O blog da AWS
Migrando e automatizando a aplicação de patches em escala com o AWS Application Migration Service
Portanto, é fundamental que as organizações garantam que os aplicativos sejam mantidos e corrigidos a tempo antes que a vulnerabilidade se manifeste.
Estima-se que 48% das organizações tenham sofrido algum tipo de violação de dados nos últimos dois anos. 60% das vítimas de violações disseram que foram violadas devido a uma vulnerabilidade conhecida não corrigida.
As empresas enfrentam grandes desafios quando se trata de gerenciamento de patches. Os profissionais de TI e segurança consideram os patches complexos e demorados, e os líderes das unidades de negócios geralmente temem que a aplicação de patches logo após o lançamento possa prejudicar a funcionalidade do aplicativo. Além disso, a correção dessas vulnerabilidades precisa ocorrer em cargas de trabalho que estão em processo de migração ou transformação.
Nesta postagem veremos como esses desafios podem ser resolvidos usando ondas do AWS MGN e ações pós-lançamento para automatizar a aplicação de patches em suas instâncias durante sua migração para a AWS.
Pré-requisitos
Para este passo a passo, você deve atender aos seguintes pré-requisitos:
Uma conta da AWS.
Um usuário do console da AWS com permissões suficientes para os serviços mencionados abaixo.
Experiência prática* com os serviços mencionados na seção “Passo a passo — Serviços utilizados”.
* Obtenha experiência prática concluindo os laboratórios do Dia de Imersão da Migração em sua conta da AWS. Eles oferecem instruções passo a passo, disponíveis em inglês, português, espanhol, coreano e japonês.
Passo a passo
Vamos começar sua jornada para a nuvem usando o AWS Application Migration Service e o AWS Systems Manager como guias.
Tempo de leitura |
15 minutos |
Custo | Para cada servidor de origem que você deseja migrar, você pode usar o AWS Application Migration Service por um período gratuito de 2.160 horas, ou seja, 90 dias quando usado continuamente. Os demais serviços mencionados nesta postagem usam o Amazon EC2, recursos de armazenamento e o AWS Systems Manager, que podem incorrer em cobranças. Consulte a página do produto de serviço para obter detalhes sobre preços |
Nível de aprendizagem |
300 – Avançado |
Serviços usados |
AWS Application Migration Service, AWS Systems Manager, Amazon EC2, Amazon EBS |
Visão geral da solução
O AWS MGN Waves é um recurso do AWS Application Migration Service que ajuda os usuários a gerenciar suas migrações agrupando servidores e aplicativos de origem em ondas. Você pode monitorar o status da migração, o progresso e os aplicativos associados da onda, bem como realizar operações em massa nos aplicativos associados à onda.
As ações pós-lançamento do AWS MGN são um recurso do AWS Application Migration Service que permite que você execute qualquer documento do AWS Systems Manager para otimizar seus aplicativos aplicando ações personalizadas de modernização. Você também pode selecionar ações integradas, como recuperação de desastres entre regiões, conversão para CentOS e conversão de assinatura do SUSE Linux.
O AWS Systems Manager Patch Manager é um recurso do AWS Systems Manager que automatiza o processo de aplicação de patches em nós gerenciados com atualizações relacionadas à segurança e outros tipos de atualizações. Você pode usar o Patch Manager para aplicar patches para sistemas operacionais e aplicativos.
Figura 1 — Diagrama de arquitetura da solução
1. A ação pós-lançamento do AWS MGN invoca o AWS SSM Automation para corrigir instâncias
2. Validação de aplicativos e conformidade com patches de instâncias
3. Complete a transição e finalize a onda de migração
1) Crie uma ação pós-lançamento com o AWS MGN
As configurações pós-lançamento permitem que você controle e automatize as ações realizadas após o lançamento do servidor na AWS. Essas ações são executadas automaticamente com base no modelo pós-lançamento. Nesta seção, definiremos uma ação personalizada e configuraremos o AWS MGN para executá-la. Em seu próprio projeto de migração, você pode optar por executar ações diferentes com base em suas próprias necessidades.
Você tem duas opções para configurar ações pós-lançamento. Você pode definir uma nova ação no modelo pós-lançamento ou definir as configurações pós-lançamento no nível do servidor. Se você configurar o modelo pós-lançamento, as alterações (incluindo a nova ação) serão aplicadas somente aos servidores adicionados após a alteração. O modelo não é aplicado aos servidores existentes. Se você definir as configurações no nível do servidor, precisará configurar manualmente a ação para cada servidor de origem.
Recomendamos definir a nova ação no modelo pós-lançamento no nível da conta, antes de instalar agentes em seus servidores. Depois de configurar o modelo, instale os agentes nos servidores de origem e inicie a replicação. Isso facilitará que todos os servidores de origem herdem as configurações padrão do modelo no nível da conta.
1. Escolha o modelo pós-lançamento no menu de navegação à esquerda.
2. Clique em Editar.
3. Ative a opção Ativar a instalação do System Manager Agent. Isso permitirá que o AWS MGN instale o AWS SSM Agent automaticamente nos servidores que pertencerão à sua onda de migração.
Figura 2 — Configurando o modelo de pós-lançamento.
4. Adicione uma ação a ser executada nas instâncias lançadas.
Para isso, criaremos uma nova ação usando um documento/automação SSM público da AWS. Essa automação aplicará a linha de base de patch aplicável e, em caso de falha, reverterá automaticamente seu volume raiz para os servidores de origem pertencentes à sua onda de migração.
Dê um nome à ação e selecione o runbook de automação “AWS-PatchInstanceWithRollback”. Ative essa ação marcando a caixa de seleção. Defina a ordem na qual essa ação será executada junto com outras ações personalizadas e predefinidas inserindo um valor numérico
Figura 3 — Adicionando uma ação a ser executada nas instâncias lançadas.
2) Definir um grupo de servidores e associá-los a um aplicativo
Agora que você definiu uma ação que será executada nas instâncias iniciadas, é hora de definir o grupo de instâncias que serão lançadas juntas nas quais essa ação será executada.
O AWS Application Migration Service oferece suporte à opção de agrupar servidores de origem em aplicativos e agrupar aplicativos em ondas.
Os aplicativos são grupos de servidores que funcionam juntos para suprir uma necessidade comercial. Existem dependências entre os servidores porque eles trabalham juntos, têm redes compartilhadas e são necessários para que a funcionalidade funcione corretamente. Por exemplo, um aplicativo grande que tem um banco de dados, alguns servidores web e alguns servidores de back-end que realizam cálculos. Todos esses servidores precisam ser migrados juntos para que haja um aplicativo totalmente funcional em produção.
As ondas são grupos de aplicativos projetados para serem migrados juntos em um período de tempo especificado. Isso é determinado como parte do planejamento do projeto de migração. Não há necessariamente uma dependência entre os diferentes aplicativos que estão na onda. O agrupamento é baseado em suas necessidades de migração. Você pode agrupar todos os aplicativos de baixa prioridade para a primeira onda, para aprender com o processo de migração e melhorar, deixando os aplicativos de alta prioridade para uma onda diferente. Como alternativa, você pode agrupar todos os aplicativos de uma unidade de negócios específica, por exemplo, marketing, em uma única onda, antes de passar para uma segunda onda de aplicativos de vendas. Você pode escolher como planejar suas ondas de migração e atribuir aplicativos a uma onda com base nas necessidades da sua empresa.
Tanto para aplicativos quanto para ondas, o AWS MGN fornece monitoramento agregado do processo de migração, bem como ações em massa que podem ser executadas em todos os recursos que fazem parte do aplicativo ou da onda.
1. Escolha Aplicativos no menu de navegação à esquerda.
2. Adicione os servidores ao seu aplicativo
Figura 4 — Conectando seus servidores a um aplicativo.
3) Adicione o aplicativo à sua migração em Onda
Figura 5 — Adicionando seu aplicativo a uma migração em onda
Depois de criar sua onda e adicionar todos os seus aplicativos, você está pronto para iniciar uma instância de teste. É crucial testar a migração de seus servidores de origem para a AWS antes de iniciar uma transferência.
4) Inicie suas instâncias migradas e monitore seu trabalho de migração
Clique em “Iniciar instâncias de teste”. Depois de iniciar suas instâncias de teste, monitore seu painel de migração. O aspecto mais importante é validar se a ação pós-lançamento configurada por você na etapa 1 foi acionada com sucesso.
Figura 6 — Validando a execução das ações pós-lançamento
Como podemos ver, a ação pós-lançamento foi iniciada e a automação do AWS SSM, responsável pela aplicação de patches em todas as instâncias que compuseram seu Wave1, foi concluída com sucesso. Agora, você está pronto para validar as funcionalidades do aplicativo e garantir que tudo esteja funcionando conforme o esperado.
5) Valide o estado de conformidade de suas instâncias
1. Acesse o AWS Systems Manager > Patch Manager.
2. Na guia Relatório de conformidade, você deve ser capaz de ver se os servidores que você adicionou à sua onda de migração estão no estado Compatível.
Figura 7 — Validando o estado de conformidade dos seus servidores
A conformidade é uma capacidade do AWS Systems Manager na qual ele coleta e relata dados sobre o status da aplicação de patches no Patch Manager. Para saber mais sobre a conformidade com patches, consulte Trabalhando com conformidade.
As linhas de base de patches permitem maior controle sobre quais patches são aprovados ou rejeitados para seu ambiente ao usar o Patch Manager. Você pode usar essas linhas de base predefinidas conforme elas estão configuradas atualmente ou configurar sua própria linha de base de patch. Para saber mais, consulte linhas de base de patches predefinidas e personalizadas.
6) Inicie instâncias de transferência e finalize sua migração
Depois de finalizar o teste de todos os seus servidores e aplicativos de origem, você estará pronto para transferir (1) e finalizar (2) sua migração. Você deve realizar a transferência em uma data e hora definidas. A transferência migrará seus servidores de origem para as instâncias de transferência na AWS com patches já instalados e instâncias em estado de conformidade.
Figura 8 — Inicialização e finalização de instâncias de transferência
Conclusão
As organizações estão procurando maneiras de aprimorar a segurança e a conformidade de seus aplicativos, o gerenciamento de patches é complexo, demorado e exige validações pré/depois de várias partes interessadas. Esses desafios são aprimorados devido às janelas de manutenção restritas para finalizar suas migrações e garantir a conformidade ao mesmo tempo.
Usando essa integração, a estrutura de ação pós-lançamento do AWS Application Migration Service com o AWS SSM Patch Manager/Automation, as organizações podem aproveitar a mesma janela de migração para automatizar a aplicação de patches e manter a carga de trabalho em conformidade.
Este artigo foi traduzido do Blog da AWS em Inglês.
Sobre os autores
Antônio Santana é arquiteto de soluções de parceiros na AWS, com sede nos EUA, com mais de 15 anos de ampla experiência no setor, incluindo migração, operação e liderança técnica. Há mais de 7 anos vem permitindo que parceiros e clientes migrem, modernizem e operem cargas de trabalho na nuvem.
Amit Oren é engenheiro sênior de desenvolvimento de software nas equipes do AWS Application Migration Service e do Elastic Disaster Recovery Service. Ele trabalhou em vários recursos principais, incluindo a estrutura de ações pós-lançamento do AWS MGN, e agora está focado em adicionar recursos que ajudem os clientes a migrar e modernizar facilmente suas cargas de trabalho para a AWS.
Jorge Smulevici é engenheiro de desenvolvimento de software nas equipes do AWS Application Migration Service e do AWS Elastic Disaster Recovery Service, desenvolvendo recursos para acelerar a adoção e a proteção dos clientes em grande escala na AWS.