AWS Systems Manager Patch Manager

Patch Manager, uno strumento in AWS Systems Manager, automatizza il processo di applicazione di patch ai nodi gestiti sia con aggiornamenti relativi alla sicurezza che con altri tipi di aggiornamenti.

Nota

Systems Manager fornisce supporto per le policy di patch in Quick Setup, uno strumento di AWS Systems Manager. L'utilizzo delle policy di patch è il metodo consigliato per configurare le operazioni di applicazione di patch. Con una singola configurazione delle policy di patch, è possibile definire l'applicazione di patch per tutti gli account in tutte le regioni dell'organizzazione, per regioni e account selezionati o per una singola coppia account-regione. Per ulteriori informazioni, consulta Configurazioni delle policy di patch in Quick Setup.

È possibile utilizzare Patch Manager per applicare patch sia per i sistemi operativi sia per le applicazioni. (In Windows Server, il supporto delle applicazioni è limitato ai soli aggiornamenti delle applicazioni Microsoft). È possibile utilizzare Patch Manager per installare Service Pack nei nodi di Windows ed eseguire aggiornamenti di versione secondari sui nodi di Linux. Puoi applicare patch a flotte di istanze Amazon Elastic Compute Cloud EC2 (Amazon), dispositivi edge, server locali e macchine virtuali (VMs) in base al tipo di sistema operativo. Sono incluse le versioni supportate di diversi sistemi operativi, come elencato su Prerequisiti di Patch Manager. È possibile analizzare le istanze per visualizzare solo un report delle patch mancanti, oppure analizzare e installare automaticamente tutte le patch mancanti. Per iniziare a utilizzare Patch Manager, apri la console di Systems Manager. Nel pannello di navigazione, scegli Patch Manager.

AWS non testa le patch prima di renderle disponibili in. Patch Manager Inoltre, Patch Manager non supporta l'aggiornamento delle versioni principali dei sistemi operativi, ad esempio da Windows Server 2016 a Windows Server 2019, o da Red Hat Enterprise Linux (RHEL) 7.0 a RHEL 8.0.

Per i sistemi operativi basati su Linux che segnalano un livello di gravità per le patch, Patch Manager utilizza il livello di gravità riportato dal publisher del software per la notifica di aggiornamento o la singola patch. Patch Manager non ottiene i livelli di gravità da fonti di terze parti, come il CVSS (Common Vulnerability Scoring System), o dai parametri rilasciati dall'NVD (National Vulnerability Database).

Quali sono i vantaggi di Patch Manager per la mia organizzazione?

Patch Manager automatizza il processo di applicazione di patch ai nodi gestiti con aggiornamenti relativi alla sicurezza e di altro tipo. Fornisce diversi vantaggi:

• Controllo centralizzato dell'applicazione di patch: tramite le policy di patch, è possibile configurare operazioni di applicazione di patch ricorrenti per tutti gli account in tutte le Regioni dell'organizzazione, in account e Regioni specifici o in una singola coppia account-regione.

• Operazioni di applicazione di patch flessibili: è possibile scegliere di analizzare le istanze per visualizzare solo un report delle patch mancanti oppure analizzare e installare automaticamente tutte le patch mancanti.

• Esecuzione di report completi sulla conformità: dopo le operazioni di analisi, è possibile visualizzare informazioni dettagliate su quali nodi gestiti non sono conformi alle patch e quali patch mancano.

• Supporto multipiattaforma: Patch Manager supporta più sistemi operativi, tra cui varie distribuzioni Linux, macOS e Windows Server.

• Baseline delle patch personalizzate: è possibile definire ciò che costituisce la conformità delle patch per l'organizzazione tramite baseline delle patch personalizzate che specificano quali patch sono approvate per l'installazione.

• Integrazione con altri AWS servizi: Patch Manager si integra con AWS Organizations, AWS Security Hub CSPM AWS CloudTrail, e AWS Config per una gestione e una sicurezza avanzate.

• Aggiornamenti deterministici: supporto per gli aggiornamenti deterministici tramite repository con versioni per sistemi operativi come Amazon Linux 2023.

A chi è consigliato l'uso di Patch Manager?

Patch Manager è progettato per i seguenti casi d'uso:

• Amministratori IT che devono mantenere la conformità delle patch in tutto il parco istanze di nodi gestiti;

• Responsabili delle operazioni che necessitano di visibilità sullo stato di conformità delle patch nell'intera infrastruttura;

• Architetti del cloud che desiderano implementare soluzioni di applicazione di patch automatizzate su larga scala;

• DevOps ingegneri che devono integrare l'applicazione delle patch nei propri flussi di lavoro operativi

• Organizzazioni che effettuano implementazioni con più account/più Regioni che necessitano di una gestione centralizzata delle patch;

• Chiunque sia responsabile del mantenimento del livello di sicurezza e dell'integrità operativa dei nodi AWS gestiti, dei dispositivi perimetrali, dei server locali e delle macchine virtuali

Quali sono le funzionalità principali di Patch Manager?

Patch Manager offre diverse funzionalità chiave:

• Politiche di patch: configura le operazioni di applicazione delle patch in più Account AWS regioni utilizzando un'unica politica tramite l'integrazione con. AWS Organizations

• Baseline delle patch personalizzate: definisci regole per l'approvazione automatica delle patch entro pochi giorni dalla relativa pubblicazione, nonché un elenco delle patch approvate e rifiutate.

• Diversi metodi di applicazione di patch: scegli tra policy di patch, finestre di manutenzione oppure operazioni "Applica patch ora" su richiesta, per soddisfare le tue esigenze specifiche.

• Esecuzione di report di conformità: genera report dettagliati sullo stato di conformità delle patch da inviare a un bucket Amazon S3 in formato CSV.

• Supporto multipiattaforma: applica patch sia ai sistemi operativi che alle applicazioni a Windows Server, su varie distribuzioni Linux e macOS.

• Flessibilità di pianificazione: imposta pianificazioni diverse per l'analisi e l'installazione delle patch utilizzando espressioni CRON o della frequenza personalizzate.

• Hook del ciclo di vita: esegui script personalizzati prima e dopo le operazioni di applicazione di patch utilizzando i documenti di Systems Manager.

• Attenzione alla sicurezza: per impostazione predefinita, Patch Manager si concentra sugli aggiornamenti relativi alla sicurezza anziché sull'installazione di tutte le patch disponibili.

• Controllo della frequenza: configura le soglie di concorrenza e di errore nelle operazioni di applicazione di patch per ridurre al minimo l'impatto operativo.

In cosa consiste la conformità in Patch Manager?

Il benchmark per ciò che costituisce la conformità delle patch per i nodi gestiti nelle flotte di Systems Manager non è definito dai AWS fornitori di sistemi operativi (OS) o da terze parti come le società di consulenza sulla sicurezza.

Al contrario, è l'utente che definisce cosa significa conformità delle patch per i nodi gestiti nell'organizzazione o nell'account in una baseline delle patch. Una baseline delle patch è una configurazione che specifica le regole per le quali le patch devono essere installate su un nodo gestito. Un nodo gestito è conforme alle patch quando è aggiornato con tutte le patch che soddisfano i criteri di approvazione specificati nella baseline delle patch.

Tieni presente che essere conforme a baseline delle patch non significa che un nodo gestito sia necessariamente sicuro. Conforme significa che le patch definite dalla baseline delle patch, che siano disponibili o approvate, sono state installate sul nodo. La sicurezza complessiva di un nodo gestito è determinata da molti fattori che non rientrano nell'ambito di Patch Manager. Per ulteriori informazioni, consulta Sicurezza in AWS Systems Manager.

Ogni baseline delle patch è una configurazione per uno specifico tipo di sistema operativo (OS) supportato, ad esempio Red Hat Enterprise Linux (RHEL) macOS o Windows Server. Una baseline delle patch può definire le regole di applicazione di patch per tutte le versioni supportate di un sistema operativo o essere limitata solo a quelle specificate dall'utente, ad esempio RHEL 7.8. e RHEL 9.3.

In una baseline delle patch, è possibile specificare che tutte le patch con specifici classificazioni e livelli di gravità siano approvate per l'installazione. Ad esempio, è possibile includere tutte le patch classificate come Security, ma escludere altre classificazioni, come Bugfix o Enhancement. È inoltre possibile includere tutte le patch con una gravità pari a Critical ed escluderne altre, ad esempio Important e Moderate.

