مقارنة KernelCare Enterprise ب Red Hat Kpatch

يعمل تصحيح نواة Linux المباشر على تحويل SecOps ، ولكن هل Red Hat's Kpatch هو الخيار الأفضل لأعباء العمل الخاصة بك؟

هل تكافح مع نوافذ الصيانة ، وتقلق بشأن آليات الترقيع غير الكاملة وتأثيرها على عمليات Red Hat الأمنية الخاصة بك؟ يعد تصحيح نواة Linux المباشر ، المعروف أيضا باسم الترقيع الساخن ، هو الحل لكلا التحديين - ولكن لا يتم إنشاء كل أداة تصحيح kernel حية بنفس الطريقة.

قام معظم بائعي Linux للمؤسسات بطرح أدوات التصحيح المباشر - بما في ذلك أداة Red Hat ل Red Hat Enterprise Linux (RHEL) ، والتي تسمى Kpatch. يعد اعتماد التصحيح المباشر الآن أفضل ممارسات الأمن السيبراني واستخدام أفضل أداة لاحتياجاتك أمر بالغ الأهمية.

يطبق Kpatch التغييرات على النواة أثناء تشغيلها وبالتالي يخفف من التحديات المتعلقة بنوافذ الصيانة. لقد تم دعم أعباء عمل الخادم المستندة إلى Red Hat منذ الإصدار الأول من Kpatch في عام 2014 ، ولكن له إيجابيات وسلبيات. لنلقي نظرة.

محتوى الرواية

1. تقديم تصحيح النواة الديناميكي Kpatch
2. الفرق بين تصحيح نواة Linux المؤقت والمستمر
3. نواة لينكس المدعومة
4. ماذا عن التكاليف؟
5. مخطط مقارنة سريع
6. الانتقال من الأداة المساعدة Kpatch إلى KernelCare
7. الاختيار بين Kpatch و KernelCare

تقديم تصحيح النواة الديناميكي Kpatch

جاء قرار Red Hat بإدخال Kpatch في الخط الرئيسي لنواة Linux متأخرا بعض الشيء ، نظرا لأنه تم تطويره بعد KSplice - مشروع MIT - وبعد KernelCare ، الذي طوره الفريق في CloudLinux. مثل أقرانها ، يقوم Kpatch بإجراء ترقيع مباشر عن طريق التبديل السريع لوظيفة استبدال تحتوي على نسخة مصححة من كود kernel.

بمعنى آخر ، يسمح لك Kpatch بتطبيق تصحيحات الأمان على أحمال العمل المستندة إلى Red Hat ، دون الحاجة إلى إعادة تشغيل الخادم على الفور بعد التصحيح. تم تطوير الأداة داخليا بواسطة Red Hat ، وفي البداية كانت مشابهة ل kGraft ، وهي أداة طورها الفريق في SUSE Linux. نظرا لمدى ارتباط kGraft ارتباطا وثيقا ب Kpatch ، قررت المنظمتان العمل معا وتوحيد جهودهما.

الفرق بين تصحيح نواة Linux المؤقت والمستمر

إليك نقطة أساسية يجب فهمها حول تصحيح النواة الديناميكي Kpatch. عند إجراء الترقيع المباشر أو كما كان يطلق عليه ، تصحيح النواة الديناميكي ، هناك طريقان: الترقيع المؤقت والترقيع المستمر. يعتمد Kpatch على التصحيح المباشر المؤقت وهو بالضبط ما يقوله ، وهي طريقة مؤقتة لتثبيت التصحيحات الهامة على عبء العمل قيد التشغيل دون إعادة التشغيل.

ومع ذلك ، لا يتم دمج التصحيحات المؤقتة بشكل كامل ، وسيؤدي الاعتماد على التصحيح المؤقت المستمر في النهاية إلى تدهور الأداء - حتى يتم إجراء إعادة تشغيل النواة قيد التشغيل. نعم ، إنه يساعد في التخفيف من التحديات المتعلقة بالتصحيح ، لكن الاعتماد على التصحيحات المؤقتة لوحدات kernel ليس علاجا مثاليا.

أفضل طريقة للقيام بالتصحيح هي التصحيح المستمر ، حيث يحتوي كل تصحيح مباشر للنواة على إصلاح تراكمي في ملف ثنائي واحد. لا يتم تطبيق وحدات التصحيح فوق بعضها البعض ، ولا يوجد تدهور في الأداء ولا حاجة لإعادة تشغيل النظام. وعندما يتعلق الأمر بالتصحيح ، يمكن القول أن التخلص من عمليات إعادة التشغيل المطلوبة لتحديث إصدار kernel هو الهدف الأساسي حقا.

نواة لينكس المدعومة

Kpatch هو خيار لأي شخص يقوم بتشغيل Red Hat Enterprise Linux (RHEL). تم بناؤه وصيانته من قبل مطوري Red Hat ، بعد كل شيء. ومع ذلك ، لن يتم تغطية أي شخص يقوم بتشغيل RHEL 6 ، أو إصدارات معينة من RHEL 7 للبقع الساخنة بواسطة Kpatch. يتم دعم RHEL 8 و 7.7 و 7.6 فقط. يتم أيضا دعم بعض توزيعات Linux غير RHEL ، بما في ذلك إصدارات محددة من Ubuntu و Debian و Gentoo.

إذا كنت تقوم بتشغيل إصدار من RHEL أو Ubuntu أو Debian غير مدعوم من Kpatch ، أو في الواقع توزيعة Linux أخرى مثل CentOS أو Amazon Linux ، فستحتاج إلى التطلع إلى KernelCare للحصول على دعم التصحيح المباشر.

ماذا عن التكاليف؟

بالمناسبة ، إذا اخترت KernelCare Enterprise ، فستبحث عن أسعار مناسبة للميزانية تنخفض إلى أقل من 60 دولارا / خادما سنويا. مع التصحيح المستمر والدعم لمجموعة واسعة من توزيعات Linux ، تقدم KernelCare مجموعة ميزات غنية نسبيا أيضا.

تكلفة تنفيذ Kpatch أعلى بكثير ما لم تكن مشتركا بالفعل في خطة دعم RHEL. ذلك لأن Kpatch متاح فقط لعملاء Red Hat الذين لديهم خطة دعم متميزة ، وهذا هو 1,299 دولارا سنويا لكل جهاز.