Puntos clave a tener en cuenta durante los 7 días de KernelCare Enterprise POV

La prueba de valor (POV) es un paso clave en el proceso de compra. Permite a los equipos técnicos probar un producto o servicio para averiguar si es adecuado para su propósito y si se ajusta a las necesidades del equipo. Por este motivo, KernelCare ofrece un periodo gratuito de siete días en el que puede probar KernelCare usted mismo.

No obstante, es un periodo de tiempo limitado y debe aprovecharlo al máximo. En este artículo resumimos algunos de los puntos en los que debe pensar cuando pruebe KernelCare Enterprise en su organización.

¿Por qué KernelCare es tan importante para los equipos técnicos?

Ya sabe lo que hace KernelCare Enterprise (aplicación de parches en directo a equipos basados en Linux), pero ¿por qué es tan necesaria esta tecnología? Recapitulemos.

Los parches son fundamentales. Cada servicio sin parchear presenta una ventana de oportunidad, y con los amplios ataques automatizados de hoy en día todo lo que se necesita es un solo servicio sin parchear y el enemigo entra por la puerta.

A pesar del riesgo que supone la aplicación de parches, sigue existiendo un problema persistente de incoherencia en la aplicación de parches. Un informe reciente de Ponemon sugiere que un asombroso 56% de los encuestados admitió retrasos de más de cinco semanas cuando se trata de parchear vulnerabilidades críticas. Un intervalo de un mes entre la publicación de un parche para una vulnerabilidad y la aplicación de dicho parche es una gran oportunidad para los atacantes.

Entonces, ¿dónde radica el problema?

Parchear cargas de trabajo en ejecución es difícil

Es una combinación de limitaciones prácticas y restricciones de recursos. Generalmente, parchear significa desconectar una máquina. Tradicionalmente, las operaciones de parcheo se realizan utilizando herramientas como apt, dnf o yum (incluso cuando se utiliza otra herramienta de gestión de parches o del ciclo de vida como frontend). Son herramientas excelentes para actualizar versiones en disco de software vulnerable.

Sin embargo, cuando ese software ya se está ejecutando, como ocurre siempre con el núcleo de Linux, los cambios en el disco no se traducen en cambios en el código que se está ejecutando en memoria. Los administradores de sistemas se enfrentan a esta situación reiniciando los sistemas después de aplicar los parches, pero los reinicios resultan molestos y no son compatibles con las actividades empresariales cotidianas. Afecta directamente a la disponibilidad, estabilidad y rendimiento general de los sistemas informáticos, incluso cuando se utilizan en escenarios de alta disponibilidad.

Esta restricción práctica obstaculiza la aplicación de parches, pero también lo hacen las restricciones de recursos. Cualquiera podría llevar a cabo una operación informática hermética si dispusiera de recursos ilimitados, pero las organizaciones no pueden permitirse ese lujo.

Por eso, uno de los puntos clave de KernelCare Enterprise POV es mostrarle lo fácil que es pasar de una rutina de aplicación de parches poco práctica y lenta a una rutina de aplicación de parches hermética, y hacerlo sin consumir recursos adicionales del equipo técnico.

De hecho, la aplicación de parches en vivo con KernelCare Enterprise proporciona lo que es efectivamente la ventana de riesgo más corta posible, dándole la capacidad de parchear inmediatamente tan pronto como el parche esté disponible, lo que a su vez reduce la exposición del vector de ataque al mínimo absoluto.

Con KernelCare Enterprise, que cambia el código vulnerable por código seguro en sólo microsegundos, tampoco se verá afectado el rendimiento de su sistema.

Ventajas de KernelCare Enterprise

KernelCare Enterprise no es, por supuesto, el primer intento de aplicar parches al kernel en vivo. Pero mientras que realizar un POV de KernelCare Enterprise demuestra rápidamente ese valor, no ocurre lo mismo con otras soluciones, por una serie de razones. El principal problema de las alternativas es su alcance: la mayoría de las opciones alternativas se limitan a un único sistema operativo Linux.

Por ejemplo, Livepatch es un servicio de Ubuntu que sólo soporta cargas de trabajo basadas en Ubuntu. A su vez, SUSE tiene kgraft, RedHat tiene Kpatch, y así sucesivamente. En el caso de uso común en el que se ejecuta una variedad de versiones del sistema operativo Linux para apoyar sus soluciones se crea un problema en el que necesita para gestionar muchos servicios diferentes de parches en vivo. Esto crea problemas técnicos con el soporte de diferentes aplicaciones, así como la sobrecarga administrativa de múltiples contratos de soporte para el mismo propósito.

Cuando ejecute su proyecto POV de KernelCare Enterprise, también merece la pena comprobar su estabilidad en comparación con otras soluciones. En contraste con algunas soluciones que esencialmente no están listas para la producción, KernelCare Enterprise es una plataforma estable y probada que ha entregado parches de calidad de forma consistente durante años.

Un buen punto de partida para el POV es, en un entorno de laboratorio, desplegar una versión antigua de su distribución Linux favorita. Es importante tener en cuenta que, si despliegas una versión actualizada de esa distribución, no podrás ver cómo KernelCare Enterprise despliega parches, ya que no habrá ninguno que desplegar. Podría, si opta por una distribución reciente, degradar los paquetes glibc y openssl. Se trata de componentes críticos del sistema también cubiertos por KernelCare Enterprise, que son objetivos principales para los actores maliciosos y tienen un gran número de vulnerabilidades y parches disponibles.

