Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Systems Manager Patch Manager
Patch Manager, alat di AWS Systems Manager, mengotomatiskan proses menambal node yang dikelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya.
catatan
Systems Manager menyediakan dukungan untuk kebijakan patch diQuick Setup, alat di AWS Systems Manager. Menggunakan kebijakan tambalan adalah metode yang disarankan untuk mengonfigurasi operasi penambalan Anda. Dengan menggunakan konfigurasi kebijakan tambalan tunggal, Anda dapat menentukan penambalan untuk semua akun di semua Wilayah di organisasi Anda; hanya untuk akun dan Wilayah yang Anda pilih; atau untuk satu pasangan Account-region. Untuk informasi selengkapnya, lihat Konfigurasi kebijakan tambalan di Quick Setup.
Anda dapat menggunakan Patch Manager untuk menerapkan tambalan untuk sistem operasi dan aplikasi. (Pada Windows Server, dukungan aplikasi terbatas pada pembaruan untuk aplikasi yang dirilis oleh Microsoft.) Anda dapat menggunakan Patch Manager untuk menginstal Paket Layanan pada node Windows dan melakukan upgrade versi minor pada node Linux. Anda dapat menambal armada instans Amazon Elastic Compute Cloud EC2 (Amazon), perangkat edge, server lokal, dan mesin virtual (VMs) berdasarkan jenis sistem operasi. Ini termasuk versi yang didukung dari beberapa sistem operasi, seperti yang tercantum dalamPrasyarat Patch Manager. Anda dapat memindai instans untuk melihat laporan patch yang hilang saja, atau Anda dapat memindai dan secara otomatis menginstal semua patch yang hilang. Untuk memulaiPatch Manager, buka konsol Systems Manager
AWS tidak menguji tambalan sebelum membuatnya tersedia diPatch Manager. Selain Patch Manager itu, tidak mendukung peningkatan versi utama sistem operasi, seperti Windows Server 2016 hingga Windows Server 2019, atau SUSE Linux Enterprise Server (SLES) 12.0 hingga SLES 15.0.
Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System
Bagaimana bisa Patch Manager menguntungkan organisasi saya?
Patch Managermengotomatiskan proses menambal node terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Ini memberikan beberapa manfaat utama:
-
Kontrol penambalan terpusat —Dengan menggunakan kebijakan tambalan, Anda dapat menyiapkan operasi penambalan berulang untuk semua akun di semua Wilayah di organisasi, akun dan Wilayah tertentu, atau satu pasangan Account-region.
-
Operasi penambalan fleksibel - Anda dapat memilih untuk memindai instance untuk hanya melihat laporan tambalan yang hilang, atau memindai dan secara otomatis menginstal semua tambalan yang hilang.
-
Pelaporan kepatuhan komprehensif — Setelah operasi pemindaian, Anda dapat melihat informasi terperinci tentang node terkelola mana yang tidak sesuai dengan patch dan patch mana yang hilang.
-
Dukungan lintas platform — Patch Manager mendukung beberapa sistem operasi termasuk berbagai distribusi Linux,macOS, dan. Windows Server
-
Garis dasar patch kustom — Anda dapat menentukan apa yang merupakan kepatuhan patch untuk organisasi Anda melalui baseline patch kustom yang menentukan patch mana yang disetujui untuk instalasi.
-
Integrasi dengan AWS layanan lain — Patch Manager terintegrasi dengan AWS Organizations, AWS Security Hub, AWS CloudTrail, dan AWS Config untuk meningkatkan manajemen dan keamanan.
-
Peningkatan deterministik - Dukungan untuk peningkatan deterministik melalui repositori berversi untuk sistem operasi seperti Amazon Linux 2023.
Siapa yang harus menggunakanPatch Manager?
Patch Managerdirancang untuk yang berikut:
-
Administrator TI yang perlu mempertahankan kepatuhan patch di seluruh armada node terkelola mereka
-
Manajer operasi yang membutuhkan visibilitas ke status kepatuhan patch di seluruh infrastruktur mereka
-
Arsitek cloud yang ingin menerapkan solusi patching otomatis dalam skala besar
-
DevOps insinyur yang perlu mengintegrasikan patching ke dalam alur kerja operasional mereka
-
Organizations dengan penyebaran Multi-akun/Multi-wilayah yang membutuhkan manajemen patch terpusat
-
Siapa pun yang bertanggung jawab untuk menjaga postur keamanan dan kesehatan operasional node AWS terkelola, perangkat edge, server lokal, dan mesin virtual
Apa saja fitur utamaPatch Manager?
Patch Managermenawarkan beberapa fitur utama:
-
Kebijakan tambalan — Konfigurasikan operasi penambalan di beberapa Akun AWS dan Wilayah menggunakan satu kebijakan melalui integrasi dengan AWS Organizations.
-
Garis dasar patch kustom - Tentukan aturan untuk patch yang disetujui secara otomatis dalam beberapa hari setelah rilis, bersama dengan daftar tambalan yang disetujui dan ditolak.
-
Beberapa metode penambalan — Pilih dari kebijakan tambalan, jendela pemeliharaan, atau operasi “Patch now” sesuai permintaan untuk memenuhi kebutuhan spesifik Anda.
-
Pelaporan kepatuhan — Buat laporan terperinci tentang status kepatuhan tambalan yang dapat dikirim ke bucket Amazon S3 dalam format CSV.
-
Dukungan lintas platform - Patch baik sistem operasi dan aplikasi di seluruhWindows Server, berbagai distribusi Linux, dan. macOS
-
Fleksibilitas penjadwalan - Tetapkan jadwal yang berbeda untuk memindai dan menginstal tambalan menggunakan ekspresi CRON atau Rate kustom.
-
Lifecycle hooks — Jalankan skrip kustom sebelum dan sesudah operasi patching menggunakan dokumen Systems Manager.
-
Fokus keamanan — Secara default, Patch Manager berfokus pada pembaruan terkait keamanan daripada menginstal semua tambalan yang tersedia.
-
Kontrol tingkat - Konfigurasikan ambang konkurensi dan kesalahan untuk operasi penambalan untuk meminimalkan dampak operasional.
Apa itu kepatuhanPatch Manager?
Patokan untuk apa yang merupakan kepatuhan patch untuk node terkelola dalam armada Systems Manager Anda tidak ditentukan oleh AWS, oleh vendor sistem operasi (OS), atau oleh pihak ketiga seperti perusahaan konsultan keamanan.
Sebagai gantinya, Anda menentukan apa arti kepatuhan patch untuk node terkelola di organisasi atau akun Anda di baseline patch. Patch baseline adalah konfigurasi yang menentukan aturan yang patch harus diinstal pada node terkelola. Node terkelola sesuai dengan patch saat up to date dengan semua patch yang memenuhi kriteria persetujuan yang Anda tentukan di baseline patch.
Perhatikan bahwa sesuai dengan baseline patch tidak berarti bahwa node terkelola selalu aman. Compliant berarti bahwa patch yang ditentukan oleh baseline patch yang tersedia dan disetujui telah diinstal pada node. Keamanan keseluruhan node terkelola ditentukan oleh banyak faktor di luar lingkupPatch Manager. Untuk informasi selengkapnya, lihat Keamanan di AWS Systems Manager.
Setiap baseline patch adalah konfigurasi untuk jenis sistem operasi (OS) tertentu yang didukung, seperti Red Hat Enterprise Linux (RHEL)macOS, atau. Windows Server Garis dasar patch dapat menentukan aturan patching untuk semua versi OS yang didukung atau dibatasi hanya untuk yang Anda tentukan, seperti RHEL 6.10, RHEL 7.8., dan 9.3. RHEL
Dalam garis dasar tambalan, Anda dapat menentukan bahwa semua tambalan klasifikasi dan tingkat keparahan tertentu disetujui untuk pemasangan. Misalnya, Anda mungkin menyertakan semua tambalan yang diklasifikasikan sebagai Security
tetapi mengecualikan klasifikasi lain, seperti Bugfix
atau. Enhancement
Dan Anda bisa memasukkan semua tambalan dengan tingkat keparahan Critical
dan mengecualikan yang lain, seperti Important
danModerate
.
Anda juga dapat menentukan tambalan secara eksplisit dalam baseline patch dengan menambahkannya IDs ke daftar tambalan tertentu untuk disetujui atau ditolak, seperti untuk atau Windows Server untuk dbus.x86_64:1:1.12.28-1.amzn2023.0.1
Amazon Linux 2023 (023KB2736693
). AL2 Anda dapat secara opsional menentukan jumlah hari tertentu untuk menunggu penambalan setelah tambalan tersedia. Untuk Linux danmacOS, Anda memiliki opsi untuk menentukan daftar patch eksternal untuk kepatuhan (daftar Install Override) alih-alih yang ditentukan oleh aturan dasar patch.
Saat operasi penambalan berjalan, Patch Manager bandingkan tambalan yang saat ini diterapkan ke node terkelola dengan yang harus diterapkan sesuai dengan aturan yang diatur di baseline patch atau daftar Install Override. Anda dapat memilih untuk menunjukkan Patch Manager kepada Anda hanya laporan patch yang hilang (Scan
operasi), atau Anda dapat memilih Patch Manager untuk secara otomatis menginstal semua patch yang ditemukan hilang dari node terkelola (Scan and install
operasi).
Patch Managermenyediakan baseline patch standar yang dapat Anda gunakan untuk operasi patching Anda; namun, konfigurasi yang telah ditentukan ini disediakan sebagai contoh dan bukan sebagai praktik terbaik yang direkomendasikan. Kami menyarankan Anda membuat baseline patch kustom Anda sendiri untuk melakukan kontrol yang lebih besar atas apa yang merupakan kepatuhan patch untuk armada Anda.
Untuk informasi selengkapnya tentang garis dasar tambalan, lihat topik berikut:
Komponen utama
Sebelum Anda mulai bekerja dengan Patch Manager alat ini, Anda harus membiasakan diri dengan beberapa komponen dan fitur utama dari operasi penambalan alat.
Garis dasar patch
Patch Managermenggunakan garis dasar tambalan, yang mencakup aturan untuk patch yang menyetujui otomatis dalam beberapa hari setelah rilis, selain daftar opsional tambalan yang disetujui dan ditolak. Saat operasi penambalan berjalan, Patch Manager bandingkan tambalan yang saat ini diterapkan ke node terkelola dengan yang harus diterapkan sesuai dengan aturan yang diatur di baseline patch. Anda dapat memilih untuk menunjukkan Patch Manager kepada Anda hanya laporan patch yang hilang (Scan
operasi), atau Anda dapat memilih Patch Manager untuk secara otomatis menginstal semua patch yang ditemukan hilang dari node terkelola (Scan and install
operasi).
Metode operasi penambalan
Patch Managersaat ini menawarkan empat metode untuk menjalankan Scan
dan Scan and install
operasi:
-
(Disarankan) Kebijakan tambalan yang dikonfigurasi dalam Quick Setup — Berdasarkan integrasi dengan AWS Organizations, kebijakan tambalan tunggal dapat menentukan jadwal penambalan dan garis dasar tambalan untuk seluruh organisasi, termasuk beberapa Akun AWS dan semua akun Wilayah AWS tersebut beroperasi. Kebijakan patch juga dapat menargetkan hanya beberapa unit organisasi (OUs) dalam suatu organisasi. Anda dapat menggunakan kebijakan patch tunggal untuk memindai dan menginstal pada jadwal yang berbeda. Untuk informasi selengkapnya, lihat Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup dan Konfigurasi kebijakan tambalan di Quick Setup.
-
Opsi Manajemen Host yang dikonfigurasi dalam Quick Setup - Konfigurasi Manajemen Host juga didukung oleh integrasi dengan AWS Organizations, sehingga memungkinkan untuk menjalankan operasi penambalan hingga seluruh Organisasi. Namun, opsi ini terbatas pada pemindaian tambalan yang hilang menggunakan baseline patch default saat ini dan memberikan hasil dalam laporan kepatuhan. Metode operasi ini tidak dapat menginstal tambalan. Untuk informasi selengkapnya, lihat Siapkan manajemen EC2 host Amazon menggunakan Quick Setup.
