¡Necesitamos sus conocimientos! Complete la encuesta anual de TuxCare sobre Linux y el código abierto para participar y ganar uno de los muchos premios (hasta 500 dólares)! Empiece aquí.
Canonical hace un trabajo sólido de live patching, pero ¿merece la pena pagar las tarifas relativamente altas? Además, ¿qué pasa con tus otras distribuciones de Linux?
Live patching es la mejor manera de instalar actualizaciones de seguridad para sus sistemas Linux. Con live patching, puede poner en marcha las últimas correcciones de seguridad para las vulnerabilidades del kernel, pero sin necesidad de reiniciar el sistema para aplicar el parche. Esto significa que no necesita planificar una ventana de mantenimiento y que sus sistemas permanecen seguros de forma más constante.
Por eso, al igual que otros grandes proveedores de Linux, Canonical decidió desarrollar una herramienta de parcheo en vivo para Ubuntu, llamada Livepatch. Sin embargo, Livepatch tiene dos defectos clave en la forma en que funciona - y es una opción relativamente cara.
Como alternativa, quizás quieras pensar en KernelCare Enterprise de TuxCare. Analicemos en profundidad las diferencias entre ambas herramientas.
Contenido:
El parcheo en vivo del kernel de Linux existe desde hace más de una década, y la primera solución viable surgió en el MIT en 2009. Se llamaba KSplice. El equipo de CloudLinux rápidamente siguió con KernelCare, que ahora es ofrecido por TuxCare, y muchos de los principales proveedores de Linux han producido herramientas de parcheo en vivo también. Para los usuarios de Ubuntu, además de KernelCare Enterprise de TuxCare, existe Livepatch de Canonical para proporcionar actualizaciones de seguridad.
Para todas las herramientas de parcheo en vivo la premisa es esencialmente la misma, aunque la diferencia entre parcheo temporal y parcheo persistente importa, cubrimos eso en la siguiente sección. La herramienta Livepatch toma kernels Linux en ejecución y reemplaza el código afectado sobre la marcha - en un momento hay una vulnerabilidad en el kernel, al momento siguiente se ejecuta código seguro, y no hay necesidad de reiniciar.
Cuando se realiza el proceso de obtener el token de livepatch y se despliega el paquete snap correspondiente, el equipo de administradores de sistemas no tiene que programar una ventana de mantenimiento y esperar a que se produzca un tiempo de inactividad para aplicar un parche. Los parches se aplican de forma coherente y sin demora, lo que significa que hay una ventana de tiempo más pequeña en la que los sistemas son vulnerables.
Canonical tiene una ventana de soporte deslizante de 13 meses para cada revisión de versión de los kernels GA de todas sus versiones Ubuntu LTS. Si no has reiniciado tu sistema en 13 meses y quieres seguir usando Livepatch, tendrás que instalar la última actualización del kernel y luego reiniciar. Esto le llevará a una nueva revisión de esa misma versión del kernel. Esto también reiniciará el reloj para otros 13 meses de soporte de Livepatch para esa versión. Si sus ventanas de mantenimiento son superiores a 13 meses, deberá ajustarlas para asegurarse de que sigue recibiendo parches en vivo para esa versión concreta del núcleo.
KernelCare Enterprise ofrece parches en vivo con un marco temporal prácticamente ilimitado; de hecho, no existe ninguna restricción relacionada con el tiempo entre reinicios. Esto le permite disfrutar de una protección continua para sus núcleos existentes sin estar obligado por el calendario de lanzamientos de Ubuntu a la hora de planificar sus ventanas de mantenimiento.
Canonical no utiliza ningún sistema de clasificación externo de uso común (por ejemplo, puntuación CVSS) y asigna niveles de gravedad de CVE basándose en sus propias calificaciones. Por lo tanto, Livepatch, que proporciona parches para CVEs de gravedad alta y crítica, puede abordar sólo un subconjunto de estas vulnerabilidades según los sistemas de calificación externos comúnmente utilizados.
Al mismo tiempo, Livepatch no aborda correcciones de seguridad de menor prioridad que pueden ser importantes para sus circunstancias específicas. Esto puede ser importante porque una vulnerabilidad del núcleo de gravedad media puede tener diferentes implicaciones dependiendo del caso de uso específico, la naturaleza de los sistemas implicados y el impacto potencial en el entorno. Por ejemplo, una vulnerabilidad de este tipo, que afecte a sistemas expuestos directamente a Internet, podría considerarse más urgente que la misma vulnerabilidad aparecida en redes internas aisladas.
KernelCare Enterprise proporciona parches activos para todas las vulnerabilidades que el proveedor aborda y que suponen una amenaza de explotación. Incluso proporciona parches activos para vulnerabilidades que el proveedor no aborda pero que siguen afectando a un gran número de sistemas o que se sabe que están siendo explotadas activamente en la naturaleza. 1.
Si el administrador del sistema lo decide, por el motivo que sea, KernelCare Enterprise permite deshacer cualquier parche, un proceso que tampoco implica reinicios. Esto puede ser particularmente útil en situaciones en las que el parche tiene un impacto negativo considerable en el rendimiento de un sistema (por ejemplo, correcciones de Spectre/Meltdown ) y hay otras mitigaciones disponibles. Canonical, por otro lado, no soporta la funcionalidad de reversión sin reinicio. Esto puede causar costosas interrupciones del servicio comprometiendo el principal beneficio del parcheo en vivo.
