AWS Systems Manager Patch Manager - AWS Systems Manager

AWS Systems Manager Patch Manager

Patch Manager, una capacidad de AWS Systems Manager, automatiza el proceso de aplicación de revisiones a los nodos administrados con actualizaciones relacionadas con la seguridad y otros tipos de actualizaciones.

importante

A partir del 22 de diciembre de 2022, Systems Manager ofrece compatibilidad con las políticas de revisiones, las cuales son el método nuevo y recomendado para configurar las operaciones de aplicación de revisiones. Con una configuración de política de revisiones única, puede definir la aplicación de revisiones para todas las cuentas de todas las regiones de su organización, solo para las cuentas y regiones que elija o para un solo par de cuentas y regiones. Para obtener más información, consulte Uso de políticas de revisiones de Quick Setup.

Puede utilizar Patch Manager para aplicar revisiones a los sistemas operativos y a las aplicaciones. (En Windows Server, la compatibilidad con las aplicaciones se limita a las actualizaciones de las aplicaciones publicadas por Microsoft). Puede utilizar Patch Manager para instalar Service Packs en los nodos de Windows y realizar actualizaciones de versiones secundarias en nodos de Linux. Puede aplicar revisiones a flotas de instancias de Amazon Elastic Compute Cloud (Amazon EC2), dispositivos de borde, servidores en las instalaciones y a máquinas virtuales (VM) por tipo de sistema operativo. Esto incluye las versiones compatibles de varios sistemas operativos, tal como se indica en Requisitos previos de Patch Manager. Puede analizar instancias solo para ver un informe de las revisiones que faltan, o bien puede analizar e instalar automáticamente todas las revisiones que faltan. Para comenzar a utilizar Patch Manager, abra la consola de Systems Manager. En el panel de navegación, elija Patch Manager.

nota

AWS no prueba las revisiones antes de que estén disponibles en Patch Manager. Además, Patch Manager no admite la actualización de versiones principales de sistemas operativos, como Windows Server 2016 a Windows Server 2019 o SUSE Linux Enterprise Server (SLES) 12.0 a SLES 15.0.

Para los tipos de sistemas operativos basados en Linux que informan de un nivel de gravedad de las revisiones, Patch Manager utiliza el nivel de gravedad notificado por el editor de software para el aviso de actualización o la revisión individual. Patch Manager no deriva los niveles de gravedad de orígenes de terceros, como el Sistema de puntuación de vulnerabilidades comunes (CVSS), ni de métricas publicadas por la Base de datos nacional de vulnerabilidades (NVD).

líneas de base de revisiones

Patch Manager utiliza líneas de base de revisiones, las cuales incluyen reglas para la aprobación automática de revisiones a los pocos días de su lanzamiento, así como una lista de las revisiones aprobadas y rechazadas. Cuando se ejecuta una operación de aplicación de revisiones, Patch Manager compara las revisiones aplicadas actualmente a un nodo administrado con las que deberían aplicarse de acuerdo con las reglas establecidas en la línea de base de revisiones. Puede optar por que Patch Manager muestre solo un informe de las revisiones faltantes (una operación Scan) o puede optar por que Patch Manager instale automáticamente todas las revisiones que encuentre que faltan en un nodo administrado (un operación Scan and install).

Métodos de operación de aplicación de revisiones

Patch Manager ofrece actualmente cuatro métodos para ejecutar operaciones Scan y Scan and install:

  • (Recomendado) Una política de revisiones configurada en Quick Setup: basada en la integración con AWS Organizations, una única política de revisiones puede definir programaciones de aplicación de revisiones y líneas de base de revisiones para toda una organización, incluidas varias Cuentas de AWS y en las Regiones de AWS que operan todas esas cuentas. Una política de revisiones también puede dirigirse únicamente a algunas unidades organizativas (OU) de una organización. Puede utilizar una única política de revisiones para analizar e instalar en diferentes programaciones. Para obtener más información, consulte Configuración de revisiones en la organización de Patch Manager y Uso de políticas de revisiones de Quick Setup.

  • Una opción de administración de host configurada en Quick Setup: las configuraciones de administración de host también son compatibles con la integración con AWS Organizations, lo que permite ejecutar una operación de aplicación de revisiones para una organización completa. Sin embargo, esta opción se limita a analizar revisiones faltantes utilizando la línea de base de revisiones predeterminada actual y a proporcionar resultados en los informes de conformidad. Este método de operación no puede instalar revisiones. Para obtener más información, consulte Administración de host de Amazon EC2.

  • Un periodo de mantenimiento para ejecutar una tarea Scan o Install de revisiones: se puede establecer un periodo de mantenimiento, el cual se configura en la capacidad de Systems Manager denominada Maintenance Windows, para ejecutar diferentes tipos de tareas según una programación que usted defina. Se puede utilizar una tarea de tipo Run Command para ejecutar tareas Scan o Scan and install en un conjunto de nodos administrados que usted elija. Cada tarea del periodo de mantenimiento puede dirigirse a los nodos administrados en un único par de Cuenta de AWS-Región de AWS. Para obtener más información, consulte Explicación: creación de una ventana de mantenimiento para la aplicación de revisiones (consola).

  • La operación bajo demanda “Patch Now” (Aplicar revisión ahora) en Patch Manager: la opción Patch now le permite omitir las configuraciones programadas cuando necesite aplicar revisiones a los nodos administrados lo antes posible. Con Patch now (Aplicar revisión ahora), se especifica si se va a ejecutar una operación de Scan o Scan and install y en qué nodos administrados se va a ejecutar la operación. También puede optar por ejecutar documentos de Systems Manager (documentos SSM) como enlaces de ciclo de vida durante la operación de revisión. Cada operación de Patch now (Aplicar revisión ahora) puede dirigirse a los nodos administrados en un único par Cuenta de AWS-Región de AWS. Para obtener más información, consulte Aplicación de revisiones a nodos administrados bajo demanda.

Informes de conformidad

Tras una operación de Scan, puede utilizar la consola de Systems Manager para ver información sobre cuáles nodos administrados no cumplen con las revisiones y qué revisiones faltan en cada uno de esos nodos. También puede generar informes relativos a la conformidad de las revisiones en formato .csv que se envían a un bucket de Amazon Simple Storage Service (Amazon S3) de su elección. Puede generar informes por única vez o generarlos de manera periódica. Para un único nodo administrado, los informes incluyen detalles de todas las revisiones del nodo. Para un informe sobre todos los nodos administrados, solo se proporciona un resumen de cuántas revisiones faltan. Una vez generado un informe, puede utilizar una herramienta como Amazon QuickSight para importar y analizar los datos. Para obtener más información, consulte Trabajo con informes de conformidad de las revisiones.

nota

Un elemento de conformidad generado mediante el uso de una política de revisiones tiene un tipo de ejecución de PatchPolicy. Un elemento de conformidad no generado en una operación de política de revisiones tiene un tipo de ejecución de Command.

Integraciones

Patch Manager se integra con los siguientes otros Servicios de AWS:

Temas