Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
¿Qué significa el fin del ciclo de vida para los usuarios de Linux en la empresa? Lea esta completa guía para averiguarlo.
La aplicación de parches en vivo al núcleo de Linux está transformando las operaciones de seguridad, pero ¿es kpatchde Red Hat la mejor opción para sus cargas de trabajo?
¿Tiene problemas con las ventanas de mantenimiento y le preocupan los mecanismos de parcheo imperfectos y el impacto en sus operaciones de seguridad de Red Hat? El parcheo en vivo del kernel de Linux, también conocido como parcheo en caliente, es la respuesta a ambos retos - pero no todas las herramientas de parcheo en vivo del kernel se crean igual.
La mayoría de los proveedores de Linux para empresas han lanzado herramientas de parcheo en vivo, incluida la herramienta de Red Hat para Red Hat Enterprise Linux (RHEL), llamada kpatch. Adoptar la aplicación de parches en vivo es ahora la mejor práctica de ciberseguridad y utilizar la mejor herramienta para sus necesidades es fundamental.
kpatch aplica cambios al kernel mientras se está ejecutando y, por lo tanto, mitiga los desafíos en torno a las ventanas de mantenimiento. Ha estado soportando cargas de trabajo de servidor basadas en Red Hat desde la primera versión de kpatch en 2014, pero tiene sus pros y sus contras. Echemos un vistazo.
Tabla de contenidos
- Presentación de kpatch: parcheado dinámico del núcleo
- Vida útil de los parches del núcleo
- Núcleos Linux compatibles
- Función de reversión
- ¿Y los costes?
- Cuadro comparativo rápido
- Transición de la utilidad kpatch a KernelCare
- Elegir entre kpatch y KernelCare
Presentación de kpatch: parcheado dinámico del núcleo
La decisión de Red Hat de introducir kpatch en la línea principal del núcleo Linux llegó un poco tarde, dado que se desarrolló después de KSplice -el proyecto del MIT- y después de KernelCare, desarrollado por el equipo de CloudLinux. Al igual que sus homólogos, kpatch realiza el parcheado en vivo mediante el intercambio en caliente de una función de sustitución que contiene una versión parcheada del código del núcleo.
En otras palabras, kpatch le permite aplicar parches de seguridad a sus cargas de trabajo basadas en Red Hat, sin necesidad de reiniciar inmediatamente el servidor después de aplicar los parches. La herramienta fue desarrollada internamente por Red Hat, y en un principio era similar a kGraft, una herramienta desarrollada por el equipo de SUSE Linux. Dado lo estrechamente relacionado que está kGraft con kpatch, las dos organizaciones decidieron trabajar juntas y unificar sus esfuerzos.
Vida útil de los parches del núcleo
El kernel de Red Hat deja de recibir parches vivos del kernel tras un periodo de seis meses desde su lanzamiento. Para recibir actualizaciones continuas de kpatch, los clientes deben actualizar el kernel y realizar al menos dos reinicios al año. En consecuencia, los clientes deben alinear sus ventanas de mantenimiento con el calendario de lanzamientos del proveedor.
En comparación, KernelCare Enterprise ofrece parches activos con un plazo prácticamente ilimitado. Esto permite a los clientes disfrutar de una protección continua para sus kernels existentes sin estar obligados por el calendario de lanzamientos del proveedor a la hora de planificar sus ventanas de mantenimiento.
Núcleos Linux compatibles
kpatch es una opción para cualquiera que ejecute Red Hat Enterprise Linux (RHEL). Después de todo, está construido y mantenido por desarrolladores de Red Hat. Sin embargo, cualquiera que ejecute RHEL 6, o ciertas versiones de RHEL 7 no estará cubierto por los parches en caliente de kpatch. Sólo RHEL 8, 7.7 y 7.6 son compatibles. Algunas distribuciones de Linux que no son RHEL también están soportadas, incluyendo versiones específicas de Ubuntu, Debian y Gentoo.
Si está ejecutando una versión de RHEL, Ubuntu o Debian que no es compatible con kpatch, o de hecho otra distribución de Linux como CentOS o Amazon Linux, tendrá que mirar hacia KernelCare Enterprise para soporte de parches en vivo.
Función de reversión
En caso de que un administrador del sistema lo decida, por el motivo que sea, KernelCare Enterprise permite revertir cualquier parche, un proceso que tampoco implica reinicios. Esto puede ser especialmente útil en situaciones en las que el parche tiene un impacto negativo considerable en el rendimiento de un sistema (por ejemplo, correcciones de Spectre/Meltdown ) y hay otras mitigaciones disponibles. kpatch, por otro lado, no admite la funcionalidad de reversión sin reinicio. Esto puede causar costosas interrupciones del servicio, comprometiendo el principal beneficio de la aplicación de parches en vivo.
Si un parche no funciona como se esperaba, es bueno saber que se puede revertir fácilmente a un kernel anterior si es necesario. Con KernelCare Enterprise, siempre puede revertir todos los cambios aplicados mediante la ejecución de un comando especial que no requiere reiniciar el sistema - la eliminación de la interrupción de una posible reversión, que kpatch no puede proporcionar.
¿Y los costes?
Por cierto, si opta por KernelCare Enterprise, tendrá un precio asequible que se reduce a menos de 60 $/servidor al año. Además, KernelCare ofrece un conjunto de funciones relativamente completo, con parches permanentes y compatibilidad con una amplia gama de distribuciones de Linux.
El coste de implementar kpatch es significativamente más alto a menos que ya esté suscrito a un plan de soporte de RHEL. Esto se debe a que kpatch sólo está disponible para los clientes de Red Hat con un plan de soporte Premium, que cuesta 1.299 dólares al año, por máquina.
Cuadro comparativo
| Red Hat Kpatch | KernelCare Enterprise con el complemento LibCare | |
|---|---|---|
| Distribuciones compatibles | Red Hat Enterprise Linux | Red Hat Enterprise Linux 6, 7, 8 y 9, así como Ubuntu, Oracle, AlmaLinux y muchos otros. |
| Arquitecturas | x86-64 | x86-64, arm64 |
| Cobertura | Núcleo Linux | Núcleo Linux y espacio de usuario crítico (glibc y openssl) |
| Vulnerabilidades parcheadas | Subgrupo de alto y crítico | Todos |
| Vida útil de los parches del núcleo | 6 meses | Prácticamente ilimitado |
| Parches personalizados | Sí | Sí |
| Parcheado de QEMU | No | Sí |
| Corrección de bases de datos | No | Sí |
| Asistencia 24/7 | No, 24×7 para casos de gravedad 1 y 2, de lo contrario, horario laboral estándar (para abonados Premium). | Sí, en línea, 24 horas al día, 7 días a la semana, 365 días al año, con distintas prioridades según el abono. |
| Distribución del conjunto de parches | Un único patchset para todos los parches | Un único patchset para todos los parches |
| API disponible | No | Sí |
| Función de retroceso | Sí, con un reinicio | Sí, sin reinicio |
| Disponible para nuevos clientes | Sólo para RHEL | Sí, más de 40 distribuciones compatibles |
| Tipo de parcheado | Persistente | Persistente |
| Complementos | - | Parches personalizados, QEMU, parches para bases de datos |
| Costes | Incluido con la suscripción a RedHat a 1.299 dólares al año, por máquina. | 59,50 $ al año, por sistema. Se pueden incluir diferentes complementos en la suscripción. También se ofrecen precios por volumen. |
¿Desea más información sobre el cambio a KernelCare?
Transición de la utilidad kpatch a KernelCare
Pasar del mecanismo de parcheo de kpatch a KernelCare Enterprise es muy sencillo. Todo lo que necesita es un sencillo script de inicio rápido para instalar KernelCare, y sus sistemas Linux disfrutarán de parches en vivo ccontinuos en todos los ámbitos.
La instalación de KernelCare Enterprise no interrumpe las cargas de trabajo existentes y mantiene las funciones originales de kpatch. Sin embargo, KernelCare hace mucho más al minimizar por completo las interrupciones gracias a la aplicación permanente de parches, lo que significa que nunca tendrá que reiniciar.
Elegir entre kpatch y KernelCare
Si es cliente del Soporte Premium de Red Hat y utiliza exclusivamente RHEL en sus servidores, puede que le interese kpatch, puesto que ya está incluido en su acuerdo con Red Hat.
Las organizaciones que ejecutan una mezcla de distribuciones de Linux o que no necesitan todas las campanas y silbatos adicionales incluidos en un contrato de soporte de Red Hat deberían considerar seriamente KernelCare Enterprise como una de las herramientas alternativas a kpatch, dado el menor coste de KernelCare Enterprise y su conjunto de características más amplio. Finalmente, si como muchas organizaciones, usted simplemente no puede permitirse los reinicios que implica la limitada vida útil de los parches en vivo de kpatch y los rollbacks que requieren reinicios no planificados de sus sistemas, entonces KernelCare es su mejor opción.
Hable con un experto de TuxCare
Cuéntenos sus retos y nuestros expertos le ayudarán a encontrar el mejor enfoque para abordarlos con la línea de productos TuxCare.
