Gambaran umum manajemen patch - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gambaran umum manajemen patch

Jika Anda terlibat dalam operasi aplikasi atau infrastruktur, Anda memahami pentingnya solusi patching sistem operasi (OS) yang fleksibel dan cukup terukur untuk memenuhi beragam persyaratan dari tim aplikasi Anda. Dalam organisasi biasa, beberapa tim aplikasi menggunakan arsitektur yang melibatkan instans yang tidak dapat diubah sedangkan yang lain menerapkan aplikasi mereka pada instance yang dapat berubah.

Penambalan instans yang tidak dapat diubah melibatkan penerapan tambalan ke Amazon Machine Images (AMI) yang digunakan untuk menyediakan instans aplikasi EC2 yang tidak dapat diubah. Penambalan instans yang dapat diubah melibatkan penyebaran patch di tempat untuk menjalankan instance selama jendela pemeliharaan terjadwal.

Panduan preskriptif ini menjelaskan bagaimana Anda dapat menggunakanAWS Systems Manager Patch Manager untuk menambal instance yang dapat berubah yang menjangkau beberapaAWS akun danAWS Wilayah secara otomatis, berdasarkan jendela pemeliharaan dan grup patch yang ditentukan oleh tim aplikasi di server mereka melalui tag.

Panduan ini menjelaskan solusi patching otomatis yang digunakanAWS Lambda untuk mengotomatiskan konfigurasi dan penjadwalan patch, menggunakan Patch Manager dan jendela pemeliharaan. Amazon QuickSight menyediakan kemampuan pelaporan dan dasbor yang diperlukan untuk melaporkan kepatuhan patch.

Selain itu, panduan ini menjelaskan arsitektur referensi untuk lingkungan cloud hybrid. Pengguna yang menjalankan aplikasi mereka dalam penyiapan cloud hibrid mencari peluang untuk mengkonsolidasikan, menyederhanakan, menstandarisasi, dan mengoptimalkan operasi manajemen patch mereka di seluruhAWS dan infrastruktur lokal mereka. Panduan ini menjelaskan bagaimana solusi patching otomatis untuk instans yang dapat berubah dapat diperluas untuk mendukung skenario cloud hibrid.

Panduan ini menjelaskan:

  • Cerita pengguna utama untuk manajemen patch

  • Proses penambalan

  • Manajemen patch untuk instans yang dapat berubah dalam satu akun danAWS Wilayah tunggal; pertimbangan dan batasan arsitektur

  • Manajemen patch untuk instans yang dapat berubah di lingkungan multi-akun, Multi-wilayah; pertimbangan dan batasan arsitektur

  • Manajemen patch untuk instans lokal di lingkungan cloud hibrid; pertimbangan dan batasan arsitektur

  • Pemangku kepentingan utama, peran, dan tanggung jawab

catatan

Panduan ini menjelaskan arsitektur untuk solusi otomatis (disebut sebagai solusi patching otomatis) yang dapat Anda terapkan untuk mendukung persyaratan manajemen patch Anda untuk instans yang dapat berubah. Itu tidak memberikan kode untuk membangun solusi.

Istilah dan konsep

Jangka waktu Definisi

Instance yang tidak berubah

Instans yang tidak dapat diubah adalah instans server EC2 yang tidak mengalami perubahan apa pun saat sedang berjalan. Jika perubahan diperlukan, Anda membuat instance baru dengan image server yang diperbarui, men-deploy ulang instance, dan menghancurkan image server yang ada.

dasar patch

Patch baseline khusus untuk tipe OS dan mendefinisikan daftar patch yang disetujui untuk instalasi pada instance. Untuk informasi selengkapnya, lihat Tentang baseline patch yang telah ditentukan sebelumnya dan kustom dalam dokumentasi Systems Manager.

Grup tambalan

Sebuah kelompok patch mewakili server dalam lingkungan aplikasi yang target dari patch dasar tertentu. Grup patch membantu memastikan bahwa dasar patch yang tepat men-deploy ke rangkaian instans yang benar. Mereka membantu menghindari men-deploy patch sebelum diuji secara memadai. Grup patch diwakili oleh tag Patch Group. Untuk informasi selengkapnya, lihat Tentang grup tambalan dalam dokumentasi Systems Manager.

Jendela pemeliharaan

Maintenance Windows membiarkan Anda menentukan jadwal untuk melakukan tindakan yang berpotensi mengganggu pada instans, seperti patching sistem operasi, memperbarui driver, atau menginstal perangkat lunak atau patch. Setiap jendela pemeliharaan memiliki jadwal, durasi maksimum, kumpulan instans terdaftar, dan kumpulan instans terdaftar, dan kumpulan instans terdaftar, kumpulan instans terdaftar, dan kumpulan instans terdaftar, dan kumpulan instans terdaftar, dan kumpulan instans terdaftar, dan kumpulan instans terdaftar, Jendela pemeliharaan diwakili oleh tag Maintenance Window. Untuk informasi selengkapnya, lihat Tentang menambal jadwal menggunakan jendela pemeliharaan di dokumentasi Systems Manager.

Kisah pengguna utama

Proses patching OS yang khas melibatkan tiga tugas:

  1. Memindai instans EC2 dan server lokal untuk patch OS yang berlaku.

  2. Mengelompokkan dan menambal instance pada waktu yang tepat.

  3. Melaporkan kepatuhan patching di seluruh lingkungan server.

Tabel berikut mencantumkan cerita pengguna utama untuk manajemen patch.

Skenario Peran pengguna Deskripsi

Mekanisme penambalan

Aplikasi dev/tim dukungan

Sebagai anggota tim aplikasi yang bertanggung jawab atas penambalan OS, saya memerlukan mekanisme untuk menambal instans yang sudah berjalan lama atau dapat berubah, sehingga saya dapat mengurangi kerentanan keamanan OS apa pun dan juga memastikan bahwa instance mematuhi garis dasar penambalan yang ditentukan oleh tim keamanan.

Menambal solusi

Pemilik layanan cloud

Sebagai pemilik layanan cloud yang bertanggung jawab untuk menyediakan layanan cloud kepada tim aplikasi, saya perlu membuat solusi patching OS yang mendukung beberapaAWS akun danAWS Wilayah serta server lokal, sehingga tim aplikasi dapat mengurangi kerentanan keamanan OS apa pun dan juga tetap mematuhi garis dasar penambalan yang ditentukan oleh tim keamanan.

Menambal pelaporan kepatuhan

Manajer operasi keamanan

Sebagai manajer operasi keamanan yang bertanggung jawab untuk memastikan kepatuhan patch, saya memerlukan pelaporan dan informasi kepatuhan patch terperinci di seluruh lanskap cloud, sehingga saya dapat mengidentifikasi server yang tidak sesuai dengan garis dasar patch dan tim peringatan untuk menerapkan mitigasi yang diperlukan.

Definisi peran dan tanggung jawab

Pemilik layanan cloud

Sebagai pemilik layanan cloud, saya perlu membangun matriks peran dan tanggung jawab yang terdefinisi dengan baik yang menjelaskan siapa yang melakukan apa dalam mengelola solusi penambalan cloud hibrida yang saya buat, sehingga kewajiban untuk operasi patching dipublikasikan dan dipenuhi.