AWS Systems Manager Patch Manager
AWS Systems Manager의 기능인 Patch Manager는 보안 관련 업데이트 및 기타 유형의 업데이트로 관리형 노드를 패치하는 프로세스를 자동화합니다.
중요
2022년 12월 22일부터 Systems Manager는 AWS Systems Manager의 기능인 Quick Setup에서 패치 정책을 지원합니다. 패치 정책을 사용하는 것이 패치 작업을 구성하는 데 권장되는 방법입니다. 단일 패치 정책 구성을 사용하여 조직 내 모든 리전의 모든 계정이나, 선택한 계정 및 리전이나, 단일 계정-리전 페어에 대한 패치 적용을 정의할 수 있습니다. 자세한 내용은 Quick Setup의 패치 정책 구성 단원을 참조하십시오.
Patch Manager를 사용하면 운영 체제와 애플리케이션 모두를 패치할 수 있습니다. (Windows Server에서 애플리케이션 지원은 Microsoft에서 릴리스한 애플리케이션의 업데이트로 제한됩니다.) Patch Manager를 사용하여 Windows 노드에 서비스 팩을 설치하고 Linux 노드에서 부 버전 업그레이드를 실행할 수 있습니다. 운영 체제 유형별로 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 엣지 디바이스, 온프레미스 서버 및 가상 머신의 플릿에 패치를 적용할 수 있습니다. 여기에는 Patch Manager 필수 조건에 나와 있는 여러 운영 체제의 지원되는 버전이 포함됩니다. 인스턴스를 스캔하여 누락된 패치 보고서만 보거나, 혹은 스캔 후 누락된 패치를 모두 자동으로 설치할 수도 있습니다. Patch Manager를 시작하려면 Systems Manager 콘솔
참고
AWS는 Patch Manager에서 사용 가능성 여부를 확인하기 전에는 패치를 테스트하지 않습니다. 또한 Patch Manager는 주요 버전의 운영 체제 업그레이드를 지원하지 않습니다(예: Windows Server 2016에서 Windows Server 2019로 또는 (SUSE Linux Enterprise Server)(SLES) 12.0에서 SLES 15.0으로).
패치의 심각도 수준을 보고하는 Linux 기반 운영 체제 유형의 경우 Patch Manager는 업데이트 알림 또는 개별 패치에 대해 소프트웨어 게시자가 보고한 심각도 수준을 사용합니다. Patch Manager는 CVSS(Common Vulnerability Scoring System
패치 기준
Patch Manager는 승인 및 거부된 패치 목록(선택 사항)과 함께 릴리스 후 며칠 내에 패치를 자동 승인하는 규칙을 포함하는 패치 기준선을 사용합니다. 패치 작업이 실행되면 Patch Manager는 관리형 노드에 현재 적용된 패치를 패치 기준선에 설정된 규칙에 따라 적용해야 하는 패치와 비교합니다. Patch Manager가 누락된 패치에 대한 보고서만 표시하도록 선택하거나(Scan
작업), Patch Manager가 관리형 노드에서 누락된 모든 패치를 자동으로 설치하도록 선택할 수 있습니다(Scan and install
작업).
패치 작업 방법
Patch Manager는 현재 실행 Scan
및 Scan
and install
작업을 위한 네 가지 방법을 제공합니다.
-
(권장) Quick Setup에 구성된 패치 정책 - AWS Organizations와의 통합을 기반으로 하는 단일 패치 정책으로 여러 AWS 계정 계정 및 해당 계정을 운영하는 모든 AWS 리전 계정을 비롯하여 전체 조직의 패치 적용 일정과 패치 기준선을 정의할 수 있습니다. 패치 정책은 조직의 일부 조직 단위(OU)만 대상으로 할 수도 있습니다. 단일 패치 정책을 사용하여 다양한 일정에 따라 스캔하고 설치할 수 있습니다. 자세한 내용은 Quick Setup을 사용한 조직 내 인스턴스에 대한 패치 적용 구성 및 Quick Setup의 패치 정책 구성 단원을 참조하세요.
-
Quick Setup에 구성된 호스트 관리 옵션 - 호스트 관리 구성도 AWS Organizations와의 통합을 통해 지원되므로, 최대 전체 조직을 대상으로 패치 작업을 실행할 수 있습니다. 단, 이 옵션은 현재 기본 패치 기준선을 사용하여 누락된 패치를 스캔하고 규정 준수 보고서에 결과를 제공하는 것으로 제한됩니다. 이 작업 방법으로 패치를 설치할 수는 없습니다. 자세한 내용은 Quick Setup을 사용한 Amazon EC2 호스트 관리 설정 단원을 참조하십시오.
