ClickCease Amazon Kernel 라이브 패치: 엔터프라이즈용 라이브 패치 개요 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Amazon Kernel 라이브 패치: 엔터프라이즈용 라이브 패치 개요

2020년 12월 14일 TuxCare 홍보팀

Amazon Kernel 라이브 패치Linux Kernel을 자주 업데이트하는 것이 클라우드 환경의 안전에 매우 중요하다는 것을 잘 알고 있습니다, 사이버 보안 사각지대. 그러나 Kernel을 업데이트하는 데는 시간이 많이 걸리고 종종 서버를 다시 시작해야 하므로 서비스가 중단될 수 있습니다.

이것이 바로 라이브 Kernel 패치가 매우 중요한 이유이며, Amazon이 Amazon Linux 2 인스턴스를 자동으로 패치하는 기능을 제공하는 이유입니다. 이 문서에서는 AWS에서 Linux Kernel의 라이브 패치가 어떻게 작동하는지, Amazon의 라이브 패치가 최상의 솔루션이 아닐 수 있는 이유, 그리고 Linux 서버가 AWS로 호스팅되지 않는 경우 라이브 패치를 적용하기 위해 수행할 수 있는 작업에 대해 설명합니다.

 

콘텐츠:

  1. Amazon Kernel 라이브 패치가란 무엇이며 왜 필요한가요?

  2. Amazon Kernel 라이브 패치를 적용할 수 있는 패치

  3. Amazon Kernel 라이브 패치를 활성화하는 방법

  4. AWS 시스템 관리자를 통한 실시간 패치 적용

  5. Amazon Kernel 라이브 패치의 단점

  6. Amazon Kernel 라이브 패치의 대안

 

 

Amazon Kernel 라이브 패치가란 무엇이며 왜 필요한가요?

Amazon Kernel 라이브 패치가란 무엇이며 왜 필요한가요?

패치 관리는 크고 작은 기업에게 중요한 문제입니다. 보안 취약점은 매일 발견되고, 익스플로잇되고, 패치됩니다. 실제로 Linux Kernel은 매년 수없이 많은 패치가 적용되며, 패치를 적용하지 않으면 악성 공격자가 취약한 Kernel을 악용할 수 있습니다.

실제로 엔터프라이즈 수준에서 Kernel 패치는 컴플라이언스 이슈로 발전했습니다.. 대규모 조직은 패치를 자주 적용해야 합니다. 패치를 적용하지 않으면 보안 침해로 인해 많은 사람에게 영향을 미치는 데이터 손실이 발생하여 심각한 결과를 초래할 수 있기 때문입니다.

하지만 패치를 자주 적용하면 재시작을 위해 Linux 서버를 오프라인 상태로 전환해야 하므로 지속적인 서비스 중단이 발생할 수 있습니다. 또한 이러한 지속적인 패치 적용과 재시작 작업은 엄청난 시간을 소비합니다. 이는 어려운 교착 상태로 이어집니다. 비용이 많이 들고 서비스 중단을 초래하는 패치를 적용하느냐, 아니면 감당할 수 없는 수준의 위험을 감수하느냐를 선택해야 합니다.

실시간 패치가 정답이며, 이것이 바로 Amazon이 AWS에서 실행되는 Linux 2 인스턴스를 위한 실시간 패치 기술을 출시한 이유입니다. 라이브 패치는 Amazon Linux 2를 사용하며 Kernel 버전이 4.14.165-131.185 이상인 경우에 지원됩니다.

Amazon Linux 2 Kernel 라이브 패치는 x86_64 환경에서만 작동하며 ARM64는 지원되지 않습니다. ARM 기반 Linux 서버도 라이브 패치가 필요합니다.가 필요하며, ARM 워크로드를 실행하는 조직을 위한 대체 솔루션이 있습니다. KernelCare.

 

 

Amazon Kernel 라이브 패치를 적용할 수 있는 패치

Amazon Kernel 라이브 패치를 적용할 수 있는 패치

AWS는 Linux 서버를 재시작하지 않고도 두 가지 유형의 Kernel 패치를 적용할 수 있는 기능을 제공합니다. 첫째, Amazon Linux 2 서버의 안정성을 개선하기 위한 Kernel 패치를 포함하여 Amazon에서 발행하는 일반적인 버그 수정을 적용할 수 있습니다.

더 중요한 것은 실시간 패치 덕분에 서버를 오프라인으로 전환할 필요 없이 중요한 보안 업데이트를 신속하게 적용할 수 있다는 점입니다. 물론 CVE는 Linux의 일반적인 취약점 및 노출에 대해 이야기하고 있습니다.

Amazon Linux 보안 자문에서 CVE를 중요 또는 위험으로 평가하는 경우 이 업데이트는 실시간 패치 체제에 포함됩니다. 또한 CVE가 아직 지정되지 않은 경우에도 Amazon에서 라이브 패치를 제공하는 경우도 있습니다.

라이브 패치를 사용할 수 있는 시간 제한이 있습니다. Kernel이 릴리스된 후 최대 3개월까지만 Kernel을 라이브 패치할 수 있습니다.

 

 

Amazon Kernel 라이브 패치를 활성화하는 방법

Amazon Kernel 라이브 패치를 활성화하는 방법

Amazon Linux 2 인스턴스에서 라이브 패치를 시작하고 사용할 때 선택할 수 있습니다. 먼저, 명령줄을 사용하여 각 개별 인스턴스에서 라이브 패치 사용을 시작할 수 있습니다. 다른 옵션은 인스턴스 그룹에 라이브 패치를 적용할 수 있는 AWS 시스템 관리자를 통해 라이브 패치를 자동화하는 것입니다.

