Administración de parches de SO


Usa la Administración de parches de SO para aplicar parches del sistema operativo en un conjunto de instancias de VM de Compute Engine. Las VM de larga duración requieren actualizaciones periódicas del sistema para proteger contra defectos y vulnerabilidades.

El servicio de Administración de parches de SO tiene dos componentes principales:

  • El informe de cumplimiento de parches, que proporciona estadísticas sobre el estado del parche de tus instancias de VM en las distribuciones de Windows y Linux. Junto con las estadísticas, también puedes ver recomendaciones para tus instancias de VM.
  • La implementación de parches, que automatiza el proceso de actualización de parches de software y sistema operativo. Una implementación de parches programa trabajos de aplicación de parches. Un trabajo de aplicación de parches se ejecuta en instancias de VM y aplica parches.

Ventajas

El servicio de Administración de parches de SO te brinda la flexibilidad para completar los siguientes procesos:

  • Crear aprobaciones de parches. Puedes seleccionar los parches que quieras aplicar a tu sistema desde el conjunto completo de actualizaciones disponibles para el sistema operativo específico.
  • Configurar la programación flexible. Puedes elegir cuándo ejecutar actualizaciones de parches (programaciones únicas y recurrentes).
  • Aplicar la configuración avanzada de parches. Para personalizar los parches puedes configurar parámetros como las secuencias de comandos de parches anteriores y posteriores.
  • Administrar estos trabajos de aplicación de parches o actualizaciones desde una ubicación centralizada. Puedes usar el panel de Administración de parches de SO para supervisar e informar los trabajos de aplicación de parches y el estado de cumplimiento.

Precios

Para obtener información sobre los precios, consulta los precios de VM Manager.

Cómo funciona la Administración de parches de SO

Para usar la función de Administración de parches de SO, debes configurar la API de configuración del SO y, luego, instalar el agente de configuración del SO. Para obtener instrucciones detalladas, consulta la sección sobre cómo configurar VM Manager. El servicio de configuración del SO habilita la administración de parches en tu entorno, mientras que el agente de configuración del SO usa el mecanismo de actualización de cada sistema operativo para aplicar parches. Las actualizaciones se extraen de los repositorios de paquetes (también llamado paquete de la fuente de distribución) o un repositorio local para el sistema operativo.

En la siguiente tabla, se resumen las herramientas de actualización y los paquetes de la fuente de distribución que se usan para recopilar datos.

Sistema operativo Herramienta de actualización Paquete de la fuente de distribución
RHEL y CentOS yum upgrade
Debian apt upgrade https://security-tracker.debian.org/tracker/data/json
Ubuntu apt upgrade https://git.launchpad.net/ubuntu-cve-tracker
Windows Agente de Windows Update Servicio de Windows Update o el Windows Server Update Service (WSUS) local

Si la VM no tiene acceso a las actualizaciones, debes completar los pasos adicionales para permitir el acceso a las actualizaciones o los parches. Considera las siguientes opciones:

  • Google recomienda alojar tu propio repositorio local o un Windows Server Update Service para un control total sobre el modelo de referencia del parche.
  • Como alternativa, puedes hacer que las fuentes de actualización externas estén disponibles para tus VM mediante Cloud NAT, o bien otros servicios de proxy.

La administración de parches consta de dos servicios: implementación de parches y cumplimiento de parches. Cada uno de los servicios se explica en las siguientes secciones.

Descripción general de la implementación de parches

Una implementación de parches se inicia mediante una llamada a la API de parche (también conocida como la API de configuración del SO de Cloud). Esto se puede hacer mediante Google Cloud Console, la herramienta de línea de comandos de gcloud o una llamada directa a la API. Luego, la API de parche notifica al agente de configuración del SO que se ejecuta en las VM de destino para comenzar a aplicar parches.

El agente de configuración del SO ejecuta la aplicación de parches en cada VM mediante la herramienta de administración de parches que está disponible para cada distribución. Por ejemplo, las VM de Ubuntu usan la herramienta de apt. La herramienta recupera actualizaciones (parches) de la fuente de distribución para el sistema operativo. A medida que la aplicación de parches continúa, el agente de configuración del SO informa el progreso a la API de parche.

Descripción general del cumplimiento de parches

Después de configurar VM Manager en una VM, ocurre lo siguiente:

  • De forma periódica (cada 10 minutos), el agente de configuración del SO informa los datos de inventario del SO en atributos de invitado para la VM.
  • El backend del cumplimiento de parches lee estos datos de forma periódica, hace una referencia cruzada a ellos con los metadatos del paquete obtenidos de la distribución del SO y los guarda en el repositorio del servicio de Container Analysis.
  • Luego, Google Cloud Console obtiene los datos de cumplimiento de parches del servicio de la API de Container Analysis y muestra esta información en la consola.

Cómo se generan los datos de cumplimiento de parches

El backend de cumplimiento de parches completa las siguientes tareas de manera periódica:

  1. Lee los informes que se recopilan de los datos de inventario del SO en una VM.
  2. Analiza los datos de clasificación de la fuente de distribución para cada sistema operativo y los ordena en función de la gravedad (de mayor a menor).
  3. Asigna estas clasificaciones (proporcionadas por la fuente de distribución) al estado del cumplimiento de parches de Google.
  4. Guarda los datos en el repositorio del servicio de Container Analysis.
  5. Selecciona los datos de gravedad más alta para cada actualización disponible y los muestra en la página Panel de Google Cloud Console. También puedes ver un informe completo de todas las actualizaciones disponibles para la VM en la página de detalles de la VM.

En la siguiente tabla, se resume el sistema de asignación que se usa para generar el estado de cumplimiento de parches de Google.

Categorías de fuentes de distribución Estado de cumplimiento de parches de Google
  • Fundamental
  • Urgente
  • WINDOWS_CRITICAL_UPDATE
Fundamental (ROJO)
  • Importante
  • Alta
  • WINDOWS_SECURITY_UPDATE
Importante/Seguridad (ANARANJADO)
  • Todo lo demás
Otros (AMARILLO)
  • No hay actualizaciones disponibles
Actualizada (VERDE)

Por ejemplo, si los datos de inventario del SO para una VM de RHEL 7 tienen los siguientes datos de paquete:

  • Nombre del paquete: package1
  • Versión instalada: 1.4
  • Versión de la actualización: 2.0

El backend de cumplimiento de parches busca datos de clasificación (de la distribución fuente) y recupera la siguiente información:

  • Versión 1.5 => Importante, corrige CVE-001
  • Versión 1.8 => Baja; corrige CVE-002
  • Versión 1.9 => Baja. Corrige CVE-003

Luego, en el panel de Google Cloud Console, esta VM de RHEL 7 se agrega a la lista de VM que tienen una actualización Critical disponible. Si revisas los detalles de esta VM, verás 1 actualización Critical disponible (versión 2.0) con 3 CVE, CVE-001, CVE-002 y CVE-003.

Aplicación de parches simultáneos

Cuando se inicia un trabajo de aplicación de parches, el servicio usa el filtro de instancia que proporcionaste para determinar las instancias específicas a las que se deben aplicar los parches. Los filtros de instancias te permiten aplicar parches a muchas instancias al mismo tiempo. Este filtrado se realiza cuando el trabajo de aplicación de parches comienza a dar cuenta de los cambios en tu entorno después de que se programa el trabajo.

Aplicación de parches programada

Los parches se pueden ejecutar a pedido, programarse con anticipación o configurarse con una programación recurrente. También puedes cancelar un trabajo de aplicación de parches en curso si necesitas detenerlo de inmediato.

Puedes configurar períodos de mantenimiento de parches mediante la creación de implementaciones de parches con una frecuencia y duración especificadas. La programación de trabajos de aplicación de parches con una duración específica garantiza que las tareas de aplicación de parches no se inicien fuera del período de mantenimiento designado.

También puedes aplicar plazos de instalación de parches mediante la creación de implementaciones de parches para que se completen en un momento específico. Si las VM seleccionadas no tienen parches para esta fecha, la implementación programada comienza a instalar parches en esa fecha. Si las VM ya tienen parches, no se realiza ninguna acción en ellas, a menos que se especifique una secuencia de comandos de parches previa o posterior, o que se deba reiniciar.

¿Qué se incluye en un trabajo de aplicación de parches de SO?

Cuando un trabajo de aplicación de parches se ejecuta en una VM, según el sistema operativo, se aplica una combinación de actualizaciones. También puedes optar por orientar actualizaciones, paquetes específicos o, para los sistemas operativos de Windows, especificar los ID de KB que deseas actualizar.

Windows

Para el sistema operativo de Windows, puedes aplicar todas las actualizaciones que se detallan a continuación o seleccionar una:

  • Actualizaciones de definiciones
  • Actualizaciones de controladores
  • Actualizaciones del paquete de funciones
  • Actualizaciones de seguridad
  • Actualizaciones de herramientas

RHEL y CentOS

Para los sistemas operativos Red Hat Enterprise Linux y Centos, puedes aplicar todas las actualizaciones que se detallan a continuación o seleccionar una:

  • Actualizaciones del sistema
  • Actualizaciones de seguridad

Debian y Ubuntu

Para los sistemas Debian y Ubuntu, puedes aplicar todas las actualizaciones que se detallan a continuación o seleccionar una:

  • Actualizaciones de distribución
  • Actualizaciones del administrador de paquetes

SUSE

Para los sistemas operativos SUSE Enterprise Linux (SLES) y openSUSE, puedes aplicar todas las actualizaciones que se detallan a continuación o seleccionar una:

  • Actualizaciones del paquete del sistema
  • Parches de Zipper (correcciones de seguridad y correcciones de errores específicos)

El panel de Administración de parches del SO

En Google Cloud Console, hay un panel disponible que puedes usar para supervisar el cumplimiento de los parches de tus instancias de VM.

Ir a la página Administración de parches de SO

Panel de Administración de parches de SO

Información sobre el panel de Administración de parches de SO

Panorama general de sistemas operativos

En esta sección, se muestra la cantidad total de VM, organizadas por sistema operativo. Para que una VM aparezca en esta lista, debe tener el agente de configuración del SO instalado y OS Inventory Management habilitado.

Tarjeta de cantidad de VM

Si una VM aparece con su sistema operativo como No data, es posible que se deba a una o más de las siguientes situaciones:

  • La VM no responde
  • El agente de configuración del SO no está instalado.
  • La administración del inventario del SO no está habilitada.
  • El sistema operativo no es compatible. Para obtener una lista de los sistemas operativos compatibles, consulta Sistemas operativos compatibles.

Estado de cumplimiento de parches

Tarjeta específica del SO

En esta sección, se proporcionan detalles del estado de cumplimiento de cada una de las VM organizadas por su sistema operativo.

El estado de cumplimiento se organiza en cuatro categorías principales:

  • Fundamental (Critical): Significa que una VM tiene actualizaciones fundamentales disponibles.
  • Importante o de seguridad (Important/Security): Significa que una VM tiene actualizaciones importantes o de seguridad disponibles.
  • Otro (Other): Significa que una VM tiene actualizaciones disponibles, pero ninguna de ellas se clasifica como una actualización fundamental o de seguridad.
  • Actualizada (Up-to-date): Significa que una VM no tiene actualizaciones disponibles.

Próximos pasos