Как правильно патчить уязвимости в облаках на большом количестве серверов?
Сейчас все больше используются облака.
В облаках обычно используют текущие образы виртуальных или создаются с помощью packer.
В качестве configuration manager для выкатки на определенные виртуалки приложений чаще всего используется ansible или вообще ничего не используется (так как все настраивается с помощью packer и terraform)
Допустим появилась уязвимость типа Heartbleed или Shellshock.
Как вы будете обновлять ваш парк виртуальных машин?
P.S. У меня есть вариант, который я считаю, самым подходящим. Я его добавлю попозже. Хотелось бы увидеть ваши идеи.
Так а чем облака отличаются от физических машин или вообще рабочих станций пользователей с точки зрения системы обновления? Ну разве что большим количеством этих виртуалок, зато с меньшим количеством установленного софта на каждой. Ну а так составляете документ «политика обновлений», в котором все виртуалки разбиты на категории в зависимости от наличия потенциальных угроз и требованиям по доступности, для каждой категории пишутся свои сроки выполнения требований этой политики, на менее критичных виртуалках обкатываются обновлённые образы.
Единственно отличие от "старого" датацентра это относительно короткое время жизни мащин.
Так что, ИМХО, тот же ансибл, который строит список машин динамически.
