Wie MSSPs ihren Patching-Ansatz umkrempeln können
Um organisatorische Anforderungen, Compliance-Mandate und gesetzliche Vorschriften zu erfüllen, steht Managed Security Service Providern (MSSPs) ein Ansatz für das Patchen von Schwachstellen zur Verfügung, den sie vielleicht noch nicht in Betracht gezogen haben - das so genannte Live-Patching.
Live-Patching ist eine Methode zur Bereitstellung von CVE-Patches für Linux, ohne dass Systeme neu gestartet oder Wartungsfenster geplant werden müssen. Dabei wird jeder Patch auf einen laufenden Linux-Kernel angewendet, so dass Unternehmen ihre Ausfallzeiten minimieren und dennoch die neuesten Sicherheitsupdates erhalten können.
In diesem Blogbeitrag wird erörtert, wie MSSPs die Vorteile von Live-Patching-Lösungen nutzen können und wie diese Art von Ansatz in ihr Geschäftsmodell passt.
Warum beauftragen Unternehmen MSSPs?
MSSPs bieten kleinen und großen Kunden Dienstleistungen im Bereich der Informationstechnologie an, um ihre Compliance- und SecOps-Teams zu verstärken. Diese Dienstleister entwickeln, verwalten und bieten ganzjährig und rund um die Uhr Support, um das Computernetzwerk, den Host und die Endpunkte des Kunden vor Eindringlingen zu schützen.
Bei der Verhinderung von Cyberangriffen unterstützen diese Anbieter ihre Kunden bei der Senkung der Composite Scores für das operative Risikomanagement. Sie helfen auch bei der Entwicklung, Überwachung und Pflege des Compliance-Programms des Unternehmens.
Hier sind einige der Vorteile, die MSSPs ihren Kunden in Bezug auf ihre gesamte IT-Struktur bieten:
- MSSP-Überwachungssysteme stellen sicher, dass Sicherheitsgeräte und -systeme optimal funktionieren, um das Eindringen von internen und externen Bedrohungen in die Angriffsfläche zu verhindern.
- MSSPs installieren und überwachen Sicherheitssoftware, führen Live-Patches durch und analysieren Sicherheitsereignisse und Berichte.
Viele kleine und mittelständische Unternehmen besitzen keine eigenen Rechenzentren. Die meisten Unternehmen verlassen sich bei der Überwachung ihrer Systeme auf cloudbasierte gehostete Anwendungen, SaaS-Anwendungen und verwaltete Sicherheitsdienste. MSSPs helfen diesen Unternehmen, sich durch verschiedene Patching-Angebote vor Cyberangriffen und Compliance-Vorgaben zu schützen.
Mehrmandantenfähige Live-Patching-Architektur
MSSPs entwickeln ihre mandantenfähigen Angebote so, dass sie kosteneffizient, sicher und widerstandsfähig gegenüber ihren Kunden sind. Für das mandantenfähige Live-Patching gibt es drei verschiedene Designangebote:
- Dedizierte
- Isoliert
- Gemeinsame
Jedes dieser Angebote bietet Kosten- und Sicherheitsschutzoptionen für ihre Kunden:
- Eine dedizierte Hosting-Option ist eine Single-Tenant-Instanz für einen bestimmten Kunden mit hochsicherem Schutz, um die Compliance-Anforderungen zu erfüllen.
- Isolation Tenancy ist eine kosteneffiziente und dennoch hochsichere Option, die eine vollständige Trennung zwischen der Daten- und der Steuerungsebene innerhalb des mehrschichtigen Designs nutzt. Das MSSP ermöglicht eine gemeinsame Dienstebene oder Steuerungsebene zur Unterstützung verschiedener Clients. Die Datenebene ist jedoch für jeden Kunden vollständig isoliert.
- Eine Shared Tenancy ist eine kostengünstige Option mit einer gemeinsam genutzten Steuerungsebene und einem gemeinsam genutzten Datenebenenmodell. Diese Bereitstellungsoption ist der Standard für Kunden, die das MSSP für nicht produktive oder nicht konforme Datenschutzanforderungen nutzen.
Das dedizierte Modell ist sowohl für den Anbieter als auch für den Kunden am teuersten. Das Isolationsmodell bietet eine gewisse Größenvorteile, indem es eine bessere Bruttomarge erzielt und den Kunden eine sichere Instanz bietet.
Mehrstufiges Live-Patching
Wie passt nun Live-Patching, also automatisiertes und rebootloses Schwachstellen-Patching, in das MSSP-Bild?
Mit der Live-Patching-Lösung von TuxCare können Anbieter separate Instanzen des TuxCare ePortals erstellen, um Live-Patching für jedes System ihrer Kunden bereitzustellen. Jeder Mandant hat seine eigenen Richtlinien für Live-Patching, die von den anderen isoliert sind, und Zugang zu Compliance- und Risikoberichten.
Diese Strategie unterstützt die Trennung der Kundendaten, um die Compliance-Vorgaben des jeweiligen Kunden zu erfüllen. Diese Bereitstellungsmethode wird häufig bei Kunden in regulierten Umgebungen eingesetzt, die eine geschlossene Air-Gap-Bereitstellung erfordern. Sie ist ideal für Staging- und Produktionsumgebungen, die strikt von externen Netzwerken isoliert werden müssen oder die eine strengere Kontrolle über die einzusetzenden Patches erfordern.
Live-Patching auf die TuxCare-Art
MSSPs und Applikations-Hosting-Anbieter können mit TuxCare eine mehrstufige Strategie für Live-Updates umsetzen und so die Sicherheit bieten, die ihre Kunden erwarten - mit der zusätzlichen Effizienz und Flexibilität einer Live-Patching-Lösung, die mit allen gängigen Linux-Distributionen kompatibel ist.
TuxCare bietet einwandfreie Interoperabilität mit Schwachstellen-Scans, Sicherheitssensoren, Automatisierung, Integration in Schwachstellen-Management-Prozesse, Reporting-Tools und unsere ePortal Patch Deployment Management-Plattform. Dieser dedizierte private Patch-Server läuft innerhalb Ihrer Firewall vor Ort oder in der Cloud.
Außerdem ist TuxCare der einzige Anbieter, der Sicherheitslücken in Kerneln, Shared Libraries, Virtualisierungsplattformen und Open-Source-Datenbanken aller gängigen Linux-Distributionen für Unternehmen patcht.
Möchten Sie mit einem Linux-Patching-Experten sprechen, um zu erfahren, wie die Einführung eines Live-Patching-Ansatzes die betriebliche Effizienz Ihres Unternehmens verbessern kann?
Kontakt zu einem TuxCare-Experten