通过TuxCare满足修补相关合规性要求

网络安全团队对有限的资源有很多需求。预算有限是一个问题，有限的人力资源也是一个瓶颈。还需要始终保持业务连续性。这是一个令人沮丧的挑战组合–；由于补丁等任务背后的资源很少足以满足安全特权或法规遵从性截止日期的要求

各种不同的安全相关标准都有严格的截止日期，通常情况下，业务需求不一定符合这些要求。TuxCare的核心功能是自动实时补丁–；一种使关键服务始终免受安全威胁的方法，无需为此花费大量资源，也无需忍受业务中断

在本文中，我们将概述TuxCare如何帮助像您这样的组织更好地应对安全挑战，包括修补和支持报废操作系统

修补难题

企业Linux用户知道他们需要修补–；修补在填补安全漏洞方面非常有效，同时也是一项常见的法规遵从性要求。然而在实践中，修补并没有像应该的那样频繁或紧密。有限的资源是一个限制，但修补也有业务影响，这可能会导致修补延迟

 

以修补Linux操作系统的内核为例。通常，这涉及重新启动操作系统，这意味着操作系统上运行的服务将脱机，业务中断是可预测的。不管你试图修补什么，问题仍然存在–；不可能在没有人注意的情况下让数据库、虚拟化工作负载等离线。替代方案是复杂的变通方法或延迟修补

未及时修补的风险

但众所周知，延迟修补会带来巨大风险，其中有两大风险。首先，法规遵从性要求规定了补丁发布和应用补丁之间的最大时间间隔

那些努力克服补丁业务中断的组织有可能延迟补丁，因为它们运行的工作负载违反了法规遵从性规定，例如最近的CISA授权。这意味着有可能被罚款，甚至失去生意

然而，即使是完全兼容的工作负载也会留下一个暴露窗口–；从犯罪行为人开发利用漏洞的能力到漏洞被修补的时间

#它为入侵者进入您的系统并造成损害提供了机会。延迟修补留下了一个延长的窗口，但即使在合规性法规范围内修补，也可能导致一个很长的风险窗口。人们普遍认为，如今，30天是最常见的网络安全标准的共同特征，即漏洞披露和修补之间的“公认”延迟，但这仍然是一个非常大的风险窗口–；您将满足法规遵从性要求，但您的系统真的安全吗？只有当一个补丁发布后，组织才会立即修补，这个窗口才会真正最小化

##虽然不可能完全避免漏洞可被利用的窗口–；毕竟，最近的Log4j漏洞在被披露前至少一周就被积极利用了–；尽管如此，还是必须尽量减少这个窗口

用TuxCare填补修补缺口

TuxCare发现迫切需要消除修补带来的业务中断因素。我们的实时内核修补解决方案首次在KernelCare品牌下推出，使像贵公司这样的公司能够在不中断的情况下修补最关键的工作负载

使用KernelCare服务的组织可以放心，补丁会自动进行，几乎在补丁发布后立即进行，而不是补丁、重新启动，并希望一切正常

KernelCare通过在补丁可用的几个小时内为Linux内核提供实时补丁，解决了法规遵从性问题和威胁窗口，从而减少了暴露窗口，达到或超过法规遵从性标准的要求

在过去几十年中，围绕补丁的时间框架一直在缩短，从几个月缩短到仅30天，以应对快速移动的威胁–；KernelCare将时间范围缩小到尽可能小的窗口

KernelCare在不中断服务器和服务正常运行的情况下实现了这一点。最终用户永远不会意识到补丁已经部署。服务器一会儿易受攻击，一会儿就不再易受攻击

修补库怎么样

感谢TuxCare针对关键系统库的解决方案LibraryCare，我们在这里也介绍了您，该解决方案涵盖了对其他关键组件（如glibc和OpenSSL）的修补。这些是任何Linux系统的基本组件，第三方开发人员大量使用这些组件来提供IO或加密等功能

库是恶意参与者想要在系统中站稳脚跟的高调目标。仅OpenSSL就与数百个已知漏洞的列表相关联。被其他应用程序使用的不幸的副作用是，任何应用于库的补丁都会导致业务中断停机，就像内核补丁一样

同样，这是导致补丁部署延迟的最主要因素，即无法在不影响受影响系统上正常业务活动的情况下部署补丁。对于图书馆来说，它还需要规划、批准和实施维护窗口，这在现代it环境中是一个时代错误。由于实时修补，LibraryCare可以有效地修补库，而无需在其他应用程序上重新启动一次服务

确保运行实时数据库服务时的数据库安全

 

数据库存储着公司最有价值的资产，即数据。保持it安全对于业务连续性和有效性至关重要，GDPR、CCPA和其他行业特定标准（如医疗保健和金融）涵盖了这一点，这些标准将数据泄露转化为严重的、威胁业务的罚款。例如，亚马逊报告了迄今为止最大的GDPR罚款，金额高达8.87亿美元#然而，如果试图修补，数据必须始终可访问，否则会再次造成业务中断。因此，TuxCare团队将实时补丁技术扩展到了MariaDB、MySQL或PostgreSQL等数据库系统，这是当今最常用的开源数据库系统

现在，您可以通过及时部署不再需要提前几周或几个月计划的修补程序，确保数据库后端不受已知漏洞的影响。它有助于透明地满足数据安全要求，并且与其他用户和系统没有摩擦

虚拟化也包括在内

 

另一款TuxCare产品QEMUcare消除了修补依赖QEMU的虚拟化主机的复杂性。在实时补丁之前，让QEMU更新是一项任务，过去它意味着虚拟机在节点周围的广泛迁移，这是一项复杂且容易出错的任务，将影响这些虚拟机的性能和可用性

补丁用于显著影响虚拟租户的最终用户体验。QEMUcare通过实时修补QEMU来解决这个问题，同时虚拟机在系统上愉快地运行

传统上，虚拟基础设施的规划方式是，为一些需要维护的节点提供额外的容量，从而浪费资源，而这些资源大部分时间都在那里摆弄着众所周知的IT大拇指

 

如果您不再需要关闭主机或迁移虚拟机，您就不需要购买额外的硬件来适应这些操作，从而节省设备、电力、冷却和供应商支持费用。在补丁可用且基础设施更安全后，您的系统将在很短的时间内完成补丁

 

遗留系统并没有落后

 

公司通常有遗留系统，由于某种原因，这些系统没有或无法迁移到较新的操作系统。这些较旧的系统最终将失去支持，从而跨越通常所说的“寿命终止”（EOL）日期

此时，这些系统背后的供应商将不再支持它们或为新出现的威胁提供补丁。这意味着运行这些系统的组织自动不符合法规遵从性标准，因为，当然，如果没有可用的修补程序，就无法进行修补在内部开发补丁是一个很难攀登的陡坡。除了最简单的情况外，开发、测试、部署和维护补丁的工作量很快就会变得难以承受。即便如此，如果出现任何问题，你也不会有一个由经验丰富、专业知识丰富的开发人员组成的专门团队来帮助你

TuxCare拥有这种经验，我们的扩展生命周期支持（ELS）服务就是其结果。多年来，它一直在帮助CentOS 6、Oracle 6和Ubuntu LTS等EOL Linux发行版的用户。TuxCare对最常用的系统实用程序和库进行了相关修复

TuxCare为修补提供持续的保护

随着EOL系统的使用寿命即将结束，我们将不断添加这些系统，鉴于CentOS 8在2022年1月1日达到EOL，CentOS 8是受支持的分发列表中最新添加的系统