게시된 날짜: Jun 29, 2020
Kernel Live Patching은 고객이 Linux 커널을 재부팅하거나 실행 중인 애플리케이션을 중단하지 않고도 보안 취약성과 버그를 패칭하도록 지원합니다. 따라서 Amazon Linux 2 고객은 서비스 가용성이 개선되고 보안 상태가 좋아지는 등 여러 가지 이점을 누릴 수 있습니다. 이제 모든 Amazon Linux 2 고객은 이 기능을 무료로 사용할 수 있습니다.
대다수의 AWS 고객은 보안 업데이트를 시행할 때 패치된 머신 이미지(AMI)를 실행하거나 인 플레이스(in-place) 방식으로 인스턴스를 패칭한 다음 다시 시작하는 방식을 택합니다. 이 프로세스는 보통 시간이 오래 걸리고 실행 중인 애플리케이션을 중단시킬 가능성이 있습니다. Amazon Linux에서 Kernel Live Patching을 사용하면 중단을 줄일 수 있고 실행 중인 커널에 수정 사항을 적용하여 실행 속도를 빠르게 해주며 즉시 재부팅할 필요도 없습니다.
Amazon에서는 Amazon Linux 2 커널에 맞는 라이브 패치를 출시하여 중대한 버그와 더불어 치명적이고 중요한 보안 취약점을 해결하고자 합니다. 기존 Amazon Linux 2 리포지토리에서 사용자가 설치만 하면 되도록 커널 라이브 패치를 제공합니다. 고객이 'yum' 플러그인을 설치하면 Kernel Live Patching이 활성화됩니다. 활성화된 뒤에는 기존 'yum update' 워크플로를 사용해 이용 가능한 커널 라이브 패치를 적용하면 됩니다. 새 커널에서 부팅할 필요 없이 패치가 바로 적용됩니다.
이제부터는 AWS Systems Manager(SSM) Patch Manager를 사용하여 Amazon Linux 2 인스턴스에 중요 업데이트를 패칭하는 프로세스를 자동화할 수 있습니다. Patch Manager를 사용하면 Amazon Linux 인스턴스를 스캔하여 패치 규정 준수 보고서를 생성함으로써 누락된 패치를 파악할 수도 있고, 즉시 재부팅하지 않아도 스캔 후 자동으로 누락된 커널 패치를 설치할 수도 있습니다.
자세한 내용은 Amazon Linux 2 Kernel Live Patching 설명서를 참조하고, 이용 가능한 커널 라이브 패치 목록은 Amazon Linux 보안 센터에서 확인하세요. AWS SSM을 사용해 Kernel Live Patching을 활성화하고 사용하는 법을 알아보려면 Systems Manager 설명서를 참조하세요.