AWS Systems Manager Patch Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Systems Manager Patch Manager

Patch Manager, eine Funktion von AWS Systems Manager, automatisiert den Prozess des Patchens verwalteter Knoten sowohl mit sicherheitsrelevanten Updates als auch mit anderen Arten von Updates.

Wichtig

Ab dem 22. Dezember 2022 stellt Systems Manager Unterstützung für Patch-Richtlinien bereit, die die neue und empfohlene Methode zur Konfiguration Ihrer Patching-Vorgänge sind. Mit einer einzelnen Patch-Richtlinienkonfiguration können Sie Patches für alle Konten in allen Regionen in Ihrer Organisation, nur für die von Ihnen ausgewählten Konten und Regionen oder für ein einzelnes Konto-Region-Paar definieren. Weitere Informationen finden Sie unter Verwenden von Quick Setup-Patch-Richtlinien.

Sie können Patch Manager verwenden, um Patches sowohl für Betriebssysteme als auch für Anwendungen durchzuführen. (Unter Windows Server ist der Anwendungssupport auf Updates für Microsoft-Anwendungen beschränkt.) Sie können mit Patch Manager Service Packs auf Windows-Instances installieren und Nebenversionsupgrades auf Linux-Knoten ausführen. Sie können Flotten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Edge-Geräte, On-Premises-Server und virtuelle Maschinen (VMs) nach Betriebssystemtyp patchen. Dazu gehören unterstützte Versionen mehrerer Betriebssysteme, wie unter Patch Manager-Voraussetzungen aufgeführt. Sie können Instances nur auf Patches hin durchsuchen und dann einen Bericht zu fehlenden Patches anzeigen oder automatisch alle fehlenden Patches installieren. Um mit Patch Manager zu beginnen, öffnen Sie die Systems-Manager-Konsole. Wählen Sie im Navigationsbereich Patch Manager aus.

Anmerkung

AWS testet keine Patches, bevor sie in verfügbar gemacht werden. Patch Manager Der Patch Manager unterstützt außerdem keine Upgrades von Hauptversionen von Betriebssystemen wie Windows Server 2016 auf Windows Server 2019 oder SUSE Linux Enterprise Server (SLES) 12.0 auf SLES 15.0.

Für Linux-basierte Betriebssysteme, die einen Schweregrad für Patches melden, verwendet Patch Manager den vom Softwareherausgeber gemeldeten Schweregrad für den Update-Hinweis oder den einzelnen Patch. Patch Manager leitet keinen Schweregrad aus Drittquellen wie dem Common Vulnerability Scoring System (CVSS) oder aus Metriken ab, die von der National Vulnerability Database (NVD) veröffentlicht werden.

Patch-Baselines

Patch Manager verwendet Patch-Baselines, die Regeln für die automatische Genehmigung von Patches innerhalb weniger Tage nach ihrer Veröffentlichung enthalten, zusätzlich zu den optionalen Listen der genehmigten und abgelehnten Patches. Wenn ein Patching-Vorgang ausgeführt wird, vergleicht Patch Manager die Patches, die derzeit auf einen verwalteten Knoten angewendet werden, mit denen, die gemäß den in der Patch-Baseline festgelegten Regeln angewendet werden sollten. Sie können auswählen, dass Patch Manager Ihnen nur einen Bericht über fehlende Patches anzeigt (ein Scan-Vorgang), oder Sie können auswählen, dass Patch Manager automatisch alle Patches installiert, die es auf einem verwalteten Knoten findet (ein Scan and install-Vorgang).

Methoden für das Patchen von Vorgängen

Patch Manager bietet derzeit vier Methoden zum Ausführen von Scan- und Scan and install-Operationen:

  • (Empfohlen) Eine in konfigurierte Patch-Richtlinie Quick Setup — Basierend auf der Integration mit AWS Organizations können mit einer einzigen Patch-Richtlinie Patch-Zeitpläne und Patch-Baselines für eine gesamte Organisation definiert werden, einschließlich mehrerer AWS-Konten und all AWS-Regionen dieser Konten. Eine Patch-Richtlinie kann auch nur auf einige Organisationseinheiten (OUs) in einer Organisation ausgerichtet sein. Sie können eine einzige Patch-Richtlinie verwenden, um nach verschiedenen Zeitplänen zu scannen und zu installieren. Weitere Informationen finden Sie unter Patch Manager Patching-Konfiguration der Organisation und Verwenden von Quick Setup-Patch-Richtlinien.

  • Eine in Quick Setup konfigurierte Host-Management-Option – Host-Management-Konfigurationen werden auch durch die Integration mit AWS Organizations unterstützt, wodurch die Ausführung eines Patching-Vorgangs für eine ganze Organisation möglich ist. Diese Option ist jedoch darauf beschränkt, anhand der aktuellen Standard-Patch-Baseline nach fehlenden Patches zu suchen und Ergebnisse in Compliance-Berichten bereitzustellen. Mit dieser Vorgangsmethode können keine Patches installiert werden. Weitere Informationen finden Sie unter Amazon-EC2-Host-Verwaltung.

  • Ein Wartungsfenster zum Ausführen eines Patch-Scan oder einer Install-Aufgabe – Ein Wartungsfenster, das Sie in der Systems-Manager-Funktion mit dem Namen Maintenance Windows einrichten, kann so konfiguriert werden, dass es verschiedene Arten von Aufgaben nach einem von Ihnen definierten Zeitplan ausführt. Eine Aufgabe vom Run Command-Typ kann verwendet werden, um Scan oder Scan and install Aufgaben auf einem Satz verwalteter Knoten Ihrer Wahl auszuführen. Jede Aufgabe im Wartungsfenster kann auf verwaltete Knoten in nur einem einzigen AWS-Konto Paar abzielen.AWS-Region Weitere Informationen finden Sie unter Walkthrough: Erstellen eines Wartungsfensters für das Einspielen von Patches (Konsole).

  • Ein „Patch now“ (Jetzt patchen)-On-Demand-Vorgang in Patch Manager – Mit der Option Patch now (Jetzt patchen) können Sie Zeitplan-Einrichtungen umgehen, wenn Sie verwaltete Knoten so schnell wie möglich patchen müssen. Mit Patch now (Jetzt patchen) geben Sie an, ob der Scan- oder Scan and install-Vorgang ausgeführt werden soll und auf welchen verwalteten Knoten der Vorgang ausgeführt werden soll. Sie können auch festlegen, dass Systems Manager Manager-Dokumente (SSM-Dokumente) während des Patchvorgangs als Lifecycle-Hooks ausgeführt werden. Jeder Patch-Now-Vorgang kann auf verwaltete Knoten in nur einem einzigen Paar abzielen AWS-Konto.AWS-Region Weitere Informationen finden Sie unter On-Demand-Patchen von verwalteten Knoten.

Compliance-Meldung

Nach einer Scan-Operation können Sie die Systems-Manager-Konsole verwenden, um Informationen darüber anzuzeigen, welche Ihrer verwalteten Knoten die Patch-Compliance nicht erfüllen und welche Patches auf jedem dieser Knoten fehlen. Sie können auch Patch-Compliance-Berichte im CSV-Format generieren, die an einen Amazon Simple Storage Service (Amazon S3)-Bucket Ihrer Wahl gesendet werden. Sie können einmalige Berichte erstellen oder Berichte nach einem regelmäßigen Zeitplan erstellen. Für einen einzelnen verwalteten Knoten enthalten Berichte Details aller Patches für den Knoten. Für einen Bericht über alle verwaltete Knoten wird nur eine Zusammenfassung der fehlenden Patches bereitgestellt. Nachdem ein Bericht generiert wurde, können Sie ein Tool wie Amazon verwenden, QuickSight um die Daten zu importieren und zu analysieren. Weitere Informationen finden Sie unter Arbeiten mit Patch-Compliance-Berichten.

Anmerkung

Ein durch die Verwendung einer Patch-Richtlinie generiertes Compliance-Element hat den Ausführungstyp PatchPolicy. Ein Compliance-Element, das nicht in einem Patch-Richtlinienvorgang generiert wurde, hat den Ausführungstyp Command.

Integrationen

Patch Managerintegriert sich in die folgenden anderen AWS-Services:

Themen