Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Guía definitiva para la gestión de parches en Linux
Joao Correia
20 de enero de 2023 - Evangelista técnico
Los administradores de sistemas que trabajan en entornos empresariales saben que la aplicación de parches es prácticamente un trabajo a tiempo completo. Piense en el esfuerzo que supone parchear un solo sistema: un administrador de sistemas debe determinar que hay un parche disponible, planificar el tiempo de inactividad o interrupción, descargar el parche, desplegarlo en el sistema y asegurarse de que recupera su estado anterior.
Es todo un proceso y eso para una sola máquina. En el entorno empresarial, hay cientos de servidores que gestionar, lo que significa que el trabajo de aplicación de parches se convierte en una responsabilidad de todo el día. También existe un riesgo significativo de reinicios fallidos una vez instalado un parche.
Por eso, los administradores de sistemas deben pensar en la aplicación de parches desde la perspectiva de la gestión de parches. En nuestra guía definitiva para la gestión de parches de Linux, explicamos cómo los administradores de sistemas pueden liberar tiempo y organizar los parches mediante herramientas de automatización, qué pueden hacer los administradores de sistemas para gestionar mejor los riesgos relacionados con la aplicación de parches, y explicamos por qué la aplicación de parches en vivo es una herramienta revolucionaria para la aplicación de parches en las empresas..
¿Por qué la gestión de parches es diferente de la aplicación de parches?
Los administradores podrían simplemente parchear los sistemas Linux manualmente, yendo de máquina en máquina o de nodo en nodo para parchear. Sin embargo, existe el riesgo de que se produzcan errores humanos y puede resultar complicado deshacer el parche si surge algún problema.
Si un parche sale mal, puede provocar largos periodos de inactividad, y parchear manualmente también puede llevar mucho tiempo.
La gestión de parches beneficia a los administradores al automatizar todo el proceso. La integración de un sistema de gestión de parches en su flujo de trabajo le permitirá detectar automáticamente las actualizaciones, descargarlas e implantarlas en todos los servidores.
Los administradores de sistemas pueden llevar la automatización un paso más allá desplegando live patching, que elimina el proceso de reinicio que suele ser necesario después de actualizar Linux. Hablaremos de live patching en esta sección.
¿Por qué es importante la gestión de parches?
Los servidores web públicos sin parches son un problema crítico para la ciberseguridad, pero la ciberseguridad no es la única razón para parchear Linux. Los parches también corrigen errores y añaden nuevas funciones. Las grandes actualizaciones pueden añadir una funcionalidad significativa a un sistema operativo y pueden ser necesarias para mantener la compatibilidad de las aplicaciones a largo plazo.
Cuando los parches no se aplican, se acumulan. Cuanto más esperen los administradores para parchear un sistema, más actividad de parcheo será necesaria para ponerlo al día. Esto aumenta el tiempo necesario para parchear completamente un servidor Linux y agrava el riesgo de que algo vaya mal.
Las revisiones disponibles de los proveedores y desarrolladores de distribuciones son los parches más importantes y deben aplicarse inmediatamente. Los hotfixes abordan problemas críticos del sistema operativo y tienen prioridad por una buena razón.
¿Con qué frecuencia debe realizarse la gestión de parches?
La aplicación de parches no es una tarea ocasional. La gestión de parches requiere una actividad ininterrumpida y continua por parte de los administradores de sistemas casi todos los días del año. No obstante, algunos parches deben aplicarse inmediatamente, mientras que otros pueden someterse a un proceso más amplio de pruebas antes de desplegar el parche.
Cuando se publica un parche de seguridad crítico, es importante que los administradores lo prueben e implanten lo antes posible.
Las vulnerabilidades de día cero son una amenaza real para las organizaciones y sus activos digitales. Cuando se anuncia una vulnerabilidad de día cero, los actores de amenazas crean rápidamente exploits para aprovecharse de cualquier sistema sin parchear. Las vulnerabilidades sin parchear son una forma habitual de que los atacantes encuentren una forma de entrar en los sistemas de las empresas - y son los vectores de ataque más utilizados por los grupos de ransomware..
Para reducir el riesgo de filtración de datos, las organizaciones deben implantar rápidamente los parches de seguridad en cuanto se publiquen.
En el caso de las actualizaciones de funciones y las correcciones de seguridad menos críticas, los parches deben aplicarse después de realizar pruebas exhaustivas en un entorno de ensayo. Los entornos de ensayo deben ser una réplica de los de producción para garantizar una coincidencia 1:1 durante las pruebas; de lo contrario, los errores podrían provocar tiempos de inactividad en producción. Aunque las pruebas son importantes, una buena regla general es aplicar los parches en un plazo de 30 días desde que los proveedores los ponen a disposición.
En un entorno de gran empresa, a menudo se publican nuevas actualizaciones a diario, lo que implica pruebas y despliegues constantes. Comprobar manualmente si hay nuevos parches cada día es tedioso, y ahí es donde entra en juego la automatización de la gestión de parches.
Problemas comunes que puede encontrar al parchear
La aplicación de parches es una actividad crítica, pero conlleva algunos escollos. Merece la pena tener en cuenta algunos de los escollos habituales de la gestión de parches cuando elabore su estrategia de gestión de parches de Linux (que analizaremos en la siguiente sección):
Perturbaciones causadas por los reiniciosSi no utiliza la aplicación de parches en tiempo real, debe ser consciente de los efectos que tendrán los reinicios en sus operaciones. Esto significa programar ventanas de mantenimiento o, en el caso de la alta disponibilidad, asegurarse de que solo se parchea durante las horas de menor actividad, cuando el sistema de alta disponibilidad no está ya sobrecargado.
Las máquinas parcheadas no vuelven a su estado anteriorDe forma similar, al reiniciar la máquina, se corre el riesgo de que no siempre se inicie y continúe donde lo dejó, y hay que estar preparado para volver a ponerla en su estado anterior.
Quedarse sin recursos de personalLa clave: incluso con los mejores planes, es posible que el volumen de actualizaciones y parches resulte abrumador. Priorizar y hacer uso de la automatización en la medida de lo posible es clave.
Grandes cambios en el softwareCuidado con las grandes actualizaciones que pueden romper la funcionalidad existente. Incluso cuando una actualización se ha probado a fondo, se recomienda precaución: cuanto mayor sea la actualización, más atención y cuidado deberá prestar al distribuirla por toda la empresa.
Las actualizaciones pueden tener erroresActualizaciones: a excepción de los parches de seguridad críticos, siempre hay que probar las actualizaciones antes de implantarlas, pero, incluso después de realizar pruebas rigurosas, existe el riesgo de que una actualización resulte defectuosa a largo plazo.
Los parches repercuten en el uso de recursosEn algunos casos, un parche puede añadir tantas funciones nuevas y cambiar el funcionamiento de un sistema que éste acabe consumiendo muchos más recursos para las tareas cotidianas. Esto puede no revelarse durante las pruebas y provocar una ralentización de sus operaciones.
Para evitar algunos de los problemas comunes que puede encontrar al aplicar parches, debe crear una estrategia de gestión de parches de Linux y seguir las mejores prácticas de gestión de parches.
¿Qué son las estrategias de gestión de parches de Linux?
La automatización de los parches es una herramienta clave pero, antes de lanzarse a parchear, conviene hablar de la estrategia de gestión de parches.
A diferencia de los sistemas operativos de código cerrado como Windows, la aplicación de parches en Linux puede ser un poco más impredecible y compleja. El código abierto tiene sus ventajas, pero una desventaja es ejecutar un sistema operativo en el que los cambios los realizan varios contribuyentes. Un solo cambio incompatible podría afectar a toda su organización.
Para aliviar parte de la sobrecarga y las molestias de una mala gestión de los parches, he aquí algunas estrategias y buenas prácticas que puede incorporar a sus procedimientos:
Crear una política de gestión de parches: Esta política debe incluir todos los pasos, incluidas las pruebas de aseguramiento de la calidad (QA), la frecuencia de los parches, los procedimientos de reversión y quién firma los cambios en el sistema operativo.
Utilizar herramientas de exploración para encontrar vulnerabilidades: Tanto si se trata de servidores de cara al público como de hosts internos que ejecutan aplicaciones corporativas, las exploraciones de vulnerabilidades encontrarán sistemas sin parches y ayudarán a evitar exploits comunes.
Utilizar los informes para identificar los parches fallidos: ¿Cómo saber si un parche se ha instalado correctamente? Una buena solución de gestión de parches ofrece un panel central que muestra informes sobre instalaciones de parches correctas y fallidas para que los administradores puedan revisar y aplicar manualmente un parche si es necesario.
Despliegue de parches en cuanto finalicen las pruebas: Las pruebas son importantes antes del despliegue, pero tan pronto como las pruebas den luz verde para el despliegue, los parches deben instalarse en todo el entorno.
Documentar los cambios en el entorno: Normalmente, la documentación se realiza en forma de control de cambios, en el que los empleados autorizados firman las actualizaciones del entorno. Este paso es importante cuando se revisan los tiempos de inactividad y se realiza un análisis de la causa raíz. También es importante por motivos de auditoría y cumplimiento.
La lista anterior le dará una idea de su estrategia de gestión de parches. Al aplicar esa estrategia, también debe tener en cuenta las mejores prácticas de aplicación de parches.
Buenas prácticas de parcheo
La organización SysAdmin, Audit, Network, and Security (SANS) es una buena fuente de información sobre buenas prácticas para la gestión de parches. Las directrices de mejores prácticas de SANS ofrecen a los administradores una hoja de ruta sobre cómo implantar una política corporativa que documente, audite y evalúe el riesgo en toda la organización para determinar cuándo y cómo deben implantarse los parches. Las ocho recomendaciones de mejores prácticas de SANS son:
Haga un inventario de su entorno: Para parchear de forma exhaustiva, hay que saber qué hay que parchear, por lo que conviene elaborar una lista auditada de todos los sistemas Linux de la red.
Asignar niveles de riesgo a cada servidor: Los niveles de riesgo indican a los administradores qué servidores son más importantes y deben ser prioritarios. Todos los sistemas deben ser parcheados, pero centrarse en los servidores más importantes reducirá el riesgo de que se vean comprometidos mientras se realizan las pruebas y otras tareas de parcheado.
Consolidar el software de gestión de parches en una única solución: Las herramientas de automatización son beneficiosas, pero demasiadas herramientas diferentes que realicen cambios en el entorno pueden provocar errores y posibles condiciones de carrera.
Revise los anuncios de parches de los proveedores regularmente: Las herramientas de automatización descargarán las actualizaciones automáticamente, pero los administradores deben estar atentos para saber cuándo hay nuevos parches disponibles, especialmente los críticos.
Mitigar los riesgos de fallo de los parches: No es infrecuente que los administradores detengan las actualizaciones debido a un problema con las excepciones. Cuando esto ocurre, los servidores deben bloquearse, si es posible, para limitar el potencial de explotación.
Pruebe siempre los parches en primer lugar: Un entorno de ensayo debe replicar el de producción para poder probar los parches y reducir el riesgo de inactividad.
Parchee los sistemas lo antes posible: Cuanto más tiempo permanezca un servidor sin parchear, mayor será el riesgo de que se vea comprometido por una vulnerabilidad conocida.
Utilizar herramientas de automatización: Las herramientas de automatización eliminan gran parte de la carga de trabajo de los administradores y despliegan automáticamente los parches cuando están disponibles.
Lectura relacionada: Cumplimiento de normativas con una gestión de parches más rápida
¿Cómo funciona el software automatizado de gestión de parches de Linux?
La gestión automatizada de parches funciona en varias capas, y la exploración de vulnerabilidades es una de ellas. Para evitar convertirse en la próxima filtración de datos de interés periodístico, las organizaciones deben realizar análisis de vulnerabilidades en todos los dispositivos.
Los escáneres de vulnerabilidades identifican si faltan parches, para que los administradores puedan desplegarlos lo antes posible. Hay algunos buenos escáneres de vulnerabilidades disponibles que hacen este primer paso mucho más eficiente y conveniente. Estos escáneres son:
Una vez finalizado el análisis, es hora de que las herramientas de gestión de parches tomen el relevo. Varias herramientas del mercado hacen que la aplicación de parches sea mucho más cómoda para los administradores.
Las mejores herramientas informan sobre parches exitosos y fallidos para que los administradores sepan cuándo también son necesarias las actualizaciones manuales. Por lo tanto, las herramientas de gestión de parches ofrecen una actualización completa del estado actual de la ciberseguridad del entorno empresarial. Algunas de las herramientas disponibles para gestionar los parches son:
La principal ventaja de las herramientas mencionadas es la mejora de la organización, ya que descargan las actualizaciones y luego informan de los resultados a los administradores. En ese proceso, la herramienta adecuada puede minimizar la desorganización que puede producirse cuando la gestión de parches se realiza en un entorno de gran tamaño.
Los administradores también pueden programar los parches, elegir sus propias políticas de despliegue, probar y aprobar las actualizaciones antes de desplegarlas.
¿Cómo encaja el Live Patching en un marco de gestión de parches?
Las herramientas de gestión de parches ofrecen una mejor organización a los administradores, pero los reinicios siguen siendo un problema importante. Reiniciar un servidor Linux crítico significa tiempo de inactividad de la máquina para la organización y ese tiempo de inactividad debe gestionarse de alguna manera.
Esto podría incluir una alta disponibilidad (aunque los parches seguirían afectando al rendimiento) o mediante la programación de ventanas de mantenimiento, y la programación de los parches durante las horas de menor actividad. Esto significa que los parches podrían posponerse hasta que fuera conveniente, lo que deja vulnerables a los servidores sin parches durante más tiempo. La aplicación de parches en vivo mejora todo el proceso al eliminar el proceso de reinicio.
Eliminar los reinicios también ayuda en otros aspectos, como la reducción de los riesgos inherentes al reinicio. ¿Y si el sistema no se reinicia? ¿Y si hay varios servidores críticos que deben parchearse y reiniciarse simultáneamente?
Un administrador de sistemas podría tener varios servidores críticos que alimentan a toda la organización y que necesitan parches urgentes para una vulnerabilidad, y existe el riesgo de que varios servidores críticos no se reinicien sin problemas. Con live patching, ese riesgo queda eliminado.
¿Funciona KernelCare junto con las herramientas de gestión de parches?
KernelCare es una herramienta de aplicación de parches en vivo para Linux que se integra en las soluciones de gestión de parches existentes. Los parches se siguen programando, probando, descargando y desplegando desde la herramienta de gestión de parches. Pero KernelCare añade funciones de aplicación de parches en vivo y elimina la necesidad de reiniciar.
KernelCare live patching funciona en cuatro sencillos pasos:
- Asignar memoria del núcleo y cargar código nuevo y seguro en la memoria.
- Congelar temporalmente todos los procesos en modo seguro.
- Modificar las funciones y saltar al nuevo código seguro, que tapona la vulnerabilidad.
- Descongela los procesos y reanuda la actividad.
La magia consiste en que no es necesario reiniciar el equipo al que se aplica el parche para aplicarlo. Con KernelCare live patching, el código actualizado se aplica sin problemas, sin intervención del administrador del sistema y sin ninguna interrupción.
Si utiliza alguna de las herramientas de aplicación de parches que he mencionado anteriormente (por ejemplo, Ansible, Puppet, Chef, SaltStack), puede utilizar las mismas herramientas para implantar KernelCare, sin necesidad de instalar KernelCare manualmente en cada servidor. Con estas herramientas, los administradores pueden:
- Distribuir el paquete del agente KernelCare (sólo es necesario cuando los servidores no tienen acceso a Internet).
- Distribuir el archivo de configuración del agente KernelCare /etc/sysconfig/kcare/kcare.conf
- Establecer variables de entorno
- Instale el agente KernelCare desde servidores de descarga locales o remotos
- Registre KernelCare con licencias basadas en claves o en IP
Además de su fácil distribución e integración en las aplicaciones actuales de despliegue de parches, KernelCare también envía un informe de "núcleo seguro" a cualquier escáner de vulnerabilidades que sondee sus servidores en busca de vulnerabilidades.
Con KernelCare, sus servidores Linux se parchean automáticamente sin necesidad de reiniciar, y los escáneres de vulnerabilidades informarán de que sus servidores están actualizados y al día con los parches de vulnerabilidades.
¿Cómo parchear manualmente sus sistemas Linux?
Incluso cuando la automatización de parches y la aplicación de parches en vivo están en marcha, las actualizaciones manuales son ocasionalmente necesarias. Por ejemplo, después de una actualización fallida, los administradores pueden necesitar parchear manualmente el sistema. Las actualizaciones manuales también pueden ser necesarias en un entorno de pruebas. Los comandos para actualizar Linux dependen de su distribución, pero aquí están los comandos para algunas distribuciones comunes.
Para las distribuciones basadas en Debian (por ejemplo, Debian, Ubuntu, Mint), los siguientes comandos mostrarán los parches y paquetes de actualización disponibles y el sistema operativo:
sudo apt-get update sudo apt-get upgrade sudo apt-get dist-upgrade
Para las distribuciones de Red Hat Linux (por ejemplo, RedHat, CentOS, Oracle), los siguientes comandos buscan actualizaciones y parchean el sistema:
yum check-update yum update
Para Linux basado en SUSE (por ejemplo, Suse Linux Enterprise, OpenSuse), los siguientes comandos buscan actualizaciones y parchean el sistema:
zypper check-update zypper update
Gestión del fin de vida de Linux
Hay un elefante en algunas salas de servidores. Se trata de los sistemas operativos no compatibles o que han llegado al final de su vida útil, algo que puede hacer fracasar incluso las mejores estrategias de gestión de parches.
Un sistema operativo sin soporte deja de recibir parches para las vulnerabilidades de seguridad recién descubiertas. Sin parches, no hay forma de proteger los sistemas frente a vulnerabilidades críticas, ni siquiera cuando existen parches automáticos. Desarrollar un parche personalizado es una solución difícil y cara.
¿Por qué las empresas utilizan sistemas operativos obsoletos? Puede deberse a la pura negligencia del equipo de administradores de sistemas, que nunca ha tomado las medidas necesarias para actualizar a una versión compatible. En la mayoría de los casos, sin embargo, se trata de una cuestión práctica, como una pieza específica de software que simplemente no funciona en el sistema operativo más reciente, o una fuerte presión sobre el equipo de administradores de sistemas que impidió realizar la actualización.
Afortunadamente, hay una forma de aplicar tus estrategias de gestión de parches también a los sistemas operativos que han llegado al final de su vida útil. Puedes suscribirte a un plan de soporte ampliado del proveedor de Linux, aunque puede resultar caro e incluir funciones innecesarias.
La gama TuxCare de Servicios de soporte extendido para distribuciones Linux que ya no reciben soporte oficial es una alternativa más asequible. Proporciona hasta 4 años de actualizaciones de seguridad para una serie de distribuciones Linux sin soporte, así como lenguajes de codificación como PHP y Python.
Conclusión
La aplicación coherente de parches es fundamental, pero difícil de conseguir. Los reinicios se interponen en el camino y los recursos limitados pueden echar por tierra los esfuerzos de aplicación de parches. No obstante, la gestión de parches de Linux es fundamental para mantener la seguridad de los entornos informáticos de las empresas.
Una buena gestión de parches requiere un enfoque estratégico que siga las mejores prácticas de gestión de parches, pero que también haga uso de las mejores herramientas disponibles para llevar a cabo la tarea.
La integración de KernelCare en la gestión de parches reduce el riesgo, mejora la seguridad de sus servidores Linux y proporciona comodidad a los administradores. KernelCare también funciona a la perfección con su actual proceso de aplicación de parches para introducir actualizaciones sin necesidad de reiniciar.
Tenemos clientes con servidores que no se han reiniciado en más de seis años. Gracias a KernelCare, más de 300 000 servidores compatibles de los principales centros de datos de todo el mundo mantienen su estado de conformidad SOC 2 con nuestro marco de parches en vivo.
Pruebe KernelCare para ayudarle a mantener su estrategia de gestión de parches de Linux, así como para eliminar de los hombros de sus administradores una gran cantidad de sobrecarga y procesos que consumen mucho tiempo.
