Как правильно патчить уязвимости в облаках на большом количестве серверов?

Question

[Антон Пацев]

Сейчас все больше используются облака.
В облаках обычно используют текущие образы виртуальных или создаются с помощью packer.
В качестве configuration manager для выкатки на определенные виртуалки приложений чаще всего используется ansible или вообще ничего не используется (так как все настраивается с помощью packer и terraform)
Допустим появилась уязвимость типа Heartbleed или Shellshock.
Как вы будете обновлять ваш парк виртуальных машин?

P.S. У меня есть вариант, который я считаю, самым подходящим. Я его добавлю попозже. Хотелось бы увидеть ваши идеи.

Comments

[Валентин]

Так а чем облака отличаются от физических машин или вообще рабочих станций пользователей с точки зрения системы обновления? Ну разве что большим количеством этих виртуалок, зато с меньшим количеством установленного софта на каждой. Ну а так составляете документ «политика обновлений», в котором все виртуалки разбиты на категории в зависимости от наличия потенциальных угроз и требованиям по доступности, для каждой категории пишутся свои сроки выполнения требований этой политики, на менее критичных виртуалках обкатываются обновлённые образы.

Answer 1

[Vitaly Karasik]

Единственно отличие от "старого" датацентра это относительно короткое время жизни мащин.
Так что, ИМХО, тот же ансибл, который строит список машин динамически.