OS Patch Management


Verwenden Sie OS Patch Management, um Betriebssystempatches auf eine Reihe von Compute Engine-VM-Instanzen (VMs) anzuwenden. Für lang andauernde VMs sind regelmäßige Systemupdates erforderlich, um Fehler und Sicherheitslücken zu vermeiden.

Der OS Patch Management-Dienst besteht aus zwei Hauptkomponenten:

  • Die Berichterstellung zur Patchcompliance, die Informationen zum Patchstatus Ihrer VM-Instanzen in Windows- und Linux-Distributionen bietet. Neben diesen Informationen können Sie sich auch Empfehlungen für Ihre VM-Instanzen anzeigen lassen.
  • Die Patchbereitstellung für eine automatisierte Aktualisierung mit Betriebssystem- und Softwarepatches. Bei einer Patchbereitstellung werden Patchjobs geplant. Ein Patchjob wird auf VM-Instanzen ausgeführt und dient zur Anwendung von Patches.

Vorteile

Mit dem OS Patch Management-Dienst können Sie die folgenden Prozesse flexibel ausführen:

  • Erstellen Sie Patchgenehmigungen. Aus einer ganzen Reihe von Updates, die für ein bestimmtes Betriebssystem zur Verfügung stehen, können Sie die Patches auswählen, die auf Ihr System angewendet werden sollen.
  • Richten Sie die flexible Planung ein. Sie können auswählen, wann Patchupdates (einmalige und wiederkehrende Zeitpläne) ausgeführt werden sollen.
  • Wenden Sie die erweiterten Patch-Konfigurationseinstellungen an. Sie können die Patches anpassen, indem Sie Konfigurationen wie Pre- und Post-Patching-Skripts hinzufügen.
  • Verwalten Sie diese Patchjobs oder Updates zentral. Sie können das OS Patch Management-Dashboard verwenden, um Patchjobs sowie den Compliancestatus zu überwachen und Berichte dazu zu erstellen.

Preise

Informationen zu Preisen finden Sie unter Preise für VM Manager.

So funktioniert OS Patch Management

Wenn Sie das OS Patch Management-Feature verwenden möchten, müssen Sie die OS Config API einrichten und den OS Config-Agent installieren. Eine ausführliche Anleitung finden Sie unter VM Manager einrichten. Der OS Configuration-Dienst ermöglicht die Patchverwaltung in Ihrer Umgebung und der OS Configuration-Agent nutzt den Updatemechanismus für das jeweilige Betriebssystem, um Patches anzuwenden. Aktualisierungen werden aus den Package Repositories (auch als Distribution Source Package bezeichnet) oder einem lokalen Repository für das Betriebssystem abgerufen.

In der folgenden Tabelle sind die Update Tool- und Distribution Source Packages zusammengefasst, die zum Erfassen von Daten verwendet werden.

Betriebssystem Update Tool Distribution Source Package
RHEL und Centos yum upgrade
Debian apt upgrade https://security-tracker.debian.org/tracker/data/json
Ubuntu apt upgrade https://storage.googleapis.com/ubuntu-cve-tracker/ubuntu.tar.gz
Windows Windows Update Agent Windows Update-Dienst oder der lokale Windows Server Update Service (WSUS)

Wenn Ihre VM keinen Zugriff auf die Updates hat, müssen Sie durch zusätzliche Schritte den Zugriff auf die Updates oder Patches ermöglichen. Optionen:

  • Google empfiehlt, ein eigenes lokales Repository oder einen Windows Server Update Service zu hosten, um die Patch-Basis komplett selbst steuern zu können.
  • Alternativ können Sie für Ihre VMs mithilfe von Cloud NAT oder mit anderen Proxy-Diensten externe Updatequellen zur Verfügung stellen.

Die Patchverwaltung besteht aus zwei Diensten: Patch-Deployment und Patch-Compliance. Die Dienste werden in den folgenden Abschnitten erläutert.

Übersicht über Patch-Deployment

Ein Patch-Deployment wird beim Aufrufen der Patch API (auch als Cloud OS Config API bezeichnet) initiiert. Verwenden Sie dazu entweder die Google Cloud Console, das gcloud-Befehlszeilentool oder einen direkten API-Aufruf. Die Patch API benachrichtigt dann den OS Config-Agent, der auf den Ziel-VMs ausgeführt wird, um mit dem Patchen zu beginnen.

Der OS Config-Agent führt das Patching auf jeder VM mithilfe des Patch Management Tools aus, das für jede Distribution verfügbar ist. Ubuntu-VMs nutzen beispielsweise das Dienstprogramm apt. Das Dienstprogrammtool ruft Aktualisierungen (Patches) aus der Distributionsquelle für das Betriebssystem ab. Wenn das Patching fortgesetzt wird, meldet der OS Config-Agent den Fortschritt an die Patch API.

Übersicht über die Patch-Compliance

Nachdem Sie auf einer VM VM Manager eingerichtet haben, passiert auf der VM Folgendes:

  • Der OS Config-Agent meldet (etwa alle zehn Minuten) Betriebssystem-Bestandsdaten in Gastattribute der VM.
  • Das Patch-Compliance-Back-End liest diese Daten regelmäßig, vergleicht sie mit den Paketmetadaten aus der Betriebssystemverteilung und speichert sie im Repository des Container Analysis-Dienstes.
  • Die Google Cloud Console ruft dann die Patch-Compliance-Daten vom Container Analysis API-Dienst ab und zeigt diese Informationen in der Console an.

So werden Patch-Compliance-Daten generiert

Das Patch-Compliance-Back-End führt regelmäßig die folgenden Aufgaben aus:

  1. Liest die Berichte, die aus Betriebssystem-Bestandsdaten auf einer VM erfasst wurden.
  2. Sucht nach Klassifizierungsdaten aus der Verteilungsquelle für jedes Betriebssystem und sortiert diese Daten nach Schweregrad (von der höchsten bis zur niedrigsten Priorität).
  3. Ordnet diese Klassifizierungen (von der Distributionsquelle bereitgestellt) dem Patch-Compliancestatus von Google zu.
  4. Die Daten werden im Repository des Container Analysis-Dienstes gespeichert.
  5. Wählt die Daten mit dem höchsten Schweregrad für jedes verfügbare Update aus und zeigt sie auf der Dashboard-Seite der Google Cloud Console an. Auf der Seite VM-Details finden Sie einen vollständigen Bericht über alle verfügbaren Updates für die VM.

In der folgenden Tabelle ist das Kartensystem zusammengefasst, mit dem der Patch-Konformitätsstatus von Google generiert wird.

Kategorien von Distributionsquellen Patch-Compliancestatus von Google
  • Kritisch
  • Dringend
  • WINDOWS_CRITICAL_UPDATE
Kritisch (ROT)
  • Wichtig
  • Hoch
  • WINDOWS_SECURITY_UPDATE
Wichtig/Sicherheit (ORANGE)
  • Alles andere
Sonstiges (GELB)
  • Keine Updates verfügbar
Aktuell (GRÜN)

Wenn beispielsweise die Betriebssystemdaten für das Betriebssystem einer RHEL 7-VM die folgenden Paketdaten haben:

  • Paketname: package1
  • Installierte Version: 1.4
  • Update-Version: 2.0

Das Patch-Compliance-Back-End sucht nach Klassifizierungsdaten (aus der Distribution der Quelldatei) und ruft die folgenden Informationen ab:

  • Version 1.5 => Kritisch
  • Version 1.8 => Niedrig
  • Version 1.9 => Niedrig

Diese RHEL 7-VM wird dann im Google Cloud Console-Dashboard zur Liste der VMs hinzugefügt, für die ein Critical-Update verfügbar ist. Wenn Sie die Details für diese VM prüfen, werden ein Critical-Update und zwei Low-Updates angezeigt.

Gleichzeitiges Patchen

Wenn Sie einen Patchjob initialisieren, verwendet der Dienst den von Ihnen angegebenen Instanzfilter, um die spezifischen Instanzen zu ermitteln, die gepatcht werden sollen. Mit Instanzfiltern können Sie mehrere Instanzen gleichzeitig aktualisieren. Dieses Filtern erfolgt, wenn der Patchjob beginnt, Änderungen in Ihrer Umgebung zu berücksichtigen, nachdem der Job geplant wurde.

Geplantes Patching

Patches können bei Bedarf ausgeführt, im Voraus geplant oder mit einem wiederkehrenden Zeitplan konfiguriert werden. Sie können einen laufenden Patchjob auch abbrechen, wenn Sie ihn sofort anhalten müssen.

Sie können Patchwartungsfenster einrichten. Erstellen Sie dazu Patchbereitstellungen mit einer bestimmten Häufigkeit und Dauer. Durch das Planen von Patchjobs mit einer angegebenen Dauer wird dafür gesorgt, dass Patchaufgaben nicht außerhalb des festgelegten Wartungsfensters gestartet werden.

Sie können auch Fristen für die Patchinstallation erzwingen. Erstellen Sie dazu Patchbereitstellungen, die zu einem bestimmten Zeitpunkt abgeschlossen werden müssen. Wenn die gewünschten VMs bis zu diesem Datum nicht gepatcht wurden, beginnt an diesem Datum die geplante Bereitstellung mit der Installation von Patches. Sollten VMs bereits gepatcht sein, werden für diese VMs keine Maßnahmen ergriffen, außer es ist ein Skript angegeben, das vor oder nach dem Patch ausgeführt wird, oder es ist ein Neustart erforderlich.

Was ist in einem OS-Patchjob enthalten?

Beim Ausführen eines Patchjobs auf einer VM wird je nach Betriebssystem eine Kombination von Updates angewendet. Sie können auch bestimmte Updates und Pakete festlegen oder für Windows-Betriebssysteme die KB-IDs angeben, die Sie aktualisieren möchten.

Windows

Beim Windows-Betriebssystem können Sie alle Updates anwenden oder eine Auswahl aus den folgenden Updates treffen:

  • Definitionsupdates
  • Treiberupdates
  • Updates für Featurepakete
  • Sicherheitsupdates
  • Toolupdates

RHEL/CentOS

Bei Red Hat Enterprise Linux- und Centos-Betriebssystemen können Sie alle Updates anwenden oder eine Auswahl aus den folgenden Updates treffen:

  • Systemupdates
  • Sicherheitsupdates

Debian/Ubuntu

Bei Debian- und Ubuntu-Systemen können Sie alle Updates anwenden oder eine Auswahl aus den folgenden Updates treffen:

  • Distributionsupdates
  • Paketmanager-Updates

SUSE

Bei SUSE Enterprise Linux Server- (SLES) und openSUSE-Betriebssystemen können Sie alle Updates anwenden oder eine Auswahl aus den folgenden Updates treffen:

  • Updates des Systempakets
  • Zypper-Patches (spezielle Fehlerkorrekturen und Sicherheitsupdates)

Das OS Patch Management-Dashboard

In der Google Cloud Console ist ein Dashboard verfügbar, mit dem Sie die Patchcompliance für Ihre VM-Instanzen überwachen können.

Zur Seite "OS Patch Management"

OS Patch Management-Dashboard

Details zum OS Patch Management-Dashboard

Betriebssystemübersicht

In diesem Abschnitt wird die Gesamtzahl der VMs nach Betriebssystem angezeigt. Damit eine VM in dieser Liste angezeigt wird, muss der OS Config-Agent installiert und OS Inventory Management aktiviert sein.

Karte mit der Anzahl der VMs

Wenn für eine VM als Betriebssystem No data aufgelistet ist, können eines oder mehrere der folgenden Szenarien zutreffen:

  • Die VM reagiert nicht mehr.
  • Der OS Config-Agent ist nicht installiert.
  • OS Inventory Management ist nicht aktiviert.
  • Das Betriebssystem wird nicht unterstützt. Eine Liste der unterstützten Betriebssysteme finden Sie unter Unterstützte Betriebssysteme.

Compliancestatus des Patches

Karte für das jeweilige Betriebssystem

Dieser Abschnitt enthält Details zum Compliancestatus der einzelnen VMs, geordnet nach Betriebssystem.

Der Compliancestatus ist in vier Hauptkategorien unterteilt:

  • Kritisch: Dies bedeutet, dass für eine VM kritische Updates verfügbar sind.
  • Wichtig oder Sicherheit: Dies bedeutet, dass für eine VM wichtige Updates oder Sicherheitsupdates verfügbar sind.
  • Sonstiges: Dies bedeutet, dass für eine VM Updates verfügbar sind, aber keines dieser Updates wird als kritisches Update oder Sicherheitsupdate kategorisiert.
  • Auf dem neuesten Stand: Dies bedeutet, dass für die VM keine Updates verfügbar sind.

Nächste Schritte