AWS Systems Manager Patch Manager

Patch Manager, un outil de AWS Systems Manager, automatise le processus d'application des correctifs aux nœuds gérés à la fois avec des mises à jour liées à la sécurité et d'autres types de mises à jour.

Note

Systems Manager fournit un support pour les politiques de correctifs dansQuick Setup, un outil dans AWS Systems Manager. Nous recommandons d’utiliser des politiques de correctifs pour configurer vos opérations de correctifs. À l’aide d’une configuration de politique de correctifs unique, vous pouvez définir l’application de correctifs pour tous les comptes de toutes les régions de votre organisation ; uniquement pour les comptes et les régions de votre choix ; ou pour une seule paire compte-région. Pour de plus amples informations, veuillez consulter Configurations des politiques de correctifs dans Quick Setup.

Vous pouvez utiliser Patch Manager pour appliquer des correctifs pour les systèmes d'exploitation et les applications. (Sur Windows Server, la prise en charge des applications est limitée à des mises à jour pour les applications publiées par Microsoft.) Vous pouvez utiliser Patch Manager pour installer des Service Packs sur les nœuds Windows et procéder à des mises à niveau mineures sur les nœuds Linux. Vous pouvez appliquer des correctifs à des flottes d'instances Amazon Elastic Compute Cloud (Amazon EC2), d'appareils périphériques, de serveurs sur site et de machines virtuelles (VMs) par type de système d'exploitation. Cela inclut les versions prises en charge de plusieurs systèmes d'exploitation, comme indiqué dans Conditions préalables requises Patch Manager. Vous pouvez scanner les instances pour afficher uniquement le rapport des correctifs manquants, ou scanner et installer automatiquement les correctifs manquants. Pour vos premiers pas dans Patch Manager, ouvrez Systems Manager console. Dans le panneau de navigation, sélectionnez Patch Manager.

AWS ne teste pas les correctifs avant de les rendre disponibles dansPatch Manager. En outre, Patch Manager ne prend pas en charge la mise à niveau des principales versions des systèmes d'exploitation, telles que Windows Server 2016 à Windows Server 2019, ou SUSE Linux Enterprise Server (SLES) 12.0 à SLES 15.0.

Pour les types de système d'exploitation basés sur Linux qui signalent un niveau de sévérité pour les correctifs, Patch Manager utilise le niveau de sévérité signalé par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne dérive pas les niveaux de sévérité de sources tierces, telles que le Common Vulnerability Scoring System (CVSS), ou des métriques publiées par la National Vulnerability Database (NVD).

Comment mon organisation peut-elle tirer parti de Patch Manager ?

Patch Managerautomatise le processus d'application des correctifs aux nœuds gérés avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Il offre plusieurs avantages essentiels :

• Contrôle centralisé des correctifs : à l'aide des politiques relatives aux correctifs, vous pouvez configurer des opérations de correction récurrentes pour tous les comptes de toutes les régions de votre organisation, pour des comptes et des régions spécifiques, ou pour une seule paire compte-région.

• Opérations de correction flexibles : vous pouvez choisir de scanner les instances pour afficher uniquement un rapport des correctifs manquants, ou de scanner et d'installer automatiquement tous les correctifs manquants.

• Rapports de conformité complets : après les opérations de numérisation, vous pouvez consulter des informations détaillées sur les nœuds gérés qui ne sont pas conformes aux correctifs et sur les correctifs manquants.

• Support multiplateforme : Patch Manager prend en charge plusieurs systèmes d'exploitation, y compris diverses distributions LinuxmacOS, etWindows Server.

• Lignes de base de correctifs personnalisées : vous pouvez définir ce qui constitue la conformité des correctifs pour votre entreprise grâce à des lignes de base de correctifs personnalisées qui spécifient les correctifs dont l'installation est approuvée.

• Intégration avec d'autres AWS services : Patch Manager s'intègre à AWS Organizations AWS Security Hub AWS CloudTrail, et AWS Config pour une gestion et une sécurité améliorées.

• Mises à niveau déterministes — Support pour les mises à niveau déterministes via des référentiels versionnés pour des systèmes d'exploitation tels qu'Amazon Linux 2023.

À qui est destiné Patch Manager ?

