OPS05-BP05 Executar o gerenciamento de patches - AWS Well-Architected Framework
Orientação para implementaçãoRecursos

OPS05-BP05 Executar o gerenciamento de patches

Execute o gerenciamento de patches para obter recursos, solucionar problemas e manter a conformidade com a governança. Automatize o gerenciamento de patches para reduzir erros causados por processos manuais, escalar e facilitar a realização de patches.

O gerenciamento de patches e vulnerabilidades faz parte de suas atividades de gerenciamento de benefícios e riscos. É preferível ter infraestruturas imutáveis e implantar cargas de trabalho em bons estados verificados e conhecidos. Quando isso não é viável, a aplicação de patches é a opção restante.

O Amazon EC2 Image Builder fornece pipelines para atualizar as imagens de máquina. Como parte do gerenciamento de patches, considere Amazon Machine Images (AMIs) usando um pipeline de imagens AMI ou imagens de contêiner com um pipeline de imagens do Docker, enquanto o AWS Lambda fornece padrões para tempos de execução personalizados e bibliotecas adicionais para remover vulnerabilidades.

Você deve gerenciar atualizações em Amazon Machine Images para imagens do Linux ou Windows Server usando o Amazon EC2 Image Builder. Você pode usar o Amazon Elastic Container Registry (Amazon ECR) com seu pipeline existente para gerenciar imagens do Amazon ECS e gerenciar imagens do Amazon EKS. O Lambda inclui recursos de gerenciamento de versão.

A aplicação de patches não deve ser realizada em sistemas de produção sem antes testá-los em um ambiente seguro. Os patches só deverão ser aplicados se forem compatíveis com um resultado operacional ou comercial. Na AWS, você pode usar o AWS Systems Manager Patch Manager para automatizar o processo de aplicação de patches em sistemas gerenciados e programar a atividade usando o Systems Manager Maintenance Windows.

Resultado desejado: suas imagens de AMI e contêiner foram corrigidas, atualizadas e estão prontas para o lançamento. Você pode acompanhar o status de todas as imagens implantadas e conhecer a conformidade do patch. É possível emitir relatórios do status atual e ter um processo para atender às suas necessidades de conformidade.

Antipadrões comuns:

  • Você recebe uma ordem para aplicar todos os novos patches de segurança em até duas horas, resultando em várias interrupções devido à incompatibilidade da aplicação com os patches.

  • Uma biblioteca sem patches resulta em consequências indesejadas, pois partes desconhecidas usam vulnerabilidades dentro dela para acessar a workload.

  • Você aplica patches nos ambientes do desenvolvedor automaticamente, sem notificar os desenvolvedores. Você recebe várias reclamações dos desenvolvedores, dizendo que o ambiente deles não está funcionando conforme o esperado.

  • Você não aplicou patches no software pronto para uso comercial em uma instância persistente. Quando você tiver um problema com o software e entrar em contato com o fornecedor, ele informará que a versão não é compatível e será necessário aplicar patches a um nível específico para receber assistência.

  • Um patch lançado recentemente para o software de criptografia que você usou tem melhorias significativas de performance. Seu sistema sem patches tem problemas de performance que permanecem enquanto não for feita a aplicação de patches.

  • Você é notificado sobre uma vulnerabilidade de dia zero que exige uma correção de emergência e precisa fazer isso em todos os seus ambientes manualmente.

Benefícios de estabelecer esta prática recomendada: Ao estabelecer um processo de gerenciamento de patches, incluindo seus critérios de aplicação de patches e metodologia para distribuição em seus ambientes, você pode escalar e gerar relatórios sobre os níveis de patch. Isso fornece garantias sobre a aplicação de patches de segurança e garante uma visibilidade clara do status das correções conhecidas em vigor. Isso permite a adoção de recursos e capacidades desejados, a remoção rápida de problemas e a conformidade contínua com a governança. Implemente sistemas de gerenciamento de patches e automação para reduzir o nível de esforço na implantação de patches e limitar erros causados por processos manuais.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Aplique patches nos sistemas para corrigir problemas, obter os recursos ou capacidades desejados e permanecer em conformidade com a política de governança e os requisitos de suporte do fornecedor. Em sistemas imutáveis, implante com o conjunto de patches adequado para alcançar o resultado desejado. Automatize o mecanismo de gerenciamento de patches para reduzir o tempo decorrido na aplicação de patches, reduzir erros causados por processos manuais e reduzir o nível de esforço para corrigir.

Etapas da implementação

Para Amazon EC2 Image Builder:

  1. Usando o Amazon EC2 Image Builder, especifique os detalhes do pipeline:

    1. Crie um pipeline de imagens e dê um nome a ele

    2. Defina o cronograma e o fuso horário do pipeline

    3. Configure todas as dependências

  2. Escolha uma fórmula:

    1. Selecione a fórmula existente ou crie uma nova.

    2. Selecione o tipo de imagem.

    3. Nomeie e crie a versão da sua fórmula

    4. Selecione sua imagem base

    5. Adicione componentes de compilação e adicione ao registro de destino

  3. Opcional: defina sua configuração de infraestrutura.

  4. Opcional: defina as configurações.

  5. Revise as configurações.

  6. Mantenha a higiene da fórmula regularmente.

Para o Systems Manager Patch Manager:

  1. Crie uma lista de referência de patches.

  2. Selecione um método de operações de definição de caminho.

  3. Habilite relatórios e escaneamentos de conformidade.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados: