Memahami manajemen tambalan di AMS Accelerate - Panduan Pengguna AMS Accelerate
Rekomendasi penambalan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami manajemen tambalan di AMS Accelerate

penting

Mempercepat pelaporan Patch secara berkala menerapkan kebijakan berbasis AWS Glue sumber daya. Harap diperhatikan bahwa pembaruan AMS ke sistem penambalan menimpa kebijakan berbasis sumber daya yang ada AWS Glue .

penting

Anda dapat menentukan repositori patch alternatif untuk node terkelola. Sementara AMS mengimplementasikan konfigurasi patch yang Anda minta, Anda bertanggung jawab untuk memilih dan memvalidasi keamanan repositori yang Anda pilih. Anda juga harus menerima risiko apa pun dari penggunaan repositori ini, seperti risiko rantai pasokan.

Berikut ini adalah praktik terbaik untuk keamanan proses manajemen tambalan Anda:

  • Gunakan hanya sumber repositori yang tepercaya dan terverifikasi

  • Default ke repositori vendor OS standar jika memungkinkan

  • Secara teratur mengaudit konfigurasi repositori kustom

Anda dapat menggunakan sistem patching AMS Accelerate, Patch Add-On, untuk menambal instans Anda dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Accelerate Patch Add-On adalah fitur yang menyediakan penambalan berbasis tag untuk instance AMS. Ini memanfaatkan fungsionalitas AWS Systems Manager (SSM) sehingga Anda dapat menandai instance dan menambal instance tersebut menggunakan baseline dan jendela yang Anda konfigurasikan. AMS Accelerate Patch Add-On adalah opsi orientasi, jika Anda tidak mendapatkannya saat melakukan onboarding akun Accelerate, hubungi manajer pengiriman layanan cloud (CSDM) Anda untuk mendapatkannya.

AMS Accelerate patch management menggunakan fungsionalitas dasar patch Systems Manager untuk mengontrol definisi patch yang diterapkan pada instance. Patch baseline berisi daftar patch yang telah disetujui sebelumnya; misalnya, semua patch keamanan. Kepatuhan instance diukur terhadap baseline patch yang terkait dengannya. AMS Accelerate, secara default, menginstal semua patch yang tersedia untuk menjaga instance tetap up to date.

catatan

AMS Accelerate hanya menerapkan patch sistem operasi (OS). Misalnya, untuk Windows, hanya pembaruan Windows yang diterapkan, bukan pembaruan Microsoft.

Untuk informasi tentang laporan, lihatLaporan manajemen host AMS.

AMS Accelerate menyediakan berbagai layanan operasional untuk membantu Anda mencapai keunggulan operasional AWS. Untuk mendapatkan pemahaman cepat tentang bagaimana AMS membantu tim Anda mencapai keunggulan operasional secara keseluruhan AWS Cloud dengan beberapa kemampuan operasional utama kami termasuk helpdesk 24x7, pemantauan proaktif, keamanan, penambalan, pencatatan, dan pencadangan, lihat Diagram Arsitektur Referensi AMS.

Topik

Rekomendasi penambalan

Jika Anda terlibat dalam operasi aplikasi atau infrastruktur, Anda memahami pentingnya solusi patching sistem operasi (OS) yang fleksibel dan cukup skalabel untuk memenuhi beragam persyaratan dari tim aplikasi Anda. Dalam organisasi tipikal, beberapa tim aplikasi menggunakan arsitektur yang melibatkan instance yang tidak dapat diubah sedangkan yang lain menyebarkan aplikasi mereka pada instance yang dapat berubah.

Untuk informasi selengkapnya tentang Panduan AWS Preskriptif untuk penambalan, lihat Penambalan otomatis untuk instance yang dapat berubah di cloud hybrid menggunakan. AWS Systems Manager

catatan

Accelerate Patch Add-On adalah fitur yang menyediakan penambalan berbasis tag untuk instance AMS. Ini memanfaatkan fungsionalitas AWS Systems Manager (SSM) sehingga Anda dapat menandai instance dan menambal instance tersebut menggunakan baseline dan jendela yang Anda konfigurasikan. AMS Accelerate Patch Add-On adalah opsi orientasi, jika Anda tidak mendapatkannya saat melakukan onboarding akun Accelerate, hubungi manajer pengiriman layanan cloud (CSDM) Anda untuk mendapatkannya.

Rekomendasi tanggung jawab tambalan

Proses patching untuk instance persisten harus melibatkan tim dan tindakan berikut:

  • Tim aplikasi (DevOps) mendefinisikan grup patch untuk server mereka berdasarkan lingkungan aplikasi, jenis OS, atau kriteria lainnya. Mereka juga mendefinisikan jendela pemeliharaan khusus untuk setiap grup patch. Informasi ini harus disimpan pada tag yang dilampirkan pada instance. Nama tag yang disarankan adalah 'Patch Group' dan 'Maintenance Window'. Selama setiap siklus patch, tim aplikasi bersiap untuk menambal, menguji aplikasi setelah menambal, dan memecahkan masalah apa pun dengan aplikasi dan OS mereka selama penambalan.

  • Tim operasi keamanan mendefinisikan baseline patch untuk berbagai jenis OS yang digunakan oleh tim aplikasi, dan membuat patch tersedia melalui Systems Manager Patch Manager.

  • Solusi patching otomatis berjalan secara teratur dan menyebarkan patch yang ditentukan dalam baseline patch, berdasarkan grup patch yang ditentukan pengguna dan jendela pemeliharaan.

  • Tim tata kelola dan kepatuhan menentukan pedoman penambalan dan proses & mekanisme pengecualian.

Untuk informasi selengkapnya, lihat Desain solusi Penambalan untuk instance yang dapat berubah EC2 .

Panduan untuk tim aplikasi

  • Tinjau dan menjadi akrab dengan membuat dan mengelola jendela pemeliharaan; lihat Windows AWS Systems Manager Pemeliharaan dan Membuat jendela Pemeliharaan SSM untuk ditambal untuk mempelajari lebih lanjut. Memahami struktur umum dan penggunaan jendela pemeliharaan membantu Anda memahami informasi apa yang harus diberikan jika Anda bukan orang yang membuatnya.

  • Untuk pengaturan Ketersediaan Tinggi (HA), rencanakan untuk memiliki satu jendela pemeliharaan per zona ketersediaan dan per lingkungan ()Dev/Test/Prod. Ini akan memastikan ketersediaan berkelanjutan selama penambalan.

  • Pemeliharaan yang Direkomendasikan Durasi jendela adalah 4 jam dengan cutoff 1 jam, ditambah 1 jam tambahan per 50 instans

  • Versi Patch Dev dan Test dengan waktu yang cukup di antara masing-masing untuk memungkinkan Anda mengidentifikasi potensi masalah sebelum penambalan Produksi.

  • Otomatiskan tugas pra dan sesudah penambalan umum melalui otomatisasi SSM dan jalankan sebagai tugas jendela pemeliharaan. Perhatikan bahwa untuk tugas pasca-penambalan Anda harus memastikan bahwa ada cukup waktu yang dialokasikan, karena tugas tidak akan diluncurkan setelah batas tercapai.

  • Kenali Patch Baseline dan fitur-fiturnya — terutama seputar penundaan persetujuan otomatis untuk jenis keparahan tambalan yang dapat digunakan untuk memastikan bahwa hanya tambalan yang diterapkan yang diterapkan di Produksi di Dev/Test kemudian hari. Lihat Tentang garis dasar tambalan untuk detailnya.

Panduan untuk tim operasi keamanan

  • Tinjau dan menjadi akrab dengan garis dasar tambalan. Persetujuan patch ditangani secara otomatis dan memiliki opsi aturan yang berbeda. Lihat Tentang garis dasar tambalan untuk informasi lebih lanjut.

  • Diskusikan kebutuhan seputar penambalan Dev/Test/Prod dengan tim aplikasi dan kembangkan beberapa garis dasar untuk mengakomodasi kebutuhan ini.

Panduan untuk tim tata kelola dan kepatuhan

  • Patching harus menjadi fungsi “Opt Out”. Jendela pemeliharaan default dan penandaan otomatis harus ada untuk memastikan tidak ada yang belum ditambal. AMS Resource Tagger dapat membantu dalam hal ini; diskusikan opsi ini dengan arsitek cloud (CA) atau manajer pengiriman layanan cloud (CSDM) Anda untuk panduan implementasi.

  • Permintaan pembebasan dari penambalan harus memerlukan dokumentasi yang membenarkan pengecualian. Seorang Chief Information Security Officer (CISO) atau petugas persetujuan lainnya harus menyetujui atau menolak permintaan tersebut.

  • Kepatuhan patching harus ditinjau pada jadwal reguler melalui konsol Patch Manager, Security Hub, atau scanner kerentanan.

Contoh desain untuk aplikasi Windows ketersediaan tinggi

Patch Tuesday schedule showing development, test, and production environments with baseline approval timelines.

Ikhtisar:

  • Satu Jendela Pemeliharaan per AZ.

  • Satu Set Windows Pemeliharaan per Lingkungan.

  • Satu Patch Baseline per Lingkungan:

    • Dev: Menyetujui semua tingkat keparahan dan klasifikasi setelah 0 hari.

    • Tes: Menyetujui patch pembaruan keamanan kritis setelah 0 hari dan semua tingkat keparahan dan klasifikasi lainnya setelah 7 hari.

    • Prod: Menyetujui patch pembaruan keamanan kritis setelah 0 hari dan semua tingkat keparahan dan klasifikasi lainnya setelah 14 hari.

CloudFormation Skrip:

Skrip ini disiapkan untuk membangun jendela pemeliharaan, garis dasar, dan tugas penambalan untuk dua zona ketersediaan EC2 aplikasi Windows HA menggunakan pengaturan persetujuan dasar yang dijelaskan di atas.

Rekomendasi tambalan FAQs

T: Bagaimana cara menangani patching tak terjadwal untuk eksploitasi “0" hari?

J: SSM mendukung fitur Patch Now yang menggunakan baseline default saat ini untuk OS instans. AMS menerapkan set default Patch Baseline yang menyetujui semua patch setelah 0 hari. Namun, saat menggunakan fitur Patch Now, snapshot pra-tambalan tidak diambil, karena perintah ini menjalankan dokumen AWS- RunPatchBaseline SSM. Kami menyarankan Anda mengambil cadangan manual sebelum menambal.

T: Apakah AMS mendukung penambalan untuk instance di Grup Penskalaan Otomatis ()? ASGs

A: Tidak. Saat ini, penambalan ASG tidak didukung untuk pelanggan Accelerate.

T: Apakah ada batasan untuk Pemeliharaan Windows yang perlu diingat?

A: Ya, ada beberapa batasan yang harus Anda waspadai.

  • Pemeliharaan Windows per Akun: 50

  • Tugas per Jendela Pemeliharaan: 20

  • Jumlah maksimum otomatisasi bersamaan per Jendela Pemeliharaan: 20

  • Jumlah maksimum Windows Pemeliharaan bersamaan: 5

Untuk daftar lengkap batas SSM default, lihat AWS Systems Manager titik akhir dan kuota.