AWS Systems Manager Patch Manager - AWS Systems Manager

AWS Systems Manager Patch Manager

O Patch Manager, um recurso do AWS Systems Manager automatiza o processo de aplicação de patches aos nós gerenciados com atualizações de segurança e outros tipos de atualizações. Você pode usar o Patch Manager para aplicar patches em sistemas operacionais e aplicações. (No Windows Server, o suporte a aplicações é limitado a atualizações de aplicações da Microsoft.) É possível usar o Patch Manager para instalar os Service Packs em nós do Windows e executar atualizações de versões secundárias em nós do Linux. Você pode aplicar patches a frotas de instâncias do Amazon Elastic Compute Cloud (Amazon EC2), a dispositivos de borda ou a servidores on-premises e máquinas virtuais (VMs) por tipo de sistema operacional. Isso inclui versões compatíveis do Amazon Linux, Amazon Linux 2, CentOS, Debian Server, macOS, Oracle Linux, Raspberry Pi OS (chamado anteriormente de Raspbian), Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES), Ubuntu Server e Windows Server. Você pode verificar instâncias para visualizar somente um relatório de patches ausentes ou verificar e instalar automaticamente todos os patches ausentes.

Importante

A AWS não faz testes de patches antes de disponibilizá-los no Patch Manager. Além disso, o Patch Manager não oferece suporte à atualização das principais versões de sistemas operacionais, como Windows Server 2016 a Windows Server 2019 ou SUSE Linux Enterprise Server (SLES) 12.0 para SLES 15.0.

Para tipos de sistema operacional baseados em Linux que relatem um nível de gravidade para patches, o Patch Manager usa o nível de gravidade relatado pelo editor do software para o aviso de atualização ou patch individual. O Patch Manager não deriva níveis de gravidade de fontes de terceiros, como o Sistema comum de pontuação de vulnerabilidades (CVSS), ou a partir de métricas lançadas pelo Banco de dados nacional de vulnerabilidades (NVD).

O Patch Manager usa linhas de base de patch, que incluem regras para a aprovação automática de patches poucos dias após o lançamento deles, bem como uma lista de patches aprovados e rejeitados. Você pode instalar patches de forma regular agendando a aplicação de patch para execução como uma tarefa de Janela de manutenção do Systems Manager. Você também pode instalar patches individualmente ou em grandes grupos de nós gerenciados usando etiquetas. (Tags são chaves que ajudam a identificar e classificar os recursos na sua organização). Você pode adicionar tags às suas próprias linhas de base de patch ao criá-las ou atualizá-las.

O Patch Manager oferece opções para verificar os nós gerenciados e relatar a conformidade em um cronograma, instalar patches disponíveis em um cronograma e corrigir ou verificar destinos sob demanda, sempre que necessário. Você também pode gerar relatórios de conformidade de patches que serão enviados a um bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha. Você pode gerar relatórios únicos ou gerar relatórios em uma programação regular. Para um único nó gerenciado, os relatórios incluem detalhes de todos os patches para o nó. Para obter um relatório sobre todas os nós gerenciados, apenas um resumo de quantos patches estão ausentes é fornecido.

O Patch Manager integra-se ao AWS Identity and Access Management (IAM), ao AWS CloudTrail e ao Amazon EventBridge para fornecer uma experiência de aplicação de patches segura, que inclui notificações de eventos e a capacidade de auditar o uso.

Para obter informações sobre como usar o CloudTrail para monitorar ações do Systems Manager, consulte Registrar em log chamadas de API do AWS Systems Manager com o AWS CloudTrail.

Para obter informações sobre como usar o EventBridge para monitorar eventos do Systems Manager, consulte Monitorar eventos do Systems Manager com o Amazon EventBridge.