Patch Managerest conçu pour ce qui suit :

• Administrateurs informatiques devant garantir la conformité des correctifs sur l'ensemble de leur parc de nœuds gérés

• Responsables des opérations qui ont besoin d'une visibilité sur l'état de conformité des correctifs dans l'ensemble de leur infrastructure

• Architectes du cloud qui souhaitent mettre en œuvre des solutions de correction automatisées à grande échelle

• DevOps ingénieurs qui ont besoin d'intégrer les correctifs dans leurs flux de travail opérationnels

• Organisations ayant des déploiements multicomptes/multirégions qui ont besoin d'une gestion centralisée des correctifs

• Toute personne chargée de maintenir le niveau de sécurité et la santé opérationnelle des nœuds AWS gérés, des appareils périphériques, des serveurs sur site et des machines virtuelles

Quelles sont les principales fonctionnalités Patch Manager ?

Patch Managerpropose plusieurs fonctionnalités clés :

• Politiques de correctifs — Configurez les opérations d'application de correctifs sur plusieurs Comptes AWS régions à l'aide d'une politique unique grâce à l'intégration avec AWS Organizations.

• Lignes de base de correctifs personnalisées : définissez des règles pour l'approbation automatique des correctifs dans les jours suivant leur publication, ainsi que des listes de correctifs approuvés et rejetés.

• Plusieurs méthodes d'application de correctifs : choisissez entre des politiques de correctifs, des fenêtres de maintenance ou des opérations « Patch now » à la demande pour répondre à vos besoins spécifiques.

• Rapports de conformité : générez des rapports détaillés sur l'état de conformité des correctifs qui peuvent être envoyés à un compartiment Amazon S3 au format CSV.

• Support multiplateforme — Appliquez des correctifs aux systèmes d'exploitation et aux applications sur Windows Server diverses distributions Linux, etmacOS.

• Flexibilité de planification : définissez différents calendriers pour l'analyse et l'installation des correctifs à l'aide d'expressions CRON ou Rate personnalisées.

• Lifecycle Hooks : exécutez des scripts personnalisés avant et après les opérations de correction à l'aide des documents Systems Manager.

• Concentration sur la sécurité : par défaut, Patch Manager se concentre sur les mises à jour liées à la sécurité plutôt que sur l'installation de tous les correctifs disponibles.

• Contrôle du débit — Configurez la simultanéité et les seuils d'erreur pour les opérations d'application de correctifs afin de minimiser l'impact opérationnel.

En quoi consiste la conformité Patch Manager ?

Le point de référence pour déterminer ce qui constitue la conformité des correctifs pour les nœuds gérés de vos flottes de Systems Manager n'est pas défini par AWS les fournisseurs de systèmes d'exploitation (OS) ou par des tiers tels que les sociétés de conseil en sécurité.

Au lieu de cela, vous définissez ce que signifie la conformité aux correctifs pour les nœuds gérés de votre organisation ou de votre compte dans une ligne de base de correctifs. Une ligne de base de correctifs est une configuration qui spécifie les règles selon lesquelles les correctifs doivent être installés sur un nœud géré. Un nœud géré est conforme aux correctifs lorsqu'il est à jour avec tous les correctifs qui répondent aux critères d'approbation que vous spécifiez dans la ligne de base des correctifs.

Notez que la conformité à une ligne de base de correctifs ne signifie pas nécessairement qu'un nœud géré est nécessairement sécurisé. Conforme signifie que les correctifs définis par la ligne de base de correctifs qui sont à la fois disponibles et approuvés ont été installés sur le nœud. La sécurité globale d'un nœud géré est déterminée par de nombreux facteurs extérieurs au champ d'application dePatch Manager. Pour de plus amples informations, veuillez consulter Sécurité dans AWS Systems Manager.

Chaque ligne de base de correctif est une configuration pour un type de système d'exploitation (OS) pris en charge spécifiquemacOS, tel que Red Hat Enterprise Linux (RHEL) ouWindows Server. Une ligne de base de correctifs peut définir des règles d'application de correctifs pour toutes les versions prises en charge d'un système d'exploitation ou être limitée à celles que vous spécifiez, telles que RHEL 6.10, RHEL 7.8. et RHEL 9.3.

Dans une ligne de base de correctifs, vous pouvez spécifier que l'installation de tous les correctifs de certaines classifications et de certains niveaux de gravité est approuvée. Par exemple, vous pouvez inclure tous les correctifs classés comme Security mais exclure d'autres classifications, telles que Bugfix ouEnhancement. Et vous pouvez inclure tous les correctifs dont la gravité est égale Critical ou en exclure d'autres, tels que Important etModerate.

Vous pouvez également définir des correctifs de manière explicite dans une ligne de base de correctifs en les ajoutant IDs à des listes de correctifs spécifiques à approuver ou à rejeter, par exemple KB2736693 pour Windows Server ou dbus.x86_64:1:1.12.28-1.amzn2023.0.1 pour Amazon Linux 2023 (AL2023). Vous pouvez éventuellement spécifier un certain nombre de jours d'attente pour l'application d'un correctif une fois qu'un correctif est disponible. Pour LinuxmacOS, vous avez la possibilité de spécifier une liste externe de correctifs à des fins de conformité (une liste de remplacement d'installation) au lieu de ceux définis par les règles de base des correctifs.

Lorsqu'une opération d'application de correctifs est exécutée, Patch Manager compare les correctifs actuellement appliqués à un nœud géré à ceux qui devraient être appliqués conformément aux règles définies dans la ligne de base des correctifs ou dans une liste de remplacement d'installation. Vous pouvez faire en sorte que Patch Manager n'affiche qu'un rapport sur les correctifs manquants (une opération Scan), ou que Patch Manager installe automatiquement tous les correctifs manquants sur un nœud géré (une opération Scan and install).

Patch Managerfournit des lignes de base de correctifs prédéfinies que vous pouvez utiliser pour vos opérations d'application de correctifs ; toutefois, ces configurations prédéfinies sont fournies à titre d'exemple et non en tant que meilleures pratiques recommandées. Nous vous recommandons de créer vos propres lignes de base de correctifs personnalisées afin de mieux contrôler ce qui constitue la conformité des correctifs pour votre parc.

Pour plus d'informations sur les lignes de base des correctifs, consultez les rubriques suivantes :

• Référentiels de correctifs prédéfinis et personnalisés

• Formats de noms de package pour les listes de correctifs approuvés et rejetés

• Affichage des référentiels de correctifs prédéfinis AWS

• Utilisation des référentiels de correctifs personnalisés

• Utilisation des rapports de conformité des correctifs

Composants principaux

Avant de commencer à utiliser l'Patch Manageroutil, vous devez vous familiariser avec certains composants et fonctionnalités principaux des opérations de correction de l'outil.

Références de correctifs

Patch Manager utilise des référentiels de correctifs qui incluent les règles d'approbation automatique des correctifs quelques jours après leur publication, ainsi que des listes facultatives des correctifs approuvés et refusés. Lorsqu'une opération d'application de correctifs est exécutée, Patch Manager compare les correctifs actuellement appliqués à un nœud géré à ceux qui doivent être appliqués conformément aux règles définies dans le référentiel de correctifs. Vous pouvez faire en sorte que Patch Manager n'affiche qu'un rapport sur les correctifs manquants (une opération Scan), ou que Patch Manager installe automatiquement tous les correctifs manquants sur un nœud géré (une opération Scan and install).

Méthodes de fonctionnement d'application de correctifs

Patch Manager propose actuellement quatre méthodes d'exécution des opérations Scan et Scan and install :

• (Recommandé) Une politique de correctifs configurée dans Quick Setup — Sur la base de l'intégration avec AWS Organizations, une politique de correctifs unique peut définir des calendriers d'application des correctifs et des lignes de base de correctifs pour l'ensemble de l'organisation, y compris plusieurs comptes Comptes AWS et tous Régions AWS ceux sur lesquels ces comptes opèrent. Une politique de correctifs peut également cibler uniquement certaines unités organisationnelles (OUs) d'une organisation. Vous pouvez utiliser une seule politique de correctifs pour effectuer des analyses et des installations selon des planifications différentes. Pour plus d’informations, consultez Configuration de l'application de correctifs pour les instances d'une organisation à l'aide d'une politique de Quick Setup correctifs et Configurations des politiques de correctifs dans Quick Setup.

• Une option de gestion de l'hôte configurée dans Quick Setup — Les configurations de gestion des hôtes sont également prises en charge par l'intégration avec AWS Organizations, ce qui permet d'exécuter une opération d'application de correctifs pour une organisation entière au maximum. Toutefois, cette option se limite à rechercher les correctifs manquants à l'aide du référentiel de correctifs par défaut actuel et à fournir des résultats dans des rapports de conformité. Cette méthode de fonctionnement ne permet pas d'installer de correctifs. Pour de plus amples informations, veuillez consulter Configurez la gestion des EC2 hôtes Amazon à l'aide de Quick Setup.

• Une fenêtre de maintenance pour exécuter un correctif Scan ou une Install tâche : une fenêtre de maintenance, que vous configurez dans l'outil Systems Manager appeléMaintenance Windows, peut être configurée pour exécuter différents types de tâches selon un calendrier que vous définissez. Une tâche de type Run Command peut être utilisée pour exécuter des tâches Scan ou Scan and install sur un ensemble de nœuds gérés de votre choix. Chaque tâche de la fenêtre de maintenance peut cibler les nœuds gérés en une seule Compte AWSRégion AWS paire. Pour de plus amples informations, veuillez consulter Tutoriel : créer une fenêtre de maintenance pour l’application de correctifs à l’aide de la console.

• Opération Corriger maintenant à la demande dans Patch Manager : l’option Corriger maintenant vous permet de contourner les configurations de planification lorsque vous devez appliquer des correctifs à des nœuds gérés le plus rapidement possible. À l'aide de Patch now, vous pouvez spécifier s'il faut exécuter l'opération Scan ou Scan and install et sur quels nœuds gérés l'exécuter. Vous pouvez également choisir d’exécuter les documents Systems Manager (documents SSM) en tant que hooks de cycle de vie lors de l’application de correctifs. Chaque opération Patch now peut cibler les nœuds gérés en une seule Compte AWSRégion AWS paire. Pour de plus amples informations, veuillez consulter Application de correctifs sur les nœuds gérés à la demande.

Rapports de conformité

Après une opération Scan, vous pouvez utiliser la console Systems Manager pour afficher des informations sur les nœuds gérés qui ne sont pas conformes aux correctifs et sur les correctifs manquants sur chacun de ces nœuds. Vous pouvez également générer des rapports de conformité des correctifs au format .csv, qui sont envoyés à un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix. Vous pouvez générer des rapports ponctuels ou selon un calendrier régulier. Pour un nœud géré individuel, les rapports contiennent les détails de tous les correctifs relatifs à ce nœud. Pour un ensemble de nœuds gérés, le rapport contient seulement un résumé indiquant le nombre de correctifs manquants. Une fois le rapport généré, vous pouvez utiliser un outil tel QuickSight qu'Amazon pour importer et analyser les données. Pour de plus amples informations, veuillez consulter Utilisation des rapports de conformité des correctifs.

Note

Un élément de conformité généré par l'utilisation d'une politique de correctifs a le type d'exécution PatchPolicy. Un élément de conformité qui n'est pas généré lors d'une opération de politique de correctifs a le type d'exécution Command.

Intégrations

Patch Managers'intègre aux autres éléments suivants Services AWS :

• AWS Identity and Access Management (IAM) — Utilisez IAM pour contrôler quels utilisateurs, groupes et rôles ont accès aux Patch Manager opérations. Pour plus d’informations, consultez Comment ? AWS Systems Manager fonctionne avec IAM et Configurer des autorisations d’instance requises pour Systems Manager.

• AWS CloudTrail— CloudTrail À utiliser pour enregistrer un historique vérifiable des événements liés aux opérations d'application de correctifs initiés par des utilisateurs, des rôles ou des groupes. Pour de plus amples informations, veuillez consulter Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail.

• AWS Security Hub— Les données de conformité des correctifs Patch Manager peuvent être envoyées à AWS Security Hub. Security Hub vous offre une vue complète sur vos alertes de sécurité haute priorité et votre statut de conformité. Il surveille également le statut d'application des correctifs de votre flotte. Pour de plus amples informations, veuillez consulter Intégration Patch Manager avec AWS Security Hub.

• AWS Config— Configurez l'enregistrement AWS Config pour afficher les données de gestion des EC2 instances Amazon dans le Patch Manager tableau de bord. Pour de plus amples informations, veuillez consulter Affichage des résumés du tableau de bord des correctifs.

Rubriques

• Configurations des politiques de correctifs dans Quick Setup

• Conditions préalables requises Patch Manager

• Fonctionnement des opérations Patch Manager

• Documents de commande SSM pour l’application de correctifs sur les nœuds gérés

• Références de correctifs

• Utilisation Kernel Live Patching sur les nœuds gérés par Amazon Linux 2

• Travailler avec Patch Manager ressources et conformité à l'aide de la console

• Travailler avec Patch Manager ressources utilisant le AWS CLI

• AWS Systems Manager Patch Manager Tutoriels  

• Résolution des problèmes de Patch Manager