Vergleich von KernelCare Enterprise
mit Canonical Livepatch

Wie andere große Linux-Anbieter hat auch Canonical ein eigenes Live-Patching-Tool für Ubuntu entwickelt: Livepatch. Livepatching soll Ausfallzeiten vermeiden, indem kritische Kernel-Sicherheitsupdates sofort angewendet werden - ohne Neustart oder Wartungsfenster.

Aber Livepatch versagt dort, wo es am wichtigsten ist. Es deckt nur 5-10 % der CVEs von Ubuntu ab und lässt viele hochgefährliche Schwachstellen ungepatcht, was den eigentlichen Zweck von Livepatching schwächt. Und trotz dieser Lücken hat es einen hohen Preis.

Als stärkere, umfassendere Alternative bietet TuxCare's KernelCare Enterprise eine bis zu 100-prozentige Abdeckung von Sicherheitslücken über mehrere Linux-Distributionen hinweg. Im Gegensatz zu Livepatch bietet es ununterbrochene Sicherheit ohne Kompromisse. Werfen wir einen genaueren Blick auf den Vergleich dieser beiden Lösungen.

Unsere Untersuchungen haben ergeben, dass Canonical Livepatch nur 5-10 % aller Ubuntu CVEs patcht, so dass die meisten Schwachstellen nicht behoben werden. Dies vermittelt Systemadministratoren ein falsches Gefühl von Sicherheit - während einige Updates angewendet werden, bleiben kritische Risiken bestehen, was die Teams letztendlich dazu zwingt, Neustarts zu planen, um ihre Systeme vollständig zu sichern.

Wenn jedoch weiterhin häufige Neustarts erforderlich sind, kann Livepatch das Hauptversprechen von Live-Patching nicht einlösen: die Vermeidung von Ausfallzeiten und die Gewährleistung eines kontinuierlichen Schutzes. Stattdessen müssen Administratoren nach wie vor Wartungsfenster planen, Serviceunterbrechungen in Kauf nehmen und verbleibende Sicherheitslücken verwalten - ein echter Vorteil gegenüber herkömmlichen Patching-Methoden ist das nicht.

Im Gegensatz dazu bietet KernelCare Enterprise echtes, umfassendes Live-Patching. Es liefert Patches für jede Schwachstelle, die der Hersteller adressiert, und geht sogar noch weiter - es patcht Schwachstellen, die der Hersteller nicht adressiert, die aber eine große Anzahl von Systemen betreffen oder die aktiv in freier Wildbahn ausgenutzt werden^.1

¹ Gemäß dem KAG-Katalog https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Live-Patching sollte Reboots überflüssig machen, aber die meisten Lösungen schließen kritische Schwachstellen im Benutzerbereich nicht aus. Während der Linux-Kernel in der Regel ohne Neustart gepatcht wird, erfordern OpenSSL und glibc - Schlüsselkomponenten in den meisten Linux-Umgebungen - immer noch einen vollständigen Neustart des Servers, um Sicherheitskorrekturen anzuwenden. Dadurch sind die Systeme weiterhin risikobehafteten Schwachstellen ausgesetzt und Administratoren sind gezwungen, störende Wartungsfenster einzuplanen, wodurch die Hauptvorteile des Live-Patchings untergraben werden.

OpenSSL- und glibc-Schwachstellen sind nicht weniger gefährlich als Kernel-CVEs, wobei einige in der Vergangenheit zu größeren Sicherheitsvorfällen geführt haben. Trotzdem ist Canonical Livepatch auf Kernel-Patches beschränkt und bietet keinen Schutz für diese kritischen Bibliotheken. Infolgedessen müssen Unternehmen immer noch Ausfallzeiten und Sicherheitslücken in Kauf nehmen, was es in der Praxis nicht besser macht als herkömmliche Patches.

Um dieses Problem zu lösen, bietet KernelCare Enterprise echtes rebootloses Patching für den gesamten Stack. Es erweitert das Live-Patching über den Kernel hinaus und deckt kritische gemeinsam genutzte Bibliotheken, QEMU/KVM-Hypervisoren und IoT-Geräte ab - für kontinuierliche Sicherheit ohne Neustart oder Ausfallzeiten.

Live-Patching sollte kontinuierliche Sicherheit bieten, aber Canonical setzt ein strenges Zeitlimit. Ubuntu LTS GA-Kernel haben ein gleitendes 13-monatiges Unterstützungsfenster für Livepatch. Wenn ein System innerhalb dieses Zeitraums nicht neu gebootet wurde, müssen Administratoren das neueste Kernel-Update installieren und neu starten, um weiterhin Live-Patches zu erhalten. Dies zwingt Organisationen mit längeren Wartungszyklen dazu, ihre Zeitpläne anzupassen oder zu riskieren, dass sie die Unterstützung für Livepatches verlieren.

Diese Einschränkung untergräbt die Flexibilität, die Live-Patching eigentlich bieten sollte. Anstatt Ausfallzeiten zu vermeiden, wird lediglich die Notwendigkeit von Neustarts hinausgezögert, so dass Administratoren durch den Veröffentlichungszeitplan von Ubuntu eingeschränkt sind.

KernelCare Enterprise hebt diese Einschränkungen auf und bietet Live-Patches ohne erzwungene Neustarttermine. Unternehmen können einen kontinuierlichen Schutz für ihre vorhandenen Kernel aufrechterhalten, frei von künstlichen Zeitlimits und unnötigen Neustarts.

Live-Patching sollte Flexibilität bieten, aber den meisten Lösungen fehlt eine wichtige Funktion: ein Rollback ohne Neustart. In einigen Fällen kann ein Patch in bestimmten Umgebungen unerwartete Auswirkungen haben, wie z. B. die Auswirkungen auf die Leistung, die bei Spectre- und Meltdown-Abschwächungen beobachtet wurden. Wenn alternative Maßnahmen verfügbar sind, müssen Administratoren die Möglichkeit haben, Änderungen nahtlos rückgängig zu machen.

KernelCare Enterprise löst dieses Problem, indem es ein Rollback ermöglicht, ohne dass ein Neustart erforderlich ist, so dass Administratoren die Systemstabilität bei Bedarf schnell wiederherstellen können.

Canonical Livepatch unterstützt jedoch keine rebootlosen Rollbacks. Wenn ein Patch rückgängig gemacht werden muss, sind Administratoren gezwungen, das System neu zu starten, was zu kostspieligen Serviceunterbrechungen führt und die Effektivität des Live-Patchings einschränkt.

Mit einem einzigen Befehl stellt KernelCare Enterprise den vorherigen Zustand ohne Ausfallzeiten wieder her und gibt Administratoren die volle Kontrolle über ihren Patching-Prozess.

Die meisten Live-Kernel-Patching-Lösungen sind auf eine einzige Distribution beschränkt, und Canonical Livepatch ist da keine Ausnahme - es unterstützt nur Ubuntu-Systeme mit neueren Kernel-Versionen. Dies funktioniert, wenn Ihre gesamte Infrastruktur auf den neuesten Ubuntu-Versionen läuft, aber viele Organisationen verlassen sich auf mehrere Distributionen für verschiedene Anwendungsfälle, da einige für bestimmte Arbeitslasten besser geeignet sind. Infolgedessen deckt Livepatch nur einen Teilbereich ab und hinterlässt Lücken in Ihrer Live-Patching-Strategie.

KernelCare Enterprise hingegen beseitigt diese Einschränkungen, indem es eine viel breitere Palette von Distributionen unterstützt. Es bietet Live-Patching für Ubuntu, Debian, RHEL, Oracle Linux, AlmaLinux, Rocky Linux, Amazon Linux und viele mehr - und deckt damit über 60 Linux-Distributionsversionen für Unternehmen und weit über 9.000 Kombinationen von Distributionen und Kernelversionen ab.

Mit KernelCare Enterprise müssen Sie nicht mehr mit mehreren Lösungen jonglieren. Es bietet einen einheitlichen, umfassenden Ansatz für Live-Patching, der kontinuierlichen Schutz für Ihre gesamte Linux-Umgebung gewährleistet.

Canonical Livepatch ist nicht die teuerste Option, aber auch nicht die günstigste - und es kann nicht als eigenständiges Produkt erworben werden. Stattdessen ist es mit einem Ubuntu Pro-Abonnement gebündelt, für das sich die Nutzer über ihr Ubuntu One-Konto anmelden müssen.

Die Preise für Livepatch reichen von 225 bis 3.400 US-Dollar pro Rechner und Jahr, je nach Abonnementstufe. Im Gegensatz dazu kostet KernelCare Enterprise von TuxCare weniger als 50 US-Dollar pro Server und Jahr - und bietet dabei eine breitere Kompatibilität und ein umfassendes Rebootless-Patching über Ubuntu hinaus.

Der Wechsel von Canonical Livepatch zu KernelCare Enterprise ist mühelos. Die Installation erfordert nur ein einziges Befehlszeilenskript - genauso einfach wie die Aktivierung von Livepatch.

Nach der Bereitstellung läuft KernelCare unauffällig im Hintergrund und wendet Sicherheitspatches an, ohne den Betrieb zu unterbrechen.

Für diejenigen, die einen Wechsel in Erwägung ziehen, bietet KernelCare eine 30-tägige kostenlose Testversion mit vollem Funktionsumfang an - so können Sie sich von der ununterbrochenen Sicherheit überzeugen, bevor Sie sich festlegen.

Die Wahl der richtigen rebootlosen Patching-Lösung hängt von Ihren Anforderungen ab. Wenn Ihre Infrastruktur ausschließlich aus Ubuntu-Systemen besteht und Sie bereits Ubuntu Pro abonniert haben, scheint Livepatch eine vernünftige Option zu sein - auch wenn dessen Einschränkungen, wie die eingeschränkte Abdeckung von Schwachstellen und die ausschließliche Konzentration auf Kernel-Patches, berücksichtigt werden sollten.

KernelCare Enterprise ist eine flexible, kostengünstige Lösung für Unternehmen, die Kosten senken, mehrere Linux-Distributionen unterstützen oder die Sicherheit maximieren möchten. Es bietet eine bis zu 100-prozentige Abdeckung von Schwachstellen für vom Hersteller adressierte CVEs und beseitigt damit Sicherheitslücken, die andere Lösungen hinterlassen. Im Gegensatz zu Livepatch wird der Schutz über den Kernel hinaus auf kritische Userspace-Bibliotheken, QEMU/KVM-Hypervisoren und IoT-Geräte ausgeweitet - ohne dass ein Neustart erforderlich ist.

Mit umfassenderem Patching, breiterer Kompatibilität und geringeren Kosten erfüllt KernelCare Enterprise das Kernversprechen des rebootless Patching - Minimierung von Ausfallzeiten, Reduzierung von Sicherheitsrisiken und Vereinfachung des Betriebs.