Patchbeleid

[Plastic]

Ik zit met een opdracht over patchbeleid dat ik niet uitkomt de opdracht luidt zo:

Als een bank een doelstelling heeft om binnen een aantal maanden live te gaan met een Internetdienst. Deze dienst wordt technisch geïmplementeerd met een web-server, een applicatieserver eneen databaseserver. De web-server is geplaatst op een DMZ en de andere servers staan op het interne netwerk van de bank. Er wordt een stateful inspection firewall gebruikt voor de scheiding van het Internet, DMZ en interne netwerk.

hoe zou zo'n patchbeleid er uit moet zien voor de web-server, de firewall en de database-server.

verder aangeven hoe:
- hoe snel patches moeten worden geïmplementeerd
- hoe uitvoerig een patch getest moet worden.

als antwoord had ik dit gegeven:

Patchen van firewall kan direct gebeuren als een patch uitkomt. Eerst testen van de patch hoef niet gedaan te worden omdat deze al voor het uitbrengen van een patch hevig getest wordt.

Voordat het patchen van database server gebeurt, moet er eerst worden gekeken wat de patch doet. Deze dient te worden gedaan door een professionele database beheerder. Het kan dus zijn dat er een aantal aanpassingen gedaan moet worden in de database zelf.

Hetzelfde geld voor het patchen van de webserver.

probleem is dat ik niet veel inzicht heb hoe zo;n patchbeleid wordt uitgevoerd zouden jullie mij misschien kunnen helpden aub.

 

[killermenace]

Wat heb je zelf al gedaan om er achter te komen wat het is?
Wat begrijp je precies niet?

Ten eerste kan je eens google proberen.
En deze ook graag even lezen

 

[The Doctor]

Patches van de firewall krijg je rechtstreeks van de manufacturer aangezien je het produkt van hun hebt en dat ondersteunt wordt. Ook op hun site kun je patches vinden.
Ik patch echter nooit een firewall, tenzij er problemen zijn (never fix it, if it aint broken).

De web-server moet wel bijgehouden worden (ik neem aan dat het een W2K3 is). Gebruik hiervoor NOOIT windows updates. De patches die op de server geïnstalleerd worden, moet eerst uitvoerig getest worden (door admin en webadmin). Windows heeft hiervoor de WSUS, wat heel veel gebruikt wordt. Maar je kan natuurlijk ook altiris, LANdesk of iets dergelijks gebruiken.
De database server staat achter de firewall en niet in de DMZ dus is het hier ook van minder crusiaal belang. Normaal gezien worden de servers wel gepatcht, maar niet zo dringend als de webserver (ook eerst uitvoerig testen).
Om te kunnen testen heb je idealiter een test omgeving die precies hetzelfde is als de produktieomgeving (nog maar eens een goed voorbeeld voor virtualisation )

Hiermee zou je toch ten minste aan de slag kunnen.
Ik heb de indruk dat je niet alleen erover moet vertellen, maar een heus patch beleid uitwerken (met workflow, responsibility, schedules, ..., ...)