Comparaison entre KernelCare Enterprise
à Oracle Ksplice

Le "live patching" sans redémarrage est important parce qu'il élimine la nécessité de redémarrer un noyau en cours d'exécution pour appliquer un correctif de sécurité. Il minimise le besoin de fenêtres de maintenance et réduit la pression sur les équipes informatiques, ce qui facilite grandement le maintien d'un régime de correctifs étanche.

Il n'est pas surprenant que les outils de correction en direct soient rapidement devenus la meilleure pratique pour appliquer des correctifs de sécurité afin de combler les failles des systèmes, et il existe maintenant quelques outils concurrents.

Cependant, de nombreuses organisations ne mettent pas en œuvre le live patching parce que les outils de live patching ne couvrent généralement qu'une partie spécifique des exigences du live patching - et parce que ces outils ont souvent un prix élevé.

C'est le cas de Ksplice. Bien que Ksplice soit un outil de live patching de niveau entreprise qui convient parfaitement à certains cas d'utilisation, il présente des inconvénients, notamment son prix élevé et sa prise en charge limitée des distributions Linux.

Ksplice Inc. a été, avec KernelCare, l'un des pionniers des services de "live patching" sans redémarrage pour le noyau Linux. Ksplice est l'abréviation de kernel splicing (épissage du noyau). Le service a été créé par quatre étudiants du MIT en 2009. À l'instar d'autres solutions de "live patching" pour les noyaux Linux, telles que Red Hat Enterprise Linux, le service original Ksplice Uptrack a opéré sa magie en remplaçant le code du noyau mis à jour par les derniers correctifs, sans qu'il soit nécessaire de redémarrer l'instance entière du système d'exploitation pour appliquer le correctif.

En 2011, Ksplice a connu un changement d'orientation majeur, puisqu'elle a été rachetée par Oracle, qui avait l'intention de l'utiliser avec son propre noyau Unbreakable Linux - un concurrent majeur de Red Hat Enterprise Linux (RHEL). Cela a eu un impact significatif sur l'orientation de Ksplice Inc. et l'a essentiellement liée aux clients Linux Premier Support d'Oracle et, par conséquent, à la tarification de l'assistance d'Oracle.

Fondamentalement, en tant que service de correctifs en direct et pour minimiser les vulnérabilités en matière de sécurité, Ksplice est formidable. Depuis l'époque de Ksplice Uptrack, il a fait ses preuves en fournissant des correctifs en direct et fiables pour le noyau Linux. Toutefois, comme nous l'avons déjà mentionné, sa disponibilité est limitée aux clients existants des plans de support premium d'Oracle et aux systèmes Oracle Linux, Red Hat et Ubuntu. En outre, les clients utilisant Red Hat Enterprise Linux doivent passer à un noyau compatible Red Hat (RHCK) fourni par Oracle et redémarrer le système avant de pouvoir appliquer les correctifs Ksplice, ce qui constitue une limitation importante.

Ce service fonctionne bien pour ceux qui utilisent Oracle Linux avec Premier Support. Toutefois, si vous utilisez un mélange d'autres distributions, telles que CentOS, Debian, AlmaLinux et d'autres, et que vous n'êtes pas prêt à payer pour une assistance coûteuse, vous ferez mieux d'appliquer les correctifs en direct du noyau par l'intermédiaire de KernelCare Enterprise, qui prend en charge toutes ces distributions et bien d'autres encore.

Le correctif de noyau KSplice est disponible exclusivement avec un abonnement Oracle Linux Premier Support. Le prix élevé de l'abonnement par machine peut exclure KSplice pour certains types de charges de travail. En revanche, si vos besoins exigent que vous payiez quand même un abonnement Oracle Linux Premier, KSplice est inclus dans ce package. Cependant, il est important de noter que cela ne s'étend pas aux autres systèmes basés sur Linux que vous pouvez utiliser.

KernelCare, quant à lui, propose un prix abordable de moins de 60 $ par an et par système, ce qui représente une fraction du coût de 1 399 $ par an d'Oracle Linux Premier Support. Il ne vous lie pas à un contrat d'assistance coûteux dont vous n'avez pas besoin - et vous pouvez opter pour une tarification mensuelle abordable.

La couverture des vulnérabilités est également un facteur crucial lorsque nous évaluons les implications plus larges du choix entre Ksplice et KernelCare Enterprise. Ksplice est conçu pour traiter uniquement les CVE (Common Vulnerabilities and Exposures) élevés et critiques, qui sont naturellement des priorités absolues. Cependant, Oracle ajuste parfois les scores de gravité fournis par la National Vulnerability Database en fonction de ses propres critères. Cela signifie que Ksplice peut négliger certaines vulnérabilités qui sont considérées comme élevées et critiques selon d'autres normes, mais qui peuvent néanmoins présenter des risques importants en fonction de votre configuration spécifique ou de vos exigences en matière de sécurité.

En revanche, KernelCare fournit des correctifs en temps réel pour toutes les vulnérabilités que les fournisseurs ont corrigées avec des correctifs traditionnels. Il couvre également les vulnérabilités que les fournisseurs n'ont pas corrigées, mais qui sont encore importantes, qui ont un impact sur de nombreux systèmes ou qui sont connues pour être exploitées dans la nature.

Les organisations dont les systèmes fonctionnent sous Oracle Linux et qui souscrivent au programme Premier Support d'Oracle peuvent continuer à bénéficier des correctifs en direct avec Ksplice. Pour d'autres, la portée plus large, la couverture plus étendue des vulnérabilités et le prix nettement inférieur de KernelCare Enterprise sont susceptibles d'être plus attrayants.

Si vous utilisez actuellement le client Ksplice, vous pouvez facilement passer à la solution KernelCare Enterprise ; il suffit d'exécuter un script sur le système, et le tour est joué. Ce n'est pas plus difficile que d'installer Uptrack. KernelCare Enterprise se charge ensuite de l'application des correctifs en direct du noyau et de nombreux autres services sur cette machine.

Si vous n'êtes toujours pas sûr, pourquoi ne pas l'essayer ? KernelCare est disponible en version d'essai de 30 jours, avec toutes les fonctionnalités et sans engagement d'achat.