Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Live-Linux-Kernel-Patching verändert SecOps, aber ist Kpatch von Red Hat die beste Wahl für Ihre Workloads?
Sie haben Probleme mit Wartungsfenstern und machen sich Sorgen über unvollkommene Patching-Mechanismen und die Auswirkungen auf Ihre Red Hat-Sicherheitsabläufe? Live-Linux-Kernel-Patching, auch bekannt als Hot-Patching, ist die Antwort auf beide Herausforderungen - aber nicht jedes Live-Kernel-Patching-Tool ist gleich aufgebaut.
Die meisten Anbieter von Unternehmens-Linux haben Live-Patching-Tools auf den Markt gebracht - darunter auch das Tool von Red Hat für Red Hat Enterprise Linux (RHEL) namens Kpatch. Die Einführung von Live-Patching gehört heute zu den besten Praktiken im Bereich der Cybersicherheit, und die Verwendung des besten Tools für Ihre Bedürfnisse ist entscheidend.
Kpatch wendet Änderungen am Kernel an, während dieser läuft, und entschärft damit die Herausforderungen im Zusammenhang mit Wartungsfenstern. Es unterstützt Red Hat-basierte Server-Workloads seit der frühesten Version von Kpatch im Jahr 2014, hat aber seine Vor- und Nachteile. Werfen wir einen Blick darauf.
Inhalt Tabelle
- Einführung von Kpatch, dem dynamischen Kernel-Patching
- Unterschied zwischen temporärem und dauerhaftem Linux-Kernel-Patching
- Unterstützte Linux-Kernel
- Wie sieht es mit den Kosten aus?
- Schnellvergleichstabelle
- Umstellung vom Dienstprogramm Kpatch auf KernelCare
- Die Wahl zwischen Kpatch und KernelCare
Einführung von Kpatch, dem dynamischen Kernel-Patching
Die Entscheidung von Red Hat, Kpatch in die Linux-Kernel-Hauptlinie aufzunehmen, kam ein wenig spät, da es nach KSplice - dem MIT-Projekt - und nach KernelCare, entwickelt vom CloudLinux-Team, entwickelt wurde. Wie seine Kollegen führt Kpatch ein Live-Patching durch, indem es eine Ersatzfunktion, die eine gepatchte Version des Kernel-Codes enthält, im laufenden Betrieb austauscht.
Mit anderen Worten: Kpatch ermöglicht es Ihnen, Sicherheits-Patches auf Ihre Red Hat-basierten Workloads anzuwenden, ohne den Server nach dem Patching sofort neu starten zu müssen. Das Tool wurde von Red Hat intern entwickelt und ähnelte anfangs kGraft, einem Tool, das vom Team von SUSE Linux entwickelt wurde. Da kGraft eng mit Kpatch verwandt ist, beschlossen die beiden Unternehmen, zusammenzuarbeiten und ihre Bemühungen zu vereinheitlichen.
Unterschied zwischen temporärem und dauerhaftem Linux-Kernel-Patching
Hier ist ein wichtiger Punkt, den Sie über das dynamische Kernel-Patching von Kpatch verstehen sollten. Beim Live-Patching oder, wie es früher hieß, beim dynamischen Kernel-Patching, gibt es zwei Wege: temporäres Patching und persistentes Patching. Kpatch setzt auf temporäres Live-Patching, was genau das ist, was es aussagt: ein temporärer Weg, um kritische Patches auf einem laufenden Workload ohne Neustart zu installieren.
Temporäre Patches sind jedoch nicht vollständig integriert, und wenn man sich auf permanente temporäre Patches verlässt, verschlechtert sich schließlich die Leistung - bis ein Neustart des laufenden Kernels durchgeführt wird. Ja, es hilft, die Herausforderungen im Zusammenhang mit Patches zu mildern, aber temporäre Patches für Kernel-Module sind keine perfekte Lösung.
Ein besserer Weg zum Patching ist das persistente Patching, bei dem jeder Kernel-Live-Patch eine kumulative Korrektur in einer Binärdatei enthält. Die Patch-Module werden nicht übereinander angewendet, es gibt keine Leistungseinbußen und es sind keine Systemneustarts erforderlich. Und wenn es um das Patchen geht, kann man argumentieren, dass die Beseitigung der Neustarts, die für die Aktualisierung der Kernelversion erforderlich sind, wirklich das Hauptziel ist.
Unterstützte Linux-Kernel
Kpatch ist eine Option für jeden, der Red Hat Enterprise Linux (RHEL) einsetzt. Schließlich wird es von Red Hat-Entwicklern entwickelt und gepflegt. Wer jedoch RHEL 6 oder bestimmte Versionen von RHEL 7 einsetzt, wird von Kpatch nicht für Hot Patches abgedeckt. Nur RHEL 8, 7.7 und 7.6 werden unterstützt. Einige Nicht-RHEL-Linux-Distributionen werden ebenfalls unterstützt, darunter bestimmte Versionen von Ubuntu, Debian und Gentoo.
Wenn Sie eine Version von RHEL, Ubuntu oder Debian verwenden, die nicht von Kpatch unterstützt wird, oder eine andere Linux-Distribution wie CentOS oder Amazon Linux, müssen Sie sich für Live-Patching-Unterstützung an KernelCare wenden.
Wie sieht es mit den Kosten aus?
Übrigens: Wenn Sie sich für KernelCare Enterprise entscheiden, können Sie mit einem budgetfreundlichen Preis von weniger als 60 US-Dollar pro Server und Jahr rechnen. Mit kontinuierlichem Patching und Unterstützung für eine breite Palette von Linux-Distributionen bietet KernelCare auch einen vergleichsweise umfangreichen Funktionsumfang.
Die Kosten für die Implementierung von Kpatch sind deutlich höher, es sei denn, Sie haben bereits einen RHEL-Supportplan abgeschlossen. Das liegt daran, dass Kpatch nur für Red Hat-Kunden mit einem Premium-Support-Plan verfügbar ist, und der kostet 1.299 US-Dollar pro Jahr und Maschine.
Vergleichstabelle
| Red Hat Enterprise Linux | KernelCare Enterprise mit LibCare-Zusatzmodul | |
|---|---|---|
| Unterstützte Distributionen | Red Hat Enterprise Linux | Red Hat Enterprise Linux 6, 7, 8 und 9, sowie Ubuntu, Oracle, AlmaLinux und viele andere |
| Architekturen | x86-64 | x86-64, arm64 |
| Erfassungsbereich | Linux-Kernel | Linux-Kernel und kritischer Userspace (glibc und openssl) |
| Schwachstellen gepatcht | Teilmenge von Hoch & Kritisch | Alle |
| Lebensdauer des Kernel-Patchings | 6 Monate | Praktisch unbegrenzt |
| Individuelle Aufnäher | Ja | Ja |
| QEMU-Patching | Nein | Ja |
| Datenbank-Patching | Nein | Ja |
| 24/7 Unterstützung | Nein, 24×7 für Fälle der Schweregrade 1 und 2, ansonsten normale Geschäftszeiten (für Premium-Abonnenten) | Ja, online, 24/7/365 mit unterschiedlichen Prioritäten für verschiedene Abonnements |
| Patchset-Verteilung | Kein Vertriebskanal, Patches sind separat | Ein einziges Patchset für alle Patches |
| API verfügbar | Nein | Ja |
| Roll-back-Funktionalität | Ja | Ja, ohne Neustart |
| Verfügbar für neue Kunden | Nur für RHEL | Ja, mehr als 40 Distributionen werden unterstützt |
| Art des Flickens | Vorübergehend | Persistent |
| Add-ons | - | Benutzerdefinierte Patches, QEMU, Datenbank-Patching |
| Kosten | Gebündelt mit einem RedHat-Abonnement für 349 US-Dollar pro Jahr und CPU-Sockel. | 59,50 $ pro Jahr, pro System. Verschiedene Add-ons können in das Abonnement aufgenommen werden. Großabnehmerpreise sind verfügbar. |
Möchten Sie mehr über die Umstellung auf KernelCare erfahren?
Umstellung vom Dienstprogramm Kpatch auf KernelCare
Der Wechsel vom Live-Kernel-Patching-Mechanismus Kpatch zu KernelCare Enterprise ist ganz einfach. Es ist lediglich ein einfaches Schnellstartskript zur Installation von KernelCare erforderlich, und Ihre Linux-Systeme kommen in den Genuss eines kontinuierlichen, permanenten Patchings auf der ganzen Linie.
Die Installation von KernelCare Enterprise unterbricht Ihre bestehenden Arbeitsabläufe nicht und Sie behalten die ursprünglichen Funktionen von Kpatch bei. Doch KernelCare leistet noch viel mehr, indem es Unterbrechungen dank permanenter Patches auf ein Minimum reduziert, was bedeutet, dass Sie nie einen Neustart durchführen müssen.
Die Wahl zwischen Kpatch und KernelCare
Wenn Sie Premium-Support-Kunde von Red Hat sind und ausschließlich RHEL auf Ihren Servern verwenden, und wenn temporäre Kernel-Patches nicht zu übermäßigem Ressourcenverbrauch oder Ausfallzeiten führen, sollten Sie Kpatch in Betracht ziehen, da es bereits in Ihrem Vertrag mit Red Hat enthalten ist.
Unternehmen, die eine Mischung aus verschiedenen Linux-Distributionen einsetzen oder die nicht all den zusätzlichen Schnickschnack benötigen, der in einem Red Hat-Supportvertrag enthalten ist, sollten KernelCare als eines der alternativen Tools zu Kpatch ernsthaft in Betracht ziehen, da KernelCare Enterprise kostengünstiger ist und über einen größeren Funktionsumfang verfügt. Wenn Sie sich, wie viele Unternehmen, die Neustarts nicht leisten können, die die temporäre Live-Patching-Methode von Kpatch mit sich bringt, dann ist KernelCare die beste Option für Sie.
Sprechen Sie mit einem TuxCare-Experten
Nennen Sie uns Ihre Herausforderungen und unsere Experten helfen Ihnen, den besten Ansatz zu finden, um sie mit der TuxCare-Produktlinie zu lösen.