Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Información general acerca de la administración de parches
Si se dedica a operaciones de aplicaciones o infraestructuras, entiende la importancia de una solución de revisión del sistema operativo (SO) que sea lo suficientemente flexible y escalable como para cumplir con los diversos requisitos de sus equipos de aplicaciones. En una organización típica, algunos equipos de aplicaciones utilizan una arquitectura que incluye instancias inmutables, mientras que otros implementan sus aplicaciones en instancias mutables.
La aplicación de revisiones de instancias inmutables implica la aplicación de las revisiones a las Imágenes de máquina de Amazon (AMI) que se utilizan para aprovisionar las instancias de aplicaciones EC2 inmutables. La aplicación de revisiones de instancias mutables implica la implementación de revisiones in situ en las instancias en ejecución durante un período de mantenimiento programado.
Esta guía prescriptiva describe cómo usar Patch Manager AWS Systems Manager para revisar instancias mutables que abarcan varias cuentas AWS y regiones AWS de forma automatizada, en función de los períodos de mantenimiento y los grupos de revisiones definidos por los equipos de aplicaciones en sus servidores mediante etiquetas.
La guía describe una solución de revisiones automatizada que utiliza AWS Lambda para automatizar las configuraciones y la programación de las revisiones mediante el administrador de revisiones y las ventanas de mantenimiento. Amazon QuickSight proporciona las funciones de informes y panel de control necesarias para informar sobre el cumplimiento de las revisiones.
Además, en esta guía se describe una arquitectura de referencia para entornos de nube híbrida. Los usuarios que ejecutan sus aplicaciones en una configuración de nube híbrida buscan oportunidades para consolidar, simplificar, estandarizar y optimizar sus operaciones de administración de revisiones en toda la AWS y en las la infraestructura en las instalaciones. La guía explica cómo se puede ampliar la solución de revisiones automatizada para instancias mutables para que sea compatible con escenarios de nube híbrida.
En esta guía se describe:
-
Historias de usuarios clave sobre la administración de revisiones
-
El proceso de aplicación de revisiones
-
Administración de revisiones para instancias mutables en una sola cuenta y una sola región AWS; consideraciones y limitaciones de la arquitectura
-
Administración de revisiones para instancias mutables en un entorno con varias cuentas y regiones; consideraciones y limitaciones de la arquitectura
-
Administración de revisiones para instancias en las instalaciones en un entorno de nube híbrida; consideraciones y limitaciones arquitectónicas
-
Principales partes interesadas, funciones y responsabilidades
nota
En esta guía, se describe la arquitectura de una solución automatizada (denominada solución de aplicación automática de revisiones) que puede implementar para cumplir con los requisitos de administración de revisiones en instancias mutables. No proporciona el código para crear la solución.
Términos y conceptos
| Plazo | Definición |
|---|---|
Instancias inmutables |
Las instancias inmutables son instancias de servidor EC2 que no sufren ningún cambio mientras están en ejecución. Si es necesario realizar cambios, debe crear una nueva instancia con la imagen de servidor actualizada, volver a implementar la instancia y destruir la imagen de servidor existente. |
Línea de base de revisiones |
La línea de base de revisiones es específica de un tipo de sistema operativo y define la lista de revisiones aprobadas para su instalación en las instancias. Para obtener más información, consulte Acerca de las líneas de base de revisiones predefinidas y personalizadas en la documentación de Systems Manager. |
Grupo de revisiones |
Un grupo de revisiones representa los servidores de un entorno de aplicaciones que son objetivos de una línea de base de revisiones específica. Los grupos de revisiones ayudan a garantizar que las líneas de base de revisiones adecuadas se implementarán en el conjunto correcto de instancias. También pueden ayudarle a evitar la implementación de revisiones antes de que se hayan probado adecuadamente. Los grupos de revisiones se representan mediante la etiqueta Grupo de revisiones. Para obtener más información, consulte Acerca de los grupos de revisiones en la documentación de Systems Manager. |
Maintenance window (Periodo de mantenimiento) |
El mantenimiento de windows le permite definir una programación para establecer el momento en que se realizarán acciones que pueden provocar interrupciones en las instancias, como la aplicación de parches en un sistema operativo, la actualización de controladores o la instalación de software o parches. Cada periodo de mantenimiento tiene una programación, una duración máxima, un conjunto de instancias de destinos registrados y un conjunto de tareas registradas. Las ventanas de mantenimiento se representan mediante la etiqueta Ventana de mantenimiento. Para obtener más información, consulte Acerca de los programas de aplicación de revisiones mediante ventanas de mantenimiento en la documentación de Systems Manager. |
Historias de usuarios clave
El proceso típico de aplicación de revisiones al sistema operativo implica tres tareas:
-
Escanear las instancias EC2 y los servidores en las instalaciones en busca de las revisiones de sistema operativo aplicables.
-
Agrupar y aplicar revisiones a las instancias en el momento adecuado.
-
Informar sobre el cumplimiento de las revisiones en todo el entorno del servidor.
En la tabla siguiente se indican las principales historias de usuarios sobre gestión de revisiones.
| Escenario | Roles de usuario | Descripción |
|---|---|---|
Mecanismo de aplicación de revisiones |
Equipos de desarrollo y soporte de aplicaciones |
Como miembro del equipo de aplicaciones responsable de aplicar revisiones al sistema operativo, necesito un mecanismo para revisar mis instancias mutables o de larga ejecución, de modo que pueda mitigar cualquier vulnerabilidad de seguridad del sistema operativo y también garantizar que las instancias cumplan con la línea de base de revisiones definida por el equipo de seguridad. |
Solución de revisión |
Propietario del servicio en la nube |
Como propietario de un servicio en la nube y responsable de proporcionar servicios en la nube a los equipos de aplicaciones, necesito crear una solución de revisión del sistema operativo que sea compatible con varias cuentas AWS y regiones AWS, así como con servidores en las instalaciones, de modo que los equipos de aplicaciones puedan mitigar cualquier vulnerabilidad de seguridad del sistema operativo y, además, cumplir con la línea de base de revisiones definida por el equipo de seguridad. |
Informes de conformidad con la aplicación de revisiones |
Director de operaciones de seguridad |
Como gerente de operaciones de seguridad responsable de garantizar el cumplimiento de las revisiones, necesito informes e información detallados sobre el cumplimiento de las revisiones en todo el entorno de la nube para poder identificar los servidores que no cumplen con la línea de base de revisiones y alertar a los equipos para que implementen las medidas de mitigación necesarias. |
Definición de funciones y responsabilidades |
Propietario del servicio en la nube |
Como propietario de un servicio en la nube, necesito crear una matriz de funciones y responsabilidades bien definida que explique quién se encarga de cada tarea a la hora de gestionar la solución de revisiones en la nube híbrida que he creado, de modo que se publiquen y cumplan las obligaciones relativas a las operaciones de aplicación de revisiones. |
