Support technique
Documentation
Connexion
Nous contacter
L'application en direct de correctifs au noyau Linux transforme les opérations de sécurité, mais Kpatch de Red Hat est-il le meilleur choix pour vos charges de travail ?
Vous avez du mal à respecter les fenêtres de maintenance et vous vous inquiétez des mécanismes de correction imparfaits et de leur impact sur vos opérations de sécurité Red Hat ? Le correctif en direct du noyau Linux, également appelé "hot patching", est la réponse à ces deux défis - mais tous les outils de correctif en direct du noyau ne sont pas créés de la même manière.
La plupart des fournisseurs de Linux d'entreprise ont déployé des outils de correction en temps réel, notamment l'outil de Red Hat pour Red Hat Enterprise Linux (RHEL), appelé Kpatch. L'adoption du live patching est désormais une bonne pratique de cybersécurité et il est essentiel d'utiliser le meilleur outil pour vos besoins.
Kpatch applique des modifications au noyau pendant son exécution et atténue ainsi les défis autour des fenêtres de maintenance. Il prend en charge les charges de travail des serveurs basés sur Red Hat depuis la toute première version de Kpatch en 2014, mais il a ses avantages et ses inconvénients. Jetons-y un coup d'œil.
Table des matières
- Présentation de la correction dynamique du noyau par Kpatch
- Différence entre les correctifs temporaires et persistants du noyau Linux
- Noyaux Linux supportés
- Qu'en est-il des coûts ?
- Tableau comparatif rapide
- Passage de l'utilitaire Kpatch à KernelCare
- Choisir entre Kpatch et KernelCare
Présentation de la correction dynamique du noyau par Kpatch
La décision de Red Hat d'introduire Kpatch dans la ligne principale du noyau Linux est arrivée un peu tard, étant donné qu'il a été développé après KSplice - le projet du MIT - et après KernelCare, développé par l'équipe de CloudLinux. Comme ses homologues, Kpatch effectue des correctifs en direct en échangeant à chaud une fonction de remplacement contenant une version corrigée du code du noyau.
En d'autres termes, Kpatch vous permet d'appliquer des correctifs de sécurité à vos charges de travail basées sur Red Hat, sans avoir à redémarrer immédiatement le serveur après l'application du correctif. L'outil a été développé en interne par Red Hat, et au départ, il était similaire à kGraft, un outil développé par l'équipe de SUSE Linux. Étant donné l'étroite relation entre kGraft et Kpatch, les deux organisations ont décidé de travailler ensemble et d'unifier leurs efforts.
Différence entre les correctifs temporaires et persistants du noyau Linux
Voici un point essentiel à comprendre concernant le correctif dynamique de noyau Kpatch. Lors de l'application d'un correctif en direct ou, comme on l'appelait autrefois, d'un correctif dynamique du noyau, il existe deux voies : le correctif temporaire et le correctif permanent. Kpatch s'appuie sur le patching temporaire en direct qui est exactement ce qu'il dit, un moyen temporaire d'installer des patches critiques sur une charge de travail en cours d'exécution sans redémarrage.
Cependant, les correctifs temporaires ne sont pas entièrement intégrés et le fait de s'appuyer sur des correctifs temporaires permanents finira par dégrader les performances - jusqu'à ce qu'un redémarrage du noyau en cours d'exécution soit effectué. Oui, cela permet d'atténuer les difficultés liées à l'application de correctifs, mais l'application de correctifs temporaires aux modules du noyau n'est pas un remède parfait.
Une meilleure façon d'aborder les correctifs est le correctif persistant, où chaque correctif vivant du noyau contient un correctif cumulatif dans un seul binaire. Les modules de correctifs ne sont pas appliqués les uns sur les autres, il n'y a pas de dégradation des performances et il n'est pas nécessaire de redémarrer le système. Et, en ce qui concerne les correctifs, on peut dire que l'élimination des redémarrages nécessaires pour mettre à jour la version du noyau est vraiment l'objectif principal.
Noyaux Linux supportés
Kpatch est une option pour tous ceux qui utilisent Red Hat Enterprise Linux (RHEL). Il est construit et maintenu par les développeurs de Red Hat, après tout. Cependant, toute personne exécutant RHEL 6, ou certaines versions de RHEL 7 ne seront pas couvertes pour les correctifs à chaud par Kpatch. Seules les versions RHEL 8, 7.7 et 7.6 sont prises en charge. Certaines distributions Linux non-RHEL sont également prises en charge, notamment certaines versions spécifiques d'Ubuntu, Debian et Gentoo.
Si vous utilisez une version de RHEL, Ubuntu ou Debian qui n'est pas prise en charge par Kpatch, ou même une autre distribution Linux telle que CentOS ou Amazon Linux, vous devrez vous tourner vers KernelCare pour la prise en charge des correctifs en direct.
Qu'en est-il des coûts ?
Par ailleurs, si vous optez pour KernelCare Enterprise, vous bénéficierez d'un prix abordable, inférieur à 60 dollars par serveur et par an. Avec des correctifs permanents et la prise en charge d'un large éventail de distributions Linux, KernelCare offre également un ensemble de fonctionnalités relativement riche.
Le coût de la mise en œuvre de Kpatch est sensiblement plus élevé, sauf si vous êtes déjà inscrit à un plan de support RHEL. En effet, Kpatch n'est disponible que pour les clients Red Hat disposant d'un plan d'assistance Premium, qui coûte 1 299 dollars par an et par machine.
Tableau comparatif
| Red Hat Enterprise Linux | KernelCare Enterprise avec le module complémentaire LibCare | |
|---|---|---|
| Distributions prises en charge | Red Hat Enterprise Linux | Red Hat Enterprise Linux 6, 7, 8 et 9, ainsi que Ubuntu, Oracle, AlmaLinux et bien d'autres encore. |
| Architectures | x86-64 | x86-64, arm64 |
| Couverture | Noyau Linux | Noyau Linux et espace utilisateur critique (glibc & openssl) |
| Vulnérabilités corrigées | Sous-ensemble de High & Critical | Tous |
| Durée de vie des correctifs du noyau | 6 mois | Pratiquement illimité |
| Écussons personnalisés | Oui | Oui |
| Corrections QEMU | Non | Oui |
| Corrections des bases de données | Non | Oui |
| Assistance 24/7 | Non, 24 heures sur 24 et 7 jours sur 7 pour les cas de gravité 1 et 2, sinon les heures ouvrables standard (pour les abonnés premium). | Oui, en ligne, 24/7/365 avec des priorités différentes selon les abonnements. |
| Distribution de patchs | Pas de canal de distribution, les patchs sont séparés | Un seul patchset pour tous les patchs |
| API disponible | Non | Oui |
| Fonctionnalité de retour en arrière | Oui | Oui, sans redémarrage |
| Disponible pour les nouveaux clients | Seulement pour RHEL | Oui, plus de 40 distributions supportées |
| Type de rapiéçage | Temporaire | Persistant |
| Compléments | - | Correctifs personnalisés, QEMU, correctifs de base de données |
| Coûts | Fourni avec un abonnement RedHat à 349 $ par an et par unité centrale. | 59,50 $ par an, par système. Différents modules complémentaires peuvent être inclus dans l'abonnement. Des prix de gros sont disponibles. |
Vous voulez en savoir plus sur le passage à KernelCare ?
Passage de l'utilitaire Kpatch à KernelCare
Le passage du mécanisme de correction du noyau en direct Kpatch à KernelCare Enterprise est très simple. Il suffit d'un simple script de démarrage rapide pour installer KernelCare, et vos systèmes Linux bénéficieront d'un patching continu et permanent sur toute la ligne.
L'installation de KernelCare Enterprise ne perturbe pas vos charges de travail existantes et vous conservez les fonctions originales de Kpatch. Cependant, KernelCare fait bien plus en minimisant complètement les perturbations grâce à un correctif permanent qui signifie que vous n'avez jamais besoin de redémarrer.
Choisir entre Kpatch et KernelCare
Si vous êtes un client de l'assistance premium de Red Hat et que vous utilisez exclusivement RHEL sur vos serveurs, et si l'application temporaire de correctifs au noyau n'entraîne pas de consommation excessive de ressources ou de temps d'arrêt, vous pouvez envisager Kpatch, car il est déjà inclus dans votre contrat avec Red Hat.
Les organisations qui utilisent un mélange de distributions Linux ou qui n'ont pas besoin de toutes les cloches et sifflets supplémentaires inclus dans un contrat de support Red Hat devraient sérieusement considérer KernelCare comme l'un des outils alternatifs à Kpatch, étant donné le coût inférieur de KernelCare Enterprise et son ensemble de fonctionnalités plus large. Enfin, si, comme de nombreuses organisations, vous ne pouvez tout simplement pas vous permettre les redémarrages impliqués par la méthode de correctifs temporaires de Kpatch, alors KernelCare est votre meilleure option.
Parlez à un expert TuxCare
Faites-nous part de vos défis et nos experts vous aideront à trouver la meilleure approche pour les relever avec la gamme de produits TuxCare.