Conformidade do ambiente computacional “EC2” na AWS

Seguindo a trilha de SysOps, neste post vou citar um caso de sucesso envolvendo a administração de instâncias EC2 em diversos sistemas operacionais.

É muito comum encontrar instâncias EC2 mesmo nos ambientes de Cloud. Também é comum que estas instâncias estejam divididas entre diversas funções e ou microserviços cada qual com o sistema operacional que melhor atende ao seu objetivo. Ao passar do tempo a administração destas instâncias passa a ser um processo custoso, pois necessitam de atualizações de segurança, atualização de versão entre outros tipos de atualizações. As features mais novas que são adicionadas a sua aplicação durante seu ciclo de vida, dependem exclusivamente que essas atualizações estejam em dia, caso contrário elas podem vir a parar de funcionar ou não alcançar o desempenho desejado.

Essa é a dor que o AWS Systems Manager Patch Manager visa solucionar de forma centralizada e sem custo adicional. Dito isso vamos a parte prática

Com as instâncias devidamente configuradas, (caso tenha dúvidas sobre a configuração inicial leia o primeiro post dessa trilha), o primeiro passo é criar uma base de atualização para cada um dos sistemas operacionais da sua infraestrutura. Para isso acesse a console da aws, procure pelo serviço AWS Systems Manager e selecione o Patch Manager.

Selecionando a aba Patch Baselines existem as bases de atualizações previamente configuradas da aws, você pode optar em utilizá-las ou criar sua própia base customizada. Dentre as possíveis customizações a mais importante que vou comentar é criar regras para aprovação de patch, as opções de regras são: versão do sistema operacional, classificação (Updates, CriticalUpdates, UpdateRollups), a criticidade (Critical, Important, Low) e quantos dias após a disponibilização do Patch você deseja baixar em sua base.

Uma vez criado, é uma boa prática especificar o grupo de instâncias ec2 que estão associado a esta baseline. Ao clicar na sua baseline são exibidos as configurações e você deve clicar no botão Actions e Modify patch groups. Feito isso adicione a ou as tags que foram definidas nas instâncias ec2. Para definir as tags que serão adicionadas em Modify patch groups, deve-se criar uma tag na ec2 com nome Patch Group e o valor você decide o que melhor representa aquele grupo de instâncias. Um exemplo seria tag: Patch Group (este nome precisa ser exatamente como está com as iniciais maiúsculas) e valor da tag: WindowsServer2016

Nos casos de instâncias que não existe uma tag Patch Group associada, ele irá buscar as atualizações na baseline padrão para seu sistema operacional, cuidado pois nesse caso uma instância em produção sem uma tag Patch Group definida pode receber patch que não passou pelo seu processo de homologação e isso pode ser um problema na administração e conformidade do seu ambiente.

A segunda aba Compliance reporting, lista o estado de conformidade das instâncias. No meu exemplo possuo três instâncias, sendo uma Amazon Linux 2, uma Ubuntu 20 e uma com Windows Server 2016.

Conforme a imagem acima as instâncias estão com estado de “Never reported”, de fato são instâncias novas que acabei de lançar e que não passaram pelo primeiro processo de associação.

Vamos iniciar o processo!

Uma das opções é realizar o processo manual clicando no botão Patch Now, você será redirecionado as configurações. Você possui duas opções:

• Scan
• Scan and install

Eu costumo sempre fazer o Scan, para listar o estado de conformidade da instância em seguida Scan and install. Você também pode selecionar quais instâncias passarão por esse processo, é possível filtrar por tag (previamente configurada nas instâncias), selecionar manualmente ou escolher um grupo de recursos pré definido. Na opção Scan existem apenas essas opções, agora quando executar o Scan and install, você terá a opção de Reboot de instância se necessário, Não reboot e agendar um reboot. Essas opções são importantes no caso de instâncias de produção que quando desligadas afetam a aplicação, vamos falar delas em próximos posts. Por fim clique no botão Patch Now ao final da página e aguarde a execução do processo.

Depois de finalizada o primeiro processo de associação e Scan voltamos ao relatório de conformidade de instâncias e temos o resultado.

Paramos por aqui, basicamente o AWS Patch Manager é isso, caso tenham alguma dúvida por favor me mande mensagem ou entre em contato pelas redes sociais.

Nos próximos posts vou explorar como automatizar esse processo de Patch Manager. Fiquem de olho.