Informazioni sulla patch

Usa Patch per applicare patch del sistema operativo a un insieme di istanze VM (VM) di Compute Engine. Le VM a lunga esecuzione richiedono aggiornamenti periodi di sistema per proteggerli da difetti e vulnerabilità.

La funzionalità Patch ha due componenti principali:

  • Report sulla conformità delle patch, che offre insight sullo stato di patch delle tue istanze VM nelle distribuzioni Windows e Linux. Oltre agli insight, puoi anche visualizzare suggerimenti per le tue istanze VM.
  • Deployment delle patch, che automatizza il processo di aggiornamento delle patch del sistema operativo e del software. Un deployment delle patch pianifica job di patch. Un job di patch viene eseguito su più istanze VM e applica le patch.

Vantaggi

Il servizio Patch ti offre la flessibilità per completare i seguenti processi:

  • Creare approvazioni delle patch. Puoi selezionare quali patch applicare al tuo sistema dal set completo di aggiornamenti disponibili per lo specifico sistema operativo.
  • Configurare una pianificazione flessibile. Puoi scegliere quando aggiornare le patch (una tantum e con pianificazioni ricorrenti).
  • Applicare impostazioni di configurazione patch avanzate. Puoi personalizzare le patch aggiungendo configurazioni come script da eseguire prima e dopo l'applicazione delle patch.
  • Gestire questi job di applicazione patch o aggiornamenti da un punto centralizzato. Puoi utilizzare la dashboard delle patch per monitorare e creare report sui job di applicazione patch e sullo stato di conformità.

Prezzi

Per informazioni sui prezzi, vedi Prezzi di VM Manager.

Come funziona Patch

Per utilizzare la funzionalità Patch, devi configurare l'API OS Config e installare l'agente OS Config. Per istruzioni dettagliate, consulta Configurare VM Manager. Il servizio OS Config consente la gestione delle patch nel tuo ambiente, mentre l'agente OS Config utilizza il meccanismo di aggiornamento per ciascun sistema operativo per applicare le patch. Gli aggiornamenti vengono estratti dai repository di pacchetti (altrimenti denominati pacchetto di origine di distribuzione) o da un repository locale per il sistema operativo.

Per applicare le patch vengono utilizzati i seguenti strumenti di aggiornamento:

  • Red Hat Enterprise Linux (RHEL), Rocky Linux e CentOS - yum upgrade
  • Debian e Ubuntu - apt upgrade
  • SUSE Linux Enterprise Server (SLES) - zypper update
  • Windows - Agente Windows Update

Origini patch e pacchetti

Per utilizzare la funzionalità Patch in VM Manager, la VM deve avere accesso agli aggiornamenti o alle patch dei pacchetti. Il servizio Patch non ospita né gestisce patch o aggiornamenti dei pacchetti. In alcuni scenari, la VM potrebbe non avere accesso agli aggiornamenti. ad esempio se la tua VM non usa IP pubblici o stai usando una rete VPC privata. In questi scenari, è necessario completare ulteriori passaggi per consentire l'accesso agli aggiornamenti o alle patch. Valuta le seguenti opzioni.

  • Google consiglia di ospitare il tuo repository locale o un servizio di aggiornamento di Windows Server per un controllo completo sulla base di riferimento delle patch.
  • In alternativa, puoi rendere disponibili le origini di aggiornamento esterne per le tue VM utilizzando Cloud NAT o altri servizi proxy.

La gestione delle patch consiste in due servizi: deployment e conformità delle patch. Ogni servizio è descritto nelle sezioni seguenti.

Panoramica del deployment delle patch

Il deployment delle patch viene avviato effettuando una chiamata all'API VM Manager (nota anche come API OS Config). A questo scopo, puoi utilizzare la console Google Cloud, Google Cloud CLI o una chiamata API diretta. Quindi, l'API VM Manager comunica all'agente OS Config in esecuzione sulle VM di destinazione di iniziare l'applicazione di patch.

L'agente OS Config esegue l'applicazione di patch su ogni VM utilizzando lo strumento di gestione delle patch disponibile per ciascuna distribuzione. Ad esempio, le VM Ubuntu utilizzano lo strumento di utilità apt. Lo strumento di utilità recupera gli aggiornamenti (patch) dall'origine di distribuzione per il sistema operativo. Man mano che l'applicazione delle patch procede, l'agente OS Config segnala l'avanzamento dell'API VM Manager.

Panoramica della conformità delle patch

Dopo aver configurato VM Manager su una VM, sulla VM avviene quanto segue:

  • L'agente OS Config genera periodicamente (circa ogni 10 minuti) report sui dati di inventario del sistema operativo .
  • Il backend per la conformità delle patch legge periodicamente questi dati, li fa riferimento incrociati con i metadati del pacchetto ottenuti dalla distribuzione del sistema operativo e li salva.
  • La console Google Cloud recupera quindi i dati di conformità delle patch e visualizza queste informazioni nella console.

Come vengono generati i dati di conformità delle patch

Il backend di conformità delle patch completa periodicamente le seguenti attività:

  1. Legge i report raccolti dai dati di inventario del sistema operativo su una VM.

  2. Analizza i dati di classificazione dall'origine della vulnerabilità per ogni sistema operativo e ordina questi dati in base alla gravità (dal più alto al più basso).

    La seguente tabella riassume l'origine di vulnerabilità utilizzata per ogni sistema operativo.

    Sistema operativo Pacchetto Origine vulnerabilità
    RHEL e CentOS https://access.redhat.com/security/data

    I risultati dell'analisi delle vulnerabilità per RHEL si basano sull'ultima versione secondaria per ogni versione principale rilasciata. Potrebbero esserci inesattezze nei risultati della scansione per le versioni secondarie meno recenti di RHEL.
    Debian https://security-tracker.debian.org/tracker
    Ubuntu https://launchpad.net/ubuntu-cve-tracker
    SLES N/A

    I report sulla conformità delle patch non sono supportati su SLES
    Rocky Linux N/A

    I report sulla conformità delle patch sono supportati su Rocky Linux. Tuttavia, la classificazione dei dati sulle vulnerabilità in base alla gravità non è disponibile.
    Windows Il backend di conformità delle patch riceve i dati di classificazione dall'API Windows Update Agent.

  3. Mappa queste classificazioni (fornite dall'origine di vulnerabilità) allo stato di conformità delle patch di Google.

    La tabella seguente riassume il sistema di mappatura utilizzato per generare lo stato di conformità delle patch di Google.

    Categorie di origini della distribuzione Stato di conformità delle patch di Google
    • Critico
    • Urgente
    • WINDOWS_CRITICAL_UPDATE
    		 Critica (ROSSO)
    • Importante
    • Alta
    • WINDOWS_SECURITY_UPDATE
    		 Importante/Sicurezza (ARANCIONE)
    • Tutto il resto
    		 Altro (GIALLO)
    • Nessun aggiornamento disponibile
    		 Aggiornato (VERDE)

  4. Seleziona i dati con gravità massima per ogni aggiornamento disponibile e li mostra nella pagina della dashboard della console Google Cloud. Puoi anche visualizzare un report completo di tutti gli aggiornamenti disponibili per la VM nella pagina dei dettagli della VM.

Ad esempio, se i dati di inventario del sistema operativo per una VM RHEL 7 includono i seguenti dati del pacchetto:

  • Nome pacchetto: package1
  • Versione installata: 1.4
  • Versione aggiornamento: 2.0

Il backend per la conformità delle patch analizza i dati di classificazione (dalla distribuzione di origine) e recupera le seguenti informazioni:

  • Versione 1.5 => Critica, correzioni CVE-001
  • Versione 1.8 => Bassa, correzioni CVE-002
  • Versione 1.9 => Bassa, correzioni CVE-003

Quindi, nella dashboard della console Google Cloud, questa VM RHEL 7 viene aggiunta all'elenco di VM per cui è disponibile un aggiornamento di Critical. Se esamini i dettagli di questa VM, vedrai 1 aggiornamento Critical disponibile (versione 2.0) con 3 CVE, CVE-001, CVE-002 e CVE-003.

Applicazione di patch simultanea

Quando avvii un job di applicazione patch, il servizio utilizza il filtro delle istanze che hai fornito per determinare le istanze specifiche a cui applicare la patch. I filtri delle istanze consentono di applicare contemporaneamente patch a più istanze contemporaneamente. Questo filtro viene applicato quando il job di applicazione patch inizia a tenere conto delle modifiche nell'ambiente dopo la pianificazione del job.

Applicazione di patch pianificata

Le patch possono essere eseguite on demand, programmate in anticipo o configurate con una programmazione ricorrente. Puoi anche annullare un job di applicazione patch in corso se devi arrestarlo immediatamente.

Puoi impostare periodi di manutenzione delle patch creando deployment delle patch con una frequenza e una durata specificate. La pianificazione dei job di applicazione patch con una durata specificata garantisce che le attività di applicazione di patch non inizino al di fuori del periodo di manutenzione designato.

Puoi anche applicare in modo forzato le scadenze per l'installazione delle patch creando deployment delle patch da completare in un momento specifico. Se le patch delle VM target non vengono applicate entro questa data, il deployment pianificato inizierà a installare le patch a questa data. Se alle VM è già stata applicata una patch, non viene intrapresa alcuna azione sulle VM, a meno che non venga specificato uno script pre o post-applicazione o non sia necessario un riavvio.

