Comment mon organisation peut-elle tirer parti de Patch Manager ?À qui est destiné Patch Manager ?Quelles sont les principales fonctionnalités Patch Manager ?Qu’est-ce que la conformité dans Patch Manager ?Composants principaux

AWS Systems Manager Patch Manager

Patch Manager, un outil d’AWS Systems Manager, automatise le processus d’application de correctifs aux nœuds gérés, aussi bien pour les mises à jour liées à la sécurité que pour les autres types de mises à jour.

Note

Systems Manager prend en charge les politiques de correctifs dans Quick Setup, un outil d’AWS Systems Manager. Nous recommandons d’utiliser des politiques de correctifs pour configurer vos opérations de correctifs. À l’aide d’une configuration de politique de correctifs unique, vous pouvez définir l’application de correctifs pour tous les comptes de toutes les régions de votre organisation ; uniquement pour les comptes et les régions de votre choix ; ou pour une seule paire compte-région. Pour de plus amples informations, consultez Configurations de la politique de correctifs dans Quick Setup.

Vous pouvez utiliser Patch Manager pour appliquer des correctifs pour les systèmes d'exploitation et les applications. (Sur Windows Server, la prise en charge des applications est limitée à des mises à jour pour les applications publiées par Microsoft.) Vous pouvez utiliser Patch Manager pour installer des Service Packs sur les nœuds Windows et procéder à des mises à niveau mineures sur les nœuds Linux. Vous pouvez appliquer des correctifs aux flottes d'instances Amazon Elastic Compute Cloud (Amazon EC2), aux appareils de périphérie, aux serveurs sur site et aux machines virtuelles par type de système d'exploitation. Cela inclut les versions prises en charge de plusieurs systèmes d'exploitation, comme indiqué dans Conditions préalables requises Patch Manager. Vous pouvez scanner les instances pour afficher uniquement le rapport des correctifs manquants, ou scanner et installer automatiquement les correctifs manquants. Pour vos premiers pas dans Patch Manager, ouvrez Systems Manager console. Dans le panneau de navigation, sélectionnez Patch Manager.

AWS ne teste pas les correctifs avant leur mise à disposition dans Patch Manager. En outre, Patch Manager ne prend pas en charge la mise à niveau des principales versions des systèmes d'exploitation, telles que Windows Server 2016 à Windows Server 2019, ou Red Hat Enterprise Linux (RHEL) 7.0 à RHEL 8.0.

Pour les types de système d'exploitation basés sur Linux qui signalent un niveau de sévérité pour les correctifs, Patch Manager utilise le niveau de sévérité signalé par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne dérive pas les niveaux de sévérité de sources tierces, telles que le Common Vulnerability Scoring System (CVSS), ou des métriques publiées par la National Vulnerability Database (NVD).

Comment mon organisation peut-elle tirer parti de Patch Manager ?

Patch Manager automatise le processus d’application de correctifs aux nœuds gérés, aussi bien pour les mises à jour liées à la sécurité que pour les autres types de mises à jour. Il offre plusieurs avantages clés :

Contrôle centralisé des correctifs : avec les politiques de correctif, vous pouvez configurer des opérations d’application de correctifs récurrentes pour tous les comptes de toutes les régions de votre organisation, des comptes et des régions spécifiques, ou une seule paire compte-région.
Opérations d’application de correctifs flexibles : vous pouvez scanner les instances pour afficher uniquement le rapport des correctifs manquants, ou scanner et installer automatiquement les correctifs manquants.
Rapports de conformité complets : après les opérations d’analyse, vous pouvez consulter des informations détaillées sur les nœuds gérés qui ne sont pas en conformité pour les correctifs et sur les correctifs manquants.
Prise en charge multiplateforme : Patch Manager prend en charge plusieurs systèmes d’exploitation, y compris diverses distributions Linux, macOS et Windows Server.
Référentiels de correctifs personnalisés : vous pouvez définir ce qui constitue la conformité des correctifs pour votre entreprise grâce à des référentiels de correctifs personnalisés qui spécifient les correctifs dont l’installation est approuvée.
Intégration avec d’autres services AWS : Patch Manager s’intègre à AWS Organizations, AWS Security Hub, AWS CloudTrail et AWS Config pour une gestion et une sécurité améliorées.
Mises à niveau déterministes : prise en charge des mises à niveau déterministes via des référentiels avec gestion des versions pour des systèmes d’exploitation comme Amazon Linux 2023.

À qui est destiné Patch Manager ?

Patch Manager est conçu pour :

Administrateurs informatiques devant garantir la conformité des correctifs sur l’ensemble de leur parc de nœuds gérés
Responsables des opérations qui ont besoin d’une visibilité sur l’état de conformité des correctifs à travers l’ensemble de leur infrastructure
Architectes cloud qui souhaitent mettre en œuvre des solutions d’application de correctifs automatisées à grande échelle
Ingénieurs DevOps qui ont besoin d’intégrer les correctifs dans leurs flux de travail opérationnels
Organisations ayant des déploiements multicomptes/multirégions et besoin d’une gestion centralisée des correctifs
Toute personne responsable du maintien du niveau de sécurité et de l’intégrité opérationnelle des nœuds gérés AWS, des appareils de périphérie, des serveurs sur site et des machines virtuelles

Quelles sont les principales fonctionnalités Patch Manager ?

Patch Manager propose plusieurs fonctionnalités clés :

Politiques de correctif : configurez les opérations d’application de correctifs sur plusieurs Comptes AWS et régions à l’aide d’une politique unique grâce à l’intégration avec AWS Organizations.
Référentiels de correctifs personnalisés : définissez les règles d’approbation automatique des correctifs quelques jours après leur publication, ainsi que les listes des correctifs approuvés et refusés.
Plusieurs méthodes d’application de correctifs : choisissez entre les politiques de correctif, les fenêtres de maintenance et les opérations « Appliquer le correctif maintenant » à la demande pour répondre à vos besoins spécifiques.
Rapports de conformité : générez des rapports détaillés sur le statut de conformité des correctifs, qui peuvent être envoyés à un compartiment Amazon S3 au format CSV.
Prise en charge multiplateforme : appliquez des correctifs aux systèmes d’exploitation et aux applications sur Windows Server, diverses distributions Linux et macOS.
Flexibilité de planification : définissez différents calendriers pour l’analyse et l’installation des correctifs à l’aide d’expressions CRON et de valeurs de déclenchement personnalisées.
Hooks de cycle de vie : exécutez des scripts personnalisés avant et après les opérations d’application de correctifs à l’aide des documents Systems Manager.
Focalisation sur la sécurité : par défaut, Patch Manager se concentre sur les mises à jour liées à la sécurité plutôt que sur l’installation de tous les correctifs disponibles.
Contrôle du débit : configurez la simultanéité et les seuils d’erreur pour les opérations d’application de correctifs afin de minimiser l’impact opérationnel.

Qu’est-ce que la conformité dans Patch Manager ?

Le point de référence pour déterminer ce qui constitue la conformité des correctifs pour les nœuds gérés de vos flottes Systems Manager n’est pas défini par AWS, les fournisseurs de systèmes d’exploitation (OS) ou des tiers, comme les sociétés de conseil en sécurité.

Vous définissez vous-même ce que signifie la conformité aux correctifs pour les nœuds gérés de votre organisation ou de votre compte dans un référentiel de correctifs. Un référentiel de correctifs est une configuration qui spécifie les règles selon lesquelles les correctifs doivent être installés sur un nœud géré. Un nœud géré est conforme en matière de correctifs lorsqu’il est à jour avec tous les correctifs qui répondent aux critères d’approbation que vous spécifiez dans la référentiel de correctifs.

Notez que la conformité à un référentiel de correctifs ne signifie pas nécessairement qu’un nœud géré est sécurisé. Conforme signifie que les correctifs définis par la référentiel de correctifs qui sont à la fois disponibles et approuvés ont été installés sur le nœud. La sécurité globale d’un nœud géré est déterminée par de nombreux facteurs extérieurs au-delà de la portée de Patch Manager. Pour de plus amples informations, consultez Sécurité dans AWS Systems Manager.

Chaque référentiel de correctifs est une configuration pour un type de système d’exploitation (OS) pris en charge spécifique, comme Red Hat Enterprise Linux (RHEL), macOS ou Windows Server. Un référentiel de correctifs peut définir des règles d’application de correctifs pour toutes les versions prises en charge d’un système d’exploitation ou être limité à celles que vous spécifiez, comme RHEL 7.8. et RHEL 9.3.

