Apoio Técnico
Documentação
Login
Contacte-nos
Não tem a certeza do que é ou como funciona a aplicação de patches em tempo real? Consulte este guia completo.
O Patching ao Vivo de kernels Linux está a transformar a SecOps, mas será o Kpatch da Red Hat a melhor escolha para as suas cargas de trabalho?
A debater-se com janelas de manutenção, e preocupado com mecanismos de patching imperfeitos e o impacto nas suas operações de segurança da Red Hat? O patching ao vivo de kernels Linux, também conhecida como hot patching, é a resposta a ambos os desafios - mas nem todas as ferramentas de patching ao vivo de kernel são criadas da mesma forma.
A maioria dos vendedores empresariais de Linux implementaram ferramentas de patching ao vivo - incluindo a ferramenta da Red Hat para o Red Hat Enterprise Linux (RHEL), chamada Kpatch. Adoptar patching ao vivo é agora a melhor prática de cibersegurança e utilizar a melhor ferramenta para as suas necessidades é fundamental.
O Kpatch aplica alterações ao núcleo enquanto este está em funcionamento, mitigando assim os desafios em torno das janelas de manutenção. Tem suportado cargas de trabalho do servidor baseado na Red Hat desde a primeira versão do Kpatch em 2014, mas tem os seus prós e contras. Vamos dar uma vista de olhos.
Tabela de Conteúdos
- Introduzindo o Kpatch patch dinâmico de kernel
- Diferença entre patch de kernel temporário e persistente do Linux
- Kernels Linux suportados
- E quanto aos custos?
- Gráfico de Comparação Rápida
- Migrar do utilitário Kpatch para o KernelCare
- Escolher entre Kpatch e KernelCare
Introduzindo o Kpatch patch dinâmico de kernel
A decisão da Red Hat de introduzir o Kpatch na linha principal do kernel Linux chegou um pouco tarde, dado que foi desenvolvido depois do KSplice - o projecto MIT - e depois do KernelCare, desenvolvido pela equipa da CloudLinux. Tal como os seus pares, o Kpatch executa patches ao vivo através da troca a quente de uma função de substituição contendo uma versão corrigida do código do kernel.
Por outras palavras, o Kpatch permite-lhe aplicar patches de segurança às suas cargas de trabalho baseadas na Red Hat, sem a necessidade de reiniciar imediatamente o servidor após a aplicação de patches. A ferramenta foi desenvolvida internamente pela Red Hat, e no início era semelhante ao kGraft, uma ferramenta desenvolvida pela equipa da SUSE Linux. Dada a proximidade do kGraft com o Kpatch, as duas organizações decidiram trabalhar em conjunto e unificar os seus esforços.
Diferença entre patch de kernel temporário e persistente do Linux
Aqui está um ponto-chave para compreender sobre o Kpatch patch dinâmico de kernel. Ao executar o patch ao vivo ou como costumava ser chamado, patch dinâmico de kernel, existem duas vias: o patch temporário, e o patch persistente. Kpatch baseia-se na aplicação de patches temporários ao vivo, que é exactamente o que diz, uma forma temporária de instalar patches críticos numa carga de trabalho em execução sem reiniciar.
No entanto, as correcções temporárias não estão totalmente integradas, e confiar no patching temporário em curso acabará por degradar o desempenho - até que se faça um reboot do núcleo em execução. Sim, ajuda a mitigar os desafios em torno da aplicação de patches, mas confiar em patches temporárias aos módulos do kernel não é uma cura perfeita.
Uma melhor forma de se proceder ao patching é o patching persistente, em que cada patch activo do núcleo contém uma correcção cumulativa num binário. Os módulos de patch não são aplicados uns sobre os outros, não há degradação do desempenho e não há necessidade de reboot do sistema. E, quando se trata de patches, pode-se argumentar que a eliminação dos reboots necessárias para actualizar a versão do kernel é realmente o objectivo principal.
Kernels Linux suportados
O Kpatch é uma opção para qualquer pessoa que execute o Red Hat Enterprise Linux (RHEL). É construído e mantido pelos programadores da Red Hat, afinal de contas. No entanto, qualquer pessoa que execute RHEL 6, ou certas versões de RHEL 7, não será coberto por hot patches pelo Kpatch. Apenas RHEL 8, 7.7, e 7.6 é suportado. Algumas distribuições não-RHEL Linux também são suportadas, incluindo versões específicas do Ubuntu, Debian, e Gentoo.
Se estiver a usar uma versão da RHEL, Ubuntu ou Debian que não seja suportada pelo Kpatch, ou mesmo outra distribuição Linux como o CentOS ou o Amazon Linux, terá de olhar para o KernelCare para obter suporte de patching ao vivo.
E quanto aos custos?
Por falar nisso, se tiver optado pela KernelCare Enterprise, estará a olhar para preços amigáveis que se reduzem a menos de 60 dólares/servidor por ano. Com patching persistente e suporte para uma vasta gama de distribuições Linux, KernelCare oferece também um conjunto de funcionalidades comparativamente ricas.
O custo para implementar o Kpatch é significativamente mais elevado a menos que já esteja inscrito num plano de apoio RHEL. Isto porque o Kpatch só está disponível para clientes da Red Hat com um plano de suporte Premium, e isso é $1,299 por ano, por máquina.
Gráfico comparativo
| Red Hat Enterprise Linux | KernelCare Enterprise com add-on LibCare | |
|---|---|---|
| Distribuições suportadas | Red Hat Enterprise Linux | Red Hat Enterprise Linux 6, 7, 8 e 9, bem como Ubuntu, Oracle, AlmaLinux e muitos outros |
| Arquitecturas | x86-64 | x86-64, braço64 |
| Cobertura | Kernel Linux | Kernel Linux & espaço de utilizador crítico (glibc & openssl) |
| Vulnerabilidades corrigidas | Parte de Elevadas e Críticas | Todas |
| Patching de kernel ao longo da vida | 6 meses | Praticamente ilimitado |
| Patches personalizados | Sim | Sim |
| Patching QEMU | Não | Sim |
| Patching de bases de dados | Não | Sim |
| Apoio 24/7 | Não, 24×7 para casos de severidade 1 e 2, caso contrário horário normal de expediente (para assinantes premium) | Sim, online, 24/7/365 com diferentes prioridades para diferentes subscrições |
| Distribuição de Patchset | Sem canal de distribuição, os patches são separados | Patchset único para todos os patches |
| API disponível | Não | Sim |
| Funcionalidade de retrocesso | Sim | Sim, sem reboot |
| Disponível para novos clientes | Apenas para RHEL | Sim, mais de 40 distribuições suportadas |
| Tipo de patching | Temporário | Persistente |
| Add-ons | – | Patches personalizados, QEMU, patching de Bases de Dados |
| Custos | Pacote com assinatura RedHat a $349 por ano por tomada de CPU. | $59,50 por ano, por sistema. Diferentes add-ons podem ser incluídos na subscrição. O preço conjunto está disponível. |
Pronto para saber mais sobre a mudança para KernelCare?
Migrar do utilitário Kpatch para o KernelCare
A mudança do mecanismo de patching do Kpatch live kernel para o KernelCare Enterprise é simples. Basta um simples script de início rápido para instalar o KernelCare, e os seus sistemas Linux desfrutarão de um patching contínuo e permanente em toda a linha.
A instalação do KernelCare Enterprise não perturba as suas cargas de trabalho existentes e mantém as funções originais do Kpatch. No entanto, o KernelCare faz muito mais ao minimizar completamente a perturbação graças à aplicação de patches permanentes, o que significa que nunca precisará de reiniciar.
Escolher entre Kpatch e KernelCare
Se for um cliente de suporte premium da Red Hat e usar exclusivamente o RHEL nos seus servidores, e se o patching temporário do kernel não conduzir a uma drenagem excessiva de recursos ou tempo de inactividade, poderá querer considerar o Kpatch, uma vez que já está incluído no seu acordo com a Red Hat.
As organizações que executam uma mistura de distribuições Linux ou que não precisam de todos os flashes extras incluídos num contrato de suporte da Red Hat devem considerar seriamente o KernelCare como uma das ferramentas alternativas ao Kpatch, dado o custo mais baixo do KernelCare Enterprise e o seu conjunto de características mais amplo. Finalmente, se como muitas organizações, simplesmente não se pode permitir os reinícios implícitos pelo método de patching temporário ao vivo do Kpatch, então o KernelCare é a sua melhor opção.
Fale com um Especialista TuxCare
Conte-nos os seus desafios e os nossos peritos ajudá-lo-ão a encontrar a melhor abordagem para os resolver com a linha de produtos TuxCare.