Mayor flexibilidad y control de la aplicación de parches en directo

Las herramientas de live patching que hemos mencionado también tienen una flexibilidad limitada, que es otra ventaja clave de KernelCare Enterprise. Por poner un ejemplo sencillo, las operaciones de aplicación de parches en vivo de KernelCare Enteprise son reversibles. Si en algún momento necesita eliminar un parche aplicado, puede hacerlo y volver al parche anterior. Este proceso también es totalmente auditable.

Esta flexibilidad inherente a KernelCare Enterprise es posible gracias a la forma en que se crean los parches. Cuando se crea un parche, incluirá todos los parches aplicados hasta el momento para esa versión del núcleo. Así se evita la situación de tener parches sobre parches que hacen casi imposible volver a un estado anterior. Por esa razón, otras soluciones de parcheado en vivo sólo pueden arreglar los fallos más simples, mientras que KernelCare Enterprise puede, y lo ha hecho, parchear incluso vulnerabilidades MDS como Zombieload.

Por último, el hecho de que la aplicación de parches esté totalmente automatizada y se realice sin necesidad de reinicios significa que los equipos responsables de la aplicación de parches tienen un control mucho más estricto sobre el ritmo al que se aplican los parches. Al ejecutar un POV de KernelCare Enterprise, ésta es probablemente una de las primeras cosas que notará de KernelCare: ahorra mucho tiempo a su equipo.

Este es un punto muy importante a tener en cuenta. Cuando se anuncia una vulnerabilidad crítica que afecta a uno (o más) de sus sistemas, hay un reloj que empieza a correr, contando el tiempo que tardan en aparecer los exploits y los actores maliciosos en empezar a sondear la vulnerabilidad.

Con el tiempo, sus sistemas serán atacados. Si en ese momento todavía no ha aplicado el parche, su sistema puede ser pirateado. Esto plantea un problema: ¿cómo desactivar un sistema para aplicar el parche cuando es crítico para el negocio? KernelCare Enterprise convierte esta situación en algo sencillo: una vez que el parche está disponible, se aplica inmediatamente sin interrupción alguna. Usted controla cuándo desea aplicar el parche -o hacerlo automáticamente- en lugar de verse forzado a una situación en la que va a interrumpir las actividades empresariales y aún así no responde dentro de un plazo razonable.

Solución totalmente gestionada

KernelCare es compatible con muchas de las herramientas de gestión existentes que ya puede estar utilizando en su infraestructura. Por ejemplo, en su proyecto POV, puede probar cómo cuando un escáner de vulnerabilidades tradicional marca un sistema por ejecutar un kernel desactualizado, KernelCare Enterprise puede proporcionar un mecanismo para comprobar la versión en ejecución, en lugar de la versión del archivo en disco. Herramientas como Nessus, Qualys y otras son compatibles, y las instrucciones pueden traducirse fácilmente a otras herramientas.

Esto es especialmente importante en situaciones de cumplimiento en las que se desea disponer de informes que indiquen que los sistemas están efectivamente parcheados. Cuando una herramienta de supervisión no es consciente, o no está integrada, con una herramienta de aplicación de parches en tiempo real, pueden darse situaciones en las que los sistemas se marquen erróneamente como aún vulnerables, obligándole a revisar los informes y corregirlos manualmente, algo que los auditores de cumplimiento notarán y cuestionarán rápidamente.

Donde no quiera intervenir, puede hacerlo, porque KernelCare también se despliega fácilmente mediante mecanismos de automatización. Puede instalar el agente con un solo comando y añadir KernelCare a las plantillas del sistema al preparar las implantaciones es muy sencillo. Esta sencillez se traslada a las implantaciones a gran escala en entornos existentes y en funcionamiento. Por supuesto, puede probar el despliegue a gran escala durante POV desplegando en un entorno de laboratorio.

Cuando disponga de una gran flota de servidores no accesibles al público, o simplemente desee un control más preciso sobre qué sistemas reciben qué parches, KernelCare Enterprise también proporciona un panel de control centralizado denominado ePortal, que actúa como puerta de enlace entre sus sistemas privados y la fuente de parches. Sus sistemas nunca tendrán que estar expuestos al mundo exterior mientras siguen recibiendo los últimos parches, lo que le proporciona una visión general del estado de todos los sistemas protegidos por KernelCare Enterprise.

Totalmente automatizado, flexible y ampliamente compatible

KernelCare soporta más de 4000 combinaciones de distribuciones y versiones de kernel como ventaja añadida. Esto está muy por delante de otras alternativas y aún más en comparación con los proveedores de distribución única que tienen alguna forma de parcheo en vivo.

Disponer de varias distribuciones en un entorno empresarial es algo habitual, por lo que KernelCare realmente facilita mucho la vida a los equipos de parcheo de las empresas, que ahora disponen de una única herramienta que puede mantener los núcleos Linux continuamente actualizados de forma flexible.

Estamos seguros de que el periodo de prueba de valor de 7 días le dará una buena oportunidad de conocer las distintas ventajas de KernelCare y ver cómo funciona para su organización. Puede inscribirse aquí. Si desea ayuda para configurar su escenario de prueba, háganoslo saber, estaremos encantados de ayudarle.