O jeito certo de fazer isso é fazer exatamente o que você recomendou. Configure um servidor de atualização local e aponte todos os seus sistemas para ele. Dessa forma, você pode controlar quando seus pacotes são atualizados. Isso pode não resolver sua questão de licenciamento, você precisará entrar em contato com seu representante de vendas e falar com eles.
Desde que você fala sobre o yum, eu vou assumir que você está usando RedHat ou um derivado. Se você estiver usando o RHEL, procure falar com eles sobre Satélite e se você está ou não licenciado para isso. Caso contrário, procure no projeto Spacewalk . É o projeto upstream do RHN Satellite. Entre a interface direta do Satellite e a instalação básica do cobbler, você tem tudo o que precisa para espelhar os repositórios, gerenciar e reportar os níveis de patch do sistema, blah, blah.
Além disso, definitivamente você deve definitivamente desativar o yum-updatesd. Como você está tentando realmente seguir um cronograma de patches, você precisa controlar diretamente quando as atualizações são aplicadas. Se você fizer isso manualmente, fazendo login em sistemas e executando atualizações, ou se tiver um cronjob para aplicar atualizações, dependerá do nível de conforto e da discussão com o escritório de gerenciamento de alterações. Eu, no entanto, recomendo strongmente a rota automatizada. Historicamente, cron tem sido significativamente menos propenso a se distrair e esquecer de realizar uma tarefa do que as contrapartes humanas.