기술 지원
문서
로그인
문의하기
[새 웨비나] CentOS 7 수명 종료 전략: 현재와 미래를 위한 보안 - 12월 6일 오전 10시 30분(동부 표준시) / 오후 4시(중부 표준시) RSVP
Canonical은 라이브 패치를 잘 수행하지만 상대적으로 높은 비용을 지불할 가치가 있을까요? 게다가 다른 리눅스 배포판은 어떤가요?
라이브 패치는 Linux 시스템에 보안 업데이트를 설치하는 가장 좋은 방법입니다. 실시간 패치를 사용하면 Kernel 취약성에 대한 최신 보안 수정을 적용할 수 있지만 패치를 적용하기 위해 시스템을 재부팅할 필요가 없습니다. 즉, 유지 보수 기간을 계획할 필요가 없으며 시스템을 보다 일관되게 안전하게 유지할 수 있습니다.
그렇기 때문에 다른 주요 Linux 공급업체와 마찬가지로 Canonical은 Livepatch라는 Ubuntu용 라이브 패치 도구를 개발하기로 결정했습니다. 그러나 Livepatch는 작동 방식에 두 가지 주요 결함이 있으며 상대적으로 비싼 옵션입니다.
대안으로 TuxCare의 KernelCare Enterprise를 고려해 볼 수 있습니다. 두 도구의 차이점을 자세히 살펴보겠습니다.
콘텐츠:
- 정식 라이브패치란 무엇인가요?
- 커널 패치 수명
- 취약점 커버리지
- 롤백 기능
- 지원되는 Linux Kernel
- Canonical Livepatch와 KernelCare의 비용 비교
- 정식 라이브패치에서 KernelCare로 전환하기
- 결론
정식 라이브패치란 무엇인가요?
라이브 Linux 커널 패치는 10년 이상 사용되어 왔으며, 2009년에 MIT에서 처음으로 실행 가능한 솔루션이 등장했습니다. 이 솔루션은 KSplice라고 불렸습니다. CloudLinux 팀은 곧바로 현재 TuxCare에서 제공하는 KernelCare를 출시했으며, 많은 주요 Linux 공급업체에서도 라이브 패치 도구를 제작했습니다. 우분투 사용자의 경우, TuxCare의 KernelCare Enterprise 외에도 보안 업데이트를 제공하는 Canonical의 Livepatch가 있습니다.
모든 라이브 패치 도구의 전제는 본질적으로 동일하지만, 임시 패치와 영구 패치의 차이점은 다음 섹션에서 다룹니다. 라이브 패치 도구는 실행 중인 Linux Kernel을 실시간으로 가져와 영향을 받는 코드를 즉시 교체합니다. Kernel 취약성이 있는 순간에는 안전한 코드를 실행하고, 다음 순간에는 다시 시작할 필요가 없습니다.
라이브 패치 토큰을 받고 스냅 패키지를 배포하는 과정을 거치면 시스템 관리 팀이 유지 보수 기간을 예약하고 패치를 적용하기 전에 다운타임을 기다릴 필요가 없습니다. 패치가 지연 없이 일관되게 적용되므로 시스템이 취약해질 수 있는 시간이 줄어듭니다.
커널 패치 수명
Canonical은 모든 우분투 LTS 릴리스의 GA 커널의 모든 버전 개정에 대해 13개월의 슬라이딩 지원 기간을 제공합니다. 13개월 동안 시스템을 재부팅하지 않은 상태에서 Livepatch를 계속 사용하려면 최신 커널 업데이트를 설치한 후 재부팅해야 합니다. 그러면 동일한 커널 버전의 새 버전이 실행됩니다. 이렇게 하면 해당 버전에 대한 13개월의 Livepatch 지원 기간이 다시 시작됩니다. 유지 관리 기간이 13개월보다 긴 경우에는 특정 커널 버전에 대한 라이브 패치를 계속 받을 수 있도록 유지 관리 기간을 조정해야 합니다.
KernelCare Enterprise는 사실상 무제한으로 실시간 패치를 제공하며, 실제로 재부팅 간격과 관련된 제한이 없습니다. 따라서 유지 관리 기간을 계획할 때 우분투의 릴리스 일정에 얽매이지 않고 기존 커널을 지속적으로 보호할 수 있습니다.
취약점 커버리지
Canonical은 일반적으로 사용되는 외부 등급 시스템(예: CVSS 점수)을 사용하지 않으며 자체 자격에 따라 CVE 심각도 레벨을 할당합니다. 따라서 심각도가 높고 심각한 CVE에 대한 패치를 제공하는 Livepatch는 일반적으로 사용되는 외부 등급 시스템에 따라 이러한 취약성의 일부만 해결할 수 있습니다.
동시에 라이브패치는 사용자의 특정 상황에 중요할 수 있는 우선순위가 낮은 보안 수정은 다루지 않습니다. 이는 특정 사용 사례, 관련 시스템의 특성 및 환경에 미치는 잠재적 영향에 따라 중간 심각도 커널 취약성의 영향이 달라질 수 있기 때문에 중요할 수 있습니다. 예를 들어, 인터넷에 직접 노출된 시스템에 영향을 미치는 취약점은 고립된 내부 네트워크에 나타나는 동일한 취약점보다 더 긴급한 것으로 간주될 수 있습니다.
KernelCare Enterprise는 공급업체가 악용의 위협이 있는 모든 취약점에 대한 실시간 패치를 제공합니다. 공급업체가 해결하지 않았지만 여전히 많은 시스템에 영향을 미치거나 야생에서 활발하게 악용되는 것으로 알려진 취약점에 대한 라이브 패치도 제공합니다. 1.
롤백 기능
시스템 관리자가 어떤 이유로든 원하는 경우, KernelCare Enterprise는 재부팅 없이도 모든 패치를 롤백할 수 있습니다. 이는 패치가 시스템 성능에 상당한 부정적인 영향을 미치는 경우(예: 스펙터/멜트다운 수정)에 특히 유용할 수 있으며 다른 완화 방법이 있습니다. 반면에 정식 패치는 재부팅 없는 롤백 기능을 지원하지 않습니다. 이로 인해 비용이 많이 드는 서비스 중단이 발생하여 라이브 패치의 주요 이점이 손상될 수 있습니다.
패치가 예상대로 작동하지 않는 경우, 필요한 경우 이전 커널로 쉽게 되돌릴 수 있다는 점이 좋습니다. KernelCare Enterprise를 사용하면 시스템을 재부팅할 필요가 없는 특수 명령을 실행하여 적용된 모든 변경 사항을 언제든지 롤백할 수 있으므로 Livepatch가 제공할 수 없는 잠재적인 롤백으로 인한 중단을 제거할 수 있습니다.
지원되는 Linux Kernel
대부분의 관리형 라이브 커널 패치 도구는 특정 Linux 배포판에서만 작동하며, 우분투 시스템과 4.4 이상의 커널만 지원하는 Canonical Ubuntu Livepatch도 마찬가지입니다. 전체 워크로드가 최신 우분투 배포판을 기반으로 하는 경우에는 괜찮지만, 다른 Linux 배포판에는 적용되지 않습니다. 일부 Linux 배포판은 특정 시나리오에 더 적합하기 때문에 특정 조직에서 서로 다른 역할을 수행하는 여러 배포판이 실행되는 것이 일반적입니다. 따라서 Livepatch는 라이브 패치 요구 사항을 부분적으로만 충족합니다.
반면에 KernelCare Enterprise는 RHEL, Debian, Oracle Linux, AlmaLinux, Amazon Linux 등에 대한 커널 라이브 패치를 포함하여 훨씬 더 광범위한 배포판을 지원합니다(실제로 40개 이상의 엔터프라이즈급 Linux 배포판 버전과 4000개 이상의 배포판+커널 버전 조합을 지원합니다). 원스톱 솔루션이므로 모든 Linux 기반 시스템을 커버하기 위해 여러 라이브 패치 솔루션을 실행할 필요가 없습니다.
Canonical Livepatch와 KernelCare의 비용 비교
Canonical의 Ubuntu Livepatch는 중요한 커널 패치를 위한 가장 비싼 라이브 패치 솔루션은 아니지만, 그렇다고 가장 저렴한 것도 아닙니다. 라이브패치는 별도의 제품으로 구매할 수 없으며, 사용자가 Ubuntu One 계정을 사용하여 가입하는 Ubuntu Pro 구독의 일부로만 포함되어 있습니다.
