Comparaison de KernelCare Enterprise
à Red Hat kpatch

Vous avez des difficultés avec les fenêtres de maintenance et vous vous inquiétez des mécanismes de correction imparfaits et de l'impact sur vos opérations de sécurité Red Hat ? Le live kernel patching Linux, également connu sous le nom de rebootless patching, est la réponse à ces deux défis - mais tous les outils de live kernel patching ne sont pas créés de la même manière.

La plupart des fournisseurs de Linux d'entreprise ont déployé des outils d'application de correctifs en temps réel, notamment l'outil de Red Hat pour Red Hat Enterprise Linux (RHEL), appelé kpatch. L'adoption du live patching est désormais une pratique exemplaire en matière de cybersécurité et il est essentiel d'utiliser l'outil le mieux adapté à vos besoins.

kpatch applique des modifications au noyau en cours d'exécution et atténue ainsi les défis liés aux fenêtres de maintenance. Il prend en charge les charges de travail des serveurs basés sur Red Hat depuis la première version de kpatch en 2014, mais il a ses avantages et ses inconvénients. Voyons ce qu'il en est.

La décision de Red Hat d'introduire kpatch dans la ligne principale du noyau Linux est venue un peu tard, étant donné qu'il a été développé après KSplice - le projet du MIT - et après KernelCare, développé par l'équipe de CloudLinux. Comme ses homologues, kpatch effectue un correctif en direct en échangeant à chaud une fonction de remplacement contenant une version corrigée du code du noyau.

En d'autres termes, kpatch vous permet d'appliquer des correctifs de sécurité à vos charges de travail basées sur Red Hat, sans qu'il soit nécessaire de redémarrer immédiatement le serveur après l'application du correctif. L'outil a été développé en interne par Red Hat et, au départ, il était similaire à kGraft, un outil développé par l'équipe de SUSE Linux. Étant donné que kGraft est étroitement lié à kpatch, les deux organisations ont décidé de travailler ensemble et d'unifier leurs efforts.

Le noyau de Red Hat cesse de recevoir des correctifs en direct après une période de six mois à compter de sa sortie. Pour recevoir des mises à jour continues de kpatch, les clients doivent mettre à jour le noyau et effectuer au moins deux redémarrages par an. Par conséquent, les clients doivent aligner leurs fenêtres de maintenance sur le calendrier de publication du fournisseur.

En comparaison, KernelCare Enterprise offre des correctifs en direct avec un délai pratiquement illimité. Cela permet aux clients de bénéficier d'une protection continue de leurs noyaux existants sans être liés par le calendrier de publication du fournisseur lorsqu'ils planifient leurs fenêtres de maintenance.

kpatch est une option pour tous ceux qui utilisent Red Hat Enterprise Linux (RHEL). Après tout, il est construit et maintenu par les développeurs de Red Hat. Cependant, toute personne utilisant RHEL 6 ou certaines versions de RHEL 7 ne sera pas couverte par les correctifs de kpatch. Seules certaines des versions les plus récentes de RHEL sont prises en charge.

Certaines distributions Linux non RHEL, y compris des versions spécifiques d'Ubuntu, Debian et Gentoo, sont techniquement également prises en charge, mais les clients qui souhaitent utiliser kpatch avec ces distributions doivent créer manuellement les correctifs nécessaires à l'aide de l'outil. Il est important de noter que la création de live patches n'est généralement pas un processus facile et nécessite une expertise spécifique. Elle peut comporter des pièges majeurs si vous n'êtes pas prudent.

Si vous utilisez une version de RHEL, Ubuntu ou Debian qui n'est pas prise en charge par kpatch, ou même une autre distribution Linux telle que CentOS ou Amazon Linux, vous devrez vous tourner vers KernelCare Enterprise pour la prise en charge des correctifs en direct.

Un autre aspect critique à considérer est la manière dont kpatch gère la couverture des vulnérabilités. Il ne traite que les CVE (Common Vulnerabilities and Exposures) élevés et critiques. Cependant, Red Hat peut ajuster les scores de gravité originaux de ces CVE attribués par la National Vulnerability Database (base de données nationale des vulnérabilités) en fonction de ses propres critères. Cela signifie que kpatch peut ne pas traiter toutes les vulnérabilités considérées comme élevées et critiques par les systèmes d'évaluation externes. De plus, même parmi les vulnérabilités que Red Hat continue de classer comme élevées et critiques, sa documentation précise que toutes ne sont pas garanties d'être corrigées à l'aide de son service de correction en direct. Dans le même temps, certaines vulnérabilités moins critiques corrigées par Red Hat peuvent encore présenter des risques importants dans des environnements présentant des configurations et des besoins de sécurité spécifiques.

Si un administrateur système décide de le faire, pour quelque raison que ce soit, KernelCare Enterprise permet d'annuler n'importe quel correctif - un processus qui n'implique pas non plus de redémarrage. Cela peut être particulièrement utile dans les situations où le correctif a un impact négatif considérable sur les performances d'un système (par exemple, les correctifs Spectre/Meltdown ) et où il existe d'autres solutions d'atténuation. kpatch, en revanche, ne prend pas en charge la fonctionnalité de retour en arrière sans redémarrage. Cela peut entraîner des interruptions de service coûteuses, ce qui compromet le principal avantage de l'application de correctifs en direct.

Si un correctif ne fonctionne pas comme prévu, il est bon de savoir que vous pouvez facilement revenir à un noyau plus ancien si vous en avez besoin. Avec KernelCare Enterprise, vous pouvez toujours revenir en arrière sur tous les changements appliqués en exécutant une commande spéciale qui ne nécessite pas le redémarrage de votre système - ce qui élimine l'interruption d'un retour en arrière potentiel, ce que kpatch ne peut pas faire.

Par ailleurs, si vous optez pour KernelCare Enterprise, vous bénéficierez d'une tarification avantageuse de moins de 60 dollars par serveur et par an. Avec des correctifs constants et la prise en charge d'un large éventail de distributions Linux, KernelCare offre également un ensemble de fonctionnalités relativement riche.

Le coût de la mise en œuvre de kpatch est nettement plus élevé, sauf si vous avez déjà souscrit à un plan d'assistance RHEL. En effet, kpatch n'est disponible que pour les clients Red Hat ayant souscrit un plan d'assistance Premium, au prix de 1 299 dollars par an et par machine.

Si vous êtes un client Red Hat Premium Support et que vous utilisez exclusivement RHEL sur vos serveurs, vous pouvez considérer kpatch, car il est déjà inclus dans votre accord avec Red Hat.

Les organisations qui utilisent un mélange de distributions Linux ou qui n'ont pas besoin de toutes les fonctionnalités supplémentaires incluses dans un contrat d'assistance Red Hat devraient sérieusement considérer KernelCare Enterprise comme l'un des outils alternatifs à kpatch, étant donné le coût inférieur de KernelCare Enterprise et son ensemble de fonctionnalités plus large. Enfin, si, comme de nombreuses organisations, vous ne pouvez tout simplement pas vous permettre les redémarrages qu'impliquent la durée de vie limitée des correctifs du noyau de kpatch et les retours en arrière nécessitant des redémarrages non planifiés de vos systèmes, alors KernelCare est votre meilleure option.

Le passage du mécanisme de correction en direct du noyau kpatch à KernelCare Enterprise est très simple. Il suffit d'un simple script de démarrage rapide pour installer KernelCare, et vos systèmes Linux bénéficieront d'un correctif en direct continu.

L'installation de KernelCare Enterprise ne perturbe pas vos charges de travail existantes et vous conservez les fonctions originales de kpatch. Cependant, KernelCare fait bien plus en minimisant complètement les perturbations grâce à des correctifs permanents qui signifient que vous n'avez jamais besoin de redémarrer.