Sobre o patch

Use o Patch para aplicar patches do sistema operacional em um conjunto de instâncias de VM do Compute Engine (VMs). VMs de longa duração exigem atualizações periódicas do sistema para se protegerem contra falhas e vulnerabilidades.

O recurso Patch tem dois componentes principais:

  • Relatórios de conformidade de patches, que apresentam insights sobre o status dos patchs de instâncias de VM nas distribuições do Windows e do Linux. Além dos insights, também é possível visualizar recomendações para suas instâncias de VM.
  • Implantação de patch, que automatiza o processo de atualização do sistema operacional e do patch de software. Uma implantação do patch programa jobs de patch. Um job de patch é executado nas instâncias de VM e aplica os patches.

Benefícios

O serviço Patch oferece flexibilidade para concluir os processos a seguir:

  • Criar aprovações de patch. É possível selecionar quais patches aplicar ao sistema a partir do conjunto completo de atualizações disponíveis para o sistema operacional específico.
  • Configurar a programação flexível. É possível escolher quando executar atualizações de patch (programações únicas e recorrentes).
  • Aplicar configurações avançadas de patch. É possível personalizar os patches ao adicionar configurações, como scripts de pré e pós-aplicação de patches.
  • Gerenciar esses jobs de patch ou atualizações em um local centralizado. É possível usar o painel do Patch para monitorar e gerar relatórios de jobs de patch e status de conformidade.

Preços

Para mais informações sobre preços, consulte Preços do VM Manager.

Como o Patch funciona

Para usar o recurso Patch, configure a API OS Config e instale o agente dela. Para instruções detalhadas, consulte Configurar o VM Manager. O serviço de configuração do SO permite gerenciar patches no seu ambiente, enquanto o agente de configuração do SO usa o mecanismo de atualização de cada sistema operacional para aplicar patches. As atualizações são extraídas dos repositórios de pacotes (anteriormente chamados de pacotes de origem de distribuição) ou de um repositório local do sistema operacional.

As ferramentas de atualização a seguir são usadas para aplicar patches:

  • Red Hat Enterprise Linux (RHEL), Rocky Linux e CentOS - yum upgrade
  • Debian e Ubuntu: apt upgrade
  • SUSE Linux Enterprise Server (SLES): zypper update
  • Windows: agente do Windows Update

Origens de patch e de pacote

Para usar o recurso Patch no VM Manager, a VM precisa ter acesso às atualizações ou aos patches de pacotes. O serviço Patch não hospeda nem mantém atualizações ou patches de pacotes. Em alguns cenários, sua VM talvez não tenha acesso às atualizações. Por exemplo, se sua VM não usar IPs públicos ou você estiver usando uma rede VPC particular. Nesses cenários, é preciso concluir outras etapas para permitir o acesso às atualizações ou aos patches. Tenha em mente as seguintes opções:

  • O Google recomenda hospedar o próprio repositório local ou um serviço do Windows Server Update para ter controle total sobre o valor de referência do patch.
  • Como alternativa, é possível disponibilizar origens de atualização externas para suas VMs por meio do Cloud NAT ou outros serviços de proxy.

O gerenciamento de patches consiste em dois serviços: implantação de patch e conformidade de patch. Cada um deles é explicado nas seções a seguir.

Visão geral da implantação do patch

A implantação de patch é iniciada quando é feita uma chamada à API VM Manager (também conhecida como API OS Config). Para isso, é possível usar o console do Google Cloud, a CLI do Google Cloud ou uma chamada de API direta. Em seguida, a API VM Manager notifica o agente de configuração do SO em execução nas VMs de destino para iniciar a aplicação do patch.

O agente de configuração do SO aplica o patch em cada VM usando a ferramenta de gerenciamento de patches disponível em cada distribuição. Por exemplo, as VMs do Ubuntu usam a ferramenta de utilitários apt. Ela recupera atualizações (patches) da origem de distribuição do sistema operacional. À medida que o patch é aplicado, o agente de configuração do SO informa o progresso à API VM Manager.

Visão geral da conformidade com os patches

Depois que você configurar o VM Manager em uma VM, ocorrerá o seguinte na VM:

  • O agente de configuração do SO informa periodicamente (cerca de 10 minutos) sobre os dados de inventário do SO .
  • O back-end de conformidade com patch lê esses dados periodicamente, faz referência a eles com os metadados do pacote recebidos da distribuição do SO e os salva.
  • Em seguida, o console do Google Cloud recebe os dados de conformidade do patch e exibe essas informações no console.

Como os dados de conformidade com os patches são gerados

O back-end de conformidade com os patches conclui periodicamente as tarefas a seguir:

  1. Lê os relatórios coletados de dados de inventário do SO na VM.
  2. Busca dados de classificação na origem de vulnerabilidade de cada sistema operacional e ordena esses dados com base na gravidade (do maior para o menor).

    A tabela a seguir resume a origem da vulnerabilidade usada para cada sistema operacional.

    Sistema operacional Pacote de origem da vulnerabilidade
    RHEL e CentOS https://access.redhat.com/security/data

    Os resultados da verificação de vulnerabilidades do RHEL são baseados na versão secundária mais recente de cada versão principal lançada. Pode haver imprecisões nos resultados da verificação para versões secundárias mais antigas do RHEL.

    Debian https://security-tracker.debian.org/tracker
    Ubuntu https://launchpad.net/ubuntu-cve-tracker
    SLES N/A

    Os relatórios de conformidade com os patches não são compatíveis com o SLES

    Rocky Linux N/A

    Relatórios de conformidade de patches não são compatíveis com o Rocky Linux No entanto, a classificação de dados de vulnerabilidade com base na gravidade não está disponível.

    Windows O back-end de conformidade com os patches recebe os dados de classificação da API Windows Update Agent.

  3. Associa essas classificações, fornecidas pela origem de vulnerabilidade, ao status de conformidade com o patch do Google.

    A tabela a seguir resume o sistema de mapeamento usado para gerar o status de conformidade do Google com patch.

    Categorias da origem de distribuição Status de compliance do patch do Google
    • Crítico
    • Urgente
    • WINDOWS_CRITICAL_UPDATE
    Crítico (VERMELHO)
    • Importante
    • Alta
    • WINDOWS_SECURITY_UPDATE
    Importante/segurança (LARANJA)
    • Todos os outros
    Outro (AMARELO)
    • Não há atualizações disponíveis
    Atualizado (VERDE)

  4. Seleciona os dados de gravidade mais alta de cada atualização disponível e os exibe na página do painel do console do Google Cloud. Também é possível ver um relatório completo de todas as atualizações disponíveis na VM na página de detalhes da VM.

Por exemplo, se os dados de inventário do SO de uma VM do RHEL 7 tiverem os dados do pacote a seguir:

  • Nome do pacote: package1
  • Versão instalada: 1.4
  • Versão da atualização: 2.0

O back-end de conformidade com o patch verifica se há dados de classificação na origem de distribuição e recupera as seguintes informações:

  • Versão 1.5 => Crítico, corrige CVE-001
  • Versão 1.8 => Baixa, corrige CVE-002
  • Versão 1.9 => Baixa, corrige CVE-003

Em seguida, no painel do console do Google Cloud, essa VM do RHEL 7 é adicionada à lista de VMs que têm uma atualização de Critical disponível. Se você revisar os detalhes desta VM, verá uma atualização Critical disponível (versão 2.0) com três CVEs, CVE-001, CVE-002 e CVE-003.

Como aplicar patches simultâneos

Quando você inicia um job de patch, o serviço usa o filtro de instâncias fornecido para determinar as instâncias específicas que receberão o patch. Os filtros de instâncias permitem que você aplique vários patches ao mesmo tempo. Essa filtragem é feita quando o job de patch começa a considerar as alterações no ambiente depois que o job é programado.

Como programar patches

Os patches podem ser executados sob demanda, programados com antecedência ou configurados com uma programação recorrente. Também é possível cancelar um job de patch em andamento caso seja necessário interrompê-lo imediatamente.

É possível configurar janelas de manutenção de patch ao criar implantações de patch com uma frequência e duração específicas. Programar jobs de patch com uma duração específica garante que as tarefas não sejam iniciadas fora da janela de manutenção especificada.

Também é possível aplicar prazos de instalação de patch ao criar implantações a serem concluídas em um momento específico. Se os patches não forem aplicados às VMs de destino até essa data, a implantação programada começará a instalar os patches. Nenhuma ação será realizada nas VMs se os patches já tiverem sido aplicados a elas, exceto caso seja necessária uma reinicialização ou se um script pré ou pós patch seja especificado.

O que está incluso em um job de patch?

Quando um job de patch é executado em uma VM, uma combinação de atualizações é aplicada dependendo do sistema operacional. Também é possível visar atualizações/pacotes específicos ou, para sistemas operacionais Windows, especificar IDs da base de conhecimento que você quer atualizar.

Também é possível usar um job de patch para atualizar qualquer agente do Google instalado como um pacote padrão para essa distribuição específica. Use a ferramenta de atualização dessa distribuição para consultar os pacotes disponíveis. Por exemplo, para ver os agentes do Google disponíveis para um sistema operacional Ubuntu, execute apt list --installed | grep -P 'google'.

Windows

Para esse sistema operacional, é possível aplicar todas as atualizações ou selecionar uma das seguintes:

  • Atualizações de definição
  • Atualizações de drivers
  • Atualizações do pacote de recursos
  • Atualizações de segurança
  • Atualizações de ferramentas

RHEL/Rocky/CentOS

Para os sistemas operacionais Red Hat Enterprise Linux, Rocky Linux e CentOS, é possível aplicar todas as atualizações ou selecionar uma das seguintes:

  • Atualizações do sistema
  • Atualizações de segurança

Debian/Ubuntu

Para esses sistemas, é possível aplicar todas as atualizações ou selecionar uma das seguintes:

  • Atualizações de distribuição
  • Atualizações do gerenciador de pacotes

SUSE

Para os sistemas operacionais SUSE Enterprise Linux Server (SLES) e openSUSE, é possível aplicar todas as atualizações ou selecionar uma das seguintes:

  • Atualizações do pacote do sistema
  • Patches do Zypper (correções de bugs específicos e correções de segurança)

Acessar o resumo do patch das suas VMs

Para ver o resumo do patch das suas VMs, você tem as seguintes opções:

  • Para ver as informações de resumo do patch de todas as VMs em uma organização ou pasta, use o painel do Patch no console do Google Cloud. Consulte Ver resumo do patch para VMs.

  • Para ver o status dos jobs de patch, use a página Jobs de patch no console do Google Cloud. Também é possível usar a Google Cloud CLI ou a API OS Config. Para mais informações, consulte Gerenciar jobs de patch.

Para outras informações, como atualizações de pacotes do SO e relatórios de vulnerabilidades, consulte Mais detalhes do sistema operacional.

O painel do Patch

No console do Google Cloud, há um painel disponível para monitorar a conformidade dos patches em instâncias de VM.

Acesse a página "Patch"

Painel do Patch.

Noções básicas sobre o painel do Patch

Visão geral do sistema operacional

Esta seção reflete o número total de VMs, organizadas por sistema operacional. Para que uma VM seja exibida na lista, é necessário que o agente de configuração do SO esteja instalado e o Gerenciamento de inventário do SO esteja ativado.

Card com o número de VMs.

Se uma VM estiver listada com o sistema operacional como No data, um ou mais dos seguintes cenários poderão ser verdadeiros:

  • A VM não está respondendo.
  • O agente de configuração do SO não está instalado.
  • O OS Inventory Management não está ativado.
  • O sistema operacional não é compatível. Para uma lista de SOs compatíveis, consulte este link.

Status de compliance do patch

Cartão específico do SO.

Esta seção descreve o status de conformidade de cada VM, organizado por sistema operacional.

O status de compliance é categorizado em quatro categorias principais:

  • Crítico: significa que uma VM tem atualizações críticas disponíveis.
  • Importante ou segurança: significa que uma VM tem atualizações importantes ou de segurança disponíveis.
  • Outro: significa que uma VM tem atualizações disponíveis, mas nenhuma delas é categorizada como crítica ou de segurança.
  • Atualizado:: isso significa que a VM não tem atualizações disponíveis.

A seguir