了解 AMS Accelerate 中的修補程式管理 - AMS Accelerate 使用者指南
修補建議

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解 AMS Accelerate 中的修補程式管理

重要

加速修補程式報告會定期部署以 AWS Glue 資源為基礎的政策。請注意,修補系統的 AMS 更新會覆寫現有的 AWS Glue 資源型政策。

重要

您可以為受管節點指定替代修補程式儲存庫。當 AMS 實作您請求的修補程式組態時,您需負責選取和驗證所選儲存庫的安全性。您也必須接受使用這些儲存庫的任何風險,例如供應鏈風險。

以下是修補程式管理程序安全的最佳實務:

  • 僅使用受信任且經過驗證的儲存庫來源

  • 盡可能預設為標準作業系統廠商儲存庫

  • 定期稽核自訂儲存庫組態

您可以使用 AMS Accelerate 修補系統修補程式附加元件,透過安全相關和其他類型的更新來修補您的執行個體。Accelerate Patch Add-On 是一項功能,可為 AMS 執行個體提供標籤型修補。它利用 AWS Systems Manager (SSM) 功能,因此您可以標記執行個體,並使用您設定的基準和視窗修補這些執行個體。AMS Accelerate Patch 附加元件是一種加入選項,如果您在加入 Accelerate 帳戶期間未取得,請聯絡您的雲端服務交付經理 (CSDM) 以取得。

AMS Accelerate 修補程式管理使用 Systems Manager 修補程式基準功能來控制套用至執行個體的修補程式定義。修補程式基準包含預先核准的修補程式清單;例如,所有安全修補程式。根據與其相關聯的修補程式基準來衡量執行個體的合規性。AMS Accelerate 預設會安裝所有可用的修補程式,讓執行個體保持最新狀態。

注意

AMS Accelerate 僅適用於作業系統 (OS) 修補程式。例如,對於 Windows,只會套用 Windows 更新,而非 Microsoft 更新。

如需報告的資訊,請參閱 AMS 主機管理報告

AMS Accelerate 提供各種營運服務,協助您實現卓越營運 AWS。若要快速了解 AMS 如何 AWS 雲端 透過我們的一些關鍵營運功能,包括全年無休服務台、主動監控、安全性、修補、記錄和備份,協助您的團隊在 中實現整體卓越營運,請參閱 AMS 參考架構圖表

主題

修補建議

如果您參與應用程式或基礎設施操作,您會了解作業系統 (OS) 修補解決方案的重要性,其彈性和可擴展性足以滿足您的應用程式團隊的各種需求。在典型組織中,某些應用程式團隊使用涉及不可變執行個體的架構,而其他則將其應用程式部署在可變執行個體上。

如需修補 AWS 規範指引的詳細資訊,請參閱使用 的混合雲端中可變執行個體的自動修補 AWS Systems Manager

注意

Accelerate Patch Add-On 是一項功能,可為 AMS 執行個體提供標籤型修補。它利用 AWS Systems Manager (SSM) 功能,因此您可以標記執行個體,並使用您設定的基準和視窗修補這些執行個體。AMS Accelerate Patch 附加元件是一種加入選項,如果您在加入 Accelerate 帳戶期間未取得,請聯絡您的雲端服務交付經理 (CSDM) 以取得。

修補程式責任建議

持久性執行個體的修補程序應涉及下列團隊和動作:

  • 應用程式 (DevOps) 團隊會根據應用程式環境、作業系統類型或其他條件,為其伺服器定義修補程式群組。它們也會定義每個修補程式群組特定的維護時段。此資訊應存放在連接到執行個體的標籤上。建議的標籤名稱為「修補程式群組」和「維護時段」。在每個修補週期期間,應用程式團隊會準備修補、在修補後測試應用程式,以及在修補期間疑難排解其應用程式和作業系統的任何問題。

  • 安全操作團隊會定義應用程式團隊使用的各種作業系統類型的修補程式基準,並透過 Systems Manager Patch Manager 提供修補程式。

  • 自動化修補解決方案會定期執行,並根據使用者定義的修補程式群組和維護時段,部署修補程式基準中定義的修補程式。

  • 控管和合規團隊會定義修補準則和例外狀況程序與機制。

如需詳細資訊,請參閱針對可變 EC2 執行個體的修補解決方案設計

應用程式團隊的指引

  • 檢閱並熟悉建立和管理維護時段;請參閱AWS Systems Manager 維護時段建立 SSM 維護時段以進行修補以進一步了解。了解一般結構和維護時段的使用可協助您了解,如果您不是建立資訊的人員,應提供哪些資訊。

  • 對於高可用性 (HA) 設定,計劃在每個可用區域和每個環境 (Dev/Test/Prod) 有一個維護時段。這可確保修補期間的持續可用性。

  • 建議的維護時段持續時間為 4 小時,間隔 1 小時,加上每 50 個執行個體額外 1 小時

  • 具有足夠時間的修補程式開發和測試版本,可讓您在生產修補之前識別任何潛在問題。

  • 透過 SSM 自動化自動化常見的修補前和修補後任務,並將其做為維護時段任務執行。請注意,對於修補後任務,您必須確保配置足夠的時間,因為一旦達到截止值,任務就不會啟動。

  • 熟悉修補程式基準及其功能 - 特別是修補程式嚴重性類型的自動核准延遲,這些嚴重性類型可用於確保只有在開發/測試中套用的修補程式才能在日後的生產中套用。如需詳細資訊,請參閱關於修補程式基準

安全營運團隊的指引

  • 檢閱並熟悉修補程式基準。修補程式核准會以自動化方式處理,並具有不同的規則選項。如需詳細資訊,請參閱關於修補程式基準

  • 與應用程式團隊討論修補 Dev/Test/Prod 的需求,並開發多個基準以滿足這些需求。

控管和合規團隊的指引

  • 修補應該是「選擇退出」函數。預設維護時段和自動標記應該存在,以確保沒有未修補的內容。AMS Resource Tagger 可以提供這項協助;請與您的雲端架構師 (CA) 或雲端服務交付管理員 (CSDM) 討論此選項,以取得實作指引。

  • 請求豁免修補應該需要文件證明豁免。資訊安全長 (CISO) 或其他核准主管應核准或拒絕請求。

  • 修補合規應透過修補程式管理員主控台、Security Hub 或漏洞掃描器定期審查。

高可用性 Windows 應用程式的範例設計

Patch Tuesday schedule showing development, test, and production environments with baseline approval timelines.

概觀:

  • 每個可用區域一個維護時段。

  • 每個環境一組維護時段。

  • 每個環境一個修補程式基準:

    • 開發:核准 0 天後的所有嚴重性和分類。

    • 測試:在 0 天後核准關鍵安全性更新修補程式,並在 7 天後核准所有其他嚴重性和分類。

    • 生產:在 0 天後核准關鍵安全性更新修補程式,並在 14 天後核准所有其他嚴重性和分類。

CloudFormation 指令碼:

這些指令碼的設定是使用上述基準核准設定,為兩個可用區域 Windows HA EC2 應用程式建置維護時段、基準和修補任務。

修補程式建議FAQs

問:如何處理「0」日攻擊的未排程修補?

答:SSM 支援立即修補功能,該功能使用執行個體作業系統的目前預設基準。AMS 部署一組預設的修補程式基準,在 0 天後核准所有修補程式。不過,使用立即修補功能時,不會擷取預先修補快照,因為此命令會執行 AWS-RunPatchBaseline SSM 文件。我們建議您在修補之前手動備份。

問:AMS 是否支援自動擴展群組 (ASGs) 中執行個體的修補?

答:否。加速客戶目前不支援 ASG 修補。

問:維護 Windows 是否有任何需要記住的限制?

答:是,您應該注意一些限制。

  • 每個帳戶的維護時段:50

  • 每個維護時段的任務數:20

  • 每個維護時段的並行自動化數目上限:20

  • 並行維護時段數目上限:5

如需預設 SSM 限制的完整清單,請參閱AWS Systems Manager 端點和配額