Design de solução de patches para instâncias EC2 mutáveis

O processo de correção para instâncias mutáveis envolve as seguintes equipes e ações:

• As equipes de aplicativos (DevOps) definem os grupos de patches para seus servidores com base no ambiente do aplicativo, no tipo de sistema operacional ou em outros critérios. Também definem as janelas de manutenção específicas para cada grupo de patches. Essas informações são armazenadas nas tags Patch Group e Maintenance Window das instâncias do aplicativo EC2. Durante cada ciclo de patch, as equipes de aplicativos se preparam para o patch, testam o aplicativo após o patch e solucionam quaisquer problemas com seus aplicativos e sistemas operacionais durante o patch.

• A equipe de operações de segurança define as listas de referência de patches para vários tipos de sistemas operacionais que são usados pelas equipes de aplicativos, aprova os patches e disponibiliza os patches por meio do Systems Manager Patch Manager.

• A solução automatizada de patches é executada regularmente e implanta os patches definidos nas listas de referência de patches com base nos grupos de patches definidos pelo usuário e nas janelas de manutenção. As informações de conformidade de patches são obtidas por meio de uma sincronização de dados de recursos no Systems Manager Inventory e são usadas para relatórios de conformidade de patches por meio de painéis do Amazon QuickSight.

• As equipes de governança e conformidade definem as diretrizes de aplicação de patches, definem processos e mecanismos de exceção e obtêm os relatórios de conformidade do Amazon QuickSight.

Para obter informações detalhadas sobre as principais partes interessadas envolvidas em uma solução bem-sucedida de gerenciamento de patches do sistema operacional e suas responsabilidades, consulte a seção Principais partes interessadas, funções e responsabilidades mais adiante neste guia.

Processo automatizado

A solução automatizada de patches usa vários serviços AWS que funcionam em conjunto para implantar os patches nas instâncias do EC2. Esse processo envolve AWS Config, AWS Lambda, Systems Manager, Amazon Simple Storage Service (Amazon S3), e Amazon QuickSight. O diagrama a seguir mostra a arquitetura e o fluxo de trabalho mencionados.

O fluxo de trabalho inclui essas etapas, em que os números das etapas correspondem aos textos explicativos no diagrama:

1. AWS Config monitora continuamente o seguinte e envia notificações com os detalhes das instâncias não compatíveis e as configurações necessárias:

   • Conformidade com a marcação de patches em instâncias do EC2. AWS Configverifica as instâncias que não têm as tags Patch Group e Maintenance Window.

   • O perfil de instância AWS Identity and Access Management (IAM) com a função Systems Manager, que permite que o Systems Manager gerencie as instâncias.

2. A função do Lambda (vamos chamá-la automate-patch) é executada em um cronograma predefinido e coleta as informações do Grupo de Patches e da Janela de Manutenção de todos os servidores.

3. Em seguida, a função automate-patch cria ou atualiza os grupos de patches e as janelas de manutenção apropriados, associa os grupos de patches às listas de referências de patches, configura a verificação de patches e implanta a tarefa de patch. Opcionalmente, a função automate-patch também cria eventos no Amazon CloudWatch Events para notificar os usuários sobre patches iminentes.

4. Com base nas janelas de manutenção, os eventos enviam notificações de patch às equipes de aplicação com os detalhes da operação de patch iminente.

5. O Patch Manager executa a aplicação de patches no sistema com base no cronograma definido e nos grupos de patches.

6. Uma sincronização de dados de recursos no Systems Manager Inventory reúne os detalhes do patch e os publica em um bucket do S3.

7. Os relatórios e painéis de conformidade de patches são criados no Amazon QuickSight a partir das informações do bucket do S3.