Acerca del parche

Utilice Patch para aplicar parches del sistema operativo en un conjunto de instancias de VM (VM) de Compute Engine. Las máquinas virtuales de larga duración requieren actualizaciones periódicas del sistema para protegerlas contra defectos y vulnerabilidades.

La función Parche tiene dos componentes principales:

  • Informes de cumplimiento de parches, que brindan información sobre el estado de los parches de sus instancias de VM en distribuciones de Windows y Linux. Además de la información, también puede ver recomendaciones para sus instancias de VM.
  • Implementación de parches, que automatiza el proceso de actualización de parches de software y del sistema operativo. Una implementación de parches programa trabajos de parches . Un trabajo de parche se ejecuta en instancias de VM y aplica parches.

Beneficios

El servicio Patch le brinda la flexibilidad de completar los siguientes procesos:

  • Crear aprobaciones de parches. Puede seleccionar qué parches aplicar a su sistema del conjunto completo de actualizaciones disponibles para el sistema operativo específico.
  • Establece horarios flexibles. Puede elegir cuándo ejecutar las actualizaciones de parches (programaciones únicas y recurrentes).
  • Aplicar ajustes de configuración de parches avanzados. Puede personalizar sus parches agregando configuraciones como scripts previos y posteriores a la aplicación de parches.
  • Administre estos trabajos de parches o actualizaciones desde una ubicación centralizada. Puede utilizar el panel de parches para monitorear e informar sobre los trabajos de parches y el estado de cumplimiento.

Precios

Para obtener información sobre los precios, consulte Precios de VM Manager .

Cómo funciona el parche

Para utilizar la función de parche, debe configurar la API de configuración del sistema operativo e instalar el agente de configuración del sistema operativo. Para obtener instrucciones detalladas, consulte Configurar VM Manager . El servicio OS Config permite la administración de parches en su entorno, mientras que el agente OS Config utiliza el mecanismo de actualización para cada sistema operativo para aplicar parches. Las actualizaciones se obtienen de los repositorios de paquetes (también llamados paquete fuente de distribución ) o de un repositorio local para el sistema operativo.

Las siguientes herramientas de actualización se utilizan para aplicar parches:

  • Red Hat Enterprise Linux (RHEL), Rocky Linux y CentOS: yum upgrade
  • Debian y Ubuntu: apt upgrade
  • SUSE Linux Enterprise Server (SLES): zypper update
  • Windows - Agente de actualización de Windows

Fuentes de parches y paquetes

Para utilizar la función de parches en VM Manager, la VM debe tener acceso a las actualizaciones o parches del paquete. El servicio de parches no aloja ni mantiene parches o actualizaciones de paquetes. En algunos escenarios, es posible que su máquina virtual no tenga acceso a las actualizaciones. Por ejemplo, si su VM no usa IP públicas o está usando una red VPC privada. En estos escenarios, debe completar pasos adicionales para permitir el acceso a las actualizaciones o parches. Considere las siguientes opciones:

  • Google recomienda alojar su propio repositorio local o un servicio de actualización de Windows Server para tener un control total sobre la base de referencia del parche.
  • Alternativamente, puede hacer que las fuentes de actualización externas estén disponibles para sus máquinas virtuales mediante Cloud NAT u otros servicios de proxy.

La gestión de parches consta de dos servicios: implementación de parches y cumplimiento de parches. Cada servicio se explica en las siguientes secciones.

Descripción general de la implementación de parches

La implementación de un parche se inicia realizando una llamada a la API de VM Manager (también conocida como API de configuración del sistema operativo). Esto se puede hacer mediante la consola de Google Cloud, la CLI de Google Cloud o una llamada API directa. Luego, la API de VM Manager notifica al agente de configuración del sistema operativo que se está ejecutando en las máquinas virtuales de destino para que comience a aplicar parches.

El agente de OS Config ejecuta la aplicación de parches en cada VM mediante la herramienta de administración de parches que está disponible para cada distribución. Por ejemplo, las máquinas virtuales de Ubuntu utilizan la herramienta de utilidad apt . La herramienta de utilidad recupera actualizaciones (parches) de la fuente de distribución del sistema operativo. A medida que avanza la aplicación de parches, el agente de configuración del sistema operativo informa el progreso a la API de VM Manager.

Descripción general del cumplimiento de parches

Después de configurar VM Manager en una VM, ocurre lo siguiente en la VM:

  • El agente de configuración del sistema operativo informa periódicamente (aproximadamente cada 10 minutos) los datos del inventario del sistema operativo .
  • El backend de cumplimiento de parches lee periódicamente estos datos, los compara con los metadatos del paquete obtenidos de la distribución del sistema operativo y los guarda.
  • Luego, la consola de Google Cloud obtiene los datos de cumplimiento del parche y muestra esta información en la consola.

Cómo se generan los datos de cumplimiento de parches

El backend de cumplimiento de parches completa periódicamente las siguientes tareas:

  1. Lee los informes que se recopilan de los datos del inventario del sistema operativo en una máquina virtual.

  2. Busca datos de clasificación de la fuente de vulnerabilidad para cada sistema operativo y ordena estos datos según la gravedad (de mayor a menor).

    La siguiente tabla resume el origen de la vulnerabilidad que se utiliza para cada sistema operativo.

    Sistema operativo Paquete fuente de vulnerabilidad
    RHEL y CentOS https://access.redhat.com/security/data

    Los resultados del análisis de vulnerabilidades para RHEL se basan en la última versión secundaria de cada versión principal publicada. Es posible que haya imprecisiones en los resultados del análisis de versiones menores anteriores de RHEL.

    Debian https://security-tracker.debian.org/tracker
    ubuntu https://launchpad.net/ubuntu-cve-tracker
    LES N / A

    Los informes de cumplimiento de parches no son compatibles con SLES

    Linux rocoso N / A

    Los informes de cumplimiento de parches son compatibles con Rocky Linux. Sin embargo, la clasificación de los datos de vulnerabilidad según la gravedad no está disponible.

    ventanas El backend de cumplimiento de parches obtiene los datos de clasificación de la API del Agente de Windows Update.

  3. Asigna estas clasificaciones (proporcionadas por la fuente de la vulnerabilidad) al estado de cumplimiento del parche de Google.

    La siguiente tabla resume el sistema de mapeo utilizado para generar el estado de cumplimiento del parche de Google.

    Categorías de fuentes de distribución Estado de cumplimiento del parche de Google
    • Crítico
    • Urgente
    • WINDOWS_CRITICAL_UPDATE
    		 Crítico (ROJO)
    • Importante
    • Alto
    • WINDOWS_SECURITY_UPDATE
    		 Importante/Seguridad (NARANJA)
    • Todo lo demás
    		 Otro (AMARILLO)
    • No hay actualizaciones disponibles
    		 Actualizado (VERDE)

  4. Selecciona los datos de mayor gravedad para cada actualización disponible y los muestra en la página del panel de la consola de Google Cloud. También puede ver un informe completo de todas las actualizaciones disponibles para la VM en la página de detalles de la VM .

Por ejemplo, si los datos de inventario del sistema operativo para una máquina virtual RHEL 7 tienen los siguientes datos de paquete:

  • Nombre del paquete: paquete1
  • Versión instalada: 1.4
  • Versión de actualización: 2.0

El backend de cumplimiento de parches busca datos de clasificación (de la distribución de origen) y recupera la siguiente información:

  • Versión 1.5 => Crítica, corrige CVE-001
  • Versión 1.8 => Baja, corrige CVE-002
  • Versión 1.9 => Baja, corrige CVE-003

Luego, en el panel de la consola de Google Cloud, esta máquina virtual RHEL 7 se agrega a la lista de máquinas virtuales que tienen una actualización Critical disponible. Si revisa los detalles de esta máquina virtual, verá 1 actualización Critical disponible (versión 2.0) con 3 CVE, CVE-001, CVE-002 y CVE-003.

Parcheo simultáneo

Cuando inicia un trabajo de parche, el servicio utiliza el filtro de instancia que proporcionó para determinar las instancias específicas que se van a parchear. Los filtros de instancia le permiten parchear simultáneamente muchas instancias al mismo tiempo. Este filtrado se realiza cuando el trabajo de parche comienza a tener en cuenta los cambios en su entorno después de programar el trabajo.

Parches programados

Los parches se pueden ejecutar según demanda, programarse con antelación o configurarse con una programación recurrente. También puede cancelar un trabajo de parche en curso si necesita detenerlo inmediatamente.

Puede configurar ventanas de mantenimiento de parches creando implementaciones de parches con una frecuencia y duración específicas. Programar trabajos de parche con una duración específica garantiza que las tareas de parcheo no comiencen fuera de la ventana de mantenimiento designada.

También puede hacer cumplir los plazos de instalación de parches creando implementaciones de parches que se completarán en un momento específico. Si las máquinas virtuales de destino no cuentan con parches para esta fecha, la implementación programada comenzará a instalar parches en esta fecha. Si las máquinas virtuales ya tienen parches, no se realiza ninguna acción en esas máquinas virtuales, a menos que se especifique un script previo o posterior al parche o se requiera un reinicio.

¿Qué se incluye en un trabajo de parche?

Cuando se ejecuta un trabajo de parche en una máquina virtual, según el sistema operativo, se aplica una combinación de actualizaciones. Puede optar por apuntar a actualizaciones y paquetes específicos o, para sistemas operativos Windows, especificar los ID de KB que desea actualizar.

También puede utilizar un trabajo de parche para actualizar cualquier agente de Google que esté instalado como un paquete estándar para esa distribución específica. Utilice la herramienta de actualización de esa distribución para consultar los paquetes que están disponibles. Por ejemplo, para ver los agentes de Google disponibles para un sistema operativo Ubuntu, ejecute apt list --installed | grep -P 'google' .

ventanas

Para el sistema operativo Windows, puede aplicar todas o seleccionar entre las siguientes actualizaciones:

  • Actualizaciones de definiciones
  • Actualizaciones de controladores
  • Actualizaciones del paquete de funciones
  • Actualizaciones de seguridad
  • Actualizaciones de herramientas

RHEL/Rocky/CentOS

Para los sistemas operativos Red Hat Enterprise Linux, Rocky Linux y CentOS, puede aplicar todas o seleccionar entre las siguientes actualizaciones:

  • Actualizaciones del sistema
  • Actualizaciones de seguridad

Debian/Ubuntu

Para los sistemas Debian y Ubuntu, puede aplicar todas o seleccionar entre las siguientes actualizaciones:

  • Actualizaciones de distribución
  • Actualizaciones del administrador de paquetes

SUSE

Para los sistemas operativos SUSE Enterprise Linux Server (SLES) y openSUSE, puede aplicar todas o seleccionar entre las siguientes actualizaciones:

  • Actualizaciones de paquetes del sistema
  • Parches Zypper (correcciones de errores específicos y correcciones de seguridad)

Acceda al resumen de parches para sus máquinas virtuales

Para ver el resumen de parches para sus máquinas virtuales, tiene las siguientes opciones:

  • Para ver la información resumida de parches para todas las máquinas virtuales en una organización o carpeta, use el panel de parches en la consola de Google Cloud. Consulte Ver resumen de parches para máquinas virtuales .

  • Para ver el estado de los trabajos de parche, use la página Trabajos de parche en la consola de Google Cloud. También puede utilizar la CLI de Google Cloud o la API de configuración del sistema operativo. Para obtener más información, consulte Administrar trabajos de parches .

Para ver otra información, como actualizaciones de paquetes del sistema operativo e informes de vulnerabilidad, consulte ver detalles del sistema operativo .

El panel de parches

En la consola de Google Cloud, hay un panel disponible que puede usar para monitorear el cumplimiento de los parches para sus instancias de VM.

Ir a la página del parche

Panel de parches.

Comprender el panel de parches

Descripción general del sistema operativo

Esta sección refleja el número total de máquinas virtuales, organizadas por sistema operativo. Para que una máquina virtual aparezca en esta lista, debe tener instalado el agente de configuración del sistema operativo y habilitada la administración de inventario del sistema operativo.

Número de tarjeta de VM.

Si una máquina virtual aparece con su sistema operativo como No data , es posible que se cumplan uno o más de los siguientes escenarios:

  • La máquina virtual no responde.
  • El agente de configuración del sistema operativo no está instalado.
  • La gestión de inventario del sistema operativo no está habilitada.

  • El sistema operativo no es compatible. Para obtener una lista de los sistemas operativos compatibles, consulte Sistemas operativos compatibles .

Estado de cumplimiento del parche

Tarjeta específica del sistema operativo.

Esta sección describe el estado de cumplimiento de cada VM, organizado por sistema operativo.

El estado de cumplimiento se clasifica en cuatro categorías principales:

  • Crítico: esto significa que una VM tiene actualizaciones críticas disponibles.
  • Importante o de seguridad: Esto significa que una VM tiene actualizaciones importantes o de seguridad disponibles.
  • Otro: esto significa que una máquina virtual tiene actualizaciones disponibles, pero ninguna de estas actualizaciones está categorizada como actualización crítica o de seguridad.
  • Actualizado: esto significa que una VM no tiene actualizaciones disponibles.

¿Qué sigue?