ClickCease Comparaison entre KernelCare Enterprise et Kpatch

Comparaison entre KernelCare Enterprise et Red Hat kpatch

Voir une comparaison rapide

Les correctifs en direct du noyau Linux transforment le SecOps, mais le kpatchde Red Hat est-il le meilleur choix pour vos charges de travail ?

Vous avez du mal à respecter les fenêtres de maintenance et vous vous inquiétez des mécanismes de correction imparfaits et de leur impact sur vos opérations de sécurité Red Hat ? Le correctif en direct du noyau Linux, également appelé "hot patching", est la réponse à ces deux problèmes - mais tous les outils de correctif en direct du noyau ne sont pas créés de la même manière.

La plupart des fournisseurs de Linux d'entreprise ont déployé des outils d'application de correctifs en temps réel, notamment l'outil de Red Hat pour Red Hat Enterprise Linux (RHEL), appelé kpatch. L'adoption du live patching est désormais une pratique exemplaire en matière de cybersécurité et il est essentiel d'utiliser l'outil le mieux adapté à vos besoins.

kpatch applique des modifications au noyau en cours d'exécution et atténue ainsi les défis liés aux fenêtres de maintenance. Il prend en charge les charges de travail des serveurs basés sur Red Hat depuis la première version de kpatch en 2014, mais il a ses avantages et ses inconvénients. Voyons ce qu'il en est.


Table des matières

  1. Introduction de la correction dynamique du noyau (kpatch)
  2. Durée de vie des correctifs du noyau
  3. Noyaux Linux pris en charge
  4. Fonctionnalité de retour en arrière
  5. Qu'en est-il des coûts ?
  6. Tableau comparatif rapide
  7. Passage de l'utilitaire kpatch à KernelCare
  8. Choisir entre kpatch et KernelCare

Introduction de la correction dynamique du noyau (kpatch)

La décision de Red Hat d'introduire kpatch dans la ligne principale du noyau Linux est venue un peu tard, étant donné qu'il a été développé après KSplice - le projet du MIT - et après KernelCare, développé par l'équipe de CloudLinux. Comme ses homologues, kpatch effectue un correctif en direct en échangeant à chaud une fonction de remplacement contenant une version corrigée du code du noyau.

En d'autres termes, kpatch vous permet d'appliquer des correctifs de sécurité à vos charges de travail basées sur Red Hat, sans qu'il soit nécessaire de redémarrer immédiatement le serveur après l'application du correctif. L'outil a été développé en interne par Red Hat et, au départ, il était similaire à kGraft, un outil développé par l'équipe de SUSE Linux. Étant donné que kGraft est étroitement lié à kpatch, les deux organisations ont décidé de travailler ensemble et d'unifier leurs efforts.

Durée de vie des correctifs du noyau

Le noyau de Red Hat cesse de recevoir des correctifs en direct après une période de six mois à compter de sa publication. Pour recevoir des mises à jour continues de kpatch, les clients doivent mettre à jour le noyau et effectuer au moins deux redémarrages par an. Par conséquent, les clients doivent aligner leurs fenêtres de maintenance sur le calendrier de publication du fournisseur.

En comparaison, KernelCare Enterprise offre des correctifs en direct avec un délai pratiquement illimité. Cela permet aux clients de bénéficier d'une protection continue de leurs noyaux existants sans être liés par le calendrier de publication du fournisseur lorsqu'ils planifient leurs fenêtres de maintenance.

Noyaux Linux pris en charge

kpatch est une option pour tous ceux qui utilisent Red Hat Enterprise Linux (RHEL). Après tout, il est construit et maintenu par les développeurs de Red Hat. Cependant, toute personne utilisant RHEL 6 ou certaines versions de RHEL 7 ne sera pas couverte par les correctifs de kpatch. Seules les versions RHEL 8, 7.7 et 7.6 sont prises en charge. Certaines distributions Linux non RHEL sont également prises en charge, notamment des versions spécifiques d'Ubuntu, de Debian et de Gentoo.

Si vous utilisez une version de RHEL, Ubuntu ou Debian qui n'est pas prise en charge par kpatch, ou même une autre distribution Linux telle que CentOS ou Amazon Linux, vous devrez vous tourner vers KernelCare Enterprise pour la prise en charge des correctifs en direct.

Fonctionnalité de retour en arrière

Si un administrateur système décide de le faire, pour quelque raison que ce soit, KernelCare Enterprise permet d'annuler n'importe quel correctif - un processus qui n'implique pas non plus de redémarrage. Cela peut être particulièrement utile dans les situations où le correctif a un impact négatif considérable sur les performances d'un système (par exemple, les correctifs Spectre/Meltdown ) et où il existe d'autres solutions d'atténuation. kpatch, en revanche, ne prend pas en charge la fonctionnalité de retour en arrière sans redémarrage. Cela peut entraîner des interruptions de service coûteuses, ce qui compromet le principal avantage de l'application de correctifs en direct.

Si un correctif ne fonctionne pas comme prévu, il est bon de savoir que vous pouvez facilement revenir à un noyau plus ancien si vous en avez besoin. Avec KernelCare Enterprise, vous pouvez toujours revenir en arrière sur tous les changements appliqués en exécutant une commande spéciale qui ne nécessite pas le redémarrage de votre système - ce qui élimine l'interruption d'un retour en arrière potentiel, ce que kpatch ne peut pas faire.

Qu'en est-il des coûts ?

Par ailleurs, si vous optez pour KernelCare Enterprise, vous bénéficierez d'une tarification avantageuse de moins de 60 dollars par serveur et par an. Avec des correctifs constants et la prise en charge d'un large éventail de distributions Linux, KernelCare offre également un ensemble de fonctionnalités relativement riche.

Le coût de la mise en œuvre de kpatch est nettement plus élevé, sauf si vous avez déjà souscrit à un plan de support RHEL. En effet, kpatch n'est disponible que pour les clients Red Hat ayant souscrit un plan d'assistance Premium, au prix de 1 299 dollars par an et par machine.

Tableau comparatif

Red Hat Kpatch KernelCare Enterprise avec le module complémentaire LibCare
Distributions prises en charge Red Hat Enterprise Linux Red Hat Enterprise Linux 6, 7, 8 et 9, ainsi qu'Ubuntu, Oracle, AlmaLinux et bien d'autres encore.
Architectures x86-64 x86-64, arm64
Couverture Noyau Linux Noyau Linux et espace utilisateur critique (glibc & openssl)
Vulnérabilités corrigées Sous-catégorie de Élevées & Critiques Toutes
Durée de vie des correctifs du noyau 6 mois Pratiquement illimitée
Correctifs personnalisés Oui Oui
Corrections QEMU Non Oui
Corrections des bases de données Non Oui
Assistance 24/7 Non, 24 heures sur 24 et 7 jours sur 7 pour les cas de gravité 1 et 2, sinon les heures ouvrables standard (pour les abonnés premium). Oui, en ligne, 24/7/365 avec des priorités différentes selon les abonnements.
Distribution de jeux de correctifs Un seul jeu pour tous les correctifs Un seul jeu pour tous les correctifs
API disponible Non Oui
Fonctionnalité de retour en arrière Oui, avec un redémarrage Oui, sans redémarrage
Disponible pour les nouveaux clients Seulement pour RHEL Oui, plus de 40 distributions prises en charge
Type de correction Permanente Permanente
Compléments - Correctifs personnalisés, QEMU, correctifs de base de données
Coûts L'abonnement à RedHat est proposé au prix de 1 299 dollars par an et par machine. 59,50 $ par an et par système. Différents modules complémentaires peuvent être inclus dans l'abonnement. Des prix de gros sont disponibles.

Prêt à en savoir plus sur le passage à KernelCare?

DISCUTEZ AVEC UN EXPERT

Passage de l'utilitaire kpatch à KernelCare

Le passage du mécanisme de correction en direct du noyau kpatch à KernelCare Enterprise est très simple. Il suffit d'un simple script de démarrage rapide pour installer KernelCare, et vos systèmes Linux bénéficieront d'un correctif continu en direct.

L'installation de KernelCare Enterprise ne perturbe pas vos charges de travail existantes et vous conservez les fonctions originales de kpatch. Cependant, KernelCare fait bien plus en minimisant complètement les perturbations grâce à des correctifs permanents qui signifient que vous n'avez jamais besoin de redémarrer.

Choisir entre kpatch et KernelCare

Si vous êtes un client Red Hat Premium Support et que vous utilisez exclusivement RHEL sur vos serveurs, vous pouvez considérer kpatch, car il est déjà inclus dans votre accord avec Red Hat.

Les organisations qui utilisent un mélange de distributions Linux ou qui n'ont pas besoin de toutes les fonctionnalités supplémentaires incluses dans un contrat d'assistance Red Hat devraient sérieusement considérer KernelCare Enterprise comme l'un des outils alternatifs à kpatch, étant donné le coût inférieur de KernelCare Enterprise et son ensemble de fonctionnalités plus large. Enfin, si, comme de nombreuses organisations, vous ne pouvez tout simplement pas vous permettre les redémarrages qu'impliquent la durée de vie limitée du live patching de kpatch et les rollbacks nécessitant des redémarrages non planifiés de vos systèmes, alors KernelCare est votre meilleure option.

Parlez à un expert de TuxCare

Faites-nous part de vos problèmes et nos experts vous aideront à trouver la meilleure approche pour les résoudre avec la gamme de produits TuxCare.

OBTENEZ DES CONSEILS MAINTENANT
Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information