AWS Systems Manager Patch Manager
Patch Manager, una herramienta de AWS Systems Manager, automatiza el proceso de aplicación de revisiones a los nodos administrados con actualizaciones relacionadas con la seguridad y otros tipos de actualizaciones.
nota
Systems Manager proporciona soporte para las políticas de revisiones en Quick Setup, una herramienta de AWS Systems Manager. El uso de políticas de revisiones es el método recomendado para configurar las operaciones de aplicación de revisiones. Con una configuración de política de revisiones única, puede definir la aplicación de revisiones para todas las cuentas de todas las regiones de su organización; solo para las cuentas y regiones que elija; o para un solo par de cuentas-regiones. Para obtener más información, consulte Configuraciones de políticas de revisiones en Quick Setup.
Puede utilizar Patch Manager para aplicar revisiones a los sistemas operativos y a las aplicaciones. (En Windows Server, la compatibilidad con las aplicaciones se limita a las actualizaciones de las aplicaciones publicadas por Microsoft). Puede utilizar Patch Manager para instalar Service Packs en los nodos de Windows y realizar actualizaciones de versiones secundarias en nodos de Linux. Puede aplicar revisiones a flotas de instancias de Amazon Elastic Compute Cloud (Amazon EC2), dispositivos de borde, servidores en las instalaciones y a máquinas virtuales (VM) por tipo de sistema operativo. Esto incluye las versiones compatibles de varios sistemas operativos, tal como se indica en Requisitos previos de Patch Manager. Puede analizar instancias solo para ver un informe de las revisiones que faltan, o bien puede analizar e instalar automáticamente todas las revisiones que faltan. Para comenzar a utilizar Patch Manager, abra la consola de Systems Manager
AWS no prueba las revisiones antes de que estén disponibles en Patch Manager. Además, Patch Manager no admite la actualización de versiones principales de sistemas operativos, como Windows Server 2016 a Windows Server 2019 o SUSE Linux Enterprise Server (SLES) 12.0 a SLES 15.0.
Para los tipos de sistemas operativos basados en Linux que informan de un nivel de gravedad de las revisiones, Patch Manager utiliza el nivel de gravedad notificado por el editor de software para el aviso de actualización o la revisión individual. Patch Manager no deriva los niveles de gravedad de orígenes de terceros, como el Sistema de puntuación de vulnerabilidades comunes
¿Cómo puede Patch Manager beneficiar a mi organización?
Patch Manager automatiza el proceso de aplicación de revisiones a los nodos administrados con actualizaciones relacionadas con la seguridad y otros tipos de actualizaciones. Proporciona varios beneficios clave:
-
Control de revisiones centralizado: mediante políticas de revisiones, puede configurar operaciones de revisión periódicas para todas las cuentas en todas las regiones de su organización, cuentas y regiones específicas o un solo par de cuenta y región.
-
Operaciones de revisión flexibles: puede analizar instancias para ver solo un informe de las revisiones que faltan, o bien puede analizar todas las revisiones que faltan e instalarlas automáticamente.
-
Informes de conformidad exhaustivos: tras las operaciones de análisis, puede ver información detallada sobre qué nodos administrados no cumplen con las revisiones y qué revisiones faltan.
-
Compatibilidad entre plataformas: Patch Manager admite varios sistemas operativos, incluidas varias distribuciones de Linux, macOS y Windows Server.
-
Líneas de base de revisiones personalizadas: puede definir qué constituye el cumplimiento de las revisiones para su organización mediante líneas de base de revisiones personalizadas que especifican qué revisiones están aprobados para su instalación.
-
Integración con otros servicios de AWS: Patch Manager se integra con AWS Organizations, AWS Security Hub, AWS CloudTrail y AWS Config para mejorar la administración y la seguridad.
-
Actualizaciones deterministas: es compatible con actualizaciones deterministas mediante repositorios versionados para sistemas operativos como Amazon Linux 2023.
¿Quién debe utilizar Patch Manager?
Patch Manager está diseñado para lo siguiente:
-
Administradores de TI que necesitan mantener el cumplimiento de las revisiones en toda su flota de nodos administrados.
-
Gerentes de operaciones que necesitan visibilidad del estado de cumplimiento de las revisiones en toda su infraestructura.
-
Arquitectos de nube que desean implementar soluciones de aplicación de revisiones automatizadas a escala.
-
Ingenieros de DevOps que necesitan integrar la aplicación de revisiones en sus flujos de trabajo operativos.
-
Organizaciones con implementaciones de varias cuentas o regiones que necesitan una administración de revisiones centralizada.
-
Cualquier persona responsable de mantener la postura de seguridad y el estado operativo de los nodos administrados, los dispositivos de periferia, los servidores en las instalaciones y las máquinas virtuales de AWS
¿Cuáles son las características principales de Patch Manager?
Patch Manager ofrece varias características fundamentales:
-
Políticas de revisión: configure las operaciones de revisión en varias Cuentas de AWS y regiones mediante una única política a través de la integración con AWS Organizations.
-
Líneas de base de revisiones personalizadas: defina reglas para la aprobación automática de revisiones a los pocos días de su lanzamiento, junto con listas de revisiones aprobadas y rechazadas.
-
Múltiples métodos de revisión: elija entre políticas de revisiones, ventanas de mantenimiento u operaciones bajo demanda del tipo “Aplicar revisión ahora” para satisfacer sus necesidades específicas.
-
Informes de cumplimiento: genere informes detallados sobre el estado de cumplimiento de las revisiones que se pueden enviar a un bucket de Amazon S3 en formato CSV.
-
Compatibilidad entre plataformas: revise tanto a sistemas operativos como a aplicaciones en Windows Server, en varias distribuciones de Linux y en macOS.
-
Flexibilidad de planificación: establezca diferentes plazos para analizar e instalar revisiones mediante expresiones de frecuencia o CRON personalizadas.
-
Enlaces de ciclo de vida: ejecute scripts personalizados antes y después de las operaciones de revisión mediante documentos de Systems Manager.
-
Enfoque de seguridad: Patch Manager se centra de forma predeterminada en las actualizaciones relacionadas con la seguridad en lugar de instalar todas las revisiones disponibles.
-
Control de velocidad: configure los umbrales de concurrencia y error para las operaciones de revisión a fin de minimizar el impacto operativo.
¿En qué consiste el cumplimiento en Patch Manager?
El punto de referencia para determinar qué constituye el cumplimiento de las revisiones para los nodos administrados de sus flotas de Systems Manager no lo definen , los proveedores de sistemas operativos (SO) ni terceros, como las empresas de consultoría de seguridad.
En su lugar, usted define lo que significa el cumplimiento de las revisiones para los nodos administrados de su organización o cuenta a partir de una línea de base de revisiones. Una línea de base de revisiones es una configuración que especifica las reglas sobre qué revisiones deben instalarse en un nodo administrado. Un nodo administrado es compatible con las revisiones cuando está actualizado con todas las revisiones que cumplen los criterios de aprobación que se especifican en la línea de base de revisiones.
Tenga en cuenta que el cumplimiento con la línea de base de revisiones no significa que un nodo administrado sea necesariamente seguro. El cumplimiento implica que las revisiones definidas en la línea de base de revisiones, que están disponibles y han sido aprobadas, se han instalado en el nodo. La seguridad general de un nodo administrado viene determinada por muchos factores ajenos al ámbito de Patch Manager. Para obtener más información, consulte Seguridad en AWS Systems Manager.
La línea de base de revisiones es una configuración para un tipo de sistema operativo (SO) compatible específico, como Red Hat Enterprise Linux (RHEL), macOS o Windows Server. La línea de base de revisiones puede definir las reglas de aplicación de revisiones para todas las versiones compatibles de un sistema operativo o limitarse únicamente a las que usted especifique, como RHEL 6.10, RHEL 7.8 y RHEL 9.3.
