Các tổ chức quản lý cơ sở hạ tầng đám mây trên Amazon Web Services cần các cơ chế hiệu quả để quản lý tuân thủ và bảo mật tài nguyên và ứng dụng của họ. Trước đây, khách hàng có thể quét các instance hàng ngày để tìm các bản vá bị thiếu trên tất cả các instance trong tổ chức của họ thông qua Host Management Quick Setup Configuration. Ngoài ra, khách hàng có thể triển khai các bản vá bằng cách sử dụng các chuẩn mực bản vá mặc định trong các nhóm bản vá.

Hôm nay, chúng tôi vô cùng vui mừng thông báo về việc phát hành Quick Setup Patch Policies, được cung cấp bởi Patch Manager, cho phép bạn dễ dàng thiết lập quản lý bản vá trên một Tổ chức AWS. Patch Policies cho phép khách hàng quét và lên lịch cài đặt bản vá cho nhiều chuẩn mực bản vá trên các tài khoản AWS và trên các Regions AWS.

Đối với các chuẩn mực bản vá, bạn có thể áp dụng chuẩn mực bản vá mặc định của AWS hoặc chuẩn mực bản vá tùy chỉnh của riêng mình cho nhiều hệ điều hành. Bạn cũng có thể nhắm mục tiêu đến các instances Amazon Elastic Compute Cloud (EC2) và các nodes quản lý lai trên toàn bộ AWS Organization hoặc đối với các Organization Units (OUs) và Regions cụ thể, cũng như chọn tất cả các nodes quản lý hoặc lọc theo các thẻ tài nguyên cụ thể. Bạn có thể tạo và quản lý nhiều Patch Policies cùng một lúc, cho phép bạn kiểm soát các hoạt động bản vá cho các tập hợp instance khác nhau.

Với Quick Setup Patch Policies, bạn hiện đã có thể quét và áp dụng các bản vá lỗi cho các nodes được quản lý trên toàn môi trường của bạn với nhiều điều khiển hơn. Trước khi phát hành này, khách hàng có thể cần phải đăng nhập vào nhiều tài khoản để xem tuân thủ và áp dụng các bản vá lỗi. Bây giờ, khách hàng có thể áp dụng một Patch Policie trên toàn tổ chức cho nhiều hệ điều hành, trên nhiều tài khoản và Regions khác nhau, và xem xét tuân thủ tài nguyên cho các nodes được quản lý đích.

Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách tạo Patch Policie bằng loại cấu hình Quick Setup Patch Manager và cho bạn thấy cách bạn có thể xem xét tuân thủ của các nodes được quản lý của mình đối với các Patch Policie này.

Tổng quan về Quick Setup

Sử dụng Quick Setup, một khả năng của Systems Manager, để cấu hình nhanh chóng các dịch vụ và tính năng của AWS được sử dụng thường xuyên với các thực hành tốt được đề xuất. Quick Setup giúp đơn giản hóa việc thiết lập dịch vụ bằng cách tự động hóa các nhiệm vụ thông thường hoặc được đề xuất. Bạn có thể sử dụng Quick Setup trong một tài khoản AWS cá nhân hoặc trên nhiều tài khoản AWS và Regions khác nhau bằng cách tích hợp với AWS Organizations.

Sử dụng Quick Setup trên nhiều tài khoản giúp đảm bảo Organization của bạn duy trì cấu hình nhất quán. Ngoài ra, Quick Setup định kỳ kiểm tra sự thay đổi cấu hình và cố gắng khắc phục nó. Sự thay đổi cấu hình xảy ra khi người dùng thực hiện bất kỳ thay đổi nào cho dịch vụ hoặc tính năng mà xung đột với các lựa chọn được thực hiện thông qua Quick Setup.

Để tạo cấu hình nhất quán, Quick Setup sử dụng AWS CloudFormation StackSets để triển khai các cấu hình Quick Setup trên toàn Organization của bạn.

Sau đây là cách quá trình hoạt động cho cấu hình Patch Manager:

1. Bạn sử dụng Quick Setup để tạo Patch Policie bằng cách chọn các thông số và gửi chúng đến CloudFormation.
2. CloudFormation tạo một stack set với các thông số được xác định và các tài khoản và Regions đích được xác định.
3. CloudFormation tạo các trường hợp stack trong mỗi tài khoản và Regions đích.
4. Các trường hợp stack tạo một liên kết Systems Manager State Manager cho quá trình quét bản vá được xác định và một liên kết cho việc cài đặt bản vá, nếu được chọn. Những liên kết này được áp dụng bằng cách sử dụng lịch trình được cung cấp khi bạn tạo Patch .

