Upgrade einer Air Gap Private Cloud für sichere Endgeräte mit USB-Massenspeichergerät

Einleitung

In diesem Dokument wird eine schrittweise Anleitung für das Software-Upgrade in einer Secure Endpoint Private Cloud mit USB-Massenspeicher beschrieben.

Problem

In hochsicheren Umgebungen sind Air-Gap Appliances unverzichtbar, um vertrauliche Daten und Systeme vor externen Bedrohungen zu schützen. Diese Appliances werden ohne Netzwerkverbindung betrieben und stellen sicher, dass keine direkte oder indirekte Kommunikation mit nicht vertrauenswürdigen Netzwerken stattfindet. Diese Isolierung bietet zwar ein hohes Maß an Sicherheit, bringt jedoch auch erhebliche Herausforderungen hinsichtlich der Wartung und Aktualisierung der Software der Appliance mit sich.

Das Hauptproblem besteht in der effektiven und sicheren Aktualisierung Air-Gap-Appliances, ohne deren isolierten Status oder Sicherheitsstatus zu gefährden. Herkömmliche Aktualisierungsmethoden, die häufig auf Netzwerkverbindungen basieren, sind in diesen Szenarien nicht anwendbar. Daher müssen Unternehmen alternative Methoden finden, um Updates bereitzustellen, die Einhaltung von Sicherheitsstandards sicherzustellen und Ausfallzeiten während des Upgrade-Prozesses zu minimieren.

Um diese Herausforderungen zu bewältigen, ist ein klar definierter, sicherer und effizienter Aktualisierungsmechanismus erforderlich, der auf die besonderen Einschränkungen von Umgebungen mit großen Sicherheitslücken zugeschnitten ist. In diesem Zusammenhang stellen die Updates über USB-Massenspeicher eine praktikable Lösung dar, die die Verwaltbarkeit und Sicherheit der Aufrüstung Air-Gap-fähiger Appliances verbessern kann.

Lösung

1. Laden Sie amp-sync-Anwendung von OPadmin-Portal > Operations > Update Device > Download amp-sync herunter.

Tipp: Wenn Sie diese Meldung sehen: "This Private Cloud device includes a Protect DB snapshot. Es wird empfohlen, amp-sync mit den Optionen -X und -M 20230821-1604 auszuführen, um Bandbreite zu sparen" fügen Sie diese Attribute am Ende des Befehls amp-sync hinzu, z. B. amp-sync all -X -M 20230821-1604.

2. Kopieren Sie amp-sync auf einen Linux-basierten Computer und fügen Sie ausführbare Berechtigungen hinzu. Legen Sie es in den Ordner, den Sie genug Platz (über 300 GB für die gesamte Datenbank).

3. Es gibt zwei Optionen, um amp-sync auszuführen:

a. als Hauptprozess:

amp-sync all

b. im Hintergrund:

nohup amp-sync all &

, damit sie auch dann ausgeführt werden kann, wenn die Verbindung zur SSH-Sitzung unterbrochen wird. Dies ist nützlich, wenn der gesamte Download mehrere Stunden dauert. Sie können mit dem folgenden Befehl in den aktuellen Status einsehen:

tail -f nohup.out

4. Kopieren Sie das ISO-Image auf den Computer, an den Sie Ihren USB-Massenspeicher angeschlossen haben.

5. Kopieren Sie das ISO-Image auf den USB-Speicher.

Achtung: USB-Massenspeicher muss im ext2-, ext3-, ext4- oder XFS-Format formatiert sein. exFAT und NTFS werden nicht unterstützt. FAT32, obwohl auf beiden Plattformen unterstützt, hat die Einschränkung, dass eine Datei nicht größer als 4 GB sein darf.

6. Trennen Sie USB-Massenspeicher sicher und schließen Sie ihn an Private Cloud Appliance an.

7. USB-Massenspeicher einbinden und ISO-Datei in den Ordner /data/mount kopieren:

mkdir /mnt/usb
mount /dev/sdd1 /mnt/usb
cp /mnt/usb/PrivateCloud-4.2.1-Updates-2024-08-30-NOSNAP-D20230821-1604-prod.iso /data/mount

8. Gehen Sie zu OPadmin > Operations > Mount ISO.

9. Wählen Sie Bereitstellungstyp als Lokal, Lokales Verzeichnis als /data/mount und Lokale ISO-Datei als Namen der Datei in diesem Ordner Lokales Verzeichnis, z. B.:

10. Klicken Sie auf Mount (Bereitstellen) und überwachen Sie die Mount-Status-Updates. Wenn ISO erfolgreich bereitgestellt wurde, sehen Sie eine ähnliche Ausgabe:

11. Gehen Sie zu OPadmin > Operations > Update Device und klicken Sie auf Check ISO aktualisieren und dann auf Inhalte aktualisieren oder/und Software aktualisieren.