Diseño de solución de revisiones para instancias EC2 mutables - Recomendaciones de AWS
Proceso automatizado

Diseño de solución de revisiones para instancias EC2 mutables

El proceso de aplicación de revisiones para las instancias mutables implica los siguientes equipos y acciones:

  • Los equipos de aplicaciones (DevOps) definen los grupos de revisiones para sus servidores en función del entorno de la aplicación, el tipo de sistema operativo u otros criterios. También definen los períodos de mantenimiento específicos de cada grupo de revisiones. Esta información se almacena en las etiquetas del grupo de revisiones y de la ventana de mantenimiento de las instancias de la aplicación EC2. Durante cada ciclo de revisiones, los equipos de aplicaciones se preparan para aplicar las revisiones, prueban la aplicación después de aplicarlos y solucionan cualquier problema con sus aplicaciones y su sistema operativo durante la aplicación de las revisiones.

  • El equipo de operaciones de seguridad define la línea de base de revisiones para los distintos tipos de sistemas operativos que utilizan los equipos de aplicaciones, aprueba las revisiones y los pone a disposición a través de Systems Manager Patch Manager.

  • La solución de revisiones automatizada se ejecuta de forma regular e implementa las revisiones definidas en la línea de base de revisiones en función de los grupos de revisiones definidas por el usuario y los períodos de mantenimiento. La información sobre la conformidad de las revisiones se obtiene mediante una sincronización de datos de recursos en el inventario de Systems Manager y se utiliza para la elaboración de informes sobre la conformidad de las revisiones a través de los paneles de Quick SUitw.

  • Los equipos de gobierno y conformidad definen las directrices de aplicación de revisiones, definen los procesos y mecanismos de excepción y obtienen los informes de conformidad de Quick Suite.

Para obtener información detallada sobre las principales partes interesadas que intervienen en una solución exitosa de administración de revisiones del sistema operativo y sus responsabilidades, consulte la sección sobre las principales partes interesadas, funciones y responsabilidades más adelante en esta guía.

Proceso automatizado

La solución de revisiones automatizada utiliza varios servicios de AWS que funcionan en conjunto para implementar las revisiones en las instancias de EC2. En este proceso se incluyen AWS Config, AWS Lambda, Systems Manager, Amazon Simple Storage Service (Amazon S3), y Quick Suite. En el siguiente diagrama se muestra la arquitectura de referencia y el flujo de trabajo.

Reference architecture and workflow for a standard mutable EC2 instance patching process

El flujo de trabajo incluye estos pasos, donde los números de los pasos coinciden con los rótulos del diagrama:

  1. AWS Config supervisa continuamente lo siguiente y envía notificaciones con los detalles de las instancias no conformes y las configuraciones necesarias:

    • Cumplimiento del etiquetado de revisiones en las instancias EC2. AWS Configcomprueba las instancias que no tienen etiquetas de grupo de revisiones ni de ventana de mantenimiento.

    • El perfil de instancia AWS Identity and Access Management (IAM) con la función Systems Manager, que permite a Systems Manager gestionar las instancias.

  2. La función de Lambda (la llamaremos automate-patch) se ejecuta según un programa predefinido y recopila la información del grupo de revisiones y la ventana de mantenimiento de todos los servidores.

  3. A continuación, la función automate-patch crea o actualiza los grupos de revisiones y las ventanas de mantenimiento correspondientes, asocia los grupos de revisiones a las líneas de base de revisiones, configura el análisis de revisiones y despliega la tarea de aplicación de revisiones. De forma opcional, la función automate-patch también crea Eventos de Amazon CloudWatch para notificar a los usuarios de las revisiones inminentes.

  4. En función de los períodos de mantenimiento, los eventos envían notificaciones de revisiones a los equipos de aplicaciones con los detalles de la inminente operación de aplicación de revisiones.

  5. Patch Manager realiza las revisiones del sistema en función del cronograma definido y de los grupos de revisiones.

  6. Una sincronización de datos de recursos en Systems Manager Inventory recopila los detalles de las revisiones y los publica en un bucket de S3.

  7. Los informes y los paneles de conformidad de las revisiones están integrados en Quick Suite a partir de la información del bucket S3.