Мета цієї статті — поділитися технічними реаліями безпечного патчування для ядра Linux та запланованим обсягом можливостей живого патчування ядра Linux. Ми розглянемо, коли живе патчування ядра є найбільш доцільним, а коли перезавантаження — найкращим варіантом.

Canonical Livepatch — це служба, яка дозволяє користувачам Ubuntu з тривалим терміном підтримки (LTS) застосовувати критичні патчі безпеки ядра без перезавантаження. Canonical Livepatch забезпечує живі, безперезавантажувані оновлення безпеки для важливих вразливостей ядра на системах Ubuntu LTS і включена в Ubuntu Pro. Ubuntu Pro — це підписка на безпеку, посилення захисту, відповідність та підтримку для програмного забезпечення з відкритим кодом.

У цьому блозі ми детально розглянемо Livepatch, щоб спростувати міфи, які часто виникають навколо живого патчування ядра. Ми підкреслимо, коли живе патчування є найбільш ефективним варіантом, а також розглянемо випадки, коли перезавантаження є більш прийнятним варіантом. Важливо пояснити, чому живе патчування є доповненням до перезавантаження, а не повноцінною заміною для всіх CVE у всіх ситуаціях.

Canonical Livepatch створено для Ubuntu LTS і тісно пов’язане з програмним бінарним інтерфейсом (ABI), що має важливе значення у забезпеченні безпеки. Поряд із цим, Canonical Livepatch відповідає стандартним процесам безпеки та вимогам довірчої ланцюга. Canonical Livepatch не впроваджує оновлення через власницькі або нестандартні механізми, які обходять правила блокування ядра, і гарантує, що оновлення надходять лише від надійного постачальника. Підприємства, що використовують Ubuntu, обирають Canonical Livepatch саме за таку інтеграцію.

Міф #1: Кожну вразливість слід патчити в реальному часі

Поширеним непорозумінням є те, що живе патчування бажане для кожного CVE у кожній ситуації. Проте не кожен CVE потребує термінової уваги або може бути безпечно патчений у реальному часі без підвищення операційних ризиків. Живе патчування ядра в пам’яті є рішенням для пом’якшення вікна експлуатації, і не є заміною для встановлення оновлень програмного забезпечення з apt або Landscape. Як показують інші, живе патчування 90-95% вразливостей було б недоцільним, і це може призвести до операційних ризиків.

Canonical Livepatch патчить вразливості ядра з критичними та високими оцінками за системою оцінки вразливостей (CVSS) та Пріоритетами Ubuntu. Canonical орієнтується на вразливості, які мають наслідки для безпеки, такі як підвищення привілеїв або віддалене виконання коду.

Міф #2: Живі патчі можуть застрягти в стані патчування

Існує два основних підходи до живого патчування ядра: інкрементне та кумулятивне патчування. Інкрементне живе патчування складає одне оновлення безпеки на інше, і живе патчування коду, що працює на віртуальних машинах, може стати крихким з часом. Ця ситуація може викликати потребу в функціоналі відкату, щоб вирішити проблеми між патчами.

Однак Canonical Livepatch усуває ризик нестабільності, пропонуючи кумулятивні патчі замість накладення інкрементних, що робить відкат зайвим.

Міф #3: Живе патчування завжди краще ніж перезавантаження

Живе патчування та перезавантаження—це два інструменти, які доповнюють один одного, а не два альтернативних підходи до безпеки. Canonical Livepatch забезпечує своєчасний варіант для термінових CVE. Одначе, живе патчування не є заміною перезавантаження. Це інструмент, який дає більше контролю, перешкоджаючи несподіваним перезавантаженням.

Важливо розуміти, що заплановані перезавантаження на розумні проміжки є відповідальним підходом до безпеки. Живе патчування не може бути виконано для всіх оновлень через технічні обмеження. Без перезавантаження система може зіткнутися з проблемами.

Висновок

Живе патчування ядра є частиною більш ширшої стратегії безпеки. Це не заміна для традиційного управління патчами і політик перезавантаження. Проте, такі інструменти, як Canonical Livepatch, забезпечують більший контроль над тим, коли і як відбуваються перезавантаження для найкритичніших вразливостей.

Для отримання додаткової інформації про Canonical Livepatch, що клієнти про нього кажуть, та як ви можете активувати його у своїй організації, відвідайте нашу сторінку Livepatch.