ClickCease Vergleich zwischen KernelCare Enterprise und Canonical Livepatch

Vergleich zwischen KernelCare Enterprise und Canonical Livepatch

Canonical leistet solide Arbeit beim Live-Patching, aber ist es die relativ hohen Gebühren wert? Und was ist mit Ihren anderen Linux-Distributionen?

Live-Patching ist die beste Methode zur Installation von Sicherheitsupdates für Ihre Linux-Systeme. Mit Live-Patching können Sie die neuesten Sicherheitskorrekturen für Kernel-Schwachstellen einspielen, ohne das System neu starten zu müssen, um den Patch anzuwenden. Das bedeutet, dass Sie kein Wartungsfenster einplanen müssen und dass Ihre Systeme durchgängig sicher bleiben.

Aus diesem Grund hat Canonical, genau wie andere große Linux-Anbieter, beschlossen, ein Live-Patching-Tool für Ubuntu zu entwickeln, das Livepatch heißt. Livepatch hat jedoch zwei entscheidende Schwachstellen in seiner Funktionsweise - und es ist eine relativ teure Option.

Als Alternative könnten Sie über KernelCare Enterprise von TuxCare nachdenken. Schauen wir uns die Unterschiede zwischen den beiden Tools einmal genauer an.

Inhalte:

  1. Was ist Canonical Livepatch?
  2. Kernel-Patching-Lebensdauer
  3. Abdeckung von Schwachstellen
  4. Rollback-Funktionalität
  5. Unterstützte Linux-Kernel
  6. Kostenvergleich zwischen Canonical Livepatch und KernelCare
  7. Umstellung von Canonical Livepatch auf KernelCare
  8. Schlussfolgerung

Was ist Canonical Livepatch?

Live-Patches für den Linux-Kernel gibt es schon seit über zehn Jahren. Die erste praktikable Lösung wurde 2009 am MIT entwickelt. Sie wurde KSplice genannt. Das Team von CloudLinux folgte schnell mit KernelCare, das jetzt von TuxCare angeboten wird, und viele große Linux-Anbieter haben ebenfalls Live-Patching-Tools entwickelt. Für Ubuntu-Benutzer gibt es neben KernelCare Enterprise von TuxCare auch das Livepatch von Canonical, das Sicherheitsupdates bereitstellt.

Für alle Livepatching-Tools gilt im Wesentlichen die gleiche Prämisse, auch wenn der Unterschied zwischen temporärem und dauerhaftem Patching von Bedeutung ist; darauf gehen wir im nächsten Abschnitt ein. Das Livepatch-Tool nimmt einen laufenden Linux-Kernel und ersetzt den betroffenen Code im laufenden Betrieb - in einem Moment gibt es eine Kernel-Schwachstelle, im nächsten Moment wird sicherer Code ausgeführt, und es ist kein Neustart erforderlich.

Wenn Sie Ihr Livepatch-Token besorgen und das Snap-Paket dafür bereitstellen, bedeutet dies, dass Ihr Systemadministrator-Team kein Wartungsfenster einplanen und auf eine Ausfallzeit warten muss, bevor es einen Patch aufspielen kann. Patches werden konsistent und ohne Verzögerung angewendet, was bedeutet, dass es ein kleineres Zeitfenster gibt, in dem Systeme anfällig sind.

Kernel-Patching-Lebensdauer

Canonical hat ein gleitendes Support-Fenster von 13 Monaten für jede Versionsrevision der GA-Kernel aller Ubuntu LTS-Versionen. Wenn Sie Ihr System in den letzten 13 Monaten nicht neu gestartet haben und Livepatch weiterhin verwenden möchten, müssen Sie das neueste Kernel-Update installieren und dann neu starten. Dadurch werden Sie auf eine neue Revision derselben Kernelversion gebracht. Dadurch wird auch die Uhr für weitere 13 Monate Livepatch-Unterstützung für diese Version neu gestartet. Wenn Ihre Wartungsfenster länger als 13 Monate sind, müssen Sie sie anpassen, um sicherzustellen, dass Sie weiterhin Livepatches für diese bestimmte Kernelversion erhalten.

KernelCare Enterprise bietet Live-Patches mit einem praktisch unbegrenzten Zeitrahmen - tatsächlich gibt es keine Beschränkung bezüglich der Zeit zwischen den Neustarts. So genießen Sie kontinuierlichen Schutz für Ihre bestehenden Kernel, ohne bei der Planung Ihrer Wartungsfenster an den Veröffentlichungszeitplan von Ubuntu gebunden zu sein.

Abdeckung von Schwachstellen

Canonical verwendet keine gängigen externen Bewertungssysteme (z. B. CVSS-Scoring) und ordnet CVE-Schweregrade auf der Grundlage seiner eigenen Qualifikationen zu. Daher kann Livepatch, das Patches für CVEs mit hohem und kritischem Schweregrad bereitstellt, nur eine Teilmenge dieser Schwachstellen gemäß den üblicherweise verwendeten externen Bewertungssystemen abdecken.

Gleichzeitig behandelt Livepatch keine Sicherheitsbehebungen mit niedrigerer Priorität, die für Ihre speziellen Umstände wichtig sein können. Dies kann wichtig sein, da eine Kernel-Schwachstelle mittleren Schweregrades je nach Anwendungsfall, Art der betroffenen Systeme und den potenziellen Auswirkungen auf die Umgebung unterschiedliche Auswirkungen haben kann. Beispielsweise könnte eine solche Schwachstelle, die Systeme betrifft, die direkt dem Internet ausgesetzt sind, als dringlicher angesehen werden als die gleiche Schwachstelle, die in isolierten internen Netzwerken auftritt.

KernelCare Enterprise liefert Live-Patches für jede Sicherheitslücke, die der Hersteller behebt und die eine Bedrohung für die Ausnutzung darstellt. Es bietet sogar Live-Patches für Schwachstellen, die der Hersteller nicht adressiert, die aber dennoch eine große Anzahl von Systemen betreffen oder von denen bekannt ist, dass sie in freier Wildbahn aktiv ausgenutzt werden 1.

Rollback-Funktionalität

Sollte sich ein Systemadministrator aus irgendeinem Grund dafür entscheiden, ermöglicht KernelCare Enterprise die Rücknahme jedes Patches - ein Prozess, der auch keinen Neustart erfordert. Dies kann besonders in Situationen nützlich sein, in denen der Patch erhebliche negative Auswirkungen auf die Systemleistung hat (z. B. Spectre/Meltdown-Fixes ) und andere Abhilfemaßnahmen zur Verfügung stehen. Canonical hingegen unterstützt keine Rollback-Funktion ohne Neustart. Dies kann zu kostspieligen Serviceunterbrechungen führen, wodurch der Hauptvorteil des Live-Patchings beeinträchtigt wird.

Wenn ein Patch nicht wie erwartet funktioniert, ist es gut zu wissen, dass Sie bei Bedarf einfach zu einem älteren Kernel zurückkehren können. Mit KernelCare Enterprise können Sie jederzeit alle angewendeten Änderungen zurücksetzen, indem Sie einen speziellen Befehl ausführen, der keinen Neustart des Systems erfordert - so wird die Unterbrechung eines potenziellen Rollbacks vermieden, was Livepatch nicht bieten kann.

Unterstützte Linux-Kernel

Die meisten verwalteten Live-Kernel-Patching-Tools funktionieren nur für eine bestimmte Linux-Distribution, und das ist auch bei Canonical Ubuntu Livepatch der Fall, das nur Ubuntu-Systeme und nur Kernel 4.4 und neuer unterstützt. Das ist in Ordnung, wenn Ihr gesamtes Arbeitspensum auf den neuesten Ubuntu-Distributionen basiert - aber es deckt Sie nicht für andere Linux-Distributionen ab. Da einige Linux-Distributionen für bestimmte Szenarien besser geeignet sind, ist es üblich, dass in einer Organisation mehrere Distributionen eingesetzt werden, die unterschiedliche Aufgaben erfüllen. Daher würde Livepatch Ihren Bedarf an Live-Patching nur teilweise abdecken.

KernelCare Enterprise hingegen unterstützt eine viel breitere Palette von Distributionen, einschließlich Kernel-Live-Patching für RHEL, Debian, Oracle Linux, AlmaLinux, Amazon Linux usw. (tatsächlich deckt es über 40 verschiedene Versionen von Enterprise-Linux-Distributionen und weit über 4000 Kombinationen von Distributionen und Kernel-Versionen ab). Es handelt sich um eine Lösung aus einer Hand, d. h. Sie müssen nicht mehrere Live-Patching-Lösungen einsetzen, um alle Ihre Linux-basierten Systeme abzudecken.

Kostenvergleich zwischen Canonical Livepatch und KernelCare

Ubuntu Livepatch von Canonical ist nicht die teuerste Live-Patching-Lösung für kritische Kernel-Patches, aber auch nicht die billigste. Livepatch ist nicht als separates Produkt erhältlich, sondern nur als Teil eines Ubuntu Pro-Abonnements, für das sich Benutzer mit ihrem Ubuntu One-Konto anmelden.

Die Preise beginnen bei 225 US-Dollar pro Rechner und Jahr und reichen bis zu 3.400 US-Dollar pro Rechner und Jahr. TuxCare's KernelCare Enterprise kostet weniger als 60 $ pro Server und Jahr.

Canonical Ubuntu Livepatch KernelCare Enterprise Live-Patching
Unterstützte Distributionen Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04 Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04, sowie Red Hat, Oracle, AlmaLinux und viele andere
Architekturen x86-64 x86-64, arm64
Erfassungsbereich Linux-Kernel Linux-Kernel und kritischer Userspace (glibc und openssl)
Schwachstellen gepatcht Teilmenge von Hoch & Kritisch Alle
Lebensdauer des Kernel-Patchings 13 Monate Praktisch unbegrenzt
Benutzerdefinierte Patches Nein Ja (kontaktieren Sie uns für spezielle Versionen oder Konfigurationen)
QEMU-Patching Nein Ja
Datenbank-Patching Nein Ja
24/7 Support Ja, mit einem kostenpflichtigen Abonnement Ja, online, 24/7/365 mit unterschiedlichen Prioritäten für verschiedene Abonnements
Patchset-Distribution Ein einziges Patchset für alle Patches Ein einziges Patchset für alle Patches
API verfügbar? Ja Ja
Roll-back-Funktionalität Ja, mit einem Neustart Ja, ohne Neustart
Verfügbar für neue Kunden? Nur Ubuntu-Kunden Ja, und mehr als 60 Distro-Versionen werden unterstützt
Art des Patchings Persistent Persistent
Add-ons - Benutzerdefinierte Patches, QEMU, Datenbank-Patching
Kosten für Live-Patching In allen Ubuntu Pro-Paketen enthalten ($225-$3.400/Maschine/Jahr). 49,50 $ pro Jahr, pro System. Verschiedene Add-ons können in das Abonnement aufgenommen werden. Großabnehmerpreise sind verfügbar.

Möchten Sie mehr über die Umstellung auf KernelCare erfahren?

Mit einem Experten sprechen

Umstellung von Canonical Livepatch auf KernelCare

Wenn Sie bereits Livepatch verwenden, können Sie mühelos zu KernelCare wechseln und so alle Ihre Linux-Distributionen unter eine einzige Live-Patching-Verantwortung stellen. Die Installation von KernelCare ist einfach: Sie müssen nur ein kurzes Skript auf der Befehlszeilenoberfläche ausführen - nicht schwieriger als die Aktivierung von Canonical Livepatch.

Genau wie bei der Installation des Livepatch-Tools läuft KernelCare einfach im Hintergrund und unterbricht Ihren Betrieb nicht. Dank der beständigen Patching-Methode von KernelCare reicht ein einziges Skript aus, um patchenbedingte Neustarts praktisch zu eliminieren - im Gegensatz zum Livepatch-Dienst unter Ubuntu, der gelegentliche Neustarts erfordert.

Schlussfolgerung

Wenn Sie nur Ubuntu-Systeme betreiben, kommt es wirklich auf die Kosten an und darauf, ob Sie in der Lage sind, ständige Unterbrechungen aufgrund von Neustarts in Kauf zu nehmen, um wichtige Kernel-Patches zu integrieren. Sie verwenden nur Ubuntu und müssen sowieso Ubuntu Pro abonnieren? Dann kann das Livepatch-Kernel-Live-Patching eine sinnvolle Option sein - je nachdem, wie störend das temporäre Patching-System von Livepatch ist.

Wenn Sie jedoch nicht den ganzen Schnickschnack eines Ubuntu Pro-Abonnements benötigen, können Sie mit KernelCare erhebliche Einsparungen erzielen. Sie verwenden eine Vielzahl von Linux-Distributionen - und nicht nur Ubuntu? Livepatch deckt Ihre Nicht-Ubuntu-Maschinen nicht ab, und Sie können Livepatch nicht dazu zwingen, z. B. auf RHEL zu funktionieren. Sie sollten KernelCare auch in Betracht ziehen, wenn die Livepatch-Anforderungen für gelegentliche Neustarts Probleme mit Ihren Arbeitslasten verursachen und wenn Sie Ausfallzeiten reduzieren müssen.

1 Gemäß dem KAG-Katalog https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Sprechen Sie mit einem TuxCare-Experten

Nennen Sie uns Ihre Herausforderungen und unsere Experten helfen Ihnen, den besten Ansatz zu finden, um sie mit der TuxCare-Produktlinie zu lösen.

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter