Sobre Patch

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Use o Patch para aplicar patches do sistema operacional em um conjunto de instâncias de VM (VMs) do Compute Engine. VMs de longa execução exigem atualizações periódicas do sistema para proteção contra defeitos e vulnerabilidades.

O recurso Patch tem dois componentes principais:

• Relatórios de conformidade de patches, que fornecem insights sobre o status dos patches das suas instâncias de VM em distribuições Windows e Linux. Junto com os insights, você também pode visualizar recomendações para suas instâncias de VM.
• Implantação de patches, que automatiza o processo de atualização de patches do sistema operacional e de software. Uma implantação de patch agenda trabalhos de patch . Um trabalho de patch é executado em instâncias de VM e aplica patches.

Benefícios

O serviço Patch oferece flexibilidade para concluir os seguintes processos:

• Crie aprovações de patch. Você pode selecionar quais patches aplicar ao seu sistema a partir do conjunto completo de atualizações disponíveis para o sistema operacional específico.
• Configure um agendamento flexível. Você pode escolher quando executar atualizações de patch (programações únicas e recorrentes).
• Aplique configurações avançadas de patch. Você pode personalizar seus patches adicionando configurações como scripts de pré e pós-aplicação de patches.
• Gerencie esses trabalhos de patch ou atualizações em um local centralizado. Você pode usar o painel Patch para monitorar e gerar relatórios de trabalhos de patch e status de conformidade.

Preços

Para obter informações sobre preços, consulte preços do VM Manager .

Como funciona o patch

Para usar o recurso Patch, você deve configurar a API OS Config e instalar o agente OS Config. Para obter instruções detalhadas, consulte Configurar o VM Manager . O serviço OS Config permite o gerenciamento de patches em seu ambiente enquanto o agente OS Config usa o mecanismo de atualização para cada sistema operacional para aplicar patches. As atualizações são extraídas dos repositórios de pacotes (também chamados de pacote fonte de distribuição ) ou de um repositório local do sistema operacional.

As seguintes ferramentas de atualização são usadas para aplicar patches:

• Red Hat Enterprise Linux (RHEL), Rocky Linux e CentOS – yum upgrade
• Debian e Ubuntu - apt upgrade
• SUSE Linux Enterprise Server (SLES) – zypper update
• Windows - Agente de atualização do Windows

Fontes de patches e pacotes

Para usar o recurso Patch no VM Manager, a VM deve ter acesso às atualizações ou patches do pacote. O serviço Patch não hospeda nem mantém atualizações ou patches de pacotes. Em alguns cenários, a sua VM pode não ter acesso às atualizações. Por exemplo, se sua VM não usar IPs públicos ou se você estiver usando uma rede VPC privada. Nesses cenários, você deverá concluir etapas adicionais para permitir o acesso às atualizações ou patches. Considere as seguintes opções:

• O Google recomenda hospedar seu próprio repositório local ou um serviço de atualização do Windows Server para controle total sobre a linha de base do patch.
• Como alternativa, você pode disponibilizar fontes de atualização externas para suas VMs usando o Cloud NAT ou outros serviços de proxy.

O gerenciamento de patches consiste em dois serviços: implantação de patches e conformidade de patches. Cada serviço é explicado nas seções a seguir.

Visão geral da implantação de patches

Uma implantação de patch é iniciada fazendo uma chamada para a API do VM Manager (também conhecida como API de configuração do sistema operacional). Isso pode ser feito usando o console do Google Cloud, a CLI do Google Cloud ou uma chamada direta à API. Em seguida, a API do VM Manager notifica o agente de configuração do sistema operacional que está em execução nas VMs de destino para iniciar a aplicação de patches.

O agente de configuração do sistema operacional executa a aplicação de patches em cada VM usando a ferramenta de gerenciamento de patches disponível para cada distribuição. Por exemplo, as VMs do Ubuntu usam a ferramenta utilitária apt . A ferramenta utilitária recupera atualizações (patches) da fonte de distribuição do sistema operacional. À medida que a aplicação de patches prossegue, o agente de configuração do SO relata o progresso à API do VM Manager.

Visão geral da conformidade de patches

Depois de configurar o VM Manager em uma VM, ocorre o seguinte na VM:

• O agente de configuração do SO relata periodicamente (a cada 10 minutos) dados de inventário do SO .
• O back-end de conformidade do patch lê periodicamente esses dados, faz referência cruzada com os metadados do pacote obtidos da distribuição do sistema operacional e os salva.
• O console do Google Cloud obtém os dados de conformidade do patch e exibe essas informações no console.

Como os dados de conformidade de patch são gerados

O back-end de conformidade de patch conclui periodicamente as seguintes tarefas:

1. Lê os relatórios coletados dos dados de inventário do SO em uma VM.

2. Verifica dados de classificação da origem da vulnerabilidade para cada sistema operacional e ordena esses dados com base na gravidade (da mais alta para a mais baixa).

   A tabela a seguir resume a origem da vulnerabilidade usada para cada sistema operacional.

   Sistema operacional	Pacote fonte de vulnerabilidade
   RHEL e CentOS	https://access.redhat.com/security/data Os resultados da verificação de vulnerabilidades para RHEL são baseados na versão secundária mais recente de cada versão principal lançada. Pode haver imprecisões nos resultados da verificação de versões secundárias mais antigas do RHEL.
   Debian	https://security-tracker.debian.org/tracker
   Ubuntu	https://launchpad.net/ubuntu-cve-tracker
   SLES	N / D Os relatórios de conformidade de patches não são compatíveis com SLES
   Linux rochoso	N / D Os relatórios de conformidade de patches são suportados no Rocky Linux. Contudo, a classificação dos dados de vulnerabilidade com base na gravidade não está disponível.
   Windows	O back-end de conformidade de patch obtém os dados de classificação da API do Windows Update Agent.

3. Mapeia essas classificações (fornecidas pela fonte da vulnerabilidade) para o status de conformidade do patch do Google.

   A tabela a seguir resume o sistema de mapeamento usado para gerar o status de conformidade do patch do Google.

   Categorias de origem de distribuição	Status de conformidade do patch do Google
   Crítico Urgente WINDOWS_CRITICAL_UPDATE	Crítico (VERMELHO)
   Importante Alto WINDOWS_SECURITY_UPDATE	Importante/Segurança (LARANJA)
   Todo o resto	Outro (AMARELO)
   Nenhuma atualização disponível	Atualizado (VERDE)

4. Seleciona os dados de maior gravidade para cada atualização disponível e os mostra na página do painel do console do Google Cloud. Você também pode ver um relatório completo de todas as atualizações disponíveis para a VM na página de detalhes da VM .

Por exemplo, se os dados de inventário do SO para uma VM RHEL 7 tiverem os seguintes dados de pacote:

• Nome do pacote: pacote1
• Versão instalada: 1.4
• Versão de atualização: 2.0

O back-end de conformidade do patch verifica dados de classificação (da distribuição de origem) e recupera as seguintes informações:

• Versão 1.5 => Crítica, corrige CVE-001
• Versão 1.8 => Baixa, corrige CVE-002
• Versão 1.9 => Baixa, corrige CVE-003

Em seguida, no painel do console do Google Cloud, esta VM RHEL 7 é adicionada à lista de VMs que têm uma atualização Critical disponível. Se você revisar os detalhes desta VM, verá 1 atualização Critical disponível (versão 2.0) com 3 CVEs, CVE-001, CVE-002 e CVE-003.

Patch simultâneo

Quando você inicia um trabalho de patch, o serviço usa o filtro de instância fornecido para determinar as instâncias específicas a serem corrigidas. Os filtros de instância permitem corrigir simultaneamente muitas instâncias ao mesmo tempo. Essa filtragem é feita quando o trabalho de patch começa a considerar as alterações no seu ambiente após o agendamento do trabalho.

Patch agendado

Os patches podem ser executados sob demanda, agendados com antecedência ou configurados com uma programação recorrente. Você também pode cancelar um trabalho de patch em andamento se precisar interrompê-lo imediatamente.

Você pode configurar janelas de manutenção de patches criando implantações de patches com frequência e duração especificadas. O agendamento de trabalhos de patch com uma duração especificada garante que as tarefas de patch não sejam iniciadas fora da janela de manutenção designada.

Você também pode impor prazos de instalação de patches criando implantações de patches para serem concluídas em um horário específico. Se as VMs de destino não receberem patches até essa data, a implantação agendada começará a instalar os patches nessa data. Se as VMs já tiverem sido corrigidas, nenhuma ação será tomada nessas VMs, a menos que um script pré ou pós-patch seja especificado ou uma reinicialização seja necessária.

O que está incluído em um trabalho de patch?

Quando um trabalho de patch é executado em uma VM, dependendo do sistema operacional, uma combinação de atualizações é aplicada. Você pode optar por direcionar atualizações e pacotes específicos ou, para sistemas operacionais Windows, especificar os IDs da KB que deseja atualizar.

Você também pode usar um trabalho de patch para atualizar quaisquer agentes do Google instalados como um pacote padrão para essa distribuição específica. Use a ferramenta de atualização dessa distribuição para consultar os pacotes que estão disponíveis. Por exemplo, para ver os agentes do Google disponíveis para um sistema operacional Ubuntu, execute apt list --installed | grep -P 'google' .

Acesse o resumo do patch para suas VMs

Para visualizar o resumo do patch das suas VMs, você tem as seguintes opções:

• Para visualizar as informações de resumo do patch para todas as VMs em uma organização ou pasta, use o painel Patch no console do Google Cloud. Consulte Exibir resumo de patches para VMs .

• Para visualizar o status dos jobs de patch, use a página Jobs de patch no console do Google Cloud. Você também pode usar a CLI do Google Cloud ou a API OS Config. Para obter mais informações, consulte Gerenciar trabalhos de patch .

Para visualizar outras informações, como atualizações de pacotes do sistema operacional e relatórios de vulnerabilidade, consulte visualizar detalhes do sistema operacional .

O painel de patches

No console do Google Cloud, está disponível um painel que você pode usar para monitorar a conformidade do patch para suas instâncias de VM.

Vá para a página do patch

Compreendendo o painel Patch

Visão geral do sistema operacional

Esta seção reflete o número total de VMs, organizadas por sistema operacional. Para que uma VM apareça nesta lista, ela deve ter o agente de configuração do sistema operacional instalado e o gerenciamento de inventário do sistema operacional ativado .

Se uma VM estiver listada com seu sistema operacional como No data , um ou mais dos seguintes cenários poderão ser verdadeiros:

• A VM não responde.
• O agente de configuração do SO não está instalado.
• O gerenciamento de inventário do SO não está ativado.

• O sistema operacional não é compatível. Para obter uma lista de sistemas operacionais suportados, consulte Sistemas operacionais suportados .

Status de conformidade do patch

Esta seção descreve o status de conformidade de cada VM, organizado por sistema operacional.

O status de conformidade é categorizado em quatro categorias principais:

• Crítico: Isso significa que uma VM tem atualizações críticas disponíveis.
• Importante ou de segurança: Isso significa que uma VM tem atualizações importantes ou de segurança disponíveis.
• Outros: Isso significa que uma VM tem atualizações disponíveis, mas nenhuma dessas atualizações é categorizada como atualização crítica ou de segurança.
• Atualizado: Isso significa que uma VM não tem atualizações disponíveis.

O que vem a seguir?

• Crie um trabalho de patch .
• Gerenciar trabalhos de patch .
• Agende trabalhos de patch .