AWS Systems Manager Patch Manager - AWS Systems Manager

AWS Systems Manager Patch Manager

O Patch Manager, um recurso do AWS Systems Manager, automatiza o processo de aplicação de patches aos nós gerenciados com atualizações de relativas a segurança e outros tipos de atualizações.

Importante

Desde 22 de dezembro de 2022, o Systems Manager fornece suporte a políticas de patch em Quick Setup, uma capacidade do AWS Systems Manager. O uso de políticas de patch é o método recomendado para configurar suas operações de patches. Usando uma única configuração de política de patch, é possível definir a aplicação de patches para todas as contas em todas as regiões da sua organização, somente para as contas e regiões que você escolher, ou para um único par de conta-região. Para ter mais informações, consulte Configurações de políticas de patches em Quick Setup.

Você pode usar o Patch Manager para aplicar patches em sistemas operacionais e aplicações. (No Windows Server, o suporte a aplicações é limitado a atualizações de aplicações da Microsoft.) É possível usar o Patch Manager para instalar os Service Packs em nós do Windows e executar atualizações de versões secundárias em nós do Linux. Você pode aplicar patches a frotas de instâncias do Amazon Elastic Compute Cloud (Amazon EC2), a dispositivos de borda, a servidores on-premises e a máquinas virtuais (VMs) por tipo de sistema operacional. Isso inclui versões com suporte de vários sistemas operacionais, conforme listado em Pré-requisitos da Patch Manager. Você pode verificar instâncias para visualizar somente um relatório de patches ausentes ou verificar e instalar automaticamente todos os patches ausentes. Para começar a usar o Patch Manager, abra o Systems Manager console (Console do gerenciador de sistemas). No painel de navegação, escolha Patch Manager.

nota

A AWS não faz testes de patches antes de disponibilizá-los no Patch Manager. Além disso, o Patch Manager não oferece suporte à atualização das principais versões de sistemas operacionais, como Windows Server 2016 a Windows Server 2019 ou SUSE Linux Enterprise Server (SLES) 12.0 para SLES 15.0.

Para tipos de sistema operacional baseados em Linux que relatem um nível de gravidade para patches, o Patch Manager usa o nível de gravidade relatado pelo editor do software para o aviso de atualização ou patch individual. O Patch Manager não deriva níveis de gravidade de fontes de terceiros, como o Sistema comum de pontuação de vulnerabilidades (CVSS), ou a partir de métricas lançadas pelo Banco de dados nacional de vulnerabilidades (NVD).

Linhas de base de patch

O Patch Manager usa listas de referência de patches, que incluem regras para a aprovação automática de patches poucos dias após seus lançamentos, bem como listas opcionais de patches aprovados e rejeitados. Quando uma operação de aplicação de patches é executada, o Patch Manager compara os patches atualmente aplicados a um nó gerenciado com aqueles que devem ser aplicados de acordo com as regras definidas na lista de referência de patches. É possível optar para que o Patch Manager mostre somente um relatório de patches que estejam faltando (uma operação Scan) ou que o Patch Manager instale automaticamente todos os patches que descobrir estarem faltando em um nó gerenciado (uma operação Scan and install).

Métodos de operação de aplicação de patches

O Patch Manager atualmente oferece quatro métodos para a execução das operações Scan e Scan and install:

  • (Recomendado) Uma política de patch configurada em Quick Setup: com base na integração com o AWS Organizations, uma única política de patch pode definir programações de aplicação de patches e listas de referência de patches para uma organização inteira, incluindo várias Contas da AWS e todas as Regiões da AWS em que essas contas operem. Uma política de patch também pode ter como destino somente algumas unidades organizacionais (UOs) em uma organização. É possível usar uma única política de patch para verificar e instalar em horários diferentes. Para ter mais informações, consulte Configurar patches para instâncias em uma organização usando a Quick Setup e Configurações de políticas de patches em Quick Setup.

  • Uma opção do Host Management configurada em Quick Setup: também há suporte para as configurações do Host Management na integração com o AWS Organizations, possibilitando a execução de uma operação de aplicação de patches até para uma organização inteira. No entanto, essa opção se limita à verificação de patches ausentes usando a lista de referência de patches atual padrão e ao fornecimento de resultados em relatórios de conformidade. Esse método de operação não pode instalar patches. Para ter mais informações, consulte Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup.

  • Uma janela de manutenção para executar uma tarefa de Scan ou Install patches: uma janela de manutenção, que você configura no recurso do Systems Manager chamado Maintenance Windows, pode ser configurada para executar diferentes tipos de tarefas em uma programação definida por você. Uma tarefa do tipo Run Command pode ser usada para executar tarefas Scan ou Scan and install em um conjunto de nós gerenciados que você escolher. Cada tarefa da janela de manutenção pode ter como destino os nós gerenciados em apenas um único par Conta da AWS-Região da AWS. Para ter mais informações, consulte Tutorial: Create a maintenance window for patching using the console.

  • Uma operação Aplicar patch agora sob demanda em Patch Manager: a opção Aplicar patch agora permite que você ignore as configurações de programação quando você precisar corrigir os nós gerenciados o mais rápido possível. Usando Patch now (Aplicar patch agora), você especifica se deseja executar a operação Scan ou Scan and install e em quais nós gerenciados executar a operação. Você também pode optar por executar documentos do Systems Manager (documentos SSM) como ganchos do ciclo de vida durante a operação de aplicação de patches. Cada operação Patch Now (Aplicar patch agora) pode atingir nós gerenciados em apenas um único par Conta da AWS-Região da AWS. Para ter mais informações, consulte Aplicação de patches em nós gerenciados sob demanda.

Relatórios de conformidade

Depois de uma operação Scan, é possível usar o console do Systems Manager para visualizar informações sobre quais dos seus nós gerenciados estão fora de conformidade com o patch e quais patches estão faltando em cada um desses nós. Você também pode gerar relatórios de conformidade de patches no formato .csv que serão enviados a um bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha. Você pode gerar relatórios únicos ou gerar relatórios em uma programação regular. Para um único nó gerenciado, os relatórios incluem detalhes de todos os patches para o nó. Para obter um relatório sobre todas os nós gerenciados, apenas um resumo de quantos patches estão ausentes é fornecido. Depois que um relatório é gerado, você pode usar uma ferramenta, como o Amazon QuickSight, para importar e analisar os dados. Para ter mais informações, consulte Trabalhando com relatórios de conformidade de patch.

nota

Um item de conformidade gerado por meio do uso de uma política de patch tem um tipo de execução de PatchPolicy. Um item de conformidade não gerado em uma operação de política de patch tem um tipo de execução de Command.

Integrações

O Patch Manager se integra com os outros seguintes Serviços da AWS: