Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Canonical hace un trabajo sólido de live patching, pero ¿es el parcheo temporal la solución adecuada para usted - y vale la pena las tarifas relativamente altas? Además, ¿qué pasa con tus otras distribuciones de Linux?
Live patching es la mejor manera de instalar actualizaciones de seguridad para sus sistemas Linux. Con live patching, puede poner en marcha las últimas correcciones de seguridad para las vulnerabilidades del kernel, pero sin necesidad de reiniciar el sistema para aplicar el parche. Esto significa que no necesita planificar una ventana de mantenimiento y que sus sistemas permanecen seguros de forma más constante.
Por eso, al igual que otros grandes proveedores de Linux, Canonical decidió desarrollar una herramienta de parcheo en vivo para Ubuntu, llamada Livepatch. Sin embargo, Livepatch tiene dos defectos clave en la forma en que funciona - y es una opción relativamente cara.
Como alternativa, quizás quieras pensar en KernelCare Enterprise de TuxCare. Analicemos en profundidad las diferencias entre ambas herramientas.
Contenido:
- ¿Qué es Canonical Livepatch?
- Comparación de parches temporales y persistentes
- Núcleos Linux compatibles
- Comparación de costes entre Canonical Livepatch y KernelCare
- Transición de Canonical Livepatch a KernelCare
- Conclusión
¿Qué es Canonical Livepatch?
El parcheo en vivo del kernel de Linux existe desde hace más de una década, y la primera solución viable surgió en el MIT en 2009. Se llamaba KSplice. El equipo de CloudLinux le siguió rápidamente con KernelCare, y muchos de los principales proveedores de Linux han producido herramientas de parcheo en vivo desde entonces. Para los usuarios de Ubuntu, existe Livepatch, que proporciona actualizaciones de seguridad.
Para todas las herramientas de parcheo en vivo la premisa es esencialmente la misma, aunque la diferencia entre parcheo temporal y parcheo persistente importa, cubrimos eso en la siguiente sección. La herramienta Livepatch toma kernels Linux en ejecución y reemplaza el código afectado sobre la marcha - en un momento hay una vulnerabilidad en el kernel, al momento siguiente se ejecuta código seguro, y no hay necesidad de reiniciar.
Cuando se realiza el proceso de obtener el token de livepatch y se despliega el paquete snap correspondiente, el equipo de administradores de sistemas no tiene que programar una ventana de mantenimiento y esperar a que se produzca un tiempo de inactividad para aplicar un parche. Los parches se aplican de forma coherente y sin demora, lo que significa que hay una ventana de tiempo más pequeña en la que los sistemas son vulnerables.
Comparación de parches temporales y persistentes
No todas las herramientas de live patching son iguales, y una de las principales diferencias es la forma en que se aplican los parches críticos del kernel. Existen dos vías: el parcheado temporal y el persistente. También llamado parcheado dinámico del núcleo, el parcheado temporal utiliza una técnica especial para injertar un parche en el núcleo, pero el parche no se integra completamente.
Ubuntu Livepatch de Canonicals Ltd. utiliza la técnica de parcheado temporal cuando aplica actualizaciones del kernel y, en algún momento, los administradores del sistema tienen que reiniciar la máquina para integrar completamente el parche, por lo que al final es necesario reiniciar. Así pues, aunque la aplicación de parches temporales nos acerca mucho a la ejecución de cargas de trabajo seguras, sigue sin ser lo ideal. El problema viene de las posibles interacciones entre parches posteriores que afectan al mismo código, y eso es muy difícil de hacer bien, ya que el número de combinaciones posibles para parches ya desplegados (o no) en una sección de código dada puede crecer rápidamente. Ahí es donde entra en juego la aplicación persistente de parches.
La aplicación persistente de parches adopta un enfoque diferente, ya que cada parche del kernel se integra completamente sobre la marcha, sin necesidad de reiniciar nunca para completar el parcheado. Los parches son acumulativos: en otras palabras, en lugar de aplicar un parche sobre otro, todas las correcciones se incluyen en el binario de una sola vez. La aplicación persistente de parches logra el importante objetivo de eliminar por completo la necesidad de reinicios y reduce al máximo el tiempo de inactividad.
Núcleos Linux compatibles
La mayoría de las herramientas de live kernel patching gestionadas sólo funcionan para una distribución específica de Linux, y ese es también el caso de Canonical Ubuntu Livepatch, que sólo soporta sistemas Ubuntu, y sólo kernels 4.4 y más recientes. Eso está bien si toda tu carga de trabajo se basa en las últimas distribuciones de Ubuntu - pero no te cubrirá para otras distribuciones de Linux. Como algunas distribuciones de Linux están mejor adaptadas para algunos escenarios, es común encontrar múltiples distribuciones funcionando cumpliendo diferentes roles en una organización dada. Por lo tanto, Livepatch sólo cubriría parcialmente sus necesidades de parcheo en vivo.
KernelCare Enterprise, por otro lado, es compatible con una gama mucho más amplia de distribuciones, incluyendo parches en vivo del núcleo para RHEL, Debian, CentOS y así sucesivamente (de hecho, cubre más de 40 diferentes distribuciones de Linux de grado empresarial, y más de 4000 combinaciones de distribución + versión del núcleo). Es una solución integral que significa que no necesita ejecutar varias soluciones de live patching para cubrir todos sus sistemas basados en Linux.
Comparación de costes entre Canonical Livepatch y KernelCare
Ubuntu Livepatch de Canonical no es la solución en vivo más cara para parches críticos del kernel, pero tampoco es la más barata. No se puede obtener Livepatch como un producto independiente, sólo se incluye como parte de una suscripción Ubuntu Advantage a la que los usuarios se suscriben utilizando sus cuentas Ubuntu One.
Los precios son un poco complejos y dependen de si se ejecuta un servidor físico o máquinas virtuales, pero empiezan desde 75 dólares por máquina y año, hasta 2.500 dólares por máquina y año. KernelCare Enterprise de TuxCare cuesta menos de 60 dólares anuales por servidor.
| Canonical Ubuntu Livepatch | KernelCare Enterprise Live Patching | |
|---|---|---|
| Distribuciones compatibles | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04 | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04, así como Red Hat, Oracle, AlmaLinux y muchos otros. |
| Arquitecturas | x86-64 | x86-64, arm64 |
| Cobertura | Núcleo Linux | Núcleo Linux y espacio de usuario crítico (glibc y openssl) |
| Vulnerabilidades parcheadas | Subgrupo de alto y crítico | Todos |
| Vida útil de los parches del núcleo | 3-6 meses | Prácticamente ilimitado |
| Parches personalizados | No | Sí (consúltenos para versiones o configuraciones especiales) |
| Parcheado de QEMU | No | Sí |
| Parcheado de bases de datos | No | Sí |
| Asistencia 24/7 | Sí, con una suscripción de pago | Sí, en línea, 24 horas al día, 7 días a la semana, 365 días al año, con distintas prioridades según el abono. |
| Distribución de parches | Cada parche se representa como un módulo independiente del núcleo | Un único patchset para todos los parches |
| ¿Está disponible la API? | Sí | Sí |
| Función de retroceso | No | Sí, sin reinicio |
| ¿Está disponible para nuevos clientes? | Sólo clientes de Ubuntu | Sí, y más de 40 distribuciones compatibles |
| Tipo de parcheado | Temporal | Persistente |
| Complementos | - | Parches personalizados, QEMU, parches para bases de datos |
| Coste del Live Patching | Incluido como parte de todos los paquetes de soporte de Ubuntu Advantage for Infrastructure (225 $-1.500 $/máquina/año en servidores físicos, 75 $-500 $/máquina/año - en máquinas virtuales). | 59,50 $ al año, por sistema. Se pueden incluir diferentes complementos en la suscripción. También se ofrecen precios por volumen. |
¿Desea más información sobre el cambio a KernelCare?
Transición de Canonical Livepatch a KernelCare
Si ya utilizas Livepatch, puedes cambiar sin esfuerzo a KernelCare, con lo que todas tus distribuciones de Linux estarán bajo un único parche en tiempo real. Instalar KernelCare es sencillo, todo lo que necesitas hacer es ejecutar un breve script en la interfaz de línea de comandos - no más difícil que activar Canonical Livepatch.
Al igual que cuando instala la herramienta Livepatch, KernelCare simplemente se ejecuta en segundo plano, sin interrumpir nunca su funcionamiento. Gracias a la metodología de aplicación persistente de parches de KernelCare, ese único script es todo lo que necesita para eliminar prácticamente los reinicios relacionados con la aplicación de parches, a diferencia del servicio Livepatch de Ubuntu, que requiere reinicios ocasionales.
Conclusión
Si sólo está ejecutando sistemas Ubuntu, realmente se reduce al coste y a su capacidad para adaptarse a las continuas interrupciones relacionadas con el reinicio para integrar los parches críticos del núcleo. ¿Sólo utiliza Ubuntu y necesita suscribirse a Ubuntu Advantage de todos modos? Entonces sí, Livepatch kernel live patching puede ser una opción sensata - dependiendo de lo disruptivo que sea el régimen de parcheo temporal de Livepatch.
Por otro lado, si no necesita todos los extras de una suscripción a Ubuntu Advantage, el uso de KernelCare podría suponer un ahorro significativo. ¿Utiliza varias distribuciones de Linux, y no sólo Ubuntu? Livepatch no cubrirá sus máquinas que no sean Ubuntu y no puede forzar Livepatch para que funcione en RHEL, por ejemplo. También debería considerar KernelCare si los requisitos de Livepatch para reinicios ocasionales causan problemas con sus cargas de trabajo y si necesita reducir el tiempo de inactividad.
Hable con un experto de TuxCare
Cuéntenos sus retos y nuestros expertos le ayudarán a encontrar el mejor enfoque para abordarlos con la línea de productos TuxCare.