En una línea de base de revisiones, puede especificar que se apruebe la instalación de todas las revisiones con determinadas clasificaciones y niveles de gravedad. Por ejemplo, puede incluir todas las revisiones clasificadas como Security
, pero excluir otras clasificaciones, como Bugfix
o Enhancement
. También puede incluir todas las revisiones con una gravedad Critical
igual o excluir otras, como Important
y Moderate
.
También puede definir las revisiones de forma explícita en una línea de base de revisiones si agrega sus ID a listas de revisiones específicas para aprobarlas o rechazarlas, como KB2736693
para Windows Server o dbus.x86_64:1:1.12.28-1.amzn2023.0.1
para Amazon Linux 2023 (AL2023). Si lo desea, puede especificar un número determinado de días de espera para aplicar las revisiones una vez que una revisión esté disponible. En el caso de Linux y macOS, tiene la opción de especificar una lista externa de revisiones para garantizar el cumplimiento (una lista de anulación de la instalación) en lugar de las definidas en la reglas de la línea de base de revisiones.
Cuando se ejecuta una operación de aplicación de revisiones, Patch Manager compara las revisiones aplicadas actualmente a un nodo administrado con las que deberían aplicarse de acuerdo con las reglas establecidas en la línea de base de revisiones o en una lista de anulación de la instalación. Puede optar por que Patch Manager muestre solo un informe de las revisiones faltantes (una operación Scan
) o puede optar por que Patch Manager instale automáticamente todas las revisiones que encuentre que faltan en un nodo administrado (un operación Scan and install
).
Patch Manager proporciona líneas de base de revisiones predefinidas que puede utilizar para sus operaciones de aplicación de revisiones; sin embargo, estas configuraciones predefinidas se proporcionan como ejemplos y no como prácticas recomendadas. Le recomendamos que cree sus propias líneas de base de revisiones personalizadas para tener un mayor control sobre lo que constituye el cumplimiento de las revisiones en su flota.
Para obtener más información sobre la creación de líneas de base de revisiones personalizadas, consulte los temas siguientes:
Componentes principales
Antes de empezar a trabajar con la herramienta Patch Manager, debe familiarizarse con algunos componentes y características principales de las operaciones de aplicación de revisiones de la herramienta.
líneas de base de revisiones
Patch Manager utiliza líneas de base de revisiones, las cuales incluyen reglas para la aprobación automática de revisiones a los pocos días de su lanzamiento, así como una lista de las revisiones aprobadas y rechazadas. Cuando se ejecuta una operación de aplicación de revisiones, Patch Manager compara las revisiones aplicadas actualmente a un nodo administrado con las que deberían aplicarse de acuerdo con las reglas establecidas en la línea de base de revisiones. Puede optar por que Patch Manager muestre solo un informe de las revisiones faltantes (una operación Scan
) o puede optar por que Patch Manager instale automáticamente todas las revisiones que encuentre que faltan en un nodo administrado (un operación Scan and install
).
Métodos de operación de aplicación de revisiones
Patch Manager ofrece actualmente cuatro métodos para ejecutar operaciones Scan
y Scan and install
:
-
(Recomendado) Una política de revisiones configurada en Quick Setup: basada en la integración con AWS Organizations, una única política de revisiones puede definir programaciones de aplicación de revisiones y líneas de base de revisiones para toda una organización, incluidas varias Cuentas de AWS y en las Regiones de AWS que operan todas esas cuentas. Una política de revisiones también puede dirigirse únicamente a algunas unidades organizativas (OU) de una organización. Puede utilizar una única política de revisiones para analizar e instalar en diferentes programaciones. Para obtener más información, consulte Configuración de las revisiones para las instancias de una organización mediante una política de parches Quick Setup y Configuraciones de políticas de revisiones en Quick Setup.
-
Una opción de administración de host configurada en Quick Setup: las configuraciones de administración de host también son compatibles con la integración con AWS Organizations, lo que permite ejecutar una operación de aplicación de revisiones para una organización completa. Sin embargo, esta opción se limita a analizar revisiones faltantes utilizando la línea de base de revisiones predeterminada actual y a proporcionar resultados en los informes de conformidad. Este método de operación no puede instalar revisiones. Para obtener más información, consulte Instalar la administración de host de Amazon EC2 mediante Quick Setup.
-
Un periodo de mantenimiento para ejecutar una tarea
Scan
oInstall
de revisiones: se puede establecer un periodo de mantenimiento, el cual se configura en la herramienta de Systems Manager denominada Maintenance Windows, para ejecutar diferentes tipos de tareas según una programación que defina. Se puede utilizar una tarea de tipo Run Command para ejecutar tareasScan
oScan and install
en un conjunto de nodos administrados que usted elija. Cada tarea del periodo de mantenimiento puede dirigirse a los nodos administrados en un único par de Cuenta de AWS-Región de AWS. Para obtener más información, consulte Tutorial: creación de un periodo de mantenimiento para la aplicación de revisiones mediante la consola. -
Una operación de Aplicar revisión ahora bajo demanda en Patch Manager: la opción de Aplicar revisión ahora le permite omitir las configuraciones programadas cuando necesite aplicar revisiones a los nodos administrados lo antes posible. Con Patch now (Aplicar revisión ahora), se especifica si se va a ejecutar una operación de
Scan
oScan and install
y en qué nodos administrados se va a ejecutar la operación. También puede optar por ejecutar documentos de Systems Manager (documentos SSM) como enlaces de ciclo de vida durante la operación de revisión. Cada operación de Patch now (Aplicar revisión ahora) puede dirigirse a los nodos administrados en un único par Cuenta de AWS-Región de AWS. Para obtener más información, consulte Aplicación de revisiones a nodos administrados bajo demanda.
Informes de conformidad
Tras una operación de Scan
, puede utilizar la consola de Systems Manager para ver información sobre cuáles nodos administrados no cumplen con las revisiones y qué revisiones faltan en cada uno de esos nodos. También puede generar informes relativos a la conformidad de las revisiones en formato .csv que se envían a un bucket de Amazon Simple Storage Service (Amazon S3) de su elección. Puede generar informes por única vez o generarlos de manera periódica. Para un único nodo administrado, los informes incluyen detalles de todas las revisiones del nodo. Para un informe sobre todos los nodos administrados, solo se proporciona un resumen de cuántas revisiones faltan. Una vez generado un informe, puede utilizar una herramienta como Amazon QuickSight para importar y analizar los datos. Para obtener más información, consulte Trabajo con informes de conformidad de las revisiones.
nota
Un elemento de conformidad generado mediante el uso de una política de revisiones tiene un tipo de ejecución de PatchPolicy
. Un elemento de conformidad no generado en una operación de política de revisiones tiene un tipo de ejecución de Command
.
Integraciones
Patch Manager se integra con los siguientes otros Servicios de AWS:
-
AWS Identity and Access Management (IAM): utilice IAM para controlar qué usuarios, grupos y roles tienen acceso a las operaciones de Patch Manager. Para obtener más información, consulte Cómo funciona AWS Systems Manager con IAM y Configuración de permisos de instancia requeridos para Systems Manager.
-
AWS CloudTrail: utilice CloudTrail para registrar un historial auditable de los eventos de operación de aplicación de revisiones iniciados por usuarios, roles o grupos. Para obtener más información, consulte Registro de llamadas a la API de AWS Systems Manager con AWS CloudTrail.
-
AWS Security Hub: se pueden enviar los datos de conformidad de revisiones de Patch Manager a AWS Security Hub. Security Hub ofrece una visión completa de las alertas de seguridad de alta prioridad y el estado de conformidad. También monitorea el estado de aplicación de revisiones de la flota. Para obtener más información, consulte Integración de Patch Manager con AWS Security Hub.
-
AWS Config: configure la grabación en AWS Config para ver los datos de administración de instancias de Amazon EC2 en el panel de control de Patch Manager. Para obtener más información, consulte Visualización de resúmenes del panel de revisiones.