변경 가능한 EC2 인스턴스를 위한 패치 솔루션 설계 - AWS 권장 가이드
자동화된 프로세스

변경 가능한 EC2 인스턴스를 위한 패치 솔루션 설계

변경 가능 인스턴스의 패치 프로세스에는 다음과 같은 팀과 조치가 포함됩니다.

  • 애플리케이션 (DevOps) 팀은 애플리케이션 환경, OS 유형 또는 기타 기준에 따라 서버의 패치 그룹을 정의합니다. 또한 각 패치 그룹별 유지보수 윈도우도 정의합니다. 이 정보는 EC2 애플리케이션 인스턴스의 패치 그룹유지보수 윈도우 태그에 저장됩니다. 각 패치 주기 동안 애플리케이션 팀은 패치를 준비하고, 패치 적용 후 애플리케이션을 테스트하고, 패치 적용 중에 발생하는 애플리케이션 및 OS 관련 문제를 해결합니다.

  • 보안 운영 팀은 애플리케이션 팀에서 사용하는 다양한 OS 유형에 대한 패치 기준선을 정의하고, 패치를 승인하고, Systems Manager Patch Manager를 통해 패치를 제공합니다.

  • 자동화된 패치 솔루션은 정기적으로 실행되며 사용자가 정의한 패치 그룹 및 유지보수 윈도우를 기반으로 패치 기준에 정의된 패치를 배포합니다. 패치 규정 준수 정보는 Systems Manager Inventory의 리소스 데이터 동기화를 통해 수집되며, Quick Suite 대시보드를 통한 패치 규정 준수 보고에 사용됩니다.

  • 거버넌스 및 규정 준수 팀은 패치 지침을 정의하고, 예외 프로세스 및 메커니즘을 정의하고, Quick Suite로부터 규정 준수 보고를 받습니다.

성공적인 OS 패치 관리 솔루션에 관련된 주요 이해 관계자와 그들의 책임에 대한 자세한 내용은 이 가이드 뒷부분의 주요 이해 관계자, 역할 및 책임 섹션을 참조하세요.

자동화된 프로세스

자동 패치 솔루션은 함께 작동하는 여러 AWS 서비스를 사용하여 EC2 인스턴스에 패치를 배포합니다. 이 프로세스에는 AWS Config, AWS Lambda, Systems Manager, Amazon Simple Storage Service(Amazon S3) , Quick Suite가 포함됩니다. 다음 다이어그램은 참조 아키텍처와 워크플로우를 보여줍니다.

Reference architecture and workflow for a standard mutable EC2 instance patching process

워크플로우에는 다음 단계가 포함되며, 단계 번호는 다이어그램의 콜아웃과 일치합니다.

  1. AWS Config은 다음을 지속적으로 모니터링하고 비준수 인스턴스의 세부 정보 및 필요한 구성이 포함된 알림을 보냅니다.

    • EC2 인스턴스에서 태깅 규정 준수를 패치합니다. AWS Config패치 그룹유지보수 윈도우 태그가 없는 인스턴스가 있는지 확인합니다.

    • Systems Manager가 인스턴스를 관리할 수 있는 시스템 매니저 역할이 있는 AWS Identity and Access Management (IAM) 인스턴스 프로파일.

  2. Lambda 함수 (이하 'automate-patch') 는 사전 정의된 일정에 따라 실행되며 모든 서버의 패치 그룹유지보수 윈도우 정보를 수집합니다.

  3. 그런 다음 automate-patch 함수는 적절한 패치 그룹과 유지보수 윈도우를 생성 또는 업데이트하고, 패치 그룹을 패치 기준선과 연결하고, 패치 스캔을 구성하고, 패치 작업을 배포합니다. 선택적으로 이 automate-patch 함수는 Amazon CloudWatch Events에 이벤트를 생성하여 사용자에게 임박한 패치를 알릴 수도 있습니다.

  4. 유지보수 윈도우에 따라 이벤트는 임박한 패치 작업의 세부 정보가 포함된 패치 알림을 애플리케이션 팀에 보냅니다.

  5. 패치 매니저는 정의된 일정과 패치 그룹을 기반으로 시스템 패치 작업을 수행합니다.

  6. Systems Manager 인벤토리의 리소스 데이터 동기화는 패치 세부 정보를 수집하여 S3 버킷에 게시합니다.

  7. 패치 규정 준수 보고 및 대시보드는 S3 버킷 정보를 기반으로 Quick Suite에 구축됩니다.