01. 场景简述
采用WeOps补丁安装模块,将原本纯手工进行的补丁更新工作,转变成全过程自动化,提效50%;并且,将补丁更新频率从每季度一次,提升为每月一次;紧急情况下,还可满足即时批量处理补丁的诉求。
02. 故事背景
由于内部监管要求,该公司对于评级高的安全漏洞需要尽快处理。内部有上百台Windows Server系统, 主要通过人工方式完成补丁更新。由于Windows Server 安全漏洞出现频次高、修复过程繁琐,每打一次补丁,至少要安排2人、投入1个星期时间才能完成。而且通常要求在晚上20点后才能开始,熬夜通宵是常有的事。 尤其是在“护网”、“等保”等特殊时期,简直是运维部门的噩梦,没有一天可以消停。
每台补丁安装的步骤多达十多个,手工操作很难多台并行,单是登录和注销这100多台系统都得花费不少时间。以现有的人力和效率,只能实现季度频次更新,勉强达到监管要求,且运维人员极其辛苦。
03. 临时解决方案
部署微软WSUS服务器,定期从微软上游同步最新补丁。根据实际需求,分批次对目标服务器推送补丁。
方案效果:对运维的帮助“杯水车薪”
- WSUS补丁推送策略分“自动下载手动安装”和“自动下载自动安装”两种,其中,“自动下载自动安装”可能导致服务器自动重启,因安全风险考虑已被禁用;
- 微软月度汇总补丁文件通常超过1GB,受限于网络带宽影响,补丁分发速度慢,经常发生变更前还未下载完补丁的情况,还是得人工上传;
- 补丁安装、重启、拉起服务、业务检查及进度汇总等环节都需要人工逐台完成,在效率上并没有实质的提升;
04. WeOps应对及效果
用WeOps补丁安装+自动化工具,实现补丁更新全流程自动化
- 通过任务编排,将原本全手动的补丁更新的流程,尽可能变成自动化操作,其中,定制了 “系统重启”和“应用服务拉起”的自动化流程。
- 分批次创建对应的补丁安装任务,上传对应的补丁文件,选择目标服务器,批量完成补丁推送及安装等;
- 每个任务执行成功后,即时生成补丁更新情况的报告,并发送至对应的应用负责人。
WeOps补丁安装实现效果:
- WeOps采用BT协议传输,对目标服务器完成补丁文件的分发,一般不超过2分钟,并且自动校验补丁文件的完整性。
- 从“文件分发->补丁安装->补丁重启->拉起服务->报表汇总”全过程自动化完成,从原来逐台登录安装补丁,到1个人可以同时进行数十台补丁安装的操作。针对全量的补丁修复,只需1人,在5个工作日,通过3个批次推送即可,即每次修复至少节约7人/天。
- 针对Windows Server 漏洞修复的频率,也从原来的每季度一次提升到每月一次。紧急情况下,可满足即时批量处理补丁的诉求。
05 场景适用性
该补丁安装场景,对于有合规或监管要求的客户特别适用,例如基金公司,大型制造业等企业。高效的补丁安装过程,释放运维工程师的精力完成更有价值的工作。
