OPS05-BP05 執行修補程式管理
執行修補程式管理以獲取功能,解決問題並保持遵循管控。自動化修補程式管理,以減少由手動程序引起的錯誤,並減少修補工作量。
修補程式和漏洞管理屬於您利益和風險管理活動的一部分。最好擁有不可變的基礎設施,並在已驗證的已知良好狀態下部署工作負載。如果這不可行,可選擇剩餘的方法,即實施修補程式。
更新機器映像、容器映像或 Lambda
或 Lambda 自訂執行階段和其他程式庫 以移除漏洞,屬於修補程式管理的一部分。您
應該 使用 EC2 Image Builder,
若未首先在安全環境中進行測試,就不應在生產系統上執行修補程式。只有在修補程式能夠支援營運或業務成果時,才應套用修補程式。在 AWS 上,您可以使用 AWS Systems Manager Patch Manager 自動化受管系統的修補程序,以及 使用 AWS Systems Manager 維護時段。
常用的反模式:
-
您必須在兩小時內套用所有新的安全性修補程式,結果導致應用程式與修補程式不相容而致使多次停機。
-
未修補的程式庫會導致意外後果,因為未知方利用其中的漏洞來存取您的工作負載。
-
您自動修補開發人員環境,而未通知開發人員。您收到來自開發人員的多個投訴,開發人員表示其環境如預期停止運作。
-
您尚未在持久性執行個體上修補商用現成軟體。當您有軟體問題並聯絡廠商時,他們會通知您該版本不受支援,您必須修補至特定程度才能獲得任何協助。
-
您使用的加密軟體的最新修補程式可大幅改善效能。未修補的系統因未修補仍存在效能問題。
建立此最佳實務的優勢: 透過建立修補程式管理程序 (包括修補的條件和跨環境分佈的方法),您將能夠實現其優勢並控制其影響。這樣一來,便能採用所需的功能和特性、消除問題,並持續遵循管控要求。實作修補程式管理系統和自動化,以減少部署修補程式的工作量,並限制手動程序引起的錯誤。
若未建立此最佳實務,暴露的風險等級: 中
實作指引
-
修補程式管理:修補系統以補救問題,獲得所需的功能或特性,並保持符合管控政策和供應商支援要求。在不可變系統中,部署適當的修補程式集以實現所需的結果。自動化修補程式管理機制,以縮短修補時間,減少由手動程序引起的錯誤並降低修補工作量。
資源
相關文件:
相關影片:
