Support technique
Documentation
Connexion
Nous contacter
Amazon Kernel Live Patching : Aperçu du Live Patching pour les entreprises
14 décembre 2020 - L'équipe d'experts de TuxCare
Nous savons que la mise à jour fréquente des noyaux Linux est essentielle à la sécurité des environnements en nuage - les noyaux le sont, après tout, un angle mort de la cybersécurité. Mais la mise à jour des noyaux prend du temps et nécessite souvent un redémarrage du serveur, ce qui peut perturber les services.
C'est pourquoi l'application de correctifs en direct aux noyaux est si importante et pourquoi Amazon offre la possibilité d'appliquer automatiquement des correctifs aux instances Amazon Linux 2. Dans cet article, nous expliquons comment le live patching des noyaux Linux fonctionne dans AWS, pourquoi le live patching d'Amazon n'est peut-être pas la meilleure solution - et ce que vous pouvez faire pour appliquer le live patching si vos serveurs Linux ne sont pas hébergés chez AWS.
Contenu :
-
Qu'est-ce que l'Amazon Kernel Live Patching et pourquoi en avez-vous besoin ?
-
Quels correctifs peuvent être appliqués par Amazon Kernel Live Patching ?
Qu'est-ce que l'Amazon Kernel Live Patching et pourquoi en avez-vous besoin ?
La gestion des correctifs est un problème majeur pour les entreprises, grandes et petites. Des failles de sécurité sont découvertes, exploitées et corrigées chaque jour de la semaine. En fait, le noyau Linux est corrigé un nombre incalculable de fois au cours d'une année donnée - et le fait de ne pas appliquer les correctifs signifie que des acteurs malveillants peuvent exploiter un noyau vulnérable.
En effet, au niveau de l'entreprise, l'application de correctifs au noyau est devenue une question de conformité.. Les grandes organisations doivent appliquer fréquemment des correctifs car, si elles ne le font pas, une brèche peut entraîner une perte de données qui affecte un grand nombre de personnes, avec des conséquences importantes.
Mais l'application fréquente de correctifs peut entraîner des interruptions de service constantes, car les serveurs Linux sont mis hors ligne pour être redémarrés. Ces efforts permanents de correction et de redémarrage prennent également beaucoup de temps. Cela conduit à une impasse difficile. Il faut choisir entre des correctifs coûteux et perturbateurs ou vivre avec un degré de risque inacceptable.
L'application de correctifs en direct est la solution, et c'est pourquoi Amazon a déployé la technologie d'application de correctifs en direct pour les instances Linux 2 fonctionnant sur AWS. Les correctifs en direct sont pris en charge lorsque vous utilisez Amazon Linux 2 et que la version de votre noyau est 4.14.165-131.185 ou ultérieure.
Notez que le Live Patching du noyau d'Amazon Linux 2 ne fonctionne que dans les environnements x86_64, ARM64 n'est pas pris en charge. Les serveurs Linux basés sur ARM ont également besoin de Live Patching.Bien entendu, il existe une solution alternative pour les entreprises qui exploitent des charges de travail ARM. via KernelCare.
Quels correctifs peuvent être appliqués par Amazon Kernel Live Patching ?
AWS offre la possibilité d'appliquer deux types de correctifs de noyau sans redémarrer le serveur Linux. Tout d'abord, vous pouvez appliquer les corrections de bogues typiques publiées par Amazon, y compris les correctifs du noyau destinés à améliorer la stabilité des serveurs Amazon Linux 2.
Plus important encore, grâce aux correctifs en direct, votre entreprise peut s'assurer que les mises à jour de sécurité critiques sont rapidement appliquées sans devoir mettre les serveurs hors ligne. Nous parlons bien sûr des CVE, les vulnérabilités et expositions communes de Linux.
Lorsqu'un CVE est classé comme important ou critique par Amazon Linux Security Advisory, cette mise à jour sera incluse dans le régime des correctifs actifs. Il arrive également qu'Amazon mette à disposition un correctif actif même si un CVE n'a pas encore été attribué.
Notez que la disponibilité des correctifs en direct est limitée dans le temps : vous ne pouvez appliquer un correctif en direct à un noyau que trois mois après sa publication.
Comment activer le Live Patching du noyau d'Amazon ?
Vous avez le choix lorsque vous lancez et utilisez des correctifs dynamiques sur les instances Amazon Linux 2. Tout d'abord, vous pouvez lancer l'utilisation de correctifs en direct sur chaque instance individuelle en utilisant la ligne de commande. L'autre option consiste à automatiser l'application de correctifs en direct via le gestionnaire de systèmes AWS, où vous pouvez appliquer des correctifs en direct à un groupe d'instances.
