OPS05-BP05 Eseguire la gestione delle patch

La gestione delle patch consente di ottenere funzionalità, risolvere problemi e rispettare i requisiti di governance. Automatizza la gestione delle patch per ridurre gli errori causati dai processi manuali, dimensionare e ridurre il livello di impegno richiesto per applicare le patch.

La gestione delle patch e delle vulnerabilità fa parte delle attività di gestione dei rischi e dei vantaggi. È preferibile disporre di infrastrutture immutabili e distribuire carichi di lavoro in stati noti verificati. Se ciò non è realizzabile, l'applicazione di patch sul posto è l'alternativa.

Amazon EC2 Image Builder fornisce pipeline per aggiornare le immagini delle macchine. Come parte della gestione delle patch, considera Amazon Machine Images (AMIs) che utilizza una pipeline di AMI immagini o immagini di container con una pipeline di immagini Docker, AWS Lambda fornendo al contempo modelli per runtime personalizzati e librerie aggiuntive per rimuovere le vulnerabilità.

È necessario gestire gli aggiornamenti delle immagini di Amazon Machine Images per Linux o Windows Server utilizzando Amazon EC2 Image Builder. Puoi utilizzare Amazon Elastic Container Registry (AmazonECR) con la tua pipeline esistente per gestire ECS le immagini Amazon e gestire le EKS immagini Amazon. Lamba offre funzionalità di gestione delle versioni.

L'applicazione di patch non deve essere eseguita sui sistemi di produzione senza prima eseguire test in un ambiente sicuro. Le patch devono essere applicate solo se supportano risultati operativi o aziendali. È possibile utilizzare AWS Systems Manager Patch Manager per automatizzare il processo di applicazione delle patch ai sistemi gestiti e pianificare l'attività utilizzando Systems Manager Maintenance Windows. AWS

Risultato desiderato: le tue immagini AMI e quelle del contenitore sono state patchate e pronte per il lancio. up-to-date È possibile tenere traccia dello stato di tutte le immagini implementate e conoscere la conformità delle patch. Puoi eseguire report sullo stato attuale e disporre di un processo per soddisfare le tue esigenze di conformità.

Anti-pattern comuni:

• Ti viene assegnato il compito di applicare tutte le nuove patch di sicurezza entro 2 ore, il che provoca più interruzioni a causa dell'incompatibilità dell'applicazione con le patch.

• Una libreria senza patch comporta conseguenze indesiderate in quanto parti sconosciute utilizzano vulnerabilità al suo interno per accedere al carico di lavoro.

• L'applicazione di patch agli ambienti per sviluppatori viene eseguita automaticamente senza avvisare gli sviluppatori. Gli sviluppatori ti inviano più reclami perché il loro ambiente non funziona come previsto.

• Non hai applicato una patch al off-the-shelf software commerciale su un'istanza persistente. Quando hai problemi con il software e contatti il fornitore, questo ti informa che la versione non è supportata e che devi applicare le patch a un livello specifico per ricevere assistenza.

• Una patch rilasciata di recente per il software di crittografia utilizzato offre miglioramenti significativi in termini di prestazioni. Il sistema privo di patch presenta problemi di prestazioni che rimangono in vigore a causa della mancata applicazione di patch.

• Ricevi una notifica di una vulnerabilità zero-day che richiede una correzione di emergenza; quindi devi applicare manualmente le patch a tutti i tuoi ambienti.

Vantaggi dell'adozione di questa best practice: stabilendo un processo di gestione delle patch, inclusi i criteri per l'applicazione di patch e la metodologia di distribuzione tra gli ambienti, sarai in grado di dimensionare e generare report sui livelli di patch. Ciò fornisce garanzie sull'applicazione delle patch di sicurezza e una chiara visibilità sullo stato delle correzioni note in atto. Ciò incoraggia l'adozione delle caratteristiche e funzionalità desiderate, aiuta a eliminare rapidamente i problemi e a mantenere la conformità alla governance. Implementa sistemi di gestione delle patch e automazione per ridurre il livello di impegno per distribuire le patch e limitare gli errori causati dai processi manuali.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

Applica patch ai sistemi per correggere gli errori, ottenere le funzionalità o le capacità desiderate e assicurare la conformità alle policy di governance e ai requisiti di supporto del fornitore. Nei sistemi immutabili, distribuisci con il set di patch appropriato per raggiungere il risultato desiderato. Automatizza il meccanismo di gestione delle patch per ridurre il tempo necessario per applicare le patch, evitare gli errori causati dai processi manuali e diminuire il livello di impegno richiesto per applicare le patch.

Passaggi dell'implementazione

Per Amazon EC2 Image Builder:

1. Utilizzando Amazon EC2 Image Builder, specifica i dettagli della pipeline:

   1. Crea una pipeline di immagini e assegnale un nome.

   2. Definisci la pianificazione e il fuso orario della pipeline.

   3. Configura eventuali dipendenze.

2. Scegli una ricetta:

   1. Seleziona una ricetta esistente o creane una nuova.

   2. Seleziona il tipo di immagine.

   3. Assegna un nome e una versione alla tua ricetta.

   4. Seleziona l'immagine di base.

   5. Aggiungi componenti di compilazione e inseriscili nel registro di destinazione.

3. Facoltativo: definisci la configurazione dell'infrastruttura.

4. Facoltativo: definisci le impostazioni di configurazione.

5. Verifica le impostazioni.

6. Mantieni il livello di igiene delle ricette a livelli ottimali.

Per Gestione patch di Systems Manager:

1. Crea una baseline delle patch.

2. Seleziona un metodo di applicazione delle patch.

3. Abilita il report e la scansione della conformità.

Risorse

Best practice correlate:

• OPS06-BP04 Automatizza i test e il rollback

Documenti correlati:

• Cos'è Amazon EC2 Image Builder

• Crea una pipeline di immagini utilizzando Amazon EC2 Image Builder

• Create a container image pipeline

• AWS Systems Manager Patch Manager

• Working with Patch Manager

• Working with patch compliance reports

• AWS Strumenti per sviluppatori

Video correlati:

• CI/CD per applicazioni serverless su AWS

• Design with Ops in Mind

  Esempi correlati:

• Well-Architected Labs: inventario e gestione delle patch

• AWS Systems Manager Tutorial Patch Manager