Prüfen Sie den Status von CVEs. Erfahren Sie mehr.
Canonical leistet solide Arbeit beim Live-Patching, aber ist temporäres Patching die richtige Lösung für Sie - und ist es die relativ hohen Gebühren wert? Und was ist mit Ihren anderen Linux-Distributionen?
Live-Patching ist die beste Methode zur Installation von Sicherheitsupdates für Ihre Linux-Systeme. Mit Live-Patching können Sie die neuesten Sicherheitskorrekturen für Kernel-Schwachstellen einspielen, ohne das System neu starten zu müssen, um den Patch anzuwenden. Das bedeutet, dass Sie kein Wartungsfenster einplanen müssen und dass Ihre Systeme durchgängig sicher bleiben.
Aus diesem Grund hat Canonical, genau wie andere große Linux-Anbieter, beschlossen, ein Live-Patching-Tool für Ubuntu zu entwickeln, das Livepatch heißt. Livepatch hat jedoch zwei entscheidende Schwachstellen in seiner Funktionsweise - und es ist eine relativ teure Option.
Als Alternative könnten Sie über KernelCare Enterprise von TuxCare nachdenken. Schauen wir uns die Unterschiede zwischen den beiden Tools einmal genauer an.
Inhalt:
Live-Patches für den Linux-Kernel gibt es schon seit über zehn Jahren. Die erste praktikable Lösung wurde 2009 am MIT entwickelt. Sie wurde KSplice genannt. Das Team von CloudLinux folgte schnell mit KernelCare, und viele große Linux-Anbieter haben in der Zwischenzeit Live-Patching-Tools entwickelt. Für Ubuntu-Nutzer gibt es Livepatch, um Sicherheitsaktualisierungen bereitzustellen.
Für alle Livepatching-Tools gilt im Wesentlichen die gleiche Prämisse, auch wenn der Unterschied zwischen temporärem und dauerhaftem Patching von Bedeutung ist; darauf gehen wir im nächsten Abschnitt ein. Das Livepatch-Tool nimmt einen laufenden Linux-Kernel und ersetzt den betroffenen Code im laufenden Betrieb - in einem Moment gibt es eine Kernel-Schwachstelle, im nächsten Moment wird sicherer Code ausgeführt, und es ist kein Neustart erforderlich.
Wenn Sie Ihr Livepatch-Token besorgen und das Snap-Paket dafür bereitstellen, bedeutet dies, dass Ihr Systemadministrator-Team kein Wartungsfenster einplanen und auf eine Ausfallzeit warten muss, bevor es einen Patch aufspielen kann. Patches werden konsistent und ohne Verzögerung angewendet, was bedeutet, dass es ein kleineres Zeitfenster gibt, in dem Systeme anfällig sind.
Nicht alle Live-Patching-Tools sind gleich - und einer der Hauptunterschiede ist die Art und Weise, in der kritische Kernel-Patches angewendet werden. Es gibt zwei Wege: temporäres und dauerhaftes Patching. Beim temporären Patching, das auch als dynamisches Kernel-Patching bezeichnet wird, wird eine spezielle Technik verwendet, um einen Patch auf den Kernel aufzupfropfen - der Patch wird jedoch nicht vollständig integriert.
Canonicals Ltd.'s Ubuntu Livepatch nutzt die temporäre Patching-Technik, wenn es Kernel-Updates anwendet, und irgendwann müssen Sysadmins den Rechner neu starten, um den Patch vollständig zu integrieren - also sind unter Umständen störende Neustarts erforderlich. Das temporäre Patching bringt uns zwar einen großen Schritt in Richtung sicherer Arbeitslasten, ist aber immer noch nicht ideal. Das Problem liegt hier in den möglichen Wechselwirkungen zwischen aufeinander folgenden Patches, die denselben Code betreffen - und das ist sehr schwierig zu lösen, da die Anzahl der möglichen Kombinationen für bereits eingesetzte (oder nicht eingesetzte) Patches für einen bestimmten Codeabschnitt schnell wachsen kann. Hier kommt das persistente Patching ins Spiel.
Persistentes Patching verfolgt einen anderen Ansatz, da jeder Kernel-Patch sofort vollständig integriert wird, ohne dass ein Neustart erforderlich ist, um das Patching abzuschließen. Die Patches sind kumulativ, d. h. anstatt einen Patch auf einen anderen anzuwenden, werden alle Korrekturen in einem Schritt in die Binärdatei aufgenommen. Durch das permanente Patching wird das wichtige Ziel erreicht, dass keine Neustarts mehr erforderlich sind und die Ausfallzeiten so weit wie möglich reduziert werden.
Die meisten verwalteten Live-Kernel-Patching-Tools funktionieren nur für eine bestimmte Linux-Distribution, und das ist auch bei Canonical Ubuntu Livepatch der Fall, das nur Ubuntu-Systeme und nur Kernel 4.4 und neuer unterstützt. Das ist in Ordnung, wenn Ihr gesamtes Arbeitspensum auf den neuesten Ubuntu-Distributionen basiert - aber es deckt Sie nicht für andere Linux-Distributionen ab. Da einige Linux-Distributionen für bestimmte Szenarien besser geeignet sind, ist es üblich, dass in einem Unternehmen mehrere Distributionen eingesetzt werden, die unterschiedliche Aufgaben erfüllen. Daher würde Livepatch Ihren Bedarf an Live-Patching nur teilweise abdecken.
KernelCare Enterprise hingegen unterstützt eine viel breitere Palette von Distributionen, einschließlich Kernel-Live-Patching für RHEL, Debian, CentOS usw. (tatsächlich deckt es über 40 verschiedene Linux-Distributionen der Enterprise-Klasse und weit über 4000 Kombinationen aus Distribution und Kernel-Version ab). Es handelt sich um eine Komplettlösung, d.h. Sie müssen nicht mehrere Live-Patching-Lösungen einsetzen, um alle Ihre Linux-basierten Systeme abzudecken.
Ubuntu Livepatch von Canonical ist nicht die teuerste Live-Lösung für kritische Kernel-Patches, aber auch nicht die billigste. Livepatch ist nicht als separates Produkt erhältlich, sondern nur als Teil eines Ubuntu Advantage-Abonnements, für das sich Nutzer mit ihrem Ubuntu One-Konto anmelden.
Die Preise sind etwas komplex und hängen davon ab, ob Sie einen physischen Server oder virtuelle Maschinen betreiben, aber sie beginnen bei 75 US-Dollar pro Maschine und Jahr und reichen bis zu 2.500 US-Dollar pro Maschine und Jahr. TuxCare's KernelCare Enterprise kostet weniger als 60 $ pro Server und Jahr.
Canonical Ubuntu Livepatch | KernelCare Enterprise Live-Patching | |
---|---|---|
Unterstützte Distributionen | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04 | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04, sowie Red Hat, Oracle, AlmaLinux und viele andere |
Architekturen | x86-64 | x86-64, arm64 |
Erfassungsbereich | Linux-Kernel | Linux-Kernel und kritischer Userspace (glibc und openssl) |
Schwachstellen gepatcht | Teilmenge von Hoch & Kritisch | Alle |
Lebensdauer des Kernel-Patchings | 3-6 Monate | Praktisch unbegrenzt |
Benutzerdefinierte Patches | Nein | Ja (kontaktieren Sie uns für spezielle Versionen oder Konfigurationen) |
QEMU-Patching | Nein | Ja |
Datenbank-Patching | Nein | Ja |
24/7 Unterstützung | Ja, mit einem kostenpflichtigen Abonnement | Ja, online, 24/7/365 mit unterschiedlichen Prioritäten für verschiedene Abonnements |
Patchset-Verteilung | Jeder Patch wird als separates Kernelmodul dargestellt | Ein einziges Patchset für alle Patches |
API verfügbar? | Ja | Ja |
Roll-back-Funktionalität | Nein | Ja, ohne Neustart |
Verfügbar für neue Kunden? | Nur Ubuntu-Clients | Ja, und mehr als 40 Distributionen werden unterstützt |
Art des Flickens | Vorübergehend | Persistent |
Add-ons | - | Benutzerdefinierte Patches, QEMU, Datenbank-Patching |
Kosten für Live-Patching | In allen Ubuntu Advantage for Infrastructure-Supportpaketen enthalten ($225-$1.500/Maschine/Jahr auf physischen Servern, $75-$500/Maschine/Jahr - auf VMs). | 59,50 $ pro Jahr, pro System. Verschiedene Add-ons können in das Abonnement aufgenommen werden. Großabnehmerpreise sind verfügbar. |
Wenn Sie bereits Livepatch verwenden, können Sie mühelos zu KernelCare wechseln und so alle Ihre Linux-Distributionen unter eine einzige Live-Patching-Verantwortung stellen. Die Installation von KernelCare ist einfach: Sie müssen lediglich ein kurzes Skript auf der Befehlszeilenschnittstelle ausführen - nicht schwieriger als die Aktivierung von Canonical Livepatch.
Genau wie bei der Installation des Livepatch-Tools läuft KernelCare einfach im Hintergrund und unterbricht Ihren Betrieb nicht. Dank der beständigen Patching-Methode von KernelCare reicht ein einziges Skript aus, um patchenbedingte Neustarts praktisch zu eliminieren - im Gegensatz zum Livepatch-Dienst unter Ubuntu, der gelegentliche Neustarts erfordert.
Wenn Sie nur Ubuntu-Systeme betreiben, kommt es wirklich auf die Kosten an und darauf, ob Sie in der Lage sind, ständige Unterbrechungen aufgrund von Neustarts in Kauf zu nehmen, um wichtige Kernel-Patches zu integrieren. Sie verwenden nur Ubuntu und müssen sowieso Ubuntu Advantage abonnieren? Dann kann das Livepatch-Kernel-Live-Patching eine sinnvolle Option sein - je nachdem, wie störend das temporäre Patching-System von Livepatch ist.
Wenn Sie jedoch nicht alle Funktionen eines Ubuntu Advantage-Abonnements benötigen, können Sie mit KernelCare erhebliche Einsparungen erzielen. Setzen Sie auf eine Vielzahl von Linux-Distributionen - und nicht nur auf Ubuntu? Livepatch deckt Ihre Nicht-Ubuntu-Maschinen nicht ab, und Sie können Livepatch nicht dazu zwingen, z. B. auf RHEL zu funktionieren. Sie sollten KernelCare auch in Betracht ziehen, wenn die Livepatch-Anforderungen für gelegentliche Neustarts Probleme mit Ihren Arbeitslasten verursachen und wenn Sie Ausfallzeiten reduzieren müssen.
Nennen Sie uns Ihre Herausforderungen und unsere Experten helfen Ihnen, den besten Ansatz zu finden, um sie mit der TuxCare-Produktlinie zu lösen.