OPS05-BP05 执行补丁管理 - AWS Well-Architected Framework
实施指导资源

OPS05-BP05 执行补丁管理

执行补丁管理以便实现功能、解决问题并保持监管合规性。实现自动补丁管理,以便减少手动过程引起的错误,进行扩展,并减少修补工作量。

补丁和漏洞管理是优势和风险管理活动的一部分。最好是具有不可变的基础设施和在已验证的已知良好状态下部署工作负载。如果该方法不可行,那就只能进行修补。

Amazon EC2 Image Builder 提供更新计算机映像的管道。作为补丁管理的一部分,请考虑 亚马逊机器映像 (AMI)(使用 AMI 映像管道 )或带 Docker 映像管道的容器镜像,同时 AWS Lambda 会提供 自定义运行时模式和其他库 以消除漏洞。

您应使用以下工具来管理适用于 Linux 或 Windows Server 映像的 亚马逊机器映像 的更新: Amazon EC2 Image Builder。您可以将 Amazon Elastic Container Registry (Amazon ECR) 与现有管道配合使用,以管理 Amazon ECS 映像和 Amazon EKS 映像。Lambda 包括 版本管理功能

在未事先在安全环境中测试的情况下,不应对生产系统执行修补操作。仅当补丁支持操作或业务结果时,才应该应用补丁。在 AWS 上,您可以使用 AWS Systems Manager Patch Manager 来自动执行修补托管系统的过程和安排修补活动 - 同时使用 Systems Manager 维护时段

期望的结果: 您的 AMI 和容器映像已修补、处于最新状态,随时可以启动。您可以跟踪所有已部署映像的状态,并了解补丁合规性。您可以报告当前状态,并有一个流程来满足您的合规需求。

常见反模式:

  • 您接到任务,需要在两个小时内应用所有新的安全补丁,但由于应用程序与补丁不兼容,导致了多次停机。

  • 没有安装补丁的库会引发意外后果,这是因为未知方会利用其中的漏洞来访问您的工作负载。

  • 您在未通知开发人员的情况下自动修补开发人员环境。您收到来自开发人员的多起投诉,称他们的环境不能按预期运行。

  • 您尚未修补持久性实例上的现有商用软件。当您遇到软件问题并与供应商联系时,他们告知您已不再为该版本提供支持,您必须安装特定级别的补丁才能获得帮助。

  • 您使用的加密软件最近发布了新补丁,对性能进行了重大改进。您未安装补丁的系统仍然存在性能问题,恰恰是因为没有安装补丁造成的。

  • 您收到通知,告知您存在零日漏洞,需要紧急修复,而您不得不手动为所有环境打补丁。

建立此最佳实践的好处: 通过建立补丁管理流程,包括修补标准以及在环境中分发补丁的方法,您可以扩展和报告补丁级别。这为安全补丁提供了保障,并确保清楚地了解已知修复程序的状态。这会促进采用所需特性和功能、快速解决问题并保持监管合规性。实施补丁管理系统和自动化,以减少部署补丁的工作量,并减少手动过程引起的错误。

未建立这种最佳实践的情况下暴露的风险等级:

实施指导

修补系统以便纠正问题、获得所需的特性或功能、符合监管政策并满足供应商支持需求。在不可变系统中,使用适当的补丁集进行部署,以便实现所需结果。自动执行补丁管理机制以便缩短修补时间、避免手动过程引起的错误,并减少修补工作量。

实施步骤

对于 Amazon EC2 Image Builder:

  1. 使用 Amazon EC2 Image Builder,指定管道详细信息:

    1. 创建映像管道并为其命名

    2. 定义管道计划和时区

    3. 配置任何依赖项

  2. 选择方案:

    1. 选择现有方案或创建新方案

    2. 选择映像类型

    3. 为您的方案命名并确定其版本

    4. 选择您的基础映像

    5. 添加构建组件并添加到目标注册表

  3. 可选 - 定义您的基础设施配置。

  4. 可选 - 定义配置设置。

  5. 查看设置。

  6. 定期检查方案,保持方案正常发挥作用。

对于 Systems Manager Patch Manager:

  1. 创建补丁基准。

  2. 选择路径操作方法。

  3. 启用合规性报告和扫描。

资源

相关最佳实践:

相关文档:

相关视频: