OPS05-BP05 Effectuer la gestion des correctifs - AWS Framework Well-Architected

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

OPS05-BP05 Effectuer la gestion des correctifs

Procédez à la gestion des correctifs afin de profiter des fonctionnalités, de résoudre les problèmes et de rester conforme à la gouvernance. Automatisez la gestion des correctifs pour réduire les erreurs causées par les processus manuels, pour permettre la mise à l’échelle et pour réduire le niveau d’efforts nécessaire aux correctifs.

La gestion des correctifs et des vulnérabilités fait partie de vos activités de gestion des bénéfices et des risques. Il est préférable d’avoir des infrastructures immuables et de déployer des charges de travail dans des états de bon fonctionnement connus et vérifiés. Lorsque cela n’est pas viable, l’application de correctifs est la seule solution.

Amazon EC2 Image Builder fournit des pipelines pour mettre à jour les images des machines. Dans le cadre de la gestion des correctifs, envisagez qu'Amazon Machine Images (AMIs) utilise un pipeline d'AMIimages ou des images de conteneur avec un pipeline d'images Docker, tout en AWS Lambda fournissant des modèles pour des environnements d'exécution personnalisés et des bibliothèques supplémentaires pour supprimer les vulnérabilités.

Vous devez gérer les mises à jour des images Amazon Machine Images pour Linux ou Windows Server à l'aide d'Amazon EC2 Image Builder. Vous pouvez utiliser Amazon Elastic Container Registry (AmazonECR) avec votre pipeline existant pour gérer les ECS images Amazon et gérer les EKS images Amazon. Lambda comprend les fonctionnalités de gestion des versions.

L’application de correctifs ne doit pas être effectuée sur les systèmes de production sans avoir effectué un test préalable dans un environnement sûr. Les correctifs ne doivent être appliqués que s’ils favorisent la réalisation d’un résultat opérationnel ou métier. Activé AWS, vous pouvez utiliser AWS Systems Manager Patch Manager pour automatiser le processus d'application des correctifs aux systèmes gérés et planifier l'activité à l'aide de Systems Manager Maintenance Windows.

Résultat escompté : vos images AMI et celles du conteneur sont corrigées up-to-date et prêtes à être lancées. Vous pouvez suivre l’état de toutes les images déployées et déterminer la conformité des correctifs. Vous êtes en mesure de rendre compte de l’état actuel et de disposer d’un processus pour répondre à vos besoins en matière de conformité.

Anti-modèles courants :

  • On vous demande d’appliquer tous les nouveaux correctifs de sécurité dans un délai de deux heures, ce qui entraîne de multiples pannes dues à l’incompatibilité de l’application avec les correctifs.

  • Une bibliothèque non corrigée entraîne des conséquences imprévues, car des parties inconnues y utilisent des failles pour accéder à votre charge de travail.

  • Vous corrigez automatiquement les environnements de développement sans en informer les développeurs. Vous recevez plusieurs réclamations des développeurs indiquant que leur environnement ne fonctionne plus correctement.

  • Vous n'avez pas appliqué de correctif au off-the-shelf logiciel commercial sur une instance persistante. Lorsque vous rencontrez un problème avec le logiciel et que vous contactez le fournisseur, celui-ci vous informe que la version n’est pas prise en charge et que vous devez effectuer appliquer un correctif à un niveau spécifique pour recevoir de l’aide.

  • Un correctif récemment publié pour le logiciel de chiffrement que vous avez utilisé présente des améliorations significatives de performances. Votre système non corrigé présente des problèmes de performances qui persistent suite à l’absence de correctifs.

  • Vous êtes averti d’une vulnérabilité de type « jour zéro » nécessitant une correction d’urgence et vous devez corriger manuellement tous vos environnements.

Avantages liés au respect de cette bonne pratique : en établissant un processus de gestion des correctifs, y compris vos critères d’application des correctifs et la méthodologie de distribution dans vos environnements, vous pouvez mettre à l’échelle les niveaux de correctifs et créer des rapports sur ces niveaux. Cela fournit des garanties concernant les correctifs de sécurité et assure une visibilité claire sur l’état des correctifs connus en cours de mise en place. Cela encourage aussi l’adoption des fonctions et fonctionnalités désirées, l’élimination rapide des problèmes et le respect durable de la gouvernance. Mettez en œuvre des systèmes de gestion des correctifs et d’automatisation pour réduire le niveau d’effort nécessaire au déploiement des correctifs et limiter les erreurs causées par les processus manuels.

Niveau de risque encouru si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Appliquez des correctifs aux systèmes pour corriger les problèmes, obtenir des fonctionnalités souhaitées et rester conforme à la politique de gouvernance et aux exigences d’assistance du fournisseur. Dans les systèmes immuables, déployez avec l’ensemble de correctifs approprié pour obtenir le résultat souhaité. Automatisez le mécanisme de gestion des correctifs afin de réduire le temps écoulé avant l’application des correctifs, d’éviter les erreurs causées par les processus manuels et de limiter le niveau d’efforts nécessaire pour appliquer les correctifs.

Étapes d’implémentation

Pour Amazon EC2 Image Builder :

  1. À l'aide EC2 d'Amazon Image Builder, spécifiez les détails du pipeline :

    1. Créez un pipeline d’images et nommez-le.

    2. Définissez le calendrier et le fuseau horaire du pipeline.

    3. Configurez toutes les dépendances.

  2. Choisissez une recette :

    1. Sélectionnez une recette existante ou créez-en une.

    2. Sélectionnez le type d’image.

    3. Donnez un nom et une version à votre recette.

    4. Sélectionnez votre image de base.

    5. Ajoutez des composants de build et incluez-les dans le registre cible.

  3. Facultatif : définissez la configuration de votre infrastructure.

  4. Facultatif : définissez les paramètres de configuration.

  5. Révisez les paramètres.

  6. Gérez régulièrement l’hygiène des recettes.

Pour le gestionnaire de correctifs de Systems Manager :

  1. Créez un référentiel de correctifs.

  2. Sélectionnez une méthode d'opérations d'application de correctifs.

  3. Activez le reporting et l’analyse de conformité.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :