Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
[Neues Webinar] CentOS 7 End of Life Strategie: Sicherheit für heute und Jahre in der Zukunft - Dec 6th @ 10:30 AM EST/4 PM CET RSVP
Canonical leistet solide Arbeit beim Live-Patching, aber ist es die relativ hohen Gebühren wert? Und was ist mit Ihren anderen Linux-Distributionen?
Live-Patching ist die beste Methode zur Installation von Sicherheitsupdates für Ihre Linux-Systeme. Mit Live-Patching können Sie die neuesten Sicherheitskorrekturen für Kernel-Schwachstellen einspielen, ohne das System neu starten zu müssen, um den Patch anzuwenden. Das bedeutet, dass Sie kein Wartungsfenster einplanen müssen und dass Ihre Systeme durchgängig sicher bleiben.
Aus diesem Grund hat Canonical, genau wie andere große Linux-Anbieter, beschlossen, ein Live-Patching-Tool für Ubuntu zu entwickeln, das Livepatch heißt. Livepatch hat jedoch zwei entscheidende Schwachstellen in seiner Funktionsweise - und es ist eine relativ teure Option.
Als Alternative könnten Sie über KernelCare Enterprise von TuxCare nachdenken. Schauen wir uns die Unterschiede zwischen den beiden Tools einmal genauer an.
Inhalte:
- Was ist Canonical Livepatch?
- Kernel-Patching-Lebensdauer
- Abdeckung von Schwachstellen
- Rollback-Funktionalität
- Unterstützte Linux-Kernel
- Kostenvergleich zwischen Canonical Livepatch und KernelCare
- Umstellung von Canonical Livepatch auf KernelCare
- Schlussfolgerung
Was ist Canonical Livepatch?
Live-Patches für den Linux-Kernel gibt es schon seit über zehn Jahren. Die erste praktikable Lösung wurde 2009 am MIT entwickelt. Sie wurde KSplice genannt. Das Team von CloudLinux folgte schnell mit KernelCare, das jetzt von TuxCare angeboten wird, und viele große Linux-Anbieter haben ebenfalls Live-Patching-Tools entwickelt. Für Ubuntu-Benutzer gibt es neben KernelCare Enterprise von TuxCare auch das Livepatch von Canonical, das Sicherheitsupdates bereitstellt.
Für alle Livepatching-Tools gilt im Wesentlichen die gleiche Prämisse, auch wenn der Unterschied zwischen temporärem und dauerhaftem Patching von Bedeutung ist; darauf gehen wir im nächsten Abschnitt ein. Das Livepatch-Tool nimmt einen laufenden Linux-Kernel und ersetzt den betroffenen Code im laufenden Betrieb - in einem Moment gibt es eine Kernel-Schwachstelle, im nächsten Moment wird sicherer Code ausgeführt, und es ist kein Neustart erforderlich.
Wenn Sie Ihr Livepatch-Token besorgen und das Snap-Paket dafür bereitstellen, bedeutet dies, dass Ihr Systemadministrator-Team kein Wartungsfenster einplanen und auf eine Ausfallzeit warten muss, bevor es einen Patch aufspielen kann. Patches werden konsistent und ohne Verzögerung angewendet, was bedeutet, dass es ein kleineres Zeitfenster gibt, in dem Systeme anfällig sind.
Kernel-Patching-Lebensdauer
Canonical hat ein gleitendes Support-Fenster von 13 Monaten für jede Versionsrevision der GA-Kernel aller Ubuntu LTS-Versionen. Wenn Sie Ihr System in den letzten 13 Monaten nicht neu gestartet haben und Livepatch weiterhin verwenden möchten, müssen Sie das neueste Kernel-Update installieren und dann neu starten. Dadurch werden Sie auf eine neue Revision derselben Kernelversion gebracht. Dadurch wird auch die Uhr für weitere 13 Monate Livepatch-Unterstützung für diese Version neu gestartet. Wenn Ihre Wartungsfenster länger als 13 Monate sind, müssen Sie sie anpassen, um sicherzustellen, dass Sie weiterhin Livepatches für diese bestimmte Kernelversion erhalten.
KernelCare Enterprise bietet Live-Patches mit einem praktisch unbegrenzten Zeitrahmen - tatsächlich gibt es keine Beschränkung bezüglich der Zeit zwischen den Neustarts. So genießen Sie kontinuierlichen Schutz für Ihre bestehenden Kernel, ohne bei der Planung Ihrer Wartungsfenster an den Veröffentlichungszeitplan von Ubuntu gebunden zu sein.
Abdeckung von Schwachstellen
Canonical verwendet keine gängigen externen Bewertungssysteme (z. B. CVSS-Scoring) und ordnet CVE-Schweregrade auf der Grundlage seiner eigenen Qualifikationen zu. Daher kann Livepatch, das Patches für CVEs mit hohem und kritischem Schweregrad bereitstellt, nur eine Teilmenge dieser Schwachstellen gemäß den üblicherweise verwendeten externen Bewertungssystemen abdecken.
Gleichzeitig behandelt Livepatch keine Sicherheitsbehebungen mit niedrigerer Priorität, die für Ihre speziellen Umstände wichtig sein können. Dies kann wichtig sein, da eine Kernel-Schwachstelle mittleren Schweregrades je nach Anwendungsfall, Art der betroffenen Systeme und den potenziellen Auswirkungen auf die Umgebung unterschiedliche Auswirkungen haben kann. Beispielsweise könnte eine solche Schwachstelle, die Systeme betrifft, die direkt dem Internet ausgesetzt sind, als dringlicher angesehen werden als die gleiche Schwachstelle, die in isolierten internen Netzwerken auftritt.
KernelCare Enterprise liefert Live-Patches für jede Sicherheitslücke, die der Hersteller behebt und die eine Bedrohung für die Ausnutzung darstellt. Es bietet sogar Live-Patches für Schwachstellen, die der Hersteller nicht adressiert, die aber dennoch eine große Anzahl von Systemen betreffen oder von denen bekannt ist, dass sie in freier Wildbahn aktiv ausgenutzt werden 1.
Rollback-Funktionalität
Sollte sich ein Systemadministrator aus irgendeinem Grund dafür entscheiden, ermöglicht KernelCare Enterprise die Rücknahme jedes Patches - ein Prozess, der auch keinen Neustart erfordert. Dies kann besonders in Situationen nützlich sein, in denen der Patch erhebliche negative Auswirkungen auf die Systemleistung hat (z. B. Spectre/Meltdown-Fixes ) und andere Abhilfemaßnahmen zur Verfügung stehen. Canonical hingegen unterstützt keine Rollback-Funktion ohne Neustart. Dies kann zu kostspieligen Serviceunterbrechungen führen, wodurch der Hauptvorteil des Live-Patchings beeinträchtigt wird.
Wenn ein Patch nicht wie erwartet funktioniert, ist es gut zu wissen, dass Sie bei Bedarf einfach zu einem älteren Kernel zurückkehren können. Mit KernelCare Enterprise können Sie jederzeit alle angewendeten Änderungen zurücksetzen, indem Sie einen speziellen Befehl ausführen, der keinen Neustart des Systems erfordert - so wird die Unterbrechung eines potenziellen Rollbacks vermieden, was Livepatch nicht bieten kann.
Unterstützte Linux-Kernel
Die meisten verwalteten Live-Kernel-Patching-Tools funktionieren nur für eine bestimmte Linux-Distribution, und das ist auch bei Canonical Ubuntu Livepatch der Fall, das nur Ubuntu-Systeme und nur Kernel 4.4 und neuer unterstützt. Das ist in Ordnung, wenn Ihr gesamtes Arbeitspensum auf den neuesten Ubuntu-Distributionen basiert - aber es deckt Sie nicht für andere Linux-Distributionen ab. Da einige Linux-Distributionen für bestimmte Szenarien besser geeignet sind, ist es üblich, dass in einer Organisation mehrere Distributionen eingesetzt werden, die unterschiedliche Aufgaben erfüllen. Daher würde Livepatch Ihren Bedarf an Live-Patching nur teilweise abdecken.
KernelCare Enterprise hingegen unterstützt eine viel breitere Palette von Distributionen, einschließlich Kernel-Live-Patching für RHEL, Debian, Oracle Linux, AlmaLinux, Amazon Linux usw. (tatsächlich deckt es über 40 verschiedene Versionen von Enterprise-Linux-Distributionen und weit über 4000 Kombinationen von Distributionen und Kernel-Versionen ab). Es handelt sich um eine Lösung aus einer Hand, d. h. Sie müssen nicht mehrere Live-Patching-Lösungen einsetzen, um alle Ihre Linux-basierten Systeme abzudecken.
Kostenvergleich zwischen Canonical Livepatch und KernelCare
Ubuntu Livepatch von Canonical ist nicht die teuerste Live-Patching-Lösung für kritische Kernel-Patches, aber auch nicht die billigste. Livepatch ist nicht als separates Produkt erhältlich, sondern nur als Teil eines Ubuntu Pro-Abonnements, für das sich Benutzer mit ihrem Ubuntu One-Konto anmelden.
Die Preise beginnen bei 225 US-Dollar pro Rechner und Jahr und reichen bis zu 3.400 US-Dollar pro Rechner und Jahr. TuxCare's KernelCare Enterprise kostet weniger als 60 $ pro Server und Jahr.
| Canonical Ubuntu Livepatch | KernelCare Enterprise Live-Patching | |
|---|---|---|
| Unterstützte Distributionen | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04 | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04, sowie Red Hat, Oracle, AlmaLinux und viele andere |
| Architekturen | x86-64 | x86-64, arm64 |
| Erfassungsbereich | Linux-Kernel | Linux-Kernel und kritischer Userspace (glibc und openssl) |
| Schwachstellen gepatcht | Teilmenge von Hoch & Kritisch | Alle |
| Lebensdauer des Kernel-Patchings | 13 Monate | Praktisch unbegrenzt |
| Benutzerdefinierte Patches | Nein | Ja (kontaktieren Sie uns für spezielle Versionen oder Konfigurationen) |
| QEMU-Patching | Nein | Ja |
| Datenbank-Patching | Nein | Ja |
| 24/7 Support | Ja, mit einem kostenpflichtigen Abonnement | Ja, online, 24/7/365 mit unterschiedlichen Prioritäten für verschiedene Abonnements |
| Patchset-Distribution | Ein einziges Patchset für alle Patches | Ein einziges Patchset für alle Patches |
| API verfügbar? | Ja | Ja |
| Roll-back-Funktionalität | Ja, mit einem Neustart | Ja, ohne Neustart |
| Verfügbar für neue Kunden? | Nur Ubuntu-Kunden | Ja, und mehr als 40 Distributionen werden unterstützt |
| Art des Patchings | Persistent | Persistent |
| Add-ons | - | Benutzerdefinierte Patches, QEMU, Datenbank-Patching |
| Kosten für Live-Patching | In allen Ubuntu Pro-Paketen enthalten ($225-$3.400/Maschine/Jahr). | 59,50 $ pro Jahr, pro System. Verschiedene Add-ons können in das Abonnement aufgenommen werden. Großabnehmerpreise sind verfügbar. |
Möchten Sie mehr über die Umstellung auf KernelCare erfahren?
Umstellung von Canonical Livepatch auf KernelCare
Wenn Sie bereits Livepatch verwenden, können Sie mühelos zu KernelCare wechseln und so alle Ihre Linux-Distributionen unter eine einzige Live-Patching-Verantwortung stellen. Die Installation von KernelCare ist einfach: Sie müssen nur ein kurzes Skript auf der Befehlszeilenoberfläche ausführen - nicht schwieriger als die Aktivierung von Canonical Livepatch.
Genau wie bei der Installation des Livepatch-Tools läuft KernelCare einfach im Hintergrund und unterbricht Ihren Betrieb nicht. Dank der beständigen Patching-Methode von KernelCare reicht ein einziges Skript aus, um patchenbedingte Neustarts praktisch zu eliminieren - im Gegensatz zum Livepatch-Dienst unter Ubuntu, der gelegentliche Neustarts erfordert.
Schlussfolgerung
Wenn Sie nur Ubuntu-Systeme betreiben, kommt es wirklich auf die Kosten an und darauf, ob Sie in der Lage sind, ständige Unterbrechungen aufgrund von Neustarts in Kauf zu nehmen, um wichtige Kernel-Patches zu integrieren. Sie verwenden nur Ubuntu und müssen sowieso Ubuntu Pro abonnieren? Dann kann das Livepatch-Kernel-Live-Patching eine sinnvolle Option sein - je nachdem, wie störend das temporäre Patching-System von Livepatch ist.
Wenn Sie jedoch nicht den ganzen Schnickschnack eines Ubuntu Pro-Abonnements benötigen, können Sie mit KernelCare erhebliche Einsparungen erzielen. Sie verwenden eine Vielzahl von Linux-Distributionen - und nicht nur Ubuntu? Livepatch deckt Ihre Nicht-Ubuntu-Maschinen nicht ab, und Sie können Livepatch nicht dazu zwingen, z. B. auf RHEL zu funktionieren. Sie sollten KernelCare auch in Betracht ziehen, wenn die Livepatch-Anforderungen für gelegentliche Neustarts Probleme mit Ihren Arbeitslasten verursachen und wenn Sie Ausfallzeiten reduzieren müssen.
1 Gemäß dem KAG-Katalog https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Sprechen Sie mit einem TuxCare-Experten
Nennen Sie uns Ihre Herausforderungen und unsere Experten helfen Ihnen, den besten Ansatz zu finden, um sie mit der TuxCare-Produktlinie zu lösen.
