OPS05-BP05 Procéder à la gestion des correctifs - AWS Well-Architected Framework

OPS05-BP05 Procéder à la gestion des correctifs

Procédez à la gestion des correctifs afin de profiter des fonctionnalités, de résoudre les problèmes et de rester conforme à la gouvernance. Automatisez la gestion des correctifs pour réduire les erreurs causées par les processus manuels, pour permettre la mise à l'échelle et pour réduire le niveau d'efforts nécessaire aux correctifs.

La gestion des correctifs et des vulnérabilités fait partie de vos activités de gestion des bénéfices et des risques. Il est préférable d'avoir des infrastructures immuables et de déployer des charges de travail dans des états de bon fonctionnement connus et vérifiés. Lorsque cela n'est pas viable, l'application de correctifs est la seule solution.

Amazon EC2 Image Builder fournit des pipelines pour mettre à jour les images des machines. Dans le cadre de la gestion des correctifs, envisagez d'utiliser des Amazon Machine Images (AMI) à l'aide d'un pipeline d'images AMI ou des images de conteneurs avec un pipeline d'images Docker, tandis qu'AWS Lambda fournit des modèles pour des exécutions personnalisées et des bibliothèques supplémentaires pour supprimer les vulnérabilités.

Vous devez gérer les mises à jour des Amazon Machine Images pour les images Linux ou Windows Server à l'aide de Amazon EC2 Image Builder. Vous pouvez utiliser Amazon Elastic Container Registry (Amazon ECR) avec votre pipeline existant pour gérer les images Amazon ECS et Amazon EKS. Lambda inclut des fonctions de gestion des versions..

L'application de correctifs ne doit pas être effectuée sur les systèmes de production sans avoir effectué un test préalable dans un environnement sûr. Les correctifs ne doivent être appliqués que s'ils favorisent la réalisation d'un résultat opérationnel ou métier. Sur AWS, vous pouvez utiliser le gestionnaire de correctifs AWS Systems Manager pour automatiser le processus d'application des correctifs sur les systèmes gérés et planifier l'activité à l'aide des fenêtres de maintenance Systems Manager..

Résultat souhaité : Vos images AMI et images de conteneur sont corrigées, mises à jour et prêtes à être lancées. Vous pouvez suivre l'état de toutes les images déployées et déterminer la conformité des correctifs. Vous êtes en mesure de rendre compte de l'état actuel et de disposer d'un processus pour répondre à vos besoins en matière de conformité.

Anti-modèles courants :

  • On vous demande d'appliquer tous les nouveaux correctifs de sécurité dans un délai de deux heures, ce qui entraîne de multiples pannes dues à l'incompatibilité de l'application avec les correctifs.

  • Une bibliothèque non corrigée entraîne des conséquences imprévues, car des parties inconnues y utilisent des failles pour accéder à votre charge de travail.

  • Vous corrigez automatiquement les environnements de développement sans en informer les développeurs. Vous recevez plusieurs réclamations des développeurs indiquant que leur environnement ne fonctionne plus correctement.

  • Vous n'avez pas corrigé le logiciel sur une instance persistante. Lorsque vous rencontrez un problème avec le logiciel et que vous contactez le fournisseur, celui-ci vous informe que la version n'est pas prise en charge et que vous devez effectuer appliquer un correctif à un niveau spécifique pour recevoir de l'aide.

  • Un correctif récemment publié pour le logiciel de chiffrement que vous avez utilisé présente des améliorations significatives de performances. Votre système non corrigé présente des problèmes de performances qui persistent suite à l'absence de correctifs.

  • Vous êtes averti d'une vulnérabilité de type « jour zéro » nécessitant une correction d'urgence et vous devez corriger manuellement tous vos environnements.

Avantages liés au respect de cette bonne pratique : En établissant un processus de gestion des correctifs, y compris vos critères d'application des correctifs et la méthodologie de distribution dans vos environnements, vous pouvez adapter les niveaux de correctifs et créer des rapports sur ces niveaux. Cela fournit des garanties concernant les correctifs de sécurité et assure une visibilité claire sur l'état des correctifs connus en cours de mise en place. Cela encourage aussi l'adoption des fonctions et fonctionnalités désirées, l'élimination rapide des problèmes et le respect durable de la gouvernance. Mettez en œuvre des systèmes de gestion des correctifs et d'automatisation pour réduire le niveau d'effort nécessaire au déploiement des correctifs et limiter les erreurs causées par les processus manuels.

Niveau d'exposition au risque si cette bonne pratique n'est pas respectée : Moyen

Directives d'implémentation

Appliquez des correctifs aux systèmes pour corriger les problèmes, obtenir des fonctionnalités souhaitées et rester conforme à la politique de gouvernance et aux exigences d'assistance du fournisseur. Dans les systèmes immuables, déployez avec l'ensemble de correctifs approprié pour obtenir le résultat souhaité. Automatisez le mécanisme de gestion des correctifs afin de réduire le temps écoulé avant l'application des correctifs, d'éviter les erreurs causées par les processus manuels et de limiter le niveau d'efforts nécessaire pour appliquer les correctifs.

Étapes d'implémentation

Pour Amazon EC2 Image Builder :

  1. Avec Amazon EC2 Image Builder, spécifiez les détails du pipeline :

    1. Créez un pipeline d'images et nommez-le.

    2. Définissez le calendrier et le fuseau horaire du pipeline.

    3. Configurez toutes les dépendances.

  2. Choisissez une recette :

    1. Sélectionnez une recette existante ou créez-en une.

    2. Sélectionnez le type d'image.

    3. Donnez un nom et une version à votre recette.

    4. Sélectionnez votre image de base.

    5. Ajoutez des composants de build et incluez-les dans le registre cible.

  3. Facultatif : définissez la configuration de votre infrastructure.

  4. Facultatif : définissez les paramètres de configuration.

  5. Vérifiez les paramètres.

  6. Gérez régulièrement l'hygiène des recettes.

Pour le gestionnaire de correctifs d'Systems Manager:

  1. Créez un référentiel de correctifs.

  2. Sélectionnez une méthode d'opérations de cheminement.

  3. Activez le reporting et l'analyse de conformité.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :