System Management Services
Damit IT-Organisationen den Anforderungen resilienter Infrastruktur Umgebungen von der Bereitstellung bis und mit Betrieb erfüllen können, sind nebst der reinen Bereitstellung einer virtuellen Maschine (VM) zusätzlich eine Reihe von Seurity- und Monitoring-Aktivitäten notwendig.
Die System Management Services unterstützen Kunden, VM's und Anwendungen skalierbar auf Infrastruktur-Ebene resilient zu verwalten. Der Applikations Owner kann sich so einem Standard Tool-Set bedienen und sich ganz auf die Erfüllung seiner Kern-Elemente, der Verwaltung seiner Fachanwendungen, konzentrieren.
Die folgende Tabelle listet die einzelnen Services auf, die beim Kontrollieren und Steuern der Server und des Workloads in der ix.Cloud unterstützen.
| Service Name | Service Kurzbeschreibung |
|---|---|
| Managed OS | Erhöht die Sicherheit und die Verfügbarkeit von Betriebssysteme. |
| Metrics Monitoring | Überwachen von Server, Anwendungen und Dienste um die Leistung und Verfügbarkeit der IT-Dienstleistungen zu optimieren. |
| Software Deployment | Dank zentraler Softwareverwaltung eine homogene und resiliente Plattform sicherstellen. |
| Software und Release-Zyklen | Beschreibung über die Software-Repositories, den Umgang mit 3rd Party Software sowie die Support- und Release-Zyklen von Linux- und Windows-Betriebssystemen. |
Managed OS
Managed OS ist ein optionales Add-On für Virtual Machines (VM), die mit einem Inventx Owned OS betrieben werden. Wird dieses Add-On auf einer VM aktiviert, übernimmt Inventx Aktivitäten, die zur Erhöhung der Sicherheit und Verfügbarkeit des Betriebssystems beitragen.
Service Architektur
Service Umfang
| Leistungsmerkmale | Windows | Linux |
|---|---|---|
| Patching | ◼ | ◼ |
| Monitoring | ◼ | ◼ |
| Protection | ◼ | ◼ |
Service Optionen
Patching Addon System Update
Das Patching dient der kontinuierlichen Verbesserung von Stabilität, Sicherheit und Aktualität der Server-Betriebssysteme.
Das Addon System Update umfasst einen automatischen Update-Prozess, der alle vom Hersteller freigegebenen Software-Updates berücksichtigt.
| Leistungsmerkmale | Windows | Linux |
|---|---|---|
| Update Typen |
Fokus OS ohne nachträglich installierte Software durch den Kunden, d.h. mit IE ohne Frameworks.
|
Fokus OS mit aus RHEL-Repo nachträglich installierten Softwarepaketen. |
| Update Frequenz | Monatlich gemäss definiertem Service Maintenance Windows und auf der VM konfiguriertem Patch-Day. Falls kein automatisches Patchen gewünscht wird, gibt es die Option "No Automatic Patch". | |
| Update Zyklus |
Der Update-Prozess findet ein Mal im Monat statt und kann flexibel konfiguriert werden:
|
|
| One Time Update |
Darüber hinaus kann der automatische Update-Prozess mittels der Funktion One Time Update jederzeit – auch ausserhalb der regulären Wartungsfenster – über das Cloud-Portal initiiert werden. Das hierfür definierte Zeitfenster muss mindestens 30 Minuten in der Zukunft liegen und eine Mindestdauer von vier Stunden aufweisen. |
|
| Aktualisierte Produkte |
|
|
:::info Critical Updates
System Management Services hält sich vor, auch ausserhalb der terminlichen Patchfreigabe (zweiter Dienstag des Monats plus ein Tag), Critical Updates freizugeben.
Nach einer ausserterminlichen Patchfreigabe stehen die Critical Updates allen Systemen zur Verfügung:
- Systeme, welche zwischen der terminlichen und ausserterminlichen Patchfreigabe, bereits gepatcht wurden, können mittels One Time Update nachgezogen werden.
- Systeme, die nach der ausserterminlichen Patchfreigabe gepatcht werden, erhalten direkten Zugriff auf die kritischen Updates.
Um Sicherheitslücken schneller zu schliessen, werden Edge-Updates täglich auf dem WSUS-Server freigegeben.
Nach der Freigabe steht das Update der VM ohne Neustart zur Verfügung.
- Das Update kann durch das monatliche Update oder ein One-Time Update installiert werden, was zu einem Neustart der VM führt.
- Das Update kann manuell durch den User im OS installiert werden.
- Als Alternative kann der Standard Scheduled Task durch den VM Owner für die Installation konfiguriert werden.
Monitoring
Monitoring ist die Überwachung von Vorgängen, durch systematische Erfassung, Messung und Beobachtung eines Vorgangs oder Prozesses mittels technischer Hilfsmittel. Auf Basis der gesammelten Messungen, lassen sich individuelle Alarmierungen einrichten und über einen präferierten Kommunikationskanal benachrichtigen.
| Monitoring | Windows & Linux |
|---|---|
| Virtuelle Maschine | Aktive Überwachung des Performanceverhaltens (CPU/RAM/IOPS) |
| Gast Betriebssystem | Aktive Überwachung und Betrieb des Gast-Betriebssystems |
| Nutzungs- und Leistungsverhalten | Überwachen und optimieren des Nutzungs- und Leistungsverhaltens von allen Infrastruktur-Komponenten zur Sicherstellung der SLA-Vereinbarung und Vorschlägen von Verbesserungsmöglichkeiten |
Protection
Endpoint Protection und Response (EDR)
Endpoint Detection and Response bietet erweiterte Angriffserkennungen, die nahezu in Echtzeit erfolgen und umsetzbar sind. Sicherheitsanalysten können Warnungen effektiv priorisieren, sich einen Überblick über das gesamte Ausmass eines Verstosses verschaffen und Reaktionsmassnahmen zur Behebung von Bedrohungen ergreifen.
Wenn eine Bedrohung erkannt wird, werden im System Warnungen erstellt, welche ein Analyst untersuchen kann. Warnungen mit denselben Angriffstechniken oder demselben Angreifer zugeordnet werden zu einer Entität zusammengefasst, die als Vorfall bezeichnet wird. Die Aggregation von Warnungen auf diese Weise erleichtert Analysten die gemeinsame Untersuchung und Reaktion auf Bedrohungen.
| Leistungsmerkmale | Windows & Linux |
|---|---|
| Cloud Protection |
|
| Monitoring | Die Verhaltensüberwachung in Echtzeit. |
| Scanning |
|
| Potenziell unerwünschte Anwendung (PUA) |
Der PUA-Schutz ist aktiviert. Potenziell unerwünschte Software wird blockiert. Erkannte Elemente werden blockiert. Sie werden zusammen mit anderen Bedrohungen in der History auftauchen. |
| Quarantäne |
Für die folgenden Bedrohungen
|
| Ausschlüsse |
Ausschlüsse (Exclusions) werden im Self-Service über ix.Cloud Portal vorgenommen. Nur für Windows-Server
|
| Betriebssysteme im Scope |
|
| Incident-Management | Bei Entdeckung einer Bedrohung wird der Incident-Prozess durch einen gemäss definierten Security-Provider sichergestellt. |
| Reporting | Ein Report wird durch dem vereinbartem Security-Provider ausgehändigt, der das überwachte System und die erkannte Malware ausweist. |
Voraussetzungen
Damit Inventx, die in diesem Kapitel definierten Leistungen, ordnungsgemäss ausliefern kann, müssen folgende Rahmenbedingungen erfüllt sein
| Voraussetzung | Windows | Linux |
|---|---|---|
| Die VM muss eingeschaltet sein | ✔ | ✔ |
| Die für den Service benötigten Systemkomponenten werden ausschliesslich durch Inventx konfiguriert | Windows Update Agent | ✔ |
| Die für den EDR-Service benötigte Azure Subscription wird durch Inventx auf dem Azure Kunden Tenant erstellt und verwaltet | ✔ | ✔ |
| Die für den Service benötigten Netzwerkziele sind von der VM aus erreichbar | ✔ | ✔ |
| Inventx kann über das Netzwerk auf die VM zugreifen | WinRM und RDP | SSH |
| Inventx kann via Service-Accounts mit benötigten Rechten auf die VM zugreifen | Administrator-Rechte | Root-Rechte |
| Der Kunde stellt sicher, dass die Disks auf der Systempartition immer genügend Speicherplatz haben und nicht durch Anwendungs-Daten und/oder Anwendungs-Logs vollgeschrieben werden | ✔ | ✔ |
| Zusätzliche Softwarekomponenten dürfen nicht auf den Systemen installiert werden, welche Komponenten zur Sicherstellung der Serviceumfangs beeinträchtigen (bspw. eigene Antiviren- oder Firewall-Software) | ✔ | ✔ |
Der Kunde hat administrative Rechte im Betriebssystem und trägt dabei die volle Verantwortung für den Betrieb des virtuellen Servers, falls durch eine falsche Kundenaktion (z.B. Update des Betriebssystems) eine SLA-Verletzung geschieht.
Metrics Monitoring
Metriken zu geschäftskritischen Anwendungen sammeln und analysieren Daten, um dadurch die Leistung und Verfügbarkeit von IT-Dienstleistungen zu verbessern. Der Einsatz von Metriken ermöglicht ein proaktives Monitoring, Störungen lassen sich frühzeitig erkennen und über definierte Kontaktpunkte gezielt alarmieren.
Der Service "Metrics Monitoring" basiert auf einer hoch verfügbaren, skalierbaren und performanten Plattform und bietet dadurch die nötige Zuverlässigkeit, die von einer Monitoring Plattform gefordert wird. Inventx stellt mit diesem Plattform-Service alle notwendigen Komponenten rund um das Thema Metrics Monitoring sicher. Der Kunde kann sich somit voll und ganz auf die Überwachung seiner Anwendungen und Dienste konzentrieren.
Die Verrechnung erfolgt pro Subscription nach Active Series und Anzahl aktiver Benutzer pro Monat.
Service Architektur
Service Umfang
| Leistungsmerkmale | |
|---|---|
| Monitoring Agent | ◼ |
| Time Series Database | ◼ |
| Query Engine | ◼ |
| Default Metrics & Dashboard | ◼ |
| Custom Metrics & Dashboards | ◼ |
| Custom Alerts & Notifications | ◼ |
| Interfaces to Notification Channels | ◼ |
| Notification Channels | ⁃ |
Service Optionen
In den folgenden Kapiteln werden die einzelnen Optionen dieses Services genauer erläutert.
Monitoring Agent
Der "Monitoring Agent" ist für die Sammlung, Verarbeitung und anschliessender Weiterleitung an die TSDB zur Speicherung zuständig. Es handelt sich dabei um eine Software zur Überwachung des jeweiligen Systems.
Die Inventx stellt sicher, dass diese Komponente auf den definierten Systemen installiert, jederzeit korrekt konfiguriert und die Sammlung der Metriken sichergestellt ist.
Wird die Installation und/oder die Konfiguration des Monitoring Agenten bewusst oder unbewusst, durch Eingriffe Dritter, verändert oder beschädigt, kann Inventx die im Service definierten Leistungen nicht mehr erbringen.
Time Series Database
Die, durch den Monitoring Agent, gesammelten Metriken werden in die Time Series Database (TSDB) geschrieben und während 13 Monate aufbewahrt. Die TSDB ist für die Speicherung und Aufbewahrung von Metriken optimiert und gewährleistet eine performante Bereitstellung der Daten.
Damit der Monitoring Agent die gesammelten Metriken an die TSDB senden kann, muss die IP-Adresse 10.94.12.36 und der Port 443 erreichbar sein.
Query Engine
Die Query Engine stellt umfangreiche Möglichkeiten dar, um Metriken aus der TSDB zu visualisieren, analysieren, alarmieren und über verschiedene Kontaktpunkte zu notifizieren.
Die Query Engine ist über die URL https://monitoring.ixcloud.ch erreichbar und folgt dem ix.Cloud Berechtigungskonzept.
Default Metrics & Dashboard
Beim Aktivieren des Addons werden die nachstehenden benutzeroptimierten Metriken aktiviert und in die TSDB geschrieben:
- CPU
- Memory
- Harddisk
- Network
- Services
Custom Metrics & Dashboards
Zusätzlich zu den Default Metrics & Dashboard können eigene Metriken definiert und konfiguriert werden. Dies ermöglicht es, kundenspezifische Metriken von Anwendungen und Dienste in die TSDB zu schreiben. Mittels Query Engine lassen sich diese Metriken individuell und nach eigenem Wunsch aufbereiten und visualisieren.
Für die Konfiguration des Agenten stehen auf Github eine Grosszahl verschiedener Plugins zur Verfügung: https://github.com/influxdata/telegraf/tree/release-1.24/plugins
Custom Alerts & Notifications
Auf Basis der gesammelten Metriken lassen sich, mit der Query Engine, individuelle Alarmierungen einrichten und über einen präferierten Kommunikationskanal benachrichtigen.
Interfaces to Notification Channels
Die Query Engine bietet, für die Benachrichtigungen, Schnittstellen zu folgenden handelsüblichen Tools:
- E-Mail / SMS
- Teams
- Slack
- Webhooks
- Ops-Genie
- Kafka
- Telegram
Notification Channels
Die Benachrichtigungskanäle sind nicht Bestandteil des Services, sondern müssen durch den Kunde Bereitgestellt werden.
Software Deployment
Mit Hilfe der Software Deployment Funktion kann die Bereitstellung und Installation von Software automatisiert und via Portal von einer zentralen Stelle aus verwaltet werden. Dank der zentralen Steuerung der Softwareverteilungsprozesse kann eine homogene und resiliente Plattform sichergestellt werden.
Die Standardisierung der Softwareausstattung auf Server ist ein entscheidender Schritt, um die Sicherheit der Systeme zu gewährleisten und dabei den Aufwand wie auch die Kosten zu optimieren.
Dieses Addon ist optional und kann nur auf durch Inventx bereitgestellten Windows-Betriebssysteme aktiviert werden. Die nachträgliche Deaktivierung des Addons ist nicht möglich.
Damit Inventx die im Addon "Managed-OS" definierten Leistungen ordnungsgemäss ausliefern kann, darf folgende Software nicht durch den Kunden verteilt werden:
- Windows Updates (dies beinhaltet Windows Security Patches, Windows Feature Updates und Windows Rollup Updates)
- .Net Updates
- Splunk Universal Forwarder
- McAfee Agent
- Zabbix Agent
- Snow Agent
- Telegraf Agent
- Microsoft Defender
- Azure Connected Machine Agent
Service Architektur
Service Umfang
| Leistungsmerkmale | |
|---|---|
| Shared Repository | ◼ |
| Private Repository | ◼ |
| Virus Scan | ◼ |
| Automatic Update | ◼ |
| Scheduled Deployment | ◼ |
Service Optionen
Die folgenden Kapitel beschreiben die einzelnen Optionen des Addons Software Deployment.
Shared Repository
Über das Shared Repository stellt Inventx auserwählte Software-Pakete ix.Cloud weit zur Verfügung. Folgende Software-Pakete werden über die Shared Repository allen Kunden zur Verfügung gestellt:
- 7-Zip
- Adobe Reader
- Git
- Google Chrome
- Microsoft Edge
- Mozilla Firefox
- Notepad++
- Postman
- Visual Studio Code
Die Software-Pakete in der Shared Repository haben die Option Automatic Update aktiviert.
