Informazioni sulla patch


Utilizza Patch per applicare patch del sistema operativo a un insieme di istanze VM (VM) di Compute Engine. Le VM a lunga esecuzione richiedono aggiornamenti periodici di sistema per proteggersi da difetti e vulnerabilità.

La funzionalità Patch ha due componenti principali:

  • Report sulla conformità delle patch, che fornisce insight sullo stato di patch delle tue istanze VM nelle distribuzioni Windows e Linux. Oltre agli insight, puoi anche visualizzare suggerimenti per le tue istanze VM.
  • Deployment delle patch, che automatizza il processo di aggiornamento delle patch del sistema operativo e del software. Un deployment delle patch pianifica i job di patch. Un job di applicazione patch viene eseguito su più istanze VM e applica le patch.

Vantaggi

Il servizio Patch ti offre la flessibilità di completare i seguenti processi:

  • Creare approvazioni delle patch. Puoi selezionare quali patch applicare al tuo sistema dall'insieme completo di aggiornamenti disponibili per lo specifico sistema operativo.
  • Configurare una pianificazione flessibile. Puoi scegliere quando eseguire gli aggiornamenti delle patch (una tantum e con pianificazioni ricorrenti).
  • Applicare impostazioni di configurazione patch avanzate. Puoi personalizzare le tue patch aggiungendo configurazioni come script da eseguire prima e dopo l'applicazione delle patch.
  • Gestire questi job di applicazione patch o aggiornamenti da un punto centralizzato. Puoi utilizzare la dashboard Patch per monitorare e creare report sui job di applicazione patch e sullo stato di conformità.

Prezzi

Per informazioni sui prezzi, consulta la pagina relativa ai prezzi di VM Manager.

Come funziona Patch

Per utilizzare la funzionalità Patch, devi configurare l'API OS Config e installare l'agente OS Config. Per istruzioni dettagliate, consulta Configurazione di VM Manager. Il servizio OS Config consente la gestione delle patch nel tuo ambiente, mentre l'agente OS Config utilizza il meccanismo di aggiornamento di ciascun sistema operativo per applicare le patch. Gli aggiornamenti vengono estratti dai repository di pacchetti (altrimenti chiamati pacchetti di origine della distribuzione) o da un repository locale per il sistema operativo.

Per applicare le patch vengono utilizzati i seguenti strumenti di aggiornamento:

  • Red Hat Enterprise Linux (RHEL), Rocky Linux e CentOS - yum upgrade
  • Debian e Ubuntu - apt upgrade
  • SUSE Linux Enterprise Server (SLES) - zypper update
  • Windows - Agente Windows Update

Origini di patch e pacchetti

Per utilizzare la funzionalità Patch in VM Manager, la VM deve avere accesso agli aggiornamenti o alle patch dei pacchetti. Il servizio Patch non ospita né gestisce aggiornamenti o patch dei pacchetti. In alcuni scenari, la VM potrebbe non avere accesso agli aggiornamenti. Ad esempio, se la VM non utilizza IP pubblici o se stai utilizzando una rete VPC privata. In questi scenari, devi completare passaggi aggiuntivi per consentire l'accesso agli aggiornamenti o alle patch. Valuta le seguenti opzioni.

  • Google consiglia di ospitare il tuo repository locale o un Windows Server Update Service per il controllo completo sulla base di riferimento delle patch.
  • In alternativa, puoi rendere disponibili origini di aggiornamento esterne per le tue VM utilizzando Cloud NAT o altri servizi proxy.

La gestione delle patch consiste in due servizi: deployment delle patch e conformità delle patch. Ogni servizio è illustrato nelle sezioni seguenti.

Panoramica del deployment delle patch

Un deployment di patch viene avviato effettuando una chiamata all'API VM Manager (nota anche come API OS Config). A questo scopo, puoi utilizzare la console Google Cloud, Google Cloud CLI o una chiamata API diretta. Quindi l'API VM Manager comunica all'agente OS Config in esecuzione sulle VM di destinazione di iniziare ad applicare le patch.

L'agente OS Config esegue l'applicazione di patch su ogni VM utilizzando lo strumento di gestione delle patch disponibile per ogni distribuzione. Ad esempio, le VM Ubuntu utilizzano lo strumento di utilità apt. Lo strumento recupera gli aggiornamenti (patch) dall'origine di distribuzione per il sistema operativo. Man mano che le patch vengono applicate, l'agente OS Config segnala lo stato di avanzamento nell'API VM Manager.

Panoramica della conformità delle patch

Dopo aver configurato VM Manager su una VM, si verifica quanto segue sulla VM:

  • L'agente OS Config segnala periodicamente (circa ogni 10 minuti) i dati di inventario del sistema operativo .
  • Il backend per la conformità delle patch legge periodicamente questi dati, li salva incrociati con i metadati del pacchetto ottenuti dalla distribuzione del sistema operativo.
  • La console Google Cloud recupera quindi i dati di conformità delle patch e visualizza queste informazioni nella console.

Come vengono generati i dati di conformità delle patch

Il backend di conformità delle patch completa periodicamente le seguenti attività:

  1. Legge i report raccolti dai dati di inventario del sistema operativo su una VM.
  2. Scansiona i dati di classificazione dall'origine della vulnerabilità per ciascun sistema operativo e ordina questi dati in base alla gravità (dal più alto al più basso).

    La seguente tabella riassume l'origine delle vulnerabilità utilizzata per ogni sistema operativo.

    Sistema operativo Pacchetto di origine vulnerabilità
    RHEL e CentOS https://access.redhat.com/security/data
    Debian https://security-tracker.debian.org/tracker
    Ubuntu https://launchpad.net/ubuntu-cve-tracker
    SLES N/D

    I report sulla conformità delle patch non sono supportati su SLES

    Rocky Linux N/D

    I report sulla conformità delle patch sono supportati su Rocky Linux. Tuttavia, la classificazione dei dati sulle vulnerabilità in base alla gravità non è disponibile.

    Windows Il backend di conformità delle patch riceve i dati di classificazione dall'API Windows Update Agent.

  3. Mappa queste classificazioni (fornite dall'origine delle vulnerabilità) allo stato di conformità della patch di Google.

    La seguente tabella riassume il sistema di mappatura utilizzato per generare lo stato di conformità delle patch di Google.

    Categorie di origini di distribuzione Stato di conformità delle patch di Google
    • Critico
    • Urgente
    • WINDOWS_CRITICAL_UPDATE
    Critica (ROSSO)
    • Importante
    • Alta
    • WINDOWS_SECURITY_UPDATE
    Importanti/Sicurezza (ARANCIONE)
    • Tutto il resto
    Altro (GIALLO)
    • Nessun aggiornamento disponibile
    Aggiornate (VERDE)

  4. Seleziona i dati con la massima gravità per ogni aggiornamento disponibile e li mostra nella pagina della dashboard della console Google Cloud. Puoi anche visualizzare un report completo di tutti gli aggiornamenti disponibili per la VM nella pagina dei dettagli della VM.

Ad esempio, se i dati di inventario del sistema operativo per una VM RHEL 7 includono i seguenti dati del pacchetto:

  • Nome pacchetto: pacchetto1
  • Versione installata: 1.4
  • Versione aggiornamento: 2.0

Il backend per la conformità delle patch analizza i dati di classificazione (dalla distribuzione di origine) e recupera le seguenti informazioni:

  • Versione 1.5 => Critica, corregge CVE-001
  • Versione 1.8 => Bassa, corregge CVE-002
  • Versione 1.9 => Bassa, corregge CVE-003

Quindi, nella dashboard della console Google Cloud, questa VM RHEL 7 viene aggiunta all'elenco delle VM per cui è disponibile un aggiornamento di Critical. Se esamini i dettagli per questa VM, vedrai 1 aggiornamento Critical disponibile (versione 2.0) con tre CVE, CVE-001, CVE-002 e CVE-003.

Applicazione simultanea di patch

Quando avvii un job di applicazione patch, il servizio utilizza il filtro delle istanze fornito per determinare le istanze specifiche a cui applicare la patch. I filtri delle istanze consentono di applicare patch contemporaneamente a più istanze. Questo filtro viene eseguito quando il job di applicazione patch inizia per tenere conto delle modifiche nel tuo ambiente dopo la pianificazione del job.

Applicazione delle patch pianificata

Le patch possono essere eseguite on demand, pianificate in anticipo o configurate con una pianificazione ricorrente. Puoi anche annullare un job di applicazione patch in corso se devi arrestarlo immediatamente.

Puoi impostare i periodi di manutenzione delle patch creando deployment delle patch con una frequenza e una durata specificate. La pianificazione di job di applicazione patch con una durata specificata garantisce che le attività di applicazione di patch non inizino al di fuori del periodo di manutenzione designato.

Puoi anche applicare le scadenze per l'installazione delle patch creando deployment delle patch da completare in un momento specifico. Se la patch non viene applicata entro questa data, il deployment pianificato inizierà a installare le patch in questa data. Se alle VM è già stata applicata la patch, non viene intrapresa alcuna azione su queste VM, a meno che non venga specificato uno script precedente o successivo alla patch o non sia richiesto un riavvio.

Cosa è incluso in un job di applicazione patch?

Quando un job di applicazione patch viene eseguito su una VM, a seconda del sistema operativo, viene applicata una combinazione di aggiornamenti. Puoi scegliere come target aggiornamenti e pacchetti specifici oppure, per i sistemi operativi Windows, specificare gli ID KB da aggiornare.

Puoi anche utilizzare un job di applicazione patch per aggiornare qualsiasi agente Google installato come pacchetto standard per quella distribuzione specifica. Usa lo strumento di aggiornamento della distribuzione per eseguire query sui pacchetti disponibili. Ad esempio, per visualizzare gli agenti Google disponibili per un sistema operativo Ubuntu, esegui apt list --installed | grep -P 'google'.

Windows

Per il sistema operativo Windows, puoi applicare tutti i seguenti aggiornamenti o selezionarne uno tra i seguenti:

  • Aggiornamenti delle definizioni
  • Aggiornamenti dei driver
  • Aggiornamenti dei pacchetti di funzionalità
  • Aggiornamenti della sicurezza
  • Aggiornamenti degli strumenti

RHEL/Rocky/CentOS

Per i sistemi operativi Red Hat Enterprise Linux, Rocky Linux e CentOS, puoi applicare tutti gli aggiornamenti o selezionarli tra i seguenti:

  • Aggiornamenti di sistema
  • Aggiornamenti della sicurezza

Debian/Ubuntu

Per i sistemi Debian e Ubuntu, puoi applicare tutti i seguenti aggiornamenti o selezionarli:

  • Aggiornamenti sulla distribuzione
  • Aggiornamenti di Gestione pacchetti

SUSE

Per i sistemi operativi SUSE Enterprise Linux Server (SLES) e openSUSE, puoi applicare tutti gli aggiornamenti o selezionarli tra i seguenti:

  • Aggiornamenti dei pacchetti di sistema
  • Patch Zypper (correzioni di bug specifiche e di sicurezza)

Accedi al riepilogo delle patch per le tue VM

Per visualizzare il riepilogo delle patch per le tue VM, hai a disposizione le seguenti opzioni:

  • Per visualizzare le informazioni di riepilogo delle patch per tutte le VM in un'organizzazione o una cartella, utilizza la dashboard Patch nella console Google Cloud. Vedi Visualizzare il riepilogo delle patch per le VM.

  • Per visualizzare lo stato dei job di applicazione patch, utilizza la pagina Job di applicazione patch nella console Google Cloud. Puoi anche utilizzare Google Cloud CLI o l'API OS Config. Per saperne di più, consulta Gestire i job di applicazione patch.

Per visualizzare altre informazioni come gli aggiornamenti dei pacchetti del sistema operativo e i report sulle vulnerabilità, consulta Visualizzare i dettagli del sistema operativo.

Dashboard delle patch

Nella console Google Cloud è disponibile una dashboard che puoi utilizzare per monitorare la conformità delle patch per le tue istanze VM.

Vai alla pagina Patch

Dashboard delle patch.

Informazioni sulla dashboard Patch

Panoramica del sistema operativo

Questa sezione mostra il numero totale di VM, organizzate per sistema operativo. Affinché una VM venga visualizzata in questo elenco, l'agente OS Config deve installato e OS Inventory Management abilitato.

Scheda Numero di VM.

Se una VM è elencata come No data con il relativo sistema operativo, potrebbero verificarsi uno o più dei seguenti scenari:

  • La VM non risponde.
  • L'agente OS Config non è installato.
  • OS Inventory Management non è abilitato.
  • Il sistema operativo non è supportato. Per un elenco dei sistemi operativi supportati, consulta l'articolo Sistemi operativi supportati.

Stato conformità patch

Scheda specifica del sistema operativo.

Questa sezione fornisce i dettagli dello stato di conformità di ciascuna delle VM organizzate dal rispettivo sistema operativo.

Lo stato di conformità è suddiviso in quattro categorie principali:

  • Critico: significa che sono disponibili aggiornamenti critici per una VM.
  • Importante o per la sicurezza: significa che per una VM sono disponibili aggiornamenti importanti o di sicurezza.
  • Altro: significa che per una VM sono disponibili aggiornamenti, ma nessuno di questi è classificato come aggiornamento critico o per la sicurezza.
  • Aggiornato: significa che per una VM non sono disponibili aggiornamenti.

Che cosa succede dopo?