OPS05-BP05 パッチ管理の実行 - AWS Well-Architected フレームワーク
実装のガイダンスリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

OPS05-BP05 パッチ管理の実行

パッチ管理を実行し、問題を解決して、ガバナンスに準拠するようにします。パッチ管理の自動化により、手動プロセスによって発生するエラーを低減し、スケールして、パッチに関連する労力を減らすことができます。

パッチと脆弱性の管理は、利点とリスク管理のアクティビティの一環です。不変のインフラストラクチャを使用し、検証済みの正常な状態でワークロードをデプロイすることが推奨されます。これが現実的でない場合のオプションには、パッチの適用があります。

Amazon EC2 Image Builder は、マシンイメージを更新するためのパイプラインを提供します。パッチ管理の一環として、Docker イメージAMIパイプライン でイメージパイプラインまたはコンテナイメージを使用する Amazon マシンイメージ (AMIs) を検討してください。一方で、 AWS Lambda は、脆弱性を削除するためのカスタムランタイムと追加のライブラリのパターンを提供します。

Amazon Image Builder を使用して、Linux または Windows Server イメージの Amazon EC2 マシンイメージの更新を管理する必要があります。既存のパイプラインで Amazon Elastic Container Registry (Amazon ECR) を使用して、Amazon ECSイメージを管理し、Amazon EKSイメージを管理できます。Lambda にはバージョン管理機能があります。

パッチの本番環境のシステムへの適用は、まず安全な環境でテストした後とする必要があります。パッチは運用上またはビジネス上の成果に対応している場合にのみ適用してください。では AWS、AWS Systems Manager Patch Manager を使用してマネージドシステムのパッチ適用プロセスを自動化し、Systems Manager Maintenance Windows を使用してアクティビティをスケジュールできます。

望ましい結果: AMIとコンテナイメージにパッチが適用され up-to-date、起動の準備が整います。デプロイされたすべてのイメージのステータスを追跡し、パッチのコンプライアンスを把握できます。現在のステータスを報告でき、コンプライアンスのニーズを満たすプロセスが施行されています。

一般的なアンチパターン:

  • あなたには、すべての新しいセキュリティパッチを 2 時間以内に適用するために権限が付与されました。その結果、アプリケーションにパッチとの互換性がないため、複数の機能停止が発生しました。

  • パッチが適用されていないライブラリは、不明な関係者がライブラリ内の脆弱性を使用してワークロードにアクセスするため、意図しない結果をもたらします。

  • あなたは、デベロッパーに通知することなく、自動的にデベロッパー環境にパッチを適用します。あなたには、デベロッパーから、環境が想定どおりに動作しなくなったという苦情が複数寄せられます。

  • 永続インスタンスに商用 off-the-shelfソフトウェアにパッチが適用されていません。ソフトウェアに問題があり、ベンダーに連絡すると、ベンダーから、バージョンがサポートされておらず、サポートを受けるためには、特定のレベルにパッチを適用する必要があることが伝えられます。

  • 使用した暗号化ソフトウェアの最近リリースされたパッチにより、パフォーマンスが大幅に向上しますが、パッチが適用されていないシステムには、パッチを適用しない結果として、パフォーマンスの問題が残存している。

  • 緊急に修正が必要なゼロデイ脆弱性についての通知を受けて、すべての環境に手動でパッチを適用する必要がある。

このベストプラクティスを活用する利点: パッチ適用の基準や環境全体にわたる配布方法など、パッチ管理プロセスを確立することで、パッチレベルのスケールとレポート作成が実現します。これにより、セキュリティパッチの適用が保証され、実施されている既知の修正のステータスを明確に把握できます。これにより、必要な機能の導入、問題の迅速な解決、継続的なガバナンスへの遵守が実現します。パッチ管理システムと自動化を実装して、パッチをデプロイする労力を軽減し、手動プロセスに起因するエラーの発生を抑制します。

このベストプラクティスを活用しない場合のリスクレベル:

実装のガイダンス

問題の修正、希望する機能や能力の取得、ガバナンスポリシーやベンダーのサポート要件への準拠継続を行うためにはシステムをパッチします。変更不可能なシステムでは、必要な成果を達成するために適切なパッチを使用してデプロイします。パッチ管理メカニズムを自動化することで、パッチ適用の経過時間、手動プロセスが原因で発生するエラー、パッチに関する労力を低減できます。

実装手順

Amazon EC2 Image Builder の場合:

  1. Amazon EC2 Image Builder を使用して、パイプラインの詳細を指定します。

    1. イメージパイプラインの作成と命名

    2. パイプラインのスケジュールとタイムゾーンの定義

    3. すべての依存関係の設定

  2. 次のレシピを選択します。

    1. 既存のレシピを選択するか、新しいレシピを作成します

    2. イメージのタイプを選択します

    3. レシピに名前を付けてバージョンを付けます

    4. ベースイメージを選択します

    5. ビルドコンポーネントを追加して、ターゲットレジストリに追加します

  3. オプション - インフラストラクチャの設定を定義します。

  4. オプション - 設定を定義します。

  5. 設定の確認

  6. レシピのハイジーンを定期的に管理します。

Systems Manager Patch Manager の場合:

  1. パッチベースラインの作成

  2. パッチ適用オペレーション方法を選択します。

  3. コンプライアンスレポートとスキャンを有効にします。

リソース

関連するベストプラクティス:

関連ドキュメント:

関連動画: