ECSインスタンスのセキュリティを向上させるためのパッチの更新 - Elastic Compute Service

ほとんどの組織では、IT資産管理のコンプライアンス要件があります。たとえば、攻撃を防ぐためにシステムの脆弱性をできるだけ早く修正し、ソフトウェアパッケージを最新の状態にする必要があります。コンプライアンス要件を満たすには、パッチ管理が特に重要です。 CloudOps Orchestration Service (OOS) は、Elastic Compute Service (ECS) のパッチ管理機能を提供します。パッチ管理機能を使用すると、パッチをスキャンしたり、デフォルトのパッチベースラインに基づいてパッチをインストールしたり、カスタムパッチベースラインを指定したりできます。

背景情報

パッチ管理機能は、セキュリティ関連の更新など、さまざまな種類の更新を使用してパッチを自動的に更新できます。パッチ管理は、オペレーティングシステムおよびアプリケーションのパッチを管理できます。パッチ管理機能は、選択したインスタンスで実行されているオペレーティングシステムのデフォルトのパッチベースラインに基づいてパッチをスキャンまたはインストールします。パッチ管理とパッチベースラインの詳細については、「パッチマネージャーの仕組み」と「パッチベースライン」をご参照ください。

パッチ管理は、次の表に示すシナリオで、[即時修正] モードと [スケジュール修正] モードをサポートしています。

パッチ管理モード	シナリオ
即時修正	高リスクの脆弱性: 検出された脆弱性が高リスクであると判断され、データ侵害またはシステムが容易に侵害される可能性がある場合、インスタンスがリスクにさらされる時間を最小限に抑えるために、パッチをすぐにインストールする必要があります。重要なシステム: コアビジネスを実行したり、機密情報を処理したりする重要なシステムの場合、システムを継続的かつ安全に実行できるように、セキュリティ更新を早期に実装する必要があります。既知のエクスプロイト: 広く悪用されている脆弱性からシステムを保護するには、すぐに対処する必要があります。コンプライアンス要件: 特定のセクターまたは地域では、法令および規制により、コンプライアンス要件を満たすために特定の期間内に特定の種類の脆弱性を修正することが求められる場合があります。
スケジュールされた修正	緊急でない脆弱性: リスクが低く、短期間で悪用される可能性が低い脆弱性は、オフピーク時またはメンテナンス期間内にスケジュールで修正して、ビジネスへの影響を軽減できます。システムの安定性: 特定の大規模または複雑なIT環境では、十分なテストなしでパッチをインストールすると、非互換性とシステムの不安定性が発生する可能性があります。メンテナンス期間内にスケジュールに従ってパッチをインストールする場合、適切なテストとバックアップのための時間を予約できます。リソースの最適化: 組織の人員などのリソースが限られている場合、週末や夜間など、特定の時点でパッチをバッチインストールできます。

前提条件

パッチを更新するECSインスタンスは、パッチ管理機能をサポートするオペレーティングシステムを実行する必要があります。詳細については、「概要」トピックのサポートされているオペレーティングシステムセクションをご参照ください。

パッチの更新に使用するアカウントには、次の権限が必要です。詳細については、「RAMを使用してOOSに権限を付与する」をご参照ください。

{
    "Policy": {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "ecs:RebootInstance",
                    "ecs:DescribeInvocationResults",
                    "ecs:DescribeCloudAssistantStatus",
                    "ecs:DescribeInstances",
                    "ecs:DescribeInvocations",
                    "ecs:RunCommand"
                 ],
                 "Resource": "*",
                 "Effect": "Allow"
             },
             {
                 "Action": [
                     "oos:ListInstancePatchStates"
                 ],
                 "Resource": "*",
                 "Effect": "Allow"
              }
      ]
   }
}

手順

この例では、スケジュール修正モードを使用して、パッチを更新する方法を説明します。即時修正モードでパッチを更新することもできます。詳細については、「即時修正」をご参照ください。

CloudOps Orchestration Service (OOS) コンソールにログインします。
左側のナビゲーションウィンドウで、[サーバー管理] > [パッチ管理] を選択します。 [パッチ管理] ページで、[スケジュール修正] をクリックします。
[基本情報] セクションで、パラメーターを設定します。
次のパラメータに注意してください。その他のパラメーターについては、スケジュールされた修正ページに表示されるパラメーターの説明を参照してください。
- スケジュールされたタスクタイプ: OOSがスケジュールでパッチを更新するモード。たとえば、パッチ更新タスクは毎日0:00:00に実行されます。
- 修正操作:
  - Scan: 指定された各インスタンスをスキャンし、レビュー用に欠落しているパッチのリストを生成します。
  - スキャンとインストール: 指定された各インスタンスをスキャンし、インスタンス上の既存のパッチをパッチベースラインで指定されたルールに一致するパッチと比較します。次に、システムは、関連する各インスタンスに不足している承認済みパッチをダウンロードしてインストールします。
- システムディスクのスナップショットを作成するかどうか: [はい] を選択し、スナップショットの保持期間を指定します。
- 再起動を許可: ビジネス要件に基づいて、パッチがインストールされているインスタンスを再起動するかどうかを指定します。
  - はい: パッチを有効にするためにインスタンスの再起動が必要な場合、インスタンスを再起動します。
  - いいえ: インスタンスを再起動しません。この場合、パッチを有効にするためにインスタンスの再起動が必要な場合、パッチは有効にならず、インストール後にPending状態のままになります。
- 権限: [デフォルトのサービスにリンクされたロール] を選択します。
[インスタンスの選択] をクリックし、[リソースタイプ] を [ECSインスタンス] に設定し、パッチを更新するインスタンスを選択します。
[詳細設定] セクションのデフォルト値を保持し、[今すぐ実行] をクリックします。
[パラメーターの確認] メッセージで、パラメーターを確認し、[OK] をクリックします。
パッチ更新タスクの詳細を表示します。
1. [パッチ管理] ページで、パッチ更新タスクの [タスクステータス] 列を表示します。成功が表示され場合、パッチ更新タスクは完了です。
2. 更新されたパッチの詳細を表示するには、[操作] 列の [実行ID] または [詳細] をクリックします。

Elastic Compute Service:ECSインスタンスのセキュリティを向上させるためのパッチの更新

背景情報

前提条件

手順

関連ドキュメント