Hình 1: Kiến trúc để tạo Patch Policies bằng cách sử dụng cấu hình Patch Manager trong Systems Manager Quick Setup.

Ngoài các tài nguyên được đề cập ở trên, Quick Setup còn tạo ra các tài nguyên khác. Trong tài khoản quản lý Tổ chức, các tài nguyên sau được tạo ra:

• Bucket Amazon Simple Storage Service (S3) để lưu trữ các cơ sở dữ liệu vá được chỉ định dưới dạng tệp JSON.
• Hàm Lambda AWS để đánh giá các cơ sở dữ liệu vá tùy chỉnh được chỉ định trong Quick Setup cho các thay đổi. Nếu có thay đổi với các cơ sở dữ liệu vá tùy chỉnh, Quick Setup sẽ truyền các thay đổi đó sang các tài khoản và Regions đích.
• Automation runbook của Systems Manager để gọi hàm Lambda.
• Liên kết State Manager của Systems Manager để khởi tạo Automation runbook hàng giờ.
• Các vai trò IAM (AWS Identity and Access Management) cho Lambda và Automation.

Trong các tài khoản và Regions đích, các tài nguyên sau được tạo ra:

• Sổ tay chạy tự động và liên kết State Manager để tạo và đính kèm vai trò IAM Quick Setup vào các nodes quản lý EC2 và hybrid.
• Liên kết State Manager để kích hoạt Systems Manager Explorer.
• Liên kết State Manager để khắc phục các thẻ liên quan đến Quick Setup trên các nodes quản lý.

Yêu cầu tiên quyết

Các phiên bản Amazon Elastic Compute Cloud (EC2), các thiết bị AWS Internet of Things (IoT) Greengrass core, các máy chủ trên địa phương, các thiết bị edge và máy ảo (VM) phải là các nodes quản lý của Systems Manager để được vá lỗi. Điều này có nghĩa là các nodes của bạn phải đáp ứng một số yêu cầu tiên quyết và được cấu hình với AWS Systems Manager Agent (SSM Agent). Để biết thêm thông tin, xem Setting up AWS Systems Manager.

Để sử dụng các custom patch baselines trong một Patch Policy, tiêu chuẩn vá lỗi tùy chỉnh phải tồn tại trong cùng một tài khoản và Regions trước khi sử dụng Quick Setup. Để biết thêm thông tin, xem Working with custom patch baselines (console).

Hướng dẫn chi tiết

Trong hướng dẫn này, chúng tôi sẽ hướng dẫn bạn tạo một Patch Policy bằng cách sử dụng Systems Manager Quick Setup và khám phá các tùy chọn cấu hình khác nhau cho việc quét, vá lỗi và nhắm mục tiêu các instance được quản lý.

Tạo một Cấu hình Quản lý Patch Nhanh

1. Mở  AWS Systems Manager console.
2. Trong khung điều hướng, chọn Quick Setup.
3. Trong tab Thư viện, chọn Create cho Patch Manager.
4. Đối với Configuration name, nhập một tên mô tả, chẳng hạn như patch-policy-blog.
5. Đối với Scanning and installation, thực hiện các bước sau:
   1. Đối với Patch operation, chọn Quét và cài đặt.(Scan and install)
   2. Đối với lịch quét(Scanning schedule) , chọn Sử dụng mặc định được đề xuất(Use recommended defaults) để quét các node được quản lý hàng ngày lúc 01:00 AM UTC.
   3. Đối với lịch cài đặt, chọn Sử dụng mặc định được đề xuất để cài đặt bản vá một lần mỗi tuần lúc 02:00 AM UTC vào Chủ nhật. Tùy chọn, chọn Lịch cài đặt tùy chỉnh(Custom install schedule) để cung cấp biểu thức CRON tùy chỉnh, chẳng hạn như cron(30 23 ? * TUE#3 *). Để biết thêm thông tin, hãy xem Reference: Cron and rate expressions for Systems Manager.
   4. Đối với Reboot (Khởi động lại) nếu cần, tùy chọn kích hoạt tùy chọn này để khởi động lại các node sau khi cài đặt bản vá. Khởi động lại sau khi cài đặt được khuyến khích nhưng có thể gây ra vấn đề về khả dụng. Để trì hoãn khởi động lại đến thời điểm sau này, hãy để tùy chọn này không được kích hoạt.

Hình 2: Trong phần cài đặt Quét và cài đặt, bạn có thể chọn chỉ quét hoặc quét và cài đặt các bản cập nhật còn thiếu dựa trên lịch trình đề xuất hoặc lịch trình tùy chỉnh dựa trên biểu thức CRON.

6. Đối với Patch baseline, chọn giá trị mặc định Use recommended defaults hoặc bạn có thể chọn Custom patch baseline để chọn các custom patch baseline mà bạn đã tạo trước đó trong cùng một tài khoản và Regions từ nơi bạn triển khai Quick Setup. Các baseline được chọn sẽ được sử dụng cho các hoạt động patch được khởi tạo bằng các Patch Policies trong các tài khoản và Regions đích. Vì mục đích trình diễn, chúng tôi đã tạo custom patch baselines cho Amazon Linux 2, máy chủ Ubuntu và máy chủ Windows.
   Trong các thiết lập Patch baseline, bạn có thể chọn custom patch baselines được tạo trong cùng tài khoản và Regions. Các patch baseline này sẽ được sử dụng trong các hoạt động patching được khởi tạo bởi Patch Policies trong các tài khoản và Regions đích.
   
7. Đối với lưu trữ nhật ký Patching(Patching log storage), bạn có thể chọn tùy chọn lưu trữ nhật ký hoạt động patch trong một bucket Amazon Simple Storage Service (S3).
8. Đối với Targets, hãy chọn liệu bạn muốn target toàn bộ tổ chức (Entire organization), một lựa chọn tùy chỉnh dựa trên các Organization Unit (OUs) và Regions, hoặc các node trong Tài khoản hiện tại.
   1. (Optional) Nếu chọn Custom, sử dụng danh sách Target OUs và checkbox để chọn các OUs mong muốn. Bên cạnh đó, chọn Target Regions nào để tập trung bằng cách sử dụng các hộp kiểm.
   2. (Optional) Nếu chọn Current account, chọn xem bạn có muốn tập trung vào Current region hay Choose Regions bằng cách sử dụng picker.
   3. (Optional) Nếu chọn Custom hoặc Current account, chọn xem bạn có muốn tập trung vào All managed nodes hay Specify node tag và tập trung vào các nodes sử dụng các tag. Đối với Current account, bạn có thể chọn Manual để thủ công chọn các instances từ picker của instances.

Hình ảnh 4: Trong phần cài đặt Targets, bạn có thể chọn để nhắm mục tiêu cho toàn bộ AWS Organization của bạn, các OUs và Regions tùy chỉnh, hoặc tài khoản và các Regions hiện tại. Đối với Custom và Current account, bạn có thể chọn nhắm mục tiêu cho tất cả các nodes được quản lý hoặc chỉ định một tag node.

9. Để thiết lập Rate control, thực hiện các bước sau:
   1. Đối với Concurrency, nhập một số hoặc tỷ lệ phần trăm các nodes mà bạn muốn chạy Patch Policies cùng một lúc.
   2. Đối với Error threshold, nhập số hoặc tỷ lệ phần trăm các nodes mà có thể gặp lỗi trước khi Patch Policies thất bại.
10. Cho tùy chọn Instance profile, bạn có thể chọn tùy chọn để Quick Setup tự động thêm các Patch Policies quản lý danh tính và truy cập của AWS (IAM) cần thiết vào các instance profile đang tồn tại được đính kèm vào các instances của bạn.

Lưu ý: Mặc định, Quick Setup tạo các IAM policy và các hồ sơ thực thể (instance profiles) với các quyền cần thiết cho cấu hình mà bạn chọn. Các hồ sơ thực thể được tạo bởi Quick Setup sau đó chỉ được đính kèm vào các instance chưa có hồ sơ thực thể đính kèm. Nếu bạn bật tùy chọn này, Quick Setup sẽ cũng thêm IAM policy AmazonSSMManagedInstanceCore và một IAM policy trong đó inline, cấp quyền s3:GetObject cho S3 bucket được tạo bởi Quick Setup, vào các instance đã có hồ sơ thực thể đính kèm. Thao tác này được thực hiện mỗi 30 ngày.

Hình 5: Trong phần Instance profile options, bạn có thể lựa chọn tùy chọn để thêm các IAM policy cần thiết vào các profile instance hiện có được gắn vào các instances của bạn.

11. Chọn Create.

Trang tiếp theo hiển thị thông tin về việc Quick Setup khởi tạo triển khai Patch Policies trên các tài khoản và khu vực đích. Tại đây, bạn có thể theo dõi trạng thái triển khai, trạng thái kết nối và tuân thủ tài nguyên.

Sau khi triển khai, Patch Policies khởi chạy quá trình quét hoặc quét và cài đặt patch trong các khoảng thời gian được lên lịch. Bạn có thể xem tổng quan về trạng thái tuân thủ patch của các node quản lý của mình trong tiện ích Resource compliance.

Hình 6: Trong chi tiết cấu hình của Patch Policies, bạn có thể theo dõi trạng thái triển khai, trạng thái kết nối và tuân thủ tài nguyên.

Bạn có thể kiểm tra tính tuân thủ của các nodes được quản lý bằng cách điều hướng đến bảng điều khiển Patch Manager trong tài khoản mục tiêu. Trong tab Báo cáo tuân thủ, bạn có thể lọc và tìm kiếm các nodes dựa trên trạng thái tuân thủ của chúng, số lượng cập nhật không tuân thủ, các giá trị khóa thẻ cũng như chi tiết khác về các nodes.
Hình 7: Trong bảng điều khiển Patch Manager, bạn có thể sử dụng tab báo cáo tuân thủ để xem chi tiết về trạng thái tuân thủ cho các node được quản lý của bạn.

Ghi chú: Giá trị Patch configuration type trong phần chi tiết cập nhật Node trên tab Compliance reporting sẽ là Patch policy cho các Patch Policies cập nhật được tạo trong Quick Setup Patch Manager Configuration Type và Patch group cho các hoạt động Patch Manager trước đó.

Bạn cũng có thể kiểm tra tính tuân thủ của một node được quản lý bằng cách điều hướng đến bảng điều khiển Fleet Manager, chọn một node được quản lý và chọn View details. Trên trang node được quản lý, chọn tab Patch để xem chi tiết tóm tắt các bản vá cho node được quản lý được chọn.

Hình 8: Chi tiết tóm tắt các bản vá cho một node được quản lý được chọn trong bảng điều khiển Fleet Manager.

Dọn dẹp

Để xóa patch policy đã tạo trong bài viết này, điều hướng đến bảng điều khiển Quick Setup, chọn loại cấu hình Patch Manager đã tạo, chọn  Actions, chọn Delete configuration, chọn Remove all OUs and Regions. Sau khi tất cả các OU và Regions đã bị xóa, chọn Delete.

Kết luận

Trong bài viết này, chúng tôi đã hướng dẫn cho bạn cách nhanh chóng thiết lập quét vá hoặc quét và cài đặt trên toàn bộ AWS Organization bằng cách sử dụng Policies vá trong Quick Setup. Bằng cách sử dụng các Patch Policies, bạn có thể định nghĩa trung tâm lịch quét vá và cài đặt và định nghĩa tiêu chuẩn cơ sở vá cho các loại cập nhật cài đặt. Ngoài ra, bạn có thể tạo nhiều Patch Policies để đảm bảo các tài nguyên phù hợp được vá trong các cửa sổ thời gian xác định rõ ràng. Chúng tôi cũng đã chỉ cho bạn cách thu hồi tổng quan cao cấp về tuân thủ vá trên toàn bộ môi trường của bạn.

Bạn có thể tổng hợp dữ liệu vá, tuân thủ và kiểm kê chi tiết vào một vị trí duy nhất bằng cách tạo đồng bộ dữ liệu tài nguyên. Điều này đồng bộ hóa dữ liệu này với một S3 tập trung của bạn. Để biết thêm thông tin, hãy kiểm tra cấu hình đồng bộ dữ liệu tài nguyên cho Kiểm kê.

Sau khi tạo đồng bộ dữ liệu tài nguyên, bạn có thể cấu hình Amazon Athena và Amazon QuickSight để bắt đầu trực quan hóa dữ liệu liên quan đến vá và kiểm kê. Để biết thêm thông tin, hãy kiểm tra truy vấn dữ liệu kiểm kê từ nhiều Regions và Tài khoản.

Bài được dịch từ bài viết trên AWS Blogs, bạn có thể xem bài viết gốc tại đây.