Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
¿Qué es el Live Patching del núcleo Linux?
23 de noviembre de 2022 - Equipo de relaciones públicas de TuxCare
Los avances en ciberseguridad no son frecuentes, pero cuando se producen, pueden ser una auténtica bala mágica.
Linux kernel live patching, que es la capacidad de aplicar un parche de seguridad del kernel Linux a un kernel Linux en vivo y en ejecución sin reiniciares uno de esos increíbles avances en ciberseguridad que realmente han cambiado las reglas del juego en la lucha contra las amenazas.
Pero, ¿qué es exactamente el live patching del núcleo Linux, cómo beneficia a los equipos de TI y a la organización en general, y cuál es el futuro del live patching? Siga leyendo nuestro completo análisis sobre live patching para descubrirlo.
La aplicación de parches al núcleo de Linux es crítica y difícil
Un parche es un fragmento de código que corrige una vulnerabilidad de ciberseguridad conocida. Cada vez que un proveedor, como Red Hat o Canonical, es informado de una vulnerabilidad de ciberseguridad, el proveedor desarrolla un parche con código modificado que "arregla" esa vulnerabilidad para que no pueda ser explotada.
Una vez que el código del parche se integra en el núcleo, el sistema operativo (SO) queda "parcheado". Un SO parcheado está protegido contra cualquier intento de explotar la vulnerabilidad.
Sin embargo, a pesar de que el parcheado es una solución viable, los exploits conocidos son la puerta de entrada de muchos ataques porque las organizaciones no siempre parchean de forma coherente. De hecho, un informe de investigación de Check Point de 2021 sugirió que el 75% de los ataques se basaron en vulnerabilidades publicadas en 2017 y antes.
Si se hubieran parcheado estas vulnerabilidades, se habría cerrado la puerta a los ataques. Entonces, ¿por qué algunas organizaciones no siempre parchean de forma coherente?
El problema es que la aplicación de parches no siempre es sencilla. Normalmente, cuando se parchea un servicio -ya sea una aplicación, un controlador o el propio sistema operativo- es necesario reiniciar el servicio para aplicar el parche.
Eso, a su vez, implica tiempo de inactividad hasta que el servicio vuelva a estar en línea. Y el tiempo de inactividad es caro a muchos niveles.
Un reto que necesita solución
Multiplique el rompecabezas de los parches por miles de máquinas y tenga en cuenta la aparición de miles de vulnerabilidades cada año y rápidamente se encontrará con un problema difícil, ya que las partes interesadas no tolerarán interrupciones y pérdidas de ingresos cada vez que haya que aplicar un parche.
Eso, a su vez, significa que los parches se aplican con menos frecuencia de la ideal. Las organizaciones programan el tiempo de inactividad para la aplicación de parches a un ritmo de, digamos, una vez al mes, si están haciendo un buen trabajo. Eso significa que hay períodos de ventana significativos entre el momento en que se identifica públicamente una vulnerabilidad y el momento en que finalmente se aplica un parche.
Sin embargo, los equipos técnicos suelen carecer de recursos suficientes, por lo que la situación puede empeorar rápidamente, provocando que los parches se retrasen meses y meses.. No es de extrañar entonces que los ciberdelincuentes tengan tanto éxito irrumpiendo en las redes debido a vulnerabilidades no parcheadas: un estudio de 2019 del Ponemon Institute muestra que el 62% de los encuestados atribuyó una violación de datos a la incapacidad de su organización para aplicar un parche disponible.
Historia de la aplicación de parches al núcleo de Linux
Los reinicios y el tiempo de inactividad del servidor Linux asociado conducen a una aplicación de parches ineficaz. Si se elimina el requisito de la ventana de mantenimiento (y el consumo de recursos causado por los reinicios), se resuelve gran parte del problema de los parches.
Fue un investigador cuyo servidor Linux sin parches fue pirateado -Jeff Arnold, del MIT- quien empezó a investigar sobre la aplicación de parches en vivo en 2006. ¿Qué le motivó? Bueno, el servidor Linux de Arnold fue pirateado porque retrasó una actualización de seguridad clave, ya que no quería molestar a otras personas. Para él era obvio que los usuarios de Linux para empresas necesitaban un método alternativo de aplicación de parches.
La investigación en el MIT fue el primer peldaño en la aplicación de parches al kernel. Jeff y algunos de sus colegas fundaron una empresa llamada KSplice, Inc, que fue adquirida por Oracle en 2011. Otras organizaciones le siguieron cuando Red Hat y SUSE también lideraron los esfuerzos para desarrollar parches en vivo para servidores Linux con sus respectivas soluciones Kpatch y Kgraft, que más tarde se combinaron en un único enfoque.
Hacia un live patching sencillo y asequible en todas partes
La aplicación de parches en vivo al núcleo de Linux, también conocida como aplicación dinámica de parches al núcleo, suele estar vinculada a una única distribución de Linux para empresas y, a menudo, sólo está disponible con costosos contratos de soporte para servidores Linux.
En TuxCare, hemos desarrollado de forma independiente la solución patentada de parches en vivo KernelCare durante casi una década, con el apoyo del equipo de CloudLinux. Nos hemos asegurado de que los parches de kernel en vivo puedan aplicarse en todas las principales distribuciones de Linux para empresas, lo que ha dado lugar a un servicio de parches en vivo universal y asequible que no se limita a una única distribución, como Red Hat o SUSE Linux.
Además, KernelCare introdujo la aplicación persistente de parches en vivo. El método original de live patching, denominado temporary live patching, provocaba una reducción del rendimiento con el paso del tiempo porque los parches se aplicaban mediante una técnica que acumulaba parches unos sobre otros.
En cambio, la aplicación persistente de parches contiene una corrección acumulativa en un solo binario, por lo que no afecta al rendimiento. Gracias a varias innovaciones tecnológicas patentadas y pendientes de patente, KernelCare ofrece parcheado en vivo sin reinicio y sin merma del rendimiento..
Y, como siguiente gran paso en la aplicación de parches en vivo, hemos ampliado la capacidad de aplicación de parches en vivo más allá del núcleo de Linux para incluir también la aplicación de parches en vivo de bibliotecas compartidas, servidores de bases de datos y entornos de virtualización.
Cómo funciona en la práctica la aplicación de parches en el núcleo de Linux
La aplicación de parches en directo es una premisa sencilla, pero en el fondo hay un poco de complicada gimnasia técnica.
He aquí una explicación simplificada. El servicio de live patching crea un parche a partir del código corregido para que éste pueda cargarse en la memoria del kernel en ejecución. La ejecución del código se redirige entonces de la versión vulnerable del código a la versión corregida del código mientras se ejecuta el núcleo.
Esto significa que el kernel no tiene que reiniciarse, lo que también significa que todo el sistema evita un reinicio. No obstante, aunque el sistema nunca se reinició, ahora se utiliza la versión corregida del código y el sistema está a salvo de la vulnerabilidad.
El parche puede ser tan complejo o tan sencillo como sea necesario. Desde una corrección de una sola línea hasta múltiples funciones, el proceso es siempre el mismo. Es un poco como magia, y el parcheo en vivo del kernel tiene importantes implicaciones prácticas para los esfuerzos de parcheo cotidianos sobre el terreno.
Sin live patching, los administradores de sistemas deben planificar y programar ventanas de mantenimiento para desconectar los servidores Linux de la empresa. En el caso de los grandes parques tecnológicos, se trata de un proceso complicado que seguramente disgustará a alguien, porque a nadie le gusta que haya tiempo de inactividad. Sí, el equilibrio de carga y la redundancia pueden mitigar el tiempo de inactividad, pero siguen dejando como efecto secundario la degradación del rendimiento.
Sin embargo, Sin embargo, cuando se incorpora el software de live patching, se simplifican las actualizaciones de seguridad ejecutando unos pocos pasos de línea de comandos para configurar la aplicación de parches en directo. Los servidores y las aplicaciones, como las bases de datos, ya no necesitan desconectarse para aplicar los parches. Esto significa que los administradores de sistemas no tienen que preocuparse por los calendarios de mantenimiento y que las partes interesadas nunca oirán las palabras "tiempo de inactividad" o "interrupción".
Tan pronto como se publica un parche en respuesta a una vulnerabilidad, el parche se aplica mediante la tecnología live patching. Gracias a la posibilidad de aplicar un parche en vivo al kernel, no hay ningún periodo de espera ni interrupción del servicio en funcionamiento.
La aplicación de parches en tiempo real es esencial para el cumplimiento de la normativa
Dado que la aplicación de parches en directo es tan reactiva (recuerde, no hay calendarios de mantenimiento ni tiempo de inactividad), significa que los parches se aplican de forma coherente y que no hay periodos ventana en los que los atacantes puedan explotar una vulnerabilidad publicada.
La naturaleza coherente y sin lagunas de la aplicación de parches en tiempo real tiene una implicación importante en el mundo actual, altamente regulado, y la aplicación de parches en tiempo real cambia las reglas del juego para las organizaciones que tienen obligaciones de cumplimiento.
De hecho, el despliegue de parches de seguridad a través de un mecanismo de parcheo en vivo es la forma más rápida de proteger un sistema frente a nuevas amenazas..
Por ejemplo, la norma PCI DSS (Payment Card Industry Data Security Standard), que se aplica a las organizaciones que procesan pagos.
PCI DSS exige en la sección 6.2 de sus normas que los parches de seguridad críticos se apliquen en el plazo de un mes desde su publicación. Si se aplica un parche más tarde, se incumplen los requisitos de PCI DSS, lo que puede tener consecuencias importantes, como multas elevadas o, peor aún, si se produce una infracción. Normas como la ISO 27001 y el Marco de Ciberseguridad del NIST tienen requisitos similares para la aplicación de parches.
Las organizaciones que utilizan parches activos del kernel reducen al mínimo el riesgo de incumplir las normas de conformidad porque la aplicación de parches ya no depende de la intervención manual ni de ventanas de mantenimiento largas y poco fiables. Cualquier plazo de cumplimiento que se le exija se alcanza automáticamente.
También supone una gran diferencia para los equipos informáticos
A nivel directivo, el cumplimiento de las normas es lo que realmente importa, pero la aplicación de parches en tiempo real también tiene implicaciones prácticas importantes y positivas para los equipos técnicos. Como las actualizaciones del kernel se realizan automáticamente en segundo plano, los administradores de sistemas pueden dedicar su tiempo a tareas de más alto nivel que contribuyen a la seguridad general.
También implica una mayor satisfacción de las partes interesadas, porque los periodos de mantenimiento suelen molestar a todos los miembros de la organización. Los periodos de inactividad interrumpen los flujos de ingresos, descontentan a los clientes y frustran a los empleados. Todos estos problemas son historia gracias a live patching, porque live patching reduce la necesidad de ventanas de mantenimiento.
Y está, por supuesto, el beneficio principal de una gran mejora de la seguridad. Si se utiliza la aplicación de parches en tiempo real para reducir la ventana de aplicación de parches a un par de días (o incluso horas), se minimiza la oportunidad de que los atacantes exploten una vulnerabilidad y causen daños por el camino..
¿Hay algún aspecto negativo en la aplicación de parches en vivo al núcleo de Linux?
La aplicación de parches en directo no es gratuita, por lo que hay que tener en cuenta el factor coste a la hora de contratar un servicio de aplicación de parches en directo. Para Kpatch y otros servicios de parcheo en vivo patrocinados por proveedores, los costes pueden ser significativos, ya que el parcheo en vivo está incluido en los planes de soporte. Considere, por ejemplo, el precio de 1.299 dólares por máquina y año para Red Hat Premium Support.
Dicho esto, la aplicación de parches de seguridad en vivo KernelCare de TuxCare es asequible, por sólo 59,50 dólares al año, por máquina. Es un precio pequeño si se tiene en cuenta el tiempo que se ahorra tratando de organizar ventanas de mantenimiento y parchear vulnerabilidades manualmente. Eso por no mencionar el coste potencial de un ciberataque exitoso que se produjera por no haber parcheado.
Mientras que el rendimiento solía ser un problema con la aplicación temporal de parches en vivo, la aparición de la aplicación persistente de parches en vivo patentada por KernelCare ha eliminado el problema del rendimiento, ya que los sistemas simplemente se parchean mientras están funcionando, y luego siguen funcionando igual que antes, sin afectar al rendimiento.
Conclusión
Los parches de seguridad en directo suponen un gran avance para la ciberseguridad. Facilita la aplicación de parches del kernel a los servidores Linux de las empresas, una tarea que suele ser ardua y laboriosa. Además, la solución de parcheado en directo de TuxCare se ha ampliado para incluir una amplia gama de servicios de parcheado en directo: bibliotecas con LibCare y bases de datos con DBCare.
TuxCare le cubre incluso en virtualización, ya que ahora ofrecemos la aplicación de parches en vivo QEMU a través de nuestro servicio QEMUCare. En cada paso del camino, le acercamos a cargas de trabajo más ligeras y a la plena conformidad.
Si ejecuta cargas de trabajo Linux empresariales como Red Hat u Oracle, es imperativo que considere la aplicación de parches en vivo para ver cómo puede beneficiar a su postura de ciberseguridad.. Con integraciones sencillas a través de herramientas como Nessus, Qualys, Rapid7, Puppet, Ansible, Chef, Datadog y Crowdstrike, simplemente no hay excusa. Obtenga más información sobre nuestra gama de soluciones de aplicación de parches en tiempo real aquí.
