יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על Patch

אתם יכולים להשתמש ב-Patch כדי להחיל תיקונים למערכת ההפעלה על קבוצה של מכונות וירטואליות (VM) ב-Compute Engine. מכונות וירטואליות שפועלות לאורך זמן דורשות עדכוני מערכת תקופתיים כדי להגן מפני פגמים ונקודות חולשה.

התכונה 'תיקון' כוללת שני רכיבים עיקריים:

דיווח על תאימות לתיקוני אבטחה, שמספק תובנות לגבי סטטוס התיקונים של המכונות הווירטואליות בהפצות של Windows ו-Linux. בנוסף לתובנות, אפשר גם לראות המלצות למכונות הווירטואליות.
פריסת תיקונים, שמבצעת אוטומטית את תהליך העדכון של תיקוני מערכת ההפעלה והתוכנה. פריסת תיקון מתזמנת משימות תיקון. עבודת תיקון פועלת במכונות וירטואליות ומיישמת תיקונים.

יתרונות

שירות התיקונים מאפשר לכם לבצע את התהליכים הבאים:

יצירת אישורים לתיקונים. אתם יכולים לבחור אילו תיקונים להחיל על המערכת מתוך קבוצת העדכונים המלאה שזמינה למערכת ההפעלה הספציפית.
הגדרת תזמון גמיש. אתם יכולים לבחור מתי להפעיל עדכוני תיקון (לוחות זמנים חד-פעמיים וחוזרים).
החלת הגדרות מתקדמות של עדכון. אתם יכולים להתאים אישית את הטלאים על ידי הוספת הגדרות כמו סקריפטים לפני ואחרי הטלאים.
אפשר לנהל את עדכוני התיקונים האלה ממיקום מרכזי. אפשר להשתמש בלוח הבקרה של תיקוני האבטחה כדי לעקוב אחרי משימות תיקון ולדווח עליהן, וגם על סטטוס התאימות.

מערכות הפעלה נתמכות

הרשימה המלאה של מערכות ההפעלה והגרסאות שתומכות ב-Patch מופיעה במאמר פרטים על מערכות הפעלה.

תמחור

מידע על התמחור זמין במחירון של VM Manager.

איך Patch עובד

כדי להשתמש בתכונת התיקון, צריך להגדיר את OS Config API ולהתקין את סוכן OS Config. הוראות מפורטות זמינות במאמר בנושא הגדרת VM Manager. שירות OS Config מאפשר ניהול תיקונים בסביבה שלכם, בעוד שסוכן OS Config משתמש במנגנון העדכון של כל מערכת הפעלה כדי להחיל תיקונים. העדכונים נמשכים ממאגרי החבילות (שנקראים גם חבילת מקור להפצה) או ממאגר מקומי של מערכת ההפעלה.

הכלים הבאים לעדכון משמשים להחלת תיקונים:

‫Red Hat Enterprise Linux‏ (RHEL), ‏ Rocky Linux ו-CentOS – yum upgrade
‫Debian ו-Ubuntu – apt upgrade
‫SUSE Linux Enterprise Server (SLES) – zypper update
‫Windows – Windows Update Agent

מקורות של תיקונים וחבילות

כדי להשתמש בתכונת התיקון ב-VM Manager, למכונה הווירטואלית צריכה להיות גישה לעדכוני החבילה או לתיקונים. שירות התיקונים לא מארח או מתחזק עדכוני חבילות או תיקונים. בתרחישים מסוימים, יכול להיות שלמכונה הווירטואלית לא תהיה גישה לעדכונים. לדוגמה, אם המכונה הווירטואלית לא משתמשת בכתובות IP ציבוריות או שאתם משתמשים ברשת VPC פרטית. במקרים כאלה, צריך לבצע שלבים נוספים כדי לאפשר גישה לעדכונים או לתיקונים. עומדות לרשותך כמה אפשרויות:

‫Google ממליצה לארח מאגר מקומי משלכם או שירות עדכונים של Windows Server כדי לקבל שליטה מלאה על בסיס התיקונים.
אפשרות אחרת היא להשתמש ב-Cloud NAT או בשירותי פרוקסי אחרים כדי להפוך מקורות עדכון חיצוניים לזמינים למכונות הווירטואליות.

ניהול תיקונים מורכב משני שירותים: פריסת תיקונים ותאימות לתיקונים. בקטעים הבאים מוסבר על כל שירות.

סקירה כללית על פריסת תיקונים

פריסת תיקון מופעלת על ידי ביצוע קריאה ל-VM Manager API (שנקרא גם OS Config API). אפשר לעשות את זה באמצעות מסוףCloud de Confiance , Google Cloud CLI או קריאה ישירה ל-API. לאחר מכן, VM Manager API שולח הודעה לסוכן OS Config שפועל במכונות הווירטואליות של היעד כדי להתחיל בהחלת תיקוני אבטחה.

סוכן ה-OS Config מריץ את התיקון בכל מכונה וירטואלית באמצעות כלי לניהול תיקונים שזמין לכל הפצה. לדוגמה, מכונות וירטואליות של Ubuntu משתמשות בכלי השירות apt. כלי השירות מאחזר עדכונים (תיקונים) ממקור ההפצה של מערכת ההפעלה. במהלך התיקון, סוכן OS Config מדווח על ההתקדמות ל-VM Manager API.

סקירה כללית על תאימות לתיקוני אבטחה

אחרי שמגדירים את VM Manager במכונה וירטואלית, הפעולות הבאות מתבצעות במכונה הווירטואלית:

סוכן OS Config מדווח מדי פעם (בערך כל 10 דקות) על נתוני מלאי של מערכת ההפעלה .
הקצה העורפי של התאימות לתיקונים קורא את הנתונים האלה מעת לעת, משווה אותם למטא-נתונים של החבילה שהתקבלו מהפצת מערכת ההפעלה ושומר אותם.
Cloud de Confiance המסוף מקבל את נתוני התאימות של התיקון ומציג את המידע הזה במסוף.

איך נוצרים נתוני תאימות של תיקוני אבטחה

הקצה העורפי של התאימות לתיקונים משלים מעת לעת את המשימות הבאות:

קריאת הדוחות שנאספים מנתוני מלאי של מערכת הפעלה במכונה וירטואלית.

הסריקות מחפשות נתוני סיווג ממקור הפגיעות לכל מערכת הפעלה, ומסדרות את הנתונים האלה לפי חומרת הפגיעות (מהגבוהה לנמוכה).

בטבלה הבאה מפורט סיכום של מקור נקודת החולשה שמשמש לכל מערכת הפעלה.

מערכת הפעלה	חבילת מקור של פגיעות
‫RHEL ו-CentOS	https://access.redhat.com/security/data תוצאות הסריקה של נקודות חולשה ב-RHEL מבוססות על הגרסה המשנית האחרונה של כל גרסה ראשית שפורסמה. יכול להיות שיהיו אי דיוקים בתוצאות הסריקה של גרסאות משניות ישנות יותר של RHEL.
Debian	https://security-tracker.debian.org/tracker
Ubuntu	https://launchpad.net/ubuntu-cve-tracker
SLES	https://www.suse.com/support/update/
Rocky Linux	https://errata.rockylinux.org/
Windows	הקצה העורפי של התאימות לתיקון מקבל את נתוני הסיווג מ-Windows Update Agent API.

ממפה את הסיווגים האלה (שמסופקים על ידי מקור נקודת החולשה) לסטטוס התאימות לתיקון של Google.

בטבלה הבאה מפורט סיכום של מערכת המיפוי שמשמשת ליצירת סטטוס התאימות של תיקוני האבטחה של Google.

קטגוריות של מקורות הפצה	סטטוס התאימות של תיקוני האבטחה של Google
קריטית דחוף WINDOWS_CRITICAL_UPDATE	קריטית (אדום)
חשוב גבוהה WINDOWS_SECURITY_UPDATE	חשוב/אבטחה (כתום)
כל השאר	אחר (צהוב)
אין עדכונים זמינים	עדכני (ירוק)

הנתונים ברמת החומרה הגבוהה ביותר נבחרים לכל עדכון זמין ומוצגים בדף לוח הבקרה של Cloud de Confiance המסוף. אפשר גם לראות דוח מלא של כל העדכונים שזמינים למכונה הווירטואלית בדף הפרטים של המכונה הווירטואלית.

לדוגמה, אם נתוני המלאי של מערכת ההפעלה של מכונה וירטואלית עם RHEL 7 כוללים את נתוני החבילה הבאים:

שם החבילה: package1
הגרסה המותקנת: 1.4
גרסת העדכון: 2.0

הקצה העורפי של התאימות לתיקוני אבטחה סורק נתוני סיווג (מהפצת המקור) ומאחזר את המידע הבא:

גרסה 1.5 => קריטית, תיקונים CVE-001
גרסה 1.8 => נמוך, תיקונים CVE-002
גרסה 1.9 => נמוכה, תיקונים CVE-003

לאחר מכן, מכונת ה-VM עם RHEL 7 מתווספת ללוח הבקרה של מסוף Cloud de Confiance לרשימת מכונות ה-VM שיש להן עדכון זמין Critical. אם בודקים את הפרטים של המכונה הווירטואלית הזו, רואים שיש Critical עדכון זמין (גרסה 2.0) עם 3 CVE,‏ CVE-001, ‏ CVE-002 ו-CVE-003.

החלת תיקונים בו-זמנית

כשמפעילים משימת תיקון, השירות משתמש במסנן המופעים שסיפקתם כדי לקבוע את המופעים הספציפיים שצריך לתקן. מסנני מופעים מאפשרים להחיל תיקון על הרבה מופעים בו-זמנית. הסינון הזה מתבצע כשהעבודה של תיקון הבאגים מתחילה, כדי להתחשב בשינויים בסביבה שלכם אחרי שהעבודה מתוזמנת.

תיקון באגים מתוזמן

אפשר להפעיל תיקונים לפי דרישה, לתזמן אותם מראש או להגדיר לתיקונים תזמון חוזר. אפשר גם לבטל עבודת תיקון שנמצאת בתהליך אם צריך להפסיק אותה באופן מיידי.

אתם יכולים להגדיר חלונות תחזוקה של תיקוני אבטחה על ידי יצירת פריסות של תיקוני אבטחה עם תדירות ומשך מוגדרים. תזמון של משימות הטמעת תיקון עם משך זמן מוגדר מבטיח שמשימות הטמעת התיקון לא יתחילו מחוץ לחלון זמן לתחזוקה שקבעתם.

אפשר גם לאכוף מועדים אחרונים להתקנת תיקונים על ידי יצירת פריסות של תיקונים שיושלמו בזמן מסוים. אם מכונות וירטואליות שמטרגטות לא יתוקנו עד התאריך הזה, הפריסה המתוזמנת תתחיל להתקין תיקונים בתאריך הזה. אם מכונות וירטואליות כבר עודכנו, לא מתבצעת פעולה במכונות האלה, אלא אם מצוין סקריפט לפני או אחרי העדכון או שנדרשת הפעלה מחדש.

מה נכלל בעבודת תיקון?

כשמריצים עבודת תיקון במכונה וירטואלית, מוחלים עדכונים שונים בהתאם למערכת ההפעלה. אתם יכולים לבחור לטרגט עדכונים, חבילות או, במערכות הפעלה של Windows, לציין את מזהי KB שאתם רוצים לעדכן.

אפשר גם להשתמש בעבודת תיקון כדי לעדכן סוכני Google שהותקנו כחבילה רגילה עבור ההפצה הספציפית הזו. משתמשים בכלי העדכון של ההפצה כדי לשלוח שאילתה לגבי החבילות שזמינות. לדוגמה, כדי לראות את סוכני Google שזמינים למערכת הפעלה של Ubuntu, מריצים את הפקודה apt list --installed | grep -P 'google'.

Windows

במערכת ההפעלה Windows, אפשר להחיל את כל העדכונים הבאים או לבחור מתוכם:

עדכוני הגדרות
עדכוני דרייברים
עדכונים של חבילות תכונות
עדכוני אבטחה
עדכוני כלים

RHEL/Rocky/CentOS

במערכות הפעלה של Red Hat Enterprise Linux, ‏ Rocky Linux ו-CentOS, אפשר להחיל את כל העדכונים הבאים או לבחור מתוכם:

עדכוני מערכת
עדכוני אבטחה

‫Debian/Ubuntu

במערכות Debian ו-Ubuntu, אפשר להחיל את כל העדכונים הבאים או לבחור מתוכם:

עדכונים לגבי הפצה
עדכונים של מערכות ניהול חבילות

SUSE

במערכות הפעלה של SUSE Enterprise Linux Server ‏ (SLES) ו-openSUSE, אפשר להחיל את כל העדכונים הבאים או לבחור מתוכם:

עדכונים של חבילות מערכת
תיקוני Zypper (תיקוני באגים ספציפיים ותיקוני אבטחה)

גישה לסיכום תיקוני האבטחה של המכונות הווירטואליות

כדי לראות את סיכום התיקונים למכונות הווירטואליות, יש לכם את האפשרויות הבאות:

כדי לראות את סיכום המידע על הטלאי לכל המכונות הווירטואליות בארגון או בתיקייה, צריך להשתמש בלוח הבקרה של הטלאי ב Cloud de Confiance מסוף. איך רואים סיכום של תיקוני אבטחה במכונות וירטואליות
כדי לראות את הסטטוס של משימות הטלאים, משתמשים בדף Patch jobs במסוף Cloud de Confiance . אפשר גם להשתמש ב-Google Cloud CLI או ב-OS Config API. מידע נוסף זמין במאמר בנושא ניהול משימות של תיקון באגים.

כדי לראות מידע נוסף, כמו עדכוני חבילות של מערכת ההפעלה ודוחות על פגיעויות, אפשר לעיין במאמר בנושא הצגת פרטים על מערכת ההפעלה.

מרכז הבקרה של תיקוני האבטחה

במסוף Cloud de Confiance , יש מרכז בקרה שבו אפשר לעקוב אחרי התאימות של תיקוני האבטחה במכונות הווירטואליות.

כניסה לדף Patch

הסבר על לוח הבקרה של תיקוני האבטחה

סקירה כללית על מערכת ההפעלה

בקטע הזה מוצג המספר הכולל של מכונות וירטואליות, לפי מערכת הפעלה. כדי שמכונה וירטואלית תופיע ברשימה הזו, צריך להתקין בה את הסוכן OS Config ולהפעיל בה את ניהול מלאי מערכות ההפעלה.

אם מכונה וירטואלית מופיעה עם מערכת ההפעלה No data, יכול להיות שאחד או יותר מהתרחישים הבאים מתקיימים:

המכונה הווירטואלית לא מגיבה.
הסוכן OS Config לא מותקן.
התכונה OS inventory management (ניהול מלאי שטחי פרסום במערכת ההפעלה) לא מופעלת.
מערכת ההפעלה לא נתמכת. רשימה של מערכות הפעלה נתמכות מופיעה במאמר מערכות הפעלה נתמכות.

סטטוס התאימות של תיקון

בקטע הזה מתואר סטטוס התאימות של כל מכונה וירטואלית, לפי מערכת ההפעלה.

סטטוס התאימות מחולק לארבע קטגוריות עיקריות:

קריטי: המשמעות היא שיש מכונה וירטואלית עם עדכונים קריטיים זמינים.
חשוב או אבטחה: המשמעות היא שיש עדכונים חשובים או עדכוני אבטחה למכונה וירטואלית.
אחר: המשמעות היא שיש עדכונים זמינים למכונה וירטואלית, אבל אף אחד מהעדכונים האלה לא מסווג כעדכון קריטי או כעדכון אבטחה.
Up-to-date: המשמעות היא שאין עדכונים זמינים למכונה וירטואלית.

מגבלות

לתכונת התיקון ב-VM Manager יש את המגבלות הבאות:

אפשר לפרוס ולהריץ משימות תיקון רק למכונות וירטואליות בפרויקט אחד. Cloud de Confiance אי אפשר להריץ עבודות של תיקון באגים ב Cloud de Confiance פרויקטים, גם אם המכונות הווירטואליות נמצאות ב-VPC משותף. עם זאת, אפשר לראות את נתוני התאימות של תיקוני האבטחה בפרויקטים שונים.
כברירת מחדל, VM Manager לא מתקין תיקונים במכונות וירטואליות ששייכות לקבוצת מופעי מכונה מנוהלים (MIG). אפשר לבטל את התנהגות ברירת המחדל הזו כשיוצרים את הטמעת התיקון. המגבלות הבאות חלות כשמחילים תיקון על מכונות וירטואליות שכלולות בקבוצת מופעים מנוהלת (MIG):
- כש-MIG מתקן מכונה וירטואלית, הוא יוצר אותה מחדש על סמך תבנית של הגדרות מכונה. יכול להיות שהמכונה הווירטואלית תחזור למצב לא מתוקן.
- תיקון של מכונות וירטואליות עלול לגרום לתוצאות לא צפויות בקבוצת מופעים מנוהלת (MIG) שמופעל בה שינוי גודל אוטומטי. הכלי לשינוי גודל אוטומטי מוחק מכונות וירטואליות עם תיקון באגים כשהעומס יורד, ויוצר מכונות וירטואליות חדשות ללא תיקון באגים באמצעות תבנית של הגדרות מכונה של MIG כשהעומס עולה. לדוגמה, אם השימוש הממוצע במעבד נמוך מהשימוש הממוצע שציינתם להתאמה אוטומטית לעומס, קבוצת ה-MIG יכולה להסיר חלק מהמכונות הווירטואליות שתוקנו במהלך הקטנת מספר המכונות הווירטואליות.