AWS Systems Manager Patch Manager - AWS Systems Manager
Quali sono i vantaggi di Patch Manager per la mia organizzazione?A chi è consigliato l'uso di Patch Manager?Quali sono le caratteristiche principali del Patch Manager?In cosa consiste la conformità? Patch ManagerComponenti principali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager Patch Manager

Patch Manager, uno strumento in AWS Systems Manager, automatizza il processo di applicazione di patch ai nodi gestiti sia con aggiornamenti relativi alla sicurezza che con altri tipi di aggiornamenti.

Nota

Systems Manager fornisce supporto per le politiche di patch inQuick Setup, uno strumento in AWS Systems Manager. L'utilizzo delle policy di patch è il metodo consigliato per configurare le operazioni di applicazione di patch. Con una singola configurazione delle policy di patch, è possibile definire l'applicazione di patch per tutti gli account in tutte le regioni dell'organizzazione, per regioni e account selezionati o per una singola coppia account-regione. Per ulteriori informazioni, consulta Configurazioni delle policy di patch in Quick Setup.

È possibile utilizzare Patch Manager per applicare patch sia per i sistemi operativi sia per le applicazioni. (In Windows Server, il supporto delle applicazioni è limitato ai soli aggiornamenti delle applicazioni Microsoft). È possibile utilizzare Patch Manager per installare Service Pack nei nodi di Windows ed eseguire aggiornamenti di versione secondari sui nodi di Linux. Puoi applicare patch a flotte di istanze Amazon Elastic Compute Cloud EC2 (Amazon), dispositivi edge, server locali e macchine virtuali (VMs) in base al tipo di sistema operativo. Sono incluse le versioni supportate di diversi sistemi operativi, come elencato su Prerequisiti di Patch Manager. È possibile analizzare le istanze per visualizzare solo un report delle patch mancanti, oppure analizzare e installare automaticamente tutte le patch mancanti. Per iniziare a utilizzare Patch Manager, apri la console di Systems Manager. Nel pannello di navigazione, scegli Patch Manager.

AWS non testa le patch prima di renderle disponibili in. Patch Manager Inoltre, Patch Manager non supporta l'aggiornamento delle versioni principali dei sistemi operativi, ad esempio da Windows Server 2016 a Windows Server 2019, o da SUSE Linux Enterprise Server (SLES) 12.0 a SLES 15.0.

Per i sistemi operativi basati su Linux che segnalano un livello di gravità per le patch, Patch Manager utilizza il livello di gravità riportato dal publisher del software per la notifica di aggiornamento o la singola patch. Patch Manager non ottiene i livelli di gravità da fonti di terze parti, come il CVSS (Common Vulnerability Scoring System), o dai parametri rilasciati dall'NVD (National Vulnerability Database).

Quali sono i vantaggi di Patch Manager per la mia organizzazione?

Patch Managerautomatizza il processo di applicazione di patch ai nodi gestiti sia con aggiornamenti relativi alla sicurezza che con altri tipi di aggiornamenti. Offre diversi vantaggi chiave:

  • Controllo centralizzato delle patch: utilizzando le policy relative alle patch, è possibile impostare operazioni di patch ricorrenti per tutti gli account in tutte le regioni dell'organizzazione, account e regioni specifici o una singola coppia account-area.

  • Operazioni di patch flessibili: puoi scegliere di scansionare le istanze per visualizzare solo un rapporto sulle patch mancanti oppure scansionare e installare automaticamente tutte le patch mancanti.

  • Report completi sulla conformità: dopo le operazioni di scansione, è possibile visualizzare informazioni dettagliate su quali nodi gestiti non sono conformi alle patch e quali patch mancano.

  • Supporto multipiattaforma: Patch Manager supporta più sistemi operativi, tra cui varie distribuzioni Linux, macOS e. Windows Server

  • Linee di base delle patch personalizzate: è possibile definire ciò che costituisce la conformità delle patch per l'organizzazione tramite linee di base delle patch personalizzate che specificano quali patch sono approvate per l'installazione.

  • Integrazione con altri AWS servizi: Patch Manager si integra con AWS Organizations AWS Security Hub, e per una gestione e AWS Config una AWS CloudTrail sicurezza avanzate.

  • Aggiornamenti deterministici: supporto per gli aggiornamenti deterministici tramite repository con versioni per sistemi operativi come Amazon Linux 2023.

A chi è consigliato l'uso di Patch Manager?

Patch Managerè progettato per quanto segue:

  • Amministratori IT che devono mantenere la conformità delle patch in tutta la flotta di nodi gestiti

  • Responsabili delle operazioni che necessitano di visibilità sullo stato di conformità delle patch nell'intera infrastruttura

  • Architetti del cloud che desiderano implementare soluzioni di patching automatizzate su larga scala

  • DevOps ingegneri che devono integrare l'applicazione delle patch nei propri flussi di lavoro operativi

  • Organizzazioni con implementazioni con più account/più regioni che necessitano di una gestione centralizzata delle patch

  • Chiunque sia responsabile del mantenimento del livello di sicurezza e dell'integrità operativa dei nodi AWS gestiti, dei dispositivi perimetrali, dei server locali e delle macchine virtuali

Quali sono le caratteristiche principali del Patch Manager?

Patch Manageroffre diverse funzionalità chiave:

  • Politiche di patch: configura le operazioni di patching su più Account AWS regioni utilizzando un'unica politica tramite l'integrazione con AWS Organizations.

  • Linee di base personalizzate per le patch: definisci le regole per l'approvazione automatica delle patch entro pochi giorni dal rilascio, insieme agli elenchi di patch approvate e rifiutate.

  • Diversi metodi di applicazione delle patch: scegli tra politiche di patch, finestre di manutenzione o operazioni «Patch now» su richiesta per soddisfare le tue esigenze specifiche.

  • Report di conformità: genera report dettagliati sullo stato di conformità delle patch che possono essere inviati a un bucket Amazon S3 in formato CSV.

  • Supporto multipiattaforma: applica patch sia ai sistemi operativi che alle applicazioni su varie Windows Server distribuzioni Linux e. macOS

  • Flessibilità di pianificazione: imposta pianificazioni diverse per la scansione e l'installazione delle patch utilizzando espressioni CRON o Rate personalizzate.

  • Lifecycle Hooks: esegui script personalizzati prima e dopo le operazioni di patching utilizzando i documenti di Systems Manager.

  • Attenzione alla sicurezza: per impostazione predefinita, Patch Manager si concentra sugli aggiornamenti relativi alla sicurezza anziché sull'installazione di tutte le patch disponibili.

  • Controllo della frequenza: configura le soglie di concorrenza e di errore per le operazioni di patch per ridurre al minimo l'impatto operativo.

In cosa consiste la conformità? Patch Manager

Il benchmark per ciò che costituisce la conformità delle patch per i nodi gestiti nelle flotte di Systems Manager non è definito dai AWS fornitori di sistemi operativi (OS) o da terze parti come le società di consulenza sulla sicurezza.

Il significato della conformità alle patch per i nodi gestiti dell'organizzazione o dell'account viene invece definito in una linea di base relativa alle patch. Una patch baseline è una configurazione che specifica le regole per le quali le patch devono essere installate su un nodo gestito. Un nodo gestito è conforme alle patch quando è aggiornato con tutte le patch che soddisfano i criteri di approvazione specificati nella baseline delle patch.

Tieni presente che essere conforme a una patch di base non significa che un nodo gestito sia necessariamente sicuro. Conforme significa che le patch definite dalla patch baseline, disponibili e approvate, sono state installate sul nodo. La sicurezza complessiva di un nodo gestito è determinata da molti fattori che non rientrano nell'ambito di. Patch Manager Per ulteriori informazioni, consulta Sicurezza in AWS Systems Manager.

Ogni patch di base è una configurazione per uno specifico tipo di sistema operativo (OS) supportato, ad esempio Red Hat Enterprise Linux (RHEL)macOS, oWindows Server. Una patch baseline può definire le regole di applicazione delle patch per tutte le versioni supportate di un sistema operativo o essere limitata solo a quelle specificate dall'utente, ad esempio RHEL 6.10, RHEL 7.8 e 9.3. RHEL

In una patch di base, è possibile specificare che tutte le patch con determinate classificazioni e livelli di gravità siano approvate per l'installazione. Ad esempio, è possibile includere tutte le patch classificate come Security ma escludere altre classificazioni, come o. Bugfix Enhancement Inoltre, è possibile includere tutte le patch con una gravità pari a Critical ed escluderne altre, ad esempio e. Important Moderate

Puoi anche definire le patch in modo esplicito in una patch baseline aggiungendole IDs a elenchi di patch specifiche da approvare o rifiutare, ad esempio per KB2736693 o Windows Server per dbus.x86_64:1:1.12.28-1.amzn2023.0.1 Amazon Linux 2023 (023). AL2 Facoltativamente, puoi specificare un certo numero di giorni di attesa per l'applicazione delle patch dopo che una patch diventa disponibile. Per Linux emacOS, è possibile specificare un elenco esterno di patch per la conformità (un elenco Install Override) anziché quelle definite dalle regole di base delle patch.

Quando viene eseguita un'operazione di patching, Patch Manager confronta le patch attualmente applicate a un nodo gestito con quelle che devono essere applicate in base alle regole impostate nella linea di base delle patch o in un elenco Install Override. È possibile impostare Patch Manager in modo che mostri soltanto un report delle patch mancanti (un'operazione Scan) oppure Patch Manager può installare automaticamente tutte le patch mancanti in un nodo gestito (un'operazione Scan and install).

Patch Managerfornisce linee di base di patch predefinite che è possibile utilizzare per le operazioni di applicazione delle patch; tuttavia, queste configurazioni predefinite vengono fornite come esempi e non come best practice consigliate. Ti consigliamo di creare linee di base personalizzate per le patch per esercitare un maggiore controllo su ciò che costituisce la conformità delle patch per il tuo parco macchine.

Per ulteriori informazioni sulle linee di base delle patch, consulta i seguenti argomenti:

Componenti principali

Prima di iniziare a utilizzare lo Patch Manager strumento, è necessario acquisire familiarità con alcuni componenti e funzionalità principali delle operazioni di patching dello strumento.

Patch di base

Patch Manager utilizza patch di base che includono regole per l'approvazione automatica delle patch entro pochi giorni dalla relativa pubblicazione, oltre a un elenco delle patch approvate e rifiutate. Quando viene eseguita un'operazione di applicazione di patch, Patch Manager confronta le patch attualmente applicate a un nodo gestito con quelle da applicare in base alle regole configurate nella baseline delle patch. È possibile impostare Patch Manager in modo che mostri soltanto un report delle patch mancanti (un'operazione Scan) oppure Patch Manager può installare automaticamente tutte le patch mancanti in un nodo gestito (un'operazione Scan and install).

Metodi operativi di applicazione di patch

Patch Manager offre attualmente quattro metodi per eseguire operazioni Scan e Scan and install:

  • (Consigliato) Una policy di patch configurata inQuick Setup: in base all'integrazione con AWS Organizations, una singola policy di patch può definire le pianificazioni di applicazione delle patch e le linee di base delle patch per un'intera organizzazione, compresi i diversi Account AWS account in cui operano. Regioni AWS Una policy di patch può inoltre riguardare solo alcune unità organizzative (OUs) di un'organizzazione. È possibile utilizzare un'unica policy di patch per eseguire l'analisi e l'installazione in base a pianificazioni diverse. Per ulteriori informazioni, consultare Configurare l'applicazione di patch per le istanze di un'organizzazione utilizzando una policy di Quick Setup patch e Configurazioni delle policy di patch in Quick Setup.

  • Un'opzione di gestione degli host configurata in Quick Setup — Le configurazioni di Host Management sono supportate anche dall'integrazione con AWS Organizations, che consente di eseguire un'operazione di patching per un massimo di un'intera organizzazione. Tuttavia, questa opzione si limita alla ricerca delle patch mancanti utilizzando l'attuale patch di base predefinita e fornendo risultati nei report di conformità. Questo metodo operativo non è in grado di installare patch. Per ulteriori informazioni, consulta Configura la gestione EC2 dell'host Amazon utilizzando Quick Setup.

  • Una finestra di manutenzione per eseguire una patch Scan o un'Installattività: una finestra di manutenzione, configurata nello strumento Systems Manager chiamatoMaintenance Windows, può essere configurata per eseguire diversi tipi di attività secondo una pianificazione definita dall'utente. Un'attività di tipo Run Command viene utilizzata per eseguire processi Scan o Scan and install in un set di nodi gestiti di tua scelta. Ogni attività della finestra di manutenzione può avere come target i nodi gestiti in una sola Account AWSRegione AWS coppia. Per ulteriori informazioni, consulta Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console.

  • Un'operazione Patch now (Applica subito una patch) on demand in Patch Manager. L'opzione Patch now (Applica subito una patch) consente di ignorare le impostazioni di pianificazione quando è necessario applicare patch ai nodi gestiti il più rapidamente possibile. Con Patch now (Applica subito una patch), è possibile specificare se eseguire l'operazione Scan o Scan and install e scegliere i nodi gestiti sui cui eseguirla. È possibile inoltre scegliere di eseguire i documenti Systems Manager (documenti SSM) come hook del ciclo di vita durante l'applicazione di patch. Ogni operazione Patch ora può indirizzare i nodi gestiti in una sola Account AWSRegione AWS coppia. Per ulteriori informazioni, consulta Patching dei nodi gestiti on demand.

Creazione di report di conformità

Dopo un'operazione Scan, è possibile utilizzare la console di Systems Manager per visualizzare le informazioni relative ai nodi gestiti che non sono conformi alle patch e alle patch mancanti per ciascun nodo. È possibile anche generare report di conformità alle patch in formato .csv inviati a un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare report una tantum o generare report in base a una pianificazione regolare. Per un singolo nodo, i report includono dettagli di tutte le patch per il nodo. Per un report su tutti i nodi gestiti, viene fornito solo un riepilogo del numero di patch mancanti. Dopo aver generato un report, puoi utilizzare uno strumento come Amazon QuickSight per importare e analizzare i dati. Per ulteriori informazioni, consulta Utilizzo dei report sulla conformità delle patch.

Nota

Un elemento di conformità generato tramite l'uso di una policy di patch ha un tipo di esecuzione PatchPolicy. Un elemento di conformità non generato in un'operazione di policy di patch presenta un tipo di esecuzione Command.

Integrazioni

Patch Managersi integra con i seguenti altri Servizi AWS:

Argomenti