma nazionale, come quelle che obbligano i fornitori ad usare la fattura elettronica ad esempio, dicendo che i fornitori di software delle PA sono obbligati a rilasciare gli aggiornamenti dei loro software per essere compatibili con gli ultimi aggioranmenti dei sistemi operativi e software di appoggio (insomma, non mi si può dire nel 2017 che il software che mi dai gira solo con jvm 1.8 e testato solo su XP!). Se poi vogliamo aggiungere che non devono girare con diritti amministrativi allora sarebbe ancora meglio 
. Ma forse si fa prima a dettare obblighi al povero “ceddista” che a fare i conti con chi queste situazione le crea.
Buon lavoro a tutti
Automaticamente" non significa “appena vengono rilasciate dal produttore” ma “in modo che l’utente finale non possa impedirlo”.
Un periodo di staging e i test di compatibilità con la propria infrastruttura sono attività che di solito ogni Admin esegue e sono ovviamente ammesse.
1 Mi Piace
Fantastico. Allora avevo capito giusto che si trattava di un automatico non automatizzato.
Visto che ci siamo, con prodotti come JAVA o Adobe reader per dire… come si risolve l’installazione automatica?
Grazie!
Ciao Alessandro
cosa ti impedisce di mettere questo vincolo nei capitolati delle gare quando compri il software?
Simone Piunno
Team per la Trasformazione Digitale
Temo che il problema si ponga quando il software già lo hai in produzione…
Certo che si può fare qualcosa, ma quando sei costretto ad usare software fatto da Sogei, offerto da un qualche Ministero, dall’inps ecc ecc, quello che hanno ti prendi, altrimenti fai a mano o in altri modi.
Inoltre capita anche che certe richieste il mercato non le soddisfi, non voglio entrare in particolari ma ho visto gare di appalto con tutti i partecipanti esclusi, e l’appaltante costretto a tenersi il vecchio software.
Sono tutto sommato ottimista per il futuro, ma credo che la realtà o la pratica se vogliamo, vada un po’ in conflitto con la teoria, soprattutto quando fai parte di una PA e anche per le piccole cose devi far partire un iter burocratico non indifferente e con il fiato della corte dei conti sul collo.
Concordo. In occasione di tutti gli incontri a cui ho potuto partecipare (tra atenei e con AgID) è sempre emerso che il termine “automaticamente” fa riferimento alla necessità che gli aggiornamenti siano gestiti da amministratori di sistema, evitando che possa/debba farsene carico l’utente finale. Il rilascio, chiaramente, dovrebbe essere sempre testato in opportuni ambienti di prova (e le eccezioni documentate). In linea di principio … in certi ambiti è davvero difficile arginare deleghe e deroghe …