-
패치
Scan
또는Install
태스크를 실행하기 위한 유지 관리 기간 - Maintenance Windows라는 Systems Manager 기능에서 설정하는 유지 관리 기간은 사용자가 정의한 일정에 따라 다양한 유형의 태스크를 실행하도록 구성할 수 있습니다. Run Command 유형 태스크는 선택한 관리형 노드 세트에 대해Scan
또는Scan and install
태스크를 실행하는 데 사용할 수 있습니다. 각 유지 관리 기간 태스크는 단일 AWS 계정-AWS 리전 쌍의 관리형 노드만 대상으로 할 수 있습니다. 자세한 내용은 자습서: 콘솔을 사용하여 패치를 위한 유지 관리 기간 생성 단원을 참조하십시오. -
Patch Manager의 주문형 지금 패치 작업 - 지금 패치 옵션을 사용하면 관리형 노드에 최대한 빨리 패치를 적용해야 할 때 설정된 일정을 무시할 수 있습니다. Patch now(지금 패치)를 사용하여,
Scan
또는Scan and install
작업을 실행할지 여부와 작업을 실행할 대상 관리형 노드를 지정합니다. 패치 작업 중에 Systems Manager 문서(SSM 문서)를 수명 주기 후크로 실행하도록 선택할 수도 있습니다. 각각의 Patch now(지금 패치) 작업은 단일 AWS 계정-AWS 리전 쌍의 관리형 노드만 대상으로 할 수 있습니다. 자세한 내용은 관리형 노드 온디맨드 패치 단원을 참조하십시오.
규정 준수 보고
Scan
작업이 끝나면 Systems Manager 콘솔을 사용하여 어떤 관리형 노드가 패치 규정을 위반하지 않는지, 그리고 각 노드에서 어떤 패치가 누락되었는지에 대한 정보를 확인할 수 있습니다. 선택한 Amazon Simple Storage Service(S3) 버킷으로 전송되는 패치 규정 준수 보고서를 .csv 형식으로 생성할 수도 있습니다. 일회성 보고서를 생성하거나 정기적인 일정에 따라 보고서를 생성할 수 있습니다. 단일 관리형 노드의 경우 보고서에 노드에 대한 모든 패치의 세부 정보가 포함됩니다. 모든 관리형 노드에 대한 보고서의 경우 누락된 패치 수에 대한 요약만 제공됩니다. 보고서가 생성된 후 Amazon QuickSight와 같은 도구를 사용하여 데이터를 가져오고 분석할 수 있습니다. 자세한 내용은 패치 규정 준수 보고서 작업 단원을 참조하십시오.
참고
패치 정책을 사용하여 생성된 규정 준수 항목의 실행 유형은 PatchPolicy
입니다. 패치 정책 작업에서 생성도되지 않은 규정 준수 항목의 실행 유형은 Command
입니다.
통합
Patch Manager는 다음과 같은 다른 AWS 서비스와 통합됩니다.
-
AWS Identity and Access Management(IAM) - IAM을 사용하여 Patch Manager 작업에 액세스할 수 있는 사용자, 그룹 및 역할을 제어할 수 있습니다. 자세한 내용은 AWS Systems Manager에서 IAM을 사용하는 방식 및 Systems Manager에 필요한 인스턴스 권한 구성을 참조하세요.
-
AWS CloudTrail - CloudTrail을 사용하여 사용자, 역할 또는 그룹에 의해 시작된 패치 작업 이벤트의 감사 가능한 기록을 기록할 수 있습니다. 자세한 내용은 AWS CloudTrail을 사용하여 AWS Systems Manager API 호출 로깅 단원을 참조하십시오.
-
AWS Security Hub - Patch Manager에서 패치 규정 준수 데이터를 AWS Security Hub로 보낼 수 있습니다. Security Hub에서는 우선순위가 높은 보안 알림 및 규정 준수 상태를 포괄적으로 파악할 수 있습니다. 또한 플릿의 패치 상태를 모니터링합니다. 자세한 내용은 Patch Manager와 AWS Security Hub 통합 단원을 참조하십시오.
-
AWS Config - Patch Manager 대시보드에서 Amazon EC2 인스턴스 관리 데이터를 볼 수 있도록 AWS Config에서 기록을 설정합니다. 자세한 내용은 패치 대시보드 요약 보기 단원을 참조하십시오.