Kurum içi Microsoft Exchange yapılarında güncelleme paketlerinin yüklenmesi genellikle zahmetlidir. Bununla birlikte özellikle cumulative update ve security update paketlerinin daima en yakın seviyede takip edilmesi gerekir çünkü Exchange Server üzerinde dış dünya ile de haberleşen birçok servis yer aldığı için atak yüzeyi geniştir ve tehdit aktörlerinin iştahını kabartan kurumsal uygulamalar sınıfında yer alır. Güvenlik araştırmacıları tarafından 2021 yılında duyurulan ProxyLogon ve ProxyShell zafiyetleri sonrasında yaşanan siber saldırıları ve güncelleme süreçlerini hatırlarsınız. Bu gibi durumlarda açıkları hızlıca kapatabilmek için, security update ve cumulative update arasındaki ilişkiyi iyi anlamak gerekiyor. Exchange Server servicing model olarak da bilinen bu konu hakkında bir takım değişiklikler söz konusu.
Exchange Server Güncelleme Paketleri
Exchange organizasyonlarında karşımıza genellikle 2 tür güncelleme paketi çıkıyor.
Cumulative Update -> CU’lar Exchange Server servislerindeki yazılım hatalarını gidermek, ürüne yeni özellikler eklemek ya da mevcut özelliklerin davranışını değiştirmek için mainstream support kapsamında yayınlanan güncelleme paketleridir. CU’ler aynı zamanda geçmiş security update’leri de içerir.
Security Update -> SU’lar Exchange Server servislerindeki güvenlik açıklarını kapatmak için yayınlanan güncelleme paketleridir. Gerekli olduğunda her ayın ikinci Salı günü yani Patch Tuesday döngüsünde yayınlanırlar ancak beklenmedik şekilde ortaya çıkan ve özellikle de expolit yöntemleri public olmuş ya da olmaya çok müsait kritik zero-day durumlarında “emergency” etiketiyle birlikte aylık döngüyü beklemeden de yayınlanabilirler.
Exchange Server CU Destek Politikası
Microsoft bir süredir Exchange Server güncellemeleri için sadece yürürlükte olan son iki CU seviyesini (N ve N-1) destekliyor. Eğer desteklenmeyen bir CU seviyesindeyseniz, emergency’ler dahil hiçbir yeni security update’i yükleyemezsiniz. Örneğin Exchange Server 2019 için yayınlamış son cumulative update paketinin CU12 olduğunu kabul edelim. Bu durumda sadece CU12 (N) ve CU11 (N-1) yüklü Exchange Server 2019’lar yeni security update paketlerini almaya devam edebilirler. CU10 (N-2) ve altındaki tüm seviyeler ise CU11 ya da CU12 seviyesine yükseltilene kadar yeni security update’leri alamazlar. Önümüzdeki günlerde örneğin CU13 yayınlandığında, bu sefer desteklenen CU seviyesi CU13 ve CU12 olarak değişir ve CU11 için destek sonlanmış olur.
Desteklenmeyen bir CU seviyesinde çalışıyorsanız ve yayınlamış yeni securtiy update’ler varsa, Windows automatic update ya da WSUS ile kontrol ettiğinizde bu yeni securtiy update’leri göremezsiniz. Bu durumun desteklenmeyen bir CU yüzünden mi yoksa o ay yayınlanmış herhangi bir security update olmadığında mı kaynaklandığını anlamanızın tek yolu bu bilgiye sahip olmaktır. Eğer durumun farkında değilseniz sunucunuzun güvenlik açığı içeren bir sürümde çalışmasına yol açabilirsiniz. CU’ler Exchange Server servislerindeki hataları gidermesi açısından önemli olduğu gibi, security update’leri almaya devam edebilmeniz için de bir zorunluluktur.
Exchange Server CU Teslim Modelindeki Değişiklikler
Uzun süredir CU’ler Mart, Haziran, Eylül ve Aralık aylarında (ya da yakın aylarda) olmak üzere senede 4 kez yayınlanıyordu. Bu yüzden de özellikle geniş organizasyonlarda Exchange Server’ları güncel tutmak efor isteyen bir işti. Nisan ayında yayınlanan 2022H1 ile birlikte bu döngü değişti ve artık 6 ayda bir yani senede 2 kez yayınlanacak. Mart ve Eylül aylarında gelmesi beklenen yeni CU paketleri için Exchange takımı “Gerektiğinde yine ara CU’ler yayınlayabiliriz ama elimizden geldiğince bu yeni döngüye sadık kalacağız” diyor. Yani senede 3 olursa da şaşırmamak ve hazırlıklı olmak lazım.
Diğer taraftan daha az sayıda CU belki sistem yöneticilerinin eforunu azaltmaya yardımcı olacaktır ama bu sefer de Exchange Server servislerindeki hataların giderilme hızını kaybetmiş olacağız. Örneğin raporlanan bir bug’ın tam olarak düzeltilmesi yeni modelde 6 ayı bulabiliyor. Şahsen 3 aylık CU döngüsünü tercih ederim.
Yeni dönemde 6 ayda bir yayınlanacak CU’ler için N ve N-1 destek kuralının yine geçerli olduğunu unutmayın. Ayrıca yeni dönemle birlikte desteklenen CU zaman penceresi de 6 aydan 1 yıla genişlemiş oluyor. Yani örneğin Nisan ayında 2022H1’i yüklediğinizde, bir sonraki CU paketini yüklemeseniz dahi yaklaşık 1 sene süresince desteklenen CU seviyesinde kalmanız ve aylık security update’leri almaya devam etmeniz mümkün.
Diğer taraftan bir sonraki CU13 paketi Eylül döneminde 2022H2 olarak gelecek ve bu sefer sadece Exchange Server 2019 için yayınlanacak. Mainstream support süreleri çoktan dolan Exchange Server 2013 ve Exchange Server 2016 için artık CU gelmeyecek ama extended support süreleri bitene kadar security update’leri almaya devam edecekler. Exchange Server sürümleri için CU, SU, build number, release date gibi bilgiler şuradan takip edebilirsiniz.
Microsoft Exchange zor bir ürün ve eğer yapınızda Exchange Server servisleri yer alıyorsa güncel tutmaktan başka seçeneğiniz yok. Security update’leri almaya devam etmek için Exchange Server’larınızı daima desteklenen CU seviyesinde tutmanız gerektiğini unutmayın ve ne yaparsanız yapın, Exchange Server güncellemelerini hızlı ve hatasız yükleyecek bir süreci işler hale getirin. Önceliğiniz ortamınızı olabildiğince güvenli tutmaktır.
Yorum Ekle