OPS05-BP05 Execute o gerenciamento de patches - AWS Estrutura Well-Architected
Orientação para implementaçãoRecursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

OPS05-BP05 Execute o gerenciamento de patches

Execute o gerenciamento de patches para obter recursos, solucionar problemas e manter a conformidade com a governança. Automatize o gerenciamento de patches para reduzir erros causados por processos manuais, escalar e facilitar a realização de patches.

O gerenciamento de patches e vulnerabilidades faz parte de suas atividades de gerenciamento de benefícios e riscos. É preferível ter infraestruturas imutáveis e implantar workloads em bons estados verificados e conhecidos. Quando isso não é viável, a aplicação de patches é a opção restante.

O Amazon EC2 Image Builder fornece pipelines para atualizar imagens de máquinas. Como parte do gerenciamento de patches, considere o Amazon Machine Images (AMIs) usando um AMIpipeline de imagens ou imagens de contêiner com um pipeline de imagem Docker, ao mesmo tempo em que AWS Lambda fornece padrões para tempos de execução personalizados e bibliotecas adicionais para remover vulnerabilidades.

Você deve gerenciar as atualizações das imagens do Amazon Machine Images para Linux ou Windows Server usando o Amazon EC2 Image Builder. Você pode usar o Amazon Elastic Container Registry (AmazonECR) com seu pipeline existente para gerenciar ECS imagens da Amazon e gerenciar EKS imagens da Amazon. O Lambda inclui recursos de gerenciamento de versões.

A aplicação de patches não deve ser realizada em sistemas de produção sem antes testá-los em um ambiente seguro. Os patches só deverão ser aplicados se forem compatíveis com um resultado operacional ou comercial. Ativado AWS, você pode usar o AWS Systems Manager Patch Manager para automatizar o processo de correção de sistemas gerenciados e programar a atividade usando o Systems Manager Maintenance Windows.

Resultado desejado: suas imagens AMI e as do contêiner estão corrigidas e prontas para o lançamento. up-to-date É possível rastrear o status de todas as imagens implantadas e conhecer a conformidade do patch. Você também pode emitir relatórios do status atual e ter um processo para atender às suas necessidades de conformidade.

Práticas comuns que devem ser evitadas:

  • Você recebe uma ordem para aplicar todos os novos patches de segurança em até duas horas, resultando em várias interrupções devido à incompatibilidade da aplicação com os patches.

  • Uma biblioteca sem patches resulta em consequências indesejadas, pois partes desconhecidas usam vulnerabilidades dentro dela para acessar a workload.

  • Você aplica patches nos ambientes do desenvolvedor automaticamente, sem notificar os desenvolvedores. Você recebe várias reclamações dos desenvolvedores afirmando que o ambiente deles não está funcionando conforme o esperado.

  • Você não corrigiu o off-the-shelf software comercial em uma instância persistente. Quando você tiver um problema com o software e entrar em contato com o fornecedor, ele informará que a versão não é compatível e será necessário aplicar patches a um nível específico para receber assistência.

  • Um patch lançado recentemente para o software de criptografia que você usou tem melhorias significativas de performance. Seu sistema sem patches tem problemas de performance que permanecem enquanto a aplicação de patches não é feita.

  • Você é notificado sobre uma vulnerabilidade de dia zero que exige uma correção de emergência e precisa fazer isso em todos os seus ambientes manualmente.

Benefícios de implementar esta prática recomendada: ao estabelecer um processo de gerenciamento de patches, incluindo seus critérios de aplicação de patches e metodologia para distribuição em seus ambientes, você pode escalar e gerar relatórios sobre os níveis de patch. Isso fornece garantias sobre a aplicação de patches de segurança e garante uma visibilidade clara do status das correções conhecidas em vigor. Isso permite a adoção de recursos e capacidades desejados, a remoção rápida de problemas e a conformidade contínua com a governança. Implemente sistemas de gerenciamento de patches e automação para reduzir o nível de esforço na implantação de patches e limitar erros causados por processos manuais.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Aplique patches nos sistemas para corrigir problemas, obter os recursos ou capacidades desejados e permanecer em conformidade com a política de governança e os requisitos de suporte do fornecedor. Em sistemas imutáveis, implante com o conjunto de patches adequado para alcançar o resultado desejado. Automatize o mecanismo de gerenciamento de patches para reduzir o tempo decorrido na aplicação de patches, reduzir erros causados por processos manuais e reduzir o nível de esforço para corrigir.

Etapas de implementação

Para o Amazon EC2 Image Builder:

  1. Usando o Amazon EC2 Image Builder, especifique os detalhes do pipeline:

    1. Crie um pipeline de imagens e atribua um nome a ele

    2. Defina a programação e o fuso horário do pipeline

    3. Configure todas as dependências

  2. Escolha uma fórmula:

    1. Selecione a fórmula existente ou crie uma nova.

    2. Selecione o tipo de imagem

    3. Nomeie e crie a versão da sua fórmula

    4. Selecione sua imagem base

    5. Adicione componentes de compilação e adicione ao registro de destino

  3. Opcional: defina sua configuração de infraestrutura.

  4. Opcional: defina as configurações.

  5. Revise as configurações.

  6. Mantenha a higiene da fórmula regularmente.

Para o Gerenciador de patches do Systems Manager:

  1. Crie uma lista de referência de patches.

  2. Selecione um método de operações de patch.

  3. Habilite relatórios e verificações de conformidade.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados: