Comprendre la gestion des correctifs dans AMS Accelerate - Guide de l'utilisateur d'AMS Accelerate
Recommandations relatives aux correctifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre la gestion des correctifs dans AMS Accelerate

Important

Accelerate Patch reporting déploie régulièrement une politique basée sur les AWS Glue ressources. Sachez que les mises à jour du système de correctifs AMS remplacent les politiques basées sur les AWS Glue ressources existantes.

Important

Vous pouvez spécifier d'autres référentiels de correctifs pour les nœuds gérés. Pendant qu'AMS implémente les configurations de correctifs que vous avez demandées, vous êtes responsable de la sélection et de la validation de la sécurité des référentiels que vous avez choisis. Vous devez également accepter tous les risques liés à l'utilisation de ces référentiels, tels que les risques liés à la chaîne d'approvisionnement.

Les meilleures pratiques pour la sécurité de votre processus de gestion des correctifs sont les suivantes :

  • Utilisez uniquement des sources de référentiel fiables et vérifiées

  • Utilisez par défaut les référentiels des fournisseurs de systèmes d'exploitation standard lorsque cela est possible

  • Auditez régulièrement les configurations de référentiels personnalisées

Vous pouvez utiliser le système de correctifs AMS Accelerate, Patch Add-On, pour appliquer des correctifs à vos instances avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Le module complémentaire Accelerate Patch est une fonctionnalité qui fournit des correctifs basés sur des balises pour les instances AMS. Il tire parti des fonctionnalités AWS Systems Manager (SSM) qui vous permettent de baliser les instances et de leur faire appliquer des correctifs à l'aide d'une ligne de base et d'une fenêtre que vous configurez. Le module complémentaire AMS Accelerate Patch est une option d'intégration. Si vous ne l'avez pas obtenu lors de l'intégration de votre compte Accelerate, contactez votre responsable de prestation de services cloud (CSDM) pour l'obtenir.

La gestion des correctifs AMS Accelerate utilise la fonctionnalité de base de correctifs de Systems Manager pour contrôler la définition des correctifs appliqués à une instance. La ligne de base des correctifs contient la liste des correctifs préapprouvés ; par exemple, tous les correctifs de sécurité. La conformité de l'instance est mesurée par rapport à la ligne de base du correctif qui lui est associée. AMS Accelerate installe par défaut tous les correctifs disponibles pour maintenir l'instance à jour.

Note

AMS Accelerate applique uniquement les correctifs du système d'exploitation (OS). Par exemple, pour Windows, seules les mises à jour Windows sont appliquées, pas les mises à jour Microsoft.

Pour plus d'informations sur les rapports, voirRapports de gestion des hôtes AMS.

AMS Accelerate fournit une gamme de services opérationnels pour vous aider à atteindre l'excellence opérationnelle sur AWS. Pour comprendre rapidement comment AMS aide vos équipes à atteindre l'excellence opérationnelle globale AWS Cloud grâce à certaines de nos principales fonctionnalités opérationnelles, notamment le service d'assistance 24 h/24, 7 j/7, la surveillance proactive, la sécurité, l'application de correctifs, la journalisation et la sauvegarde, consultez les diagrammes d'architecture de référence AMS.

Rubriques

Recommandations relatives aux correctifs

Si vous êtes impliqué dans des opérations d'applications ou d'infrastructures, vous comprenez l'importance d'une solution de correction du système d'exploitation (OS) suffisamment flexible et évolutive pour répondre aux diverses exigences de vos équipes d'application. Dans une organisation classique, certaines équipes d'application utilisent une architecture qui implique des instances immuables, tandis que d'autres déploient leurs applications sur des instances mutables.

Pour plus d'informations sur les directives AWS prescriptives relatives à l'application de correctifs, consultez la section Application automatique de correctifs pour les instances mutables dans le cloud hybride à l'aide de AWS Systems Manager

Note

Le module complémentaire Accelerate Patch est une fonctionnalité qui fournit des correctifs basés sur des balises pour les instances AMS. Il tire parti des fonctionnalités AWS Systems Manager (SSM) qui vous permettent de baliser les instances et de leur faire appliquer des correctifs à l'aide d'une ligne de base et d'une fenêtre que vous configurez. Le module complémentaire AMS Accelerate Patch est une option d'intégration. Si vous ne l'avez pas obtenu lors de l'intégration de votre compte Accelerate, contactez votre responsable de prestation de services cloud (CSDM) pour l'obtenir.

Recommandations relatives à la responsabilité des correctifs

Le processus d'application des correctifs pour les instances persistantes doit impliquer les équipes et les actions suivantes :

  • Les équipes chargées des applications (DevOps) définissent les groupes de correctifs pour leurs serveurs en fonction de l'environnement de l'application, du type de système d'exploitation ou d'autres critères. Ils définissent également les fenêtres de maintenance spécifiques à chaque groupe de correctifs. Ces informations doivent être stockées sur des balises associées aux instances. Les noms de balises recommandés sont « Patch Group » et « Maintenance Window ». Au cours de chaque cycle de correctifs, les équipes chargées des applications se préparent à appliquer les correctifs, testent l'application après l'application et résolvent les éventuels problèmes liés à leurs applications et à leur système d'exploitation pendant l'application des correctifs.

  • L'équipe chargée des opérations de sécurité définit les lignes de base des correctifs pour les différents types de systèmes d'exploitation utilisés par les équipes chargées des applications et met les correctifs à disposition via le gestionnaire de correctifs de Systems Manager.

  • La solution d'application automatique des correctifs s'exécute régulièrement et déploie les correctifs définis dans les lignes de base des correctifs, en fonction des groupes de correctifs et des fenêtres de maintenance définis par l'utilisateur.

  • Les équipes de gouvernance et de conformité définissent les directives relatives aux correctifs ainsi que les processus et mécanismes d'exception.

Pour plus d'informations, consultez la section Conception de solutions de correctifs pour les instances mutables. EC2

Conseils pour les équipes de candidature

  • Passez en revue et familiarisez-vous avec la création et la gestion des fenêtres de maintenance ; voir Fenêtres de AWS Systems Manager maintenance et Création d'une fenêtre de maintenance SSM pour l'application de correctifs pour en savoir plus. La compréhension de la structure générale et de l'utilisation des fenêtres de maintenance vous permet de comprendre les informations à fournir si vous n'êtes pas la personne qui les crée.

  • Pour les configurations de haute disponibilité (HA), prévoyez une fenêtre de maintenance par zone de disponibilité et par environnement (Dev/Test/Prod). Cela garantira une disponibilité continue pendant l'application des correctifs.

  • La durée de la fenêtre de maintenance recommandée est de 4 heures avec une limite d'une heure, plus 1 heure supplémentaire pour 50 instances

  • Les versions de développement et de test des correctifs sont espacées de suffisamment de temps pour vous permettre d'identifier les problèmes potentiels avant d'appliquer les correctifs de production.

  • Automatisez les tâches courantes avant et après l'application des correctifs via l'automatisation SSM et exécutez-les en tant que tâches de maintenance. Notez que pour les tâches postérieures à l'application des correctifs, vous devez vous assurer que le temps imparti est suffisant, car les tâches ne seront pas lancées une fois la date limite atteinte.

  • Familiarisez-vous avec les lignes de base des correctifs et leurs fonctionnalités, notamment en ce qui concerne les délais d'approbation automatique pour les types de gravité des correctifs, qui peuvent être utilisés pour garantir que seuls les correctifs appliqués seront appliqués en production à Dev/Test une date ultérieure. Consultez la section À propos des lignes de base des correctifs pour plus de détails.

Conseils pour les équipes chargées des opérations de sécurité

  • Passez en revue les lignes de base des correctifs et familiarisez-vous avec celles-ci. L'approbation des correctifs est gérée de manière automatisée et comporte différentes options de règles. Pour plus d'informations, reportez-vous à la section À propos des lignes de base des correctifs.

  • Discutez des besoins en matière d'application de correctifs Dev/Test/Prod avec les équipes chargées des applications et développez plusieurs bases de référence pour répondre à ces besoins.

Conseils pour les équipes de gouvernance et de conformité

  • L'application de correctifs doit être une fonction « Opt Out ». Une fenêtre de maintenance par défaut et un balisage automatique doivent exister pour garantir que rien ne reste sans correctif. AMS Resource Tagger peut vous y aider ; discutez de cette option avec votre architecte cloud (CA) ou votre responsable de prestation de services cloud (CSDM) pour obtenir des conseils sur la mise en œuvre.

  • Les demandes d'exemption de l'application de correctifs doivent nécessiter une documentation justifiant l'exemption. Un responsable de la sécurité informatique (CISO) ou un autre responsable de l'approbation doit approuver ou refuser la demande.

  • La conformité des correctifs doit être contrôlée régulièrement via la console Patch Manager, Security Hub ou un scanner de vulnérabilités.

Exemple de conception pour une application Windows à haute disponibilité

Patch Tuesday schedule showing development, test, and production environments with baseline approval timelines.

Vue d'ensemble :

  • Une fenêtre de maintenance par AZ.

  • Un ensemble de fenêtres de maintenance par environnement.

  • Une ligne de base de correctifs par environnement :

    • Dev : Approuver toute la sévérité et la classification après 0 jour.

    • Test : Approuvez les correctifs de mise à jour de sécurité critiques après 0 jour et toutes les autres classifications et niveaux de gravité après 7 jours.

    • Prod : Approuvez les correctifs de mise à jour de sécurité critiques après 0 jour et toutes les autres classifications et niveaux de gravité après 14 jours.

CloudFormation Scripts :

Ces scripts sont configurés pour créer les fenêtres de maintenance, les lignes de base et les tâches de correction pour une EC2 application Windows HA à deux zones de disponibilité à l'aide des paramètres d'approbation de base décrits ci-dessus.

Recommandations relatives aux correctifs FAQs

Q : Comment puis-je gérer les correctifs imprévus pour les exploits « 0 » jours ?

R : SSM prend en charge une fonctionnalité Patch Now qui utilise la ligne de base par défaut actuelle pour le système d'exploitation de l'instance. AMS déploie un ensemble par défaut de lignes de base de correctifs qui approuve tous les correctifs au bout de 0 jour. Toutefois, lors de l'utilisation de la fonctionnalité Patch Now, aucun instantané préalable au correctif n'est pris, car cette commande exécute le document RunPatchBaseline AWS-SSM. Nous vous recommandons d'effectuer une sauvegarde manuelle avant de procéder à l'application des correctifs.

Q : AMS prend-il en charge l'application de correctifs pour les instances dans Auto-Scaling Groups () ? ASGs

R : Non À l'heure actuelle, les correctifs ASG ne sont pas pris en charge pour les clients Accelerate.

Q : Y a-t-il des limites à prendre en compte dans Maintenance Windows ?

R : Oui, il y a quelques limites dont vous devez être conscient.

  • Fenêtres de maintenance par compte : 50

  • Tâches par fenêtre de maintenance : 20

  • Nombre maximum d'automatisations simultanées par fenêtre de maintenance : 20

  • Nombre maximum de fenêtres de maintenance simultanées : 5

Pour une liste complète des limites SSM par défaut, consultez la section AWS Systems Manager Points de terminaison et quotas.