OPS05-BP05 執行修補程式管理 - AWS Well-Architected 架構
實作指引資源

OPS05-BP05 執行修補程式管理

執行修補程式管理以取得功能、解決問題並保持遵循管控。自動化修補程式管理,以減少由手動程序引起的錯誤、進行擴展,並減少修補工作量。

修補程式和漏洞管理屬於您利益和風險管理活動的一部分。最好擁有不可變的基礎設施,並在已驗證的已知良好狀態下部署工作負載。如果這種方法不可行,剩下的方法就是進行修補。

Amazon EC2 Image Builder 提供管道來更新機器映像。作為修補程式管理的一部分,請考慮使用 AMI 映像檔管道Amazon Machine Images (AMI) 或具有 Docker 映像檔管道的容器映像,同時 AWS Lambda 會為自訂執行時期和其他程式庫提供模式以移除漏洞。

應使用 Amazon EC2 Image Builder 管理適用於 Linux 或 Windows Server 映像的 Amazon Machine Images 的更新。可以使用 Amazon Elastic Container Registry (Amazon ECR) 搭配現有管道來管理 Amazon ECS 映像並管理 Amazon EKS 映像。Lambda 包含版本管理功能

若未先在安全環境中進行測試,就不應在生產系統上執行修補程式。只有在修補程式能夠支援營運或業務成果時,才應套用修補程式。在開啟 AWS 時,可以使用 AWS Systems Manager Patch Manager 來自動化修補受管系統的流程,並使用 Systems Manager 維護時段來排程活動。

預期成果:您的 AMI 和容器映像已完成修補、處於最新狀態,並準備好啟動。您可以追蹤所有已部署映像的狀態,並了解修補程式的合規狀況。您可以通報目前狀態,並設立程序來滿足合規需求。

常見的反模式:

  • 您必須在兩小時內套用所有新的安全修補程式,結果導致應用程式與修補程式不相容而發生多次停機。

  • 未修補的程式庫導致意外後果發生,因為有不明對象利用其中的漏洞來存取您的工作負載。

  • 您自動修補開發人員環境,而未通知開發人員。您收到來自開發人員的多次投訴,表示其環境如預期停止運作。

  • 您尚未在持續執行的執行個體上修補商用現成軟體。當軟體發生問題而您聯絡廠商時,他們會通知您不支援該版本,您必須修補至特定程度才能獲得協助。

  • 您使用的加密軟體近期發佈了修補程式,使效能獲得大幅改善。未修補的系統因未修補仍存在效能問題。

  • 收到發生零時差漏洞的通知時,需緊急修正並手動修補所有環境。

建立此最佳實務的優勢:透過建立修補程式管理程序 (包括修補準則和在各環境中散佈的方法),您就能擴展和報告修補程度。這樣可保證修補過程安全無虞,並確保能清楚看見已知修正的狀態。如此可促進採用所需的功能、迅速消除問題,並持續遵循管控要求。實作修補程式管理系統和自動化,以減少部署修補程式的工作量,並限制手動程序引起的錯誤。

未建立此最佳實務時的曝險等級:

實作指引

修補系統以補救問題,獲得所需的功能,並保持符合管控政策和廠商支援需求。在不可變系統中,部署適當的修補程式集以實現所需的結果。自動化修補程式管理機制,以縮短修補時間、避免手動程序引起的錯誤,並減少修補工作量。

實作步驟

對於 Amazon EC2 Image Builder:

  1. 使用 Amazon EC2 Image Builder 指定管道詳細資訊:

    1. 建立映像管道並命名

    2. 定義管道排程和時區

    3. 設定任何相依性

  2. 選擇配方:

    1. 選取現有配方或建立新配方

    2. 選取映像類型

    3. 提供配方的名稱和版本

    4. 選取基礎映像

    5. 新增組建元件並新增至目標登錄檔

  3. 選用 - 定義您的基礎設施組態。

  4. 選用 - 定義組態設定。

  5. 檢閱設定。

  6. 定期維護配方乾淨度。

對於 Systems Manager Patch Manager:

  1. 建立修補基準。

  2. 選取路徑操作方法。

  3. 啟用合規報告和掃描。

資源

相關的最佳實務:

相關文件:

相關影片: