מידע על Patch

שימוש ב-Patch כדי להחיל תיקונים למערכת ההפעלה על קבוצה של מכונות וירטואליות (VM) ב-Compute Engine. מכונות וירטואליות שפועלות לאורך זמן דורשות עדכוני מערכת תקופתיים כדי להגן מפני פגמים ונקודות חולשה.

התכונה 'תיקון' כוללת שני רכיבים עיקריים:

  • דיווח על תאימות לתיקוני אבטחה, שמספק תובנות לגבי סטטוס תיקוני האבטחה של המכונות הווירטואליות בהפצות של Windows ו-Linux. בנוסף לתובנות, אפשר גם לראות המלצות למכונות ה-VM.
  • פריסת תיקונים, שמבצעת אוטומטית את תהליך העדכון של תיקוני מערכת ההפעלה והתוכנה. פריסת תיקון מתזמנת משימות תיקון. עבודת תיקון פועלת במכונות וירטואליות ומיישמת תיקונים.

יתרונות

שירות התיקונים מאפשר לכם לבצע את התהליכים הבאים:

  • יצירת אישורי תיקונים. אתם יכולים לבחור אילו תיקונים להחיל על המערכת מתוך קבוצת העדכונים המלאה שזמינה למערכת ההפעלה הספציפית.
  • הגדרת תזמון גמיש. אתם יכולים לבחור מתי להפעיל עדכוני תיקון (לוחות זמנים חד-פעמיים וחוזרים).
  • החלת הגדרות מתקדמות של עדכון. אתם יכולים להתאים אישית את הטלאים על ידי הוספת הגדרות כמו סקריפטים לפני ואחרי הטלאים.
  • אפשר לנהל את העדכונים או את משימות הטלאים האלה ממיקום מרכזי. אפשר להשתמש בלוח הבקרה של תיקוני האבטחה כדי לעקוב אחרי משימות תיקון ולדווח עליהן, וגם על סטטוס התאימות.

מערכות הפעלה נתמכות

הרשימה המלאה של מערכות ההפעלה והגרסאות שתומכות ב-Patch מופיעה בפרטים על מערכת ההפעלה.

תמחור

מידע על התמחור זמין במחירון של VM Manager.

איך Patch עובד

כדי להשתמש בתכונה Patch, צריך להגדיר את OS Config API ולהתקין את OS Config agent. הוראות מפורטות זמינות במאמר בנושא הגדרת VM Manager. שירות OS Config מאפשר ניהול תיקונים בסביבה שלכם, בעוד שסוכן OS Config משתמש במנגנון העדכון של כל מערכת הפעלה כדי להחיל תיקונים. העדכונים נמשכים ממאגרי החבילות (שנקראים גם חבילת מקור להפצה) או ממאגר מקומי של מערכת ההפעלה.

הכלים הבאים לעדכון משמשים להחלת תיקונים:

  • ‫Red Hat Enterprise Linux‏ (RHEL), ‏ Rocky Linux ו-CentOS – yum upgrade
  • ‫Debian ו-Ubuntu – apt upgrade
  • ‫SUSE Linux Enterprise Server (SLES) – zypper update
  • ‫Windows – Windows Update Agent

מקורות של תיקונים וחבילות

כדי להשתמש בתכונת התיקון ב-VM Manager, למכונה הווירטואלית צריכה להיות גישה לעדכוני החבילה או לתיקונים. שירות התיקונים לא מארח או מתחזק עדכוני חבילות או תיקונים. בתרחישים מסוימים, יכול להיות שלמכונה הווירטואלית לא תהיה גישה לעדכונים. לדוגמה, אם המכונה הווירטואלית לא משתמשת בכתובות IP ציבוריות או שאתם משתמשים ברשת VPC פרטית. במקרים כאלה, צריך לבצע שלבים נוספים כדי לאפשר גישה לעדכונים או לתיקונים. עומדות לרשותך כמה אפשרויות:

  • ‫Google ממליצה לארח מאגר מקומי משלכם או שירות עדכונים של Windows Server כדי לקבל שליטה מלאה על בסיס העדכונים.
  • לחלופין, אפשר להשתמש ב-Cloud NAT או בשירותי פרוקסי אחרים כדי להפוך מקורות עדכון חיצוניים לזמינים למכונות הווירטואליות.

ניהול תיקונים מורכב משני שירותים: פריסת תיקונים ותאימות לתיקונים. בקטעים הבאים מוסבר על כל שירות.

סקירה כללית על פריסת תיקונים

פריסת תיקון מופעלת על ידי ביצוע קריאה ל-VM Manager API (שנקרא גם OS Config API). אפשר לעשות את זה באמצעות מסוףGoogle Cloud , Google Cloud CLI או קריאה ישירה ל-API. לאחר מכן, VM Manager API שפועל במכונות הווירטואליות של היעד מודיע לסוכן OS Config להתחיל בהחלת תיקוני אבטחה.

סוכן ה-OS Config מריץ את הטלאי בכל מכונה וירטואלית באמצעות כלי לניהול טלאים שזמין לכל הפצה. לדוגמה, במכונות וירטואליות של Ubuntu נעשה שימוש בכלי השירות apt. כלי השירות מאחזר עדכונים (תיקונים) ממקור ההפצה של מערכת ההפעלה. במהלך ההתקנה, סוכן OS Config מדווח על ההתקדמות אל VM Manager API.

סקירה כללית של תאימות לתיקונים

אחרי שמגדירים את VM Manager במכונה וירטואלית, הפעולות הבאות מתבצעות במכונה הווירטואלית:

  • סוכן ההגדרה של מערכת ההפעלה מדווח מדי פעם (בערך כל 10 דקות) על נתוני מלאי של מערכת ההפעלה .
  • הקצה העורפי של התאימות לתיקון קורא את הנתונים האלה מעת לעת, משווה אותם למטא-נתונים של החבילה שהתקבלו מהפצת מערכת ההפעלה ושומר אותם.
  • Google Cloud המסוף מקבל את נתוני התאימות של התיקון ומציג את המידע הזה במסוף.

איך נוצרים נתוני תאימות של תיקוני אבטחה

הקצה העורפי של התאימות לתיקונים משלים מעת לעת את המשימות הבאות:

  1. קריאת הדוחות שנאספים מנתוני מלאי של מערכת הפעלה במכונה וירטואלית.

  2. הכלי סורק את נתוני הסיווג ממקור הפגיעות של כל מערכת הפעלה, ומסדר את הנתונים לפי חומרת הפגיעות (מהגבוהה לנמוכה).

    בטבלה הבאה מפורט סיכום של מקור נקודת החולשה שמשמש לכל מערכת הפעלה.

    מערכת הפעלה חבילת מקור של פגיעות
    ‫RHEL ו-CentOS https://access.redhat.com/security/data

    תוצאות בדיקת נקודות חולשה ב-RHEL מבוססות על הגרסה המשנית האחרונה של כל גרסה ראשית שפורסמה. יכול להיות שיהיו אי דיוקים בתוצאות הסריקה של גרסאות משניות ישנות יותר של RHEL.
    Debian https://security-tracker.debian.org/tracker
    Ubuntu https://launchpad.net/ubuntu-cve-tracker
    SLES https://www.suse.com/support/update/
    Rocky Linux https://errata.rockylinux.org/
    Windows הקצה העורפי של התאימות לתיקונים מקבל את נתוני הסיווג מ-Windows Update Agent API.

  3. ממפה את הסיווגים האלה (שמסופקים על ידי מקור נקודת החולשה) לסטטוס התאימות לתיקון של Google.

    בטבלה הבאה מפורט סיכום של מערכת המיפוי שמשמשת ליצירת סטטוס התאימות של תיקוני האבטחה של Google.

    קטגוריות של מקורות הפצה סטטוס התאימות של תיקוני האבטחה של Google
    • קריטית
    • דחוף
    • WINDOWS_CRITICAL_UPDATE
    		 קריטית (אדום)
    • חשוב
    • גבוהה
    • WINDOWS_SECURITY_UPDATE
    		 חשוב/אבטחה (כתום)
    • כל השאר
    		 אחר (צהוב)
    • אין עדכונים זמינים
    		 עדכני (ירוק)

  4. הנתונים ברמת החומרה הגבוהה ביותר נבחרים לכל עדכון זמין ומוצגים בדף לוח הבקרה של Google Cloud המסוף. אפשר גם לראות דוח מלא של כל העדכונים שזמינים למכונה הווירטואלית בדף הפרטים של המכונה הווירטואלית.

לדוגמה, אם נתוני המלאי של מערכת ההפעלה של מכונה וירטואלית עם RHEL 7 כוללים את נתוני החבילה הבאים:

  • שם החבילה: package1
  • הגרסה המותקנת: 1.4
  • גרסת העדכון: 2.0

הקצה העורפי של התאימות לתיקוני אבטחה סורק נתוני סיווג (מהפצת המקור) ומאחזר את המידע הבא:

  • גרסה 1.5 => קריטית, תיקונים של CVE-001
  • גרסה 1.8 => נמוך, תיקונים CVE-002
  • גרסה 1.9 => נמוכה, תיקונים CVE-003

לאחר מכן, מכונת ה-VM עם RHEL 7 מתווספת לרשימת מכונות ה-VM שיש עבורן עדכון זמין בלוח הבקרה של מסוף Google Cloud .Critical אם בודקים את הפרטים של המכונה הווירטואלית הזו, רואים שיש Critical עדכון זמין (גרסה 2.0) עם 3 CVE,‏ CVE-001, ‏ CVE-002 ו-CVE-003.

תיקון בו-זמני

כשמפעילים משימת תיקון, השירות משתמש במסנן המופעים שצוין כדי לקבוע את המופעים הספציפיים שצריך לתקן. מסנני מופעים מאפשרים להחיל תיקון על הרבה מופעים בו-זמנית. הסינון הזה מתבצע כשהעבודה של תיקון מתחילה, כדי להתחשב בשינויים בסביבה שלכם אחרי שהעבודה מתוזמנת.

תיקון באגים מתוזמן

אפשר להפעיל תיקונים לפי דרישה, לתזמן אותם מראש או להגדיר תזמון חוזר. אפשר גם לבטל עבודת תיקון שנמצאת בתהליך אם רוצים להפסיק אותה באופן מיידי.

אתם יכולים להגדיר חלונות תחזוקה של תיקוני אבטחה על ידי יצירת פריסות של תיקוני אבטחה עם תדירות ומשך מוגדרים. תזמון של משימות הטמעת תיקון עם משך זמן מוגדר מבטיח שמשימות הטמעת התיקון לא יתחילו מחוץ לחלון זמן לתחזוקה המיועד.

אפשר גם לאכוף מועדים אחרונים להתקנת תיקונים על ידי יצירת פריסות של תיקונים שיושלמו בזמן מסוים. אם המכונות הווירטואליות שמטרגטים לא יתוקנו עד התאריך הזה, הפריסה המתוזמנת תתחיל להתקין תיקונים בתאריך הזה. אם מכונות וירטואליות כבר עודכנו, לא מתבצעת פעולה במכונות האלה, אלא אם מצוין סקריפט לפני או אחרי העדכון או שנדרש אתחול מחדש.

מה כלול בעבודת תיקון?

כשמריצים עבודת תיקון במכונה וירטואלית, מוחלת שילוב של עדכונים, בהתאם למערכת ההפעלה. אתם יכולים לבחור לטרגט עדכונים, חבילות או, במקרה של מערכות הפעלה של Windows, לציין את מזהי KB שאתם רוצים לעדכן.

אפשר גם להשתמש בעבודת תיקון כדי לעדכן סוכני Google שהותקנו כחבילה רגילה עבור ההפצה הספציפית הזו. משתמשים בכלי העדכון של ההפצה כדי לשלוח שאילתה לגבי החבילות שזמינות. לדוגמה, כדי לראות את סוכני Google שזמינים למערכת הפעלה מסוג Ubuntu, מריצים את הפקודה apt list --installed | grep -P 'google'.

Windows

במערכת ההפעלה Windows, אפשר להחיל את כל העדכונים הבאים או לבחור מתוכם:

  • עדכוני הגדרות
  • עדכוני דרייברים
  • עדכונים של חבילות תכונות
  • עדכוני אבטחה
  • עדכוני כלי

RHEL/Rocky/CentOS

במערכות הפעלה של Red Hat Enterprise Linux, ‏ Rocky Linux ו-CentOS, אפשר להחיל את כל העדכונים הבאים או לבחור מתוכם:

  • עדכוני מערכת
  • עדכוני אבטחה

‫Debian/Ubuntu

במערכות Debian ו-Ubuntu, אפשר להחיל את כל העדכונים הבאים או לבחור מתוכם:

  • עדכונים לגבי הפצה
  • עדכונים של מערכות ניהול חבילות

SUSE

במערכות הפעלה של SUSE Enterprise Linux Server ‏ (SLES) ו-openSUSE, אפשר להחיל את כל העדכונים הבאים או לבחור מתוכם:

  • עדכונים של חבילות מערכת
  • תיקוני Zypper (תיקוני באגים ספציפיים ותיקוני אבטחה)

גישה לסיכום תיקוני האבטחה של המכונות הווירטואליות

כדי לראות את סיכום התיקונים למכונות הווירטואליות, יש לכם את האפשרויות הבאות:

כדי לראות מידע נוסף כמו עדכוני חבילות של מערכת ההפעלה ודוחות על פגיעויות, אפשר לעיין במאמר בנושא הצגת פרטים על מערכת ההפעלה.

מרכז הבקרה של תיקוני האבטחה

במסוף Google Cloud , יש מרכז בקרה שבו אפשר לעקוב אחרי התאימות של תיקוני האבטחה במכונות הווירטואליות.

כניסה לדף Patch

לוח הבקרה של תיקוני האבטחה.

הסבר על לוח הבקרה של תיקוני האבטחה

סקירה כללית על מערכת ההפעלה

בקטע הזה מוצג המספר הכולל של מכונות ה-VM, לפי מערכת הפעלה. כדי שמכונה וירטואלית תופיע ברשימה הזו, צריך להתקין בה את הסוכן OS Config ולהפעיל בה את ניהול מלאי מערכות ההפעלה.

כרטיס מספר המכונות הווירטואליות (VM).

אם מכונה וירטואלית מופיעה עם מערכת ההפעלה No data, יכול להיות שאחד או יותר מהתרחישים הבאים מתקיימים:

  • המכונה הווירטואלית לא מגיבה.
  • הסוכן של OS Config לא מותקן.
  • התכונה 'ניהול מלאי שטחי פרסום במערכת ההפעלה' לא מופעלת.
  • מערכת ההפעלה לא נתמכת. רשימה של מערכות הפעלה נתמכות מופיעה במאמר מערכות הפעלה נתמכות.

סטטוס התאימות של תיקון

כרטיס ספציפי למערכת ההפעלה.

בקטע הזה מתואר סטטוס התאימות של כל מכונה וירטואלית, לפי מערכת ההפעלה.

סטטוס התאימות מחולק לארבע קטגוריות עיקריות:

  • קריטי: המשמעות היא שיש מכונה וירטואלית עם עדכונים קריטיים זמינים.
  • חשוב או אבטחה: המשמעות היא שיש עדכונים חשובים או עדכוני אבטחה למכונה וירטואלית.
  • אחר: המשמעות היא שיש עדכונים זמינים למכונה וירטואלית, אבל אף אחד מהעדכונים האלה לא מסווג כעדכון קריטי או כעדכון אבטחה.
  • Up-to-date: המשמעות היא שאין עדכונים זמינים למכונה וירטואלית.

מגבלות

לתכונת התיקון ב-VM Manager יש את המגבלות הבאות:

  • אפשר לפרוס ולהריץ משימות של תיקון רק למכונות וירטואליות בפרויקט אחד. Google Cloud אי אפשר להריץ משימות של תיקון באגים ב Google Cloud פרויקטים, גם אם המכונות הווירטואליות נמצאות ב-VPC משותף. עם זאת, אתם יכולים לראות את נתוני התאימות של הטלאי בפרויקטים שונים.
  • כברירת מחדל, VM Manager לא מתקן מכונות וירטואליות שהן חלק מקבוצת מופעי מכונה מנוהלים (MIG). אפשר לבטל את התנהגות ברירת המחדל הזו כשיוצרים את עבודת התיקון. המגבלות הבאות חלות כשמחילים תיקון על מכונות וירטואליות ששייכות לקבוצת מופעים מנוהלת (MIG):
    • כשקבוצת MIG מתקנת VM, היא יוצרת מחדש את ה-VM על סמך תבנית של הגדרות מכונה. יכול להיות שהמכונה הווירטואלית תחזור למצב לא מתוקן.
    • תיקון של מכונות וירטואליות יכול לגרום לתוצאות לא צפויות בקבוצת MIG שמופעל בה שינוי גודל אוטומטי. מידרוג אוטומטי מוחק מכונות וירטואליות עם תיקוני אבטחה כשהעומס יורד, ויוצר מכונות וירטואליות חדשות ללא תיקוני אבטחה באמצעות תבנית של הגדרות מכונה של MIG כשהעומס עולה. לדוגמה, אם השימוש הממוצע במעבד נמוך מהשימוש הממוצע שציינתם להתאמה אוטומטית לעומס, קבוצת ה-MIG יכולה להסיר חלק מהמכונות הווירטואליות שתוקנו במהלך הקטנת הקיבולת.

מה השלב הבא?