-
Jendela pemeliharaan untuk menjalankan tambalan
Scan
atauInstall
tugas - Jendela pemeliharaan, yang Anda atur di alat Systems Manager yang disebutMaintenance Windows, dapat dikonfigurasi untuk menjalankan berbagai jenis tugas pada jadwal yang Anda tentukan. Tugas Run Command -type dapat digunakan untuk menjalankanScan
atauScan and install
tugas sekumpulan node terkelola yang Anda pilih. Setiap tugas jendela pemeliharaan dapat menargetkan node terkelola hanya dalam satu Akun AWSWilayah AWS pasangan. Untuk informasi selengkapnya, lihat Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol. -
Patch sesuai permintaan sekarang beroperasi di Patch Manager — Opsi Patch now memungkinkan Anda melewati pengaturan jadwal saat Anda perlu menambal node yang dikelola secepat mungkin. Menggunakan Patch sekarang, Anda menentukan apakah akan menjalankan
Scan
atauScan and install
operasi dan node yang dikelola untuk menjalankan operasi. Anda juga dapat memilih untuk menjalankan dokumen Systems Manager (dokumen SSM) sebagai kait siklus hidup selama operasi penambalan. Setiap operasi Patch sekarang dapat menargetkan node terkelola hanya dalam satu Akun AWSWilayah AWS pasangan. Untuk informasi selengkapnya, lihat Menambal node terkelola sesuai permintaan.
Pelaporan kepatuhan
Setelah Scan
operasi, Anda dapat menggunakan konsol Systems Manager untuk melihat informasi tentang node terkelola mana yang tidak sesuai dengan patch, dan patch mana yang hilang dari masing-masing node tersebut. Anda juga dapat membuat laporan kepatuhan patch dalam format.csv yang dikirim ke bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) pilihan Anda. Anda dapat membuat laporan satu kali, atau membuat laporan pada jadwal rutin. Untuk satu node terkelola, laporan menyertakan detail semua tambalan untuk node. Untuk laporan tentang semua node terkelola, hanya ringkasan berapa banyak tambalan yang hilang yang disediakan. Setelah laporan dibuat, Anda dapat menggunakan alat seperti Amazon QuickSight untuk mengimpor dan menganalisis data. Untuk informasi selengkapnya, lihat Bekerja dengan laporan kepatuhan patch.
catatan
Item kepatuhan yang dihasilkan melalui penggunaan kebijakan tambalan memiliki jenis eksekusiPatchPolicy
. Item kepatuhan yang tidak dihasilkan dalam operasi kebijakan tambalan memiliki jenis eksekusiCommand
.
Integrasi
Patch Managerterintegrasi dengan yang lain Layanan AWS berikut:
-
AWS Identity and Access Management (IAM) — Gunakan IAM untuk mengontrol pengguna, grup, dan peran mana yang memiliki akses ke Patch Manager operasi. Untuk informasi selengkapnya, lihat Bagaimana AWS Systems Manager bekerja dengan IAM dan Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.
-
AWS CloudTrail— Gunakan CloudTrail untuk merekam riwayat yang dapat diaudit dari peristiwa operasi penambalan yang diprakarsai oleh pengguna, peran, atau grup. Untuk informasi selengkapnya, lihat Logging panggilan AWS Systems Manager API dengan AWS CloudTrail.
-
AWS Security Hub— Data kepatuhan Patch dari Patch Manager dapat dikirim ke AWS Security Hub. Security Hub memberi Anda pandangan komprehensif tentang pemberitahuan keamanan prioritas tinggi dan status kepatuhan Anda. Hub juga memantau status patching armada Anda. Untuk informasi selengkapnya, lihat Mengintegrasikan Patch Manager dengan AWS Security Hub.
-
AWS Config— Siapkan rekaman AWS Config untuk melihat data manajemen EC2 instans Amazon di Patch Manager Dasbor. Lihat informasi yang lebih lengkap di Melihat ringkasan Patch Dasbor.