Warum es wichtig ist, Betriebssysteme Up to Date zu halten

Upgraden oder nicht upgraden – das ist die Frage. Jeder IT-Administrator weiß, dass ein Upgrade von Infrastruktur-Elementen keine triviale Angelegenheit ist. Die Aufgabe verschlingt Zeit, erfordert Planung, bedeutet Überstunden und schlägt manchmal auf den Geschäftsbetrieb durch. Und wohl jeder hat schon erlebt, wie sich ein „Upgrade“ am Ende als „Downgrade“ für die täglich benötigte Funktionalität entpuppt hat.

Aber da Softwarefehler, aufgedeckte Schwachstellen und erhöhter Leistungsbedarf weiterhin die Business-IT beeinflussen, wirft das Auslassen von Upgrades mehr Probleme denn je auf. In früheren Zeiten haben sich Unternehmen manchmal wenig Gedanken darum gemacht, hier und da eine Runde im Updateprozess zu überspringen. Heute müssen sie bei jeder anstehenden Aufrüstung sorgfältig die Kosten abwägen, die entweder durch das Upgrade entstehen – oder gerade dadurch, es zu ignorieren. Diese Berechnungen müssen angestellt werden, auch wenn sie genau wissen, dass sie nur selten alle Folgekosten vorab einschätzen können. Man darf ergänzen, dass das Auslassen von Upgrades generell wohl selten oder besser nie ein Weg ist, der zu mehr Innovationen und Geschäftserfolg führt.

Viele Anbieter von Netzwerk-Equipment entwickeln neue Softwarefunktionen, um ihre Produkte voranzutreiben. Dabei haben sie meist mehrere der folgenden Aspekte im Blick, um die bestmöglichen Releases zu liefern:

  • Innovative neue oder verbesserte Funktionen
  • Unterstützung für neue oder weiterentwickelte Protokolle
  • Integration von Third-Party-Lösungen
  • Die Systemsicherheit
  • Funktionsanfragen, kunden- oder branchenspezifisch Bei F5 engagieren sich das Produktmanagement und die Entwickler immer wieder extrem, wenn neue BIG-IP-Software-Releases geplant werden , denn sie müssen dem Kundenbedarf in Sachen Infrastruktur und den Anforderungen der Applikationen gerecht werden, während gleichzeitig die Sicherheit an erster Stelle steht. Das Ausbalancieren von Innovation und Integration mit Sicherheitsanforderungen hat sich aufgrund des kontinuierlichen Anstiegs von Hacking-Aktivitäten und Cyber-Angriffen zur unumgänglichen Vorbedingung aller Arbeiten am Produkt entwickelt. Dabei steigt die Komplexität noch dadurch, dass Kunden oder bestimmte Branchen Modifikationen oder spezielle Versionen von Produkten anfragen, die ihren Bedarf passgenauer erfüllen sollen. Diese „Requests for Enhancement“ (RFE) sind wichtig, um Wünsche von Kunden oder aus besonderen Marksegmenten erfüllen zu können.

BIG-IP v12.1 – warum upgraden?

Am 19. Mai hat F5 BIG-IP v12.1 herausgebracht. Diese neue Softwareversion macht die Entscheidung, ob man upgraden soll, recht einfach. Erstens ist die Version 12.1 ein gehärtetes, auf einen langen Wartungszeitraum ausgelegtes Release, auf dessen Support und Versorgung mit Hot Fixes sich Organisationen für die nächsten fünf Jahre verlassen können.

Zweitens bringt die Version bedeutende neue Funktionen mit, die Unternehmen den Weg in die Zukunft ebnen. In den folgenden Abschnitten finden Sie eine Auswahl neuer Fähigkeiten von BIG-IP v12.1, die wichtig sind, um die Innovation in der IT voranzutreiben:

BIG-IP Core

BIG-IP v12.1 umfasst eine aktualisierte Applikation für Local Traffic Policies, die Ihnen das Management des Netzwerkverkehrs erleichtert. „Local Traffic Policies“ bei BIG-IP sind einfache, priorisierte Listen von Regeln, auf deren Basis definierte Bedingungen durchgesetzt und spezifische Aktionen ausgeführt werden, um ihren Traffic in die gewünschten Bahnen zu lenken. F5 hat die Local Traffic Policies hinsichtlich Performance und einfacher Anwendung optimiert.

Ein weiterer guter Grund für das Upgrade ist die erweiterte Programmierbarkeit von Core Services, die durch iRules LX unterstützt werden. Mit BIG-IP v12.1 macht F5 den Einsatz von Node.js-Packages (250.000 Libraries) in Verbindung mit TCL (Tool Command Language) möglich. JavaScript-Programmierer können somit iRules LX dazu nutzen, erprobte und wiederverwendbare Node.js-Libraries zu integrieren. Das Ergebnis sind neue, höchst wirkungsvolle Methoden, Traffic zu manipulieren und zu dirigieren.

Public und Private Cloud

BIG-IP v12.1 baut außerdem in signifikantem Maße darauf, dass F5 die Integration von Public Clouds unterstützt. Die F5-Web-Application-Firewall-(WAF-) Funktionen unterstützen nun die Zusammenarbeit mit dem Microsoft Azure Security Center, das Ziel ist hierbei, kritische Business-Anwendungen schneller installieren und schützen zu können. Ferner wurde die Unterstützung der Amazon Web Services erweitert, um mit Stateful Failover und VE-Auto-Scaling höhere Zuverlässigkeit und Skalierbarkeit bieten zu können.

Ein weiterer Aspekt der Cloud-Integration ist ein erweiterter OpenStack-Support. BIG-IP v12.1 ermöglicht OpenStack-gestützte Orchestrierung durch LBaaS-Plug-Ins, Heat-Orchestration-Templates und Integration der Lösungen zertifizierter Partner. Die OpenStack-Integration ist die Basis für höhere Agilität und geringere Vorlaufzeiten aufgrund eines automatisierten Deployments von umfassenden L4-L7 App-Services.

Sicherheit

Der BIG-IP Application Security Manager (ASM) von F5 stellt WAF-Funktionen zur Verfügung und wurde um zwei einzigartige Fähigkeiten ergänzt. Er bietet nun Analysefunktionen und Schutz für WebSocket-gestützte Streaming-Data-Feeds, um Datendiebstähle und Angriffe abzuwehren. F5 ist der erste und einzige WAF-Anbieter, der einen starken Schutz für Web-Socket-Flows bieten kann.

Die zweite Verbesserung ist eine tiefer ansetzende Identifikation und intensiveres Tracking von Geräten im Netzwerk, von denen Angriffe ausgehen. ASM spürt eindeutige Footprints von Client-Apps über mehrfache Requests auf, um besseren Schutz gegen Bedrohungen wie Web Scraping, volumetrisches L7DoS und Brute-Force-Login zu bieten. Diese Fähigkeit zum intensiveren Device-Tracking steigert außerdem die Session Awareness und hilft beim Policy-Builder-Trust-Scoring. Darüber hinaus unterstützt sie auf einzigartige Weise die Prävention von Session Hijacking. Keine andere WAF-Lösung hat ein derart ausgereiftes Device-ID-Tracking zu bieten, das einem für schädliche Zwecke gekaperten Server oder Device während einer Attacke folgt.

Der BIG-IP Advanced Firewall Manager (AFM) von F5 wurde ebenfalls um einige einzigartige Services weiterentwickelt. Hinzugekommen ist ein SSH Channel Proxy, der Zugriffe über Backdoors verhindern soll. Administratoren können den AFM auf einfache Weise so konfigurieren, dass er SSH-Proxy-Filter-Kommandos ausführt und Requests auf der Basis von User-Kennung oder Gruppenzugehörigkeit blockiert oder zulässt. Somit schützt AFM vor nicht authorisierten Zugriffen auf Systeme und Ressourcen und verhindert die Verbreitung von Malware im Rechenzentrum.

Eine weitere Ergänzung im AFM ist eine Reduzierung der Angriffsfläche mit einer Schutzfunktion gegen Applikationen, die auf immer neue Ports ausweichen – so wie Instant Messaging, P2P und Programme, die nicht zugelassene Netzwerk-Tunnel nutzen. Die weiter verbesserten Fähigkeiten des AFM unterscheiden, welche Layer-7-Protokolle für welche Zielports zugelassen sind. Außerdem überwacht das System die Port-Nutzung und weist auf notwendige Aktionen hin, wenn ein Missbrauch von Ports festgestellt wird. AFM erzeugt weniger Overhead als Produkte des Mitbewerbs und ist leicht zu konfigurieren – er setzt dazu auf eine Port-Missbrauchs-Policy, die sich an Sicherheitsrichtlinien koppelt, welche die zu erwartenden Layer-7-Protokolle definieren. AFM erkennt auf dieser Basis Unstimmigkeiten und Logging-/Dropping-Diskrepanzen.

Der im AFM integrierte DDoS-Schutz wurde in Version 12.1 ebenfalls ausgebaut. DDoS-Einstellungen lassen sich einfacher und mit größerer Genauigkeit vornehmen, außerdem steht jetzt Auto-Learning von DDoS-Schwellenwerten auf der Basis von globalen DoS-Vektoren zur Verfügung. Die Einstellung der Schwellenwerte orientiert sich an historischen, über einen längeren Zeitraum ermittelten Traffic-Mustern, die auch nach einem Reboot noch zur Verfügung stehen.

Um das Upgrade auf BIG-IP v12.1 und zukünftige Releases zu erleichtern, hat F5 den BIG-IP Upgrade Advisor entwickelt. Dieses Tool wurde dazu entworfen, potenzielle Probleme zu ermitteln, die BIG-IP-Upgrades beeinflussen könnten – das hilft Administratoren zu entscheiden, wann und wie sie ihre Aufrüstungen vornehmen. Der Upgrade Advisor stützt sich auf BIG-IP iHealth-Daten und liefert den IT-Teams Hinweise, die die aktuelle Softwareversion und die geplante Upgrade-Version jedes spezifischen BIG-IP-Systems berücksichtigen.

Upgrade Advisor ist eine sich kontinuierlich weiterentwickelnde Anwendung – wenn Sie eine Analyse starten, werden Sie deshalb wahrnehmen, dass sich die Ergebnisse mit der Zeit verändern, wenn das System immer weitere Informationen erhebt. Die Applikation baut eine umfangreiche Wissensbasis auf, die kommende Upgrades noch leichter macht, denn das System kann mögliche Problemquellen mit der Zeit immer besser lokalisieren.

Am Ende des Tages lautet die Frage also nicht mehr: „Upgraden oder nicht?“, sondern eher: „Innovativ sein oder nicht“. Netzwerk-Infrastruktur, die nicht auf der Höhe der Zeit ist, kann Innovation in einer Organisation ersticken.

Wenn Sie mehr über das BIG-IP-release v12.1, die Verbesserungen der F5-Security-Applikations-Module und iRules LX herausfinden möchten, finden Sie weitere Informationen hier:

Published Jun 27, 2016
Version 1.0
  • 12.1 bietet in der Tat eine Vielzahl interessanter Neuerungen, und ich bin mir sicher, dass es mittelfristig ein gutes long term support Release wird. Jetzt wäre es allerdings schön, wenn auch die Kinderkrankheiten ausgemerzt werden würden. Aktuell empfiehlt z.B. selbst der f5 support, die 12.1 nicht auf vCMP-enabled Viprions einzusetzen. Siehe hierzu u.a. folgenden Thread auf devcentral: https://devcentral.f5.com/questions/do-not-upgrade-vcmp-to-v121-47073. In diesem Kontext erscheint mir eine generelle Upgrade Empfehlung ehrlich gesagt als etwas verfrüht und der Satz "Diese neue Softwareversion macht die Entscheidung, ob man upgraden soll, recht einfach" bekommt eine leicht veränderte Bedeutung...