Vérifiez le statut des CVE. En savoir plus.
[Nouveau Webinar] Stratégie de fin de vie de CentOS 7 : Sécurité pour aujourd'hui et pour les années à venir - 6 décembre @ 10:30 AM EST/4 PM CET RSVP
Vous souhaitez obtenir des mises à jour en direct du noyau plus rapides et plus abordables sur vos serveurs Linux d'entreprise ? Voici pourquoi vous devriez préférer KernelCare Enterprise à Oracle KSplice.
Les correctifs en direct sont très importants car ils éliminent la nécessité de redémarrer un noyau en fonctionnement. Ils minimisent le besoin de fenêtres de maintenance et réduit la pression sur les équipes informatiques, ce qui facilite grandement le maintien d'un régime de correctifs permanent.
Il n'est pas surprenant que les outils de correction en direct soient rapidement devenus la meilleure pratique pour appliquer des correctifs de sécurité afin de combler les failles des systèmes, et il existe maintenant quelques outils concurrents.
Pourtant, de nombreuses entreprises ne mettent pas en œuvre les correctifs en direct parce que les outils en question ne couvrent généralement qu'une partie spécifique des exigences du live patching - et parce que ces outils ont souvent un prix élevé.
C'est également le cas de KSplice. Si KSplice est un outil de correction en direct de niveau entreprise qui convient parfaitement à certains cas d'utilisation, il a ses inconvénients, notamment son prix élevé et sa prise en charge limitée des distributions Linux.
Table des matières
Oracle KSplice | Live Patching de KernelCare Enterprise | |
---|---|---|
Distributions prises en charge | Oracle Linux
(Il faut être un client Oracle Linux Premier Support utilisant Oracle Linux. Il y a une exception pour les anciens clients de KSplice). |
Oracle Linux 6, 7 et 8, ainsi qu'Ubuntu, Red Hat, AlmaLinux et bien d'autres encore. |
Architectures | x86-64, arm64 | x86-64, arm64 |
Couverture | Noyau Linux et espace utilisateur critique | Noyau Linux et espace utilisateur critique |
Vulnérabilités corrigées | Hautes et critiques | Toutes |
Durée de vie des correctifs du noyau | Pratiquement illimitée | Pratiquement illimitée |
Correctifs personnalisés | Non | Oui (contactez-nous pour des versions ou configurations spéciales) |
Patching QEMU | Oui (KVM et Xen) | Oui |
Correction de la base de données | Non | Oui |
Assistance 24/7 | Oui, en ligne et par téléphone 24h/24 et 7j/7 | Oui, en ligne, 24/7/365 |
Distribution d'un jeu de correctifs | Chaque correctif est représenté comme un module séparé du noyau. | Un seul jeu pour tous les correctifs |
APIs disponibles | Oui | Oui |
Fonctionnalité de retour en arrière | Oui, sans redémarrage | Oui, sans redémarrage |
Disponibilité des nouveaux clients | Uniquement pour les clients du support Oracle Linux Premier | Oui, et plus de 40 distributions prises en charge |
Remises / Période d'essai | Essai gratuit de 30 jours, une édition de bureau gratuite est disponible. | Essai de 7 jours pour les entreprises |
Type de correction | Permanente | Permanente |
Compléments | - | Correctifs personnalisés, QEMU, correctifs de base de données |
Coût du Live Patching | Abonnement Oracle Linux Premier - 2299 $ (1399 $) par système et par an | 59,50 $ par an et par système, différents modules complémentaires peuvent être inclus dans l'abonnement, des prix de gros sont disponibles. |
KSplice Inc. était, avec KernelCare, l'un des pionniers des services de correction en direct du noyau Linux. KSplice est l'abréviation de kernel splicing, le service a été créé par quatre étudiants du MIT en 2009. À l'instar d'autres solutions de correctifs en direct pour les noyaux Linux, comme Red Hat Enterprise Linux, le service KSplice Uptrack a innover en échangeant le code mis à jour du noyau avec les derniers correctifs, sans qu'il soit nécessaire de redémarrer l'instance entière du système d'exploitation pour appliquer les correctifs.
En 2011, KSplice a connu un changement majeur de sa direction, car elle a été acquise par Oracle qui avait l'intention de l'utiliser aux côtés de son propre noyau Unbreakable Linux - un concurrent majeur de Red Hat Enterprise Linux. Cela a eu un impact significatif sur l'orientation de KSplice Inc, et l'a essentiellement confinée dans les distributions Linux d'Oracle, et en fait dans les tarifs de support d'Oracle.
Fondamentalement, en tant que service de correctifs en direct et pour minimiser les vulnérabilités de sécurité, KSplice est formidable. Il a une longue histoire de fourniture de correctifs en direct fiables pour le noyau Linux depuis l'époque de KSplice Uptrack. Il y a cependant un hic. À moins que vous ne soyez un client bénéficiant de droits acquis avant l'acquisition de KSplice par Oracle, vous ne pouvez utiliser KSplice que pour appliquer des correctifs en direct à Oracle Linux, car c'est le seul noyau pris en charge pour les nouveaux clients.
C'est un problème majeur car Oracle Linux n'est qu'une des nombreuses distributions Linux d'entreprise couramment utilisées. Si vos charges de travail sont basées uniquement sur le noyau d'Oracle Linux, tout ira bien ; mais si vous utilisez un mélange de distributions telles que CentOS, Debian et Ubuntu, il est préférable d'appliquer les correctifs en direct du noyau par le biais de KernelCare Enterprise, qui prend en charge toutes ces distributions et bien d'autres encore.
Le correctif de noyau de KSplice n'est disponible que par le biais d'un abonnement au support Oracle Linux Premier. Le prix élevé de l'abonnement par machine peut exclure KSplice pour certains types de charges de travail. D'un autre côté, si vos besoins exigent que vous payiez un abonnement Oracle Linux Premier, KSplice est inclus dans ce forfait, mais bien sûr, vos autres systèmes basés sur Linux ne seront pas couverts.
KernelCare, quant à lui, propose un prix abordable de moins de 60 dollars par an et par système, ce qui représente une fraction du coût de 1399 dollars par an du support Oracle Linux Premier. Il s'agit également d'un guichet unique pour vos besoins en matière de correctifs en direct - vous pouvez vous inscrire auprès d'un seul fournisseur pour appliquer des correctifs aux bibliothèques et à votre base de données. KernelCare Enterprise ne vous lie pas à un contrat d'assistance coûteux dont vous n'avez pas besoin, et vous pouvez opter pour une tarification mensuelle abordable.
KSplice et KernelCare Enterprise fournissent toutes deux des correctifs de noyau en direct de qualité professionnelle, sur lesquels vous pouvez compter pour que les distributions Linux prises en charge soient systématiquement corrigées. De même, KSplice et KernelCare Enterprise appartiennent à des sociétés ayant une expérience approfondie dans la fourniture de solutions Linux.
Il existe cependant quelques différences fondamentales. La portée de KernelCare s'étend à tout le paysage des systèmes d'exploitation Linux, donc oui, vous pouvez obtenir des correctifs de noyau en direct de KernelCare qui prennent en charge beaucoup plus de distributions Linux, y compris Red Hat Enterprise Linux. KernelCare prend également en charge les correctifs en direct d'autres services, notamment les bases de données et les bibliothèques, et l'équipe d'assistance peut aussi fournir des correctifs personnalisés. KernelCare et KSplice Enhanced Client peuvent toutes deux corriger QEMU.
Alors que KSplice fournit chaque correctif sous la forme d'un module de noyau distinct, KernelCare fournit un seul jeu pour tous les correctifs. De plus, KernelCare Enterprise s'intègre directement à toute une série d'outils de gestion des correctifs et d'évaluation des vulnérabilités. Il est ainsi facile de supprimer des correctifs en direct, car cela ne rompt aucune dépendance inhérente entre eux.
Si vous utilisez actuellement KSplice, vous pouvez facilement passer à la solution KernelCare Enterprise, il suffit d'exécuter un script dans le système et le tour est joué. Ce n'est pas plus difficile que d'installer Uptrack. KernelCare Enterprise s'occupe ensuite de la mise à jour du noyau et de nombreux autres services sur cette machine.
Les entreprises qui dépendent exclusivement d'Oracle Linux pour leurs besoins en matière de systèmes d'exploitation Enterprise Linux et qui paient pour le support Premier pour d'autres raisons peuvent continuer à utiliser KSplice, tant qu'il n'y a pas d'autres services, par exemple des bases de données, nécessitant des correctifs en direct.
Pour les autres, la portée plus large et le prix plus bas de KernelCare Enterprise l'emporteront probablement.
Si vous ne savez toujours pas quoi faire, pourquoi ne pas l'essayer ? KernelCare Enterprise est disponible en version d'essai de 7 jours - avec toutes les fonctionnalités, sans engagement d'achat.
Faites-nous part de vos problèmes et nos experts vous aideront à trouver la meilleure approche pour les résoudre avec la gamme de produits TuxCare.