本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
修補程式
如果您參與應用程式或基礎結構作業,您會瞭解作業系統 (OS) 修補解決方案的重要性,該解決方案具有彈性且可擴充性,可滿足應用程式團隊的各種需求。在典型的組織中,一些應用程序團隊使用涉及不可變實例的體系結構,而其他應用程序部署在可變實例上。
不可變執行個體修補包括將修補程式套用至用於佈建不可變 EC2 應用程式執行個體的 Amazon 機器映像 (AMI)。可變執行個體修補包含在排程維護時段期間執行中執行個體的就地修補程式部署
本規範指南說明如何使用AWS Systems Manager Patch Manager,根據應用程式團隊透過標記在其伺服器上定義的維護時段和修補程式群組,以自動方式修補跨多個AWS帳戶和AWS區域的可變執行個體。
本AWS Lambda指南說明自動修補解決方案,該解決方案使用修補程式管理員和維護時段自動執行修補組態和排程。Amazon QuickSight 提供必要的報告和儀表板功能,以報告修補程式合規性。
此外,本指南還說明混合雲環境的參考架構。在混合雲設定中執行應用程式的使用者會尋找合併、簡化、標準化和最佳化其內部部署基礎結構之間AWS的修補程式管理作業的機會。本指南說明如何擴充可變動執行個體的自動修補解決方案,以支援混合雲案例。
本指南說明:
-
修補管理的關鍵使用者故事
-
修補程序
-
單一帳戶和單一AWS區域中可變執行個體的修補程式管理;架構考量和限制
-
多帳戶、多區域環境中可變動執行個體的修補程式管理;架構考量和限制
-
混合雲環境中內部部署執行個體的修補程式管理;架構考量和限制
-
主要利益相關者、角色和職責
注意
本指南說明自動化解決方案 (稱為自動修補解決方案) 的架構,您可以實作這些架構,以支援可變執行個體的修補程式管理需求。它不提供構建解決方案的代碼。
術語和概念
| 術語 | 定義 |
|---|---|
不可變的實例 |
不可變執行個體是 EC2 伺服器執行個體,在執行時不會發生任何變更。如果需要變更,您可以使用更新的伺服器映像檔建立新執行個體、重新部署執行個體,然後銷毀現有的伺服器映像檔。 |
修補基準 |
修補程式基準是特定於某個作業系統類型,可定義已核准在執行個體上安裝的修補程式清單。如需詳細資訊,請參閱 Systems Manager 文件中的關於預先定義和自訂修補程式基準。 |
修補程序組 |
修補程式群組代表應用程式環境中作為特定修補程式基準目標的伺服器。修補程式群組會協助您部署正確的正確的組註冊任務。它們也有助於避免在經過充分測試之前部署修補程式。修補程式群組由修補程式群組標籤表示。如需詳細資訊,請參閱 Systems Manager 文件中的關於修補程式群組。 |
Maintenance window (維護時段) |
維護時段可讓您定義排程,亦即何時在執行個體上執行可能產生中斷的動作,例如修補作業系統、更新驅動程式,或是安裝軟體或修補程式。每個維護時段都有排程觀。維護時段由 「維護時段」 標籤表示。如需詳細資訊,請參閱 Systems Manager 說明文件中的關於使用維護時段的修補排程。 |
主要使用者故事
一般作業系統修正程序包含三項工作:
-
掃描 EC2 執行個體和現場部署伺服器,尋找適用的 OS 修補程式。
-
在適當的時間將執行處理分組和修正。
-
報告整個伺服器環境的修補相容性。
下表列出了執行個體。
| 案例 | 使用者者 | 描述 |
|---|---|---|
修補機制 |
應用程式開發/支援團隊 |
身為負責作業系統修補的應用程式小組成員,我需要一種機制來修補長時間執行或可變執行個體,因此我可以減輕任何作業系統安全性弱點,並確保執行個體符合安全性團隊定義的修補基準。 |
修補方案 |
雲端服務擁有者 |
身為負責為應用團隊提供雲端服務的雲端服務擁有者,我需要建置支援多個AWS帳戶和AWS區域以及內部部署伺服器的作業系統修補解決方案,因此應用程式團隊可以減輕任何作業系統安全性漏洞,同時遵守安全團隊定義的修補基準。 |
修補符合性報告 |
安全作業經理 |
身為負責確保修補程式合規性的安全作業經理,我需要詳細的修補程式合規性報告和跨雲端環境的資訊,以便識別不符合修補程式基準的伺服器,並提醒團隊實作所需的緩解措施。 |
角色和責任的定義 |
雲端服務擁有者 |
身為雲端服務擁有者,我需要建置明確定義的角色和責任矩陣,以說明誰在管理我建置的混合雲修補解決方案方面所做的工作,因此會發佈並符合修補作業的義務。 |
