Informazioni su Patch

Utilizza Patch per applicare patch del sistema operativo a un insieme di istanze VM di Compute Engine (VM). Le VM a lunga durata richiedono aggiornamenti periodici del sistema per proteggerle da difetti e vulnerabilità.

La funzionalità Patch ha due componenti principali:

  • Report sulla conformità delle patch, che offre insight sullo stato di patch delle tue istanze VM con Windows e distribuzioni Linux. Oltre agli insight, puoi anche visualizzare suggerimenti per le tue istanze VM.
  • Deployment delle patch, che automatizza il processo di aggiornamento delle patch del sistema operativo e del software. Un deployment delle patch pianifica i job di applicazione patch. Un job di applicazione patch viene eseguito su più istanze VM e applica le patch.

Vantaggi

Il servizio Patch ti offre la flessibilità di completare le seguenti procedure:

  • Creare approvazioni delle patch. Puoi selezionare le patch da applicare al tuo sistema dall'insieme completo di aggiornamenti disponibili per lo specifico sistema operativo.
  • Configurare una pianificazione flessibile. Puoi scegliere quando eseguire gli aggiornamenti delle patch (una tantum e con pianificazioni ricorrenti).
  • Applicare impostazioni di configurazione patch avanzate. Puoi personalizzare le tue patch aggiungendo configurazioni come script da eseguire prima e dopo l'applicazione delle patch.
  • Gestire questi job di applicazione patch o aggiornamenti da un punto centralizzato. Puoi utilizzare la dashboard Patch per il monitoraggio e la generazione di report dei job di patch e dello stato di conformità.

Prezzi

Per informazioni sui prezzi, consulta Prezzi di VM Manager.

Come funziona Patch

Per utilizzare la funzionalità Patch, devi configurare l'API OS Config e installare l'agente OS Config. Per istruzioni dettagliate, consulta Configurare VM Manager. Il servizio OS Config abilita la gestione delle patch nel tuo ambiente, mentre l'agente OS Config utilizza il meccanismo di aggiornamento per ciascun sistema operativo per applicare le patch. Gli aggiornamenti vengono estratti dai repository dei pacchetti (chiamati anche pacchetti di origine della distribuzione) o da un repository locale per il sistema operativo.

Per applicare le patch vengono utilizzati i seguenti strumenti di aggiornamento:

  • Red Hat Enterprise Linux (RHEL), Rocky Linux e CentOS - yum upgrade
  • Debian e Ubuntu - apt upgrade
  • SUSE Linux Enterprise Server (SLES) - zypper update
  • Windows - Agente Windows Update

Origini patch e pacchetti

Per utilizzare la funzionalità Patch in VM Manager, la VM deve avere accesso agli aggiornamenti o alle patch dei pacchetti. Il servizio Patch non ospita né gestisce aggiornamenti o patch dei pacchetti. In alcuni scenari, la VM potrebbe non avere accesso agli aggiornamenti. Ad esempio, se la tua VM non utilizza IP pubblici o se utilizzi una rete VPC privata. In questi scenari, devi completare alcuni passaggi aggiuntivi per consentire l'accesso agli aggiornamenti o alle patch. Valuta le seguenti opzioni.

  • Google consiglia di ospitare il tuo repository locale o un servizio di aggiornamento di Windows Server per avere il controllo completo sulla base di riferimento delle patch.
  • In alternativa, puoi rendere disponibili origini di aggiornamento esterne per le tue VM utilizzando Cloud NAT o altri servizi proxy.

La gestione delle patch è composta da due servizi: il deployment delle patch e la conformità alle patch. Ogni servizio è descritto nelle sezioni seguenti.

Panoramica del deployment delle patch

Un deployment delle patch viene avviato effettuando una chiamata all'API VM Manager (nota anche come API OS Config). Puoi farlo utilizzando la console Google Cloud, Google Cloud CLI o una chiamata API diretta. Quindi, l'API VM Manager comunica all'agente OS Config in esecuzione sulle VM di destinazione di iniziare l'applicazione dei patch.

L'agente di configurazione del sistema operativo esegue l'applicazione delle patch su ogni VM utilizzando lo strumento di gestione delle patch disponibile per ogni distribuzione. Ad esempio, le VM Ubuntu utilizzano lo strumento di utilità apt. Lo strumento di utilità recupera gli aggiornamenti (patch) dalla fonte di distribuzione per il sistema operativo. Man mano che la patch viene applicata, l'agente OS Config segnala l'avanzamento all'API VM Manager.

Panoramica della conformità delle patch

Dopo aver configurato il gestore VM su una VM, vengono eseguiti i seguenti passaggi:

  • L'agente OS Config genera periodicamente (ogni 10 minuti circa) report su dati di inventario del sistema operativo .
  • Il backend di conformità alle patch legge periodicamente questi dati, li contrassegna con i metadati del pacchetto ottenuti dalla distribuzione del sistema operativo e li salva.
  • La console Google Cloud riceve quindi i dati relativi alla conformità alle patch e li visualizza.

Come vengono generati i dati sulla conformità delle patch

Il backend di conformità alle patch completa periodicamente le seguenti attività:

  1. Legge i report raccolti da dati di inventario del sistema operativo su una VM.

  2. Cerca i dati di classificazione dell'origine della vulnerabilità per ogni sistema operativo e li ordina in base alla gravità (dalla più alta alla più bassa).

    La tabella seguente riassume l'origine della vulnerabilità utilizzata per ciascun sistema operativo.

    Sistema operativo Pacchetto di origine della vulnerabilità
    RHEL e CentOS https://access.redhat.com/security/data

    I risultati dell'analisi delle vulnerabilità per RHEL si basano sulla versione minore più recente per ogni versione principale rilasciata. Potrebbero esserci imprecisioni nei risultati della scansione per le versioni minori precedenti di RHEL.
    Debian https://security-tracker.debian.org/tracker
    Ubuntu https://launchpad.net/ubuntu-cve-tracker
    SLES N/D

    I report sulla conformità delle patch non sono supportati su SLES
    Rocky Linux N/D

    I report sulla conformità delle patch sono supportati su Rocky Linux. Tuttavia, la classificazione dei dati sulle vulnerabilità in base alla gravità non è disponibile.
    Windows Il backend di conformità delle patch riceve i dati di classificazione dall'API Windows Update Agent.

  3. Mappa queste classificazioni (fornite dall'origine della vulnerabilità) allo stato di conformità alle patch di Google.

    La tabella seguente riassume il sistema di mappatura utilizzato per generare lo stato di conformità alle patch di Google.

    Categorie di origini di distribuzione Stato di conformità alle patch di Google
    • Critico
    • Urgente
    • WINDOWS_CRITICAL_UPDATE
    		 Critico (ROSSO)
    • Importante
    • Alta
    • WINDOWS_SECURITY_UPDATE
    		 Importante/sicurezza (ARANCIONE)
    • Tutto il resto
    		 Altro (GIALLO)
    • Nessun aggiornamento disponibile
    		 Aggiornato (VERDE)

  4. Seleziona i dati sulla gravità più elevata per ogni aggiornamento disponibile e li mostra nella pagina della dashboard della console Google Cloud. Puoi anche visualizzare un report completo di tutti gli aggiornamenti disponibili per la VM nella pagina dei dettagli della VM.

Ad esempio, se i dati di inventario dell'OS per una VM RHEL 7 contengono i seguenti dati del pacchetto:

  • Nome pacchetto: package1
  • Versione installata: 1.4
  • Aggiornamento versione: 2.0

Il backend di conformità alle patch esegue la ricerca dei dati di classificazione (dalla distribuzione di origine) e recupera le seguenti informazioni:

  • Versione 1.5 => Critica, correzione della CVE-001
  • Versione 1.8 => Basso, correzione della vulnerabilità CVE-002
  • Versione 1.9 => Basso, correzione della vulnerabilità CVE-003

Poi, nella dashboard della console Google Cloud, questa VM RHEL 7 viene aggiunta all'elenco delle VM per cui è disponibile un aggiornamento Critical. Se esamini i dettagli per questa VM, vedrai un aggiornamento Critical disponibile (versione 2.0) con 3 CVE, CVE-001, CVE-002 e CVE-003.

Applicazione di patch simultanea

Quando avvii un job di applicazione patch, il servizio utilizza il filtro delle istanze che hai fornito per determinare le istanze specifiche da applicare. I filtri delle istanze ti consentono di applicare patch a più istanze contemporaneamente. Questo filtraggio viene eseguito quando il job di applicazione patch inizia a tenere conto delle modifiche nell'ambiente dopo la pianificazione del job.

Applicazione di patch pianificata

I patch possono essere eseguiti on demand, pianificati in anticipo o configurati con una programmazione ricorrente. Puoi anche annullare un job di applicazione patch in corso se devi interromperlo immediatamente.

Puoi configurare finestre di manutenzione delle patch creando deployment delle patch con frequenza e durata specifiche. La pianificazione dei job di applicazione patch con una durata specificata garantisce che le attività di applicazione delle patch non vengano avviate al di fuori della periodo di manutenzione designata.

Puoi anche applicare le scadenze per l'installazione delle patch creando deployment delle patch da completare in un momento specifico. Se le VM target non sono state sottoposte a patch entro questa data, il deployment pianificato inizia a installare le patch in questa data. Se le VM sono già sottoposte a patch, non viene intrapresa alcuna azione su queste VM, a meno che non venga specificato uno script pre o post patch o non sia necessario un riavvio.

Che cosa è incluso in un job di applicazione patch?

Quando un job di applicazione patch viene eseguito su una VM, a seconda del sistema operativo viene applicata una combinazione di aggiornamenti. Puoi scegliere di scegliere come target aggiornamenti, pacchetti specifici o, per i sistemi operativi Windows, specificare gli ID KB che vuoi aggiornare.

Puoi anche utilizzare un job di applicazione patch per aggiornare gli agenti Google installati come pacchetto standard per quella distribuzione specifica. Utilizza lo strumento di aggiornamento per quella distribuzione per eseguire query sui pacchetti disponibili. Ad esempio, per visualizzare gli agenti Google disponibili per un sistema operativo Ubuntu, esegui apt list --installed | grep -P 'google'.

Windows

Per il sistema operativo Windows, puoi applicare tutti gli aggiornamenti o scegliere tra i seguenti:

  • Aggiornamenti delle definizioni
  • Aggiornamenti dei driver
  • Aggiornamenti del Feature Pack
  • Aggiornamenti della sicurezza
  • Aggiornamenti dello strumento

RHEL/Rocky/CentOS

Per i sistemi operativi Red Hat Enterprise Linux, Rocky Linux e CentOS, puoi applicare tutti o selezionare tra i seguenti aggiornamenti:

  • Aggiornamenti di sistema
  • Aggiornamenti della sicurezza

Debian/Ubuntu

Per i sistemi Debian e Ubuntu, puoi applicare tutti o selezionare tra i seguenti aggiornamenti:

  • Aggiornamenti sulla distribuzione
  • Aggiornamenti del gestore dei pacchetti

SUSE

Per i sistemi operativi SUSE Enterprise Linux Server (SLES) e openSUSE, puoi applicare tutti o selezionare uno dei seguenti aggiornamenti:

  • Aggiornamenti dei pacchetti di sistema
  • Patch Zypper (correzioni di bug e correzioni di sicurezza specifiche)

Accedere al riepilogo delle patch per le VM

Per visualizzare il riepilogo delle patch per le VM, hai a disposizione le seguenti opzioni:

  • Per visualizzare le informazioni di riepilogo delle patch per tutte le VM di un'organizzazione o di una cartella, utilizza la dashboard Patch nella console Google Cloud. Consulta Visualizzare il riepilogo delle patch per le VM.

  • Per visualizzare lo stato dei job di patch, utilizza la pagina Job di patch nella console Google Cloud. Puoi anche utilizzare Google Cloud CLI o l'API OS Config. Per ulteriori informazioni, consulta Gestire i job di patch.

Per visualizzare altre informazioni, come aggiornamenti dei pacchetti del sistema operativo e report sulle vulnerabilità, vedi Visualizzare i dettagli del sistema operativo.

La dashboard di Patch

Nella console Google Cloud è disponibile una dashboard che puoi utilizzare per monitorare la conformità alle patch per le tue istanze VM.

Vai alla pagina Patch

Dashboard delle patch.

Informazioni sulla dashboard Patch

Panoramica del sistema operativo

Questa sezione riflette il numero totale di VM, organizzate per sistema operativo. Affinché una VM venga visualizzata in questo elenco, è necessario che l'agente OS Config sia installato e che la gestione dell'inventario OS sia abilitata.

Scheda Numero di VM.

Se una VM è elencata con il sistema operativo No data, uno o più dei seguenti scenari potrebbero essere veri:

  • La VM non risponde.
  • L'agente OS Config non è installato.
  • La gestione dell'inventario OS non è attivata.

  • Il sistema operativo non è supportato. Per un elenco dei sistemi operativi supportati, consulta Sistemi operativi supportati.

Stato di conformità delle patch

Scheda specifica per il sistema operativo.

Questa sezione descrive lo stato di conformità di ogni VM, organizzato per sistema operativo.

Lo stato di conformità è suddiviso in quattro categorie principali:

  • Critico:indica che per una VM sono disponibili aggiornamenti critici.
  • Importante o di sicurezza:indica che per una VM sono disponibili aggiornamenti importanti o di sicurezza.
  • Altro: indica che per una VM sono disponibili aggiornamenti, ma nessuno di questi è classificato come critico o di aggiornamento della sicurezza.
  • Up-to-date::indica che per una VM non sono disponibili aggiornamenti.

Passaggi successivi