Comprenda la administración de parches en AMS Accelerate - Guía del usuario de AMS Accelerate
Recomendaciones de aplicación de parches

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Comprenda la administración de parches en AMS Accelerate

importante

Accelerate Patch Reporting implementa periódicamente una política basada en AWS Glue los recursos. Tenga en cuenta que las actualizaciones de AMS en el sistema de parches sobrescriben las políticas basadas en recursos existentes. AWS Glue

importante

Puede especificar repositorios de parches alternativos para los nodos gestionados. Mientras AMS implementa las configuraciones de parches solicitadas, usted es responsable de seleccionar y validar la seguridad de los repositorios elegidos. También debe aceptar cualquier riesgo derivado del uso de estos repositorios, como los riesgos de la cadena de suministro.

Las siguientes son las prácticas recomendadas para la seguridad del proceso de administración de parches:

  • Utilice únicamente fuentes de repositorio confiables y verificadas

  • Utilice de forma predeterminada los repositorios de los proveedores de sistemas operativos estándar cuando sea posible

  • Audite periódicamente las configuraciones de los repositorios personalizados

Puede usar el sistema de parches AMS Accelerate (Patch Add-On) para parchear sus instancias con actualizaciones relacionadas con la seguridad y de otro tipo. El complemento Accelerate Patch es una función que proporciona parches basados en etiquetas para las instancias de AMS. Aprovecha la funcionalidad AWS Systems Manager (SSM) para etiquetar instancias y parchearlas mediante una línea base y una ventana que usted configure. El complemento AMS Accelerate Patch es una opción de incorporación. Si no lo obtuvo al incorporar su cuenta de Accelerate, póngase en contacto con su administrador de prestación de servicios en la nube (CSDM) para obtenerlo.

La administración de parches de AMS Accelerate utiliza la funcionalidad básica de parches de Systems Manager para controlar la definición de los parches que se aplican a una instancia. La línea base de parches contiene la lista de parches que están aprobados previamente; por ejemplo, todos los parches de seguridad. La conformidad de la instancia se mide con respecto a la línea base del parche asociada a ella. De forma predeterminada, AMS Accelerate instala todos los parches disponibles para mantener la instancia actualizada.

nota

AMS Accelerate aplica únicamente los parches del sistema operativo (SO). Por ejemplo, para Windows, solo se aplican las actualizaciones de Windows, no las de Microsoft.

Para obtener información sobre los informes, consulteInformes de gestión de hosts de AMS.

AMS Accelerate ofrece una gama de servicios operativos para ayudarlo a alcanzar la excelencia operativa en AWS. Para comprender rápidamente cómo AMS ayuda a sus equipos a alcanzar la excelencia operativa general Nube de AWS con algunas de nuestras capacidades operativas clave, como el servicio de asistencia las 24 horas del día, los 7 días de la semana, la supervisión proactiva, la seguridad, la aplicación de parches, el registro y la copia de seguridad, consulte los diagramas de arquitectura de referencia de AMS.

Temas

Recomendaciones de aplicación de parches

Si se dedica a operaciones de aplicaciones o infraestructuras, entiende la importancia de una solución de revisión del sistema operativo (SO) que sea lo suficientemente flexible y escalable como para cumplir con los diversos requisitos de sus equipos de aplicaciones. En una organización típica, algunos equipos de aplicaciones utilizan una arquitectura que incluye instancias inmutables, mientras que otros implementan sus aplicaciones en instancias mutables.

Para obtener más información sobre AWS las directrices prescriptivas para la aplicación de parches, consulte Aplicación automática de parches para instancias mutables en la nube híbrida mediante el uso de parches. AWS Systems Manager

nota

El complemento Accelerate Patch es una función que proporciona parches basados en etiquetas para las instancias de AMS. Aprovecha la funcionalidad AWS Systems Manager (SSM) para etiquetar instancias y parchearlas mediante una línea base y una ventana que usted configure. El complemento AMS Accelerate Patch es una opción de incorporación. Si no lo obtuvo al incorporar su cuenta de Accelerate, póngase en contacto con su administrador de prestación de servicios en la nube (CSDM) para obtenerlo.

Recomendaciones sobre la responsabilidad de los parches

El proceso de aplicación de parches para las instancias persistentes debe incluir los siguientes equipos y acciones:

  • Los equipos de aplicaciones definen los grupos de parches para sus servidores en función del entorno de la aplicación, el tipo de sistema operativo u otros criterios. DevOps También definen los períodos de mantenimiento específicos de cada grupo de revisiones. Esta información debe almacenarse en las etiquetas adjuntas a las instancias. Los nombres de etiqueta recomendados son «Grupo de parches» y «Ventana de mantenimiento». Durante cada ciclo de revisiones, los equipos de aplicaciones se preparan para aplicar las revisiones, prueban la aplicación después de aplicarlos y solucionan cualquier problema con sus aplicaciones y su sistema operativo durante la aplicación de las revisiones.

  • El equipo de operaciones de seguridad define las líneas base de los parches para los distintos tipos de sistemas operativos que utilizan los equipos de aplicaciones y hace que los parches estén disponibles a través de Systems Manager Patch Manager.

  • La solución de parches automatizada se ejecuta de forma regular e implementa los parches definidos en las líneas base de parches, en función de los grupos de parches definidos por el usuario y los períodos de mantenimiento.

  • Los equipos de gobierno y cumplimiento definen las directrices de aplicación de parches y los procesos y mecanismos de excepción.

Para obtener más información, consulte Diseño de soluciones de parches para instancias EC2 mutables.

Guía para los equipos de aplicaciones

  • Revise y familiarícese con la creación y administración de ventanas de mantenimiento; consulte Ventanas de AWS Systems Manager mantenimiento y Creación de una ventana de mantenimiento de SSM para la aplicación de parches para obtener más información. Comprender la estructura general y el uso de las ventanas de mantenimiento le ayudará a comprender qué información debe proporcionar si no es usted quien las ha creado.

  • Para las configuraciones de alta disponibilidad (HA), planifique tener una ventana de mantenimiento por zona de disponibilidad y por entorno (Dev/Test/Prod). Esto garantizará la disponibilidad continua durante la aplicación de parches.

  • La duración recomendada del período de mantenimiento es de 4 horas con un límite de 1 hora, más 1 hora adicional por cada 50 instancias

  • Parchee las versiones de desarrollo y prueba con suficiente tiempo entre cada una para que pueda identificar cualquier posible problema antes de aplicar los parches de producción.

  • Automatice las tareas habituales previas y posteriores a la aplicación de parches mediante la automatización de SSM y ejecútelas como tareas de mantenimiento. Tenga en cuenta que, para las tareas posteriores a la aplicación de parches, debe asegurarse de que hay suficiente tiempo asignado, ya que las tareas no se iniciarán una vez que se alcance el límite.

  • Familiarícese con las líneas base de los parches y sus características, especialmente en lo que respecta a los retrasos en la aprobación automática de los tipos de gravedad de los parches, que se pueden utilizar para garantizar que solo los parches que se aplicaron en producción Dev/Test se apliquen posteriormente. Consulte Acerca de las bases de referencia de los parches para obtener más información.

Guía para los equipos de operaciones de seguridad

  • Revise las bases de referencia de los parches y familiarícese con ellas. La aprobación de los parches se gestiona de forma automática y tiene diferentes opciones de reglas. Consulte Acerca de las líneas base de los parches para obtener más información.

  • Analice las necesidades relacionadas con la aplicación de parches Dev/Test/Prod con los equipos de aplicaciones y desarrolle varias líneas de base para adaptarlas a estas necesidades.

Guía para los equipos de gobierno y cumplimiento

  • La aplicación de parches debe ser una función de «exclusión voluntaria». Debe haber un período de mantenimiento predeterminado y un etiquetado automático para garantizar que nada quede sin corregir. AMS Resource Tagger puede ayudarle en este sentido; consulte esta opción con su arquitecto de nube (CA) o administrador de prestación de servicios en la nube (CSDM) para obtener orientación sobre la implementación.

  • Las solicitudes de exención de la aplicación de parches deben requerir documentación que justifique la exención. Un director de seguridad de la información (CISO) u otro oficial de aprobación debe aprobar o denegar la solicitud.

  • El cumplimiento de los parches debe revisarse periódicamente a través de la consola del Administrador de parches, el Security Hub o un escáner de vulnerabilidades.

Ejemplo de diseño para una aplicación Windows de alta disponibilidad

Patch Tuesday schedule showing development, test, and production environments with baseline approval timelines.

Información general:

  • Una ventana de mantenimiento por zona de disponibilidad.

  • Un conjunto de ventanas de mantenimiento por entorno.

  • Un parche de referencia por entorno:

    • Desarrollador: apruebe toda la gravedad y la clasificación después de 0 días.

    • Prueba: apruebe los parches de actualización de seguridad críticos después de 0 días y todas las demás clasificaciones y grados de gravedad después de 7 días.

    • Producto: Apruebe las actualizaciones de seguridad críticas después de 0 días y todas las demás clasificaciones y niveles de gravedad después de 14 días.

CloudFormation Guiones:

Estos scripts se configuran para crear los períodos de mantenimiento, las líneas base y las tareas de parches para una EC2 aplicación de Windows HA con dos zonas de disponibilidad utilizando la configuración de aprobación básica descrita anteriormente.

Recomendaciones de parches FAQs

P: ¿Cómo puedo gestionar los parches no programados para las vulnerabilidades de «0» días?

R: SSM admite la función Patch Now que utiliza la línea base predeterminada actual para el sistema operativo de la instancia. AMS implementa un conjunto predeterminado de líneas base de parches que aprueba todos los parches después de 0 días. Sin embargo, cuando se utiliza la función Parchar ahora, no se toma una instantánea previa al parche, ya que este comando ejecuta el documento RunPatchBaseline AWS-SSM. Le recomendamos que realice una copia de seguridad manual antes de aplicar el parche.

P: ¿AMS admite la aplicación de parches en instancias de grupos de escalado automático ()? ASGs

R: No. En este momento, los clientes de Accelerate no admiten los parches de ASG.

P: ¿Hay alguna limitación que debas tener en cuenta para Maintenance Windows?

R: Sí, hay algunas limitaciones que debe tener en cuenta.

  • Windows de mantenimiento por cuenta: 50

  • Tareas por período de mantenimiento: 20

  • Número máximo de automatizaciones simultáneas por ventana de mantenimiento: 20

  • Número máximo de ventanas de mantenimiento simultáneas: 5

Para obtener una lista completa de los límites de SSM predeterminados, consulte AWS Systems Manager puntos finales y cuotas.