AWS Systems Manager Patch Manager
Patch Manager (AWS Systems Manager 中的工具) 以自動化程序透過安全相關更新和其他類型的更新來修補受管節點。
注意
Systems Manager 在 Quick Setup (AWS Systems Manager 中的工具) 中提供修補程式政策支援。使用修補程式政策,是設定修補操作的建議方法。使用單一修補程式政策組態,您可以定義為組織中所有區域的所有帳戶、僅您選擇的帳戶和區域或者單一帳戶-區域對進行修補。如需更多詳細資訊,請參閱 Quick Setup中的修補程式政策組態。
您可以使用 Patch Manager 以套用適用於作業系統和應用程式的修補程式。(在 Windows Server 上,應用程式支援僅限於由 Microsoft 發行的應用程式更新。) 您可以使用 Patch Manager 在 Windows 節點上安裝 Service Pack,並在 Linux 節點上執行次要版本升級。您可以依據作業系統類型,修補 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、邊緣裝置或內部部署伺服器與虛擬機器 (VM)。這包括數個作業系統的支援版本,如 Patch Manager 先決條件 中所列。您可以掃描執行個體,僅查看遺漏的修補程式報告,或者掃描並自動安裝所有遺漏的修補程式。若要開始使用 Patch Manager,請開啟 Systems Manager 主控台
AWS 在 Patch Manager 中提供修補程式之前,不會測試修補程式。此外,Patch Manager 不支援將主要版本的作業系統升級,例如將 Windows Server 2016 升級至 Windows Server 2019,或 Red Hat Enterprise Linux (RHEL) 7.0 升級至 RHEL 8.0。
對於報告修補程式嚴重性級別的 Linux 作業系統類型,Patch Manager 使用軟體發布者為更新通知或個別修補程式報告的嚴重性級別。Patch Manager 不會從第三方來源推導出嚴重性級別,例如通用漏洞評分系統
Patch Manager 如何為我的組織帶來益處?
Patch Manager 以自動化程序透過安全相關更新和其他類型的更新來修補受管節點。其提供了數種關鍵優勢:
-
集中式修補控制 – 使用修補程式政策,您可以為組織中所有區域的所有帳戶、特定帳戶和區域或單一帳戶區域對設定重複修補操作。
-
靈活的修補操作 – 您可以選擇掃描執行個體,僅查看遺漏的修補程式報告,或者掃描並自動安裝所有遺漏的修補程式。
-
全面合規報告 – 掃描操作後,您可以檢視有關哪些受管節點不符合修補程式合規要求,以及缺少哪些修補程式的詳細資訊。
-
跨平台支援 – Patch Manager 支援多個作業系統,包括各種 Linux 發行版本、macOS 和 Windows Server。
-
自訂修補基準 – 您可以透過自訂修補基準,指定哪些修補程式已核准進行安裝,來定義組織的修補程式合規。
-
與其他 AWS 服務的整合 – Patch Manager 與 AWS Organizations、AWS Security Hub、AWS CloudTrail 和 AWS Config 整合,以增強管理和安全性。
-
確定性升級 – 透過適用於 Amazon Linux 2023 等作業系統的版本控制儲存庫支援確定性升級。
誰應該使用Patch Manager?
Patch Manager 專為以下受眾設計:
-
需要維持其受管節點機群中修補程式合規性的 IT 管理員
-
需要了解其基礎設施中修補程式合規狀態的營運經理
-
想要大規模實作自動化修補解決方案的雲端架構師
-
需要將修補整合到其操作工作流程中的 DevOps 工程師
-
擁有多帳戶/多區域部署、需要集中式修補程式管理的組織
-
負責維護 AWS 受管節點、邊緣裝置、內部部署伺服器和虛擬機器的安全狀態和運作狀態的任何人
Patch Manager有哪些主要功能?
Patch Manager 提供數個關鍵功能:
-
修補程式政策 – 透過與 AWS Organizations 的整合,使用單一政策設定跨多個 AWS 帳戶和區域的修補操作。
-
自訂修補基準 – 定義在修補程式發行後的數日內自動核准修補程式的規則,以及已核准和拒絕的修補程式清單。
-
多種修補方法 – 從修補政策、維護時段或隨需「立即修補」操作中進行選擇,以滿足您的特定需求。
-
合規報告 – 產生修補程式合規狀態的詳細報告,且該類報告能以 CSV 格式傳送至 Amazon S3 儲存貯體。
-
跨平台支援 – 跨 Windows Server、Linux 的各種發行版本和 macOS 修補作業系統和應用程式。
-
排程彈性 – 使用自訂 CRON 或 Rate 表達式設定掃描和安裝修補程式的不同排程。
-
Lifecycle hook – 使用 Systems Manager 文件在修補操作前後執行自訂指令碼。
-
安全重點 – 依預設,Patch Manager 會專注於安全相關更新,而不是安裝所有可用的修補程式。
-
速率控制 – 設定修補操作的並行和錯誤閾值,以將操作影響降至最低。
Patch Manager 中的合規是什麼?
Systems Manager 機群中構成受管節點修補程式合規的基準,並非由 AWS、作業系統 (OS) 廠商或第三方 (例如安全諮詢公司) 定義。
反之,您可以在修補基準中定義組織或帳戶中受管節點的修補程式合規的意義。修補基準是一種組態,可指定必須在受管節點上安裝哪些修補程式的規則。當受管節點與您在修補基準中指定的核准條件相符的所有修補程式處於最新狀態時,即為修補程式合規。
請注意,與修補基準合規並不表示受管節點一定是安全的。合規表示由修補基準定義的可用和經核准的修補程式都已安裝在節點上。受管節點的整體安全性取決於 Patch Manager 範圍之外的許多因素。如需更多詳細資訊,請參閱 AWS Systems Manager 中的安全性。
每個修補基準都是特定支援的作業系統 (OS) 類型 (例如 Red Hat Enterprise Linux (RHEL)、macOS 或 Windows Server) 的組態。修補基準可以為所有支援的作業系統版本定義修補規則,或僅為您指定的作業系統版本 (例如 RHEL 7.8 和 RHEL 9.3) 定義修補規則。
在修補基準中,您可以指定特定分類和嚴重性等級的所有修補程式均得到核准可進行安裝。例如,您可以包含分類為 Security 的所有修補程式,但排除其他分類,例如 Bugfix 或 Enhancement。您也可以包含嚴重性為 Critical 的所有修補程式,並排除其他修補程式,例如 Important 和 Moderate。
您也可以在修補基準中明確定義修補程式,方法是將其 ID 新增至要核准或拒絕的特定修補程式清單,例如 Windows Server 的 KB2736693 或 Amazon Linux 2023 (AL2023) 的 dbus.x86_64:1:1.12.28-1.amzn2023.0.1。您可以選擇性地指定在修補程式可用之後等待修補的特定天數。對於 Linux 和 macOS,您可以選擇為合規指定修補程式的外部清單 (安裝覆寫清單),而不是修補基準規則定義的修補程式清單。
執行修補操作時,Patch Manager 會將當前套用至受管節點的修補程式與應當根據修補基準或安裝複寫清單中設定之規則來進行套用的修補程式進行比較。您可以選擇讓 Patch Manager 僅顯示遺失修補程式的報告 (Scan 操作),亦可選擇讓 Patch Manager 自動安裝所找到的受管節點中遺失的全部修補程式 (Scan and install 操作)。
Patch Manager 提供預先定義的修補基準,可用於修補操作;不過,這些預先定義的組態會以範例的形式提供,而非建議的最佳實務。建議您建立自己的自訂修補基準,以更好地控制哪些要素構成機群的修補程式合規。
如需有關修補基準的詳細資訊,請參閱下列主題:
主要元件
開始使用 Patch Manager 工具之前,您應該先熟悉工具修補操作的一些主要元件和功能。
修補基準
Patch Manager 會使用修補基準,其中包含在修補程式發行後的數日內自動核准修補程式等規則,以及已核准和拒絕的修補程式可選清單。執行修補操作時,Patch Manager 會將當前套用至受管節點的修補程式與應當根據修補基準中設定之規則來進行套用的修補程式進行比較。您可以選擇讓 Patch Manager 僅顯示遺失修補程式的報告 (Scan 操作),亦可選擇讓 Patch Manager 自動安裝所找到的受管節點中遺失的全部修補程式 (Scan and install 操作)。
修補操作方法
Patch Manager 目前提供了四種執行 Scan 和 Scan and install 操作的方法:
-
(建議) 在 Quick Setup 中設定的修補程式政策 – 根據與 AWS Organizations 的整合,單一修補程式政策可以定義整個組織的修補排程和修補基準,包括多個 AWS 帳戶 和這些帳戶操作所處的全部 AWS 區域。修補程式政策也可以只針對組織中的某些組織單位 (OU)。您可以使用單一修補程式政策依照不同的排程進行掃描和安裝。如需詳細資訊,請參閱使用 Quick Setup 修補程式政策設定組織中執行個體的修補及Quick Setup中的修補程式政策組態。
-
在 Quick Setup 中設定的主機管理選項 – 透過與 AWS Organizations 整合也可支援主機管理組態,從而甚至可以為整個組織執行修補操作。不過,此選項僅限於使用目前預設修補基準掃描遺失的修補程式,並在合規報告中提供結果。此操作方法無法安裝修補程式。如需更多詳細資訊,請參閱 使用 Quick Setup 設定 Amazon EC2 主機管理。
-
用於執行修補程式
Scan或Install任務的維護時段 – 在稱為 Maintenance Windows 的 Systems Manager 工具中設定的維護時段,可以設定為依照您定義的排程執行不同類型的任務。Run Command 類型的任務可用來在您選擇的一組受管節點上執行Scan或Scan and install任務。每個維護時段任務只能以單一 AWS 帳戶-AWS 區域 對中的受管節點為目標。如需更多詳細資訊,請參閱 教學課程:使用主控台建立修補維護時段。 -
Patch Manager 中的隨需立即修補操作:立即修補選項可讓您在需要盡快修補受管節點時略過排程設定。使用 Patch now (立即修補),可指定是否執行
Scan或Scan and install操作,以及要在哪些受管節點上執行操作。您也可以選擇在修補操作期間,將 Systems Manager 文件 (SSM 文件) 作為 lifecycle hook 執行。每個 Patch now (立即修補) 操作只能以單一 AWS 帳戶-AWS 區域 對中的受管節點為目標。如需更多詳細資訊,請參閱 隨需修補受管節點。
合規報告
Scan 操作完成後,您可以使用 Systems Manager 主控台來檢視哪些受管節點不符合修補程式規範,以及每個節點遺失了哪些修補程式。您也可以產生可傳送至所選 Amazon Simple Storage Service (Amazon S3) 儲存貯體的修補程式合規報告,格式為 .csv。您可以產生一次性報告,或定期產生報告。對於單一受管節點,報告包含節點之所有修補程式的詳細資訊。對於所有受管節點的報告,只會提供缺少修補程式數量的摘要。產生報告後,您可以使用 Amazon QuickSight 等工具來匯入和分析資料。如需更多詳細資訊,請參閱 使用修補程式合規報告。
注意
透過使用修補程式政策產生之合規項的執行類型為 PatchPolicy。不是在修補程式政策操作中產生的合規項的執行類型為 Command。
整合
Patch Manager 可與下列其他 AWS 服務 整合:
-
AWS Identity and Access Management (IAM) – 使用 IAM 控制哪些使用者、群組和角色可以存取 Patch Manager 操作。如需詳細資訊,請參閱 AWS Systems Manager 搭配 IAM 的運作方式 和設定 Systems Manager 所需的執行個體許可。
-
AWS CloudTrail – 使用 CloudTrail 記錄由使用者、角色或群組啟動之修補操作事件的可稽核歷史記錄。如需更多詳細資訊,請參閱 使用 AWS CloudTrail 記錄 AWS Systems Manager API 呼叫。
-
AWS Security Hub – Patch Manager 的修補程式合規資料可傳送至 AWS Security Hub。Security Hub 可為您提供高優先級安全性警示和合規性狀態的全方位檢視。它還會監控您的機群的修補狀態。如需更多詳細資訊,請參閱 將 AWS Security Hub 與 Patch Manager 整合。
-
AWS Config – 在 AWS Config 中設定記錄,以便在 Patch Manager 儀表板中檢視 Amazon EC2 執行個體管理資料。如需更多詳細資訊,請參閱 檢視修補程式儀表板摘要。
主題
