AWS Systems Manager Patch Manager - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager Patch Manager

Patch Manager, una funzionalità di AWS Systems Manager, automatizza il processo di applicazione di patch ai nodi gestiti con aggiornamenti relativi alla sicurezza e altri tipi di aggiornamenti.

Importante

A partire dal 22 dicembre 2022, Systems Manager fornisce supporto per le politiche di patch inQuick Setup, una funzionalità di AWS Systems Manager. L'utilizzo delle policy di patch è il metodo consigliato per configurare le operazioni di applicazione delle patch. Utilizzando un'unica configurazione dei criteri di patch, è possibile definire l'applicazione delle patch per tutti gli account in tutte le regioni dell'organizzazione, solo per gli account e le regioni scelti o per una singola coppia account-area. Per ulteriori informazioni, consulta Configurazioni delle policy di patch in Quick Setup.

È possibile utilizzare Patch Manager per applicare patch sia per i sistemi operativi sia per le applicazioni (In Windows Server, il supporto delle applicazioni è limitato ai soli aggiornamenti delle applicazioni Microsoft). È possibile utilizzare Patch Manager per installare Service Pack nei nodi di Windows ed eseguire aggiornamenti di versione secondari sui nodi di Linux. Puoi applicare patch a flotte di istanze Amazon Elastic Compute Cloud EC2 (Amazon), dispositivi edge, server locali e macchine virtuali (VMs) in base al tipo di sistema operativo. Sono incluse le versioni supportate di diversi sistemi operativi, come elencato in Prerequisiti di Patch Manager. Puoi analizzare le istanze per visualizzare solo un report delle patch mancanti, oppure analizzare e installare automaticamente tutte le patch mancanti. Per iniziare a utilizzare Patch Manager, apri la console di Systems Manager. Nel riquadro di navigazione, scegli Patch Manager.

Nota

AWS non testa le patch prima di renderle disponibili in. Patch Manager Inoltre, Patch Manager non supporta l'aggiornamento delle versioni principali dei sistemi operativi, ad esempio da Windows Server 2016 a Windows Server 2019, o da SUSE Linux Enterprise Server (SLES) 12.0 a SLES 15.0.

Per i tipi di sistemi operativi basati su Linux che segnalano un livello di gravità per le patch, Patch Manager utilizza il livello di gravità riportato dall'editore del software per l'avviso di aggiornamento o per la singola patch. Patch Managernon ricava i livelli di gravità da fonti di terze parti, come il Common Vulnerability Scoring System (CVSS), o dalle metriche rilasciate dal National Vulnerability Database (). NVD

Patch di base

Patch Manager utilizza patch di base che includono regole per l'approvazione automatica delle patch entro pochi giorni dalla relativa pubblicazione, oltre a un elenco delle patch approvate e rifiutate. Quando viene eseguita un'operazione di applicazione di patch, Patch Manager confronta le patch attualmente applicate a un nodo gestito con quelle da applicare in base alle regole configurate nella patch di base. Puoi impostare Patch Manager in modo che mostri soltanto un report delle patch mancanti (un'operazione Scan) oppure Patch Manager può installare automaticamente tutte le patch mancanti in un nodo gestito (un'operazione Scan and install).

Metodi operativi di applicazione delle patch

Patch Manager offre attualmente quattro metodi per eseguire operazioni Scan e Scan and install:

  • (Consigliato) Una policy di patch configurata inQuick Setup: in base all'integrazione con AWS Organizations, una singola policy di patch può definire le pianificazioni di applicazione delle patch e le linee di base delle patch per un'intera organizzazione, compresi più account e tutti quelli in cui operano. Account AWS Regioni AWS Una policy di patch può inoltre riguardare solo alcune unità organizzative (OUs) di un'organizzazione. Puoi utilizzare un'unica policy di patch per eseguire l'analisi e l'installazione in base a pianificazioni diverse. Per ulteriori informazioni, consulta Configurare l'applicazione di patch per le istanze di un'organizzazione e Configurazioni delle policy di patch in Quick Setup.

  • Un'opzione di gestione host configurata in Quick Setup. Le configurazioni di gestione host sono supportate anche dall'integrazione con AWS Organizations, consentendo così di eseguire un'operazione di applicazione di patch per un'intera organizzazione. Tuttavia, questa opzione si limita alla ricerca delle patch mancanti utilizzando l'attuale patch di base predefinita e fornendo risultati nei report di conformità. Questo metodo operativo non è in grado di installare patch. Per ulteriori informazioni, consulta Configurare la gestione degli EC2 host Amazon.

  • Una finestra di manutenzione per eseguire un'attività Scan o Install di patch. Una finestra di manutenzione, che puoi impostare nella funzionalità di Systems Manager denominata Maintenance Windows, può essere configurata per eseguire diversi tipi di attività secondo una pianificazione definita dall'utente. Un'attività di tipo Run Command può essere utilizzata per eseguire processi Scan o Scan and install in un set di nodi gestiti di tua scelta. Ogni attività della finestra di manutenzione può riguardare i nodi gestiti in una sola Account AWSRegione AWS coppia. Per ulteriori informazioni, consulta Tutorial: creare una finestra di manutenzione per l'applicazione delle patch utilizzando la console.

  • Una patch su richiesta è ora operativa Patch Manager: l'opzione Patch now consente di ignorare le configurazioni pianificate quando è necessario applicare patch ai nodi gestiti il più rapidamente possibile. Con Patch now (Applica subito una patch), puoi specificare se eseguire l'operazione Scan o Scan and install e scegliere i nodi gestiti sui cui eseguirla. È inoltre possibile scegliere di eseguire i documenti (SSMdocumenti) di Systems Manager come hook del ciclo di vita durante l'operazione di patching. Ogni operazione Patch ora può indirizzare i nodi gestiti in una sola coppia. Account AWSRegione AWS Per ulteriori informazioni, consulta Patching dei nodi gestiti on demand.

Creazione di report di conformità

Dopo un'operazione Scan, puoi utilizzare la console di Systems Manager per visualizzare le informazioni relative ai nodi gestiti che non sono conformi alle patch e alle patch mancanti per ciascun nodo. Puoi anche generare report di conformità alle patch in formato .csv inviati a un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare report una tantum o generare report in base a una pianificazione regolare. Per un singolo nodo, i report includono dettagli di tutte le patch per il nodo. Per un report su tutti i nodi gestiti, viene fornito solo un riepilogo del numero di patch mancanti. Dopo aver generato un report, puoi utilizzare uno strumento come Amazon QuickSight per importare e analizzare i dati. Per ulteriori informazioni, consulta Utilizzo dei report sulla conformità delle patch.

Nota

Un elemento di conformità generato tramite l'uso di una policy di patch ha un tipo di esecuzione PatchPolicy. Un elemento di conformità non generato in un'operazione di policy di patch presenta un tipo di esecuzione Command.

Integrazioni

Patch Managersi integra con i seguenti altri Servizi AWS:

Argomenti