Mengelola pembaruan dan patch untuk VM Anda

Perhatian

Artikel ini mereferensikan CentOS, distribusi Linux yang mendekati status End Of Life (EOL). Harap pertimbangkan penggunaan dan perencanaan Anda yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.

Pembaruan perangkat lunak di Manajemen Pembaruan Azure Automation, menyediakan sekumpulan alat dan sumber daya yang dapat membantu mengelola tugas kompleks pelacakan dan penerapan pembaruan perangkat lunak untuk komputer di Azure dan cloud hibrid. Proses manajemen pembaruan perangkat lunak yang efektif diperlukan untuk menjaga efisiensi operasional, mengatasi masalah keamanan, dan mengurangi risiko peningkatan ancaman keamanan siber. Namun, karena perubahan sifat teknologi dan kemunculan ancaman keamanan baru terus menerus, manajemen pembaruan perangkat lunak yang efektif membutuhkan perhatian yang konsisten dan terus-menerus.

Catatan

Manajemen Pembaruan mendukung penyebaran pembaruan pihak pertama dan pra-pengunduhannya. Dukungan ini memerlukan perubahan pada sistem yang sedang diperbarui. Lihat Mengonfigurasi pengaturan Windows Update untuk Manajemen Pembaruan Azure Automation untuk mempelajari cara mengonfigurasi pengaturan ini pada sistem Anda.

Sebelum mencoba mengelola pembaruan untuk VM, pastikan Anda telah mengaktifkan Manajemen Pembaruan menggunakan salah satu metode berikut:

• Mengaktifkan Manajemen Pembaruan dari akun Automation
• Mengaktifkan Manajemen Pembaruan dengan menelusuri portal Microsoft Azure
• Mengaktifkan Manajemen Pembaruan dari runbook
• Mengaktifkan Manajemen Pembaruan dari Azure VM

Membatasi cakupan untuk penyebaran

Manajemen Pembaruan menggunakan konfigurasi lingkup dalam ruang kerja untuk menargetkan komputer untuk menerima pembaruan. Untuk informasi selengkapnya, lihat Membatasi lingkup penyebaran Manajemen Pembaruan.

Penilaian kepatuhan

Sebelum Anda menerapkan pembaruan perangkat lunak ke komputer Anda, tinjau hasil penilaian kepatuhan pembaruan untuk komputer yang diaktifkan. Untuk setiap pembaruan perangkat lunak, status kepatuhannya direkam, lalu setelah evaluasi selesai, itu dikumpulkan dan diteruskan secara massal ke log Azure Monitor.

Pada komputer Windows, pemindaian kepatuhan dijalankan setiap 12 jam secara default, dan dimulai dalam 15 menit dari agen Analitik Log untuk Windows dimulai ulang. Data penilaian lalu diteruskan ke ruang kerja dan me-refresh table Pembaruan. Sebelum dan sesudah penginstalan pembaruan, dilakukan pemindaian kepatuhan pembaruan untuk mengidentifikasi pembaruan yang hilang, tetapi hasilnya tidak digunakan untuk memperbarui data penilaian dalam tabel.

Penting untuk meninjau rekomendasi kami tentang cara mengonfigurasi klien Windows Update dengan Manajemen Pembaruan untuk menghindari masalah yang mencegahnya dikelola dengan benar.

Untuk komputer Linux, pemindaian kepatuhan dilakukan setiap jam secara default. Jika agen Analitik Log untuk Linux dimulai ulang, pemindaian kepatuhan dimulai dalam waktu 15 menit.

Hasil kepatuhan ditampilkan dalam Manajemen Pembaruan untuk setiap komputer yang dilakukan penilaian. Diperlukan waktu hingga 30 menit agar dasbor menampilkan data terbaru dari komputer baru yang diaktifkan untuk manajemen.

Tinjau memantau pembaruan perangkat lunak untuk mempelajari cara melihat hasil kepatuhan.

Menyebarkan pembaruan

Setelah meninjau hasil kepatuhan, fase penyebaran pembaruan perangkat lunak adalah proses penyebaran pembaruan perangkat lunak. Untuk menginstal pembaruan, jadwalkan penyebaran yang selaras dengan jadwal rilis dan jendela layanan Anda. Anda dapat memilih jenis pembaruan mana saja yang akan disertakan dalam penyebaran. Misalnya, Anda dapat menyertakan pembaruan penting atau keamanan dan mengecualikan rollup pembaruan.

Tinjau penyebaran pembaruan perangkat lunak untuk mempelajari cara menjadwalkan penyebaran pembaruan.

Mengecualikan pembaruan

Pada beberapa varian Linux, seperti Red Hat Enterprise Linux, peningkatan tingkat OS mungkin terjadi melalui paket. Ini mungkin menyebabkan Manajemen Pembaruan berjalan di mana nomor versi OS berubah. Karena Manajemen Pembaruan menggunakan metode yang sama untuk memperbarui paket yang digunakan administrator secara lokal pada mesin Linux, perilaku ini disengaja.

Untuk menghindari pembaruan versi OS melalui penyebaran Manajemen Pembaruan, gunakan fitur Pengecualian.

Di Red Hat Enterprise Linux, nama paket yang akan dikecualikan adalah redhat-release-server.x86_64.

Klasifikasi pembaruan Linux

Saat menerapkan pembaruan ke mesin Linux, Anda dapat memilih klasifikasi pembaruan. Opsi ini memfilter pembaruan yang memenuhi kriteria yang ditentukan. Filter ini diterapkan secara lokal pada mesin saat pembaruan disebarkan.

Karena Manajemen Pembaruan melakukan pengayaan pembaruan di cloud, Anda dapat menandai beberapa pembaruan di Manajemen Pembaruan sebagai memiliki dampak keamanan, meskipun komputer lokal tidak memiliki informasi tersebut. Jika Anda menerapkan pembaruan penting pada mesin Linux, mungkin ada pembaruan yang tidak ditandai sebagai memiliki dampak keamanan pada mesin tersebut dan karenanya tidak disebarkan. Akan tetapi, Manajemen Pembaruan mungkin masih melaporkan mesin tersebut sebagai tidak patuh karena memiliki informasi tambahan tentang pembaruan yang relevan.

Menyebarkan pembaruan berdasarkan klasifikasi pembaruan tidak berfungsi pada versi RTM CentOS. Untuk menyebarkan pembaruan untuk CentOS dengan benar, pilih semua klasifikasi untuk memastikan pembaruan diterapkan. Untuk SUSE, memilih Pembaruan lain SAJA sebagai klasifikasi dapat menginstal beberapa pembaruan keamanan lainnya jika terkait dengan zypper (pengelola paket) atau dependensinya diperlukan terlebih dahulu. Perilaku ini adalah batasan zypper. Dalam beberapa kasus, Anda mungkin diharuskan untuk menjalankan ulang penyebaran pembaruan lalu memverifikasi penyebaran melalui log pembaruan.

Meninjau penyebaran pembaruan

Setelah penyebaran selesai, tinjau proses untuk menentukan keberhasilan penyebaran pembaruan berdasarkan komputer atau grup target. Lihat meninjau status penyebaran untuk mempelajari bagaimana Anda dapat memantau status penyebaran.

Langkah berikutnya

• Untuk mempelajari cara membuat pemberitahuan untuk memberi tahu Anda tentang hasil penyebaran pembaruan, lihat membuat pemberitahuan untuk Manajemen Pembaruan.

• Anda dapat mengkueri log Azure Monitor untuk menganalisa penilaian pembaruan, penyebaran, dan tugas manajemen terkait lainnya. Hal ini mencakup kueri yang sudah ditentukan sebelumnya untuk membantu Anda memulai.