VM에 대한 업데이트 및 패치 관리

주의

이 문서에서는 EOL(수명 종료) 상태에 가까워진 Linux 배포판인 CentOS를 참조하세요. 이에 따라 사용 및 계획을 고려하세요. 자세한 내용은 CentOS 수명 종료 지침을 참조 하세요.

Azure Automation 업데이트 관리의 소프트웨어 업데이트는 Azure 및 하이브리드 클라우드의 컴퓨터에 소프트웨어 업데이트를 추적하고 적용하는 복잡한 작업을 관리할 수 있는 도구 및 리소스 집합을 제공합니다. 작업의 효율성을 유지하고 보안 문제를 극복하고 사이버 보안 위협의 위험성을 줄이려면 효과적인 소프트웨어 업데이트 관리 프로세스가 필요합니다. 그러나 변화하는 기술의 특성과 지속적으로 출현하는 새로운 보안 위협 때문에 소프트웨어 업데이트를 효과적으로 관리하려면 일관되고 꾸준한 주의를 기울여야 합니다.

참고 항목

업데이트 관리는 자사 업데이트 배포와 미리 다운로드를 지원합니다. 이 지원을 사용하려면 업데이트할 시스템을 변경해야 합니다. 시스템에 이러한 설정을 구성하는 방법을 알아보려면 Azure Automation 업데이트 관리에 대한 Windows 업데이트 설정 구성을 참조하세요.

VM에 대한 업데이트 관리를 시도하기 전에 다음 방법 중 하나를 사용하여 업데이트 관리를 사용하도록 설정했는지 확인합니다.

• Automation 계정에서 업데이트 관리 사용
• Azure Portal을 탐색하여 업데이트 관리 사용
• Runbook에서 업데이트 관리 사용
• Azure VM에서 업데이트 관리 사용

배포 범위 제한

업데이트 관리는 작업 영역 내의 범위 구성을 사용하여 업데이트를 수신할 대상 컴퓨터를 지정합니다. 자세한 내용은 업데이트 관리 배포 범위 제한을 참조하세요.

규정 준수 평가

컴퓨터에 소프트웨어 업데이트를 배포하기 전에 지원되는 컴퓨터에 대한 업데이트 규정 준수 평가 결과를 검토합니다. 각 소프트웨어 업데이트에 대해 해당 호환성 상태가 기록되고 평가가 완료된 후에는 대량으로 수집되고 Azure Monitor 로그에 전달됩니다.

Windows 컴퓨터에서 규정 준수 검사는 기본적으로 12시간마다 실행되며 Windows용 Log Analytics 에이전트가 다시 시작될 때 15분 이내에 시작됩니다. 그런 다음 평가 데이터가 작업 영역으로 전달되고 업데이트 테이블이 새로 고쳐집니다. 업데이트 설치 전후에 업데이트 규정 준수 검사를 수행하여 누락된 업데이트를 식별하지만 이 결과는 테이블의 평가 데이터를 업데이트하는 데 사용되지 않습니다.

업데이트 관리를 사용하여 Windows 업데이트 클라이언트를 구성하는 방법에 대한 권장 사항을 검토하여 올바르게 관리되지 않는 문제를 방지하는 것이 중요합니다.

Linux 머신에서는 기본적으로 1시간마다 준수 검사가 이루어집니다. Linux용 Log Analytics 에이전트가 다시 시작되면 15분 이내에 규정 준수 검사가 시작됩니다.

규정 준수 결과는 각 평가된 컴퓨터의 업데이트 관리에 표시됩니다. 대시보드가 관리를 위해 사용하도록 설정된 새 컴퓨터에서 업데이트된 데이터를 표시하는 데 최대 30분이 걸릴 수 있습니다.

규정 준수 결과를 보는 방법을 알아보려면 소프트웨어 업데이트 모니터링을 검토합니다.

업데이트 배포

규정 준수 결과를 검토한 후의 소프트웨어 업데이트 배포 단계는 소프트웨어 업데이트를 배포하는 프로세스입니다. 업데이트를 설치하려면 릴리스 일정 및 서비스 기간 이후로 배포를 예약합니다. 배포에 포함할 업데이트 형식을 선택할 수 있습니다. 예를 들어 중요 업데이트나 보안 업데이트를 포함하고 업데이트 롤업은 제외할 수 있습니다.

업데이트 배포를 예약하는 방법을 알아보려면 소프트웨어 업데이트 배포를 검토합니다.

업데이트 제외

Red Hat Enterprise Linux와 같은 일부 Linux 변형에서는 OS 수준 업그레이드가 패키지를 통해 발생할 수 있습니다. 이로 인해 OS 버전 번호가 변경되는 업데이트 관리가 실행될 수 있습니다. 업데이트 관리는 관리자가 Linux 머신에서 로컬로 사용하는 것과 동일한 방법으로 패키지를 업데이트하므로 이 동작은 의도적인 것입니다.

업데이트 관리 배포를 통해 OS 버전을 업데이트하지 않으려면 제외 기능을 사용합니다.

Red Hat Enterprise Linux에서 제외할 패키지 이름은 redhat-release-server.x86_64입니다.

Linux 업데이트 분류

Linux 컴퓨터에 업데이트를 배포할 때 업데이트 분류를 선택할 수 있습니다. 이 옵션은 지정된 조건에 맞는 업데이트를 필터링합니다. 이 필터는 업데이트가 배포될 때 컴퓨터에 로컬로 적용됩니다.

업데이트 관리는 클라우드에서 업데이트 적용을 수행하므로, 로컬 머신에 해당 정보가 없더라도 업데이트 관리의 일부 업데이트에 보안에 영향을 주는 것으로 플래그를 지정할 수 있습니다. Linux 시스템에 중요 업데이트를 적용하면 해당 머신의 보안에 영향을 주는 것으로 표시되지 않은 일부 업데이트가 있으므로 업데이트가 적용되지 않습니다. 그러나 업데이트 관리는 관련 업데이트에 대한 추가 정보가 있으므로 해당 머신을 호환되지 않는 것으로 보고할 수 있습니다.

업데이트 분류에 따라 업데이트를 배포하는 것은 RTM 버전의 CentOS에서 작동하지 않습니다. CentOS에 대한 업데이트를 제대로 배포하려면 업데이트를 적용할 수 있도록 모든 분류를 선택합니다. SUSE의 경우 분류로 기타 업데이트만 선택하면 zypper(패키지 관리자)와 관련이 있거나 해당 종속성이 먼저 필요한 경우 일부 다른 보안 업데이트를 설치할 수 있습니다. 이 동작은 zypper의 제한 사항입니다. 경우에 따라 업데이트 배포를 다시 실행한 후 업데이트 로그를 통해 배포를 확인해야 할 수도 있습니다.

업데이트 배포 검토

배포가 완료되면 프로세스를 검토하여 컴퓨터 또는 대상 그룹별 업데이트 배포의 성공 여부를 확인합니다. 배포 상태를 모니터링하는 방법을 알아보려면 배포 상태 검토를 참조하세요.

다음 단계

• 업데이트 배포 결과에 대해 알리는 경고를 만드는 방법을 알아보려면 업데이트 관리에 대한 경고 만들기를 참조하세요.

• Azure Monitor 로그를 쿼리하여 업데이트 평가, 배포 및 기타 관련 관리 작업을 분석할 수 있습니다. 시작하는 데 도움이 되는 미리 정의된 쿼리를 포함합니다.