가격은 연간 머신당 $225부터 시작하여 연간 머신당 최대 $3,400입니다. TuxCare의 KernelCare Enterprise는 서버당 연간 $60 미만입니다.
| 정식 Ubuntu 라이브 패치 | KernelCare 엔터프라이즈 라이브 패치 | |
|---|---|---|
| 지원되는 배포판 | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04 | Ubuntu LTS 14.04, 16.04, 18.04, 20.04, 22.04, Red Hat, Oracle, AlmaLinux 및 기타 여러 버전 |
| 아키텍처 | x86-64 | x86-64, ARM64 |
| 적용 범위 | Linux Kernel | Linux Kernel 및 중요 사용자 공간(glibc 및 openssl) |
| 패치된 취약점 | 위협성이 높거나 중요한 취약점의 하위 집합 | 모두 |
| Kernel 패치 수명 | 13개월 | 사실상 무제한 |
| 사용자 지정 패치 | 아니요 | 예(특수 버전 또는 구성에 대해서는 당사에 문의) |
| QEMU 패치 | 아니요 | 예 |
| 데이터베이스 패치 | 아니요 | 예 |
| 연중무휴 24시간 지원 | 예, 유료 구독 시 | 온라인, 연중무휴 24시간, 구독마다 다른 우선순위를 적용합니다. |
| 패치세트 배포 | 모든 패치를 위한 단일 패치 세트 | 모든 패치를 위한 단일 패치 세트 |
| API를 사용할 수 있나요? | 예 | 예 |
| 롤백 기능 | 예, 재부팅하면 | 예, 재부팅 필요 없음 |
| 신규 고객도 이용할 수 있나요? | Ubuntu 클라이언트만 | 예, 40개 이상의 배포판이 지원됩니다. |
| 패치 유형 | 영구 | 영구 |
| 애드온 | - | 사용자 지정 패치, QEMU, 데이터베이스 패치 |
| 라이브 패치 비용 | 모든 Ubuntu Pro 패키지($225-$3,400/머신/년)의 일부로 포함됩니다. | 시스템당 연간 $59.50. 구독에 다양한 추가 기능이 포함될 수 있습니다. 대량 구매가 가능합니다. |
KernelCare로 전환하는 방법에 대해 자세히 알아볼 준비가 되셨나요?
정식 라이브패치에서 KernelCare로 전환하기
이미 Livepatch를 사용 중이라면 KernelCare로 손쉽게 전환하여 모든 Linux 배포판을 하나의 라이브 패치 전송으로 관리할 수 있습니다. 명령줄 인터페이스에서 짧은 스크립트를 실행하기만 하면 되기 때문에 KernelCare 설치는 간단하며, Canonical Livepatch를 활성화하는 것보다 더 어렵지 않습니다.
라이브패치 도구를 설치할 때와 마찬가지로 KernelCare는 백그라운드에서 실행되므로 작업을 방해하지 않습니다. 가끔씩 재시작해야 하는 Ubuntu의 라이브패치 서비스와 달리 KernelCare의 지속적 패치 방법론 덕분에 스크립트 하나만 있으면 패치 관련 재시작이 거의 필요하지 않습니다.
결론
우분투 시스템만 실행하는 경우, 중요한 커널 패치를 통합하기 위해 계속되는 재부팅 관련 중단을 수용할 수 있는 능력과 비용에 따라 결정됩니다. 우분투만 사용 중이고 어쨌든 우분투 프로를 구독해야 하나요? 그렇다면 라이브패치 커널 라이브 패치는 라이브패치 임시 패치 체제의 중단 정도에 따라 합리적인 옵션이 될 수 있습니다.
반면, 우분투 프로 구독의 모든 기능이 필요하지 않다면 KernelCare를 사용하면 비용을 크게 절약할 수 있습니다. 우분투뿐만 아니라 다양한 Linux 배포판을 사용하시나요? 예를 들어, 라이브패치는 우분투가 아닌 머신에는 적용되지 않으며, 라이브패치가 RHEL에서 작동하도록 강제할 수도 없습니다. 또한 가끔씩 재시작해야 하는 Livepatch 요구 사항으로 인해 워크로드에 문제가 발생하고 다운타임을 줄여야 하는 경우 KernelCare를 고려해야 합니다.
1 CISA 카탈로그에 따르면 https://www.cisa.gov/known-exploited-vulnerabilities-catalog
