6
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@infra365(Toru Kubota)

AWS環境でのWindowsサーバパッチ適用パターンまとめ(Patch Manager / WSUS / Windows Update)

6
Posted at

内容

AWS環境でのプライベートサブネットにあるWindowsサーバへのパッチ適用方法についてまとめます。なお、今回はサードパーティー製品による管理方法などは除外します。

ネットワーク経路観点

EC2サーバから直接Windows Update Catalogに接続

まず、ネットワーク経路の観点から見ていきます。下記では、プライベートサブネットのサーバがNAT Gateway~AWS Firewallを経由してWindows Update Catalogに接続する構成を基本として考えます。AWS Firewallのドメインフィルタリングポリシーで、Windows Update Catalogに必要なドメインを許可します。なお、ガバメントクラウド環境では運用管理アカウント内にインターネット接続専用のVPCを構成する必要がありますが、今回はその点は考慮に入れていません。

pa01.png

プロキシサーバ経由でWindows Update Catalogに接続

Squidなどのプロキシサーバを経由してWindows Update Catalogに接続する構成です。

pa02.png

Network Firewall ProxyでWindows Update Catalogに接続

プレビュー段階ですが、AWS Network Firewall Proxyを使用すると、上記のプロキシサーバが不要になります。下記の記事にアップデート概要を記載しています。NAT Gateway作成後、各種Network Firewall Proxyの設定を行うとVPCエンドポイントが作成されます。このVPCエンドポイントにアクセスすることによって、プロキシサーバのようにアクセスすることが可能です。

pa07.png

WSUSに接続

WSUS(Windows Server Update Services)がWindows Update Catalogに接続してセキュリティパッチを取得します。EC2サーバはWSUSに接続することでパッチを取得します。閉域環境や大量の端末を管理する際に、インターネットへのアウトバウンドトラフィックを抑える観点で活用されてきましたが、今後は開発停止がアナウンスされています。Windows Server 2025には含まれているため、しばらくは使用可能です。

pa03.png

おまけ:Amazon Linuxの場合

上記ではWindowsサーバのパッチ適用について記載しましたが、Amazon Linuxサーバの場合は比較的シンプルです。Amazon LinuxのアップデートリポジトリはS3でホストされているため、インターネット接続環境がなくても、S3のゲートウェイエンドポイント経由でS3にアクセス可能であれば、dnf updateでパッケージのアップデートが可能です。

pa04.png

サーバ管理観点

WSUSで管理

次に、各サーバへのパッチ適用や、適用端末・未適用端末の管理の観点から見ていきます。昔から利用されているWSUSによる管理方法です。ローカルセキュリティポリシーやグループポリシーで端末側にWSUSの接続先を指定すると、WSUS側で管理対象端末として認識されます。WSUS側では製品や種類、重要度を基にダウンロード対象のパッチを選択し、承認操作後にクライアント側へ配布を行います。

AWS Patch Managerで管理

Systems Managerの機能の一つであるAWS Patch Managerを使用して管理する方法です。パッチベースライン(適用対象の製品、種類、重要度などを設定)と、パッチポリシー(適用時間、適用対象などを設定)を設定します。例えば、適用時間については「毎日22:00にscanを実行し、土曜の01:00にinstallを実行する」といった設定が可能です。適用対象は個別選択のほか、下記のようにEC2サーバ側のタグを使用して設定することも可能です。

Key:PatchManager
Value:Windows

pa05.png

なお、注意点として、Patch Manager自体にパッチをストアする機能はありません。こちらのマニュアルにも記載がありますが、適用対象サーバがWindows Update CatalogまたはWSUSに接続できる必要があります。

Windows Server: Windows Update カタログまたは Windows Server Update Services (WSUS) に確実に接続できるようにする
Windows Server マネージドノードは、Windows Update カタログまたは Windows Server Update Services (WSUS) に接続できなくてはなりません。ノードがインターネットゲートウェイ、NAT ゲートウェイ、または NAT インスタンスを介して Microsoft Update Catalog に接続されていることを確認します。WSUS を使用している場合は、ノードがお使いの環境内の WSUS サーバーに接続されていることを確認します。詳細については、「問題: マネージドノードに Windows Update カタログまたは WSUS へのアクセスがない」を参照してください。

おまけ:オンプレミスのサーバの管理

下記の記事に記載したハイブリッドアクティベーションを使用すれば、オンプレミス側のサーバもAWS Patch Managerで管理することが可能です。

pa06.png

まとめ

ネットワーク経路の観点とサーバ管理の観点から、Windowsサーバのパッチ適用について記載しました。実運用では、検証環境での確認から本番環境への適用までの運用フローを整備することが最も重要になると思います。

6
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
6
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?