OPS05-BP05 Executar o gerenciamento de patches - Pilar Excelência operacional
Orientação para implementaçãoRecursos

OPS05-BP05 Executar o gerenciamento de patches

Execute o gerenciamento de patches para obter recursos, solucionar problemas e manter a conformidade com a governança. Automatize o gerenciamento de patches para reduzir erros causados por processos manuais, escalar e facilitar a realização de patches.

O gerenciamento de patches e vulnerabilidades faz parte de suas atividades de gerenciamento de benefícios e riscos. É preferível ter infraestruturas imutáveis e implantar workloads em bons estados verificados e conhecidos. Quando isso não é viável, a aplicação de patches é a opção restante.

O Amazon EC2 Image Builder fornece pipelines para atualizar imagens de máquinas. Como parte do gerenciamento de patches, considere utilizar imagens de máquina da Amazon (AMIs) com um pipeline de imagens de AMI ou imagens de contêiner com um pipeline de imagem Docker. Ao mesmo tempo, o AWS Lambda fornece padrões para runtimes personalizados e bibliotecas adicionais para remover vulnerabilidades.

Você deve gerenciar as atualizações das imagens de máquina da Amazon para Linux ou Windows Server usando o Amazon EC2 Image Builder. É possível usar o Amazon Elastic Container Registry (Amazon ECR) com seu pipeline existente para gerenciar imagens do Amazon ECS e gerenciar imagens do Amazon EKS. O Lambda inclui recursos de gerenciamento de versões.

A aplicação de patches não deve ser realizada em sistemas de produção sem antes testá-los em um ambiente seguro. Os patches só deverão ser aplicados se forem compatíveis com um resultado operacional ou comercial. Na AWS, é possível usar o AWS Systems Manager Patch Manager para automatizar o processo de aplicação de patches em sistemas gerenciados e programar a atividade usando as Janelas de manutenção do Systems Manager.

Resultado desejado: suas imagens de AMI e contêiner receberam os patches e estão atualizadas e prontas para o lançamento. É possível rastrear o status de todas as imagens implantadas e conhecer a conformidade do patch. Você também pode emitir relatórios do status atual e ter um processo para atender às suas necessidades de conformidade.

Práticas comuns que devem ser evitadas:

  • Você recebe uma ordem para aplicar todos os novos patches de segurança em até duas horas, resultando em várias interrupções devido à incompatibilidade da aplicação com os patches.

  • Uma biblioteca sem patches resulta em consequências indesejadas, pois partes desconhecidas usam vulnerabilidades dentro dela para acessar a workload.

  • Você aplica patches nos ambientes do desenvolvedor automaticamente, sem notificar os desenvolvedores. Você recebe várias reclamações dos desenvolvedores afirmando que o ambiente deles não está funcionando conforme o esperado.

  • Você não aplicou patches no software pronto para uso comercial em uma instância persistente. Quando você tiver um problema com o software e entrar em contato com o fornecedor, ele informará que a versão não é compatível e será necessário aplicar patches a um nível específico para receber assistência.

  • Um patch lançado recentemente para o software de criptografia que você usou tem melhorias significativas de performance. Seu sistema sem patches tem problemas de performance que permanecem enquanto a aplicação de patches não é feita.

  • Você é notificado sobre uma vulnerabilidade de dia zero que exige uma correção de emergência e precisa fazer isso em todos os seus ambientes manualmente.

Benefícios de implementar esta prática recomendada: ao estabelecer um processo de gerenciamento de patches, incluindo seus critérios de aplicação de patches e metodologia para distribuição em seus ambientes, você pode escalar e gerar relatórios sobre os níveis de patch. Isso fornece garantias sobre a aplicação de patches de segurança e garante uma visibilidade clara do status das correções conhecidas em vigor. Isso permite a adoção de recursos e capacidades desejados, a remoção rápida de problemas e a conformidade contínua com a governança. Implemente sistemas de gerenciamento de patches e automação para reduzir o nível de esforço na implantação de patches e limitar erros causados por processos manuais.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Aplique patches nos sistemas para corrigir problemas, obter os recursos ou capacidades desejados e permanecer em conformidade com a política de governança e os requisitos de suporte do fornecedor. Em sistemas imutáveis, implante com o conjunto de patches adequado para alcançar o resultado desejado. Automatize o mecanismo de gerenciamento de patches para reduzir o tempo decorrido na aplicação de patches, reduzir erros causados por processos manuais e reduzir o nível de esforço para corrigir.

Etapas de implementação

Para Amazon EC2 Image Builder:

  1. Usando o Amazon EC2 Image Builder, especifique os detalhes do pipeline:

    1. Crie um pipeline de imagens e atribua um nome a ele

    2. Defina a programação e o fuso horário do pipeline

    3. Configure todas as dependências

  2. Escolha uma fórmula:

    1. Selecione a fórmula existente ou crie uma nova.

    2. Selecione o tipo de imagem

    3. Nomeie e crie a versão da sua fórmula

    4. Selecione sua imagem base

    5. Adicione componentes de compilação e adicione ao registro de destino

  3. Opcional: defina sua configuração de infraestrutura.

  4. Opcional: defina as configurações.

  5. Revise as configurações.

  6. Mantenha a higiene da fórmula regularmente.

Para o Gerenciador de patches do Systems Manager:

  1. Crie uma lista de referência de patches.

  2. Selecione um método de operações de definição de caminho.

  3. Habilite relatórios e verificações de conformidade.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados: