マルチクラウド 担当者コラム
マルチクラウド・AWS
AWS 第34回『快適なパッチ管理をーPatch Managerー』
こんにちは、DIS AWS推進チームです。
2024年9月20日、Windows Server Update Services(以下WSUS)は今後廃止されることがMicrosoftより正式に発表されました。完全に使えなくなるのがいつになるのかはまだわかりませんが、Microsoft社はサーバーOSの更新管理の後継としてクラウドツールへの移行を推奨しています。具体的にはMicrosoftであれば Microsoft IntuneやAzure Update Managerがあげられ、オープンソースのものであればSpacewalkがあげられます。AWSにも同じようなパッチ管理機能があります。このコラムではPatch Managerをご紹介いたします。
Patch Managerの特徴
Patch ManagerはAWS Systems Managerの中に存在する機能です。まずAWS Systems Managerとは AWS上のリソースを表示したりインスタンスを制御したりするときに使用する管理機能のことです。
インスタンスにSSM Agentというソフトウェアをインストールすると管理対象として運用管理ができるようになり、パッチ管理だけでなくコマンド実行やメンテナンス管理など様々な機能をリモートで使うことができます。その一部であるPatch Managerですが主な特徴として大きく3つ挙げられます。
無料で使える
前述したとおり、Patch ManagerはAWS Systems Manager の中の一機能 なので追加料金を払うことなく使うことができます。WSUSと比較すると、パッチ管理用のサーバーを用意する必要もないため維持費等のコストを削減することができます。
注意:AWS Systems Manager自体は無料ですが、EC2からAWS Systems Managerへインターネット接続が必要になるため、別途料金が発生します。
Windows製品以外にもパッチ適用が可能
Patch ManagerはAWS Systems Managerの一機能であり、OSとアプリケーションの両方にパッチを適用することができます。WSUSではWindows製品のみパッチ管理として使われていましたが、Patch ManagerではWindowsだけでなく、LinuxやmacOSなど様々なタイプのOSへパッチ適用することができます。 そしてクラウド上のインスタンスだけでなく、オンプレミス環境にもSSM Agentをインストールすれば、AWS Systems Managerでほかのクラウドリソースと一緒に管理することができます。
他のAWSサービスと連携できる
IAMやCloud Trailなどの他のAWSサービスと連携することで、さらにセキュリティとコンプライアンスの管理を高めることができます。
例えば、IAMを使ってPatch Managerにアクセスできるユーザーを制限したり、Cloud Trailと連携してパッチ適用も含めたイベントログを残してくれたりと様々な方法で連携、管理することができます。
実際に使ってみました
初めに今回の検証用にインスタンスを2つ作成。今回はWindows以外も設定したとおりにパッチ適用がされるか見たいので、Windows ServerのほかにAmazon Linux2023を用意。どちらもバージョンが最新より一つ古いものをAMIとして選んでいます。
次に上記の公式リソースを参照しながらQuick Setupでパッチポリシーを設定します。設定した通りにパッチ適用が行われるか見たいので、スキャンを0:30に、インストールを1:30に設定。(UTC)
パッチベースラインはデフォルトのままにし、選択したインスタンスをAWS Systems Managerで管理できるようにするためのIAMロールを自動的に割り振る設定にしました。
設定が完了すると、ダッシュボードの画面で関連付けたEC2インスタンスがAWS Systems Managerで管理されていることがわかります。
その後、パッチ適用が完了しているか確認したところ、パッチは設定した時刻にインストールされていました。
まとめ
今回はPatch Managerについてお伝えしました。パッチ管理専用サーバーを用意することなく、クラウド上のツールを使ってパッチ管理ができる機能です。 上記の通り、Quick Setupで設定すれば定期的に必要なパッチをスキャンし、適用を自動でしてくれるようになります。
実際に使ってみると、Quick Setupでの設定は簡単で、インストールの頻度などを設定しただけで自動的に適用してくれるのはとても便利だと思いました。WSUSの廃止に伴い、別のパッチ管理の仕組み移行への一助となれば幸いです。
最後までお読みくださりありがとうございました。
--Let's Enjoying Amazon Web Services!
マルチクラウドの記事
- AWS 第34回『快適なパッチ管理をーPatch Managerー』
- AWS 第33回『DISオリジナル 月額固定プラン for AWS のご紹介』
- Azure 第31回『Azure の SQL データベース - どう使い分けるか?』
- AWS 第32回『やってみようシリーズ:AWSのサービスでウェブサーバーをHTTPS化してみよう「証明書を取得しアタッチしてみた」編』
- AWS 第31回『やってみようシリーズ:AWSのサービスでウェブサーバーをHTTPS化してみよう「AWSでドメインを所得してみた」編』
- Azure 第30回『Azure Virtual Machineのセキュリティ対策 - 5つのポイント -』