Patch Management

소프트웨어 업데이트 또는 패치 관리는 Windows계열, Unix 계열으로 구분하여 대응이 필요합니다.

Windows 계열 OS인 경우 WSUS등이 우선 검토 대상입니다.

patch management가 중요하면서도 어려운 이유중 하나는

LAN구간의 서버들은 외부 인터넷과의 직접 접근이 엄격히 제한되는데
자동 패치를 위하여 서버들이 인터넷에 통상 접근하여 업데이트하는 방식과 상충됩니다.

DMZ구간등 외부 인터넷과 접근이 가능한 네트웍에 자동 업데이트를 위한 서버를 별도 운영할 필요성이 있습니다.

다행히 WSUS등은 그러한 요건에 대응이 됩니다.

Linux의 경우 YUM등을 통한 update를 하게 되는데
local server를 update server로 지정하여 처리하는 자동화된 방식에 있는지는
시간상 자세히 찾아보지 못하였습니다.

PCI DSS에서의 Requirement는 30일 이내에 업데이트하라는 것이며 Manual로 정기점검시 처리할수도 있습니다.
Linux의 update server 구성에 대해서는 코멘트 남겨주시면 확인후 반영하겠습니다.

GFI LANguard같은 제품이 windows OS auto update기능을 제공하기는 하는데 이 역시 internet access가 필요하여 사용에 제한이 있습니다.