The Oracle Linux 7 end-of-life date is almost here! To complete a safe migration without rushing, stay protected with Endless Lifecycle Support
¿Tiene problemas con las ventanas de mantenimiento y le preocupan los mecanismos de parcheo imperfectos y el impacto en sus operaciones de seguridad de Red Hat? El parcheo en vivo del kernel de Linux, también conocido como parcheo en caliente, es la respuesta a ambos retos - pero no todas las herramientas de parcheo en vivo del kernel se crean igual.
La mayoría de los proveedores de Linux para empresas han lanzado herramientas de parcheo en vivo, incluida la herramienta de Red Hat para Red Hat Enterprise Linux (RHEL), llamada kpatch. Adoptar la aplicación de parches en vivo es ahora la mejor práctica de ciberseguridad y utilizar la mejor herramienta para sus necesidades es fundamental.
kpatch aplica cambios al kernel mientras se está ejecutando y, por lo tanto, mitiga los desafíos en torno a las ventanas de mantenimiento. Ha estado soportando cargas de trabajo de servidor basadas en Red Hat desde la primera versión de kpatch en 2014, pero tiene sus pros y sus contras. Echemos un vistazo.
Tabla de contenidos
Red Hat Kpatch | KernelCare Enterprise con el complemento LibCare | |
---|---|---|
Distribuciones compatibles | Red Hat Enterprise Linux | Red Hat Enterprise Linux 6, 7, 8 y 9, así como Ubuntu, Oracle, AlmaLinux y muchos otros. |
Arquitecturas | x86-64 | x86-64, arm64 |
Cobertura | Núcleo Linux | Núcleo Linux y espacio de usuario crítico (glibc y openssl) |
Vulnerabilidades parcheadas | Subgrupo de alto y crítico | Todos |
Vida útil de los parches del núcleo | 6 meses | Prácticamente ilimitado |
Parches personalizados | Sí | Sí |
Parcheado de QEMU | No | Sí |
Asistencia 24/7 | No, 24×7 para casos de gravedad 1 y 2, de lo contrario, horario laboral estándar (para abonados Premium). | Sí, en línea, 24 horas al día, 7 días a la semana, 365 días al año, con distintas prioridades según el abono. |
Distribución del conjunto de parches | Un único patchset para todos los parches | Un único patchset para todos los parches |
API disponible | No | Sí |
Función de retroceso | Sí, con un reinicio | Sí, sin reinicio |
Disponible para nuevos clientes | Sólo para RHEL | Sí, admite más de 60 versiones de distribuciones |
Tipo de parcheado | Persistente | Persistente |
Complementos | - | Parches personalizados, QEMU, parches para bases de datos |
Costes | Incluido con la suscripción a RedHat a 879 dólares al año, por máquina. | 49,50 $ al año, por sistema. Se pueden incluir diferentes complementos en la suscripción. Se ofrecen precios por volumen. |
La decisión de Red Hat de introducir kpatch en la línea principal del núcleo Linux llegó un poco tarde, dado que se desarrolló después de KSplice -el proyecto del MIT- y después de KernelCare, desarrollado por el equipo de CloudLinux. Al igual que sus homólogos, kpatch realiza el parcheado en vivo mediante el intercambio en caliente de una función de sustitución que contiene una versión parcheada del código del núcleo.
En otras palabras, kpatch le permite aplicar parches de seguridad a sus cargas de trabajo basadas en Red Hat, sin necesidad de reiniciar inmediatamente el servidor después de aplicar los parches. La herramienta fue desarrollada internamente por Red Hat, y en un principio era similar a kGraft, una herramienta desarrollada por el equipo de SUSE Linux. Dado lo estrechamente relacionado que está kGraft con kpatch, las dos organizaciones decidieron trabajar juntas y unificar sus esfuerzos.
El kernel de Red Hat deja de recibir parches vivos del kernel tras un periodo de seis meses desde su lanzamiento. Para recibir actualizaciones continuas de kpatch, los clientes deben actualizar el kernel y realizar al menos dos reinicios al año. En consecuencia, los clientes deben alinear sus ventanas de mantenimiento con el calendario de lanzamientos del proveedor.
En comparación, KernelCare Enterprise ofrece parches activos con un plazo prácticamente ilimitado. Esto permite a los clientes disfrutar de una protección continua para sus kernels existentes sin estar obligados por el calendario de lanzamientos del proveedor a la hora de planificar sus ventanas de mantenimiento.
kpatch es una opción para cualquiera que ejecute Red Hat Enterprise Linux (RHEL). Después de todo, está construido y mantenido por desarrolladores de Red Hat. Sin embargo, cualquiera que ejecute RHEL 6, o ciertas versiones de RHEL 7 no estará cubierto por los parches en caliente de kpatch. Sólo RHEL 8, 7.7 y 7.6 están soportados.
