OPS05-BP05 Realizar la gestión de parches - Operational Excellence Pillar

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

OPS05-BP05 Realizar la gestión de parches

Administre parches para ampliar las características, resolver problemas y mantener la conformidad con la gobernanza. Automatice la administración de parches para reducir los errores causados por los procesos manuales, la escala y el nivel de esfuerzo requerido para aplicarlos.

La administración de parches y vulnerabilidades forma parte de sus actividades de administración de beneficios y riesgos. Es preferible tener infraestructuras inmutables e implementar las cargas de trabajo en estados en buenas condiciones conocidos y verificados. Cuando esto no es viable, la opción que queda es el parcheado in situ.

Amazon EC2 Image Builder proporciona canalizaciones para actualizar las imágenes de las máquinas. Como parte de la administración de parches, considere la posibilidad de que Amazon Machine Images (AMIs) utilice una canalización de AMI imágenes o imágenes de contenedores con una canalización de imágenes de Docker, a la vez que AWS Lambda proporciona patrones para tiempos de ejecución personalizados y bibliotecas adicionales para eliminar las vulnerabilidades.

Debe gestionar las actualizaciones de las imágenes de Amazon Machine Images para Linux o Windows Server mediante Amazon EC2 Image Builder. Puede utilizar Amazon Elastic Container Registry (AmazonECR) con su canalización existente para gestionar ECS las imágenes de Amazon y gestionar EKS las imágenes de Amazon. Lambda incluye características de administración de versiones.

La aplicación de parches no debe llevarse a cabo en los sistemas de producción sin antes hacer pruebas en un entorno seguro. Los parches solo deben aplicarse si sirven para mejorar los resultados operativos o empresariales. Sí AWS, puede utilizar AWS Systems Manager Patch Manager para automatizar el proceso de aplicación de parches en los sistemas gestionados y programar la actividad mediante Systems Manager Maintenance Windows.

Resultado deseado: sus imágenes AMI y las del contenedor están parcheadas up-to-date y listas para su lanzamiento. Puede hacer un seguimiento del estado de todas las imágenes implementadas y determinar el cumplimiento de los parches. Puede informar sobre el estado actual y disponer de un proceso que satisfaga sus necesidades de cumplimiento.

Patrones comunes de uso no recomendados:

  • Se le encomienda la aplicación de todos los nuevos parches de seguridad en un plazo de dos horas, lo que da lugar a numerosas interrupciones debido a la incompatibilidad de las aplicaciones con los parches.

  • Una biblioteca sin parches tiene consecuencias no deseadas, ya que partes desconocidas utilizan las vulnerabilidades de la misma para acceder a su carga de trabajo.

  • Aplica parches a los entornos de los desarrolladores sin avisarles. Recibe múltiples quejas de los desarrolladores porque su entorno ha dejado de funcionar tal como se esperaba.

  • No ha parcheado el off-the-shelf software comercial en una instancia persistente. Cuando tiene un problema con el software y contacta con el proveedor, este le notifica que la versión no es compatible y que tiene que aplicar un parche en un nivel específico para recibir asistencia.

  • Ha utilizado un parche para el software de cifrado publicado recientemente que tiene importantes mejoras de rendimiento. Su sistema sin parches tiene problemas de rendimiento que continúan como resultado de no aplicar los parches.

  • Se le notifica una vulnerabilidad de día cero que requiere una solución de emergencia y tiene que parchar todos sus entornos manualmente.

Beneficios de establecer esta práctica recomendada: al establecer un proceso de administración de parches, que incluya sus criterios de aplicación de parches y la metodología de distribución en sus entornos, puede escalar e informar sobre los niveles de parches. Esto proporciona garantías en torno a la aplicación de parches de seguridad y garantiza una visibilidad clara del estado de las correcciones conocidas que se están aplicando. Esto fomenta la adopción de las características y capacidades deseadas, la rápida eliminación de problemas y el cumplimiento sostenido de la gobernanza. Implemente sistemas de administración de parches y automatización para reducir el nivel de esfuerzo en la implementación de parches y limitar los errores causados por los procesos manuales.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Aplique parches a los sistemas para solucionar problemas, para obtener las características o capacidades deseadas y para mantener la conformidad con la política de gobernanza y los requisitos de soporte de los proveedores. En sistemas inmutables, implemente con el conjunto de parches adecuados para lograr el resultado deseado. Automatice el mecanismo de administración de parches para reducir el tiempo que tarda en aplicarlos, evitar los errores causados por los procesos manuales y reducir el nivel de esfuerzo requerido para aplicar los parches.

Pasos para la implementación

Para Amazon EC2 Image Builder:

  1. Con Amazon EC2 Image Builder, especifique los detalles de la canalización:

    1. Cree una canalización de imágenes y asígnele un nombre.

    2. Defina el horario y la zona horaria de la canalización.

    3. Configure las dependencias.

  2. Elija una receta:

    1. Seleccione una receta existente o cree una nueva.

    2. Seleccione el tipo de imagen.

    3. Asigne un nombre y versión a la receta.

    4. Seleccione la imagen base.

    5. Agregue componentes de compilación y agréguelos al registro de destino.

  3. Opcional: defina la configuración de la infraestructura.

  4. Opcional: defina los ajustes de configuración.

  5. Revise la configuración.

  6. Mantenga la higiene de las recetas con regularidad.

Para Systems Manager Patch Manager:

  1. Cree una línea de base de revisiones.

  2. Seleccione un método de operaciones de aplicación de parches.

  3. Habilite el análisis y la generación de informes de cumplimiento.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Videos relacionados: