ClickCease Was ist Linux Kernel Live Patching?

Was ist Linux Kernel Live Patching?

23. November 2022. TuxCare PR Team

Durchbrüche im Bereich der Cybersicherheit sind selten, aber wenn einer gelingt, kann er ein wahres Wundermittel sein. 

Linux-Kernel-Live-Patching, d. h. die Möglichkeit, einen Linux-Kernel-Sicherheitspatch auf einen laufenden Linux-Kernel anzuwenden, ohne diesen neu zu startenist einer dieser unglaublichen Durchbrüche in der Cybersicherheit, die den Kampf gegen Bedrohungsakteure wirklich verändert haben.

Aber was genau ist Linux-Kernel-Live-Patching, welchen Nutzen hat es für IT-Teams und das gesamte Unternehmen, und wie sieht die Zukunft des Live-Patching aus? Lesen Sie weiter in unserem umfassenden Überblick über Live-Patching, um dies herauszufinden.

 

Linux-Kernel-Patching ist wichtig - und schwierig

 

Ein Patch ist ein Stück Code, das eine bekannte Sicherheitslücke im Internet behebt. Wenn ein Anbieter wie Red Hat oder Canonical über eine Sicherheitslücke informiert wird, entwickelt der Anbieter einen Patch mit geändertem Code, der die Sicherheitslücke "behebt", sodass sie nicht ausgenutzt werden kann. 

Sobald der Code des Patches in den Kernel integriert ist, ist das Betriebssystem (OS) "gepatcht". Ein gepatchtes Betriebssystem ist gegen alle Versuche geschützt, die Sicherheitslücke auszunutzen.

Doch obwohl Patches eine praktikable Lösung darstellen, sind bekannte Schwachstellen das Einfallstor für viele Angriffe, weil Unternehmen nicht immer konsequent patchen. Tatsächlich hat ein Forschungsbericht von Check Point aus dem Jahr 2021 zeigt dass 75 % der Angriffe auf Schwachstellen zurückgehen, die 2017 oder früher veröffentlicht wurden.

Wären diese Schwachstellen gepatcht worden, wäre den Angriffen Tür und Tor geöffnet worden. Warum also patchen manche Unternehmen nicht immer konsequent? 

Das Problem ist, dass das Patchen nicht immer ganz einfach ist. Wenn Sie einen Dienst patchen - sei es eine Anwendung, ein Treiber oder das Betriebssystem selbst - müssen Sie den Dienst normalerweise neu starten, um den Patch anzuwenden. 

Das wiederum bedeutet Ausfallzeiten, bis der Dienst wieder online ist. Und Ausfallzeiten sind in vielerlei Hinsicht teuer.

 

Eine Herausforderung, die eine Lösung braucht

 

Multiplizieren Sie das Patching-Puzzle auf Tausende von Rechnern und berücksichtigen Sie das Auftreten von Tausenden von Schwachstellen jedes Jahr und schon steht man vor einem schwierigen Problem, da die Beteiligten nicht jedes Mal, wenn ein Patch aufgespielt werden muss, Unterbrechungen und Umsatzeinbußen hinnehmen wollen.

Das wiederum bedeutet, dass Patches weniger häufig als ideal angewendet werden. Unternehmen planen Ausfallzeiten für Patches ein, sagen wir einmal im Monat - wenn sie gute Arbeit leisten. Das bedeutet, dass zwischen dem Bekanntwerden einer Schwachstelle und dem endgültigen Aufspielen eines Patches erhebliche Zeitspannen liegen. 

Allerdings sind die technischen Teams in der Regel unterbesetzt, so dass sich die Situation schnell verschlimmern kann, was dazu führt, dass Patches monatelang verzögert werden. Kein Wunder also, dass Cyberkriminelle aufgrund ungepatchter Schwachstellen so erfolgreich in Netzwerke eindringen können: Eine Studie des Ponemon Institute aus dem Jahr 2019 zeigt, dass 62 Prozent der Befragten eine Datenschutzverletzung darauf zurückführen, dass ihr Unternehmen einen verfügbaren Patch nicht angewendet hat.

 

Die Geschichte des Linux-Kernel-Live-Patchings

 

Neustarts und die damit verbundene Ausfallzeit des Linux-Servers führen zu ineffektivem Patching. Nimmt man das Erfordernis des Wartungsfensters (und den durch den Neustart verursachten Ressourcenverbrauch) weg, löst man einen großen Teil des Patching-Problems. 

Es war ein Forscher, dessen ungepatchter Linux-Server gehackt wurde - Jeff Arnold vom MIT - der 2006 mit der Erforschung des Live-Patchings begann. Was hat ihn motiviert? Nun, Arnolds Linux-Server wurde gehackt, weil er eine wichtige Sicherheitsaktualisierung hinauszögerte, da er anderen Leuten keine Unannehmlichkeiten bereiten wollte. Ihm war klar, dass Linux-Nutzer in Unternehmen eine alternative Patching-Methode benötigen.

Die Forschung am MIT war das erste Sprungbrett zum Live-Kernel-Patching. Jeff und einige seiner Kollegen gründeten ein Unternehmen namens KSplice, Inc., das 2011 von Oracle übernommen wurde. Andere Unternehmen folgten, als Red Hat und SUSE mit ihren jeweiligen Lösungen Kpatch und Kgraft, die später zu einem einzigen Ansatz zusammengefasst wurden, ebenfalls Bemühungen zur Entwicklung von Live-Patching für Linux-Server anführten.

 

Umstellung auf einfaches, erschwingliches Live-Patching überall

 

Linux-Kernel-Live-Patching, auch bekannt als dynamisches Kernel-Patching, ist in der Regel an eine einzige Linux-Distribution für Unternehmen gebunden und oft nur mit teuren Supportverträgen für Linux-Server erhältlich.

Wir bei TuxCare haben die patentierte KernelCare Live-Patching-Lösung fast ein Jahrzehnt lang unabhängig entwickelt und werden dabei vom Team von CloudLinux unterstützt. Wir haben dafür gesorgt, dass Live-Kernel-Patches auf alle wichtigen Linux-Distributionen für Unternehmen angewendet werden können, was zu einem universellen und erschwinglichen Live-Patching-Service führt, der nicht auf eine einzelne Distribution wie Red Hat oder SUSE Linux beschränkt ist.

Darüber hinaus wurde mit KernelCare das persistente Live-Patching eingeführt. Die ursprüngliche Methode für das Live-Patching, das so genannte temporäre Live-Patching, führte im Laufe der Zeit zu Leistungseinbußen, da die Patches mit einer Technik angewendet wurden, bei der die Patches übereinandergelegt wurden.

Im Gegensatz dazu enthält das persistente Live-Patching eine kumulative Korrektur in einer Binärdatei, so dass es keine Leistungseinbußen gibt. Dank mehrerer patentierten und zum Patent angemeldeten technologischen Innovationen bietet KernelCare rebootloses Live-Patching ohne Leistungseinbußen.

Und als nächsten großen Schritt beim Live-Patching haben wir jetzt die Fähigkeit zum Live-Patching über den Linux-Kernel hinaus auf das Live-Patching von gemeinsam genutzten Bibliotheken, Datenbankservern und Virtualisierungsumgebungen erweitert. 

 

Wie Linux-Kernel-Live-Patching in der Praxis funktioniert

 

Live-Patching ist eine einfache Prämisse, aber im Hintergrund läuft eine komplizierte, technische Gymnastik ab.

Hier ist eine vereinfachte Erklärung. Der Live-Patching-Dienst erstellt aus dem korrigierten Code einen Patch, so dass der korrigierte Code in den Speicher des laufenden Kernels geladen werden kann. Die Codeausführung wird dann von der verwundbaren Version des Codes auf die korrigierte Version des Codes umgeleitet während der Kernel läuft.

Das bedeutet, dass der Kernel nicht neu gestartet werden muss, was auch bedeutet, dass das gesamte System nicht neu gestartet werden muss. Auch wenn das System nie neu gestartet wurde, wird nun die korrigierte Version des Codes verwendet und das System ist vor der Sicherheitslücke sicher. 

Der Patch kann so komplex oder so einfach wie nötig sein. Von einer einzelnen einzeiligen Korrektur bis hin zu mehreren Funktionen ist der Prozess immer derselbe. Es ist ein bisschen wie Magie, und das Live-Kernel-Patching hat erhebliche praktische Auswirkungen auf die täglichen Patching-Bemühungen an Ort und Stelle. 

Ohne Live-Patching müssen Systemadministratoren Wartungsfenster planen und ansetzen, um Linux-Unternehmensserver offline zu nehmen. Für große Technologieunternehmen ist dies ein komplizierter Prozess, der zwangsläufig jemanden verärgern wird, denn niemand mag Ausfallzeiten. Ja, Lastausgleich und Redundanz können Ausfallzeiten abmildern, aber dies hat immer noch Leistungseinbußen zur Folge.

Wie auch immer, Wenn Sie Live-Patching-Software ins Spiel bringen, vereinfachen Sie die Sicherheitsaktualisierung, indem Sie nur einige wenige Befehlszeilenschritte zur Konfiguration von Live-Patching. Server und Anwendungen, wie z. B. Datenbanken, müssen für das Patching nicht mehr offline gehen. Das bedeutet, dass sich die Systemadministratoren keine Gedanken über Wartungspläne machen müssen und die Beteiligten nie das Wort "Ausfallzeit" oder "Unterbrechung" hören.

Sobald ein Patch als Reaktion auf eine Sicherheitslücke veröffentlicht wird, wird der Patch durch die Live-Patching-Technologie angewendet. Dank der Möglichkeit, einen Kernel-Live-Patch anzuwenden, gibt es keine Wartezeit und keine Unterbrechung des laufenden Dienstes.

 

Live-Patching ist entscheidend für die Einhaltung der Vorschriften

 

Da Live-Patching so reaktionsschnell ist (denken Sie daran, dass es keine Wartungspläne und keine Ausfallzeiten gibt), bedeutet dies, dass Patches konsistent angewendet werden und dass es keine Zeitfenster gibt, in denen Angreifer eine veröffentlichte Sicherheitslücke ausnutzen können.

Die konsistente, lückenlose Natur von Live-Patching hat eine wichtige Bedeutung in der heutigen stark regulierten Welt, und Live-Patching ist ein entscheidender Vorteil für Unternehmen, die Compliance-Verpflichtungen haben. 

In der Tat ist die Bereitstellung von Sicherheits-Patches durch einen Live-Patching-Mechanismus ist die derzeit schnellste Möglichkeit, ein System gegen neue Bedrohungen zu schützen.

Nehmen wir zum Beispiel den PCI DSS (Payment Card Industry Data Security Standard), der für Unternehmen gilt, die Zahlungen verarbeiten. 

PCI DSS fordert in Abschnitt 6.2 seiner Regeln dass kritische Sicherheits-Patches innerhalb eines Monats nach ihrer Veröffentlichung eingespielt werden müssen. Wenn Sie die Patches später einspielen, verstoßen Sie gegen die PCI DSS-Anforderungen, was erhebliche Folgen haben kann, einschließlich hoher Geldstrafen oder schlimmer noch, wenn es zu einem Verstoß kommt. Standards wie ISO 27001 und das NIST Cyber Security Framework haben ähnliche Anforderungen für Patches.

Unternehmen, die Kernel-Live-Patches verwenden, reduzieren das Risiko eines Verstoßes gegen die Compliance-Regeln auf ein Minimum weil das Patchen nicht mehr von manuellen Eingriffen oder unzuverlässigen und langwierigen Wartungsfenstern abhängt. Der geforderte Zeitrahmen für die Einhaltung der Vorschriften wird automatisch eingehalten.

 

Auch für IT-Teams macht es einen großen Unterschied

 

Auf der Führungsebene ist die Einhaltung der Vorschriften sehr wichtig, aber Live-Patching hat auch große, positive praktische Auswirkungen auf die technischen Teams. Da Kernel-Updates automatisch im Hintergrund ablaufen, können Systemadministratoren ihre Zeit mit Aufgaben auf höherer Ebene verbringen, die zur allgemeinen Sicherheitslage beitragen.

Das bedeutet auch, dass die Beteiligten zufriedener sind, denn Wartungsfenster können jeden im Unternehmen verärgern. Ausfallzeiten bedeuten unterbrochene Umsatzströme, unzufriedene Kunden und frustrierte Mitarbeiter. All diese Probleme gehören dank Live-Patching der Vergangenheit an, denn Live-Patching reduziert die Notwendigkeit von Wartungsfenstern.

Und dann ist da natürlich noch der Hauptvorteil der erheblich verbesserten Sicherheit. Mit Live-Patching lässt sich das Patching-Fenster auf ein paar Tage (oder sogar Stunden) verkürzen, so dass Angreifer kaum noch die Möglichkeit haben, eine Schwachstelle auszunutzen und Schaden anzurichten.

 

Gibt es irgendwelche negativen Aspekte beim Live-Patching des Linux-Kernels?

 

Live-Patching ist nicht kostenlos, so dass bei der Anmeldung für einen Live-Patching-Dienst ein Kostenfaktor zu berücksichtigen ist. Bei Kpatch und anderen von Anbietern gesponserten Live-Patching-Diensten können die Kosten erheblich sein, da Live-Patching in den Support-Plänen enthalten ist. Denken Sie zum Beispiel an den Preis von 1.299 US-Dollar pro Maschine und Jahr für den Red Hat Premium Support. 

Dennoch ist das KernelCare Live-Sicherheitspatching von TuxCare mit nur 59,50 Dollar pro Jahr und Rechner erschwinglich. Das ist ein geringer Preis, wenn man bedenkt, wie viel Zeit die Organisation von Wartungsfenstern und das manuelle Patchen von Schwachstellen spart. Ganz zu schweigen von den potenziellen Kosten eines erfolgreichen Cyberangriffs, der durch ein versäumtes Patching ausgelöst wurde.

Während die Leistung bei temporärem Live-Patching früher ein Problem darstellte, hat das Aufkommen des patentierten persistenten Live-Patching von KernelCare das Leistungsproblem beseitigt, da die Systeme einfach gepatcht werden, während sie laufen - und dann genauso weiterlaufen wie zuvor, ohne Leistungseinbußen.

Schlussfolgerung

 

Live-Sicherheitspatching ist ein großer Gewinn für die Cybersicherheit. Es erleichtert die Anwendung von Kernel-Patches auf Linux-Unternehmensservern, eine Aufgabe, die normalerweise eine schwierige und zeitaufwändige Angelegenheit ist. Darüber hinaus wurde die Live-Patching-Lösung von TuxCare um eine breite Palette von Live-Patching-Services erweitert, die Bibliotheken mit LibCare und Datenbanken mit DBCare abdeckt.

TuxCare deckt Sie sogar bei der Virtualisierung ab, da wir jetzt QEMU Live-Patching über unseren QEMUCare-Service anbieten. Mit jedem Schritt bringen wir Sie näher an leichtere Arbeitslasten und volle Compliance. 

Wenn Sie Unternehmens-Linux-Workloads wie Red Hat oder Oracle einsetzen, sollten Sie unbedingt Live-Patching in Betracht ziehen, um zu sehen, wie es Ihre Cybersicherheitslage verbessern kann. Dank der einfachen Integration von Tools wie Nessus, Qualys, Rapid7, Puppet, Ansible, Chef, Datadog und Crowdstrike gibt es keine Ausreden mehr. Lesen Sie hier mehr über unser Angebot an Live-Patching-Lösungen.

Zusammenfassung
Was ist Linux Kernel Live Patching?
Artikel Name
Was ist Linux Kernel Live Patching?
Beschreibung
Was ist Linux-Kernel-Live-Patching, welchen Nutzen hat es für IT-Teams und das gesamte Unternehmen, und wie sieht die Zukunft des Live-Patching aus?
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Wenn Sie an Linux-Live-Patching für Ihr Unternehmen interessiert sind, können wir Ihnen helfen, die perfekte Lösung zu finden.

Sprechen Sie mit einem Experten

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter