Usar o Kernel Live Patching em nós gerenciados do Amazon Linux 2 - AWS Systems Manager
Kernel Live Patching  usando o  Patch ManagerComo funciona o Patch Manager usando o Kernel Live Patching

Usar o Kernel Live Patching em nós gerenciados do Amazon Linux 2

O Kernel Live Patching para Amazon Linux 2 permite que você aplique patches para vulnerabilidades de segurança e erros críticos a um kernel do Linux em execução, sem reinicializações ou interrupções às aplicações em execução. Isso permite que você aproveite a maior disponibilidade de serviços e aplicações, mantendo sua infraestrutura segura e atualizada. O Kernel Live Patching é compatível com instâncias do Amazon EC2, com dispositivos principais do AWS IoT Greengrass e com máquinas virtuais on-premises que executam o Amazon Linux 2.

Para obter informações gerais sobre o Kernel Live Patching, consulte Kernel Live Patching no AL2 no Guia do usuário do Amazon Linux 2.

Depois de ativar Kernel Live Patching em um nó gerenciado do Amazon Linux 2, você poderá usar o Patch Manager, uma ferramenta do AWS Systems Manager, para aplicar patches dinâmicos do kernel ao nó gerenciado. Usar o Patch Manager é uma alternativa ao uso de fluxos de trabalho do yum existentes em seu nó para aplicar as atualizações.

Antes de começar

Para usar o Patch Manager para aplicar patches dinâmicos do kernel aos nós gerenciados do Amazon Linux 2, verifique se os nós são baseados na arquitetura e na versão do kernel corretas. Para obter mais informações, consulte Configurações e pré-requisitos compatíveis no Guia do usuário do Amazon EC2.

Tópicos

Kernel Live Patching  usando o  Patch Manager

Atualizar a versão do kernel

Não é necessário reinicializar um nó gerenciado depois de aplicar uma atualização de patch dinâmico do kernel. No entanto, a AWS fornece patches dinâmicos do kernel para uma versão do kernel do Amazon Linux 2 por até três meses após seu lançamento. Após o período de três meses, é necessário fazer a atualização para uma versão posterior do kernel para continuar a receber patches dinâmicos do kernel. Recomendamos usar uma janela de manutenção para agendar uma reinicialização do nó pelo menos uma vez a cada três meses para solicitar a atualização da versão do kernel.

Desinstalar patches dinâmicos do kernel

Os patches dinâmicos do kernel não podem ser desinstalados usando o Patch Manager. Em vez disso, é possível desabilitar o Kernel Live Patching, o que remove os pacotes RPM para os patches dinâmicos do kernel aplicados. Para ter mais informações, consulte Desativar o Kernel Live Patching usando Run Command.

Conformidade com o kernel

Em alguns casos, instalar todas as correções CVE dos patches dinâmicos para a versão atual do kernel pode trazer esse kernel para o mesmo estado de conformidade de uma versão mais recente do kernel. Quando isso acontece, a versão mais recente é relatada como Installed e o nó gerenciado é relatado como Compliant. No entanto, nenhum tempo de instalação é relatado para a versão mais recente do kernel.

Um patch dinâmico do kernel, vários CVEs

Se um patch dinâmico do kernel aborda vários CVEs e estes tiverem vários valores de classificação e gravidade, somente a classificação e a gravidade mais altas entre os CVEs serão relatadas ao patch.

O restante desta seção descreve como usar o Patch Manager para aplicar patches dinâmicos do kernel aos nós gerenciados que atendem a esses requisitos.

Como funciona o Patch Manager usando o Kernel Live Patching

A AWS lança dois tipos de patches dinâmicos do kernel para o Amazon Linux 2: atualizações de segurança e correções de bugs. Para aplicar esses tipos de patches, use um documento de linha de base de patch que visa somente as classificações e severidades listadas na tabela a seguir.

Classificação Gravidade
Security Critical, Important
Bugfix All

É possível criar uma lista de referência de patches personalizada destinada apenas a esses patches ou usar a lista de referência de patches AWS-AmazonLinux2DefaultPatchBaseline predefinida. Em outras palavras, é possível usar o AWS-AmazonLinux2DefaultPatchBaseline com nós gerenciados do Amazon Linux 2 nos quais o Kernel Live Patching estiver ativado, e as atualizações ao vivo do kernel serão aplicadas.

nota

A configuração AWS-AmazonLinux2DefaultPatchBaseline especifica um período de espera de sete dias após o lançamento ou última atualização de um patch antes que ele seja instalado automaticamente. Se você não quiser aguardar sete dias para que os patches dinâmicos do kernel sejam aprovados automaticamente, é possível criar e usar uma lista de referência de patches personalizada. Na linha de base do patch, você pode especificar nenhum período de espera de aprovação automática ou especificar um período mais curto ou mais longo. Para ter mais informações, consulte Trabalhando com linhas de base de patch personalizadas.

Recomendamos a seguinte estratégia para aplicar patches aos nós gerenciados com atualizações ao vivo do kernel:

  1. Ativar o Kernel Live Patching em nós gerenciados do Amazon Linux 2.

  2. Use o Run Command, uma ferramenta do AWS Systems Manager, para executar uma operação do Scan em seus nós gerenciados, usando a lista de referência de patches AWS-AmazonLinux2DefaultPatchBaseline predefinida ou a personalizada que também é destinada somente às atualizações Security classificadas como Critical e Important e a gravidade Bugfix de All.

  3. Use o Compliance, uma ferramenta do AWS Systems Manager para verificar se uma não conformidade para aplicação de patches é relatada para qualquer um dos nós gerenciados que foram verificados. Em caso afirmativo, visualize os detalhes de conformidade do nó para determinar se algum patch dinâmico do kernel está ausente em seu nó gerenciado.

  4. Para instalar patches dinâmicos do kernel ausentes, use o Run Command com a mesma lista de referência de patches especificada anteriormente, mas desta vez execute uma operação Install em vez de uma operação Scan.

    Como os patches dinâmicos do kernel são instalados sem a necessidade de reinicialização, é possível escolher a opção de reinicialização NoReboot para esta operação.

    nota

    Você pode ainda reinicializar o nó gerenciado se necessário para outros tipos de patches instalados nele ou se quiser atualizar para um kernel mais recente. Nesses casos, escolha a opção de reinicialização RebootIfNeeded.

  5. Retorne à conformidade do para verificar se os patches dinâmicos do kernel foram instalados.