Informazioni su Patch

Usa Patch per applicare patch del sistema operativo a un set di istanze VM (VM) di Compute Engine. Le VM a lunga durata richiedono aggiornamenti periodici del sistema per proteggerle da difetti e vulnerabilità.

La funzionalità Patch ha due componenti principali:

  • Report sulla conformità delle patch, che offre insight sullo stato di patch delle tue istanze VM con Windows e distribuzioni Linux. Insieme alle puoi anche visualizzare suggerimenti per le tue istanze VM.
  • Deployment delle patch, che automatizza la patch del sistema operativo e del software. la procedura di aggiornamento. Un deployment delle patch pianifica i job di applicazione patch. Un job di applicazione patch viene eseguito su più istanze VM e applica le patch.

Vantaggi

Il servizio Patch ti offre la flessibilità di completare le seguenti procedure:

  • Creare approvazioni delle patch. Puoi selezionare quali patch applicare al tuo sistema dall'insieme completo di aggiornamenti disponibili per lo specifico sistema operativo.
  • Configurare una pianificazione flessibile. Puoi scegliere quando eseguire gli aggiornamenti delle patch (una tantum e con pianificazioni ricorrenti).
  • Applicare impostazioni di configurazione patch avanzate. Puoi personalizzare le tue patch aggiungendo configurazioni come script da eseguire prima e dopo l'applicazione delle patch.
  • Gestire questi job di applicazione patch o aggiornamenti da un punto centralizzato. Puoi utilizzare la dashboard Patch per il monitoraggio e la generazione di report dei job di patch e dello stato di conformità.

Prezzi

Per informazioni sui prezzi, consulta Prezzi di VM Manager.

Come funziona Patch

Per utilizzare la funzionalità Patch, devi configurare l'API OS Config e installare l'agente OS Config. Per istruzioni dettagliate, consulta Configurare VM Manager. Il sistema operativo Il servizio di configurazione consente la gestione delle patch nel tuo ambiente L'agente di configurazione utilizza il meccanismo di aggiornamento per l'applicazione di ciascun sistema operativo patch. Gli aggiornamenti vengono estratti dai repository di pacchetti (altrimenti chiamati pacchetto di origine di distribuzione) o un repository locale per il sistema operativo.

Per applicare le patch vengono utilizzati i seguenti strumenti di aggiornamento:

  • Red Hat Enterprise Linux (RHEL), Rocky Linux e CentOS - yum upgrade
  • Debian e Ubuntu - apt upgrade
  • SUSE Linux Enterprise Server (SLES) - zypper update
  • Windows - Agente Windows Update

Origini patch e pacchetti

Per utilizzare la funzionalità Patch in VM Manager, la VM deve avere accesso agli aggiornamenti dei pacchetti o patch. Il servizio Patch non ospita né gestisce aggiornamenti o patch dei pacchetti. In alcuni scenari, la VM potrebbe non avere accesso agli aggiornamenti. Ad esempio, se la tua VM non utilizza IP pubblici o stai utilizzando un indirizzo rete VPC. In questi scenari, devi completare passaggi aggiuntivi per consentire l'accesso ai aggiornamenti o patch. Valuta le seguenti opzioni.

  • Google consiglia di ospitare un repository locale o un server Windows Server Aggiorna il servizio per avere il controllo completo sulla base di riferimento delle patch.
  • In alternativa, puoi rendere disponibili origini di aggiornamento esterne per le tue VM utilizzando Cloud NAT o altri servizi proxy.

La gestione delle patch è composta da due servizi: il deployment delle patch e la conformità alle patch. Ogni servizio è descritto nelle sezioni seguenti.

Panoramica del deployment delle patch

Il deployment di una patch viene avviato effettuando una chiamata all'API VM Manager (nota anche come API OS Config). Puoi farlo utilizzando la console Google Cloud, Google Cloud CLI o una chiamata API diretta. Quindi, l'API VM Manager comunica all'agente OS Config in esecuzione sulle VM di destinazione di iniziare l'applicazione dei patch.

L'agente OS Config esegue l'applicazione di patch su ogni VM utilizzando disponibile per ogni distribuzione. Ad esempio, le VM Ubuntu utilizzano strumento di utilità apt. Lo strumento di utilità recupera gli aggiornamenti (patch) dai l'origine di distribuzione per il sistema operativo. Man mano che la patch viene applicata, l'agente OS Config segnala l'avanzamento all'API VM Manager.

Panoramica della conformità delle patch

Dopo aver configurato VM Manager su una VM, vengono eseguite le seguenti operazioni sulla VM:

  • L'agente OS Config segnala periodicamente (ogni 10 minuti circa) Dati di inventario del sistema operativo .
  • Il backend di conformità alle patch legge periodicamente questi dati, li contrassegna con i metadati del pacchetto ottenuti dalla distribuzione del sistema operativo e li salva.
  • La console Google Cloud recupera quindi i dati di conformità delle patch e visualizza questi le informazioni nella console.

Come vengono generati i dati sulla conformità delle patch

Il backend di conformità delle patch completa periodicamente le seguenti attività:

  1. Legge i report raccolti Da Dati di inventario del sistema operativo su una VM.

  2. Analizza i dati di classificazione dall'origine di vulnerabilità per ogni operazione e ordina questi dati in base alla gravità (dalla più alta alla più bassa).

    La tabella seguente riassume l'origine della vulnerabilità utilizzata per ciascun sistema operativo.

    Sistema operativo Pacchetto Origine vulnerabilità
    RHEL e CentOS https://access.redhat.com/security/data

    I risultati dell'analisi delle vulnerabilità per RHEL si basano sugli ultimi una versione secondaria per ogni versione principale rilasciata. Potrebbero esserci imprecisioni nei risultati della scansione per le versioni minori precedenti di RHEL.
    Debian https://security-tracker.debian.org/tracker
    Ubuntu https://launchpad.net/ubuntu-cve-tracker
    SLES N/D

    I report sulla conformità delle patch non sono supportati su SLES
    Rocky Linux N/D

    I report sulla conformità delle patch sono supportati su Rocky Linux. Tuttavia, La classificazione dei dati sulle vulnerabilità in base alla gravità non è disponibile.
    Windows Il backend di conformità delle patch riceve i dati di classificazione dall'API Windows Update Agent.

  3. Mappa queste classificazioni (fornite dall'origine di vulnerabilità) a Stato di conformità delle patch di Google.

    La tabella seguente riassume il sistema di mappatura utilizzato per generare lo stato di conformità alle patch di Google.

    Categorie di origini della distribuzione Stato di conformità delle patch di Google
    • Critico
    • Urgente
    • WINDOWS_CRITICAL_UPDATE
    		 Critico (ROSSO)
    • Importante
    • Alta
    • WINDOWS_SECURITY_UPDATE
    		 Importante/sicurezza (ARANCIONE)
    • Tutto il resto
    		 Altro (GIALLO)
    • Nessun aggiornamento disponibile
    		 Aggiornato (VERDE)

  4. Seleziona i dati con gravità massima per ogni aggiornamento disponibile e li mostra su alla pagina della dashboard della console Google Cloud. Puoi anche visualizzare un report completo di tutti gli aggiornamenti disponibili per la VM nella pagina dei dettagli della VM.

Ad esempio, se Dati di inventario del sistema operativo per una VM RHEL 7 include i seguenti dati del pacchetto:

  • Nome pacchetto: package1
  • Versione installata: 1.4
  • Aggiornamento versione: 2.0

Il backend di conformità delle patch analizza i dati di classificazione (dalla distribuzione di origine) e recupera le seguenti informazioni:

  • Versione 1.5 => Critica, correzioni CVE-001
  • Versione 1.8 => Basso, correzione della vulnerabilità CVE-002
  • Versione 1.9 => Basso, correzione della vulnerabilità CVE-003

Poi, nella dashboard della console Google Cloud, questa VM RHEL 7 viene aggiunta all'elenco delle VM per cui è disponibile un aggiornamento Critical. Se rivedi i dettagli per questa VM, è disponibile 1 aggiornamento Critical (versione 2.0) con 3 CVE, CVE-001, CVE-002 e CVE-003.

Applicazione di patch simultanea

Quando avvii un job di applicazione di patch, il servizio utilizza il filtro delle istanze che hai fornito per determinare le istanze specifiche da applicare. I filtri delle istanze ti consentono di applicare patch a più istanze contemporaneamente. Questo filtro viene eseguita quando il job di applicazione patch inizia a tenere conto delle modifiche apportate all'ambiente. dopo la pianificazione del job.

Applicazione di patch pianificata

I patch possono essere eseguiti on demand, pianificati in anticipo o configurati con una programmazione ricorrente. Puoi anche annullare un job di applicazione patch in corso se devi interromperla immediatamente.

Puoi impostare periodi di manutenzione delle patch creando deployment delle patch con un con frequenza e durata specificate. La pianificazione dei job di applicazione patch con una durata specificata garantisce che le attività di applicazione delle patch non vengano avviate al di fuori della finestra di manutenzione designata.

Puoi anche applicare le scadenze per l'installazione delle patch creando deployment delle patch da completare in un momento specifico. Se le VM target non sono state sottoposte a patch entro questa data, il deployment pianificato inizia a installare le patch in questa data. Se le VM hanno già una patch, non viene intrapresa alcuna azione su queste VM, a meno che non venga applicata una versione oppure è necessario riavviare il computer.

Che cosa è incluso in un job di patch?

Quando un job di applicazione patch viene eseguito su una VM, a seconda del sistema operativo, viene utilizzata di aggiornamenti. Puoi scegliere di scegliere come target aggiornamenti, pacchetti specifici o, per i sistemi operativi Windows, specificare gli ID Knowledge Base che vuoi aggiornare.

Puoi anche utilizzare un job di patch per aggiornare gli agenti Google installati come pacchetto standard per quella distribuzione specifica. Utilizza lo strumento di aggiornamento per quella distribuzione per eseguire query sui pacchetti disponibili. Ad esempio, per vedere gli agenti Google disponibili per un sistema operativo Ubuntu, esegui apt list --installed | grep -P 'google'.

Windows

Per il sistema operativo Windows, puoi applicare tutti o selezionare uno dei seguenti aggiornamenti:

  • Aggiornamenti delle definizioni
  • Aggiornamenti dei driver
  • Aggiornamenti del Feature Pack
  • Aggiornamenti della sicurezza
  • Aggiornamenti dello strumento

RHEL/Rocky/CentOS

Per i sistemi operativi Red Hat Enterprise Linux, Rocky Linux e CentOS, puoi applicare tutti o selezionare tra i seguenti aggiornamenti:

  • Aggiornamenti di sistema
  • Aggiornamenti della sicurezza

Debian/Ubuntu

Per i sistemi Debian e Ubuntu, puoi applicare tutti o selezionare uno dei seguenti aggiornamenti:

  • Aggiornamenti sulla distribuzione
  • Aggiornamenti del gestore dei pacchetti

SUSE

Per i sistemi operativi SUSE Enterprise Linux Server (SLES) e openSUSE, puoi applicare tutti gli aggiornamenti o selezionarli dai seguenti aggiornamenti:

  • Aggiornamenti dei pacchetti di sistema
  • Patch di Zypper (correzioni di bug specifiche e correzioni di sicurezza)

Accedere al riepilogo delle patch per le VM

Per visualizzare il riepilogo delle patch per le tue VM, hai le seguenti opzioni:

  • Per visualizzare le informazioni di riepilogo delle patch per tutte le VM in un'organizzazione o una cartella: Utilizzare la dashboard Patch nella console Google Cloud. Consulta Visualizzare il riepilogo delle patch per le VM.

  • Per visualizzare lo stato dei job di applicazione patch, utilizza la pagina Job di applicazione patch. sulla console Google Cloud. Puoi anche utilizzare Google Cloud CLI o l'API OS Config. Per ulteriori informazioni, consulta Gestire i job di patch.

Per visualizzare altre informazioni, ad esempio aggiornamenti dei pacchetti del sistema operativo e vulnerabilità Report, consulta Visualizzare i dettagli del sistema operativo.

Dashboard Patch

Nella console Google Cloud è disponibile una dashboard che puoi utilizzare per monitorare la conformità delle patch per le tue istanze VM.

Vai alla pagina Patch

Dashboard delle patch.

Informazioni sulla dashboard Patch

Panoramica del sistema operativo

Questa sezione riflette il numero totale di VM, organizzate per sistema operativo. Per Per essere visualizzata in questo elenco, una VM deve avere installato l'agente OS Config. e OS Inventory Management abilitata.

Scheda Numero di VM.

Se una VM è elencata con il sistema operativo No data, uno o più dei seguenti scenari potrebbero essere veri:

  • La VM non risponde.
  • L'agente OS Config non è installato.
  • La gestione dell'inventario OS non è attivata.

  • Il sistema operativo non è supportato. Per un elenco dei sistemi operativi supportati, consulta Sistemi operativi supportati.

Stato di conformità delle patch

Scheda specifica del sistema operativo.

Questa sezione descrive lo stato di conformità di ogni VM, organizzato per sistema operativo.

Lo stato di conformità è suddiviso in quattro categorie principali:

  • Critico: indica che per una VM sono disponibili aggiornamenti critici.
  • Importante o di sicurezza: indica che per una VM sono disponibili aggiornamenti importanti o di sicurezza.
  • Altro: indica che per una VM sono disponibili aggiornamenti, ma nessuno di questi è classificato come critico o di sicurezza.
  • Aggiornato: indica che per una VM non sono disponibili aggiornamenti.

Passaggi successivi