ClickCease Amazon Kernel Live Patching: Überblick über Live Patching für Unternehmen - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Amazon Kernel Live Patching: Überblick über Live Patching für Unternehmen

14. Dezember 2020. TuxCare PR Team

Amazon-Kernel-Live-PatchingWir wissen, dass die häufige Aktualisierung von Linux-Kerneln für die Sicherheit von Cloud-Umgebungen von entscheidender Bedeutung ist - Kernel sind es schließlich, ein blinder Fleck in der Cybersicherheit. Die Aktualisierung des Kernels ist jedoch zeitaufwändig und erfordert häufig einen Neustart des Servers, was zu einer Unterbrechung der Dienste führen kann.

Aus diesem Grund ist das Live-Kernel-Patching so wichtig und Amazon bietet die Möglichkeit, Amazon Linux 2-Instanzen automatisch zu patchen. In diesem Artikel erklären wir, wie Live-Patching von Linux-Kerneln in AWS funktioniert, warum Live-Patching von Amazon möglicherweise nicht die beste Lösung ist - und was Sie tun können, um Live-Patching anzuwenden, wenn Ihre Linux-Server nicht bei AWS gehostet werden.

 

Inhalte:

  1. Was ist Amazon Kernel Live Patching und warum brauchen Sie es?

  2. Welche Patches kann Amazon Kernel Live Patching anwenden?

  3. So aktivieren Sie Amazon Kernel Live Patching

  4. Live-Patching mit dem AWS Systems Manager

  5. Nachteile des Amazon Kernel Live Patching

  6. Alternativen zum Amazon Kernel Live Patching

 

 

Was ist Amazon Kernel Live Patching und warum brauchen Sie es?

Was ist Amazon Kernel Live Patching und warum brauchen Sie es?

Die Patch-Verwaltung ist ein wichtiges Thema für große und kleine Unternehmen. Jeden Tag in der Woche werden Sicherheitslücken entdeckt, ausgenutzt und gepatcht. Tatsächlich wird der Linux-Kernel in jedem Jahr unzählige Male gepatcht - und das Versäumnis, Patches anzuwenden, bedeutet, dass böswillige Akteure einen anfälligen Kernel ausnutzen können.

In der Tat hat sich auf Unternehmensebene hat sich das Kernel-Patching zu einer Frage der Compliance entwickelt. Große Unternehmen müssen häufig Patches einspielen, denn wenn sie dies nicht tun, kann eine Sicherheitslücke zu Datenverlusten führen, die eine große Anzahl von Personen betreffen und erhebliche Folgen haben.

Häufiges Patchen kann jedoch zu ständigen Serviceunterbrechungen führen, da Linux-Server für einen Neustart offline genommen werden müssen. Diese ständigen Patching- und Neustartbemühungen nehmen auch sehr viel Zeit in Anspruch. Das führt zu einer schwierigen Zwickmühle. Man muss sich entscheiden zwischen teuren, störenden Patches oder einem inakzeptablen Risiko.

Live-Patching ist die Antwort - und deshalb hat Amazon die Live-Patching-Technologie für Linux 2-Instances, die auf AWS laufen, eingeführt. Live-Patching wird unterstützt, wenn Sie Amazon Linux 2 verwenden und Ihre Kernel-Version 4.14.165-131.185 oder höher ist.

Beachten Sie, dass Amazon Linux 2 Kernel Live Patching nur unter x86_64 Umgebungen funktioniert, ARM64 wird nicht unterstützt. ARM-basierte Linux-Server benötigen ebenfalls Live-Patchingund es gibt eine alternative Lösung für Unternehmen, die ARM-Workloads ausführen - über KernelCare.

 

 

Welche Patches kann Amazon Kernel Live Patching anwenden?

Welche Patches kann Amazon Kernel Live Patching anwenden?

AWS bietet die Möglichkeit, zwei Arten von Kernel-Patches anzuwenden, ohne den Linux-Server neu zu starten. Erstens können Sie die typischen Fehlerbehebungen anwenden, die Amazon herausgibt, einschließlich Kernel-Patches, die die Stabilität von Amazon Linux 2-Servern verbessern sollen.

Und was noch wichtiger ist: Dank Live-Patching kann Ihr Unternehmen sicherstellen, dass kritische Sicherheitsupdates schnell eingespielt werden, ohne dass die Server vom Netz genommen werden müssen. Wir sprechen hier natürlich von CVEs, den gängigen Schwachstellen und Gefährdungen von Linux.

Wenn das Amazon Linux Security Advisory ein CVE als wichtig oder kritisch einstuft, wird dieses Update in das Live-Patching-System aufgenommen. Es gibt auch Fälle, in denen Amazon einen Live-Patch zur Verfügung stellt, auch wenn ein CVE noch nicht zugewiesen wurde.

Beachten Sie, dass die Verfügbarkeit von Live-Patches zeitlich begrenzt ist: Sie können einen Kernel nur bis zu drei Monate nach seiner Veröffentlichung live patchen.

 

 

So aktivieren Sie Amazon Kernel Live Patching

So aktivieren Sie Amazon Kernel Live Patching

Sie haben die Wahl, wenn Sie Live-Patching auf Amazon Linux 2-Instanzen initiieren und verwenden. Erstens können Sie die Verwendung von Live-Patches auf jeder einzelnen Instanz über die Befehlszeile initiieren. Die andere Möglichkeit besteht darin, Live-Patching über den AWS Systems Manager zu automatisieren, wo Sie Live-Patching auf eine Gruppe von Instances anwenden können.

Wenn Sie sich entscheiden, Live-Patching auf einer bestimmten Linux-Instanz zu aktivieren, dann bietet Amazon eine vollständige Anleitung zur Aktivierung von Live-Patching über die Kommandozeile. Für den Anfang benötigen Sie ein paar Dinge: Sie müssen das yum-Plugin installieren und sicherstellen, dass Sie binutils installiert haben.

Beachten Sie, dass Sie zuerst die Version Ihres Kernels überprüfen müssen - wenn er älter als drei Monate ist, müssen Sie zuerst die neueste Kernelversion installieren.

Sobald Sie die Komponenten für das Live-Patching eingerichtet haben, können Sie den kpatch-Dienst starten. Über die Befehlszeile können Sie dann alle verfügbaren Patches anzeigen, einen ausgewählten Patch live anwenden, ohne die Instanz neu zu starten, und auch eine Liste aller bereits angewandten Patches anzeigen. 

 

 

Live-Patching mit dem AWS Systems Manager (SSM)

Live-Patching mit dem AWS Systems Manager (SSM)

Mit Hilfe von Befehlszeilenaktionen können Sie sicherstellen, dass eine einzelne Linux-Instanz auf dem neuesten Stand gehalten und gepatcht wird, aber im Unternehmensmaßstab kann das Live-Patching Hunderte oder Tausende von Amazon Linux 2-Servern betreffen.

Unternehmen, die Flotten von Amazon EC2-Systemen betreiben, können es sich nicht leisten, Patches für jeden einzelnen Server manuell über die Befehlszeile zu initiieren. Stattdessen hilft Ihnen AWS Systems Manager (SSM), den Prozess der Verwaltung von Patches, einschließlich Live-Patching, zu automatisieren.

Sie wenden Live-Patches in der Amazon Systems Manager-Konsole an, indem Sie den Befehl Ausführen verwenden und ein benutzerdefiniertes Systems Manager-Dokument mit der Bezeichnung AWS-ConfigureKernelLivePatching auswählen. Sie können dieses Dokument entsprechend Ihren Anforderungen bearbeiten.

Mit dem Systems Manager können Sie Flotten von EC2-Instanzen und Servern in Ihren Räumlichkeiten live patchen, einschließlich virtueller Maschinen, indem Sie die integrierten Funktionen des Systems Managers nutzen - den oben beschriebenen Befehl Ausführen und die Dokumente - und Sie können auch das Wartungsfenster verwenden.

 

 

Nachteile des Amazon Kernel Live Patching

Nachteile des Amazon Kernel Live Patching

Amazon hat mit dem Live-Patching gute Arbeit geleistet, aber es gibt einige Punkte, die bei der Verwendung von Amazons Live-Patching-Tool zum Patchen von Amazon Linux 2-Instanzen zu beachten sind - angefangen bei der Tatsache, dass ARM64-Server nicht unterstützt werden.

Es gibt jedoch ein wichtiges Problem mit der Kernelversion. Selbst wenn Sie alle Patches über Live-Patching anwenden, wird der Kernel Ihres Servers erst dann auf die neueste Versionsnummer aktualisiert, wenn Sie Ihren Server neu starten. Mit anderen Worten: Ihr Server kann mit den neuesten Updates auf dem neuesten Stand sein, aber immer noch eine alte Kernel-Version anzeigen.

Alle Compliance-Tools, die Sie möglicherweise verwenden, werden diese alte Version widerspiegeln - was problematisch sein kann. Darüber hinaus wird Amazons Live-Kernel-Patching die Standard-Kernel-Tracking-Funktionen beeinträchtigen, was die Funktionalität einiger der von Ihnen verwendeten Debugging-Tools wie kprobes und SystemTap einschränken kann.

Es gibt natürlich auch die Beschränkung eines dreimonatigen Zeitfensters - Ihre Instanz erhält nur drei Monate lang Live-Patches, und wenn Ihr Kernel in drei Monaten nicht aktualisiert wurde, sind einfach keine Live-Patches mehr verfügbar.

 

Alternativen zum Amazon Kernel Live Patching

Alternativen zum Amazon Kernel Live Patching

Unternehmen, die standardmäßig Amazon Linux 2-Instanzen auf x86_64 (d. h. Intel- oder AMD-Silizium) verwenden, werden möglicherweise feststellen, dass Amazons integriertes Live-Patching-Tool angemessen funktioniert, sofern die betroffenen Instanzen einem bestimmten Muster entsprechen und es keine Anforderungen an den Anwendungsfall gibt, die mit den Einschränkungen des Live-Patching-Systems von Amazon in Konflikt stehen.

Es gibt jedoch Alternativen, wenn Unternehmen ARM-basierte Server verwenden oder wenn das von Amazon angebotene Live-Patching den Anforderungen nicht genügt. Eine davon ist natürlich KernelCare von CloudLinux. CloudLinux ist ein AWS Partner Network (APN) Advanced Technology Partner.

Die Unterstützung für AWS Graviton2 ARM64-Prozessoren ist nur einer der vielen Vorteile der Verwendung von KernelCare für das Live-Patching von Linux-Instanzen in AWS. Weitere Details finden Sie in unserem vollständigen Vergleich von Live-Patching-Tools.

Oder laden Sie KernelCare direkt vom AWS-Marktplatz und probieren Sie es aus.

 

Sehen Sie sich weitere Übersichten über Live-Patching-Dienste an:

Überblick über die Live-Patching-Dienste für Unternehmen: Spotlight auf Ksplice

Überblick über die Live-Patching-Dienste für Unternehmen: Spotlight auf Canonical Livepatch

Überblick über die Live-Patching-Dienste für Unternehmen: Spotlight auf kpatch

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter