AWS Systems Manager Patch Manager - AWS Systems Manager
Bagaimana bisa Patch Manager menguntungkan organisasi saya?Siapa yang harus menggunakanPatch Manager?Apa saja fitur utamaPatch Manager?Apa itu kepatuhanPatch Manager?Komponen utama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Systems Manager Patch Manager

Patch Manager, alat di AWS Systems Manager, mengotomatiskan proses menambal node yang dikelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya.

catatan

Systems Manager menyediakan dukungan untuk kebijakan patch diQuick Setup, alat di AWS Systems Manager. Menggunakan kebijakan tambalan adalah metode yang disarankan untuk mengonfigurasi operasi penambalan Anda. Dengan menggunakan konfigurasi kebijakan tambalan tunggal, Anda dapat menentukan penambalan untuk semua akun di semua Wilayah di organisasi Anda; hanya untuk akun dan Wilayah yang Anda pilih; atau untuk satu pasangan Account-region. Untuk informasi selengkapnya, lihat Konfigurasi kebijakan tambalan di Quick Setup.

Anda dapat menggunakan Patch Manager untuk menerapkan tambalan untuk sistem operasi dan aplikasi. (Pada Windows Server, dukungan aplikasi terbatas pada pembaruan untuk aplikasi yang dirilis oleh Microsoft.) Anda dapat menggunakan Patch Manager untuk menginstal Paket Layanan pada node Windows dan melakukan upgrade versi minor pada node Linux. Anda dapat menambal armada instans Amazon Elastic Compute Cloud EC2 (Amazon), perangkat edge, server lokal, dan mesin virtual (VMs) berdasarkan jenis sistem operasi. Ini termasuk versi yang didukung dari beberapa sistem operasi, seperti yang tercantum dalamPrasyarat Patch Manager. Anda dapat memindai instans untuk melihat laporan patch yang hilang saja, atau Anda dapat memindai dan secara otomatis menginstal semua patch yang hilang. Untuk memulaiPatch Manager, buka konsol Systems Manager. Di panel navigasi, pilih Patch Manager.

AWS tidak menguji tambalan sebelum membuatnya tersedia diPatch Manager. Selain Patch Manager itu, tidak mendukung peningkatan versi utama sistem operasi, seperti Windows Server 2016 hingga Windows Server 2019, atau SUSE Linux Enterprise Server (SLES) 12.0 hingga SLES 15.0.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System (CVSS), atau dari metrik yang dirilis oleh National Vulnerability Database (NVD).

Bagaimana bisa Patch Manager menguntungkan organisasi saya?

Patch Managermengotomatiskan proses menambal node terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Ini memberikan beberapa manfaat utama:

  • Kontrol penambalan terpusat —Dengan menggunakan kebijakan tambalan, Anda dapat menyiapkan operasi penambalan berulang untuk semua akun di semua Wilayah di organisasi, akun dan Wilayah tertentu, atau satu pasangan Account-region.

  • Operasi penambalan fleksibel - Anda dapat memilih untuk memindai instance untuk hanya melihat laporan tambalan yang hilang, atau memindai dan secara otomatis menginstal semua tambalan yang hilang.

  • Pelaporan kepatuhan komprehensif — Setelah operasi pemindaian, Anda dapat melihat informasi terperinci tentang node terkelola mana yang tidak sesuai dengan patch dan patch mana yang hilang.

  • Dukungan lintas platform — Patch Manager mendukung beberapa sistem operasi termasuk berbagai distribusi Linux,macOS, dan. Windows Server

  • Garis dasar patch kustom — Anda dapat menentukan apa yang merupakan kepatuhan patch untuk organisasi Anda melalui baseline patch kustom yang menentukan patch mana yang disetujui untuk instalasi.

  • Integrasi dengan AWS layanan lain — Patch Manager terintegrasi dengan AWS Organizations, AWS Security Hub, AWS CloudTrail, dan AWS Config untuk meningkatkan manajemen dan keamanan.

  • Peningkatan deterministik - Dukungan untuk peningkatan deterministik melalui repositori berversi untuk sistem operasi seperti Amazon Linux 2023.

Siapa yang harus menggunakanPatch Manager?

Patch Managerdirancang untuk yang berikut:

  • Administrator TI yang perlu mempertahankan kepatuhan patch di seluruh armada node terkelola mereka

  • Manajer operasi yang membutuhkan visibilitas ke status kepatuhan patch di seluruh infrastruktur mereka

  • Arsitek cloud yang ingin menerapkan solusi patching otomatis dalam skala besar

  • DevOps insinyur yang perlu mengintegrasikan patching ke dalam alur kerja operasional mereka

  • Organizations dengan penyebaran Multi-akun/Multi-wilayah yang membutuhkan manajemen patch terpusat

  • Siapa pun yang bertanggung jawab untuk menjaga postur keamanan dan kesehatan operasional node AWS terkelola, perangkat edge, server lokal, dan mesin virtual

Apa saja fitur utamaPatch Manager?

Patch Managermenawarkan beberapa fitur utama:

  • Kebijakan tambalan — Konfigurasikan operasi penambalan di beberapa Akun AWS dan Wilayah menggunakan satu kebijakan melalui integrasi dengan AWS Organizations.

  • Garis dasar patch kustom - Tentukan aturan untuk patch yang disetujui secara otomatis dalam beberapa hari setelah rilis, bersama dengan daftar tambalan yang disetujui dan ditolak.

  • Beberapa metode penambalan — Pilih dari kebijakan tambalan, jendela pemeliharaan, atau operasi “Patch now” sesuai permintaan untuk memenuhi kebutuhan spesifik Anda.

  • Pelaporan kepatuhan — Buat laporan terperinci tentang status kepatuhan tambalan yang dapat dikirim ke bucket Amazon S3 dalam format CSV.

  • Dukungan lintas platform - Patch baik sistem operasi dan aplikasi di seluruhWindows Server, berbagai distribusi Linux, dan. macOS

  • Fleksibilitas penjadwalan - Tetapkan jadwal yang berbeda untuk memindai dan menginstal tambalan menggunakan ekspresi CRON atau Rate kustom.

  • Lifecycle hooks — Jalankan skrip kustom sebelum dan sesudah operasi patching menggunakan dokumen Systems Manager.

  • Fokus keamanan — Secara default, Patch Manager berfokus pada pembaruan terkait keamanan daripada menginstal semua tambalan yang tersedia.

  • Kontrol tingkat - Konfigurasikan ambang konkurensi dan kesalahan untuk operasi penambalan untuk meminimalkan dampak operasional.

Apa itu kepatuhanPatch Manager?

Patokan untuk apa yang merupakan kepatuhan patch untuk node terkelola dalam armada Systems Manager Anda tidak ditentukan oleh AWS, oleh vendor sistem operasi (OS), atau oleh pihak ketiga seperti perusahaan konsultan keamanan.

Sebagai gantinya, Anda menentukan apa arti kepatuhan patch untuk node terkelola di organisasi atau akun Anda di baseline patch. Patch baseline adalah konfigurasi yang menentukan aturan yang patch harus diinstal pada node terkelola. Node terkelola sesuai dengan patch saat up to date dengan semua patch yang memenuhi kriteria persetujuan yang Anda tentukan di baseline patch.

Perhatikan bahwa sesuai dengan baseline patch tidak berarti bahwa node terkelola selalu aman. Compliant berarti bahwa patch yang ditentukan oleh baseline patch yang tersedia dan disetujui telah diinstal pada node. Keamanan keseluruhan node terkelola ditentukan oleh banyak faktor di luar lingkupPatch Manager. Untuk informasi selengkapnya, lihat Keamanan di AWS Systems Manager.

Setiap baseline patch adalah konfigurasi untuk jenis sistem operasi (OS) tertentu yang didukung, seperti Red Hat Enterprise Linux (RHEL)macOS, atau. Windows Server Garis dasar patch dapat menentukan aturan patching untuk semua versi OS yang didukung atau dibatasi hanya untuk yang Anda tentukan, seperti RHEL 6.10, RHEL 7.8., dan 9.3. RHEL

Dalam garis dasar tambalan, Anda dapat menentukan bahwa semua tambalan klasifikasi dan tingkat keparahan tertentu disetujui untuk pemasangan. Misalnya, Anda mungkin menyertakan semua tambalan yang diklasifikasikan sebagai Security tetapi mengecualikan klasifikasi lain, seperti Bugfix atau. Enhancement Dan Anda bisa memasukkan semua tambalan dengan tingkat keparahan Critical dan mengecualikan yang lain, seperti Important danModerate.

Anda juga dapat menentukan tambalan secara eksplisit dalam baseline patch dengan menambahkannya IDs ke daftar tambalan tertentu untuk disetujui atau ditolak, seperti untuk atau Windows Server untuk dbus.x86_64:1:1.12.28-1.amzn2023.0.1 Amazon Linux 2023 (023KB2736693). AL2 Anda dapat secara opsional menentukan jumlah hari tertentu untuk menunggu penambalan setelah tambalan tersedia. Untuk Linux danmacOS, Anda memiliki opsi untuk menentukan daftar patch eksternal untuk kepatuhan (daftar Install Override) alih-alih yang ditentukan oleh aturan dasar patch.

Saat operasi penambalan berjalan, Patch Manager bandingkan tambalan yang saat ini diterapkan ke node terkelola dengan yang harus diterapkan sesuai dengan aturan yang diatur di baseline patch atau daftar Install Override. Anda dapat memilih untuk menunjukkan Patch Manager kepada Anda hanya laporan patch yang hilang (Scanoperasi), atau Anda dapat memilih Patch Manager untuk secara otomatis menginstal semua patch yang ditemukan hilang dari node terkelola (Scan and installoperasi).

Patch Managermenyediakan baseline patch standar yang dapat Anda gunakan untuk operasi patching Anda; namun, konfigurasi yang telah ditentukan ini disediakan sebagai contoh dan bukan sebagai praktik terbaik yang direkomendasikan. Kami menyarankan Anda membuat baseline patch kustom Anda sendiri untuk melakukan kontrol yang lebih besar atas apa yang merupakan kepatuhan patch untuk armada Anda.

Untuk informasi selengkapnya tentang garis dasar tambalan, lihat topik berikut:

Komponen utama

Sebelum Anda mulai bekerja dengan Patch Manager alat ini, Anda harus membiasakan diri dengan beberapa komponen dan fitur utama dari operasi penambalan alat.

Garis dasar patch

Patch Managermenggunakan garis dasar tambalan, yang mencakup aturan untuk patch yang menyetujui otomatis dalam beberapa hari setelah rilis, selain daftar opsional tambalan yang disetujui dan ditolak. Saat operasi penambalan berjalan, Patch Manager bandingkan tambalan yang saat ini diterapkan ke node terkelola dengan yang harus diterapkan sesuai dengan aturan yang diatur di baseline patch. Anda dapat memilih untuk menunjukkan Patch Manager kepada Anda hanya laporan patch yang hilang (Scanoperasi), atau Anda dapat memilih Patch Manager untuk secara otomatis menginstal semua patch yang ditemukan hilang dari node terkelola (Scan and installoperasi).

Metode operasi penambalan

Patch Managersaat ini menawarkan empat metode untuk menjalankan Scan dan Scan and install operasi:

  • (Disarankan) Kebijakan tambalan yang dikonfigurasi dalam Quick Setup — Berdasarkan integrasi dengan AWS Organizations, kebijakan tambalan tunggal dapat menentukan jadwal penambalan dan garis dasar tambalan untuk seluruh organisasi, termasuk beberapa Akun AWS dan semua akun Wilayah AWS tersebut beroperasi. Kebijakan patch juga dapat menargetkan hanya beberapa unit organisasi (OUs) dalam suatu organisasi. Anda dapat menggunakan kebijakan patch tunggal untuk memindai dan menginstal pada jadwal yang berbeda. Untuk informasi selengkapnya, lihat Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup dan Konfigurasi kebijakan tambalan di Quick Setup.

  • Opsi Manajemen Host yang dikonfigurasi dalam Quick Setup - Konfigurasi Manajemen Host juga didukung oleh integrasi dengan AWS Organizations, sehingga memungkinkan untuk menjalankan operasi penambalan hingga seluruh Organisasi. Namun, opsi ini terbatas pada pemindaian tambalan yang hilang menggunakan baseline patch default saat ini dan memberikan hasil dalam laporan kepatuhan. Metode operasi ini tidak dapat menginstal tambalan. Untuk informasi selengkapnya, lihat Siapkan manajemen EC2 host Amazon menggunakan Quick Setup.

  • Jendela pemeliharaan untuk menjalankan tambalan Scan atau Install tugas - Jendela pemeliharaan, yang Anda atur di alat Systems Manager yang disebutMaintenance Windows, dapat dikonfigurasi untuk menjalankan berbagai jenis tugas pada jadwal yang Anda tentukan. Tugas Run Command -type dapat digunakan untuk menjalankan Scan atau Scan and install tugas sekumpulan node terkelola yang Anda pilih. Setiap tugas jendela pemeliharaan dapat menargetkan node terkelola hanya dalam satu Akun AWSWilayah AWS pasangan. Untuk informasi selengkapnya, lihat Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol.

  • Patch sesuai permintaan sekarang beroperasi di Patch Manager — Opsi Patch now memungkinkan Anda melewati pengaturan jadwal saat Anda perlu menambal node yang dikelola secepat mungkin. Menggunakan Patch sekarang, Anda menentukan apakah akan menjalankan Scan atau Scan and install operasi dan node yang dikelola untuk menjalankan operasi. Anda juga dapat memilih untuk menjalankan dokumen Systems Manager (dokumen SSM) sebagai kait siklus hidup selama operasi penambalan. Setiap operasi Patch sekarang dapat menargetkan node terkelola hanya dalam satu Akun AWSWilayah AWS pasangan. Untuk informasi selengkapnya, lihat Menambal node terkelola sesuai permintaan.

Pelaporan kepatuhan

Setelah Scan operasi, Anda dapat menggunakan konsol Systems Manager untuk melihat informasi tentang node terkelola mana yang tidak sesuai dengan patch, dan patch mana yang hilang dari masing-masing node tersebut. Anda juga dapat membuat laporan kepatuhan patch dalam format.csv yang dikirim ke bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) pilihan Anda. Anda dapat membuat laporan satu kali, atau membuat laporan pada jadwal rutin. Untuk satu node terkelola, laporan menyertakan detail semua tambalan untuk node. Untuk laporan tentang semua node terkelola, hanya ringkasan berapa banyak tambalan yang hilang yang disediakan. Setelah laporan dibuat, Anda dapat menggunakan alat seperti Amazon QuickSight untuk mengimpor dan menganalisis data. Untuk informasi selengkapnya, lihat Bekerja dengan laporan kepatuhan patch.

catatan

Item kepatuhan yang dihasilkan melalui penggunaan kebijakan tambalan memiliki jenis eksekusiPatchPolicy. Item kepatuhan yang tidak dihasilkan dalam operasi kebijakan tambalan memiliki jenis eksekusiCommand.

Integrasi

Patch Managerterintegrasi dengan yang lain Layanan AWS berikut:

Topik