Puoi anche definire le patch in modo esplicito in una patch baseline aggiungendole IDs a elenchi di patch specifiche da approvare o rifiutare, ad esempio per KB2736693 o Windows Server per dbus.x86_64:1:1.12.28-1.amzn2023.0.1 Amazon Linux 2023 (023). AL2 Facoltativamente, puoi specificare un certo numero di giorni di attesa per l'applicazione delle patch dopo che una patch diventa disponibile. Per Linux e macOS, è possibile specificare un elenco esterno di patch per la conformità (un elenco "Installa sovrascrivi") anziché quelle definite dalle regole della baseline delle patch.

Quando viene eseguita un'operazione di applicazione di patch, Patch Manager confronta le patch attualmente applicate a un nodo gestito con quelle da applicare in base alle regole configurate nella baseline delle patch. È possibile impostare Patch Manager in modo che mostri soltanto un report delle patch mancanti (un'operazione Scan) oppure Patch Manager può installare automaticamente tutte le patch mancanti in un nodo gestito (un'operazione Scan and install).

Nota

I dati sulla conformità delle patch rappresentano un' point-in-timeistantanea dell'ultima operazione di patching riuscita. Ogni rapporto di conformità contiene un orario di acquisizione che identifica quando è stato calcolato lo stato di conformità. Quando esamini i dati di conformità, considera il tempo di acquisizione per determinare se l'operazione è stata eseguita come previsto.

Patch Manager fornisce baseline delle patch predefinite che è possibile utilizzare per le operazioni di applicazione di patch; tuttavia, queste configurazioni predefinite vengono fornite come esempi e non come best practice consigliate. Ti consigliamo di creare baseline delle patch personalizzate per le tue patch, così potrai esercitare un maggiore controllo su ciò che costituisce la conformità delle patch per il tuo parco istanze.

Per ulteriori informazioni sulle baseline delle patch, consulta i seguenti argomenti:

• Baseline delle patch predefinite e personalizzate

• Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate

• Visualizzazione di base di patch predefinite AWS

• Utilizzo delle basi di patch personalizzate

• Utilizzo dei report sulla conformità delle patch

Componenti principali

Prima di iniziare a utilizzare lo strumento Patch Manager, è necessario acquisire familiarità con alcuni componenti e funzionalità principali delle operazioni di applicazione di patch dello strumento.

Baseline delle patch

Patch Manager utilizza baseline delle patch che includono regole per l'approvazione automatica di patch entro pochi giorni dalla relativa pubblicazione, oltre a un elenco delle patch approvate e rifiutate. Quando viene eseguita un'operazione di applicazione di patch, Patch Manager confronta le patch attualmente applicate a un nodo gestito con quelle da applicare in base alle regole configurate nella baseline delle patch. È possibile impostare Patch Manager in modo che mostri soltanto un report delle patch mancanti (un'operazione Scan) oppure Patch Manager può installare automaticamente tutte le patch mancanti in un nodo gestito (un'operazione Scan and install).

Metodi operativi di applicazione di patch

Patch Manager offre attualmente quattro metodi per eseguire operazioni Scan e Scan and install:

• (Consigliato) Una politica di patch configurata inQuick Setup: in base all'integrazione con AWS Organizations, una singola policy di patch può definire i piani di applicazione delle patch e le linee di base delle patch per un'intera organizzazione, Regioni AWS compresi i diversi Account AWS account in cui operano. Una policy di patch può inoltre riguardare solo alcune unità organizzative (OUs) di un'organizzazione. È possibile utilizzare un'unica policy di patch per eseguire l'analisi e l'installazione in base a pianificazioni diverse. Per ulteriori informazioni, consultare Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup e Configurazioni delle policy di patch in Quick Setup.

• Un'opzione di gestione degli host configurata in Quick Setup — Le configurazioni di Host Management sono supportate anche dall'integrazione con AWS Organizations, che consente di eseguire un'operazione di patching per un massimo di un'intera organizzazione. Tuttavia, questa opzione si limita alla ricerca delle patch mancanti utilizzando l'attuale baseline delle patch predefinita e fornendo esiti nei report di conformità. Questo metodo operativo non è in grado di installare patch. Per ulteriori informazioni, consulta Impostare la gestione host Amazon EC2 utilizzando Quick Setup.

• Una finestra di manutenzione per eseguire un'attività di Scan o Install di patch è una finestra di manutenzione configurabile nello strumento di Systems Manager chiamato Maintenance Windows. Questa configurazione serve a eseguire diversi tipi di attività secondo una pianificazione definita dall'utente. Un'attività di tipo Run Command viene utilizzata per eseguire processi Scan o Scan and install in un set di nodi gestiti di tua scelta. Ogni attività della finestra di manutenzione può indirizzare i nodi gestiti in una sola coppia Account AWS.Regione AWS Per ulteriori informazioni, consulta Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console.

• Un'operazione Patch now (Applica subito una patch) on demand in Patch Manager. L'opzione Patch now (Applica subito una patch) consente di ignorare le impostazioni di pianificazione quando è necessario applicare patch ai nodi gestiti il più rapidamente possibile. Con Patch now (Applica subito una patch), è possibile specificare se eseguire l'operazione Scan o Scan and install e scegliere i nodi gestiti sui cui eseguirla. È possibile inoltre scegliere di eseguire i documenti Systems Manager (documenti SSM) come hook del ciclo di vita durante l'applicazione di patch. Ogni operazione Patch ora può indirizzare i nodi gestiti in una sola Account AWSRegione AWS coppia. Per ulteriori informazioni, consulta Patching dei nodi gestiti on demand.

Creazione di report di conformità

Dopo un'operazione Scan, è possibile utilizzare la console di Systems Manager per visualizzare le informazioni relative ai nodi gestiti che non sono conformi alle patch e alle patch mancanti per ciascun nodo. È possibile anche generare report di conformità alle patch in formato .csv inviati a un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare report una tantum o generare report in base a una pianificazione regolare. Per un singolo nodo, i report includono dettagli di tutte le patch per il nodo. Per un report su tutti i nodi gestiti, viene fornito solo un riepilogo del numero di patch mancanti. Dopo aver generato un report, puoi utilizzare uno strumento come Amazon Quick Suite per importare e analizzare i dati. Per ulteriori informazioni, consulta Utilizzo dei report sulla conformità delle patch.

Nota

Un elemento di conformità generato tramite l'uso di una policy di patch ha un tipo di esecuzione PatchPolicy. Un elemento di conformità non generato in un'operazione di policy di patch presenta un tipo di esecuzione Command.

Integrazioni

Patch Managersi integra con le seguenti altre: Servizi AWS

• AWS Identity and Access Management (IAM): utilizza IAM per controllare quali utenti, gruppi e ruoli hanno accesso alle Patch Manager operazioni. Per ulteriori informazioni, consulta Funzionamento di AWS Systems Manager con IAM e Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager.

• AWS CloudTrail— CloudTrail Da utilizzare per registrare una cronologia verificabile degli eventi delle operazioni di patching avviati da utenti, ruoli o gruppi. Per ulteriori informazioni, consulta Registrazione delle chiamate API AWS Systems Manager con AWS CloudTrail.

• AWS Security Hub CSPM— I dati sulla conformità delle patch Patch Manager possono essere inviati a. AWS Security Hub CSPM Security Hub CSPM offre una visione completa degli avvisi di sicurezza ad alta priorità e dello stato di conformità. Monitora anche lo stato di applicazione di patch del parco istanze. Per ulteriori informazioni, consulta Integrazione di Patch Manager con AWS Security Hub CSPM.

• AWS Config— Configura la registrazione AWS Config per visualizzare i dati di gestione delle EC2 istanze Amazon nella Patch Manager dashboard. Per ulteriori informazioni, consulta Visualizzazione dei riepiloghi del pannello di controllo delle patch.

Argomenti

• Configurazioni delle policy di patch in Quick Setup

• Prerequisiti di Patch Manager

• Come Patch Manager funzionano le operazioni

• Documenti sul comando SSM per l'applicazione di patch a nodi gestiti

• Patch di base

• Utilizzo di Kernel Live Patching su nodi gestiti Amazon Linux 2

• Utilizzo delle risorse di Patch Manager e della conformità tramite la console

• Lavorare con le risorse di Patch Manager utilizzando AWS CLI

• tutorial AWS Systems Manager Patch Manager

• Risoluzione dei problemi relativi a Patch Manager