Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Panoramica sulla gestione delle patch
Se vi occupate di operazioni applicative o infrastrutturali, conoscete l'importanza di una soluzione di patching del sistema operativo (OS) sufficientemente flessibile e scalabile da soddisfare i diversi requisiti dei vostri team applicativi. In un'organizzazione tipica, alcuni team applicativi utilizzano un'architettura che prevede istanze immutabili, mentre altri distribuiscono le proprie applicazioni su istanze mutabili.
L'applicazione di patch alle istanze immutabili comporta l'applicazione delle patch ad Amazon Machine Images (AMIs) utilizzate per fornire le istanze immutabili dell'applicazione. EC2 L'applicazione di patch alle istanze mutabili prevede la distribuzione di patch sul posto alle istanze in esecuzione durante una finestra di manutenzione pianificata.
Questa guida prescrittiva descrive come utilizzare AWS Systems Manager Patch Manager per applicare patch alle istanze mutabili che si estendono su più AWS account e AWS regioni in modo automatico, in base alle finestre di manutenzione e ai gruppi di patch definiti dai team applicativi sui propri server tramite tag.
La guida descrive una soluzione di patching automatizzata che consente di automatizzare le configurazioni e AWS Lambda la pianificazione delle patch, utilizzando Patch Manager e le finestre di manutenzione. Amazon QuickSight fornisce le funzionalità di reporting e dashboard necessarie per generare report sulla conformità delle patch.
Inoltre, questa guida descrive un'architettura di riferimento per ambienti cloud ibridi. Gli utenti che eseguono le proprie applicazioni in una configurazione di cloud ibrido cercano opportunità per consolidare, semplificare, standardizzare e ottimizzare le operazioni di gestione delle patch nell'intera AWS infrastruttura locale. La guida spiega come la soluzione di patching automatizzata per le istanze mutabili può essere estesa per supportare scenari di cloud ibrido.
Questa guida descrive:
-
Storie di utenti chiave per la gestione delle patch
-
Il processo di applicazione delle patch
-
Gestione delle patch per istanze mutabili in un unico account e in un'unica AWS regione; considerazioni e limitazioni architettoniche
-
Gestione delle patch per istanze mutabili in un ambiente con più account e più regioni; considerazioni e limitazioni architettoniche
-
Gestione delle patch per istanze locali in un ambiente cloud ibrido; considerazioni e limitazioni architettoniche
-
Stakeholder, ruoli e responsabilità chiave
Nota
Questa guida descrive un'architettura per una soluzione automatizzata (denominata soluzione di patching automatizzata) che è possibile implementare per supportare i requisiti di gestione delle patch per le istanze mutabili. Non fornisce il codice per creare la soluzione.
Termini e concetti
| Termine | Definizione |
|---|---|
Istanze immutabili |
Le istanze immutabili sono istanze EC2 del server che non subiscono alcuna modifica durante l'esecuzione. Se sono necessarie modifiche, si crea una nuova istanza con l'immagine del server aggiornata, si ridistribuisce l'istanza e si elimina l'immagine del server esistente. |
Linea di base della patch |
Una linea di base delle patch è specifica per un tipo di sistema operativo e definisce l'elenco delle patch approvate per l'installazione sulle istanze. Per ulteriori informazioni, vedere Informazioni sulle linee di base delle patch predefinite e personalizzate nella documentazione di Systems Manager. |
Gruppo di patch |
Un gruppo di patch rappresenta i server all'interno di un ambiente applicativo che sono obiettivi di una specifica linea di base di patch. I gruppi di patch aiutano a garantire che le corrette linee di base delle patch vengano distribuite nel set corretto di istanze. Inoltre aiutano a evitare di distribuire le patch prima che siano state adeguatamente testate. I gruppi di patch sono rappresentati dal tag Patch Group. Per ulteriori informazioni, vedere Informazioni sui gruppi di patch nella documentazione di Systems Manager. |
Maintenance window (Finestra di manutenzione) |
Le finestre di manutenzione consentono di definire una pianificazione per l'esecuzione di azioni potenzialmente dannose sulle istanze, come l'applicazione di patch a un sistema operativo, l'aggiornamento dei driver o l'installazione di software o patch. Ogni finestra di manutenzione ha una pianificazione, una durata massima, un set di istanze di destinazione registrate e un set di attività registrate. Le finestre di manutenzione sono rappresentate dal tag Maintenance Window. Per ulteriori informazioni, vedere Informazioni sulle pianificazioni di applicazione delle patch utilizzando le finestre di manutenzione nella documentazione di Systems Manager. |
Storie chiave degli utenti
Il tipico processo di applicazione delle patch al sistema operativo prevede tre attività:
-
Scansione delle EC2 istanze e dei server locali alla ricerca delle patch del sistema operativo applicabili.
-
Raggruppamento e applicazione di patch alle istanze al momento opportuno.
-
Segnalazione della conformità delle patch in tutto l'ambiente server.
La tabella seguente elenca le storie chiave degli utenti per la gestione delle patch.
| Scenario | Ruolo utente | Descrizione |
|---|---|---|
Meccanismo di patching |
Team di sviluppo/supporto delle applicazioni |
In qualità di membro del team addetto alle applicazioni responsabile dell'applicazione delle patch al sistema operativo, ho bisogno di un meccanismo per applicare patch alle mie istanze a esecuzione prolungata o modificabili, in modo da mitigare eventuali vulnerabilità di sicurezza del sistema operativo e garantire che le istanze siano conformi alla linea di base di applicazione delle patch definita dal team di sicurezza. |
Soluzione di patching |
Proprietario del servizio cloud |
In qualità di proprietario di un servizio cloud responsabile della fornitura di servizi cloud ai team applicativi, devo creare una soluzione di patching del sistema operativo che supporti più AWS account e AWS regioni, nonché server locali, in modo che i team delle applicazioni possano mitigare eventuali vulnerabilità di sicurezza del sistema operativo e allo stesso tempo rispettare la linea di base di applicazione delle patch definita dal team di sicurezza. |
Rapporti di conformità relativi all'applicazione delle patch |
Responsabile delle operazioni di sicurezza |
In qualità di responsabile delle operazioni di sicurezza responsabile della conformità delle patch, ho bisogno di report e informazioni dettagliati sulla conformità delle patch in tutto il panorama cloud, in modo da poter identificare i server che non sono conformi alla linea di base delle patch e avvisare i team per implementare la mitigazione richiesta. |
Definizione di ruoli e responsabilità |
Proprietario del servizio cloud |
In qualità di proprietario di un servizio cloud, devo creare una matrice di ruoli e responsabilità ben definita che spieghi chi fa cosa nella gestione della soluzione di patching del cloud ibrido che ho creato, in modo che gli obblighi relativi alle operazioni di patching vengano pubblicati e rispettati. |
