Acerca de Patch

Usa Patch para aplicar parches del sistema operativo en un conjunto de instancias de máquina virtual (VM) de Compute Engine. Las VMs que se ejecutan durante mucho tiempo requieren actualizaciones periódicas del sistema para protegerse frente a defectos y vulnerabilidades.

La función de parche tiene dos componentes principales:

  • Informes de cumplimiento de parches, que proporcionan información valiosa sobre el estado de los parches de tus instancias de VM en las distribuciones de Windows y Linux. Además de las estadísticas, también puedes ver recomendaciones para tus instancias de máquina virtual.
  • La implementación de parches, que automatiza el proceso de actualización de parches del sistema operativo y del software. Una tarea de despliegue de parches programa tareas de parches. Un trabajo de parche se ejecuta en instancias de VM y aplica parches.

Ventajas

El servicio de parches te ofrece la flexibilidad de completar los siguientes procesos:

  • Crear aprobaciones de parches. Puedes seleccionar los parches que quieres aplicar a tu sistema del conjunto completo de actualizaciones disponibles para el sistema operativo específico.
  • Configura una programación flexible. Puedes elegir cuándo ejecutar las actualizaciones de parches (programaciones únicas y periódicas).
  • Aplica la configuración avanzada de parches. Puedes personalizar tus parches añadiendo configuraciones como secuencias de comandos previas y posteriores a la aplicación de parches.
  • Gestiona estas tareas de parches o actualizaciones desde una ubicación centralizada. Puedes usar el panel de control de parches para monitorizar y generar informes de las tareas de parche y el estado de cumplimiento.

Precios

Para obtener información sobre los precios, consulta los precios de VM Manager.

Cómo funciona Patch

Para usar la función de parche, debes configurar la API OS Config e instalar el agente OS Config. Para obtener instrucciones detalladas, consulta Configurar VM Manager. El servicio OS Config permite gestionar los parches en tu entorno, mientras que el agente OS Config usa el mecanismo de actualización de cada sistema operativo para aplicar los parches. Las actualizaciones se extraen de los repositorios de paquetes (también llamados paquete de origen de distribución) o de un repositorio local del sistema operativo.

Las siguientes herramientas de actualización se usan para aplicar parches:

  • Red Hat Enterprise Linux (RHEL), Rocky Linux y CentOS - yum upgrade
  • Debian y Ubuntu: apt upgrade
  • SUSE Linux Enterprise Server (SLES) - zypper update
  • Windows - Agente de Windows Update

Fuentes de parches y paquetes

Para usar la función de parche en Gestor de VMs, la VM debe tener acceso a las actualizaciones o parches de paquetes. El servicio Patch no aloja ni mantiene actualizaciones ni parches de paquetes. En algunos casos, es posible que tu máquina virtual no tenga acceso a las actualizaciones. Por ejemplo, si tu VM no usa IPs públicas o si usas una red de VPC privada. En estos casos, debes completar pasos adicionales para permitir el acceso a las actualizaciones o los parches. Dispone de estas opciones:

  • Google recomienda alojar tu propio repositorio local o un servicio de actualización de Windows Server para tener un control total sobre la base de referencia de los parches.
  • También puedes hacer que las fuentes de actualización externas estén disponibles para tus VMs mediante Cloud NAT u otros servicios proxy.

La gestión de parches consta de dos servicios: implementación de parches y cumplimiento de parches. Cada servicio se explica en las siguientes secciones.

Descripción general de los despliegues de parches

Para iniciar una implementación de parches, se llama a la API VM Manager (también conocida como API OS Config). Para ello, puede usar la consolaGoogle Cloud , la CLI de Google Cloud o una llamada directa a la API. A continuación, la API VM Manager notifica al agente de configuración del SO que se está ejecutando en las VMs de destino para que empiece a aplicar parches.

El agente de configuración del SO ejecuta la aplicación de parches en cada VM mediante la herramienta de gestión de parches que está disponible para cada distribución. Por ejemplo, las máquinas virtuales de Ubuntu usan la herramienta de utilidad apt. La herramienta de utilidad obtiene actualizaciones (parches) de la fuente de distribución del sistema operativo. A medida que se aplican los parches, el agente OSConfig informa del progreso a la API VM Manager.

Descripción general del cumplimiento de parches

Después de configurar Gestor de VMs en una máquina virtual, se producirá lo siguiente en ella:

  • El agente OS Config informa periódicamente (aproximadamente cada 10 minutos) sobre los datos del inventario del SO .
  • El backend de cumplimiento de parches lee periódicamente estos datos, los compara con los metadatos de los paquetes obtenidos de la distribución del SO y los guarda.
  • La consola Google Cloud obtiene los datos de cumplimiento de los parches y muestra esta información en la consola.

Cómo se generan los datos de cumplimiento de parches

El backend de cumplimiento de parches completa periódicamente las siguientes tareas:

  1. Lee los informes que se recogen de los datos del inventario de SO de una VM.

  2. Busca datos de clasificación de la fuente de vulnerabilidades de cada sistema operativo y ordena estos datos en función de la gravedad (de mayor a menor).

    En la siguiente tabla se resume la fuente de vulnerabilidades que se usa en cada sistema operativo.

    Sistema operativo Paquete de origen de la vulnerabilidad
    RHEL y CentOS https://access.redhat.com/security/data

    Los resultados del análisis de vulnerabilidades de RHEL se basan en la última versión secundaria de cada versión principal lanzada. Puede que haya imprecisiones en los resultados de análisis de versiones secundarias anteriores de RHEL.
    Debian https://security-tracker.debian.org/tracker
    Ubuntu https://launchpad.net/ubuntu-cve-tracker
    SLES N/A

    Los informes de cumplimiento de parches no se admiten en SLES
    Rocky Linux N/A

    Los informes de cumplimiento de parches están disponibles en Rocky Linux. Sin embargo, no se puede clasificar los datos de vulnerabilidades en función de la gravedad.
    Windows El backend de cumplimiento de parches obtiene los datos de clasificación de la API del agente de Windows Update.

  3. Asigna estas clasificaciones (proporcionadas por la fuente de la vulnerabilidad) al estado de cumplimiento de los parches de Google.

    En la siguiente tabla se resume el sistema de asignación que se usa para generar el estado de cumplimiento de los parches de Google.

    Categorías de fuentes de distribución Estado de cumplimiento de los parches de Google
    • Crítica
    • Urgente
    • WINDOWS_CRITICAL_UPDATE
    		 Crítico (ROJO)
    • Importante
    • Alta
    • WINDOWS_SECURITY_UPDATE
    		 Importantes/de seguridad (NARANJA)
    • Miscelánea
    		 Otro (AMARILLO)
    • No hay actualizaciones disponibles
    		 Actualizado (VERDE)

  4. Selecciona los datos de mayor gravedad de cada actualización disponible y los muestra en la página del panel de control de la consola. Google Cloud También puedes ver un informe completo de todas las actualizaciones disponibles de la VM en la página de detalles de la VM.

Por ejemplo, si los datos de inventario del SO de una máquina virtual RHEL 7 tienen los siguientes datos de paquetes:

  • Nombre del paquete: package1
  • Versión instalada: 1.4
  • Versión de la actualización: 2.0

El backend de cumplimiento de parches busca datos de clasificación (de la distribución de origen) y obtiene la siguiente información:

  • Versión 1.5 => Crítica, corrige CVE-001
  • Versión 1.8 => Baja, corrige CVE-002
  • Versión 1.9 => Baja, corrige CVE-003

A continuación, en el panel de control de la consola Google Cloud , esta VM de RHEL 7 se añade a la lista de VMs que tienen una actualización Critical disponible. Si revisas los detalles de esta máquina virtual, verás que hay 1 Critical actualización disponible (versión 2.0) con 3 CVEs: CVE-001, CVE-002 y CVE-003.

Aplicación simultánea de parches

Cuando inicias un trabajo de parche, el servicio usa el filtro de instancias que has proporcionado para determinar las instancias específicas que se van a parchear. Los filtros de instancias te permiten aplicar parches a muchas instancias simultáneamente. Este filtrado se realiza cuando se inicia el trabajo de parche para tener en cuenta los cambios en tu entorno después de programar el trabajo.

Aplicación de parches programada

Los parches se pueden ejecutar bajo demanda, programar con antelación o configurar con una programación periódica. También puedes cancelar una tarea de parche en curso si necesitas detenerla inmediatamente.

Puedes configurar ventanas de mantenimiento de parches creando despliegues de parches con una frecuencia y una duración específicas. Programar tareas de parches con una duración específica asegura que las tareas de aplicación de parches no se inicien fuera de la ventana de mantenimiento designada.

También puedes aplicar plazos de instalación de parches creando despliegues de parches que se completen a una hora específica. Si las máquinas virtuales de destino no se parchean antes de esta fecha, la implementación programada empezará a instalar parches en esta fecha. Si las VMs ya tienen el parche aplicado, no se hará nada en ellas, a menos que se especifique una secuencia de comandos previa o posterior al parche, o que sea necesario reiniciar.

¿Qué se incluye en un trabajo de parcheo?

Cuando se ejecuta una tarea de parche en una VM, se aplica una combinación de actualizaciones en función del sistema operativo. Puede orientar sus anuncios a actualizaciones o paquetes específicos o, en el caso de los sistemas operativos Windows, especificar los IDs de KB que quiera actualizar.

También puedes usar un trabajo de parche para actualizar cualquier agente de Google que esté instalado como paquete estándar para esa distribución específica. Usa la herramienta de actualización de esa distribución para consultar los paquetes disponibles. Por ejemplo, para ver los agentes de Google disponibles para un sistema operativo Ubuntu, ejecuta apt list --installed | grep -P 'google'.

Windows

En el caso del sistema operativo Windows, puedes aplicar todas las actualizaciones o seleccionar las siguientes:

  • Actualizaciones de definiciones
  • Actualizaciones de controladores
  • Actualizaciones de paquetes de funciones
  • Actualizaciones de seguridad
  • Actualizaciones de herramientas

RHEL/Rocky/CentOS

En los sistemas operativos Red Hat Enterprise Linux, Rocky Linux y CentOS, puedes aplicar todas las actualizaciones siguientes o seleccionar las que quieras:

  • Actualizaciones del sistema
  • Actualizaciones de seguridad

Debian o Ubuntu

En los sistemas Debian y Ubuntu, puedes aplicar todas las actualizaciones siguientes o seleccionar las que quieras:

  • Novedades sobre la distribución
  • Actualizaciones del gestor de paquetes

SUSE

En los sistemas operativos SUSE Enterprise Linux Server (SLES) y openSUSE, puedes aplicar todas las actualizaciones siguientes o seleccionar las que quieras:

  • Actualizaciones de paquetes del sistema
  • Parches de Zypper (correcciones de errores y de seguridad específicas)

Acceder al resumen de parches de tus VMs

Para ver el resumen de los parches de tus VMs, tienes las siguientes opciones:

  • Para ver la información de resumen de los parches de todas las VMs de una organización o una carpeta, usa el panel de control de parches de la Google Cloud consola. Consulta Ver el resumen de parches de las VMs.

  • Para ver el estado de las tareas de parche, usa la página Tareas de parche de la consola Google Cloud . También puedes usar la CLI de Google Cloud o la API OS Config. Para obtener más información, consulta Gestionar tareas de parche.

Para ver otra información, como las actualizaciones de paquetes del SO y los informes de vulnerabilidades, consulta Ver detalles del sistema operativo.

El panel de control de parches

En la consola de Google Cloud , hay un panel de control que puedes usar para monitorizar el cumplimiento de los parches de tus instancias de VM.

Ir a la página de parches

Panel de parches.

Información sobre el panel de control de parches

Información general sobre el sistema operativo

En esta sección se refleja el número total de máquinas virtuales, organizadas por sistema operativo. Para que una VM aparezca en esta lista, debe tener el agente de configuración del SO instalado y la gestión de inventario del SO habilitada.

Tarjeta Número de VMs.

Si una máquina virtual aparece con el sistema operativo No data, puede que se dé una o varias de las siguientes situaciones:

  • La VM no responde.
  • El agente de configuración del SO no está instalado.
  • OS Inventory Management no está habilitado.
  • El sistema operativo no es compatible. Para ver una lista de los sistemas operativos compatibles, consulta Sistemas operativos compatibles.

Estado de cumplimiento de los parches

Tarjeta específica del SO.

En esta sección se describe el estado de cumplimiento de cada VM, organizado por sistema operativo.

El estado de cumplimiento se clasifica en cuatro categorías principales:

  • Crítico: significa que hay actualizaciones críticas disponibles para una VM.
  • Importante o de seguridad: significa que hay actualizaciones importantes o de seguridad disponibles para una máquina virtual.
  • Otro: esto significa que hay actualizaciones disponibles para una VM, pero ninguna de ellas se ha clasificado como crítica o de seguridad.
  • Up-to-date: significa que una VM no tiene ninguna actualización disponible.

Siguientes pasos