Gerenciamento de correções do SO


Use o Gerenciamento de correções do SO para aplicar patches de sistema operacional a um conjunto de instâncias de VM do Compute Engine (VMs). VMs de longa duração exigem atualizações periódicas do sistema para se protegerem contra falhas e vulnerabilidades.

O serviço de Gerenciamento de correções do SO tem dois componentes principais:

  • Relatórios de conformidade de patches, que apresentam insights sobre o status dos patchs de instâncias de VM nas distribuições do Windows e do Linux. Além dos insights, também é possível visualizar recomendações para suas instâncias de VM.
  • Implantação de patch, que automatiza o processo de atualização do sistema operacional e do patch de software. Uma implantação do patch programa jobs de patch. Um job de patch é executado nas instâncias de VM e aplica os patches.

Benefícios

O serviço de Gerenciamento de correções do SO oferece a flexibilidade para realizar os processos a seguir:

  • Criar aprovações de patch. É possível selecionar quais patches aplicar ao sistema a partir do conjunto completo de atualizações disponíveis para o sistema operacional específico.
  • Configurar a programação flexível. É possível escolher quando executar atualizações de patch (programações únicas e recorrentes).
  • Aplicar configurações avançadas de patch. É possível personalizar os patches ao adicionar configurações, como scripts de pré e pós-aplicação de patches.
  • Gerenciar esses jobs de patch ou atualizações a partir de um local centralizado. É possível usar o painel do Gerenciamento de correções do SO para monitorar e gerar relatórios de jobs de patch e status de conformidade.

Preços

Para mais informações sobre preços, consulte Preços do VM Manager.

Como o Gerenciamento de correções do SO funciona

Para usar esse serviço, configure a API do serviço de configuração do SO e instale o agente de configuração do sistema operacional. Para instruções detalhadas, consulte Como configurar o VM Manager. O serviço de configuração do SO permite gerenciar patches no seu ambiente, enquanto o agente de configuração do SO usa o mecanismo de atualização de cada sistema operacional para aplicar patches. As atualizações são extraídas dos repositórios de pacotes (anteriormente chamados de pacotes de origem de distribuição) ou de um repositório local do sistema operacional.

A tabela a seguir resume a ferramenta de atualização e os pacotes de origem de distribuição usados para coletar dados.

Sistema operacional Ferramenta de atualização Pacote de origem de distribuição
RHEL e Centos yum upgrade
Debian apt upgrade https://security-tracker.debian.org/tracker/data/json (em inglês)
Ubuntu apt upgrade https://storage.googleapis.com/ubuntu-cve-tracker/ubuntu.tar.gz (em inglês)
Windows Windows Update Agent Serviço Windows Update ou o Windows Server Update Service (WSUS) local

Se a VM não tiver acesso às atualizações, será preciso concluir outras etapas para permitir o acesso a elas ou aos patches. Tenha em mente as seguintes opções:

  • O Google recomenda hospedar o próprio repositório local ou um serviço do Windows Server Update para ter controle total sobre o valor de referência do patch.
  • Como alternativa, é possível disponibilizar origens de atualização externas para suas VMs por meio do Cloud NAT ou outros serviços de proxy.

O gerenciamento de patches consiste em dois serviços: implantação de patch e conformidade de patch. Cada um deles é explicado nas seções a seguir.

Visão geral da implantação do patch

A implantação de patch é iniciada quando é feita uma chamada à API Patch (também conhecida como API Cloud OS Config). Para isso, é possível usar Console do Google Cloud, a ferramenta de linha de comando gcloud ou uma chamada de API direta. Em seguida, a API Patch notifica o agente de configuração do SO em execução nas VMs de destino para iniciar a aplicação do patch.

O agente de configuração do SO aplica o patch em cada VM usando a ferramenta de gerenciamento de patches disponível em cada distribuição. Por exemplo, as VMs do Ubuntu usam a ferramenta de utilitários apt. Ela recupera atualizações (patches) da origem de distribuição do sistema operacional. À medida que o patch é aplicado, o agente de configuração do SO informa o progresso à API Patch.

Visão geral da conformidade com os patches

Depois que você configurar o VM Manager em uma VM, ocorrerá o seguinte na VM:

  • O agente de configuração do sistema operacional informa periodicamente (a cada 10 minutos em média) os dados de inventário do SO aos atributos de convidado da VM.
  • O back-end de conformidade de patch lê esses dados periodicamente, faz referência a eles com os metadados do pacote recebidos da distribuição do SO e os salva no repositório do serviço do Container Analysis.
  • Em seguida, o Console do Google Cloud coleta os dados de conformidade do patch do serviço da API Container Analysis e exibe essas informações no console.

Como os dados de conformidade com os patches são gerados

O back-end de conformidade com os patches conclui periodicamente as tarefas a seguir:

  1. Lê os relatórios coletados de dados de inventário do SO na VM.
  2. Busca dados de classificação na origem de distribuição de cada sistema operacional e ordena esses dados com base na gravidade (do maior para o menor).
  3. Associa essas classificações, fornecidas pela origem de distribuição, ao status de conformidade com o patch do Google.
  4. Salva os dados no repositório do serviço do Container Analysis.
  5. Seleciona os dados de gravidade mais alta de cada atualização disponível e os exibe na página do painel do Console do Google Cloud. Também é possível ver um relatório completo de todas as atualizações disponíveis na VM na página de detalhes da VM.

A tabela a seguir resume o sistema de mapeamento usado para gerar o status de conformidade do Google com patch.

Categorias da origem de distribuição Status de compliance do patch do Google
  • Crítico
  • Urgente
  • WINDOWS_CRITICAL_UPDATE
Crítico (VERMELHO)
  • Importante
  • Alta
  • WINDOWS_SECURITY_UPDATE
Importante/segurança (LARANJA)
  • Todas as demais
Outro (AMARELO)
  • Não há atualizações disponíveis
Atualizado (VERDE)

Por exemplo, se os dados de inventário do SO de uma VM do RHEL 7 tiverem os dados do pacote a seguir:

  • Nome do pacote: package1
  • Versão instalada: 1.4
  • Versão da atualização: 2.0

O back-end de conformidade com o patch verifica se há dados de classificação na origem de distribuição e recupera as seguintes informações:

  • Versão 1.5 => Crítico
  • Versão 1.8 => Baixo
  • Versão 1.9 => Baixo

Em seguida, no painel do Console do Google Cloud, essa VM do RHEL 7 é adicionada à lista de VMs que têm uma atualização de Critical disponível. Se você analisar os detalhes dessa VM, verá uma atualização Critical e duas atualizações Low disponíveis.

Como aplicar patches simultâneos

Quando você inicia um job de patch, o serviço usa o filtro de instâncias fornecido para determinar as instâncias específicas que receberão o patch. Os filtros de instâncias permitem que você aplique vários patches ao mesmo tempo. Essa filtragem é feita quando o job de patch começa a considerar as alterações no ambiente depois que o job é programado.

Como programar patches

Os patches podem ser executados sob demanda, programados com antecedência ou configurados com uma programação recorrente. Também é possível cancelar um job de patch em andamento caso seja necessário interrompê-lo imediatamente.

É possível configurar janelas de manutenção de patch ao criar implantações de patch com uma frequência e duração específicas. Programar jobs de patch com uma duração específica garante que as tarefas não sejam iniciadas fora da janela de manutenção especificada.

Também é possível aplicar prazos de instalação de patch ao criar implantações a serem concluídas em um momento específico. Se os patches não forem aplicados às VMs de destino até essa data, a implantação programada começará a instalar os patches. Nenhuma ação será realizada nas VMs se os patches já tiverem sido aplicados a elas, exceto caso seja necessária uma reinicialização ou se um script pré ou pós patch seja especificado.

O que está incluído em um job de patch do SO?

Quando um job de patch é executado em uma VM, uma combinação de atualizações é aplicada dependendo do sistema operacional. Também é possível visar atualizações/pacotes ou, para sistemas operacionais Windows, especificar IDs da base de conhecimento que você quer atualizar.

Windows

Para esse sistema operacional, é possível aplicar todas as atualizações ou selecionar uma das seguintes:

  • Atualizações de definição
  • Atualizações de drivers
  • Atualizações do pacote de recursos
  • Atualizações de segurança
  • Atualizações de ferramentas

RHEL/CentOS

Para os sistemas operacionais Red Hat Enterprise Linux e Centos, é possível aplicar todas as atualizações ou selecionar uma das seguintes:

  • Atualizações do sistema
  • Atualizações de segurança

Debian/Ubuntu

Para esses sistemas, é possível aplicar todas as atualizações ou selecionar uma das seguintes:

  • Atualizações de distribuição
  • Atualizações do gerenciador de pacotes

SUSE

Para os sistemas operacionais SUSE Enterprise Linux Server (SLES) e openSUSE, é possível aplicar todas as atualizações ou selecionar uma das seguintes:

  • Atualizações do pacote do sistema
  • Patches do Zypper (correções de bugs específicos e correções de segurança)

Painel do Gerenciamento de correções do SO

No Console do Google Cloud, há um painel disponível para monitorar a conformidade dos patches em instâncias de VM.

Acessar a página "Gerenciamento de Correções do SO"

Painel de Gerenciamento de correções do SO.

Como entender o painel de Gerenciamento de correções do SO

Visão geral do sistema operacional

Esta seção reflete o número total de VMs, organizadas por sistema operacional. Para que uma VM seja exibida na lista, é necessário que o agente de configuração do SO esteja instalado e o Gerenciamento de inventário do SO esteja ativado.

Card com o número de VMs.

Se uma VM estiver listada com o sistema operacional como No data, um ou mais dos seguintes cenários poderão ser verdadeiros:

  • A VM não está respondendo.
  • O agente de configuração do SO não está instalado.
  • O OS Inventory Management não está ativado.
  • O sistema operacional não é compatível. Para uma lista de SOs compatíveis, consulte este link.

Status de compliance do patch

Cartão específico do SO.

Nesta seção, fornecemos detalhes sobre o status de conformidade de cada uma das VMs, organizadas pelo sistema operacional.

Essa última informação é organizada em quatro categorias principais:

  • Crítico: significa que uma VM tem atualizações críticas disponíveis.
  • Importante ou segurança: significa que uma VM tem atualizações importantes ou de segurança disponíveis.
  • Outro: significa que uma VM tem atualizações disponíveis, mas nenhuma delas é categorizada como crítica ou de segurança.
  • Atualizada: isso significa que a VM não tem atualizações disponíveis.

A seguir