パッチ管理とコンプライアンスの自動化

Pulisher : Enterprise Managed Service Group ミン・ジホ
Description : AWS Systme Managerを使ったパッチ作業の有効化とコンプライアンスを高める方法について紹介したセッション。

はじめに

大規模なパッチ作業時に運営担当者の負荷を減らすだけでなく、自社ガバナンスに反しないインフラを構築したいと思っていました。

インフラを構築してみたかったので、本セッションを聞き、AWS Patch Managementの使用事例を聞き、簡単な設定をしたいと思い

簡単な構成をしてみたいと思い申し込みました。

セッションの概要紹介

このセッションでは、パッチ管理とコンプライアンスを自動化する方法を紹介します。

AWS Systems Managerを使用すると、組織内のAWSアカウントやリージョン全体で大規模なパッチを迅速に有効にすることができます。このセッションでは、AWS Systems Managerを使用してパッチを有効にし、コンプライアンスを向上させる方法を実際に体験していただきます。

インフラへのパッチが難しい理由は、通常、いくつかの理由があります。

１．インベントリ管理が必要です。どのようなタイプのアプリケーションやデバイスがあるかを知る必要があります。
２．リソースの負荷です。サービスしているサーバーにパッチ作業を行う場合、負荷のために停止することがあります。
３．パッチ適用時に予期せぬ副作用が発生する可能性があります。
４．パッチ後、検証をしなければなりません。検証する作業は時間がかかる作業です。

パッチをするためには優先順位を決めなければなりません。

重要なパッチがどのようなものか、最小限のパッチが何であるかを知る必要があり、把握された場合、パッチが適用されていないシステムが何台あるかを認識する必要があります。

運営チーム及びセキュリティチーム間の協業は必須です。

インスタンスをスキャンして不足しているパッチのレポートを見たり、必要なパッチをスキャンして自動的に進めることができます。

自動的に進めることができます。リソースタグまたはリソースグループを使用して、個別にまたは

大規模グループでインスタンスを対象に指定することができます。

パッチベースラインを作成すると、パッチ承認ルール内で定義された基準によってのみ更新すべき対象を検索したり、パッチを適用します。

パッチ基準に基づいてインスタンスにパッチが欠落している場合、そのインスタンスはパッチ管理者ダッシュボード内で

不適合として表示されます。

パッチ方法は2つをサポートします。オンデマンドパッチ、スケジュールパッチをサポートします。

パッチ進行時、任意のリソースがユーザーが指定したベースラインに反する場合、

パッチ対象として作業進行するようにすることができます。

AWS Patch Managerでスキャンを実行した後、パッチコンプライアンス情報が生成され、パッチマネージャーに報告されます。

リソースデータ同期を使用してパッチコンプライアンス情報をAmazon S3バケットにエクスポートし、Athenaを使用してQuick Sightで視覚化することができます。

QuickSight で作成した様々なグラフです。

準拠/非準拠の有無、組織内のパッチが適用されていないインスタンスの数、適用すべきパッチの深刻度など様々な種類のグラフを作成し

グラフを作成し、組織レポートとして活用することができます。

セッションを終えて

今回のセッションでAWS patch managerというリソースについて知りました。

機能としては、ユーザーが設定した基準に基づいてパッチするリソースをリストアップして、パッチをすることができ、種類としてはオンデマンドパッチとスケジュールパッチがあります。

オペレータの立場でパッチを進める時、コマンドを一つ一つ入力して進めるパッチよりAWSで提供するパッチ機能を使う方が楽だと思います。