Dans un référentiel de correctifs, vous pouvez spécifier que tous les correctifs de certaines classifications et de certains niveaux de gravité sont approuvés pour l’installation. Par exemple, vous pouvez inclure tous les correctifs classés comme Security, mais exclure d’autres classifications, comme Bugfix ou Enhancement. Et vous pouvez inclure tous les correctifs dont la gravité est Critical et en exclure d’autres, comme Important et Moderate.

Vous pouvez également définir des correctifs de manière explicite dans un référentiel de correctifs en ajoutant leurs identifiants à des listes de correctifs spécifiques à approuver ou à rejeter, par exemple KB2736693 pour Windows Server ou dbus.x86_64:1:1.12.28-1.amzn2023.0.1 pour Amazon Linux 2023 (AL2023). Vous pouvez éventuellement spécifier un certain nombre de jours d’attente pour l’application d’un correctif une fois qu’un correctif est disponible. Pour Linux et macOS, vous avez la possibilité de spécifier une liste externe de correctifs à des fins de conformité (une liste de remplacement d’installation) au lieu de ceux définis par les règles du référentiel de correctifs.

Lorsqu’une opération d’application de correctifs est exécutée, Patch Manager compare les correctifs actuellement appliqués à un nœud géré à ceux qui doivent être appliqués conformément aux règles définies dans le référentiel de correctifs ou une liste de remplacement d’installation. Vous pouvez faire en sorte que Patch Manager n'affiche qu'un rapport sur les correctifs manquants (une opération Scan), ou que Patch Manager installe automatiquement tous les correctifs manquants sur un nœud géré (une opération Scan and install).

Patch Manager fournit des référentiels de correctifs prédéfinis que vous pouvez utiliser pour vos opérations d’application de correctifs ; toutefois, ces configurations prédéfinies sont fournies à titre d’exemple et non en tant que meilleures pratiques recommandées. Nous vous recommandons de créer vos propres référentiels de correctifs personnalisés afin de mieux contrôler ce qui constitue la conformité des correctifs pour votre flotte.

Pour plus d’informations sur les référentiels de correctifs, consultez les rubriques suivantes :

Composants principaux

Avant de commencer à utiliser l’outil Patch Manager, vous devez vous familiariser avec certains des composants et fonctionnalités principaux des opérations d’application de correctifs de l’outil.

Références de correctifs

Patch Manager utilise des référentiels de correctifs qui incluent les règles d'approbation automatique des correctifs quelques jours après leur publication, ainsi que des listes facultatives des correctifs approuvés et refusés. Lorsqu'une opération d'application de correctifs est exécutée, Patch Manager compare les correctifs actuellement appliqués à un nœud géré à ceux qui doivent être appliqués conformément aux règles définies dans le référentiel de correctifs. Vous pouvez faire en sorte que Patch Manager n'affiche qu'un rapport sur les correctifs manquants (une opération Scan), ou que Patch Manager installe automatiquement tous les correctifs manquants sur un nœud géré (une opération Scan and install).

Méthodes de fonctionnement d'application de correctifs

Patch Manager propose actuellement quatre méthodes d'exécution des opérations Scan et Scan and install :

(Recommandé) Politique de correctifs configurée dans Quick Setup : selon l'intégration à AWS Organizations, une politique de correctifs unique peut définir des planifications d'application des correctifs et des référentiels de correctifs pour l'ensemble de l'organisation, y compris plusieurs Comptes AWS et toutes les Régions AWS dans lesquelles ces comptes fonctionnent. Une politique de correctifs peut également cibler uniquement certaines unités d'organisation (UO) d'une organisation. Vous pouvez utiliser une seule politique de correctifs pour effectuer des analyses et des installations selon des planifications différentes. Pour plus d’informations, consultez Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup et Configurations de la politique de correctifs dans Quick Setup.
Option de gestion des hôtes configurée dans Quick Setup : les configurations de gestion des hôtes sont également prises en charge par l'intégration à AWS Organizations, ce qui permet d'exécuter une opération d'application de correctifs pour l'ensemble d'une organisation au maximum. Toutefois, cette option se limite à rechercher les correctifs manquants à l'aide du référentiel de correctifs par défaut actuel et à fournir des résultats dans des rapports de conformité. Cette méthode de fonctionnement ne permet pas d'installer de correctifs. Pour de plus amples informations, consultez Configurer la gestion des hôtes Amazon EC2 à l’aide d’Quick Setup.
Fenêtre de maintenance pour exécuter une tâche de correctif Scan ou Install : une fenêtre de maintenance, que vous configurez dans l’outil Systems Manager appelé Maintenance Windows, peut être configurée pour exécuter différents types de tâches selon une planification que vous définissez. Une tâche de type Run Command peut être utilisée pour exécuter des tâches Scan ou Scan and install sur un ensemble de nœuds gérés de votre choix. Chaque tâche de la fenêtre de maintenance ne peut cibler que des nœuds gérés dans une seule paire Compte AWS-Région AWS. Pour de plus amples informations, consultez Tutoriel : créer une fenêtre de maintenance pour l’application de correctifs à l’aide de la console.
Opération Corriger maintenant à la demande dans Patch Manager : l’option Corriger maintenant vous permet de contourner les configurations de planification lorsque vous devez appliquer des correctifs à des nœuds gérés le plus rapidement possible. À l'aide de Patch now, vous pouvez spécifier s'il faut exécuter l'opération Scan ou Scan and install et sur quels nœuds gérés l'exécuter. Vous pouvez également choisir d’exécuter les documents Systems Manager (documents SSM) en tant que hooks de cycle de vie lors de l’application de correctifs. Chaque opération Patch now ne peut cibler des nœuds gérés que dans une seule paire Compte AWS-Région AWS. Pour de plus amples informations, consultez Application de correctifs sur les nœuds gérés à la demande.

Rapports de conformité

Après une opération Scan, vous pouvez utiliser la console Systems Manager pour afficher des informations sur les nœuds gérés qui ne sont pas conformes aux correctifs et sur les correctifs manquants sur chacun de ces nœuds. Vous pouvez également générer des rapports de conformité des correctifs au format .csv, qui sont envoyés à un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix. Vous pouvez générer des rapports ponctuels ou selon un calendrier régulier. Pour un nœud géré individuel, les rapports contiennent les détails de tous les correctifs relatifs à ce nœud. Pour un ensemble de nœuds gérés, le rapport contient seulement un résumé indiquant le nombre de correctifs manquants. Une fois qu'un rapport est généré, vous pouvez utiliser un outil tel qu'Amazon QuickSight pour importer et analyser les données. Pour de plus amples informations, consultez Utilisation des rapports de conformité des correctifs.

Note

Un élément de conformité généré par l'utilisation d'une politique de correctifs a le type d'exécution PatchPolicy. Un élément de conformité qui n'est pas généré lors d'une opération de politique de correctifs a le type d'exécution Command.

Intégrations

Patch Manager s'intègre aux autres Services AWS suivants :

AWS Identity and Access Management (IAM) : utilisez IAM pour contrôler quels utilisateurs, groupes et rôles ont accès aux opérations Patch Manager. Pour plus d’informations, consultez Fonctionnement d’AWS Systems Manager avec IAM et Configurer des autorisations d’instance requises pour Systems Manager.
AWS CloudTrail : utilisez CloudTrail pour enregistrer un historique vérifiable des événements liés à l'application de correctifs initiés par des utilisateurs, des rôles ou des groupes. Pour de plus amples informations, consultez Journalisation des appels d'API AWS Systems Manager avec AWS CloudTrail.
AWS Security Hub : les données de conformité relatives aux correctifs de Patch Manager peuvent être envoyées à AWS Security Hub. Security Hub vous offre une vue complète sur vos alertes de sécurité haute priorité et votre statut de conformité. Il surveille également le statut d'application des correctifs de votre flotte. Pour de plus amples informations, consultez Intégration d'Patch Manager à AWS Security Hub.
AWS Config : configurez l'enregistrement dans AWS Config pour afficher les données de gestion des instances Amazon EC2 dans le tableau de bord Patch Manager. Pour de plus amples informations, consultez Affichage des résumés du tableau de bord des correctifs.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résolution des problèmes d'inventaire

Configurations de la politique de correctifs dans Quick Setup