OPS05-BP05 Administración de parches
Administre parches para ampliar las características, resolver problemas y mantener la conformidad con la gobernanza. Automatice la administración de parches para reducir los errores causados por los procesos manuales, la escala y el nivel de esfuerzo requerido para aplicarlos.
La administración de parches y vulnerabilidades forma parte de sus actividades de administración de beneficios y riesgos. Es preferible tener infraestructuras inmutables e implementar las cargas de trabajo en estados en buenas condiciones conocidos y verificados. Cuando esto no es viable, la opción que queda es el parcheado in situ.
El Generador de imágenes de Amazon EC2
Debe gestionar las actualizaciones de las imágenes de Imagen de máquina de Amazon para Linux o Windows Server mediante el Generador de imágenes de Amazon EC2
La aplicación de parches no debe llevarse a cabo en los sistemas de producción sin antes hacer pruebas en un entorno seguro. Los parches solo deben aplicarse si sirven para mejorar los resultados operativos o empresariales. En AWS, puede utilizar AWS Systems Manager Patch Manager para automatizar el proceso de aplicación de parches en los sistemas administrados y programar la actividad con las Ventanas de mantenimiento de Systems Manager.
Resultado deseado: las imágenes del contenedor y AMI están parcheadas, actualizadas y listas para su lanzamiento. Puede hacer un seguimiento del estado de todas las imágenes implementadas y determinar el cumplimiento de los parches. Puede informar sobre el estado actual y disponer de un proceso que satisfaga sus necesidades de cumplimiento.
Patrones comunes de uso no recomendados:
-
Se le encomienda la aplicación de todos los nuevos parches de seguridad en un plazo de dos horas, lo que da lugar a numerosas interrupciones debido a la incompatibilidad de las aplicaciones con los parches.
-
Una biblioteca sin parches tiene consecuencias no deseadas, ya que partes desconocidas utilizan las vulnerabilidades de la misma para acceder a su carga de trabajo.
-
Aplica parches a los entornos de los desarrolladores sin avisarles. Recibe múltiples quejas de los desarrolladores porque su entorno ha dejado de funcionar tal como se esperaba.
-
No se ha parcheado el software comercial disponible en el mercado en una instancia persistente. Cuando tiene un problema con el software y contacta con el proveedor, este le notifica que la versión no es compatible y que tiene que aplicar un parche en un nivel específico para recibir asistencia.
-
Ha utilizado un parche para el software de cifrado publicado recientemente que tiene importantes mejoras de rendimiento. Su sistema sin parches tiene problemas de rendimiento que continúan como resultado de no aplicar los parches.
-
Se le notifica una vulnerabilidad de día cero que requiere una solución de emergencia y tiene que parchar todos sus entornos manualmente.
Beneficios de establecer esta práctica recomendada: al establecer un proceso de administración de parches, que incluya sus criterios de aplicación de parches y la metodología de distribución en sus entornos, puede escalar e informar sobre los niveles de parches. Esto proporciona garantías en torno a la aplicación de parches de seguridad y garantiza una visibilidad clara del estado de las correcciones conocidas que se están aplicando. Esto fomenta la adopción de las características y capacidades deseadas, la rápida eliminación de problemas y el cumplimiento sostenido de la gobernanza. Implemente sistemas de administración de parches y automatización para reducir el nivel de esfuerzo en la implementación de parches y limitar los errores causados por los procesos manuales.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio
Guía para la implementación
Aplique parches a los sistemas para solucionar problemas, para obtener las características o capacidades deseadas y para mantener la conformidad con la política de gobernanza y los requisitos de soporte de los proveedores. En sistemas inmutables, implemente con el conjunto de parches adecuados para lograr el resultado deseado. Automatice el mecanismo de administración de parches para reducir el tiempo que tarda en aplicarlos, evitar los errores causados por los procesos manuales y reducir el nivel de esfuerzo requerido para aplicar los parches.
Pasos para la implementación
Para el Generador de imágenes de Amazon EC2:
-
Con el Generador de imágenes de Amazon EC2, especifique los detalles de la canalización:
-
Cree una canalización de imágenes y asígnele un nombre.
-
Defina el horario y la zona horaria de la canalización.
-
Configure las dependencias.
-
-
Elija una receta:
-
Seleccione una receta existente o cree una nueva.
-
Seleccione el tipo de imagen.
-
Asigne un nombre y versión a la receta.
-
Seleccione la imagen base.
-
Agregue componentes de compilación y agréguelos al registro de destino.
-
-
Opcional: defina la configuración de la infraestructura.
-
Opcional: defina los ajustes de configuración.
-
Revise la configuración.
-
Mantenga la higiene de las recetas con regularidad.
Para Systems Manager Patch Manager:
-
Cree una línea de base de revisiones.
-
Seleccione un método de operaciones de creación de revisiones.
-
Habilite el análisis y la generación de informes de cumplimiento.
Recursos
Prácticas recomendadas relacionadas:
Documentos relacionados:
Videos relacionados: