Tuxcare

Les équipes de cybersécurité ont de nombreuses demandes en compétition pour des ressources limitées. Les budgets restreints sont un problème, et les ressources en personnel restreintes sont également un goulot d’étranglement. Il est également nécessaire de maintenir la continuité des activités à tout moment. C’est un mélange frustrant de défis – avec des ressources derrière des tâches telles que la correction, rarement suffisantes pour respecter les prérogatives de sécurité ou les délais de conformité.

La multitude de normes différentes liées à la sécurité ont des délais de plus en plus stricts, et il arrive souvent que les besoins de l’entreprise ne correspondent pas nécessairement à ces exigences. Au cœur de ce que fait TuxCare se trouve l’application de correctifs automatisés en direct – un moyen de protéger de manière constante les services critiques contre les menaces de sécurité, sans avoir besoin de dépenser des ressources importantes pour le faire, ni de devoir vivre avec une interruption de l’activité.

Dans cet article, nous expliquerons comment TuxCare aide les organisations comme la vôtre à mieux faire face aux problèmes de sécurité, notamment les correctifs et la prise en charge des systèmes d’exploitation en fin de vie.

L’énigme du patch

Les utilisateurs d’Enterprise Linux savent qu’ils doivent appliquer des correctifs. Les correctifs sont très efficaces pour combler les failles de sécurité, alors qu’il s’agit également d’une exigence de conformité courante. Pourtant, dans la pratique, les correctifs ne se produisent pas aussi fréquemment ou aussi étroitement qu’ils le devraient. Les ressources limitées sont une contrainte, mais l’application de correctifs a également des implications commerciales qui peuvent entraîner des retards dans l’application des correctifs.

Prenons l’exemple de patcher le noyau d’un système d’exploitation Linux. En règle générale, cela implique le redémarrage du système d’exploitation, ce qui signifie que les services exécutés sur le système d’exploitation sont déconnectés, avec une interruption d’activité prévisible. Peu importe ce que vous essayez de corriger, le problème persiste : il est impossible de mettre des bases de données, des charges de travail virtualisées, etc. hors ligne sans que personne ne s’en aperçoive. Les alternatives sont des solutions de contournement complexes ou des correctifs retardés.

Publicité

Risques de ne pas patcher à temps

Mais comme nous le savons tous, retarder l’application des correctifs comporte des risques importants, dont il existe deux grands. Premièrement, il existe des exigences de conformité qui indiquent une fenêtre maximale entre la publication du correctif et l’application de ce correctif.

Les organisations qui ont du mal à surmonter les interruptions d’activité liées à l’application de correctifs risquent de retarder l’application des correctifs dans la mesure où elles exécutent des charges de travail en violation des réglementations de conformité comme le récent mandat de la CISA. Cela signifie un risque d’amendes ou même de perte d’activité.

Cependant, même les charges de travail entièrement conformes laissent une fenêtre d’exposition – le temps entre le moment où les acteurs criminels développent la capacité d’exploiter une vulnérabilité et le moment où elle est corrigée.

Cela laisse une opportunité aux intrus de pénétrer dans vos systèmes et de causer des dommages. L’application de correctifs retardés laisse une fenêtre étendue, mais même l’application de correctifs dans le cadre des réglementations de conformité peut toujours conduire à une fenêtre de risque très longue. Il est généralement admis qu’aujourd’hui, 30 jours est le dénominateur commun des normes de cybersécurité les plus courantes pour le délai « accepté » entre la divulgation de la vulnérabilité et l’application des correctifs, mais cela reste une très grande fenêtre de risque – vous respecterez les exigences de conformité, mais vos systèmes sont-ils vraiment sûrs ? Ce n’est que si les organisations corrigent dès qu’un correctif est publié que cette fenêtre est vraiment minimisée.

S’il est impossible d’éviter complètement une fenêtre où les vulnérabilités sont exploitables – après tout, le la récente vulnérabilité Log4j était activement exploitée au moins une semaine avant sa divulgation – il reste néanmoins impératif de minimiser cette fenêtre.

Combler le fossé des correctifs avec TuxCare

TuxCare a identifié un besoin urgent de supprimer l’élément d’interruption des activités lié aux correctifs. Notre solution de correctif de noyau en direct, d’abord déployé sous la marque KernelCare, permet à des entreprises comme la vôtre de corriger même les charges de travail les plus critiques sans interruption.

Au lieu du correctif, du redémarrage et de l’espoir que tout fonctionne de manière routinière, les organisations qui utilisent le service KernelCare peuvent être assurées que le correctif se produit automatiquement et presque dès qu’un correctif est publié.

KernelCare répond à la fois aux problèmes de conformité et aux fenêtres de menace en fournissant des correctifs en direct pour le noyau Linux dans les heures suivant la disponibilité d’un correctif, réduisant ainsi la fenêtre d’exposition et répondant ou dépassant les exigences des normes de conformité.

Les délais d’application des correctifs ont constamment diminué au cours des deux dernières décennies, passant de plusieurs mois à seulement 30 jours pour lutter contre les menaces à évolution rapide. KernelCare réduit le délai à une fenêtre à peu près aussi minimale que possible.

KernelCare y parvient sans perturber le fonctionnement normal des serveurs et des services. Les utilisateurs finaux ne réaliseront jamais que le correctif a été déployé. Un moment, un serveur est vulnérable, et le suivant, il ne l’est tout simplement plus.

Qu’en est-il des bibliothèques de correctifs ?

Nous avons ce qu’il vous faut là-bas aussi, grâce à BibliothèqueSoins, la solution de TuxCare pour les bibliothèques système critiques, qui couvre l’application de correctifs à d’autres composants critiques tels que glibc et OpenSSL. Ce sont des composants fondamentaux de tout système Linux qui sont largement utilisés par les développeurs tiers pour fournir des fonctionnalités telles que les E/S ou le cryptage.

Les bibliothèques sont une cible de premier plan pour les acteurs malveillants qui cherchent à s’implanter dans un système. OpenSSL seul est associé à un liste de centaines de vulnérabilités connues. L’effet secondaire malheureux d’être utilisé par d’autres applications est que tout correctif appliqué à une bibliothèque entraînera des temps d’arrêt perturbant l’activité, tout comme le correctif du noyau.

Encore une fois, c’est le facteur qui contribue le plus aux retards de déploiement des correctifs – l’incapacité de déployer des correctifs sans affecter le flux régulier des activités commerciales sur les systèmes concernés. Pour les bibliothèques, cela nécessite également la planification, l’approbation et la mise en œuvre de fenêtres de maintenance, un anachronisme dans un environnement informatique moderne. Grâce à la correction en direct, LibraryCare peut corriger efficacement les bibliothèques sans nécessiter même un seul redémarrage de service sur d’autres applications.

Assurer la sécurité de la base de données dans les services de base de données en cours d’exécution

Les bases de données stockent les actifs les plus précieux de l’arsenal d’une entreprise, ses données. Assurer sa sécurité est primordial pour la continuité et l’efficacité des activités, et cela est couvert par plusieurs normes telles que le RGPD, le CCPA et d’autres normes spécifiques à l’industrie, par exemple dans les domaines de la santé et de la finance, qui traduisent les violations de données en de lourdes amendes menaçant l’entreprise. Par exemple, Amazon a signalé la plus grosse amende RGPD à ce jour, avec une valeur stupéfiante de 887 millions de dollars.

Cependant, les données doivent être accessibles à tout moment sous peine, encore une fois, de perturber l’activité en cas de tentative de patch. Pour cette raison, l’équipe TuxCare a étendu la technologie de patch en direct pour couvrir également systèmes de bases de données comme MariaDB, MySQL ou PostgreSQL, les systèmes de bases de données open source les plus couramment utilisés aujourd’hui.

Désormais, vous pouvez protéger votre backend de base de données contre les vulnérabilités connues, avec le déploiement rapide de correctifs qui n’ont plus besoin d’être planifiés des semaines ou des mois à l’avance. Il permet de répondre aux exigences de sécurité des données de manière transparente et sans friction avec les autres utilisateurs et systèmes.

