AWS Systems Manager Patch Manager - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager Patch Manager

Patch Manager, uno strumento in AWS Systems Manager, automatizza il processo di applicazione di patch ai nodi gestiti sia con aggiornamenti relativi alla sicurezza che con altri tipi di aggiornamenti.

Importante

Systems Manager fornisce supporto per le politiche di patch in Quick Setup, uno strumento in AWS Systems Manager. L'utilizzo delle policy di patch è il metodo consigliato per configurare le operazioni di applicazione di patch. Con una singola configurazione delle policy di patch, è possibile definire l'applicazione di patch per tutti gli account in tutte le regioni dell'organizzazione, per regioni e account selezionati o per una singola coppia account-regione. Per ulteriori informazioni, consulta Configurazioni delle policy di patch in Quick Setup.

È possibile utilizzare… Patch Manager per applicare patch sia per i sistemi operativi che per le applicazioni. (Attivato Windows Server, il supporto per le applicazioni è limitato agli aggiornamenti per le applicazioni rilasciate da Microsoft.) È possibile utilizzare… Patch Manager per installare i Service Pack sui nodi Windows ed eseguire aggiornamenti di versione minori sui nodi Linux. Puoi applicare patch a flotte di istanze Amazon Elastic Compute Cloud EC2 (Amazon), dispositivi edge, server locali e macchine virtuali (VMs) in base al tipo di sistema operativo. Sono incluse le versioni supportate di diversi sistemi operativi, come elencato su Patch Manager prerequisiti. È possibile analizzare le istanze per visualizzare solo un report delle patch mancanti, oppure analizzare e installare automaticamente tutte le patch mancanti. Per iniziare con Patch Manager, aprire la console Systems Manager. Nel riquadro di navigazione, scegli Patch Manager.

Nota

AWS non testa le patch prima di renderle disponibili in Patch Manager. Inoltre, Patch Manager non supporta l'aggiornamento delle versioni principali dei sistemi operativi, come Windows Server dal 2016 al Windows Server 2019, oppure SUSE Linux Enterprise Server (SLES) da 12,0 a SLES 15.0.

Per i tipi di sistemi operativi basati su Linux che riportano un livello di gravità per le patch, Patch Manager utilizza il livello di gravità riportato dall'editore del software per l'avviso di aggiornamento o la singola patch. Patch Manager non ricava i livelli di gravità da fonti di terze parti, come il Common Vulnerability Scoring System (CVSS), o dalle metriche rilasciate dal National Vulnerability Database (NVD).

Patch di base

Patch Manager utilizza le linee di base delle patch, che includono regole per l'approvazione automatica delle patch entro pochi giorni dal rilascio, oltre a elenchi opzionali di patch approvate e rifiutate. Quando viene eseguita un'operazione di patching, Patch Manager confronta le patch attualmente applicate a un nodo gestito con quelle che dovrebbero essere applicate in base alle regole impostate nella linea di base delle patch. Puoi scegliere per Patch Manager per mostrarti solo un rapporto sulle patch mancanti (un'Scanoperazione), oppure puoi scegliere Patch Manager per installare automaticamente tutte le patch che rileva mancanti in un nodo gestito (un'Scan and installoperazione).

Metodi operativi di applicazione di patch

Patch Manager attualmente offre quattro metodi per l'esecuzione Scan e il Scan and install funzionamento:

  • (Consigliato) Una politica di patch configurata in Quick Setup— In base all'integrazione con AWS Organizations, una singola policy di patch può definire i piani di applicazione delle patch e le linee di base delle patch per un'intera organizzazione, Regioni AWS compresi i diversi Account AWS account in cui operano. Una policy di patch può inoltre riguardare solo alcune unità organizzative (OUs) di un'organizzazione. È possibile utilizzare un'unica policy di patch per eseguire l'analisi e l'installazione in base a pianificazioni diverse. Per ulteriori informazioni, consulta Configurare l'applicazione di patch per le istanze in un'organizzazione utilizzando Quick Setup e Configurazioni delle policy di patch in Quick Setup.

  • Un'opzione di gestione dell'host configurata in Quick Setup— Le configurazioni di Host Management sono supportate anche dall'integrazione con AWS Organizations, che consente di eseguire un'operazione di patching per un massimo di un'intera organizzazione. Tuttavia, questa opzione si limita alla ricerca delle patch mancanti utilizzando l'attuale patch di base predefinita e fornendo risultati nei report di conformità. Questo metodo operativo non è in grado di installare patch. Per ulteriori informazioni, consulta Configura la gestione EC2 dell'host Amazon utilizzando Quick Setup.

  • Una finestra di manutenzione per eseguire una patch Scan o un'Installattività: una finestra di manutenzione, configurata nello strumento Systems Manager chiamato Maintenance Windows, può essere configurato per eseguire diversi tipi di attività secondo una pianificazione definita dall'utente. A Run Command-type task può essere utilizzato per eseguire Scan o eseguire Scan and install operazioni su un set di nodi gestiti scelti dall'utente. Ogni attività della finestra di manutenzione può indirizzare i nodi gestiti in una sola Account AWSRegione AWS coppia. Per ulteriori informazioni, consulta Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console.

  • Una patch su richiesta ora è operativa in Patch Manager— L'opzione Patch now consente di ignorare le configurazioni pianificate quando è necessario applicare patch ai nodi gestiti il più rapidamente possibile. Con Patch now (Applica subito una patch), è possibile specificare se eseguire l'operazione Scan o Scan and install e scegliere i nodi gestiti sui cui eseguirla. È possibile inoltre scegliere di eseguire i documenti Systems Manager (documenti SSM) come hook del ciclo di vita durante l'applicazione di patch. Ogni operazione Patch now può indirizzare i nodi gestiti in una sola coppia Account AWS.Regione AWS Per ulteriori informazioni, consulta Patching dei nodi gestiti on demand.

Creazione di report di conformità

Dopo un'operazione Scan, è possibile utilizzare la console di Systems Manager per visualizzare le informazioni relative ai nodi gestiti che non sono conformi alle patch e alle patch mancanti per ciascun nodo. È possibile anche generare report di conformità alle patch in formato .csv inviati a un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare report una tantum o generare report in base a una pianificazione regolare. Per un singolo nodo, i report includono dettagli di tutte le patch per il nodo. Per un report su tutti i nodi gestiti, viene fornito solo un riepilogo del numero di patch mancanti. Dopo aver generato un report, puoi utilizzare uno strumento come Amazon QuickSight per importare e analizzare i dati. Per ulteriori informazioni, consulta Utilizzo dei report sulla conformità delle patch.

Nota

Un elemento di conformità generato tramite l'uso di una policy di patch ha un tipo di esecuzione PatchPolicy. Un elemento di conformità non generato in un'operazione di policy di patch presenta un tipo di esecuzione Command.

Integrazioni

Patch Manager si integra con i seguenti altri Servizi AWS:

Argomenti