OPS05-BP05 Melakukan manajemen patch

Lakukan manajemen patch untuk mendapatkan fitur, menangani permasalahan, dan menjaga kepatuhan terhadap tata kelola. Otomatiskan manajemen patch untuk mengurangi kesalahan yang disebabkan oleh proses manual, menskalakan, dan mengurangi upaya untuk melakukan patch.

Manajemen patch dan kerentanan adalah bagian dari aktivitas manajemen manfaat dan risiko Anda. Lebih baik miliki infrastruktur tetap dan deploy beban kerja pada status yang diketahui baik dan terverifikasi. Jika tidak memungkinkan, opsi yang tersisa ialah menerapkan patching.

Amazon EC2 Image Builder menyediakan pipeline untuk memperbarui image mesin. Sebagai bagian dari manajemen patch, pertimbangkan Amazon Machine Images (AMI) menggunakan Pipeline image AMI atau image kontainer dengan Pipeline image Docker, sementara AWS Lambda memberikan pola bagi runtime kustom dan pustaka tambahan untuk menghapus kerentanan.

Anda harus mengelola pembaruan pada Amazon Machine Images untuk image Linux atau Windows Server menggunakan Amazon EC2 Image Builder. Anda dapat menggunakan Amazon Elastic Container Registry (Amazon ECR) dengan pipeline yang sudah ada untuk mengelola image Amazon ECS dan mengelola image Amazon EKS. Lambda mencakup fitur manajemen versi.

Patching tidak boleh dilakukan pada sistem produksi tanpa mengujinya terlebih dahulu di lingkungan yang aman. Patch hanya bisa diterapkan jika mendukung hasil operasi atau bisnis. Di AWS, Anda dapat menggunakan AWS Systems Manager Patch Manager untuk mengotomatiskan proses patching sistem terkelola dan menjadwalkan aktivitas menggunakan Periode Pemeliharaan Systems Manager.

Hasil yang diinginkan: Image AMI dan kontainer Anda diberikan patch, diperbarui, dan siap diluncurkan. Anda dapat melacak status semua image yang di-deploy dan mengetahui kepatuhan patch. Anda dapat melaporkan status saat ini dan memiliki proses untuk memenuhi kebutuhan kepatuhan Anda.

Antipola umum:

• Anda diberi tugas untuk menerapkan semua patch keamanan baru dalam waktu dua jam yang menyebabkan beberapa pemadaman akibat ketidaksesuaian aplikasi dengan patch.

• Pustaka yang tidak di-patch menimbulkan konsekuensi yang tidak dinginkan karena pihak yang tidak diketahui memanfaatkan kerentanan di dalamnya untuk mengakses beban kerja Anda.

• Anda melakukan patch pada lingkungan pengembangan secara otomatis tanpa memberi tahu pengembang. Anda menerima beberapa keluhan dari pengembang bahwa lingkungan mereka berhenti beroperasi sesuai dengan yang diharapkan.

• Anda belum menerapkan patch pada perangkat lunak komersial siap pakai di instans tetap. Ketika Anda mengalami masalah pada perangkat lunak dan menghubungi vendornya, Anda diberi tahu bahwa versi tersebut tidak didukung dan Anda harus melakukan patch pada tingkat tertentu untuk menerima bantuan.

• Patch yang baru-baru ini dirilis untuk perangkat lunak enkripsi yang Anda gunakan memiliki peningkatan kinerja yang signifikan. Sistem Anda yang tidak di-patch tetap memiliki masalah kinerja akibat tidak dilakukannya patching.

• Anda diberi tahu tentang kerentanan zero-day yang memerlukan perbaikan darurat dan Anda harus menerapkan patch pada semua lingkungan Anda secara manual.

Manfaat menjalankan praktik terbaik ini: Dengan menjalankan proses manajemen patch, termasuk kriteria Anda untuk patching dan metodologi untuk distribusi ke seluruh lingkungan Anda, Anda dapat menskalakan dan melaporkan tingkat patch. Ini memberikan jaminan seputar patching keamanan dan memastikan visibilitas yang jelas tentang status perbaikan yang diketahui sedang dilakukan. Hal ini mendorong adopsi fitur dan kemampuan yang diinginkan, penyingkiran masalah secara cepat, dan kepatuhan yang berkelanjutan terhadap tata kelola. Implementasikan sistem manajemen dan otomatisasi untuk mengurangi tingkat upaya untuk men-deploy patch dan mengurangi kesalahan yang disebabkan oleh proses manual.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Lakukan patch pada sistem untuk menyelesaikan masalah, untuk mendapatkan fitur atau kemampuan yang diinginkan, dan untuk tetap patuh terhadap kebijakan tata kelola serta persyaratan dukungan vendor. Pada sistem tetap, deploy dengan rangkaian patch yang sesuai untuk mencapai hasil yang diinginkan. Otomatiskan mekanisme manajemen patch untuk mengurangi waktu yang telah berlalu untuk melakukan patch, untuk mencegah kesalahan yang disebabkan oleh proses manual, dan mengurangi upaya dalam melakukan patch.

Langkah implementasi

Untuk Amazon EC2 Image Builder:

1. Menggunakan Amazon EC2 Image Builder, tentukan detail pipeline:

   1. Buat pipeline image dan beri nama

   2. Tentukan jadwal pipeline dan zona waktu

   3. Konfigurasikan dependensi apa pun

2. Pilih resep:

   1. Pilih resep yang sudah ada atau buat resep baru

   2. Pilih jenis image

   3. Beri nama dan versi resep Anda

   4. Pilih image dasar Anda

   5. Tambahkan komponen build dan tambahkan ke registri target

3. Opsional - tentukan konfigurasi infrastruktur Anda.

4. Opsional - tentukan pengaturan konfigurasi.

5. Tinjau pengaturan.

6. Pertahankan kebersihan resep secara teratur.

Untuk Systems Manager Patch Manager:

1. Buat dasar patch.

2. Pilih metode operasi patching.

3. Aktifkan pelaporan dan pemindaian kepatuhan.

Sumber daya

Praktik terbaik terkait:

• OPS06-BP04 Mengotomatiskan pengujian dan pengembalian (rollback)

Dokumen terkait:

• Apa itu Amazon EC2 Image Builder

• Buat pipeline image menggunakan Amazon EC2 Image Builder

• Buat pipeline image kontainer

• AWS Systems Manager Patch Manager

• Bekerja dengan Patch Manager

• Bekerja dengan laporan kepatuhan patch

• Alat Developer AWS

Video terkait:

• CI/CD untuk Aplikasi Nirserver di AWS

• Mendesain dengan Mempertimbangkan Operasional

  Contoh terkait:

• Well-Architected Labs - Manajemen Inventaris dan Patch

• Tutorial AWS Systems Manager Patch Manager