Cosa è incluso in un job di applicazione patch?

Quando un job di applicazione patch viene eseguito su una VM, a seconda del sistema operativo viene applicata una combinazione di aggiornamenti. Puoi scegliere come target aggiornamenti e pacchetti specifici oppure, per i sistemi operativi Windows, specificare gli ID KB da aggiornare.

Puoi anche utilizzare un job di applicazione patch per aggiornare gli agenti Google installati come pacchetto standard per quella specifica distribuzione. Usare lo strumento di aggiornamento per la distribuzione per eseguire query sui pacchetti disponibili. Ad esempio, per vedere gli agenti Google disponibili per un sistema operativo Ubuntu, esegui apt list --installed | grep -P 'google'.

Windows

Per il sistema operativo Windows, puoi applicare tutti i seguenti aggiornamenti o selezionarli:

  • Aggiornamenti delle definizioni
  • Aggiornamenti dei driver
  • Aggiornamenti dei pacchetti di funzionalità
  • Aggiornamenti della sicurezza
  • Aggiornamenti dello strumento

RHEL/Rocky/CentOS

Per i sistemi operativi Red Hat Enterprise Linux, Rocky Linux e CentOS, puoi applicare tutti gli aggiornamenti o selezionarli dai seguenti aggiornamenti:

  • Aggiornamenti di sistema
  • Aggiornamenti della sicurezza

Debian/Ubuntu

Per i sistemi Debian e Ubuntu, puoi applicare tutti gli aggiornamenti o selezionarli dai seguenti aggiornamenti:

  • Aggiornamenti sulla distribuzione
  • Aggiornamenti del gestore di pacchetti

SUSE

Per i sistemi operativi SUSE Enterprise Linux Server (SLES) e openSUSE, puoi applicare tutti gli aggiornamenti o selezionarli dai seguenti aggiornamenti:

  • Aggiornamenti dei pacchetti di sistema
  • Patch di Zypper (correzioni di bug specifiche e correzioni di sicurezza)

Accedi al riepilogo delle patch per le tue VM

Per visualizzare il riepilogo delle patch per le tue VM, hai le seguenti opzioni:

  • Per visualizzare le informazioni di riepilogo delle patch per tutte le VM in un'organizzazione o in una cartella, utilizza la dashboard Patch nella console Google Cloud. Consulta Visualizzare il riepilogo delle patch per le VM.

  • Per visualizzare lo stato dei job di applicazione patch, utilizza la pagina Job di applicazione patch nella console Google Cloud. Puoi anche utilizzare Google Cloud CLI o l'API OS Config. Per ulteriori informazioni, vedi Gestire i job di applicazione patch.

Per visualizzare altre informazioni, ad esempio gli aggiornamenti dei pacchetti del sistema operativo e i report sulle vulnerabilità, consulta Visualizzare i dettagli del sistema operativo.

Dashboard Patch

Nella console Google Cloud è disponibile una dashboard che puoi utilizzare per monitorare la conformità delle patch per le tue istanze VM.

Vai alla pagina Patch

Patch dashboard.

Informazioni sulla dashboard Patch

Panoramica del sistema operativo

Questa sezione riflette il numero totale di VM, organizzate per sistema operativo. Affinché una VM venga visualizzata in questo elenco, deve avere l'agente OS Config installato e la gestione dell'inventario del sistema operativo abilitata.

Scheda Numero di VM.

Se una VM è elencata con il relativo sistema operativo come No data, potrebbero verificarsi uno o più dei seguenti scenari:

  • La VM non risponde.
  • L'agente OS Config non è installato.
  • La gestione dell'inventario del sistema operativo non è abilitata.

  • Il sistema operativo non è supportato. Per un elenco dei sistemi operativi supportati, vedi Sistemi operativi supportati.

Stato di conformità delle patch

Scheda specifica del sistema operativo.

Questa sezione fornisce i dettagli sullo stato di conformità di ciascuna delle VM organizzate per sistema operativo.

Lo stato di conformità è organizzato in quattro categorie principali:

  • Critici: significa che per una VM sono disponibili aggiornamenti critici.
  • Importante o sicurezza: indica che per una VM sono disponibili aggiornamenti importanti o di sicurezza.
  • Altro: una VM ha aggiornamenti disponibili, ma nessuno di questi aggiornamenti è classificato come critico o per aggiornamento della sicurezza.
  • Aggiornato: significa che una VM non ha aggiornamenti disponibili.

Che cosa succede dopo?