パッチ管理の概要 - AWS 規範ガイダンス
用語と概念主要ユーザーストーリー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

パッチ管理の概要

アプリケーションやインフラストラクチャの運用に携わっている方なら、アプリケーションチームからの多様な要件に対応できる柔軟性と拡張性を備えたオペレーティングシステム (OS) パッチソリューションの重要性を理解していることでしょう。一般的な組織では、不変インスタンスを含むアーキテクチャを使用するアプリケーションチームもあれば、可変インスタンスにアプリケーションをデプロイするアプリケーションチームもあります。

イミュータブルインスタンスのパッチ適用では、イミュータブル EC2 アプリケーションインスタンスのプロビジョニングに使用される Amazon マシンイメージ (AMI) にパッチを適用します。可変インスタンスパッチでは、スケジュールされたメンテナンス期間中に、実行中のインスタンスにパッチをインプレースでデプロイします。

この規範ガイドでは、AWS Systems Manager Patch Manager を使用して、アプリケーションチームがサーバー上でタグを使用して定義したメンテナンスウィンドウとパッチグループに基づいて、複数の AWS アカウントと AWS リージョンにまたがる可変インスタンスに自動的にパッチを適用する方法について説明します。

このガイドでは、AWS Lambda を使用し、パッチマネージャーとメンテナンスウィンドウを使用して、パッチの設定とスケジューリングを自動化する自動パッチソリューションについて説明します。Amazon QuickSight には、パッチコンプライアンスに関するレポートに必要なレポート機能とダッシュボード機能が備わっています。

また、このガイドでは、ハイブリッドクラウド環境のリファレンスアーキテクチャについても説明します。ハイブリッドクラウドのセットアップでアプリケーションを運用するユーザーは、AWS とオンプレミスのインフラストラクチャにまたがるパッチ管理業務を統合、簡素化、標準化、最適化する機会を求めています。このガイドでは、可変インスタンス用の自動パッチ適用ソリューションを拡張してハイブリッドクラウドシナリオをサポートする方法について説明しています。

このガイドでは、以下を取り上げています:

  • パッチ管理に関する主なユーザーストーリー

  • パッチの適用プロセス

  • 単一アカウントと単一 AWS リージョンにおける可変インスタンスのパッチ管理、アーキテクチャ上の考慮事項と制限事項

  • マルチアカウント、マルチリージョン環境におけるミュータブルインスタンスのパッチ管理;建築上の考慮事項と制限

  • ハイブリッドクラウド環境におけるオンプレミスインスタンスのパッチ管理;アーキテクチャ上の考慮事項と制限事項

  • 主要利害関係者、役割、責任

注記

このガイドでは、ミュータブルインスタンスのパッチ管理要件をサポートするために実装できる自動化ソリューション (自動化パッチソリューションと呼ばれます) のアーキテクチャについて説明します。ソリューションを構築するためのコードは提供されていません。

用語と概念

期間 定義

イミュータブルインスタンス

イミュータブルインスタンスとは、実行中も変更されない EC2 サーバーインスタンスのことです。変更が必要な場合は、更新されたサーバーイメージを使用して新しいインスタンスを作成し、そのインスタンスを再デプロイして、既存のサーバーイメージを破棄します。

パッチベースライン

パッチベースラインは OS タイプによって異なり、インスタンスへのインストールが承認されたパッチリストを定義します。詳細については、Systems Manager ドキュメントの「定義済みパッチベースラインとカスタムパッチベースラインについて」を参照してください。

パッチグループ

パッチグループは、特定のパッチベースラインの対象となるアプリケーション環境内のサーバーを表します。パッチグループは、正しい一連のインスタンスに、正しいパッチベースラインのデプロイを確認するのに役立ちます。また、適切なテストの完了前にパッチがデプロイされることも回避できます。パッチグループは [パッチグループ] タグで表されます。詳細については、Systems Manager ドキュメントの「パッチグループについて」を参照してください。

メンテナンスウィンドウ

メンテナンスウィンドウでは、オペレーティングシステムのパッチ適用、ドライバの更新、ソフトウェアやパッチのインストールなど、インスタンスに対して潜在的に破壊的なアクションを実行するためのスケジュールを定義できます。各メンテナンスウィンドウには、スケジュール、最大期間、登録されたターゲットインスタンスのセット、登録されたタスクのセットがあります。メンテナンスウィンドウは [メンテナンスウィンドウ] タグで表されます。詳細については、Systems Manager ドキュメントの「メンテナンスウィンドウを使用したパッチ適用スケジュールについて」を参照してください。

主要ユーザーストーリー

一般的な OS パッチ処理には次の 3 つのタスクが含まれます。

  1. EC2 インスタンスとオンプレミスサーバーをスキャンして、該当する OS パッチを探します。

  2. 適切なタイミングでインスタンスをグループ化し、パッチを適用します。

  3. サーバー環境全体にわたるパッチ適用コンプライアンスの報告。

次の表は、パッチ管理の主なユーザーストーリーをまとめたものです。

シナリオ ユーザーロール 説明

パッチメカニズム

アプリケーション開発/サポートチーム

OS のパッチ適用を担当するアプリケーションチームのメンバーとして、OS のセキュリティの脆弱性を軽減し、インスタンスがセキュリティチームが定義したパッチベースラインに確実に準拠できるように、長時間実行されるインスタンスや可変インスタンスにパッチを適用するメカニズムが必要です。

パッチソリューション

クラウドサービスオーナー

アプリケーションチームへのクラウドサービスの提供を担当するクラウドサービスオーナーとして、複数の AWS アカウントや AWS リージョン、オンプレミスサーバーをサポートする OS パッチソリューションを構築する必要があります。これにより、アプリケーションチームは OS セキュリティの脆弱性を軽減し、セキュリティチームが定義したパッチベースラインへの準拠も維持できます。

パッチ適用コンプライアンスレポート

セキュリティオペレーションマネージャー

パッチコンプライアンスの確保を担当するセキュリティ運用マネージャーとして、パッチベースラインに準拠していないサーバーを特定し、必要な緩和策を実施するようチームに警告できるように、クラウド環境全体にわたる詳細なパッチコンプライアンスレポートと情報が必要です。

役割と責任の定義

クラウドサービスオーナー

クラウドサービスオーナーとして、私は、私が構築したハイブリッドクラウドパッチングソリューションの管理において誰が何をするのかを説明する、明確に定義された役割と責任のマトリクスを構築する必要があります。