Vergleich von KernelCare Enterprise
mit Oracle Ksplice

Rebootloses "Live-Patching" ist wichtig, weil es die Notwendigkeit beseitigt, einen laufenden Kernel neu zu starten, um einen Sicherheitspatch anzuwenden. Es minimiert den Bedarf an Wartungsfenstern und verringert den Druck auf die IT-Teams, was es viel einfacher macht, ein wasserdichtes Patching-System aufrechtzuerhalten.

Es ist keine Überraschung, dass Live-Patching-Tools schnell zur besten Praxis für die Anwendung von Sicherheits-Patches zur Schließung von Sicherheitslücken wurden, und es gibt jetzt einige konkurrierende Tools auf dem Markt.

Viele Unternehmen implementieren jedoch kein Live-Patching, weil Live-Patching-Tools in der Regel nur einen bestimmten Teil der Live-Patching-Anforderungen abdecken - und weil diese Tools oft mit einem hohen Preis verbunden sind.

Das ist bei Ksplice der Fall. Ksplice ist zwar ein Live-Patching-Tool für Unternehmen, das für bestimmte Anwendungsfälle perfekt geeignet ist, aber es hat auch seine Nachteile, insbesondere den hohen Preis und die begrenzte Unterstützung für Linux-Distributionen.

Ksplice Inc. war neben KernelCare einer der Pioniere der rebootlosen "Live-Patching"-Dienste für den Linux-Kernel. Ksplice ist die Abkürzung für Kernel Splicing. Der Dienst wurde von vier MIT-Studenten im Jahr 2009 ins Leben gerufen. Wie andere Live-Patching-Lösungen für Linux-Kernel, z. B. Red Hat Enterprise Linux, vollbrachte der ursprüngliche Ksplice Uptrack seine Magie, indem er aktualisierten Kernel-Code mit den neuesten Patches austauschte, ohne dass die gesamte Betriebssysteminstanz neu gestartet werden musste, um den Patch anzuwenden.

Im Jahr 2011 erlebte Ksplice einen bedeutenden Richtungswechsel, als es von Oracle übernommen wurde und das Unternehmen beabsichtigte, es neben seinem eigenen Unbreakable Linux-Kernel zu verwenden - einem wichtigen Konkurrenten für das etablierte Red Hat Enterprise Linux (RHEL). Dies hatte erhebliche Auswirkungen auf die Ausrichtung von Ksplice Inc. und band das Unternehmen im Wesentlichen an die Linux Premier Support-Kunden von Oracle und damit auch an die Supportpreise von Oracle.

Grundsätzlich ist Ksplice als Live-Patching-Service und zur Minimierung von Sicherheitslücken großartig. Seit den Tagen von Ksplice Uptrack hat Ksplice eine lange, bewährte Geschichte bei der Bereitstellung zuverlässiger Live-Patches für den Linux-Kernel. Wie bereits erwähnt, ist die Verfügbarkeit von Ksplice jedoch auf bestehende Kunden der Premium-Support-Pläne von Oracle beschränkt und auf Oracle Linux-, Red Hat- und Ubuntu-Systeme beschränkt. Außerdem müssen Kunden, die Red Hat Enterprise Linux einsetzen, zu einem von Oracle bereitgestellten Red Hat Compatible Kernel (RHCK) wechseln und das System neu starten, bevor sie Ksplice-Patches anwenden können, was eine erhebliche Einschränkung darstellt.

Dieser Service eignet sich gut für diejenigen, die Oracle Linux mit Premier Support verwenden. Wenn Sie jedoch mit einer Mischung aus anderen Distributionen wie CentOS, Debian, AlmaLinux und anderen arbeiten und nicht bereit sind, für teuren Support zu zahlen, sind Sie besser beraten, wenn Sie Kernel-Live-Patching über KernelCare Enterprise durchführen, das alle diese und viele weitere Distributionen unterstützt.

KSplice-Kernel-Patching ist ausschließlich mit einem Oracle Linux Premier Support-Abonnement verfügbar. Der hohe Abonnementpreis pro Maschine kann KSplice für einige Arten von Arbeitslasten ausschließen. Andererseits ist KSplice in einem Oracle Linux Premier-Abonnement enthalten, wenn Sie aufgrund Ihrer Anforderungen ohnehin dafür zahlen müssen. Es ist jedoch wichtig zu beachten, dass dies nicht für andere Linux-basierte Systeme gilt, die Sie möglicherweise verwenden.

KernelCare hingegen bietet einen erschwinglichen Preis von weniger als 60 US-Dollar pro Jahr und System, was nur einen Bruchteil der Kosten von 1.399 US-Dollar pro Jahr für den Oracle Linux Premier Support darstellt. Es bindet Sie nicht an einen teuren Supportvertrag, den Sie nicht benötigen, und Sie können sich für eine günstige monatliche Gebühr entscheiden.

Die Abdeckung von Schwachstellen ist ebenfalls ein entscheidender Faktor, wenn wir die weiterreichenden Auswirkungen der Entscheidung zwischen Ksplice und KernelCare Enterprise bewerten. Ksplice ist so konzipiert, dass nur hohe und kritische CVEs (Common Vulnerabilities and Exposures) abgedeckt werden, die natürlich oberste Priorität haben. Oracle passt jedoch manchmal die von der National Vulnerability Database gelieferten Schweregrade nach seinen eigenen Kriterien an. Das bedeutet, dass Ksplice einige Schwachstellen übersehen könnte, die nach anderen Standards als hoch und kritisch eingestuft werden, aber je nach Ihrer spezifischen Einrichtung oder Ihren Sicherheitsanforderungen dennoch ein erhebliches Risiko darstellen könnten.

Im Gegensatz dazu bietet KernelCare Live-Patches für alle Sicherheitslücken, die die Hersteller mit herkömmlichen Patches geschlossen haben. Es deckt auch jene Schwachstellen ab, die von den Herstellern nicht gepatcht wurden, die aber dennoch signifikant sind und zahlreiche Systeme betreffen oder bekanntermaßen in freier Wildbahn ausgenutzt werden.

Unternehmen, die ihre Systeme unter Oracle Linux betreiben und den Premier Support von Oracle abonniert haben, können weiterhin vom Live-Patching mit Ksplice profitieren. Für andere sind die größere Reichweite, die breitere Abdeckung von Schwachstellen und der deutlich niedrigere Preis von KernelCare Enterprise wahrscheinlich attraktiver.

Wenn Sie derzeit den Ksplice-Client verwenden, können Sie problemlos auf die KernelCare Enterprise-Lösung umsteigen; führen Sie einfach ein Skript auf dem System aus, und schon sind Sie fertig. Es ist nicht schwieriger, als die Installation von Uptrack früher war. KernelCare Enterprise kümmert sich dann um das Live-Patching des Kernels und vieler anderer Dienste auf diesem Rechner.

Wenn Sie immer noch unsicher sind, warum probieren Sie es nicht einfach aus? KernelCare ist als 30-Tage-Testversion erhältlich, mit vollem Funktionsumfang und ohne Kaufverpflichtung.