Comparación de KernelCare Enterprise
con Canonical Livepatch

Al igual que otros grandes proveedores de Linux, Canonical ha desarrollado su propia herramienta de live patching para Ubuntu: Livepatch. Se supone que Livepatching elimina el tiempo de inactividad aplicando al instante actualizaciones críticas de seguridad del kernel, sin reinicios ni ventanas de mantenimiento.

Pero Livepatch se queda corto donde más importa. Al cubrir sólo el 5-10% de los CVEs de Ubuntu, deja muchas vulnerabilidades de alto riesgo sin parchear, debilitando el propósito mismo de los parches en vivo. Y a pesar de estas lagunas, tiene un coste elevado.

Como alternativa más sólida y completa, KernelCare Enterprise de TuxCare ofrece una cobertura de vulnerabilidades de hasta el 100% en múltiples distribuciones de Linux. A diferencia de Livepatch, proporciona seguridad ininterrumpida sin compromisos. Echemos un vistazo más de cerca a la comparación entre estas dos soluciones.

Nuestra investigación reveló que Canonical Livepatch parchea sólo el 5-10% de todos los CVEs de Ubuntu, dejando la mayoría de las vulnerabilidades sin abordar. Esto crea una falsa sensación de seguridad para los administradores de sistemas - mientras que algunas actualizaciones se aplican, los riesgos críticos permanecen, en última instancia, obligando a los equipos a programar reinicios para asegurar completamente sus sistemas.

Pero si siguen siendo necesarios los reinicios frecuentes, Livepatch no cumple la promesa principal de la aplicación de parches en vivo: eliminar el tiempo de inactividad y garantizar una protección continua. En su lugar, los administradores deben seguir planificando las ventanas de mantenimiento, soportar las interrupciones del servicio y gestionar las brechas de seguridad persistentes, lo que ofrece pocas ventajas reales sobre los métodos tradicionales de aplicación de parches.

Por el contrario, KernelCare Enterprise ofrece una aplicación de parches real y completa. Proporciona parches para todas las vulnerabilidades que aborda el proveedor e incluso va más allá: parchea vulnerabilidades que el proveedor no aborda pero que afectan a un gran número de sistemas o se explotan activamente en la naturaleza^.1

¹ Según el catálogo de CISA https://www.cisa.gov/known-exploited-vulnerabilities-catalog

La aplicación de parches en vivo debería eliminar la necesidad de reiniciar, pero la mayoría de las soluciones no abordan las vulnerabilidades críticas del espacio de usuario. Mientras que el kernel de Linux suele parchearse sin reiniciar, OpenSSL y glibc -componentes clave en la mayoría de los entornos Linux- siguen requiriendo un reinicio completo del servidor para aplicar las correcciones de seguridad. Esto deja a los sistemas expuestos a vulnerabilidades de alto riesgo y obliga a los administradores a programar ventanas de mantenimiento perjudiciales, lo que socava las principales ventajas de la aplicación de parches en tiempo real.

Las vulnerabilidades de OpenSSL y glibc no son menos peligrosas que las CVE del kernel, y algunas de ellas han provocado importantes incidentes de seguridad en el pasado. A pesar de ello, Canonical Livepatch se limita a parchear el kernel, sin ofrecer protección para estas librerías críticas. Como resultado, las organizaciones deben seguir soportando el tiempo de inactividad y las brechas de seguridad, por lo que no es mejor que los parches tradicionales en la práctica.

Para resolver este problema, KernelCare Enterprise ofrece una verdadera aplicación de parches sin reinicio en toda la pila. Amplía la aplicación de parches en vivo más allá del kernel para cubrir las bibliotecas compartidas críticas, los hipervisores QEMU/KVM y los dispositivos IoT, garantizando una seguridad continua sin necesidad de reinicios ni tiempos de inactividad.

Live patching debería proporcionar seguridad continua, pero Canonical impone un estricto límite de tiempo. Los kernels de Ubuntu LTS GA tienen una ventana de soporte deslizante de 13 meses para Livepatch. Si un sistema no se ha reiniciado en ese periodo, los administradores deben instalar la última actualización del kernel y reiniciar para seguir recibiendo parches en vivo. Esto obliga a las organizaciones con ciclos de mantenimiento más largos a ajustar sus calendarios o arriesgarse a perder el soporte de parches en vivo.

Esta limitación socava la flexibilidad que el live patching pretende proporcionar. En lugar de eliminar el tiempo de inactividad, simplemente retrasa la necesidad de reiniciar, dejando a los administradores limitados por el calendario de lanzamientos de Ubuntu.

KernelCare Enterprise elimina estas restricciones, ofreciendo parches en vivo sin plazos de reinicio forzosos. Las organizaciones pueden mantener una protección continua para sus núcleos existentes, sin límites de tiempo artificiales ni reinicios innecesarios.

La aplicación de parches en tiempo real debería proporcionar flexibilidad, pero la mayoría de las soluciones carecen de una característica crítica: la reversión sin reinicio. En algunos casos, un parche puede introducir efectos inesperados en determinados entornos, como el impacto en el rendimiento observado con las mitigaciones de Spectre y Meltdown. Cuando se dispone de medidas alternativas, los administradores necesitan la capacidad de revertir los cambios sin problemas.

KernelCare Enterprise soluciona este problema permitiendo la reversión sin necesidad de reiniciar el sistema, lo que permite a los administradores restaurar rápidamente la estabilidad del sistema en caso necesario.

Canonical Livepatch, sin embargo, no soporta las reversiones sin reinicio. Si es necesario revertir un parche, los administradores se ven obligados a reiniciar el sistema, lo que provoca costosas interrupciones del servicio y limita la eficacia de la aplicación de parches en vivo.

Con un solo comando, KernelCare Enterprise restaura el estado anterior sin tiempo de inactividad, lo que proporciona a los administradores un control total sobre su proceso de aplicación de parches.

La mayoría de las soluciones de live kernel patching se limitan a una única distribución, y Canonical Livepatch no es una excepción: sólo es compatible con sistemas Ubuntu con versiones más recientes del kernel. Esto funciona si toda su infraestructura se ejecuta en las últimas versiones de Ubuntu, pero muchas organizaciones dependen de múltiples distribuciones para diferentes casos de uso, ya que algunas son más adecuadas para cargas de trabajo específicas. Como resultado, Livepatch sólo proporciona una cobertura parcial, dejando lagunas en su estrategia de parcheo en vivo.

KernelCare Enterprise, por otro lado, elimina estas limitaciones al soportar una gama mucho más amplia de distribuciones. Proporciona parches en vivo para Ubuntu, Debian, RHEL, Oracle Linux, AlmaLinux, Rocky Linux, Amazon Linux, y muchos más - cubriendo más de 60 versiones de distribuciones Linux de grado empresarial y más de 9.000 combinaciones de versiones de distribución-núcleo.

Con KernelCare Enterprise, no hay necesidad de hacer malabarismos con múltiples soluciones. Ofrece un enfoque unificado y completo para la aplicación de parches en tiempo real, lo que garantiza una protección continua en todo su entorno Linux.

Canonical Livepatch no es la opción más cara, pero tampoco la más asequible, y no puede adquirirse como producto independiente. En su lugar, se incluye con una suscripción a Ubuntu Pro, que requiere que los usuarios se registren a través de sus cuentas de Ubuntu One.

El precio de Livepatch oscila entre 225 y 3.400 dólares anuales por máquina, en función del nivel de suscripción. En cambio, KernelCare Enterprise de TuxCare cuesta menos de 50 dólares por servidor y año, y ofrece una compatibilidad más amplia y una aplicación de parches sin reinicio más allá de Ubuntu.

Cambiar de Canonical Livepatch a KernelCare Enterprise no supone ningún esfuerzo. La instalación requiere un único script de línea de comandos, tan sencillo como activar Livepatch.

Una vez desplegado, KernelCare se ejecuta silenciosamente en segundo plano, aplicando los parches de seguridad sin interrumpir las operaciones.

Si estás pensando en cambiar, KernelCare ofrece una prueba gratuita de 30 días con todas las funciones, para que experimentes una seguridad ininterrumpida antes de comprometerte.

Elegir la solución de parcheo sin reinicio adecuada depende de sus necesidades. Si su infraestructura se compone únicamente de sistemas Ubuntu y ya está suscrito a Ubuntu Pro, Livepatch puede parecer una opción razonable, aunque deben tenerse en cuenta sus limitaciones, incluida la cobertura restringida de vulnerabilidades y el enfoque exclusivo en parches del kernel.

KernelCare Enterprise ofrece una solución flexible y rentable para organizaciones que buscan reducir costes, dar soporte a múltiples distribuciones de Linux o maximizar la seguridad. Proporciona una cobertura de vulnerabilidades de hasta el 100% para los CVE abordados por los proveedores, eliminando las lagunas de seguridad que dejan otras soluciones. A diferencia de Livepatch, extiende la protección más allá del kernel a bibliotecas críticas del espacio de usuario, hipervisores QEMU/KVM y dispositivos IoT, sin necesidad de reiniciar.

Con una aplicación de parches más completa, mayor compatibilidad y menor coste, KernelCare Enterprise cumple plenamente la promesa principal de la aplicación de parches sin reinicio: minimizar el tiempo de inactividad, reducir los riesgos de seguridad y simplificar las operaciones.