Si vous décidez d'activer le live patching sur une instance Linux particulière, alors Amazon fournit un guide complet pour activer le live patching via la ligne de commande. Vous aurez besoin de quelques éléments pour commencer : vous devez installer le plugin yum et vous assurer que binutils est installé.
Notez que vous devez également commencer par vérifier la version de votre noyau. S'il date de plus de trois mois, la première étape consiste à installer la dernière version du noyau.
Une fois que vous avez mis en place les composants nécessaires à l'application de correctifs en direct, vous pouvez lancer le service kpatch. Via la ligne de commande, vous pouvez alors afficher tous les correctifs disponibles, appliquer un correctif sélectionné en direct sans redémarrer l'instance, et également afficher une liste de tous les correctifs déjà appliqués.
Patching en direct avec le gestionnaire de systèmes AWS (SSM)
Les actions en ligne de commande peuvent vous aider à vous assurer qu'une seule instance de Linux est maintenue à jour et corrigée, mais à l'échelle de l'entreprise, la correction en direct peut concerner des centaines ou des milliers de serveurs Amazon Linux 2.
Les organisations qui exploitent des flottes de systèmes Amazon EC2 ne peuvent pas se permettre de lancer manuellement des correctifs sur chaque serveur à l'aide de la ligne de commande. Au contraire, AWS Systems Manager (SSM) vous aide à automatiser le processus de gestion des correctifs, y compris les correctifs en direct.
Vous appliquez les correctifs en direct dans la console Amazon Systems Manager en utilisant la commande Run et en choisissant un document personnalisé de Systems Manager appelé AWS-ConfigureKernelLivePatching, vous pouvez modifier ce document pour répondre à vos besoins.
En utilisant Systems Manager, vous pouvez appliquer des correctifs en direct à des flottes d'instances EC2 et de serveurs situés dans vos locaux, y compris des machines virtuelles, en utilisant les fonctions intégrées de Systems Manager - la commande Run et les documents décrits ci-dessus, et vous pouvez également utiliser la fenêtre de maintenance.
Inconvénients du Live Patching du noyau d'Amazon
Amazon a fait un bon effort en matière de correctifs en direct, mais il faut être conscient de certains points concernant l'utilisation de l'outil de correctifs en direct d'Amazon pour corriger les instances Amazon Linux 2, à commencer par le fait que les serveurs ARM64 ne sont pas pris en charge.
Cependant, il existe un problème important concernant la version du noyau. Même si vous appliquez tous les correctifs via le live patching, le noyau de votre serveur ne sera pas mis à jour avec le dernier numéro de version avant que vous ne redémarriez votre serveur. En d'autres termes, votre serveur peut être à jour avec les dernières mises à jour mais afficher une ancienne version du noyau.
Tous les outils de conformité que vous pouvez utiliser refléteront cette ancienne version, ce qui peut être problématique. En outre, les correctifs en direct du noyau d'Amazon interféreront avec les fonctions de suivi standard du noyau, ce qui peut limiter la fonctionnalité de certains des outils de débogage que vous utilisez, notamment kprobes et SystemTap.
Il y a aussi, bien sûr, la limite d'une fenêtre de trois mois - votre instance ne recevra des correctifs vivants que pendant trois mois, si votre noyau n'a pas été mis à jour en trois mois, les correctifs vivants cesseront tout simplement d'être disponibles.
Alternatives à Amazon Kernel Live Patching
Les entreprises qui font un usage standard des instances d'Amazon Linux 2 sur x86_64 (c.-à-d. silicium Intel ou AMD) peuvent trouver que l'outil intégré de correctifs en direct d'Amazon fonctionne de manière adéquate, à condition que les instances concernées correspondent à un modèle spécifique et qu'il n'y ait pas d'exigences de cas d'utilisation qui entrent en conflit avec les restrictions posées par le régime de correctifs en direct d'Amazon.
Cependant, il existe des alternatives lorsque les entreprises utilisent des serveurs basés sur ARM ou lorsque le live patching proposé par Amazon ne répond pas aux exigences. L'une d'entre elles, bien sûr, est KernelCare de CloudLinux. CloudLinux est un partenaire technologique avancé du réseau de partenaires AWS (APN).
La prise en charge des processeurs AWS Graviton2 ARM64 n'est que l'un des nombreux avantages de l'utilisation de KernelCare pour l'application de correctifs en direct aux instances Linux dans AWS. Pour plus de détails, consultez notre comparaison complète des outils de correction en direct..
Ou bien, téléchargez KernelCare directement à partir de la place de marché AWS. AWS Marketplace et essayez-le.
Consultez d'autres aperçus de services de correction en direct :
Aperçu des services Enterprise Live Patching : Pleins feux sur Ksplice
Aperçu des services Enterprise Live Patching : Pleins feux sur Canonical Livepatch
Vue d'ensemble des services Enterprise Live Patching : Pleins feux sur kpatch