Private Repository
Als Ablage der kundeneigenen Software-Pakete dient das Private Repository. Um Software-Pakete in dieser Repository abzuspeichern, kann entweder ein Transfer von der Community Repository des Herstellers oder ein Upload vom lokalen Computer durchgeführt werden.
Beim Upload vom lokalen Computer werden die Software-Pakete vor dem Abspeichern auf Viren geprüft (siehe Virus Scan).
Bei Software-Pakete aus der Community Repository des Herstellers kann die Option Automatic Update aktiviert werden.
Virus Scan
Als Schutz vor Malware werden dir Software-Pakete beim Upload mittels Viren-Scan auf Viren geprüft. Bei Identifikation eines Virus wird der Benutzer benachrichtigt und der Upload abgebrochen.
Automatic Update
Die Option Automatic Update kann ausschliesslich auf Software-Pakete aktiviert werden, die aus der Community Repository des Herstellers stammen. Auf Software-Pakete, die vom lokalen Computer hochgeladen wurden, kann diese Option nicht aktiviert werden.
Software-Pakete, auf denen diese Option aktiviert ist, werden wöchentlich am Sonntag um 01:00 Uhr gegen die Community Repository des Herstellers auf neuere Versionen geprüft. Sind neuere Versionen verfügbar, werden diese automatisch heruntergeladen und verfügbar gemacht. Dies hat den positiven Nebeneffekt, dass im Portal veraltete Installationen hervorgehoben werden und mit wenige Klicks aktualisiert werden können.
Scheduled Deployment
Ein Deployment kann zeitlich geplant werden. So können Installation, Aktualisierung oder Deinstallation von Software auch während der Nacht durchgeführt werden.
Software und Release-Zyklen
Linux Software
Auf den Linux-Systemen werden grundsätzlich die unten aufgeführten Software-Repositories über das ManagedOS Addon eingebunden und anhand des Update-Prozesses mitberücksichtigt. Falls das EDR Addon auf der VM aktiviert ist, wird zusätzlich das Linux Software Repository von Microsoft miteingebunden. Von diesen Software-Repositories kann jederzeit Software auf dem Zielsystem installiert werden.
| Linux Version | Repos |
|---|---|
| RHEL 8 |
|
| RHEL 9 |
|
| RHEL 10 |
|
| AlmaLinux 8 | BaseOS, Appstream, EPEL* |
| AlmaLinux 9 | BaseOS, Appstream, EPEL* |
* Das EPEL-Repository (Extra Packages for Enterprise Linux) ist ein zusätzliches Paket-Repository, das speziell für Enterprise Linux-Distributionen wie Red Hat Enterprise Linux (RHEL), AlmaLinux und Fedora entwickelt wurde. Es bietet eine Vielzahl von zusätzlichen Open-Source-Paketen, die nicht in den Standard-Repositories dieser Distributionen enthalten sind. Das EPEL-Repo ist ein 3rd Party Software-Repo, für das die Grundsätze des Kapitels “Umgang mit 3rd Party Software” gelten.
Windows Software
Nebst den gängigen Installationsverfahren für Software auf Windows (z.B. mit Adminrechten), steht zusätzlich das Software Deployment AddOn im Self-Service zur Verfügung, um Software auf einem Windows System installieren zu können. Für diese Software gelten die Grundsätze des Kapitels “Umgang mit 3rd Party Software”
Umgang mit 3rd Party Software
Zum Umgang mit 3rd Party Software gelten folgende Grundsätze:
Mit Administratoren- bzw. Root-Rechten ist es jederzeit möglich 3rd Party Software oder Pakete zu installieren oder eigene Software-Repositories einzubinden. Für diese Software liegt die Verantwortung, das Releasemanagement und die Auswirkungen auf den Betrieb vollumfänglich beim Kunden.
Wenn durch den Einsatz von 3rd Party Software der ManagedOS Service beeinträchtigt wird, ist der entsprechende SLA ausser Kraft gesetzt. In diesem Fall kann Inventx weder die Funktionsfähigkeit der 3rd Party Software noch einen stabilen ManagedOS-Betrieb gewährleisten. Im Extremfall kann dies dazu führen, dass die komplette betroffene VM ab Backup durch den Kunden selbst oder durch Inventx im Auftrag des Kunden wiederhergestellt werden muss. Mehraufwendungen seitens Inventx aufgrund solcher Vorfälle sind nicht Teil der Geschäftlich Service-Leistungen von Inventx und sind durch den Kunden nach effektivem Aufwand zu vergüten.
Betriebssystem- und Software Release-Zyklen
Die Windows und Linux Major Betriebssystem Release-Zyklen sind grundsätzlich auf 10 Jahre ausgelegt, d.h. in dieser Zeit werden die Systems Management Services inkl. Software-Updates über das ManagedOS Addon zur Verfügung gestellt, welche der Kunde übers Portal für die entsprechende VM konfigurieren kann. Nach diesen 10 Jahren ist das Betriebssystem nicht mehr unterstützt und es stehen keine neuen Updates zur Verfügung und die Systems Management Services werden für diesen Betriebssystem-Release nicht mehr weiterentwickelt. Der Kunde ist selbst in der Verantwortung, vor Ablauf dieser 10 Jahresfrist eine neue VM mit einem neueren Major Betriebssystem-Release zu bauen und seine Applikation zu migrieren. Es werden keine Inplace-Upgrades auf eine neueren Major Betriebssystem-Release auf derselben VM angeboten (z.B. von RHEL 9 auf RHEL 10 oder Windows Server 2022 auf Windows Server 2025). Falls der Kunde selbst einen Inplace-Upgrade durchführt, muss er dafür besorgt sein, dass alle Systems Management Services weiterhin auch auf dem neuen Major Betriebssystem-Release einwandfrei funktionieren. Werden durch den Inplace-Upgrade des Kunden auf einen höheren Major-Release die Systems Management Services beeinträchtigt, dann behält sich die Inventx vor, diese Services für die entsprechende VM abzukündigen.
Support über diese 10 Jahre hinaus z.B. anhand von Extended Lifecycle Support (ELS) bei RHEL oder Extended Security Updates (ESU) bei Windows wird grundsätzlich nicht angeboten. In Ausnahmefällen kann dies über spezielle Vereinbarungen mit dem Kunden trotzdem geschehen. Es gelten dort jedoch die vom Hersteller beschriebenen Bedingungen und es kann nicht garantiert werden, ob die Systems Management Services weiterhin in gleicher Qualität erbracht werden können. Ebenfalls hat dies allfällige Mehrkosten zur Folge.
Neben den 10-Jahres Major Betriebssystem Release-Zyklen gibt es innerhalb von RHEL auch noch Appstream Release-Zyklen. D.h. man kann über das Appstream Repository diverse Applikationen in verschiedenen Major Versionen installieren (z.B. PostgreSQL 13,15 und 16 oder .NET 6,7 und 8 usw..). Die Verantwortung dieses Major Release-Managements obliegt dem Kunden, da er die entsprechenden Channels auf dem System je nach seinem Bedarf aktivieren kann. Der Update-Prozess des ManagedOS Addons berücksichtigt nur Upgrades innerhalb des aktivierten Major Releases und nicht auf einen höheren Major-Release. Es ist hier zu beachten, dass Appstream Release-Zyklen oft kürzer sind als 10 Jahre im Vergleich zum Betriebssystem Release-Zyklus. Die genauen Angaben zu allen Release-Zyklen sind jeweils beim entsprechenden Hersteller publiziert