특정 Linux 인스턴스에서 라이브 패치를 사용하기로 결정한 경우 Amazon 에서 명령줄을 통해 라이브 패치를 활성화하는 방법에 대한 전체 가이드를 에 대한 완전한 가이드를 제공합니다. 시작하려면 몇 가지 사항이 필요합니다. yum 플러그인을 설치해야 하고 binutils가 설치되어 있는지 확인해야 합니다.

또한 Kernel 버전을 먼저 확인해야 합니다. Kernel 버전이 3개월 이상 된 경우 가장 먼저 최신 Kernel 버전을 설치해야 합니다.

라이브 패치를 위한 구성 요소가 준비되면 kpatch 서비스를 시작할 수 있습니다. 그런 다음 명령줄을 통해 사용 가능한 모든 패치를 확인하고, 인스턴스를 다시 시작하지 않고도 선택한 패치를 실시간으로 적용할 수 있으며, 이미 적용된 모든 패치 목록을 볼 수도 있습니다. 

 

 

AWS 시스템 관리자(SSM)를 통한 실시간 패치 적용

AWS 시스템 관리자(SSM)를 통한 실시간 패치 적용

명령줄 작업을 통해 단일 Linux 인스턴스를 최신 상태로 유지하고 패치를 적용할 수 있지만, 엔터프라이즈 규모에서는 수백 또는 수천 대의 Amazon Linux 2 서버가 실시간 패치를 적용해야 할 수 있습니다.

여러 대의 Amazon EC2 시스템을 운영하는 조직은 명령줄을 사용하여 모든 서버에서 수동으로 패치를 시작할 여유가 없습니다. 대신, AWS 시스템 관리자(SSM)를 사용하면 실시간 패치를 포함한 패치 관리 프로세스를 자동화할 수 있습니다.

실행 명령을 사용하여 Amazon Systems Manager 콘솔에서 라이브 패치를 적용하고, AWS-ConfigureKernelLivePatching이라는 사용자 지정 시스템 관리자 문서를 선택하여 요구 사항을 충족하도록 이 문서를 편집할 수 있습니다.

시스템 관리자를 사용하면 시스템 관리자의 기본 기능인 실행 명령과 위에서 설명한 문서를 사용하여 가상 머신을 포함하여 온프레미스에 위치한 EC2 인스턴스와 서버를 모두 라이브 패치할 수 있으며, 유지 보수 창을 사용할 수도 있습니다.

 

 

Amazon Kernel 라이브 패치의 단점

Amazon Kernel 라이브 패치의 단점

Amazon은 라이브 패치를 위해 많은 노력을 기울였지만, Amazon의 라이브 패치 도구를 사용하여 Amazon Linux 2 인스턴스를 패치할 때 ARM64 서버가 지원되지 않는다는 사실부터 시작하여 몇 가지 주의해야 할 점이 있습니다.

그러나 Kernel 버전과 관련하여 중요한 문제가 있습니다. 라이브 패치를 통해 모든 패치를 적용하더라도 서버를 재부팅할 때까지 서버의 Kernel이 최신 버전 번호로 업데이트되지 않습니다. 즉, 서버에 최신 업데이트가 적용되었지만 여전히 이전 Kernel 버전이 표시될 수 있습니다.

사용 중인 모든 규정 준수 도구는 이 이전 버전을 반영하므로 문제가 될 수 있습니다. 또한 Amazon의 라이브 Kernel 패치는 표준 Kernel 추적 기능을 방해하여 kprobes 및 SystemTap 등 사용하는 일부 디버깅 도구의 기능을 제한할 수 있습니다.

물론 3개월이라는 기간의 제한도 있습니다. 인스턴스는 3개월 동안만 라이브 패치를 받을 수 있으며, 3개월 동안 Kernel이 업데이트되지 않으면 라이브 패치를 사용할 수 없게 됩니다.

 

Amazon Kernel 라이브 패치의 대안

Amazon Kernel 라이브 패치의 대안

x86_64(예: 인텔 또는 AMD 실리콘)에서 Amazon Linux 2 인스턴스를 표준으로 사용하는 기업은 Amazon의 기본 제공 라이브 패치 도구가 적절하게 작동하고, 관련 인스턴스가 특정 패턴에 적합하며, Amazon의 라이브 패치 체제에 따른 제한 사항과 충돌하는 사용 사례 요구 사항이 없다는 것을 확인할 수 있습니다.

그러나 회사가 ARM 기반 서버를 사용하거나 Amazon에서 제공하는 실시간 패치가 요구 사항을 충족하지 않는 경우 대안이 있습니다. 물론 그 중 하나가 CloudLinux의 KernelCare입니다. CloudLinux는 AWS 파트너 네트워크(APN) 고급 기술 파트너입니다.

AWS Graviton2 ARM64 프로세서에 대한 지원은 AWS에서 Linux 인스턴스의 라이브 패치를 위해 KernelCare를 사용할 때 얻을 수 있는 많은 이점 중 하나에 불과합니다. 자세한 내용은 라이브 패치 도구의 전체 비교를 확인하세요..

또는, AWS 마켓플레이스에서 직접 KernelCare를 다운로드하세요. AWS 마켓플레이스 에서 직접 다운로드하여 사용해 보세요.

 

라이브 패치 서비스에 대한 다른 개요를 확인하세요:

엔터프라이즈 라이브 패치 서비스 개요: 크스플라이스 집중 조명

엔터프라이즈 라이브 패치 서비스 개요: 정식 라이브패치에 대한 집중 조명

엔터프라이즈 라이브 패치 서비스 개요: kpatch에 대한 집중 조명

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기