La virtualisation est également couverte

Un autre produit TuxCare, QEMUcare, supprime la complexité de l’application de correctifs aux hôtes de virtualisation qui reposent sur QEMU. Avant l’application de correctifs en direct, la mise à jour de QEMU était une tâche qui impliquait une migration importante des machines virtuelles autour des nœuds, une tâche complexe et sujette aux erreurs qui aurait un impact sur les performances et la convivialité de ces machines virtuelles.

Les correctifs avaient un impact significatif sur l’expérience de l’utilisateur final des locataires virtuels. QEMUcare résout ce problème en appliquant des correctifs en direct à QEMU pendant que les machines virtuelles fonctionnent correctement sur le système.

Traditionnellement, l’infrastructure virtuelle était planifiée de telle sorte qu’une capacité supplémentaire soit disponible pour couvrir certains nœuds en panne pour maintenance, gaspillant ainsi des ressources qui resteraient là la plupart du temps en faisant tourner leurs pouces informatiques proverbiaux.

Si vous n’avez plus besoin d’arrêter vos hôtes ou de migrer des machines virtuelles, vous n’avez plus besoin d’acquérir du matériel supplémentaire pour prendre en charge ces opérations, ce qui vous permet d’économiser sur l’équipement, l’électricité, le refroidissement et les factures d’assistance des fournisseurs. Vos systèmes sont corrigés dans un délai très court après la disponibilité des correctifs et votre infrastructure est plus sécurisée.

Les anciens systèmes ne sont pas en reste

Les entreprises ont généralement des systèmes hérités qui, pour une raison ou une autre, n’ont pas ou ne peuvent pas être migrés vers des systèmes d’exploitation plus récents. Ces systèmes plus anciens finiront par ne plus être pris en charge, dépassant ainsi la date communément appelée « fin de vie » (EOL).

À ce stade, le fournisseur derrière ces systèmes ne les prendra plus en charge ni ne fournira de correctifs pour les menaces émergentes. Cela signifie que les organisations exécutant ces systèmes échouent automatiquement aux normes de conformité car, bien sûr, vous ne pouvez pas appliquer de correctifs si vous n’avez pas de correctifs à votre disposition.

Développer des patchs en interne est une pente raide à gravir. La quantité d’efforts consacrés au développement, aux tests, au déploiement et à la maintenance des correctifs devient rapidement écrasante dans toute autre situation que les situations les plus simples. Même dans ce cas, vous n’aurez pas le confort d’avoir une équipe de développeurs dédiée avec l’expérience et l’expertise pour vous aider en cas de problème.

TuxCare a cette expérience, et notre Support de cycle de vie étendu Le service (ELS) en est le résultat. Il a, pendant des années, aidé les utilisateurs de distributions EOL Linux telles que CentOS 6, Oracle 6 et Ubuntu LTS. TuxCare rétroporte les correctifs pertinents vers les utilitaires et bibliothèques système les plus utilisés.

TuxCare fournit une couverture continue pour les correctifs

Nous ajoutons continuellement des systèmes EOL à mesure qu’ils arrivent en fin de vie, avec CentOS 8 le dernier ajout à la liste de distribution prise en charge, étant donné que CentOS 8 a atteint la fin de vie le 1er janvier 2022.

Avec notre service de correctifs en direct établi désormais également rejoint par des correctifs dans les bibliothèques, la virtualisation et plus encore, TuxCare fournit un service de correctifs vraiment complet qui comble les principales lacunes de sécurité avec lesquelles tant d’organisations se battent.

Grâce aux correctifs en direct, vous pouvez désormais être assuré que vos systèmes critiques sont protégés contre les exploits nouvellement découverts aussi rapidement que possible et avec un minimum de perturbations. Cette puissante combinaison donne à TuxCare Live Patching le pouvoir d’être une arme clé dans votre arsenal de cybersécurité.


Rate this post
Publicité
Article précédentL’iPhone 12 est à moitié prix, et ce n’est pas le seul accord Apple incroyable
Article suivantCoinDCX nomme Divakar Prayaga à la tête de la sécurité de l’information
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici