OPS05-BP05 Lakukan manajemen tambalan - AWS Kerangka Well-Architected
Panduan implementasiSumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

OPS05-BP05 Lakukan manajemen tambalan

Lakukan manajemen patch untuk mendapatkan fitur, menangani permasalahan, dan menjaga kepatuhan terhadap tata kelola. Otomatiskan manajemen patch untuk mengurangi kesalahan yang disebabkan oleh proses manual, menskalakan, dan mengurangi upaya untuk melakukan patch.

Manajemen patch dan kerentanan adalah bagian dari aktivitas manajemen manfaat dan risiko Anda. Lebih baik Anda memiliki infrastruktur tetap dan melakukan deployment beban kerja pada status yang diketahui baik dan terverifikasi. Jika tidak memungkinkan, opsi yang tersisa ialah menerapkan patching.

Amazon EC2 Image Builder menyediakan saluran pipa untuk memperbarui gambar mesin. Sebagai bagian dari manajemen tambalan, pertimbangkan Amazon Machine Images (AMIs) menggunakan pipeline AMI gambar atau image container dengan pipeline image Docker, sekaligus AWS Lambda menyediakan pola untuk runtime kustom dan library tambahan untuk menghapus kerentanan.

Anda harus mengelola pembaruan untuk Amazon Machine Images untuk gambar Linux atau Windows Server menggunakan Amazon EC2 Image Builder. Anda dapat menggunakan Amazon Elastic Container Registry (AmazonECR) dengan pipeline yang ada untuk mengelola ECS gambar Amazon dan mengelola EKS gambar Amazon. Lambda menyertakan fitur manajemen versi.

Patching tidak boleh dilakukan pada sistem produksi tanpa mengujinya terlebih dahulu di sebuah lingkungan yang aman. Patch hanya bisa diterapkan jika mendukung hasil operasi atau bisnis. Pada AWS, Anda dapat menggunakan AWS Systems Manager Patch Manager untuk mengotomatiskan proses menambal sistem terkelola dan menjadwalkan aktivitas menggunakan Systems Manager Maintenance Windows.

Hasil yang diinginkan: Gambar Anda AMI dan kontainer ditambal up-to-date,, dan siap diluncurkan. Anda dapat melacak status dari semua citra yang di-deploy dan mengetahui kepatuhan patch. Anda dapat melaporkan status saat ini dan memiliki proses untuk memenuhi kebutuhan-kebutuhan kepatuhan Anda.

Anti-pola umum:

  • Anda diberi tugas untuk menerapkan semua patch keamanan baru dalam waktu dua jam yang menyebabkan terjadinya beberapa kali pemadaman akibat ketidaksesuaian aplikasi dengan patch.

  • Pustaka yang tidak di-patch dapat menimbulkan konsekuensi yang tidak dinginkan karena pihak yang tidak diketahui memanfaatkan kerentanan di dalamnya untuk mengakses beban kerja Anda.

  • Anda melakukan patching pada lingkungan pengembangan secara otomatis tanpa memberikan notifikasi kepada pengembang. Anda menerima beberapa keluhan dari pengembang bahwa lingkungan mereka tidak lagi beroperasi sesuai dengan yang diharapkan.

  • Anda belum menambal off-the-shelf perangkat lunak komersial pada instance persisten. Ketika Anda mengalami masalah pada perangkat lunak dan menghubungi vendornya, Anda diberi tahu bahwa versi tersebut tidak didukung dan Anda harus melakukan patching pada tingkat tertentu untuk menerima bantuan.

  • Patch yang baru-baru ini dirilis untuk perangkat lunak enkripsi yang Anda gunakan memiliki peningkatan kinerja yang signifikan. Sistem Anda yang tidak di-patching tetap memiliki masalah kinerja akibat tidak dilakukannya patching.

  • Anda mendapatkan notifikasi tentang kerentanan zero-day yang memerlukan perbaikan darurat dan Anda harus menerapkan patching pada semua lingkungan Anda secara manual.

Manfaat menerapkan praktik terbaik ini: Dengan menjalankan proses manajemen patching, termasuk kriteria Anda untuk patching dan metodologi untuk distribusi ke seluruh lingkungan Anda, Anda dapat menskalakan dan melaporkan tingkat patching Anda. Ini memberikan jaminan seputar patching keamanan dan memastikan visibilitas yang jelas tentang status perbaikan yang diketahui yang sekarang sedang dilakukan. Hal ini mendorong adopsi fitur dan kemampuan yang diinginkan, penyingkiran masalah secara cepat, dan kepatuhan yang berkelanjutan terhadap tata kelola. Implementasikan sistem manajemen dan otomatisasi patching untuk mengurangi tingkat upaya untuk men-deploy patch dan mengurangi kesalahan yang disebabkan oleh proses yang dilakukan secara manual.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Lakukan patching pada sistem untuk menyelesaikan masalah, untuk mendapatkan fitur atau kemampuan yang diinginkan, dan untuk tetap patuh terhadap kebijakan tata kelola serta persyaratan dukungan vendor. Pada sistem tetap, lakukan deployment dengan rangkaian patching yang sesuai untuk mencapai hasil yang diinginkan. Lakukan otomatisasi mekanisme manajemen patching untuk mengurangi waktu yang telah berlalu untuk melakukan patching, untuk mencegah kesalahan yang disebabkan oleh proses manual, dan mengurangi upaya dalam melakukan patching.

Langkah-langkah implementasi

Untuk Amazon EC2 Image Builder:

  1. Menggunakan Amazon EC2 Image Builder, tentukan detail pipeline:

    1. Buatlah sebuah pipeline citra dan beri nama

    2. Tentukan jadwal pipeline dan zona waktu

    3. Konfigurasikan dependensi apa pun

  2. Pilih resep:

    1. Pilih resep yang sudah ada atau buat resep baru

    2. Pilih jenis citra

    3. Beri nama dan versi resep Anda

    4. Pilih citra dasar Anda

    5. Tambahkan komponen build dan tambahkan ke registri target

  3. Opsional - tentukan konfigurasi infrastruktur Anda.

  4. Opsional - tentukan pengaturan konfigurasi.

  5. Tinjau pengaturan.

  6. Pertahankan kebersihan resep secara teratur.

Untuk Systems Manager Patch Manager:

  1. Membuat acuan dasar patch.

  2. Pilih metode operasi patching.

  3. Aktifkan pelaporan dan pemindaian kepatuhan.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait: