全部产品
Search

搜索本产品

    Elastic Compute Service:Memperbarui patch untuk meningkatkan keamanan instance ECS

    文档中心

    Elastic Compute Service:Memperbarui patch untuk meningkatkan keamanan instance ECS

    更新时间:Jul 02, 2025

    Sebagian besar organisasi memiliki persyaratan kepatuhan terkait pengelolaan aset TI. Misalnya, kerentanan sistem harus segera diperbaiki untuk mencegah serangan, dan paket perangkat lunak harus selalu diperbarui. Untuk memenuhi persyaratan ini, pengelolaan patch sangat penting. CloudOps Orchestration Service (OOS) menyediakan fitur Patch Management untuk Elastic Compute Service (ECS). Fitur ini memungkinkan Anda memindai patch, menginstal patch berdasarkan baseline default, atau menentukan baseline kustom.

    Informasi latar belakang

    Fitur Patch Management secara otomatis memperbarui patch menggunakan berbagai jenis pembaruan, termasuk pembaruan terkait keamanan. Fitur ini mengelola patch di sistem operasi dan aplikasi. Patch Management memindai atau menginstal patch berdasarkan baseline default dari sistem operasi yang berjalan pada instance yang dipilih. Untuk informasi lebih lanjut tentang Patch Management dan baseline patch, lihat Cara Kerja Patch Manager dan Baseline Patch.

    Patch Management mendukung mode Immediate Fix dan Scheduled Fix, seperti yang dijelaskan dalam tabel berikut.

    Mode manajemen patch

    Skenario

    Immediate Fix

    • Kerentanan berisiko tinggi: Jika kerentanan yang terdeteksi ditentukan sebagai risiko tinggi dan dapat menyebabkan pelanggaran data atau sistem mudah disusupi, patch harus diinstal segera untuk meminimalkan waktu ketika sebuah instance terpapar risiko.

    • Sistem kritis: Untuk sistem kritis yang menjalankan bisnis inti atau memproses informasi sensitif, pembaruan keamanan harus dilakukan sesegera mungkin untuk memastikan bahwa sistem dapat berjalan secara terus-menerus dan aman.

    • Eksploitasi yang diketahui: Untuk melindungi sistem dari kerentanan yang banyak dieksploitasi, Anda harus segera mengambil tindakan.

    • Persyaratan kepatuhan: Di sektor atau wilayah tertentu, hukum dan peraturan mungkin mengharuskan jenis kerentanan tertentu untuk diperbaiki dalam periode waktu tertentu guna memenuhi persyaratan kepatuhan.

    Scheduled Fix

    • Kerentanan tidak mendesak: Kerentanan yang memiliki risiko rendah dan tidak mungkin dieksploitasi dalam waktu singkat dapat diperbaiki sesuai jadwal selama jam non-puncak atau dalam jendela pemeliharaan untuk mengurangi dampak pada bisnis.

    • Stabilitas sistem: Dalam lingkungan TI berskala besar atau kompleks tertentu, menginstal patch tanpa pengujian yang cukup dapat menyebabkan ketidakcocokan dan ketidakstabilan sistem. Saat Anda menginstal patch sesuai jadwal dalam jendela pemeliharaan, Anda dapat mencadangkan waktu untuk pengujian dan pencadangan yang memadai.

    • Optimalisasi sumber daya: Jika organisasi Anda memiliki sumber daya terbatas seperti tenaga kerja, Anda dapat menginstal patch secara batch pada titik waktu tertentu, seperti selama akhir pekan atau malam hari.

    Prasyarat

    • Instance ECS tempat Anda ingin memperbarui patch harus menjalankan sistem operasi yang mendukung fitur Patch Management. Untuk informasi lebih lanjut, lihat bagian Sistem Operasi yang Didukung dari topik "Ikhtisar".

    • Akun yang digunakan untuk memperbarui patch harus memiliki izin tertentu. Untuk informasi lebih lanjut, lihat Gunakan RAM untuk Memberikan Izin kepada OOS.

      {
    "Policy": {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "ecs:RebootInstance",
                    "ecs:DescribeInvocationResults",
                    "ecs:DescribeCloudAssistantStatus",
                    "ecs:DescribeInstances",
                    "ecs:DescribeInvocations",
                    "ecs:RunCommand"
                 ],
                 "Resource": "*",
                 "Effect": "Allow"
             },
             {
                 "Action": [
                     "oos:ListInstancePatchStates"
                 ],
                 "Resource": "*",
                 "Effect": "Allow"
              }
      ]
   }
}

    Prosedur

    Contoh ini menggunakan mode Scheduled Fix untuk menjelaskan cara memperbarui patch. Anda juga dapat menggunakan mode Immediate Fix. Untuk informasi lebih lanjut, lihat Perbaikan Segera.

    1. Masuk ke CloudOps Orchestration Service (OOS).

    2. Di panel navigasi sebelah kiri, pilih Server Management > Patch Management. Pada halaman Manajemen Patch, klik Scheduled Fix.

      image

    3. Di bagian Basic Information, konfigurasikan parameter berikut.

      Catat parameter berikut. Untuk detail parameter lainnya, lihat deskripsi parameter di halaman Perbaikan Terjadwal.

      • Scheduled Task Type: Mode di mana OOS memperbarui patch sesuai jadwal. Contohnya, tugas pembaruan patch dijalankan pada 00:00:00 setiap hari.

      • Fix Operations:

        • Scan: Memindai setiap instance yang ditentukan dan menghasilkan daftar patch yang hilang untuk ditinjau.

        • Scan and Install: Memindai setiap instance yang ditentukan, membandingkan patch yang ada dengan aturan baseline patch, lalu mengunduh dan menginstal patch yang disetujui namun hilang.

      • Whether to Create Snapshot for System Disk: Pilih Yes dan tentukan periode retensi snapshot.

      • Allow Restart: Tentukan apakah instance akan direstart setelah patch diinstal berdasarkan kebutuhan bisnis Anda.

        • Ya: Me-restart instance jika diperlukan agar patch berfungsi.

        • Tidak: Tidak me-restart instance. Jika restart diperlukan, patch tidak akan berfungsi dan tetap dalam status Pending setelah diinstal.

      • Permissions: Pilih Default Service-linked Role.

      image

    4. Klik Select Instances, atur Resource Type menjadi ECS Instances, lalu pilih instance tempat Anda ingin memperbarui patch.

      image

    5. Biarkan nilai default di bagian Advanced dan klik Execute Now.

    6. Di pesan Parameter Confirmation, konfirmasikan parameter dan klik OK.

      image

    7. Lihat detail tugas pembaruan patch.

      1. Di halaman Patch Management, lihat kolom Task Status dari tugas pembaruan patch. Jika Success ditampilkan, tugas pembaruan patch telah selesai.

        image

      2. Klik Execution ID atau Details di kolom Actions untuk melihat detail patch yang diperbarui.

        image

    Referensi

    OOS adalah layanan O&M otomatis komprehensif yang disediakan oleh Alibaba Cloud secara gratis untuk membantu Anda mengelola dan menjalankan tugas O&M di cloud. Anda dapat menggunakan OOS untuk mengelola tugas O&M yang berulang, berbasis acara, terjadwal, dan lintas wilayah. OOS membantu Anda menangani tugas O&M secara batch dan mengelola permintaan persetujuan. OOS juga berfungsi sebagai platform standarisasi untuk tugas O&M dan memungkinkan Anda membuat template dari manual O&M, panduan operasi, dan manual pemeliharaan berdasarkan praktik terbaik Operations as Code. Untuk informasi lebih lanjut, lihat Apa itu OOS?