OPS05-BP05 Esecuzione della gestione delle patch - Framework AWSWell-Architected
Guida all'implementazioneRisorse

OPS05-BP05 Esecuzione della gestione delle patch

La gestione delle patch consente di ottenere funzionalità, risolvere problemi e rispettare i requisiti di governance. Automatizza la gestione delle patch per ridurre gli errori causati dai processi manuali, dimensionare e ridurre il livello di impegno richiesto per applicare le patch.

La gestione delle patch e delle vulnerabilità fa parte delle attività di gestione dei rischi e dei vantaggi. È preferibile disporre di infrastrutture immutabili e distribuire carichi di lavoro in stati noti verificati. Se ciò non è realizzabile, l'applicazione di patch sul posto è l'alternativa.

Amazon EC2 Image Builder offre pipeline per l'aggiornamento delle immagini delle macchine. Nell'ambito della gestione delle patch, prendi in considerazione Amazon Machine Image (AMI) che utilizza una pipeline di immagini AMI o immagini di container con una pipeline di immagini Docker, mentre AWS Lambda fornisce modelli per runtime personalizzati e librerie aggiuntive in modo da rimuovere le vulnerabilità.

Dovresti gestire gli aggiornamenti di Amazon Machine Image per le immagini di Linux o Windows server mediante Amazon EC2 Image Builder. Puoi utilizzare Amazon Elastic Container Registry (Amazon ECR) con la pipeline esistente per la gestione delle immagini Amazon ECS e Amazon EKS. Lamba offre funzionalità di gestione delle versioni.

L'applicazione di patch non deve essere eseguita sui sistemi di produzione senza prima eseguire test in un ambiente sicuro. Le patch devono essere applicate solo se supportano risultati operativi o aziendali. AWS offre AWS Systems Manager Patch Manager per automatizzare il processo di applicazione delle patch ai sistemi gestiti e pianificare l'attività mediante le finestre di manutenzione di Systems Manager.

Risultato desiderato: le immagini AMI e dei container sono aggiornate, dotate di patch e pronte per il lancio. È possibile tenere traccia dello stato di tutte le immagini implementate e conoscere la conformità delle patch. Puoi eseguire report sullo stato attuale e disporre di un processo per soddisfare le tue esigenze di conformità.

Anti-pattern comuni:

  • Ti viene assegnato il compito di applicare tutte le nuove patch di sicurezza entro 2 ore, il che provoca più interruzioni a causa dell'incompatibilità dell'applicazione con le patch.

  • Una libreria senza patch comporta conseguenze indesiderate in quanto parti sconosciute utilizzano vulnerabilità al suo interno per accedere al carico di lavoro.

  • L'applicazione di patch agli ambienti per sviluppatori viene eseguita automaticamente senza avvisare gli sviluppatori. Gli sviluppatori ti inviano più reclami perché il loro ambiente non funziona come previsto.

  • Non hai applicato patch al software pronto all'uso commerciale su un'istanza persistente. Quando hai problemi con il software e contatti il fornitore, questo ti informa che la versione non è supportata e che devi applicare le patch a un livello specifico per ricevere assistenza.

  • Una patch rilasciata di recente per il software di crittografia utilizzato offre miglioramenti significativi in termini di prestazioni. Il sistema privo di patch presenta problemi di prestazioni che rimangono in vigore a causa della mancata applicazione di patch.

  • Ricevi una notifica di una vulnerabilità zero-day che richiede una correzione di emergenza; quindi devi applicare manualmente le patch a tutti i tuoi ambienti.

Vantaggi dell'adozione di questa best practice: stabilendo un processo di gestione delle patch, inclusi i criteri per l'applicazione di patch e la metodologia di distribuzione tra gli ambienti, sarai in grado di dimensionare e generare report sui livelli di patch. Ciò fornisce garanzie sull'applicazione delle patch di sicurezza e una chiara visibilità sullo stato delle correzioni note in atto. Ciò incoraggia l'adozione delle caratteristiche e funzionalità desiderate, aiuta a eliminare rapidamente i problemi e a mantenere la conformità alla governance. Implementa sistemi di gestione delle patch e automazione per ridurre il livello di impegno per distribuire le patch e limitare gli errori causati dai processi manuali.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

Applica patch ai sistemi per correggere gli errori, ottenere le funzionalità o le capacità desiderate e assicurare la conformità alle policy di governance e ai requisiti di supporto del fornitore. Nei sistemi immutabili, distribuisci con il set di patch appropriato per raggiungere il risultato desiderato. Automatizza il meccanismo di gestione delle patch per ridurre il tempo necessario per applicare le patch, evitare gli errori causati dai processi manuali e diminuire il livello di impegno richiesto per applicare le patch.

Passaggi dell'implementazione

Per Amazon EC2 Image Builder:

  1. Specifica i dettagli della pipeline utilizzando Amazon EC2 Image Builder:

    1. Crea una pipeline di immagini e assegnale un nome.

    2. Definisci la pianificazione e il fuso orario della pipeline.

    3. Configura eventuali dipendenze.

  2. Scegli una ricetta:

    1. Seleziona una ricetta esistente o creane una nuova.

    2. Seleziona il tipo di immagine.

    3. Assegna un nome e una versione alla tua ricetta.

    4. Seleziona l'immagine di base.

    5. Aggiungi componenti di compilazione e inseriscili nel registro di destinazione.

  3. Facoltativo: definisci la configurazione dell'infrastruttura.

  4. Facoltativo: definisci le impostazioni di configurazione.

  5. Verifica le impostazioni.

  6. Mantieni il livello di igiene delle ricette a livelli ottimali.

Per Gestione patch di Systems Manager:

  1. Crea una baseline delle patch.

  2. Seleziona un metodo per le operazioni di definizione del percorso.

  3. Abilita il report e la scansione della conformità.

Risorse

Best practice correlate:

Documenti correlati:

Video correlati: