ClickCease Comparaison entre KernelCare Enterprise et Kpatch

Comparaison entre KernelCare Enterprise et Red Hat kpatch

Les correctifs en direct du noyau Linux transforment le SecOps, mais le kpatchde Red Hat est-il le meilleur choix pour vos charges de travail ?

Vous avez du mal à respecter les fenêtres de maintenance et vous vous inquiétez des mécanismes de correction imparfaits et de leur impact sur vos opérations de sécurité Red Hat ? Le correctif en direct du noyau Linux, également appelé "hot patching", est la réponse à ces deux problèmes - mais tous les outils de correctif en direct du noyau ne sont pas créés de la même manière.

La plupart des fournisseurs de Linux d'entreprise ont déployé des outils d'application de correctifs en temps réel, notamment l'outil de Red Hat pour Red Hat Enterprise Linux (RHEL), appelé kpatch. L'adoption du live patching est désormais une pratique exemplaire en matière de cybersécurité et il est essentiel d'utiliser l'outil le mieux adapté à vos besoins.

kpatch applique des modifications au noyau en cours d'exécution et atténue ainsi les défis liés aux fenêtres de maintenance. Il prend en charge les charges de travail des serveurs basés sur Red Hat depuis la première version de kpatch en 2014, mais il a ses avantages et ses inconvénients. Voyons ce qu'il en est.


Table des matières

  1. Tableau de comparaison
  2. Introduction de la correction dynamique du noyau (kpatch)
  3. Durée de vie des correctifs du noyau
  4. Noyaux Linux pris en charge
  5. Couverture de la vulnérabilité
  6. Fonctionnalité de retour en arrière
  7. Qu'en est-il des coûts ?
  8. Passage de l'utilitaire kpatch à KernelCare
  9. Choisir entre kpatch et KernelCare

Tableau comparatif

Red Hat Kpatch KernelCare Enterprise avec le module complémentaire LibCare
Distributions prises en charge Red Hat Enterprise Linux Red Hat Enterprise Linux 6, 7, 8 et 9, ainsi qu'Ubuntu, Oracle, AlmaLinux et bien d'autres encore.
Architectures x86-64 x86-64, arm64
Couverture Noyau Linux Noyau Linux et espace utilisateur critique (glibc & openssl)
Vulnérabilités corrigées Sous-catégorie de Élevées & Critiques Toutes
Durée de vie des correctifs du noyau 6 mois Pratiquement illimitée
Correctifs personnalisés Oui Oui
Corrections QEMU Non Oui
Assistance 24/7 Non, 24 heures sur 24 et 7 jours sur 7 pour les cas de gravité 1 et 2, sinon les heures ouvrables standard (pour les abonnés premium). Oui, en ligne, 24/7/365 avec des priorités différentes selon les abonnements.
Distribution de jeux de correctifs Un seul jeu pour tous les correctifs Un seul jeu pour tous les correctifs
API disponible Non Oui
Fonctionnalité de retour en arrière Oui, avec un redémarrage Oui, sans redémarrage
Disponible pour les nouveaux clients Seulement pour RHEL Oui, plus de 60 versions de distro supportées
Type de correction Permanente Permanente
Compléments - Correctifs personnalisés, QEMU, correctifs de base de données
Coûts L'abonnement à RedHat est proposé à 879 $ par an et par machine. 49,50 $ par an, par système. Différents modules complémentaires peuvent être inclus dans l'abonnement. Des prix de gros sont disponibles.

Prêt à passer de kpatch à KernelCare ?

DEMANDEZ UN DEVIS

Introduction de la correction dynamique du noyau (kpatch)

La décision de Red Hat d'introduire kpatch dans la ligne principale du noyau Linux est venue un peu tard, étant donné qu'il a été développé après KSplice - le projet du MIT - et après KernelCare, développé par l'équipe de CloudLinux. Comme ses homologues, kpatch effectue un correctif en direct en échangeant à chaud une fonction de remplacement contenant une version corrigée du code du noyau.

En d'autres termes, kpatch vous permet d'appliquer des correctifs de sécurité à vos charges de travail basées sur Red Hat, sans qu'il soit nécessaire de redémarrer immédiatement le serveur après l'application du correctif. L'outil a été développé en interne par Red Hat et, au départ, il était similaire à kGraft, un outil développé par l'équipe de SUSE Linux. Étant donné que kGraft est étroitement lié à kpatch, les deux organisations ont décidé de travailler ensemble et d'unifier leurs efforts.

Durée de vie des correctifs du noyau

Le noyau de Red Hat cesse de recevoir des correctifs en direct après une période de six mois à compter de sa publication. Pour recevoir des mises à jour continues de kpatch, les clients doivent mettre à jour le noyau et effectuer au moins deux redémarrages par an. Par conséquent, les clients doivent aligner leurs fenêtres de maintenance sur le calendrier de publication du fournisseur.

En comparaison, KernelCare Enterprise offre des correctifs en direct avec un délai pratiquement illimité. Cela permet aux clients de bénéficier d'une protection continue de leurs noyaux existants sans être liés par le calendrier de publication du fournisseur lorsqu'ils planifient leurs fenêtres de maintenance.

Noyaux Linux pris en charge

kpatch est une option pour tous ceux qui utilisent Red Hat Enterprise Linux (RHEL). Après tout, il est conçu et maintenu par les développeurs de Red Hat. Cependant, toute personne utilisant RHEL 6 ou certaines versions de RHEL 7 ne sera pas couverte par les correctifs de kpatch. Seules les versions RHEL 8, 7.7 et 7.6 sont prises en charge.

Certaines distributions Linux non RHEL, y compris des versions spécifiques d'Ubuntu, Debian et Gentoo, sont techniquement également prises en charge, mais les clients qui souhaitent utiliser kpatch avec ces distributions doivent créer manuellement les correctifs nécessaires à l'aide de l'outil. Il est important de noter que la création de live patches n'est généralement pas un processus facile et nécessite une expertise spécifique. Elle peut comporter des pièges majeurs si vous n'êtes pas prudent.

Si vous utilisez une version de RHEL, Ubuntu ou Debian qui n'est pas prise en charge par kpatch, ou même une autre distribution Linux telle que CentOS ou Amazon Linux, vous devrez vous tourner vers KernelCare Enterprise pour la prise en charge des correctifs en direct.

Couverture de la vulnérabilité

Un autre aspect critique à considérer est la manière dont kpatch gère la couverture des vulnérabilités. Il ne traite que les CVE (Common Vulnerabilities and Exposures) élevés et critiques. Cependant, Red Hat peut ajuster les scores de gravité originaux de ces CVE attribués par la National Vulnerability Database (base de données nationale des vulnérabilités) en fonction de ses propres critères. Cela signifie que kpatch peut ne pas traiter toutes les vulnérabilités considérées comme élevées et critiques par les systèmes d'évaluation externes. De plus, même parmi les vulnérabilités que Red Hat continue de classer comme élevées et critiques, sa documentation précise que toutes ne sont pas garanties d'être corrigées à l'aide de son service de correction en direct. Dans le même temps, certaines vulnérabilités moins critiques corrigées par Red Hat peuvent encore présenter des risques importants dans des environnements présentant des configurations et des besoins de sécurité spécifiques.

Fonctionnalité de retour en arrière

Si un administrateur système décide de le faire, pour quelque raison que ce soit, KernelCare Enterprise permet d'annuler n'importe quel correctif - un processus qui n'implique pas non plus de redémarrage. Cela peut être particulièrement utile dans les situations où le correctif a un impact négatif considérable sur les performances d'un système (par exemple, les correctifs Spectre/Meltdown ) et où il existe d'autres solutions d'atténuation. kpatch, en revanche, ne prend pas en charge la fonctionnalité de retour en arrière sans redémarrage. Cela peut entraîner des interruptions de service coûteuses, ce qui compromet le principal avantage de l'application de correctifs en direct.

Si un correctif ne fonctionne pas comme prévu, il est bon de savoir que vous pouvez facilement revenir à un noyau plus ancien si vous en avez besoin. Avec KernelCare Enterprise, vous pouvez toujours revenir en arrière sur tous les changements appliqués en exécutant une commande spéciale qui ne nécessite pas le redémarrage de votre système - ce qui élimine l'interruption d'un retour en arrière potentiel, ce que kpatch ne peut pas faire.

Qu'en est-il des coûts ?

Par ailleurs, si vous optez pour KernelCare Enterprise, vous bénéficierez d'un prix avantageux, inférieur à 50 dollars par serveur et par an. Prenant en charge un large éventail de distributions Linux, KernelCare offre également un ensemble de fonctionnalités relativement riche.

Le coût de la mise en œuvre de kpatch est nettement plus élevé, sauf si vous avez déjà souscrit à un plan de support RHEL. En effet, kpatch n'est disponible que pour les clients Red Hat ayant souscrit un plan d'assistance Premium, qui s'élève à 879 $ par an et par machine.

Choisir entre kpatch et KernelCare

Si vous êtes un client Red Hat Premium Support et que vous utilisez exclusivement RHEL sur vos serveurs, vous pouvez considérer kpatch, car il est déjà inclus dans votre accord avec Red Hat.

Les organisations qui utilisent un mélange de distributions Linux ou qui n'ont pas besoin de toutes les fonctionnalités supplémentaires incluses dans un contrat d'assistance Red Hat devraient sérieusement considérer KernelCare Enterprise comme l'un des outils alternatifs à kpatch, étant donné le coût inférieur de KernelCare Enterprise et son ensemble de fonctionnalités plus large. Enfin, si, comme de nombreuses organisations, vous ne pouvez tout simplement pas vous permettre les redémarrages qu'impliquent la durée de vie limitée des correctifs du noyau de kpatch et les retours en arrière nécessitant des redémarrages non planifiés de vos systèmes, alors KernelCare est votre meilleure option.

Passage de l'utilitaire kpatch à KernelCare

Le passage du mécanisme de correction en direct du noyau kpatch à KernelCare Enterprise est très simple. Il suffit d'un simple script de démarrage rapide pour installer KernelCare, et vos systèmes Linux bénéficieront d'un correctif continu en direct.

L'installation de KernelCare Enterprise ne perturbe pas vos charges de travail existantes et vous conservez les fonctions originales de kpatch. Cependant, KernelCare fait bien plus en minimisant complètement les perturbations grâce à des correctifs permanents qui signifient que vous n'avez jamais besoin de redémarrer. Si vous n'êtes pas encore sûr de vous, pourquoi ne pas l'essayer ? KernelCare est disponible en version d'essai de 30 jours, avec toutes les fonctionnalités et sans engagement d'achat.

En savoir plus sur le passage de kpatch à KernelCare

Faites-nous part de vos problèmes et nos experts vous aideront à trouver la meilleure approche pour les résoudre avec la gamme de produits TuxCare.

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information