As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Visão geral de gerenciamento de patches
Se você está envolvido em operações de aplicativos ou infraestrutura, você entende a importância de uma solução de patches do sistema operacional (OS) que seja flexível e escalável o suficiente para atender aos diversos requisitos de suas equipes de aplicativos. Em uma organização típica, algumas equipes de aplicativos usam uma arquitetura que envolve instâncias imutáveis, enquanto outras implantam seus aplicativos em instâncias mutáveis.
O patching de instâncias imutáveis envolve a aplicação de patches às Amazon Machine Images (AMIs) que são usadas para provisionar as instâncias imutáveis do aplicativo EC2. O patching de instâncias mutáveis envolve uma implantação de patches no local em instâncias em execução durante uma janela de manutenção programada.
Este guia prescritivo descreve como você pode usar o AWS Systems Manager Patch Manager para corrigir instâncias mutáveis que abrangem várias contas AWS e regiões AWS de forma automatizada, com base nas janelas de manutenção e nos grupos de patches definidos pelas equipes de aplicativos em seus servidores por meio de tags.
O guia descreve uma solução automatizada de patches que usa o AWS Lambda para automatizar as configurações e o agendamento de patches, usando o Gerenciador de Patch e as janelas de manutenção. O Amazon QuickSight fornece os recursos necessários de relatórios e painéis para relatar a conformidade de patches.
Além disso, este guia descreve uma arquitetura de referência para ambientes de nuvem híbrida. Os usuários que executam seus aplicativos em uma configuração de nuvem híbrida buscam oportunidades para consolidar, simplificar, padronizar e otimizar suas operações de gerenciamento de patches na AWS e sua infraestrutura on-premises. O guia explica como a solução automatizada de patches para instâncias mutáveis pode ser estendida para oferecer suporte a cenários de nuvem híbrida.
Este guia descreve:
-
Principais histórias de usuários para gerenciamento de patches
-
Processo de patching
-
Gerenciamento de patches para instâncias mutáveis em uma única conta e região AWS; considerações e limitações arquitetônicas
-
Gerenciamento de patches para instâncias mutáveis em um ambiente de multi-conta e multi-região; considerações e limitações arquitetônicas
-
Gerenciamento de patches para instâncias on-premises em um ambiente de nuvem híbrida; considerações e limitações arquitetônicas
-
Principais partes interessadas, funções e responsabilidades
nota
Este guia descreve uma arquitetura para uma solução automatizada (chamada de solução automatizada de patches) que você pode implementar para dar suporte aos requisitos de gerenciamento de patches para instâncias mutáveis. Ele não fornece o código para criar a solução.
Termos e conceitos
Prazo | Definição |
---|---|
Instâncias imutáveis |
Instâncias imutáveis são instâncias do servidor EC2 que não sofrem nenhuma alteração enquanto estão em execução. Se forem necessárias alterações, você cria uma nova instância com a imagem atualizada do servidor, reimplanta a instância e destrói a imagem do servidor existente. |
Lista de referência de patches |
Uma lista de referência de patches é específica para um tipo de sistema operacional e define a lista de patches aprovada para instalação nas instâncias. Para obter mais informações, consulte Sobre listas de referência de patches predefinidas e personalizadas na documentação do Systems Manager. |
Grupo de Patch |
Um grupo de patches representa os servidores em um ambiente de aplicativos que são os alvos de uma lista de referência de patches específica. Grupos de patches ajudam a garantir que as listas de referência de patches corretas sejam implantadas para corrigir o conjunto de instâncias. Eles também podem ajudá-lo a evitar a implantação de patches antes que eles tenham sido adequadamente testados. Os grupos de patches são representados pela tag Grupo de Patch. Para obter mais informações, consulte Sobre grupos de patches na documentação do Systems Manager. |
Janela de manutenção |
As janelas de manutenção permitem que você defina um agendamento para quando realizar ações potencialmente disruptivas em suas instâncias, como aplicar patches em um sistema operacional, atualizar drivers ou instalar software. Cada janela de manutenção tem um agendamento, uma duração máxima, um conjunto de instâncias de destinos registrados e um conjunto de tarefas registradas. As janelas de manutenção são representadas pela tag Janela de Manutenção. Para obter mais informações, consulte Sobre agendamentos de patches usando janelas de manutenção na documentação do Systems Manager. |
Histórias de usuários principais
O processo típico de patching do sistema operacional envolve três tarefas:
-
Verificando as instâncias do EC2 e os servidores on-premises em busca de patches aplicáveis do sistema operacional.
-
Agrupar e aplicar patches nas instâncias em um momento adequado.
-
Relatórios de conformidade de patches em todo o ambiente do servidor.
A tabela a seguir lista as principais histórias de usuário do gerenciamento de patches.
Cenário | Perfis de usuário | Descrição |
---|---|---|
Mecanismo de patches |
Equipes de desenvolvimento/suporte de aplicativos |
Como membro da equipe de aplicativos responsável pelos patches do sistema operacional, preciso de um mecanismo para corrigir minhas instâncias mutáveis ou de longa execução, para que eu possa mitigar qualquer vulnerabilidade de segurança do sistema operacional e também garantir que as instâncias estejam em conformidade com a lista de referência de patches definida pela equipe de segurança. |
Solução de patches |
Proprietário do serviço de nuvem |
Como proprietário de serviços em nuvem responsável por fornecer serviços em nuvem às equipes de aplicativos, preciso criar uma solução de patches do sistema operacional que ofereça suporte a várias contas AWS e regiões AWS, bem como a servidores on-premises, para que as equipes de aplicativos possam mitigar qualquer vulnerabilidade de segurança do sistema operacional e também permanecer em conformidade com a lista de referência de patches definida pela equipe de segurança. |
Relatórios de conformidade de patches |
Gerente de operações de segurança |
Como gerente de operações de segurança responsável por garantir a conformidade dos patches, preciso de relatórios e informações detalhados sobre a conformidade dos patches em todo o cenário da nuvem, para que eu possa identificar servidores que não estejam em conformidade com a lista de referência de patches e alertar as equipes para implementar a mitigação necessária. |
Definição de funções e responsabilidades |
Proprietário do serviço de nuvem |
Como proprietário de um serviço de nuvem, preciso criar uma matriz de funções e responsabilidades bem definida que explique quem faz o quê no gerenciamento da solução de patches de nuvem híbrida que criei, para que as obrigações das operações de patches sejam publicadas e cumpridas. |