Gerenciar atualizações e patches para as VMs

Cuidado

Este artigo faz referência ao CentOS, uma distribuição do Linux que está se aproximando do status de EOL (fim da vida útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, veja as Diretrizes sobre fim da vida útil do CentOS.

As atualizações de software no Gerenciamento de Atualizações da Automação do Azure fornecem um conjunto de ferramentas e recursos que podem ajudar a gerenciar a tarefa complexa de rastrear e aplicar atualizações de software aos computadores no Azure e na nuvem híbrida. Um processo eficiente de gerenciamento de atualização de software é necessário para manter a eficiência operacional, solucionar problemas de segurança e reduzir os crescentes riscos de ameaças à segurança cibernética. No entanto, devido à natureza variável da tecnologia e ao aparecimento contínuo de novas ameaças à segurança, a eficiência do gerenciamento de atualização de software exige atenção consistente e contínua.

Observação

O Gerenciamento de Atualizações oferece suporte à implantação de atualizações originais e ao pré-download delas. Esse suporte requer alterações nos sistemas a serem atualizados. Confira Definir configurações do Windows Update para o Gerenciamento de Atualizações da Automação do Azure para saber como definir essas configurações em seus sistemas.

Antes de tentar gerenciar as atualizações nas VMs, verifique se você habilitou o Gerenciamento de Atualizações neles usando um dos seguintes métodos:

• Habilitar o Gerenciamento de Atualizações de uma conta de Automação
• Habilitar o Gerenciamento de Atualizações navegando no portal do Azure
• Habilitar o Gerenciamento de Atualizações de um runbook
• Habilitar o Gerenciamento de Atualizações de uma VM do Azure

Limitar o escopo para a implantação

O Gerenciamento de Atualizações usa uma configuração de escopo dentro do workspace para definir os computadores a receberem atualizações. Para obter mais informações, confira Limitar o escopo de implantação do Gerenciamento de Atualizações.

Avaliação de conformidade

Antes de implantar as atualizações de software em seus computadores, revise os resultados da avaliação de conformidade de atualizações para computadores habilitados. Para cada atualização de software, seu estado de conformidade é registrado. Depois que a avaliação é concluída, ele é coletado e encaminhado em massa para os logs do Azure Monitor.

Em um computador Windows, a verificação de conformidade é executada a cada 12 horas (por padrão) e é iniciada dentro de 15 minutos após o agente do Log Analytics para Windows ser reiniciado. Os dados de avaliação são encaminhados para o workspace e atualiza a tabela de Atualizações. Antes e após a instalação da atualização, uma verificação de conformidade de atualizações é executada para identificar atualizações ausentes, mas os resultados não são usados para atualizar os dados de avaliação na tabela.

É importante revisar nossas recomendações sobre como configurar o cliente do Windows Update com o Gerenciamento de Atualizações para evitar problemas que o impeçam de ser gerenciado corretamente.

Para um computador com Linux, a verificação de conformidade é executada a cada hora por padrão. Se o agente do Log Analytics para Linux for reiniciado, uma verificação de conformidade será iniciada dentro de 15 minutos.

Os resultados da conformidade são apresentados no Gerenciamento de Atualizações para cada computador avaliado. Pode levar até 30 minutos para o dashboard exibir os dados atualizados de um novo computador habilitado para o gerenciamento.

Revise monitorar atualizações de software para saber como exibir os resultados de conformidade.

Implantar atualizações e testar

Depois de analisar os resultados de conformidade, a fase de implantação de atualização de software é o processo de implantação de atualizações de software. Para instalar atualizações, agende uma implantação que alinhe-se com a agenda de liberação e período de serviço. Você pode escolher quais tipos de atualização deseja incluir na implantação. Por exemplo, você pode incluir atualizações críticas ou de segurança e excluir pacotes cumulativos de atualizações.

Revise implantar atualizações de software para saber como agendar uma implantação de atualização.

Excluir atualizações

Em algumas variantes do Linux, como o Red Hat Enterprise Linux, as atualizações no nível do SO podem ocorrer através de pacotes. Isso pode originar execuções de Gerenciamento de Atualizações em que o número de versão do SO é alterado. Como o Gerenciamento de Atualizações usa os mesmos métodos para atualizar pacotes que um administrador usa localmente em um computador Linux, esse comportamento é intencional.

Para evitar atualização da versão do SO por meio de implantações do Gerenciamento de Atualizações, use o recurso Exclusão.

No Red Hat Enterprise Linux, o nome do pacote a ser excluído seria: redhat-release-server.x86_64.

Classificações de atualização do Linux

Ao implantar atualizações em um computador Linux, você poderá selecionar classificações de atualização. Essa opção filtra as atualizações que atendem aos critérios especificados. Esse filtro é aplicado localmente no computador quando a atualização é implantada.

Como o Gerenciamento de Atualizações realiza o enriquecimento de atualização na nuvem, você pode sinalizar algumas atualizações no Gerenciamento de Atualizações como tendo um impacto de segurança, embora o computador local não tenha essas informações. Se você aplicar atualizações críticas a um computador Linux, pode haver atualizações, que não estão marcadas como tendo um impacto de segurança nesse computador e, portanto, não são aplicadas. No entanto, o Gerenciamento de Atualizações ainda pode relatar que o computador não é compatível porque possui informações adicionais sobre a atualização relevante.

Implantar atualizações por classificação de atualização não funciona em versões RTM do CentOS. Para implantar corretamente atualizações para CentOS, selecione todas as classificações para garantir que as atualizações sejam aplicadas. Para o SUSE, selecionar SOMENTE Outras atualizações pois a classificação pode instalar algumas outras atualizações de segurança se elas estiverem relacionadas ao zypper (gerenciador de pacotes) ou se as suas dependências forem necessárias primeiro. Esse comportamento é uma limitação do zypper. Em alguns casos, você pode requerer executar novamente a implantação da atualização e verificar a implantação por meio do log de atualização.

Revisar as implantações de atualização

Depois que a implantação for concluída, revise o processo para verificar o sucesso da implantação da atualização por computador ou por grupo de destino. Confira revisar o status da implantação para saber como você pode monitorar o status da implantação.

Próximas etapas

• Para saber como criar alertas para notificá-lo sobre os resultados da implantação de atualização, consulte Criar alertas para gerenciamento de atualizações.

• É possível consultar os logs do Azure Monitor para analisar as avaliações e as implantações de atualizações e outras tarefas de gerenciamento relacionadas. Inclui consultas predefinidas para ajudá-lo a começar.