Algunas distribuciones de Linux que no son RHEL, incluyendo versiones específicas de Ubuntu, Debian y Gentoo, también son técnicamente compatibles, pero los clientes que deseen utilizar kpatch con estas distribuciones deben crear manualmente los parches en vivo necesarios utilizando la herramienta ellos mismos. Es importante tener en cuenta que la creación de parches en vivo no suele ser un proceso sencillo y requiere conocimientos específicos. Si no se tiene cuidado, puede presentar algunos problemas importantes.
Si está ejecutando una versión de RHEL, Ubuntu o Debian que no es compatible con kpatch, o de hecho otra distribución de Linux como CentOS o Amazon Linux, tendrá que mirar hacia KernelCare Enterprise para soporte de parches en vivo.
Otro aspecto crítico a considerar es cómo kpatch gestiona la cobertura de vulnerabilidades. Sólo se ocupa de las CVEs (Common Vulnerabilities and Exposures) altas y críticas. Sin embargo, Red Hat puede ajustar las puntuaciones originales de gravedad de estos CVEs asignadas por la Base de Datos Nacional de Vulnerabilidades basándose en sus propios criterios. Esto significa que kpatch puede no abordar todas las vulnerabilidades consideradas altas y críticas por los sistemas de calificación externos. Además, incluso entre las vulnerabilidades que Red Hat sigue clasificando como altas y críticas, su documentación especifica que no todas están garantizadas para ser parcheadas usando su servicio de parcheo en vivo. Al mismo tiempo, algunas vulnerabilidades menos críticas ajustadas por Red Hat podrían seguir planteando riesgos significativos en entornos con configuraciones y necesidades de seguridad específicas.
En caso de que un administrador del sistema lo decida, por el motivo que sea, KernelCare Enterprise permite revertir cualquier parche, un proceso que tampoco implica reinicios. Esto puede ser especialmente útil en situaciones en las que el parche tiene un impacto negativo considerable en el rendimiento de un sistema (por ejemplo, correcciones de Spectre/Meltdown ) y hay otras mitigaciones disponibles. kpatch, por otro lado, no admite la funcionalidad de reversión sin reinicio. Esto puede causar costosas interrupciones del servicio, comprometiendo el principal beneficio de la aplicación de parches en vivo.
Si un parche no funciona como se esperaba, es bueno saber que se puede revertir fácilmente a un kernel anterior si es necesario. Con KernelCare Enterprise, siempre puede revertir todos los cambios aplicados mediante la ejecución de un comando especial que no requiere reiniciar el sistema - la eliminación de la interrupción de una posible reversión, que kpatch no puede proporcionar.
Por cierto, si opta por KernelCare Enterprise, tendrá un precio asequible que se reduce a menos de 50 dólares por servidor y año. KernelCare es compatible con una amplia gama de distribuciones de Linux y ofrece un conjunto de funciones relativamente completo.
El coste de implementar kpatch es significativamente mayor a menos que ya esté suscrito a un plan de soporte de RHEL. Esto se debe a que kpatch sólo está disponible para los clientes de Red Hat con un plan de soporte Premium, que cuesta 879 dólares al año, por máquina.
Si es cliente del Soporte Premium de Red Hat y utiliza exclusivamente RHEL en sus servidores, puede que le interese kpatch, puesto que ya está incluido en su acuerdo con Red Hat.
Las organizaciones que ejecutan una mezcla de distribuciones de Linux o que no necesitan todas las campanas y silbatos adicionales incluidos en un contrato de soporte de Red Hat deberían considerar seriamente KernelCare Enterprise como una de las herramientas alternativas a kpatch, dado el menor coste de KernelCare Enterprise y su conjunto de características más amplio. Finalmente, si como muchas organizaciones, simplemente no puede permitirse los reinicios que implica la limitada vida útil de los parches del kernel de kpatch y las reversiones que requieren reinicios no planificados de sus sistemas, entonces KernelCare es su mejor opción.
Pasar del mecanismo de parcheo de kpatch a KernelCare Enterprise es muy sencillo. Todo lo que necesita es un sencillo script de inicio rápido para instalar KernelCare, y sus sistemas Linux disfrutarán de parches en vivo ccontinuos en todos los ámbitos.
La instalación de KernelCare Enterprise no interrumpe las cargas de trabajo existentes y mantiene las funciones originales de kpatch. Sin embargo, KernelCare hace mucho más al minimizar por completo las interrupciones gracias a la aplicación permanente de parches, lo que significa que nunca tendrá que reiniciar. Si aún no está seguro, ¿por qué no lo prueba? KernelCare está disponible como versión de prueba de 30 días, con todas las funciones y sin compromiso de compra.
Cuéntenos sus retos y nuestros expertos le ayudarán a encontrar el mejor enfoque para abordarlos con la línea de productos TuxCare.