Patch Critical Updates Within 30 Days với AWS Systems Manager Patch Manager Chuyên mục Devops 2026-01-07 1 Lượt xem 1 Lượt thích 0 Bình luận

Hướng dẫn chi tiết từng bước – Chuẩn Security & Pass Audit

Trong môi trường cloud, việc vá lỗi bảo mật (patching) không còn là “nên làm”, mà là bắt buộc.
Hầu hết các tiêu chuẩn như CIS Benchmark, ISO 27001, SOC 2, AWS Security Hub đều có chung một yêu cầu:

Critical security updates phải được cài đặt trong vòng 30 ngày kể từ khi phát hành.

Trong bài viết này, mình sẽ hướng dẫn cách cấu hình AWS Systems Manager Patch Manager đúng chuẩn, an toàn cho production, và đảm bảo pass audit, dựa trên 10 bước thực tế mình đã triển khai.

🎯 Mục tiêu của bài viết

Chỉ update các bản vá Critical
Đảm bảo ≤ 30 ngày
Không phá production
Dễ giải trình với auditor
Áp dụng cho EC2 (Ubuntu / Amazon Linux)

🧠 Hiểu đúng: “Patch within 30 days” là gì?

Trước khi vào cấu hình, cần làm rõ một hiểu nhầm phổ biến:

❌ KHÔNG phải: 30 ngày mới chạy patch 1 lần
✅ ĐÚNG là:

Mỗi critical patch mới phát hành phải được cài trong vòng tối đa 30 ngày

Vì vậy, Patch Manager nên chạy hằng ngày, còn 30 ngày là SLA, không phải chu kỳ.

Patch Manager sẽ làm những gì?

AWS Systems Manager Patch Manager là dịch vụ giúp bạn
👉 phát hiện – phê duyệt – cài đặt – theo dõi các bản vá hệ điều hành trên EC2 (và on-prem).

1️⃣ Phát hiện patch (Scan)

Patch Manager sẽ:

Kết nối vào instance qua SSM Agent
Chạy lệnh tương ứng với OS:
- Ubuntu: apt
- Amazon Linux / RHEL: yum / dnf
So sánh:
- Patch đang cài
- Patch có sẵn từ repo
- Patch được phép theo Patch Baseline

📌 Kết quả:

Compliant
Non-compliant
Missing patches

2️⃣ Áp chính sách patch (Patch Baseline)

Patch Manager KHÔNG tự quyết định patch nào được cài.

Nó dựa vào:

Patch Baseline (AWS default hoặc custom)
Rule:
- Classification (Security / Bugfix)
- Severity (Critical / Important / …)
- Approval time

👉 Bạn cấu hình baseline, Patch Manager tuân theo.

3️⃣ Cài đặt patch (Install)

Nếu bạn chọn Scan and install, Patch Manager sẽ:

Tải patch từ repo OS
Cài đặt patch phù hợp baseline
Bỏ qua patch không được phép

📌 Ví dụ:

Baseline = Security + Critical
→ Chỉ cài Critical security updates

4️⃣ Ghi nhận compliance & trạng thái

Sau mỗi lần chạy, Patch Manager:

Cập nhật Patch Compliance
Ghi:
- Patch nào đã cài
- Patch nào bị thiếu
- Thời gian cài
- Lý do fail (nếu có)

🛠️ 10 BƯỚC CẤU HÌNH PATCH MANAGER CHUẨN

1️⃣ Đặt tên Patch Policy rõ ràng

Một policy tốt cần dễ hiểu – dễ audit.

Ví dụ:

critical-patch-30-days

📌 Auditor nhìn vào tên là hiểu ngay mục tiêu policy.

2️⃣ Chọn Patch Operation: Scan and install

Tại mục Scanning and installation:

👉 Chọn:

✅ Scan and install

Lý do:

Scan chỉ để kiểm tra
Scan and install mới thực sự vá lỗi

3️⃣ Thiết lập lịch chạy (Schedule)

Khuyến nghị: Chạy hằng ngày

Ví dụ CRON (01:00 UTC):

cron(0 1 * * ? *)

Hoặc theo giờ Việt Nam (01:00 VN = 18:00 UTC):

cron(0 18 * * ? *)

📌 AWS không đánh giá cron, mà đánh giá release date vs install date, nhưng chạy daily giúp bạn không bao giờ vượt 30 ngày.

4️⃣ Hiểu đúng vai trò của Patch Baseline

Patch Baseline là nơi quyết định: patch nào được phép cài

⚠️ Đây là bước quan trọng nhất nếu bạn chỉ muốn update Critical.

5️⃣ Tạo Patch Baseline

Hãy cứ sử dụng mặc định do aws gợi ý , sau này có thể custom sau

Sau khi Patch Manager đã được tạo hãy vào:

Systems Manager → Patch Manager → Patch baselines → Create custom patch baseline

Cấu hình:

Classification: Security
Severity: Critical
Auto approve after: 0 days

❌ Không chọn:

Important
Medium
Low
Bugfix

📌 Ví dụ tên:

critical-only-patch-baseline

6️⃣ Gắn Custom Patch Baseline vào Quick Setup

Quay lại màn hình Quick Setup:

👉 Tại mục Patch baseline:

❌ Không dùng recommended defaults
✅ Chọn Custom patch baseline
Chọn baseline vừa tạo

7️⃣ Chọn Target an toàn

Nếu mới triển khai:

👉 NÊN CHỌN

Current account

⚠️ Chỉ chọn Entire organization khi:

Bạn quản lý toàn bộ AWS Org
Đã thống nhất patch window với các team

8️⃣ Rate Control – Tránh “patch storm”

Cấu hình khuyến nghị cho production:

Concurrency: 10%
Error threshold: 2%

📌 Nếu có lỗi diện rộng → Patch Manager sẽ tự dừng.

9️⃣ IAM & Instance Profile (BẮT BUỘC)

👉 BẬT:
☑ Add required IAM policies to existing instance profiles

AWS sẽ tự attach:

AmazonSSMManagedInstanceCore
aws-quicksetup-patchpolicy-baselineoverrides-s3

📌 Không bật → EC2 đã có IAM role sẽ patch FAIL.

🔟 Logging & Compliance (Để pass audit)

✅ Enable Write output to S3
Lưu log patch vào S3 bucket
Bật Explorer role

📌 Auditor rất thích:

Patch log
Compliance report
Centralized visibility

📊 Sau khi triển khai – kiểm tra ở đâu?

1️⃣ Systems Manager → Managed instances
→ Instance phải ở trạng thái Online

2️⃣ Patch Manager → Compliance
→ Critical: Installed

3️⃣ AWS Security Hub
→ Control: PASSED

🧾 Câu trả lời mẫu cho Auditor

“We use AWS Systems Manager Patch Manager to automatically scan and install critical security patches on a daily basis.
All critical patches are applied within 30 days of release, ensuring compliance with security and vulnerability management requirements.”

✅ Tổng kết

Nội dung	Kết luận
Patch chạy bao lâu 1 lần?	Hằng ngày
30 ngày là gì?	SLA tối đa
Chỉ patch Critical ở đâu?	Patch Baseline
Có an toàn cho PROD không?	Có
Có pass audit không?	100%