Patchen des Lösungsdesigns für veränderbare EC2-Instanzen

Der Patch-Prozess für veränderbare Instanzen umfasst die folgenden Teams und Aktionen:

• DieAnwendungsteams (DevOps)definieren Sie die Patch-Gruppen für ihre Server basierend auf der Anwendungsumgebung, dem Betriebssystemtyp oder anderen Kriterien. Sie definieren auch die Wartungsfenster, die für jede Patch-Gruppe spezifisch sind. Diese Informationen werden auf derPatch-Gruppeund-Wartungsfenster-Tags der EC2-Anwendungsinstanzen. Während jedes Patch-Zyklus bereiten sich die Anwendungsteams auf das Patchen vor, testen die Anwendung nach dem Patchen und beheben Probleme mit ihren Anwendungen und ihrem Betriebssystem während des Patches.

• DieSicherheits-Operationsteamdefiniert die Patch-Baselines für verschiedene Betriebssystemtypen, die von den Anwendungsteams verwendet werden, genehmigen die Patches und stellen die Patches über Systems Manager Patch Manager zur Verfügung.

• Dieautomatisierte Patching-Lösungläuft regelmäßig und stellt die in den Patch-Baselines definierten Patches basierend auf den benutzerdefinierten Patch-Gruppen und Wartungsfenstern bereit. Die Patch-Compliance-Informationen werden durch eine Synchronisierung von Ressourcendaten im Systems Manager Manager-Inventar abgerufen und für Patch-Compliance-Berichte über Amazon QuickSight QuickSight-Dashboards verwendet.

• DieGovernance und Compliance-Teamsdefinieren Sie die Patch-Richtlinien, definieren Sie Ausnahmeprozesse und -mechanismen und erhalten Sie das Compliance-Reporting von Amazon QuickSight.

Ausführliche Informationen über die wichtigsten Stakeholder, die an einer erfolgreichen OS-Patch-Management-Lösung beteiligt sind, und ihre Zuständigkeiten finden Sie in derWichtige Interessengruppen, Rollen und VerantwortlichkeitenAbschnitt an späterer Stelle in diesem Handbuch.

Automatisierter Prozess

Die automatisierte Patching-Lösung verwendet mehrereAWSDienste, die zusammen arbeiten, um die Patches für die EC2-Instanzen bereitzustellen. Dieser Prozess beinhaltetAWS Config,AWS Lambda, Systems Manager, Amazon Simple Storage Service (Amazon S3) und Amazon QuickSight. Das folgende Diagramm zeigt die Referenzarchitektur und den Workflow.

Der Workflow umfasst diese Schritte, bei denen die Schrittzahlen mit den Callouts im Diagramm übereinstimmen:

1. AWS Configüberwacht kontinuierlich auf Folgendes und sendet Benachrichtigungen mit den Details nicht konformer Instanzen und den erforderlichen Konfigurationen:

   • Patch-Tagging-Konformität auf EC2-InstanzenAWS Configsucht nach Instances, die nichtPatch-Gruppeund-WartungsfensterStichworte.

   • DieAWS Identity and Access Management(IAM) Instanzprofil mit der Rolle Systems Manager, mit dem Systems Manager die Instanzen verwalten kann.

2. Die Lambda-Funktion (wir nennen esautomate-patch) läuft nach einem vordefinierten Zeitplan und sammelt diePatch-Gruppeund-WartungsfensterInformationen für alle Server.

3. Dieautomate-patcherstellt oder aktualisiert dann die entsprechenden Patch-Gruppen und Wartungsfenster, verknüpft die Patch-Gruppen den Patch-Baselines, konfiguriert den Patch-Scan und stellt die Patch-Task bereit. Optional ist derautomate-patcherstellt auch Ereignisse in Amazon CloudWatch Events, um Benutzer über bevorstehende Patches zu informieren.

4. Basierend auf den Wartungsfenstern senden die Ereignisse Patch-Benachrichtigungen an die Anwendungsteams mit den Details des bevorstehenden Patch-Vorgangs.

5. Patch Manager führt System-Patching basierend auf dem definierten Zeitplan und den Patch-Gruppen durch.

6. Eine Synchronisierung von Ressourcendaten im Systems Manager Manager-Inventar sammelt die Patch-Details und veröffentlicht sie in einem S3-Bucket.

7. Patch-Compliance-Berichte und Dashboards sind in Amazon QuickSight aus den S3-Bucket-Informationen integriert.