ClickCease KernelCare Enterprise와 Kpatch 비교하기

KernelCare Enterprise와 Red Hat kpatch 비교

라이브 Linux 커널 패치가 SecOps를 혁신하고 있지만 Red Hat의 kpatch가워크로드에 가장 적합한 선택일까요?

유지 보수 기간에 어려움을 겪고 있고, 불완전한 패치 메커니즘과 Red Hat 보안 운영에 미치는 영향이 걱정되시나요? 핫 패치라고도 하는 라이브 Linux Kernel 패치는 이 두 가지 문제에 대한 해답이지만, 모든 라이브 Kernel 패치 도구가 동일하게 만들어지지는 않습니다.

대부분의 엔터프라이즈 Linux 공급업체는 레드햇의 레드햇 엔터프라이즈 리눅스(RHEL)용 도구인 kpatch를 포함하여 라이브 패치 도구를 출시했습니다. 이제 라이브 패치를 채택하는 것은 사이버 보안 모범 사례이며, 필요에 가장 적합한 도구를 사용하는 것이 중요합니다.

kpatch는 커널이 실행되는 동안 커널에 변경 사항을 적용하여 유지 관리 기간과 관련된 문제를 완화합니다. 2014년 kpatch의 초기 버전부터 Red Hat 기반 서버 워크로드를 지원해 왔지만 장단점이 있습니다. 살펴보겠습니다.


콘텐츠 표

  1. 비교 차트
  2. 동적 커널 패치를 소개합니다.
  3. Kernel 패치 수명
  4. 지원되는 Linux Kernel
  5. 취약점 커버리지
  6. 롤백 기능
  7. 비용은 어떻게 되나요?
  8. kpatch 유틸리티에서 KernelCare로 전환하기
  9. kpatch와 커널케어 중 선택하기

비교 차트

Red Hat K패치 LibCare 애드온이 포함된 KernelCare Enterprise
지원되는 배포판 Red Hat 엔터프라이즈 Linux Red Hat 엔터프라이즈 Linux 6, 7, 8, 9, Ubuntu, Oracle, AlmaLinux
아키텍처 x86-64 x86-64, ARM64
적용 범위 Linux Kernel Linux Kernel 및 중요 사용자 공간(glibc 및 openssl)
패치된 취약점 위협성이 높거나 중요한 취약점의 하위 집합 모두
Kernel 패치 수명 6개월 사실상 무제한
사용자 지정 패치
QEMU 패치 아니요
연중무휴 24시간 지원 심각도 1 및 2 사례의 경우 연중무휴 24시간, 그 외에는 표준 업무 시간(프리미엄 가입자의 경우) 온라인, 연중무휴 24시간, 구독마다 다른 우선순위를 적용합니다.
패치세트 배포 모든 패치를 위한 단일 패치 세트 모든 패치를 위한 단일 패치 세트
API 사용 가능 아니요
롤백 기능 예, 재부팅하면 예, 재부팅 필요 없음
신규 고객에게 제공 RHEL 전용 예, 60개 이상의 배포판 버전이 지원됩니다.
패치 유형 영구 영구
애드온 - 사용자 지정 패치, QEMU, 데이터베이스 패치
비용 머신당 연간 $879의 RedHat 구독에 번들로 제공됩니다. 시스템당 연간 $49.50입니다. 구독에 다양한 추가 기능이 포함될 수 있습니다. 대량 구매가 가능합니다.

KernelCare로 전환하는 방법에 대해 자세히 알아볼 준비가 되셨나요?

전문가와 채팅하기

동적 커널 패치를 소개합니다.

레드햇이 리눅스 커널 메인라인에 kpatch를 도입하기로 결정한 것은 다소 늦은 감이 있는데, 이는 이 기능이 MIT 프로젝트인 KSplice와 CloudLinux 팀이 개발한 KernelCare에 이어서 개발되었기 때문입니다. 다른 커널 패치와 마찬가지로 kpatch는 패치된 버전의 커널 코드가 포함된 대체 기능을 핫스왑하여 라이브 패치를 수행합니다.

즉, kpatch를 사용하면 패치 적용 후 서버를 즉시 재시작할 필요 없이 Red Hat 기반 워크로드에 보안 패치를 적용할 수 있습니다. 이 도구는 Red Hat에서 자체 개발했으며, 처음에는 SUSE Linux 팀이 개발한 도구인 kGraft와 유사했습니다. kGraft가 kpatch와 얼마나 밀접하게 연관되어 있는지를 감안하여 두 조직은 함께 협력하고 노력을 통합하기로 결정했습니다.

Kernel 패치 수명

Red Hat의 커널은 출시 후 6개월이 지나면 라이브 커널 패치를 더 이상 제공하지 않습니다. 지속적인 kpatch 업데이트를 받으려면 고객은 커널을 업그레이드하고 1년에 최소 두 번 재부팅해야 합니다. 따라서 고객은 유지 관리 기간을 공급업체의 릴리스 일정에 맞춰야 합니다.

이에 비해 KernelCare Enterprise는 거의 무제한으로 실시간 패치를 제공합니다. 따라서 고객은 유지 관리 기간을 계획할 때 공급업체의 릴리스 일정에 구애받지 않고 기존 커널에 대한 지속적인 보호를 누릴 수 있습니다.

지원되는 Linux Kernel

kpatch는 레드햇 엔터프라이즈 리눅스(RHEL)를 실행하는 모든 사용자를 위한 옵션입니다. 결국 Red Hat 개발자가 구축하고 유지 관리합니다. 그러나 RHEL 6 또는 특정 버전의 RHEL 7을 실행하는 사용자는 kpatch로 핫 패치를 적용받을 수 없습니다. RHEL 8, 7.7 및 7.6만 지원됩니다.

특정 버전의 우분투, 데비안, 젠투 등 일부 비 RHEL Linux 배포판도 기술적으로 지원되지만 이러한 배포판에서 kpatch를 사용하려는 고객은 직접 도구를 사용하여 필요한 라이브 패치를 수동으로 만들어야 합니다. 라이브 패치를 만드는 것은 대부분 쉬운 과정이 아니며 특정 전문 지식이 필요하다는 점에 유의해야 합니다. 주의하지 않으면 몇 가지 큰 함정이 발생할 수 있습니다.

kpatch가 지원하지 않는 RHEL, Ubuntu 또는 Debian 버전 또는 CentOS 또는 Amazon Linux와 같은 다른 Linux 배포판을 실행하는 경우, 실시간 패치 지원을 받으려면 KernelCare Enterprise를 사용해야 합니다.

취약점 커버리지

고려해야 할 또 다른 중요한 측면은 kpatch가 취약성 범위를 처리하는 방식입니다. 이 솔루션은 심각도가 높고 중요한 CVE(공통 취약성 및 노출)만 처리합니다. 그러나 Red Hat은 자체 기준에 따라 국가 취약성 데이터베이스에서 할당된 이러한 CVE의 원래 심각도 점수를 조정할 수 있습니다. 즉, 외부 평가 시스템에서 심각도가 높고 중요하다고 간주되는 모든 취약점을 k패치로 해결하지 못할 수도 있습니다. 또한, Red Hat이 계속해서 중요도가 높고 중요하다고 분류하는 취약점 중에도 문서에 명시된 대로 모든 취약점이 라이브 패치 서비스를 사용하여 패치되는 것은 아닙니다. 동시에 Red Hat에서 조정한 일부 덜 중요한 취약점도 특정 구성 및 보안 요구 사항이 있는 환경에서는 여전히 심각한 위험을 초래할 수 있습니다.

롤백 기능

시스템 관리자가 어떤 이유로든 원하는 경우, KernelCare Enterprise는 재부팅 없이도 모든 패치를 롤백할 수 있도록 합니다. 이 기능은 패치가 시스템 성능에 상당한 부정적인 영향을 미치는 경우(예: 스펙터/멜트다운 수정)에 특히 유용할 수 있으며 다른 완화 방법이 있습니다. 반면에 kpatch는 재부팅 없이 롤백하는 기능을 지원하지 않습니다. 이로 인해 비용이 많이 드는 서비스 중단이 발생하여 라이브 패치의 주요 이점이 손상될 수 있습니다.

패치가 예상대로 작동하지 않는 경우, 필요한 경우 이전 커널로 쉽게 되돌릴 수 있다는 점이 좋습니다. KernelCare Enterprise를 사용하면 시스템을 재부팅할 필요가 없는 특수 명령을 실행하여 적용된 모든 변경 사항을 언제든지 롤백할 수 있으므로, kpatch가 제공할 수 없는 잠재적인 롤백으로 인한 중단을 제거할 수 있습니다.

비용은 어떻게 되나요?

또한 KernelCare Enterprise를 선택했다면 연간 서버당 50달러 미만의 경제적인 가격으로 이용할 수 있습니다. 광범위한 Linux 배포판을 지원하는 KernelCare는 비교적 풍부한 기능 세트도 제공합니다.

이미 RHEL 지원 플랜에 가입하지 않은 경우 kpatch를 구현하는 데 드는 비용이 상당히 높습니다. 그 이유는 프리미엄 지원 플랜을 사용하는 Red Hat 고객만 kpatch를 사용할 수 있으며, 머신당 연간 $879의 비용이 들기 때문입니다.

kpatch와 커널케어

Red Hat Premium Support 고객이고 서버에서 RHEL을 독점적으로 사용하는 경우, Red Hat과의 계약에 이미 포함되어 있으므로 kpatch를 고려할 수 있습니다.

여러 Linux 배포판을 혼합하여 실행하거나 Red Hat 지원 계약에 포함된 모든 추가 기능이 필요하지 않은 조직은 저렴한 비용과 광범위한 기능 세트를 고려할 때 KernelCare Enterprise 를 kpatch의 대체 도구 중 하나로 진지하게 고려해야 합니다. 마지막으로, 많은 조직과 마찬가지로 kpatch의 제한된 커널 패치 수명 및 계획되지 않은 시스템 재부팅이 필요한 롤백에 따른 재부팅을 감당할 수 없다면 KernelCare가 최선의 선택입니다.

kpatch 유틸리티에서 KernelCare로 전환하기

kpatch 라이브 커널 패치 메커니즘에서 KernelCare Enterprise로 전환하는 것은 간단합니다. 간단한 빠른 시작 스크립트만으로 KernelCare를 설치하면 Linux 시스템 전반에서 지속적인 라이브 패치를 즐길 수 있습니다.

KernelCare Enterprise를 설치해도 기존 워크로드는 중단되지 않으며 kpatch의 원래 기능을 그대로 유지합니다. 하지만 영구 패치를 통해 중단을 완전히 최소화하여 재부팅할 필요가 없는 KernelCare는 그 이상의 기능을 제공합니다. 아직 확신이 서지 않는다면 한 번 사용해 보세요. KernelCare는 30일 평가판으로 제공되며, 구매 약정 없이 모든 기능을 이용할 수 있습니다.

TuxCare 전문가와 상담하기

문제점을 알려주시면 전문가가 TuxCare 제품군을 통해 이를 해결할 수 있는 최적의 방법을 찾아드립니다.

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기