Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
La aplicación de parches en vivo al núcleo de Linux está transformando las operaciones de seguridad, pero ¿es Kpatch de Red Hat la mejor opción para sus cargas de trabajo?
¿Tiene problemas con las ventanas de mantenimiento y le preocupan los mecanismos de parcheo imperfectos y el impacto en sus operaciones de seguridad de Red Hat? El parcheo en vivo del kernel de Linux, también conocido como parcheo en caliente, es la respuesta a ambos retos - pero no todas las herramientas de parcheo en vivo del kernel se crean igual.
La mayoría de los proveedores de Linux empresarial han lanzado herramientas de parcheo en vivo, incluida la herramienta de Red Hat para Red Hat Enterprise Linux (RHEL), llamada Kpatch. Adoptar la aplicación de parches en vivo es ahora la mejor práctica de ciberseguridad y utilizar la mejor herramienta para sus necesidades es fundamental.
Kpatch aplica cambios al kernel mientras se está ejecutando y, por lo tanto, mitiga los desafíos en torno a las ventanas de mantenimiento. Ha estado soportando cargas de trabajo de servidor basadas en Red Hat desde la primera versión de Kpatch en 2014, pero tiene sus pros y sus contras. Echemos un vistazo.
Tabla de contenidos
- Presentación de Kpatch: parcheado dinámico del kernel
- Diferencia entre parcheado temporal y persistente del núcleo de Linux
- Núcleos Linux compatibles
- ¿Y los costes?
- Cuadro comparativo rápido
- Transición de la utilidad Kpatch a KernelCare
- Elegir entre Kpatch y KernelCare
Presentación de Kpatch: parcheado dinámico del kernel
La decisión de Red Hat de introducir Kpatch en la línea principal del núcleo Linux llegó un poco tarde, dado que se desarrolló después de KSplice -el proyecto del MIT- y después de KernelCare, desarrollado por el equipo de CloudLinux. Al igual que sus homólogos, Kpatch realiza el parcheado en vivo mediante el intercambio en caliente de una función de sustitución que contiene una versión parcheada del código del núcleo.
En otras palabras, Kpatch le permite aplicar parches de seguridad a sus cargas de trabajo basadas en Red Hat, sin necesidad de reiniciar inmediatamente el servidor después de aplicar los parches. La herramienta fue desarrollada internamente por Red Hat, y en un principio era similar a kGraft, una herramienta desarrollada por el equipo de SUSE Linux. Dado lo estrechamente relacionado que está kGraft con Kpatch, las dos organizaciones decidieron trabajar juntas y unificar sus esfuerzos.
Diferencia entre parcheado temporal y persistente del núcleo de Linux
Aquí hay un punto clave a entender sobre el parcheado dinámico del kernel Kpatch. Cuando se realizan parches en vivo o como solía llamarse, parches dinámicos del kernel, hay dos rutas: parches temporales y parches persistentes. Kpatch se basa en la aplicación temporal de parches en vivo, que es exactamente lo que dice, una forma temporal de instalar parches críticos en una carga de trabajo en ejecución sin reiniciar.
Sin embargo, los parches temporales no están totalmente integrados, y depender de parches temporales continuos acabará degradando el rendimiento, hasta que se reinicie el kernel en ejecución. Sí, ayuda a mitigar los retos en torno a los parches, pero depender de parches temporales para los módulos del kernel no es una cura perfecta.
Una forma mejor de aplicar los parches es el parcheado persistente, en el que cada parche activo del kernel contiene una corrección acumulativa en un solo binario. Los módulos de parches no se aplican unos sobre otros, no hay degradación del rendimiento ni necesidad de reiniciar el sistema. Y, cuando se trata de parchear, se puede argumentar que eliminar los reinicios necesarios para actualizar la versión del núcleo es realmente el objetivo principal.
Núcleos Linux compatibles
Kpatch es una opción para cualquiera que ejecute Red Hat Enterprise Linux (RHEL). Después de todo, está construido y mantenido por desarrolladores de Red Hat. Sin embargo, cualquiera que ejecute RHEL 6 o ciertas versiones de RHEL 7 no estará cubierto por los parches en caliente de Kpatch. Sólo RHEL 8, 7.7 y 7.6 son compatibles. Algunas distribuciones de Linux que no son RHEL también están soportadas, incluyendo versiones específicas de Ubuntu, Debian y Gentoo.
Si está ejecutando una versión de RHEL, Ubuntu o Debian que no es compatible con Kpatch, o de hecho otra distribución de Linux como CentOS o Amazon Linux, tendrá que mirar hacia KernelCare para soporte de parches en vivo.
¿Y los costes?
Por cierto, si opta por KernelCare Enterprise, tendrá un precio asequible que se reduce a menos de 60 $/servidor al año. Además, KernelCare ofrece un conjunto de funciones relativamente completo, con parches permanentes y compatibilidad con una amplia gama de distribuciones de Linux.
El coste de implementar Kpatch es significativamente mayor a menos que ya esté suscrito a un plan de soporte de RHEL. Esto se debe a que Kpatch sólo está disponible para los clientes de Red Hat con un plan de soporte Premium, que cuesta 1.299 dólares al año, por máquina.
Cuadro comparativo
| Red Hat Enterprise Linux | KernelCare Enterprise con el complemento LibCare | |
|---|---|---|
| Distribuciones compatibles | Red Hat Enterprise Linux | Red Hat Enterprise Linux 6, 7, 8 y 9, así como Ubuntu, Oracle, AlmaLinux y muchos otros. |
| Arquitecturas | x86-64 | x86-64, arm64 |
| Cobertura | Núcleo Linux | Núcleo Linux y espacio de usuario crítico (glibc y openssl) |
| Vulnerabilidades parcheadas | Subgrupo de alto y crítico | Todos |
| Vida útil de los parches del núcleo | 6 meses | Prácticamente ilimitado |
| Parches personalizados | Sí | Sí |
| Parcheado de QEMU | No | Sí |
| Corrección de bases de datos | No | Sí |
| Asistencia 24/7 | No, 24×7 para casos de gravedad 1 y 2, de lo contrario, horario laboral estándar (para abonados Premium). | Sí, en línea, 24 horas al día, 7 días a la semana, 365 días al año, con distintas prioridades según el abono. |
| Distribución del conjunto de parches | No hay canal de distribución, los parches son independientes | Un único patchset para todos los parches |
| API disponible | No | Sí |
| Función de retroceso | Sí | Sí, sin reinicio |
| Disponible para nuevos clientes | Sólo para RHEL | Sí, más de 40 distribuciones compatibles |
| Tipo de parcheado | Temporal | Persistente |
| Complementos | - | Parches personalizados, QEMU, parches para bases de datos |
| Costes | Incluido con la suscripción a RedHat a 349 dólares al año por zócalo de CPU. | 59,50 $ al año, por sistema. Se pueden incluir diferentes complementos en la suscripción. También se ofrecen precios por volumen. |
¿Desea más información sobre el cambio a KernelCare?
Transición de la utilidad Kpatch a KernelCare
Pasar del mecanismo de aplicación de parches de kernel en vivo Kpatch a KernelCare Enterprise es muy sencillo. Todo lo que se necesita es un sencillo script de inicio rápido para instalar KernelCare, y sus sistemas Linux disfrutarán de parches continuos y permanentes en todos los ámbitos.
La instalación de KernelCare Enterprise no interrumpe las cargas de trabajo existentes y mantiene las funciones originales de Kpatch. Sin embargo, KernelCare hace mucho más al minimizar por completo las interrupciones gracias a la aplicación permanente de parches, lo que significa que nunca tendrá que reiniciar.
Elegir entre Kpatch y KernelCare
Si es cliente de soporte premium de Red Hat y utiliza exclusivamente RHEL en sus servidores, y si la aplicación temporal de parches en el kernel no le supone un consumo excesivo de recursos o tiempo de inactividad, puede considerar Kpatch, puesto que ya está incluido en su acuerdo con Red Hat.
Las organizaciones que ejecutan una mezcla de distribuciones de Linux o que no necesitan todas las campanas y silbatos adicionales incluidos en un contrato de soporte de Red Hat deben considerar seriamente KernelCare como una de las herramientas alternativas a Kpatch, dado el menor coste de KernelCare Enterprise y su conjunto de características más amplio. Finalmente, si como muchas organizaciones, usted simplemente no puede permitirse los reinicios que implica el método de parcheo en vivo temporal de Kpatch, entonces KernelCare es su mejor opción.
Hable con un experto de TuxCare
Cuéntenos sus retos y nuestros expertos le ayudarán a encontrar el mejor enfoque para abordarlos con la línea de productos TuxCare.