Présentation de la gestion des correctifs - AWS Directives prescriptives
Termes et conceptsTémoignages d'utilisateurs clés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des correctifs

Si vous êtes impliqué dans des opérations d'applications ou d'infrastructures, vous comprenez l'importance d'une solution de correction du système d'exploitation (OS) suffisamment flexible et évolutive pour répondre aux différentes exigences de vos équipes d'applications. Dans une organisation classique, certaines équipes d'applications utilisent une architecture qui implique des instances immuables tandis que d'autres déploient leurs applications sur des instances mutables.

L'application de correctifs aux instances immuables implique d'appliquer les correctifs aux Amazon Machine Images (AMI) qui sont utilisées pour provisionner les instances d'applications EC2 immuables. L'application de correctifs aux instances mutables implique le déploiement de correctifs sur place sur les instances en cours d'exécution pendant une fenêtre de maintenance planifiée.

Ce guide prescriptif explique comment utiliser le gestionnaire deAWS Systems Manager correctifs pour appliquer des correctifs à des instances mutables qui couvrent plusieursAWS comptes etAWS régions de manière automatisée, en fonction des fenêtres de maintenance et des groupes de correctifs définis par les équipes chargées des applications sur leurs serveurs à l'aide de balises.

Le guide décrit une solution d'application automatique des correctifs qui permetAWS Lambda d'automatiser la configuration et la planification des correctifs à l'aide du gestionnaire de correctifs et de fenêtres de maintenance. Amazon QuickSight fournit les fonctionnalités de reporting et de tableau de bord nécessaires pour établir des rapports sur la conformité des correctifs.

En outre, ce guide décrit une architecture de référence pour les environnements cloud hybrides. Les utilisateurs qui exécutent leurs applications dans une configuration de cloud hybride recherchent des opportunités de consolidation, de simplification, de standardisation et d'optimisation de leurs opérations de gestion des correctifs au seinAWS de leur infrastructure sur site. Le guide explique comment la solution de correction automatique pour les instances mutables peut être étendue pour prendre en charge les scénarios de cloud hybride.

Ce guide décrit :

  • Témoignages d'utilisateurs clés pour la gestion des correctifs

  • Le processus de mise à jour

  • Gestion des correctifs pour les instances mutables dans un seul compte et une seuleAWS région ; considérations et limites relatives à l'architecture

  • Gestion des correctifs pour les instances mutables dans un environnement multi-comptes et multirégions ; considérations et limites relatives à l'architecture

  • Gestion des correctifs pour les instances locales dans un environnement cloud hybride ; considérations et limites relatives à l'architecture

  • Principales parties prenantes, rôles et responsabilités

Note

Ce guide décrit l'architecture d'une solution automatisée (appelée solution de correction automatisée) que vous pouvez implémenter pour répondre à vos exigences en matière de gestion des correctifs pour les instances mutables. Il ne fournit pas le code pour créer la solution.

Termes et concepts

Durée Définition

Instances immuables

Les instances immuables sont des instances de serveur EC2 qui ne subissent aucune modification pendant leur exécution. Si des modifications sont nécessaires, vous créez une nouvelle instance avec l'image de serveur mise à jour, vous redéployez l'instance et vous détruisez l'image de serveur existante.

Base de référence du patch

Une ligne de base de correctifs est spécifique à un type de système d'exploitation et définit la liste des correctifs approuvés pour l'installation sur les instances. Pour plus d'informations, consultez la section À propos des bases de correctifs prédéfinies et personnalisées dans la documentation de Systems Manager.

Groupe de patchs

Un groupe de correctifs représente les serveurs d'un environnement d'applications qui sont les cibles d'une ligne de base de correctifs spécifique. Les groupes de correctifs vous permettent de vous assurer que les lignes de correctifs sont mises en œuvre pour l'un d'instances adéquat. Ils permettent également d'éviter de déployer des correctifs avant qu'ils n'aient été correctement testés. Les groupes de correctifs sont représentés par la balise Patch Group. Pour plus d'informations, consultez la section À propos des groupes de correctifs dans la documentation de Systems Manager.

Fenêtre de maintenance

Les fenêtres de maintenance vous permettent de définir une planification quant au moment où vous devez exécuter des actions potentiellement perturbatrices sur des instances, telles que l'application de correctifs à un système d'exploitation, la mise à jour de pilotes ou l'installation de logiciels ou de correctifs. Chaque fenêtre de maintenance dispose une planification, d'une durée maximale, d'une d'une durée maximale, d'un un un un. Les fenêtres de maintenance sont représentées par la balise Maintenance Window. Pour plus d'informations, consultez la section À propos des calendriers de mise à jour à l'aide de fenêtres de maintenance dans la documentation de Systems Manager.

Témoignages d'utilisateurs clés

Le processus classique de mise à jour du système d'exploitation comporte trois tâches :

  1. Analyse des instances EC2 et des serveurs locaux pour rechercher les correctifs de système d'exploitation applicables.

  2. Regroupez et corrigez les instances au moment opportun.

  3. Signaler la conformité des correctifs dans l'ensemble de l'environnement du serveur.

Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le Le

Scénario Le rôle d'utilisateur Description

Mécanisme de correction

Équipes de développement et de support d'applications

En tant que membre de l'équipe des applications responsable de l'application des correctifs du système d'exploitation, j'ai besoin d'un mécanisme pour corriger mes instances mutables ou de longue durée, afin de réduire les vulnérabilités de sécurité du système d'exploitation et de m'assurer que les instances sont conformes à la base de référence en matière de correctifs définie par l'équipe de sécurité.

Solution d'application de correctifs

Propriétaire du service cloud

En tant que propriétaire d'un service cloud chargé de fournir des services cloud aux équipes chargées des applications, je dois créer une solution de correctifs du système d'exploitation prenant en charge plusieursAWS comptes etAWS régions ainsi que des serveurs sur site, afin que les équipes chargées des applications puissent atténuer les vulnérabilités de sécurité du système d'exploitation et rester en conformité avec la base de référence en matière de correctifs définie par l'équipe de sécurité.

Rapports de conformité relatifs aux correctifs

Responsable des opérations de sécurité

En tant que responsable des opérations de sécurité chargé de garantir la conformité des correctifs, j'ai besoin de rapports détaillés sur la conformité des correctifs et d'informations sur l'ensemble du paysage cloud, afin de pouvoir identifier les serveurs non conformes à la base de référence des correctifs et d'alerter les équipes pour mettre en œuvre les mesures d'atténuation requises.

Définition des rôles et des responsabilités

Propriétaire du service cloud

En tant que propriétaire d'un service cloud, je dois créer une matrice de rôles et de responsabilités bien définie qui explique qui fait quoi dans la gestion de la solution de correctifs pour le cloud hybride que j'ai créée, afin que les obligations relatives aux opérations de mise à jour soient publiées et respectées.