Support technique
Documentation
Connexion
Nous contacter
Canonical fait un bon travail en matière de live patching, mais cela vaut-il la peine de payer des frais relativement élevés ? Par ailleurs, qu'en est-il de vos autres distributions Linux ?
Le live patching est la meilleure façon d'installer des mises à jour de sécurité pour vos systèmes Linux. Avec le live patching, vous pouvez mettre en place les derniers correctifs de sécurité pour les vulnérabilités du noyau - mais sans avoir besoin de redémarrer le système. Cela signifie que vous n'avez pas besoin de planifier une fenêtre de maintenance et que vos systèmes restent sécurisés de manière plus constante.
C'est pourquoi, à l'instar des autres grands fournisseurs de Linux, Canonical a décidé de développer un outil de correctif en direct pour Ubuntu, appelé Livepatch. Cependant, Livepatch présente deux défauts majeurs dans son fonctionnement - et c'est une option relativement coûteuse.
Comme alternative, vous pouvez envisager KernelCare Enterprise de TuxCare. Voyons en détail les différences entre ces deux outils.
Contenu :
- Qu'est-ce que Canonical Livepatch ?
- Durée de vie des correctifs du noyau
- Couverture de la vulnérabilité
- Fonctionnalité de retour en arrière
- Noyaux Linux pris en charge
- Comparaison des coûts entre Canonical Livepatch et KernelCare
- Passage de Canonical Livepatch à KernelCare
- Conclusion
Qu'est-ce que Canonical Livepatch ?
Les correctifs en direct du noyau Linux existent depuis plus d'une décennie, la première solution viable ayant vu le jour au MIT en 2009. Elle s'appelait KSplice. L'équipe de CloudLinux a rapidement suivi avec KernelCare, qui est maintenant proposé par TuxCare, et de nombreux grands fournisseurs de Linux ont également produit des outils de correction en direct. Pour les utilisateurs d'Ubuntu, outre KernelCare Enterprise de TuxCare, il y a Livepatch de Canonical qui fournit des mises à jour de sécurité.
Pour tous les outils de correctifs en direct, le principe est essentiellement le même, bien que la différence entre correctifs temporaires et correctifs permanents soit importante, nous en parlerons dans le paragraphe suivant. L'outil Livepatch prend un noyau Linux en cours d'exécution et remplace le code affecté à la volée - le noyau exécute alors d'emblée le nouveau code, et il n'y a pas besoin de redémarrer.
Lorsque vous prenez un jeton livepatch et que vous déployez le paquet snap correspondant, votre équipe d'administrateurs système n'a pas à planifier une fenêtre de maintenance et à attendre un temps d'arrêt avant d'appliquer un correctif. Les correctifs sont appliqués de manière cohérente et sans délai, ce qui signifie que la fenêtre de temps pendant laquelle les systèmes sont vulnérables est plus étroite.
Durée de vie des correctifs du noyau
Canonical dispose d'une fenêtre de support glissante de 13 mois pour chaque révision de version des noyaux GA de toutes ses versions Ubuntu LTS. Si vous n'avez pas redémarré votre système depuis 13 mois et que vous souhaitez continuer à utiliser Livepatch, vous devrez installer la dernière mise à jour du noyau, puis redémarrer. Cela vous amènera à une nouvelle révision de cette même version du noyau. Cela redémarrera également l'horloge pour 13 mois supplémentaires de support Livepatch pour cette version. Si vos fenêtres de maintenance sont plus longues que 13 mois, vous devrez les ajuster pour vous assurer que vous continuez à recevoir des correctifs en direct pour cette version particulière du noyau.
KernelCare Enterprise offre des correctifs en direct avec une durée pratiquement illimitée - en fait, il n'y a aucune restriction liée au temps entre les redémarrages. Cela vous permet de bénéficier d'une protection continue pour vos noyaux existants sans être lié par le calendrier de publication d'Ubuntu lorsque vous planifiez vos fenêtres de maintenance.
Couverture de la vulnérabilité
Canonical n'utilise aucun système d'évaluation externe couramment utilisé (par exemple, la notation CVSS) et attribue des niveaux de gravité aux CVE sur la base de ses propres qualifications. Ainsi, Livepatch, qui fournit des correctifs pour les CVE de gravité élevée et critique, ne peut traiter qu'un sous-ensemble de ces vulnérabilités conformément aux systèmes d'évaluation externes couramment utilisés.
En même temps, Livepatch n'aborde pas les correctifs de sécurité de moindre priorité qui peuvent être importants pour votre situation spécifique. Cela peut être important parce qu'une vulnérabilité du noyau de gravité moyenne peut avoir des implications différentes selon le cas d'utilisation spécifique, la nature des systèmes concernés et l'impact potentiel sur l'environnement. Par exemple, une telle vulnérabilité, qui affecte les systèmes directement exposés à l'internet, peut être considérée comme plus urgente que la même vulnérabilité apparaissant dans des réseaux internes isolés.
KernelCare Enterprise fournit des correctifs en temps réel pour chaque vulnérabilité traitée par l'éditeur et présentant un risque d'exploitation. Il fournit même des correctifs pour les vulnérabilités non traitées par l'éditeur, mais qui ont un impact sur un grand nombre de systèmes ou qui sont activement exploitées dans la nature. 1.
Fonctionnalité de retour en arrière
Si un administrateur système décide de le faire, pour quelque raison que ce soit, KernelCare Enterprise permet d'annuler n'importe quel correctif - un processus qui n'implique pas non plus de redémarrage. Cela peut être particulièrement utile dans les situations où le correctif a un impact négatif considérable sur les performances d'un système (par exemple, les correctifs Spectre/Meltdown ) et où il existe d'autres solutions d'atténuation. Canonical, en revanche, ne prend pas en charge la fonctionnalité de retour en arrière sans redémarrage. Cela peut entraîner des interruptions de service coûteuses, ce qui compromet le principal avantage des correctifs en direct.
Si un correctif ne fonctionne pas comme prévu, il est bon de savoir que vous pouvez facilement revenir à un noyau plus ancien si nécessaire. Avec KernelCare Enterprise, vous pouvez toujours revenir en arrière sur tous les changements appliqués en exécutant une commande spéciale qui ne nécessite pas le redémarrage de votre système - ce qui élimine la perturbation d'un retour en arrière potentiel, ce que Livepatch ne peut pas offrir.
Noyaux Linux pris en charge
La plupart des outils de gestion des correctifs de noyau en direct ne fonctionnent que pour une distribution Linux spécifique, et c'est également le cas de Canonical Ubuntu Livepatch, qui ne prend en charge que les systèmes Ubuntu, et uniquement les noyaux 4.4 et plus récents. C'est très bien si toute votre charge de travail est basée sur les dernières distributions Ubuntu, mais cela ne vous couvrira pas pour les autres distributions Linux. Comme certaines distributions Linux sont mieux adaptées à certains scénarios, il est courant de trouver plusieurs distributions qui remplissent des rôles différents dans une organisation donnée. Livepatch ne couvrira donc que partiellement vos besoins en matière de correctifs en direct.
KernelCare Enterprise, quant à lui, prend en charge un éventail beaucoup plus large de distributions, y compris le live patching du noyau pour RHEL, Debian, Oracle Linux, AlmaLinux, Amazon Linux, etc. (en fait, il couvre plus de 40 versions différentes de distributions Linux de niveau Entreprise, et bien plus de 4 000 combinaisons distribution+version du noyau). Il s'agit d'une solution unique, ce qui signifie que vous n'avez pas besoin d'utiliser plusieurs solutions de live patching pour couvrir tous vos systèmes basés sur Linux.
Comparaison des coûts entre Canonical Livepatch et KernelCare
Ubuntu Livepatch de Canonical n'est pas la solution de live patching la plus chère pour les correctifs critiques du noyau, mais ce n'est pas non plus la moins chère. Livepatch n'est pas disponible en tant que produit séparé, il est uniquement inclus dans un abonnement Ubuntu Pro auquel les utilisateurs souscrivent en utilisant leur compte Ubuntu One.
Les prix commencent à 225 dollars par machine et par an et vont jusqu'à 3 400 dollars par machine et par an. KernelCare Enterprise de TuxCare coûte moins de 60 dollars par serveur et par an.
| Livepatch Ubuntu de Canonical | Live Patching de KernelCare Enterprise | |
|---|---|---|
| Distributions prises en charge | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04 | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04, ainsi que Red Hat, Oracle, AlmaLinux et bien d'autres encore. |
| Architectures | x86-64 | x86-64, arm64 |
| Couverture | Noyau Linux | Noyau Linux et espace utilisateur critique (glibc & openssl) |
| Vulnérabilités corrigées | Sous-catégorie de Élevées & Critiques | Toutes |
| Durée de vie des correctifs du noyau | 13 mois | Pratiquement illimitée |
| Correctifs personnalisés | Non | Oui (contactez-nous pour des versions ou configurations spéciales) |
| Patching QEMU | Non | Oui |
| Correction de la base de données | Non | Oui |
| Assistance 24/7 | Oui, avec un abonnement payant | Oui, en ligne, 24/7/365 avec des priorités différentes selon les abonnements. |
| Distribution d'un jeu de correctifs | Un seul jeu pour tous les correctifs | Un seul jeu pour tous les correctifs |
| API disponible ? | Oui | Oui |
| Fonctionnalité de retour en arrière | Oui, avec un redémarrage | Oui, sans redémarrage |
| Disponible pour de nouveaux clients ? | Seulement les clients Ubuntu | Oui, et plus de 60 versions de distro supportées |
| Type de correction | Permanente | Permanente |
| Compléments | - | Correctifs personnalisés, QEMU, correctifs de base de données |
| Coût du Live Patching | Inclus dans tous les packs Ubuntu Pro ($225-$3,400/machine/an). | 49,50 $ par an, par système. Différents modules complémentaires peuvent être inclus dans l'abonnement. Des prix de gros sont disponibles. |
Vous voulez en savoir plus sur le passage à KernelCare ?
Passage de Canonical Livepatch à KernelCare
Si vous utilisez déjà Livepatch, vous pouvez facilement passer à KernelCare, en regroupant toutes vos distributions Linux sous une même responsabilité de correctifs en direct. L'installation de KernelCare est simple, il suffit d'exécuter un court script sur l'interface de ligne de commande - pas plus difficile que d'activer Canonical Livepatch.
Tout comme lorsque vous installez l'outil Livepatch, KernelCare s'exécute simplement en arrière-plan, sans jamais perturber vos activités. Grâce à la méthodologie des correctifs permanents de KernelCare, ce script unique est tout ce dont vous avez besoin pour éliminer virtuellement les redémarrages liés à l'application de correctifs - contrairement au service Livepatch sur Ubuntu, qui nécessite des redémarrages occasionnels.
Conclusion
Si vous n'utilisez que des systèmes Ubuntu, le choix se résume au coût et à votre capacité à supporter les interruptions permanentes liées au redémarrage pour intégrer les correctifs critiques du noyau. Vous n'utilisez qu'Ubuntu et devez de toute façon souscrire à Ubuntu Pro ? Alors oui, le live patching Livepatch du noyau peut être une option judicieuse - en fonction du degré de perturbation du régime de patching temporaire de Livepatch.
En revanche, si vous n'avez pas besoin de tous les avantages d'un abonnement à Ubuntu Pro, l'utilisation de KernelCare peut vous permettre de réaliser des économies substantielles. Vous utilisez plusieurs distributions Linux, et pas seulement Ubuntu ? Livepatch ne couvrira pas vos machines non Ubuntu et vous ne pouvez pas forcer Livepatch à fonctionner sur RHEL, par exemple. Vous devriez également envisager KernelCare si les exigences de Livepatch concernant les redémarrages occasionnels posent des problèmes avec vos charges de travail et si vous avez besoin de réduire les temps d'arrêt.
1 Selon le catalogue de la CISA https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Parlez à un expert de TuxCare
Faites-nous part de vos problèmes et nos experts vous aideront à trouver la meilleure approche pour les résoudre avec la gamme de produits TuxCare.
