ClickCease Comparaison entre KernelCare Enterprise et Canonical Livepatch

Comparaison entre KernelCare Enterprise et Canonical Livepatch

Canonical fait un travail solide en matière de correctifs en direct, mais les correctifs temporaires sont-ils la bonne solution pour vous - et valent-ils les frais relativement élevés ? Par ailleurs, qu'en est-il de vos autres distributions Linux ?

Le "live patching" est la meilleure façon d'installer des mises à jour de sécurité pour vos systèmes Linux. Avec le live patching, vous pouvez mettre en place les derniers correctifs de sécurité pour les vulnérabilités du noyau - mais sans avoir besoin de redémarrer le système pour appliquer le correctif. Cela signifie que vous n'avez pas besoin de planifier une fenêtre de maintenance et que vos systèmes restent sécurisés de manière plus constante.

C'est pourquoi, à l'instar des autres grands fournisseurs de Linux, Canonical a décidé de développer un outil de correctif en direct pour Ubuntu, appelé Livepatch. Cependant, Livepatch présente deux défauts majeurs dans son fonctionnement - et c'est une option relativement coûteuse.

Comme alternative, vous pouvez penser à KernelCare Enterprise de TuxCare. Penchons-nous sur les différences entre ces deux outils.

Contenu :

  1. Qu'est-ce que Canonical Livepatch ?
  2. Comparaison des correctifs temporaires et persistants
  3. Noyaux Linux supportés
  4. Comparaison des coûts entre Canonical Livepatch et KernelCare
  5. Transition de Canonical Livepatch à KernelCare
  6. Conclusion

Qu'est-ce que Canonical Livepatch ?

L'application de correctifs en direct au noyau Linux existe depuis plus de dix ans. La première solution exploitable est apparue au MIT en 2009. Elle s'appelait KSplice. L'équipe de CloudLinux a rapidement suivi avec KernelCare, et de nombreux grands fournisseurs de Linux ont produit des outils de correction en direct entre-temps. Pour les utilisateurs d'Ubuntu, il y a Livepatch pour fournir des mises à jour de sécurité.

Pour tous les outils de correctifs en direct, le principe est essentiellement le même, bien que la différence entre correctifs temporaires et correctifs persistants soit importante, nous en parlons dans la section suivante. L'outil Livepatch prend des noyaux Linux en cours d'exécution et remplace le code affecté à la volée - un moment il y a une vulnérabilité du noyau, le moment suivant il exécute du code sûr, et il n'y a pas besoin de redémarrer.

Lorsque vous procédez à l'obtention de votre jeton livepatch et que vous déployez le paquet snap correspondant, votre équipe d'administrateurs système n'a pas à planifier une fenêtre de maintenance et à attendre un temps d'arrêt avant d'appliquer un patch. Les correctifs sont appliqués de manière cohérente et sans délai, ce qui signifie que la fenêtre de temps pendant laquelle les systèmes sont vulnérables est plus courte.

Comparaison des correctifs temporaires et persistants

Tous les outils de correction en direct ne sont pas les mêmes - et l'une des principales différences réside dans la manière dont les correctifs critiques du noyau sont appliqués. Il existe deux voies : le patching temporaire et le patching persistant. Également appelé correctif dynamique du noyau, le correctif temporaire utilise une technique spéciale pour greffer un correctif sur le noyau, mais celui-ci n'est pas entièrement intégré.

Ubuntu Livepatch de Canonicals Ltd. utilise la technique du correctif temporaire pour appliquer les mises à jour du noyau, et à un moment donné, les administrateurs système doivent redémarrer la machine pour intégrer complètement le correctif - des redémarrages perturbateurs sont donc éventuellement nécessaires. Ainsi, bien que le correctif temporaire nous permette de faire un grand pas vers l'exécution de charges de travail sûres et sécurisées, il n'est toujours pas idéal. Le problème vient des interactions possibles entre les correctifs ultérieurs qui affectent le même code, et il est très difficile d'y parvenir, car le nombre de combinaisons possibles entre les correctifs déjà déployés (ou non) pour une section de code donnée peut rapidement augmenter. C'est là que les correctifs persistants entrent en jeu.

Le correctif persistant adopte une approche différente car chaque correctif du noyau est entièrement intégré à la volée, sans qu'aucun redémarrage ne soit nécessaire pour terminer le correctif. Les correctifs sont cumulatifs - en d'autres termes, au lieu d'appliquer un correctif par-dessus un autre, tous les correctifs sont inclus dans le binaire en une seule fois. L'application persistante de correctifs permet d'atteindre l'objectif important de supprimer totalement le besoin de redémarrage et de réduire au maximum les temps d'arrêt.

Noyaux Linux supportés

La plupart des outils de correction en direct du noyau ne fonctionnent que pour une distribution Linux spécifique, et c'est également le cas de Canonical Ubuntu Livepatch, qui ne prend en charge que les systèmes Ubuntu, et uniquement les noyaux 4.4 et plus récents. C'est très bien si toute votre charge de travail est basée sur les dernières distributions Ubuntu - mais cela ne vous couvrira pas pour les autres distributions Linux. Comme certaines distributions Linux sont mieux adaptées à certains scénarios, il est courant de trouver plusieurs distributions fonctionnant en remplissant différents rôles dans une organisation donnée. Ainsi, Livepatch ne couvrirait que partiellement vos besoins en matière de correctifs en direct.

KernelCare Enterprise, quant à lui, prend en charge un éventail beaucoup plus large de distributions, y compris les correctifs en direct du noyau pour RHEL, Debian, CentOS, etc. (en fait, il couvre plus de 40 distributions Linux de niveau entreprise et plus de 4 000 combinaisons distribution+version du noyau). Il s'agit d'une solution unique qui signifie que vous n'avez pas besoin d'exécuter plusieurs solutions de correctifs en direct pour couvrir tous vos systèmes basés sur Linux.

Comparaison des coûts entre Canonical Livepatch et KernelCare

Ubuntu Livepatch de Canonical n'est pas la solution live la plus chère pour les correctifs critiques du noyau, mais ce n'est pas non plus la moins chère. Livepatch n'est pas disponible en tant que produit séparé, il est uniquement inclus dans l'abonnement Ubuntu Advantage auquel les utilisateurs s'inscrivent à l'aide de leur compte Ubuntu One.

La tarification est un peu complexe et dépend du fait que vous exploitiez un serveur physique ou des machines virtuelles, mais elle commence à partir de 75 $ par machine par an, jusqu'à 2 500 $ par machine par an. KernelCare Enterprise de TuxCare coûte moins de 60 dollars par serveur et par an.

Livepatch Ubuntu de Canonical Patching en direct de KernelCare Enterprise
Distributions prises en charge Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04 Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04, ainsi que Red Hat, Oracle, AlmaLinux et bien d'autres encore.
Architectures x86-64 x86-64, arm64
Couverture Noyau Linux Noyau Linux et espace utilisateur critique (glibc & openssl)
Vulnérabilités corrigées Sous-ensemble de High & Critical Tous
Durée de vie des correctifs du noyau 3-6 mois Pratiquement illimité
Patches personnalisés Non Oui (contactez-nous pour des versions ou configurations spéciales)
Patching QEMU Non Oui
Mise à jour de la base de données Non Oui
Assistance 24/7 Oui, avec un abonnement payant Oui, en ligne, 24/7/365 avec des priorités différentes selon les abonnements.
Distribution de patchs Chaque patch est représenté comme un module séparé du noyau. Un seul patchset pour tous les patchs
API disponible ? Oui Oui
Fonctionnalité de retour en arrière Non Oui, sans redémarrage
Disponible pour de nouveaux clients ? Seulement les clients Ubuntu Oui, et plus de 40 distributions soutenues
Type de rapiéçage Temporaire Persistant
Compléments - Correctifs personnalisés, QEMU, correctifs de base de données
Coût de l'épandage sous tension Inclus dans tous les forfaits d'assistance Ubuntu Advantage for Infrastructure (225 à 1 500 dollars/machine/an sur les serveurs physiques, 75 à 500 dollars/machine/an - sur les VM). 59,50 $ par an, par système. Différents modules complémentaires peuvent être inclus dans l'abonnement. Des prix de gros sont disponibles.

Vous voulez en savoir plus sur le passage à KernelCare ?

Chattez avec un expert

Transition de Canonical Livepatch à KernelCare

Si vous utilisez déjà Livepatch, vous pouvez passer sans effort à KernelCare, ce qui vous permet d'intégrer toutes vos distributions Linux dans un seul et même système de correctifs en temps réel. L'installation de KernelCare est simple, il suffit d'exécuter un court script sur l'interface de ligne de commande - pas plus difficile que d'activer Canonical Livepatch.

Tout comme lorsque vous installez l'outil Livepatch, KernelCare s'exécute simplement en arrière-plan, sans jamais perturber vos activités. Grâce à la méthodologie de correction persistante de KernelCare, ce script unique est tout ce dont vous avez besoin pour éliminer virtuellement les redémarrages liés à l'application de correctifs - contrairement au service Livepatch sur Ubuntu, qui nécessite des redémarrages occasionnels.

Conclusion

Si vous n'utilisez que des systèmes Ubuntu, il s'agit en fait d'une question de coût et de capacité à supporter les interruptions liées au redémarrage continu pour intégrer les correctifs critiques du noyau. Vous n'utilisez qu'Ubuntu et devez de toute façon vous abonner à Ubuntu Advantage ? Alors oui, l'application de correctifs en direct du noyau par Livepatch peut être une option judicieuse - en fonction du degré de perturbation du régime de correctifs temporaires de Livepatch.

D'autre part, si vous n'avez pas besoin de tous les avantages d'un abonnement Ubuntu Advantage, l'utilisation de KernelCare peut vous permettre de réaliser des économies importantes. Vous utilisez une variété de distributions Linux - et pas seulement Ubuntu ? Livepatch ne couvrira pas vos machines non-Ubuntu et vous ne pouvez pas forcer Livepatch à fonctionner sur RHEL, par exemple. Vous devriez également envisager KernelCare si les exigences de Livepatch pour les redémarrages occasionnels causent des problèmes avec vos charges de travail et si vous avez besoin de réduire les temps d'arrêt.

Parlez à un expert TuxCare

Faites-nous part de vos défis et nos experts vous aideront à trouver la meilleure approche pour les relever avec la gamme de produits TuxCare.