ClickCease Gesti贸n de parches en Linux: La gu铆a definitiva 馃摃

Gu铆a definitiva para la gesti贸n de parches en Linux

Joao Correia

20 de enero de 2023 - Equipo de expertos TuxCare

Los administradores de sistemas que trabajan en entornos empresariales saben que la aplicaci贸n de parches es pr谩cticamente un trabajo a tiempo completo. Piense en el esfuerzo que supone parchear un solo sistema: un administrador de sistemas debe determinar que hay un parche disponible, planificar el tiempo de inactividad o interrupci贸n, descargar el parche, desplegarlo en el sistema y asegurarse de que recupera su estado anterior.聽

Es todo un proceso y eso para una sola m谩quina. En el entorno empresarial, hay cientos de servidores que gestionar, lo que significa que el trabajo de aplicaci贸n de parches se convierte en una responsabilidad de todo el d铆a. Tambi茅n existe un riesgo significativo de reinicios fallidos una vez instalado un parche.

Por eso, los administradores de sistemas deben pensar en la aplicaci贸n de parches desde la perspectiva de la gesti贸n de parches. En nuestra gu铆a definitiva para la gesti贸n de parches de Linux, explicamos c贸mo los administradores de sistemas pueden liberar tiempo y organizar los parches mediante herramientas de automatizaci贸n, qu茅 pueden hacer los administradores de sistemas para gestionar mejor los riesgos relacionados con la aplicaci贸n de parches, y explicamos por qu茅 la aplicaci贸n de parches en vivo es una herramienta revolucionaria para la aplicaci贸n de parches en las empresas..

 

驴Por qu茅 la gesti贸n de parches es diferente de la aplicaci贸n de parches?

 

Los administradores podr铆an simplemente parchear los sistemas Linux manualmente, yendo de m谩quina en m谩quina o de nodo en nodo para parchear. Sin embargo, existe el riesgo de que se produzcan errores humanos y puede resultar complicado deshacer el parche si surge alg煤n problema.

Si un parche sale mal, puede provocar largos periodos de inactividad, y parchear manualmente tambi茅n puede llevar mucho tiempo.聽

La gesti贸n de parches beneficia a los administradores al automatizar todo el proceso. La integraci贸n de un sistema de gesti贸n de parches en su flujo de trabajo le permitir谩 detectar autom谩ticamente las actualizaciones, descargarlas e implantarlas en todos los servidores.聽

Los administradores de sistemas pueden llevar la automatizaci贸n un paso m谩s all谩 desplegando live patching, que elimina el proceso de reinicio que suele ser necesario despu茅s de actualizar Linux. Hablaremos de live patching en esta secci贸n.

 

驴Por qu茅 es importante la gesti贸n de parches?

 

Los servidores web p煤blicos sin parches son un problema cr铆tico para la ciberseguridad, pero la ciberseguridad no es la 煤nica raz贸n para parchear Linux. Los parches tambi茅n corrigen errores y a帽aden nuevas funciones. Las grandes actualizaciones pueden a帽adir una funcionalidad significativa a un sistema operativo y pueden ser necesarias para mantener la compatibilidad de las aplicaciones a largo plazo.

Cuando los parches no se aplican, se acumulan. Cuanto m谩s esperen los administradores para parchear un sistema, m谩s actividad de parcheo ser谩 necesaria para ponerlo al d铆a. Esto aumenta el tiempo necesario para parchear completamente un servidor Linux y agrava el riesgo de que algo vaya mal.聽

Las revisiones disponibles de los proveedores y desarrolladores de distribuciones son los parches m谩s importantes y deben aplicarse inmediatamente. Los hotfixes abordan problemas cr铆ticos del sistema operativo y tienen prioridad por una buena raz贸n.

 

驴Con qu茅 frecuencia debe realizarse la gesti贸n de parches?

 

La aplicaci贸n de parches no es una tarea ocasional. La gesti贸n de parches requiere una actividad ininterrumpida y continua por parte de los administradores de sistemas casi todos los d铆as del a帽o. No obstante, algunos parches deben aplicarse inmediatamente, mientras que otros pueden someterse a un proceso m谩s amplio de pruebas antes de desplegar el parche.

Cuando se publica un parche de seguridad cr铆tico, es importante que los administradores lo prueben e implanten lo antes posible.聽

Las vulnerabilidades de d铆a cero son una amenaza real para las organizaciones y sus activos digitales. Cuando se anuncia una vulnerabilidad de d铆a cero, los actores de amenazas crean r谩pidamente exploits para aprovecharse de cualquier sistema sin parchear. Las vulnerabilidades sin parchear son una forma habitual de que los atacantes encuentren una forma de entrar en los sistemas de las empresas - y son los vectores de ataque m谩s utilizados por los grupos de ransomware..

Para reducir el riesgo de filtraci贸n de datos, las organizaciones deben implantar r谩pidamente los parches de seguridad en cuanto se publiquen.

En el caso de las actualizaciones de funciones y las correcciones de seguridad menos cr铆ticas, los parches deben aplicarse despu茅s de realizar pruebas exhaustivas en un entorno de ensayo. Los entornos de ensayo deben ser una r茅plica de los de producci贸n para garantizar una coincidencia 1:1 durante las pruebas; de lo contrario, los errores podr铆an provocar tiempos de inactividad en producci贸n. Aunque las pruebas son importantes, una buena regla general es aplicar los parches en un plazo de 30 d铆as desde que los proveedores los ponen a disposici贸n.

En un entorno de gran empresa, a menudo se publican nuevas actualizaciones a diario, lo que implica pruebas y despliegues constantes. Comprobar manualmente si hay nuevos parches cada d铆a es tedioso, y ah铆 es donde entra en juego la automatizaci贸n de la gesti贸n de parches.

 

Problemas comunes que puede encontrar al parchear

 

La aplicaci贸n de parches es una actividad cr铆tica, pero conlleva algunos escollos. Merece la pena tener en cuenta algunos de los escollos habituales de la gesti贸n de parches cuando elabore su estrategia de gesti贸n de parches de Linux (que analizaremos en la siguiente secci贸n):

 

Perturbaciones causadas por los reiniciosSi no utiliza la aplicaci贸n de parches en tiempo real, debe ser consciente de los efectos que tendr谩n los reinicios en sus operaciones. Esto significa programar ventanas de mantenimiento o, en el caso de la alta disponibilidad, asegurarse de que solo se parchea durante las horas de menor actividad, cuando el sistema de alta disponibilidad no est谩 ya sobrecargado.

Las m谩quinas parcheadas no vuelven a su estado anteriorDe forma similar, al reiniciar la m谩quina, se corre el riesgo de que no siempre se inicie y contin煤e donde lo dej贸, y hay que estar preparado para volver a ponerla en su estado anterior.

Quedarse sin recursos de personalLa clave: incluso con los mejores planes, es posible que el volumen de actualizaciones y parches resulte abrumador. Priorizar y hacer uso de la automatizaci贸n en la medida de lo posible es clave.

Grandes cambios en el softwareCuidado con las grandes actualizaciones que pueden romper la funcionalidad existente. Incluso cuando una actualizaci贸n se ha probado a fondo, se recomienda precauci贸n: cuanto mayor sea la actualizaci贸n, m谩s atenci贸n y cuidado deber谩 prestar al distribuirla por toda la empresa.

Las actualizaciones pueden tener erroresActualizaciones: a excepci贸n de los parches de seguridad cr铆ticos, siempre hay que probar las actualizaciones antes de implantarlas, pero, incluso despu茅s de realizar pruebas rigurosas, existe el riesgo de que una actualizaci贸n resulte defectuosa a largo plazo.

Los parches repercuten en el uso de recursosEn algunos casos, un parche puede a帽adir tantas funciones nuevas y cambiar el funcionamiento de un sistema que 茅ste acabe consumiendo muchos m谩s recursos para las tareas cotidianas. Esto puede no revelarse durante las pruebas y provocar una ralentizaci贸n de sus operaciones.

 

Para evitar algunos de los problemas comunes que puede encontrar al aplicar parches, debe crear una estrategia de gesti贸n de parches de Linux y seguir las mejores pr谩cticas de gesti贸n de parches.

 

驴Qu茅 son las estrategias de gesti贸n de parches de Linux?

 

La automatizaci贸n de los parches es una herramienta clave pero, antes de lanzarse a parchear, conviene hablar de la estrategia de gesti贸n de parches.聽

A diferencia de los sistemas operativos de c贸digo cerrado como Windows, la aplicaci贸n de parches en Linux puede ser un poco m谩s impredecible y compleja. El c贸digo abierto tiene sus ventajas, pero una desventaja es ejecutar un sistema operativo en el que los cambios los realizan varios contribuyentes. Un solo cambio incompatible podr铆a afectar a toda su organizaci贸n.

Para aliviar parte de la sobrecarga y las molestias de una mala gesti贸n de los parches, he aqu铆 algunas estrategias y buenas pr谩cticas que puede incorporar a sus procedimientos:

 

Crear una pol铆tica de gesti贸n de parches: Esta pol铆tica debe incluir todos los pasos, incluidas las pruebas de aseguramiento de la calidad (QA), la frecuencia de los parches, los procedimientos de reversi贸n y qui茅n firma los cambios en el sistema operativo.

Utilizar herramientas de exploraci贸n para encontrar vulnerabilidades: Tanto si se trata de servidores de cara al p煤blico como de hosts internos que ejecutan aplicaciones corporativas, las exploraciones de vulnerabilidades encontrar谩n sistemas sin parches y ayudar谩n a evitar exploits comunes.

Utilizar los informes para identificar los parches fallidos: 驴C贸mo saber si un parche se ha instalado correctamente? Una buena soluci贸n de gesti贸n de parches ofrece un panel central que muestra informes sobre instalaciones de parches correctas y fallidas para que los administradores puedan revisar y aplicar manualmente un parche si es necesario.

Despliegue de parches en cuanto finalicen las pruebas: Las pruebas son importantes antes del despliegue, pero tan pronto como las pruebas den luz verde para el despliegue, los parches deben instalarse en todo el entorno.

Documentar los cambios en el entorno: Normalmente, la documentaci贸n se realiza en forma de control de cambios, en el que los empleados autorizados firman las actualizaciones del entorno. Este paso es importante cuando se revisan los tiempos de inactividad y se realiza un an谩lisis de la causa ra铆z. Tambi茅n es importante por motivos de auditor铆a y cumplimiento.

 

La lista anterior le dar谩 una idea de su estrategia de gesti贸n de parches. Al aplicar esa estrategia, tambi茅n debe tener en cuenta las mejores pr谩cticas de aplicaci贸n de parches.

 

Buenas pr谩cticas de parcheo

 

La organizaci贸n SysAdmin, Audit, Network, and Security (SANS) es una buena fuente de informaci贸n sobre buenas pr谩cticas para la gesti贸n de parches. Las directrices de mejores pr谩cticas de SANS ofrecen a los administradores una hoja de ruta sobre c贸mo implantar una pol铆tica corporativa que documente, audite y eval煤e el riesgo en toda la organizaci贸n para determinar cu谩ndo y c贸mo deben implantarse los parches. Las ocho recomendaciones de mejores pr谩cticas de SANS son:

 

Haga un inventario de su entorno: Para parchear de forma exhaustiva, hay que saber qu茅 hay que parchear, por lo que conviene elaborar una lista auditada de todos los sistemas Linux de la red.

Asignar niveles de riesgo a cada servidor: Los niveles de riesgo indican a los administradores qu茅 servidores son m谩s importantes y deben ser prioritarios. Todos los sistemas deben ser parcheados, pero centrarse en los servidores m谩s importantes reducir谩 el riesgo de que se vean comprometidos mientras se realizan las pruebas y otras tareas de parcheado.

Consolidar el software de gesti贸n de parches en una 煤nica soluci贸n: Las herramientas de automatizaci贸n son beneficiosas, pero demasiadas herramientas diferentes que realicen cambios en el entorno pueden provocar errores y posibles condiciones de carrera.

Revise los anuncios de parches de los proveedores regularmente: Las herramientas de automatizaci贸n descargar谩n las actualizaciones autom谩ticamente, pero los administradores deben estar atentos para saber cu谩ndo hay nuevos parches disponibles, especialmente los cr铆ticos.

Mitigar los riesgos de fallo de los parches: No es infrecuente que los administradores detengan las actualizaciones debido a un problema con las excepciones. Cuando esto ocurre, los servidores deben bloquearse, si es posible, para limitar el potencial de explotaci贸n.

Pruebe siempre los parches en primer lugar: Un entorno de ensayo debe replicar el de producci贸n para poder probar los parches y reducir el riesgo de inactividad.

Parchee los sistemas lo antes posible: Cuanto m谩s tiempo permanezca un servidor sin parchear, mayor ser谩 el riesgo de que se vea comprometido por una vulnerabilidad conocida.

Utilizar herramientas de automatizaci贸n: Las herramientas de automatizaci贸n eliminan gran parte de la carga de trabajo de los administradores y despliegan autom谩ticamente los parches cuando est谩n disponibles.

 

Lectura relacionada: Cumplimiento de normativas con una gesti贸n de parches m谩s r谩pida

 

驴C贸mo funciona el software automatizado de gesti贸n de parches de Linux?

 

La gesti贸n automatizada de parches funciona en varias capas, y la exploraci贸n de vulnerabilidades es una de ellas. Para evitar convertirse en la pr贸xima filtraci贸n de datos de inter茅s period铆stico, las organizaciones deben realizar an谩lisis de vulnerabilidades en todos los dispositivos.聽

Los esc谩neres de vulnerabilidades identifican si faltan parches, para que los administradores puedan desplegarlos lo antes posible. Hay algunos buenos esc谩neres de vulnerabilidades disponibles que hacen este primer paso mucho m谩s eficiente y conveniente. Estos esc谩neres son:

 

 

Una vez finalizado el an谩lisis, es hora de que las herramientas de gesti贸n de parches tomen el relevo. Varias herramientas del mercado hacen que la aplicaci贸n de parches sea mucho m谩s c贸moda para los administradores.聽

Las mejores herramientas informan sobre parches exitosos y fallidos para que los administradores sepan cu谩ndo tambi茅n son necesarias las actualizaciones manuales. Por lo tanto, las herramientas de gesti贸n de parches ofrecen una actualizaci贸n completa del estado actual de la ciberseguridad del entorno empresarial. Algunas de las herramientas disponibles para gestionar los parches son:

 

 

La principal ventaja de las herramientas mencionadas es la mejora de la organizaci贸n, ya que descargan las actualizaciones y luego informan de los resultados a los administradores. En ese proceso, la herramienta adecuada puede minimizar la desorganizaci贸n que puede producirse cuando la gesti贸n de parches se realiza en un entorno de gran tama帽o.聽

Los administradores tambi茅n pueden programar los parches, elegir sus propias pol铆ticas de despliegue, probar y aprobar las actualizaciones antes de desplegarlas.

 

驴C贸mo encaja el Live Patching en un marco de gesti贸n de parches?

 

Las herramientas de gesti贸n de parches ofrecen una mejor organizaci贸n a los administradores, pero los reinicios siguen siendo un problema importante. Reiniciar un servidor Linux cr铆tico significa tiempo de inactividad de la m谩quina para la organizaci贸n y ese tiempo de inactividad debe gestionarse de alguna manera.聽

Esto podr铆a incluir una alta disponibilidad (aunque los parches seguir铆an afectando al rendimiento) o mediante la programaci贸n de ventanas de mantenimiento, y la programaci贸n de los parches durante las horas de menor actividad. Esto significa que los parches podr铆an posponerse hasta que fuera conveniente, lo que deja vulnerables a los servidores sin parches durante m谩s tiempo. La aplicaci贸n de parches en vivo mejora todo el proceso al eliminar el proceso de reinicio.

Eliminar los reinicios tambi茅n ayuda en otros aspectos, como la reducci贸n de los riesgos inherentes al reinicio. 驴Y si el sistema no se reinicia? 驴Y si hay varios servidores cr铆ticos que deben parchearse y reiniciarse simult谩neamente?

Un administrador de sistemas podr铆a tener varios servidores cr铆ticos que alimentan a toda la organizaci贸n y que necesitan parches urgentes para una vulnerabilidad, y existe el riesgo de que varios servidores cr铆ticos no se reinicien sin problemas. Con live patching, ese riesgo queda eliminado.

 

驴Funciona KernelCare junto con las herramientas de gesti贸n de parches?

 

KernelCare es una herramienta de aplicaci贸n de parches en vivo para Linux que se integra en las soluciones de gesti贸n de parches existentes. Los parches se siguen programando, probando, descargando y desplegando desde la herramienta de gesti贸n de parches. Pero KernelCare a帽ade funciones de aplicaci贸n de parches en vivo y elimina la necesidad de reiniciar.

KernelCare live patching funciona en cuatro sencillos pasos:

 

  1. Asignar memoria del n煤cleo y cargar c贸digo nuevo y seguro en la memoria.
  2. Congelar temporalmente todos los procesos en modo seguro.
  3. Modificar las funciones y saltar al nuevo c贸digo seguro, que tapona la vulnerabilidad.
  4. Descongela los procesos y reanuda la actividad.

 

La magia consiste en que no es necesario reiniciar el equipo al que se aplica el parche para aplicarlo. Con KernelCare live patching, el c贸digo actualizado se aplica sin problemas, sin intervenci贸n del administrador del sistema y sin ninguna interrupci贸n.

Si utiliza alguna de las herramientas de aplicaci贸n de parches que he mencionado anteriormente (por ejemplo, Ansible, Puppet, Chef, SaltStack), puede utilizar las mismas herramientas para implantar KernelCare, sin necesidad de instalar KernelCare manualmente en cada servidor. Con estas herramientas, los administradores pueden:

 

  1. Distribuir el paquete del agente KernelCare (s贸lo es necesario cuando los servidores no tienen acceso a Internet).
  2. Distribuir el archivo de configuraci贸n del agente KernelCare /etc/sysconfig/kcare/kcare.conf
  3. Establecer variables de entorno
  4. Instale el agente KernelCare desde servidores de descarga locales o remotos
  5. Registre KernelCare con licencias basadas en claves o en IP

 

Adem谩s de su f谩cil distribuci贸n e integraci贸n en las aplicaciones actuales de despliegue de parches, KernelCare tambi茅n env铆a un informe de "n煤cleo seguro" a cualquier esc谩ner de vulnerabilidades que sondee sus servidores en busca de vulnerabilidades.聽

Con KernelCare, sus servidores Linux se parchean autom谩ticamente sin necesidad de reiniciar, y los esc谩neres de vulnerabilidades informar谩n de que sus servidores est谩n actualizados y al d铆a con los parches de vulnerabilidades.

 

驴C贸mo parchear manualmente sus sistemas Linux?

 

Incluso cuando la automatizaci贸n de parches y la aplicaci贸n de parches en vivo est谩n en marcha, las actualizaciones manuales son ocasionalmente necesarias. Por ejemplo, despu茅s de una actualizaci贸n fallida, los administradores pueden necesitar parchear manualmente el sistema. Las actualizaciones manuales tambi茅n pueden ser necesarias en un entorno de pruebas. Los comandos para actualizar Linux dependen de su distribuci贸n, pero aqu铆 est谩n los comandos para algunas distribuciones comunes.

 

 

Para las distribuciones basadas en Debian (por ejemplo, Debian, Ubuntu, Mint), los siguientes comandos mostrar谩n los parches y paquetes de actualizaci贸n disponibles y el sistema operativo:

sudo apt-get update

sudo apt-get upgrade 

sudo apt-get dist-upgrade

 

Para las distribuciones de Red Hat Linux (por ejemplo, RedHat, CentOS, Oracle), los siguientes comandos buscan actualizaciones y parchean el sistema:

yum check-update

yum update

 

Para Linux basado en SUSE (por ejemplo, Suse Linux Enterprise, OpenSuse), los siguientes comandos buscan actualizaciones y parchean el sistema:

zypper check-update

zypper update

Gesti贸n del fin de vida de Linux

 

Hay un elefante en algunas salas de servidores. Se trata de los sistemas operativos no compatibles o que han llegado al final de su vida 煤til, algo que puede hacer fracasar incluso las mejores estrategias de gesti贸n de parches.

Un sistema operativo sin soporte deja de recibir parches para las vulnerabilidades de seguridad reci茅n descubiertas. Sin parches, no hay forma de proteger los sistemas frente a vulnerabilidades cr铆ticas, ni siquiera cuando existen parches autom谩ticos. Desarrollar un parche personalizado es una soluci贸n dif铆cil y cara.

驴Por qu茅 las empresas utilizan sistemas operativos obsoletos? Puede deberse a la pura negligencia del equipo de administradores de sistemas, que nunca ha tomado las medidas necesarias para actualizar a una versi贸n compatible. En la mayor铆a de los casos, sin embargo, se trata de una cuesti贸n pr谩ctica, como una pieza espec铆fica de software que simplemente no funciona en el sistema operativo m谩s reciente, o una fuerte presi贸n sobre el equipo de administradores de sistemas que impidi贸 realizar la actualizaci贸n.

Afortunadamente, hay una forma de aplicar tus estrategias de gesti贸n de parches tambi茅n a los sistemas operativos que han llegado al final de su vida 煤til. Puedes suscribirte a un plan de soporte ampliado del proveedor de Linux, aunque puede resultar caro e incluir funciones innecesarias.聽

La gama TuxCare de Servicios de soporte extendido para distribuciones Linux que ya no reciben soporte oficial es una alternativa m谩s asequible. Proporciona hasta 4 a帽os de actualizaciones de seguridad para una serie de distribuciones Linux sin soporte, as铆 como lenguajes de codificaci贸n como PHP y Python.

 

Conclusi贸n

 

La aplicaci贸n coherente de parches es fundamental, pero dif铆cil de conseguir. Los reinicios se interponen en el camino y los recursos limitados pueden echar por tierra los esfuerzos de aplicaci贸n de parches. No obstante, la gesti贸n de parches de Linux es fundamental para mantener la seguridad de los entornos inform谩ticos de las empresas.聽

Una buena gesti贸n de parches requiere un enfoque estrat茅gico que siga las mejores pr谩cticas de gesti贸n de parches, pero que tambi茅n haga uso de las mejores herramientas disponibles para llevar a cabo la tarea.

La integraci贸n de KernelCare en la gesti贸n de parches reduce el riesgo, mejora la seguridad de sus servidores Linux y proporciona comodidad a los administradores. KernelCare tambi茅n funciona a la perfecci贸n con su actual proceso de aplicaci贸n de parches para introducir actualizaciones sin necesidad de reiniciar.

Tenemos clientes con servidores que no se han reiniciado en m谩s de seis a帽os. Gracias a KernelCare, m谩s de 300 000 servidores compatibles de los principales centros de datos de todo el mundo mantienen su estado de conformidad SOC 2 con nuestro marco de parches en vivo.聽

Pruebe KernelCare para ayudarle a mantener su estrategia de gesti贸n de parches de Linux, as铆 como para eliminar de los hombros de sus administradores una gran cantidad de sobrecarga y procesos que consumen mucho tiempo.

Resumen
Nombre del art铆culo
Gesti贸n de parches en Linux: La gu铆a definitiva 馃摃
Descripci贸n
En esta gu铆a sobre la gesti贸n de parches en Linux, explicamos c贸mo los administradores de sistemas pueden liberar tiempo y organizar los parches mediante herramientas de automatizaci贸n.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

驴Est谩 listo para modernizar su enfoque de aplicaci贸n de parches de vulnerabilidad con la aplicaci贸n de parches automatizada y no disruptiva de KernelCare Enterprise? Programe una charla con uno de nuestros expertos en seguridad Linux.

Hable con un experto

Convi茅rtete en escritor invitado de TuxCare

Empezar

Correo

脷nete a

4,500

Profesionales de Linux y c贸digo abierto

Suscr铆base a
nuestro bolet铆n