昨今のサイバーセキュリティの分野では、脆弱性をついた攻撃が多く観測されています。 それらに対応するため各企業様では まずは脆弱性管理 をしましょう!といった形で様々な製品を導入されているかと思います。
弊社でも **Tenable** という脆弱性管理をメインとした製品を取り扱っています。管理もまだこれから!というユーザー様やパートナー様がいらっしゃれば是非ご連絡ください!!
ただ、当然ですが、管理だけしてその先はどうするの?という疑問が出てくるかと思います。
管理をして重要度別に対策するのはもちろんですが、各システムで共通の部分は作業なしで対策できるとよいですよね?
そんなご要望にお答えするのが Linux Kernel のライブパッチソリューションの KernelCare になります。
KernelCareとは?
一言でいうと、Linuxカーネルの脆弱性パッチを自動適用する製品 です。
大きなメリットは3つあります。
- ダウンタイムの大幅な削減
- 重要なパッチの見逃しが無くなる
- 導入・運用全てでリブートが不要
システムの運用を行っていると、システム側で再起動がどうしても必要なことが多々あるかと思います。
しかし、Kernelに対してのセキュリティ対応はユーザーにサービスを提供する視点からするとユーザーが受けたいサービスとはちょっとずれてきます(決してセキュリティ対応は不要という話ではありません)
そして、ユーザーはサービスが止まることは望んでおらず、いつでも使いたいと思っています。
また、脆弱性管理は行っていたとしても複数のOSバージョンやディストリビューションが混在している環境だとそれぞれに対してパッチの適用を行う必要もでてきますし、Kernelの更新時にほかの昨日もアップデートされ、アプリケーションに影響がでないかと気にする必要がでてきます。
KernelCareはメリットにもあるように、既存のシステムに対して簡単にインストール(事前検証は必須です)でき、Kernelの脆弱性について自動でパッチ適用し、既存のアプリケーションにも影響を与えないということを再起動不要で行うことができます。
サポート対象OS
現時点でのサポート対象OSは下記のようなものがあります。
- Amazon Linux
- CentOS / RHEL
- CloudLinux
- Oracle Linux
- Debian Linux
- Ubuntu
- Proxmox ※詳細バージョンはお問い合わせください。
多くのLinuxディストリビューションをサポートしています。
パッチの作成はだれが行う?
Kernelのパッチ作成はKernelCareの開発元である、CloudLinux社が行っています。
パッチはどうやって動いているか?
パッチはメモリ領域に展開されて動作中の Linux カーネルに適用されます。 カーネルアドレススペースにパッチをロードし、実行パスをオリジナルのコードブロックからアップデートされたコードブロックへと安全に切り替えるという仕組みで動いています。
メモリ上で展開しているので、再起動するとパッチは消えてしまいますが、再起動直後にKernelCareエージェントがパッチを取得し適用します。
アプリケーションに影響がないのはなぜ?
パッチが提供するのは脆弱性部分についてのみで、その他のカーネルの機能にはパッチを提供しないためです。 よって、カーネルのバージョンもあがりません。
動作の仕組み
今回投稿しませんが次回以降に大規模やエアギャップな環境に導入する方法についてご案内いたします。
事例は?
そんなクリティカルな製品だと事例を聞きたいですよね。
2019年10月時点で 1700社 46万台 の稼働実績があります。 採用企業はハードウェアベンダー、インフラ系事業者、クラウド事業者、ホスティング事業者、などになります。 採用理由はメリット部分が主な理由でセキュア、ダウンタイムなしなどやSOC2準拠などがあります。
まとめ
今回、さらっと製品の説明をしました。 別途製品説明資料が欲しい!といったご要望や脆弱性対応どうしよう?とか古いLinuxがそのまま残ってる・・・などなどLinuxの脆弱性対策をお考えの方はぜひ弊社までご連絡ください。
Webでのお問い合わせはここからになります。
また、次回以降インストール方法など使い方や他製品との連携についても投稿していきますのでよろしくお願いします。
すずきけ