Si un parche no funciona como se esperaba, es bueno saber que se puede volver fácilmente a un kernel anterior si es necesario. Con KernelCare Enterprise, siempre puede revertir todos los cambios aplicados mediante la ejecución de un comando especial que no requiere reiniciar el sistema - la eliminación de la interrupción de una posible reversión, que Livepatch no puede proporcionar.
La mayoría de las herramientas de live kernel patching gestionadas sólo funcionan para una distribución específica de Linux, y ese es el caso de Canonical Ubuntu Livepatch también, que sólo soporta sistemas Ubuntu, y sólo los kernels 4.4 y más recientes. Eso está bien si toda tu carga de trabajo se basa en las últimas distribuciones de Ubuntu - pero no te cubrirá para otras distribuciones de Linux. Como algunas distribuciones de Linux están mejor adaptadas para algunos escenarios, es común encontrar múltiples distribuciones funcionando cumpliendo diferentes roles en una organización dada. Por lo tanto, Livepatch sólo cubriría parcialmente sus necesidades de live patching.
KernelCare Enterprise, por otro lado, soporta una gama mucho más amplia de distribuciones, incluyendo parcheo en vivo del kernel para RHEL, Debian, Oracle Linux, AlmaLinux, Amazon Linux, etc. (de hecho, cubre más de 40 versiones diferentes de distribuciones Linux de grado empresarial, y más de 4000 combinaciones de distribución+versión del kernel). Es una solución integral que significa que no necesita ejecutar múltiples soluciones de parcheo en vivo para cubrir todos sus sistemas basados en Linux.
Ubuntu Livepatch de Canonical no es la solución de live patching más cara para parches críticos del kernel, pero tampoco es la más barata. No se puede obtener Livepatch como un producto independiente, sólo se incluye como parte de una suscripción de Ubuntu Pro a la que los usuarios se suscriben utilizando sus cuentas de Ubuntu One.
Los precios van desde 225 dólares por máquina al año, hasta 3.400 dólares por máquina al año. KernelCare Enterprise de TuxCare cuesta menos de 60 dólares por servidor y año.
Canonical Ubuntu Livepatch | KernelCare Enterprise Live Patching | |
---|---|---|
Distribuciones compatibles | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04 | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04, así como Red Hat, Oracle, AlmaLinux y muchos otros. |
Arquitecturas | x86-64 | x86-64, arm64 |
Cobertura | Núcleo Linux | Núcleo Linux y espacio de usuario crítico (glibc y openssl) |
Vulnerabilidades parcheadas | Subgrupo de alto y crítico | Todos |
Vida útil de los parches del núcleo | 13 meses | Prácticamente ilimitado |
Parches personalizados | No | Sí (consúltenos para versiones o configuraciones especiales) |
Parcheado de QEMU | No | Sí |
Parcheado de bases de datos | No | Sí |
Asistencia 24/7 | Sí, con una suscripción de pago | Sí, en línea, 24 horas al día, 7 días a la semana, 365 días al año, con distintas prioridades según el abono. |
Distribución de parches | Un único patchset para todos los parches | Un único patchset para todos los parches |
¿Está disponible la API? | Sí | Sí |
Función de retroceso | Sí, con un reinicio | Sí, sin reinicio |
¿Está disponible para nuevos clientes? | Sólo clientes de Ubuntu | Sí, y más de 60 versiones de distribuciones compatibles. |
Tipo de parcheado | Persistente | Persistente |
Complementos | - | Parches personalizados, QEMU, parches para bases de datos |
Coste del Live Patching | Incluido como parte de todos los paquetes Ubuntu Pro (225 $-3.400 $/máquina/año). | 49,50 $ al año, por sistema. Se pueden incluir diferentes complementos en la suscripción. Se ofrecen precios por volumen. |
Si ya estás usando Livepatch, puedes cambiar sin esfuerzo a KernelCare, trayendo todas tus distribuciones de Linux bajo un único parche en vivo. Instalar KernelCare es sencillo, todo lo que necesitas hacer es ejecutar un pequeño script en la interfaz de línea de comandos - no más difícil que activar Canonical Livepatch.
Al igual que cuando instala la herramienta Livepatch, KernelCare simplemente se ejecuta en segundo plano, sin interrumpir nunca su funcionamiento. Gracias a la metodología de aplicación persistente de parches de KernelCare, ese único script es todo lo que necesita para eliminar prácticamente los reinicios relacionados con la aplicación de parches, a diferencia del servicio Livepatch de Ubuntu, que requiere reinicios ocasionales.
Si sólo está ejecutando sistemas Ubuntu, realmente se reduce al coste y a su capacidad para adaptarse a las continuas interrupciones relacionadas con el reinicio para integrar los parches críticos del núcleo. ¿Sólo utiliza Ubuntu, y necesita suscribirse a Ubuntu Pro de todos modos? Entonces sí, Livepatch kernel live patching puede ser una opción sensata - dependiendo de lo disruptivo que sea el régimen de parcheo temporal de Livepatch.
Por otro lado, si no necesita todos los extras de una suscripción a Ubuntu Pro, el uso de KernelCare podría suponer un ahorro significativo. ¿Utiliza varias distribuciones de Linux, y no sólo Ubuntu? Livepatch no cubrirá sus máquinas que no sean Ubuntu y no puede forzar Livepatch para que funcione en RHEL, por ejemplo. También debería considerar KernelCare si los requisitos de Livepatch para reinicios ocasionales causan problemas con sus cargas de trabajo y si necesita reducir el tiempo de inactividad.
1 Según el catálogo de CISA https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Cuéntenos sus retos y nuestros expertos le ayudarán a encontrar el mejor enfoque para abordarlos con la línea de productos TuxCare.