Panoramica della gestione delle patch - AWS Guida prescrittiva
Termini e concettiStorie chiave degli utenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica della gestione delle patch

Se siete coinvolti in operazioni di applicazioni o infrastrutture, comprendete l'importanza di una soluzione di patch del sistema operativo (OS) sufficientemente flessibile e scalabile da soddisfare i diversi requisiti dei team applicativi. In un'organizzazione tipica, alcuni team applicativi utilizzano un'architettura che coinvolge istanze immutabili mentre altri distribuiscono le loro applicazioni su istanze mutabili.

L'applicazione di patch alle istanze immutabili implica l'applicazione delle patch alle Amazon Machine Images (AMI) utilizzate per fornire le istanze immutabili dell'applicazione EC2. L'applicazione di patch alle istanze mutabili implica la distribuzione di patch in loco alle istanze in esecuzione durante una finestra di manutenzione pianificata.

Questa guida prescrittiva descrive come utilizzareAWS Systems Manager Patch Manager per applicare patch a istanze mutabili che si estendono su piùAWS account eAWS regioni in modo automatico, in base alle finestre di manutenzione e ai gruppi di patch definiti dai team dell'applicazione sui propri server tramite tag.

La guida descrive una soluzione di patch automatizzata che consente diAWS Lambda automatizzare le configurazioni e la pianificazione delle patch, utilizzando Patch Manager e finestre di manutenzione. Amazon QuickSight offre le funzionalità di reporting e dashboard necessarie per segnalare la conformità delle patch.

Inoltre, questa guida descrive un'architettura di riferimento per ambienti cloud ibridi. Gli utenti che eseguono le proprie applicazioni in una configurazione cloud ibrida cercano opportunità per consolidare, semplificare, standardizzare e ottimizzare le operazioni di gestione delle patch all'AWSinterno dell'infrastruttura locale. La guida spiega come la soluzione di patch automatizzata per istanze mutabili può essere estesa per supportare scenari di cloud ibrido.

Questa guida descrive:

  • Storie chiave degli utenti per la gestione delle patch

  • Il processo di patching

  • Gestione delle patch per istanze mutabili in un unico account e in un'unicaAWS regione; considerazioni e limitazioni architettoniche

  • Gestione delle patch per istanze mutabili in un ambiente con più account e più regioni; considerazioni e limitazioni architettoniche

  • Gestione delle patch per istanze locali in un ambiente cloud ibrido; considerazioni e limitazioni architettoniche

  • Principali stakeholder, ruoli e responsabilità

Nota

Questa guida descrive un'architettura per una soluzione automatizzata (denominata soluzione di patching automatizzata) che è possibile implementare per supportare i requisiti di gestione delle patch per le istanze mutabili. Non fornisce il codice per creare la soluzione.

Termini e concetti

Termine Definizione

Istanze immutabili

Le istanze immutabili sono istanze del server EC2 che non subiscono alcuna modifica durante l'esecuzione. Se sono necessarie modifiche, si crea una nuova istanza con l'immagine del server aggiornata, si ridistribuisce l'istanza e si distrugge l'immagine del server esistente.

Linea di base delle patch

Una patch di base è specifica per un tipo di sistema operativo e definisce l'elenco delle patch approvate per l'installazione sulle istanze. Per ulteriori informazioni, vedere Informazioni sulle baseline delle patch predefinite e personalizzate nella documentazione di Systems Manager.

Gruppo di patch

Un gruppo di patch rappresenta i server all'interno di un ambiente applicativo che sono obiettivi di una specifica baseline di patch. I gruppi di patch garantiscono che le basi di patch corrette siano distribuite al set di istanze corretto. Inoltre aiutano a evitare l'installazione di patch prima che siano state adeguatamente testate. I gruppi di patch sono rappresentati dal tag Patch Group. Per ulteriori informazioni, vedere Informazioni sui gruppi di patch nella documentazione di Systems Manager.

Maintenance window (Finestra di manutenzione)

Le finestre di manutenzione consentono di definire una pianificazione dei periodi in cui eseguire operazioni potenzialmente problematiche sulle istanze, ad esempio l'applicazione di patch al sistema operativo, l'aggiornamento di driver o l'installazione di software o patch. Ogni finestra di manutenzione include una pianificazione, una durata massima, un set di istanze target registrate e un set di attività registrate. Le finestre di manutenzione sono rappresentate dal tag Maintenance Window. Per ulteriori informazioni, vedere Informazioni sulla pianificazione delle patch utilizzando le finestre di manutenzione nella documentazione di Systems Manager.

Storie chiave degli utenti

Il tipico processo di patching del sistema operativo prevede tre attività:

  1. Scansione delle istanze EC2 e dei server locali alla ricerca di patch del sistema operativo applicabili.

  2. Raggruppamento e applicazione delle patch alle istanze in un momento opportuno.

  3. Segnalazione della conformità delle patch in tutto l'ambiente server.

La tabella seguente seguente seguente seguente seguente seguente seguente seguente seguente seguente seguente seguente seguente seguente seguente seguente seguente.

Scenario Ruolo dell'utente Descrizione

Meccanismo di riparazione

Team di sviluppo/supporto delle applicazioni

In qualità di membro del team applicativo responsabile dell'applicazione delle patch del sistema operativo, ho bisogno di un meccanismo per correggere le mie istanze modificabili o in esecuzione da lungo tempo, in modo da poter mitigare eventuali vulnerabilità di sicurezza del sistema operativo e garantire anche che le istanze siano conformi alla linea di base di patch definita dal team di sicurezza.

Soluzione di patching

Proprietario del servizio cloud

In qualità di proprietario di servizi cloud responsabile della fornitura di servizi cloud ai team applicativi, devo creare una soluzione di patch del sistema operativo che supporti piùAWS account eAWS regioni, nonché server locali, in modo che i team applicativi possano mitigare eventuali vulnerabilità di sicurezza del sistema operativo e rimanere conformi alla linea di base per l'applicazione delle patch definita dal team di sicurezza.

Rapporti di conformità relativi alle patch

Responsabile delle operazioni di sicurezza

In qualità di responsabile delle operazioni di sicurezza responsabile della conformità delle patch, ho bisogno di report e informazioni dettagliati sulla conformità delle patch in tutto il panorama cloud, in modo da poter identificare i server che non sono conformi alla linea di base delle patch e avvisare i team per implementare la mitigazione richiesta.

Definizione di ruoli e responsabilità

Proprietario del servizio cloud

In qualità di proprietario di un servizio cloud, devo creare una matrice di ruoli e responsabilità ben definita che spieghi chi fa cosa nella gestione della soluzione di patching sul cloud ibrido che ho creato, in modo che gli obblighi relativi alle operazioni di patch siano pubblicati e rispettati.