Что такое Ubuntu ESM
Обновлено: 02.07.2024
Ubuntu 16.04 LTS Xenial Xerus вступит в период расширенного обслуживания системы безопасности (ESM) в апреле 2021 года. В этой статье объясняется период ESM и содержится руководство по шести ключевым моментам при планировании пути миграции с Ubuntu 16.04 LTS.
Что такое ЕСМ?
Каждый выпуск Ubuntu с долгосрочной поддержкой (LTS) имеет два периода обслуживания: стандартный период безопасности и период расширенного обслуживания безопасности (ESM). После стандартного пятилетнего периода обслуживания и обновлений системы безопасности Ubuntu LTS может воспользоваться расширенным периодом обслуживания и установки исправлений безопасности. Благодаря ESM Ubuntu 16.04 получает три дополнительных года обновлений безопасности, что смещает дату окончания срока действия на апрель 2024 года.
Что мне делать?
Вот шесть ключевых соображений:
1) Подумайте, что потребуется для перехода с версии 16.04 LTS. Вы можете либо обновить 16.04 LTS до 18.04 LTS, либо получить новую установку последней версии Ubuntu 20.04 LTS. Если вы хотите обновиться с 16.04 LTS до 20.04 LTS, прямого пути нет, поэтому вам нужно выполнить две процедуры обновления: сначала до 18.04 LTS и, наконец, до 20.04 LTS.
2) Рассмотрите полный стек. ОС — это сердце системы, и миграция ОС — это существенное изменение, которое затрагивает множество аспектов вашей конфигурации, от ядра Linux до ваших приложений. Не забудьте оценить, как миграция повлияет на ваши существующие рабочие нагрузки и API, поскольку ваша текущая конфигурация может зависеть от конкретных версий приложений и библиотек, поставляемых с Ubuntu 16.04 LTS. Вы, скорее всего, найдете более новые версии приложений и библиотек, если выберете более новую версию Ubuntu (вы можете найти несколько примеров ниже). Эти версии могут быть не полностью совместимы с вашей общей конфигурацией после миграции.
Приложение | 16.04 LTS версия | < br />18.04 LTS версия | 20.04 LTS версия |
| MySQL | 5.7 | 5.7 | 8.0 | PostgreSQL | 9.5 | 10 | 12 |
узлы | 4.2.6 | 8.10 | 10.19 |
PHP | 7.0 | 7.2 | 7.4 |
Питон | 2.7.12 | 2.7.15 | 3 |
Ruby | 2.3 | 2.5 | 2.7 |
3) Оценить риски. Каждый проект миграции должен быть тщательно спланирован и реализован. Убедитесь, что вы понимаете весь стек: инфраструктуру, а также приложения, работающие поверх нее. Убедитесь, что все ваши заинтересованные лица, которые используют службы, предоставляемые рабочими нагрузками Ubuntu 16.04, также понимают преимущества и риски, связанные с проектом миграции.
Различные категории рисков, которые необходимо учитывать: стоимость и задержка миграции кода для существующих приложений, стоимость обслуживания устаревшей инфраструктуры и кодовой базы, накладные расходы на выполнение проекта миграции, риски соответствия требованиям и безопасности при использовании неисправленной инфраструктуры и т. д. .
4) Сделайте шаг назад, чтобы оценить свои возможности. Хороший обзор вашего состояния Ubuntu 16.04 LTS поможет вам определить рабочие нагрузки, которые должны продолжать работать в 16.04, и те, которые могут выиграть от миграции. Вы можете использовать эту возможность, чтобы переосмыслить общую конфигурацию, определить архитектурные улучшения и количественно оценить потенциальную экономию. Рассмотрите возможность модернизации вашей среды Ubuntu, перехода на облачную среду или оцените альтернативы управляемых служб вашей инфраструктуре и приложениям. Чтобы сделать правильный выбор, изучите уровни использования и общую стоимость владения (TCO).
5) «Разумное деловое решение» — это босс. Миграции обходятся дорого. Многие отрасли оптимизируют стоимость своих рабочих нагрузок для долгосрочного развертывания, и в этом случае чем дольше система работает без простоев и обслуживания кода, тем выше соотношение цены и качества. ESM продлевает срок службы Ubuntu 16.04 LTS до 2024 года. Часто отсрочка дорогостоящей миграции на три года может сэкономить вам сотни тысяч долларов и снизить риски, связанные с проектом. ESM делает все это, сохраняя ваши рабочие нагрузки совместимыми и безопасными.
6) Рассмотрите вариант Ubuntu Pro для своих облачных экземпляров. Если вы не знаете, какой путь выбрать, вам нужна гибкость в вашей временной шкале или просто немного дополнительного буфера времени для вашего проекта миграции, рассмотрите возможность использования Ubuntu Pro в общедоступном облаке. Ubuntu Pro — это образ премиум-класса от Canonical, предназначенный для производственных рабочих нагрузок. Он включает ESM и оплачивается по часам. Переходя на версию Pro, вы можете пользоваться Ubuntu 16.04 до 2024 года или раньше, если хотите, без каких-либо контрактов или обязательств.
Как я могу получить помощь?
Canonical — издатель Ubuntu, обеспечивающий расширенную безопасность и защиту, сертифицированное соответствие, круглосуточную поддержку и полностью управляемые услуги для всего стека открытой инфраструктуры и приложений.
Ubuntu 16.04 LTS «Xenial Xerus» переходит в фазу расширенной поддержки безопасности (ESM) в конце апреля 2021 г. со стандартного пятилетнего периода обслуживания для выпусков Ubuntu с долгосрочной поддержкой (LTS). Xenial Xerus по-прежнему поддерживается до апреля 2026 года с расширенным обслуживанием безопасности (ESM) через Ubuntu Advantage for Infrastructure и в общедоступном облаке с Ubuntu Pro для AWS, Azure и Google Cloud. ESM также доступен для личных пользователей на трех машинах и пользователей Ubuntu на 50 машинах. Ubuntu 16.04 — это операционная система, сертифицированная по Common Criteria, обеспечивающая доступ к криптографическим модулям, сертифицированным по FIPS 140-2, с солидной историей своевременных исправлений безопасности.
Выпуски Ubuntu с долгосрочной поддержкой (LTS) представляют собой стабильную корпоративную платформу для разработки и производства с пятилетним гарантированным общедоступным обслуживанием. Как только общедоступное окно Standard Security Maintenance подходит к концу, выпуски Ubuntu LTS получают дополнительные пять лет поддержки (в зависимости от выпуска) через ESM, в дополнение к предоставлению встроенного пути обновления на месте до следующего выпуска LTS.
Доступ к ESM расширяет охват LTS-релизов, позволяя вносить исправления безопасности для серьезных и критических распространенных уязвимостей и уязвимых мест (CVE) для пакетов в «основном» и «ограниченном» архивах Ubuntu для x86-64< /em>, arm64 и s390x. Этот доступ позволяет организациям с рабочими нагрузками, выполняемыми в выпусках Ubuntu LTS, поддерживать стандарты соответствия, предоставляя безопасную среду до того, как может произойти обновление.
Пользователям, которым нужен доступ к ESM или у которых есть вопросы об этой услуге, см. приведенные ниже вопросы. Не стесняйтесь обращаться к нашей команде, чтобы обсудить любые дополнительные вопросы по ESM для Ubuntu 16.04.
Как получить доступ к ESM?
Вы можете получить доступ к ESM с Ubuntu Pro на общедоступных облачных платформах, а также с Ubuntu Advantage. Если вы являетесь клиентом Ubuntu Advantage и вам нужен доступ к репозиторию ESM, учетные данные можно найти, щелкнув блок ESM вашей подписки на портале Ubuntu Advantage. В Ubuntu Pro для включения ESM не требуется никаких действий.
Если вы не являетесь клиентом инфраструктуры UA и вам нужен доступ к ESM, свяжитесь с нашей командой, чтобы узнать больше и активировать ESM для ваших систем Ubuntu 16.04.
Нужно ли мне расширенное обслуживание системы безопасности?
Переход на новейшую операционную систему, хотя и важен из-за производительности, поддержки оборудования, а также преимуществ использования новых технологий, является сложным процессом для существующих развертываний. Существует несколько стратегий развертывания и вариантов инфраструктуры (Canonical Openstack, Charmed Kubernetes или «голое железо»), и в зависимости от их использования и действующих политик можно снизить определенные риски, такие как время простоя во время обновления, но есть определенные общие проблемы.
Обычно корпоративные решения объединяют программное обеспечение от различных команд внутри организации. В большинстве случаев существует расширенная цепочка поставок, включающая программное обеспечение от сторонних поставщиков, у которых, в свою очередь, могут быть собственные поставщики программного обеспечения. Такие сложные сценарии приводят к зависимости от программных стеков (например, Java, Python), которые имеют определенные свойства в обновленной системе, которые либо устарели, либо были заменены, либо немного изменили поведение в более новой системе. Процесс обновления в этом случае становится процессом управления изменениями, включающим анализ рисков, взаимодействие с заинтересованными сторонами и, возможно, обновление существующих решений в дополнение к фактическому обновлению операционной системы. Это еще более сложно, если вы работаете в строго регулируемой отрасли, где процесс соответствия нормативным требованиям, таким как PCI-DSS, SOC2 и GDPR, потребует дополнительного планирования и реализации.
В этих случаях, когда первостепенное значение имеет операционная стабильность и непрерывность установки исправлений безопасности уже развернутых систем, Ubuntu ESM снижает риск инцидентов безопасности из-за важных и критических уязвимостей. Таким образом, регистрируя свои системы в жизненном цикле ESM, вы получаете необходимое время для развертывания плана обновления и продления срока службы существующих развертываний и оборудования до максимального значения, поддерживаемого развернутой системой Ubuntu LTS.
Дополнительные причины и отраслевые требования для ESM включают следующие:
- Обслуживание устаревшего программного обеспечения. Независимо от метода развертывания программного обеспечения (контейнеры, виртуальные машины или не голое железо), если в вашей организации используется устаревшее программное обеспечение, для которого требуются старые библиотеки и пакеты, которые нельзя переработать и, следовательно, обновить.
- Требования к оборудованию. Если в вашей организации программное обеспечение устройства создано на основе одной версии, например, в средах HDI или SCADA, и его нельзя обновить до тех пор, пока не будет проведено тестирование, что обычно наблюдается в сфере здравоохранения.
- Долгосрочные развертывания. Если в вашей организации используются долгосрочные развертывания, обычно используемые в сфере телекоммуникаций.
Что входит в Ubuntu 16.04 ESM?
Этап расширенного обслуживания системы безопасности Ubuntu предоставляет обновления безопасности, включая Livepatching ядра Linux для критических и критических CVE (распространенные уязвимости и риски), в базовой ОС Ubuntu и масштабируемой инфраструктуре (Ceph, Openstack, см. более подробную информацию), на 64-битных архитектурах x86, arm64 и s390x.
Как включить Ubuntu 16.04 ESM?
При выполнении вышеуказанных задач в контейнере мы рекомендуем удалить из них учетные данные подписки. Это можно сделать, запустив «ua detach».
Как долго будет поддерживаться Ubuntu 16.04 ESM?
Ubuntu 16.04 LTS «Xenial Xerus» будет поддерживаться до апреля 2026 года в рамках предложения Ubuntu Advantage ESM.
Пришло время обновиться?
Всем пользователям рекомендуется выполнить обновление до последней версии LTS, Ubuntu 20.04. Этот выпуск имеет значительно более быстрое время загрузки, построен на ядре 5.4, поддерживает безопасную загрузку для защиты от низкоуровневых атак и руткитов, применяет меры самозащиты ядра, обеспечивает целостность потока управления и добавляет защиту от конфликтов стека для системного перспективного предприятия. безопасность.
Есть три простых способа обновить ваши системы на месте —
<р>1. Используйте графический интерфейс, щелкнув значок «Программное обеспечение и обновления» <р>2. С помощью функции «Выпуск обновлений» в Ландшафте, облачной платформе управления для компьютеров с Ubuntu <р>3. Введите ниже в командной строке:Для тех, кто использует версию 16.04 и не может выполнить обновление или планирует выполнить обновление в ближайшем будущем, рекомендуется подписаться на ESM через инфраструктуру UA, чтобы не увеличивать риск компрометации данных из-за неисправленных уязвимостей.
Могу ли я использовать ESM в личных целях?
Да, частные лица могут получить доступ к ESM по бесплатной подписке. Бесплатная подписка позволяет использовать до 3 компьютеров и до 50 для участников сообщества Ubuntu.
Каковы риски без ESM?
Уязвимости в системе безопасности, которые остаются неисправленными, образуют вектор атаки, что приводит к повышенному риску для доступности, конфиденциальности и целостности ваших данных и, в конечном счете, к риску, влияющему на ваш план обеспечения непрерывности бизнеса. Даже если вы не работаете в регулируемой среде, такой как финансы, здравоохранение и телекоммуникации, мы настоятельно рекомендуем рассмотреть доступные варианты, начиная от обновления до последней версии Ubuntu LTS и заканчивая расширенной поддержкой обслуживания, чтобы снизить риски и эксплуатационные расходы, которые могут возникнуть. происходят из-за неопознанных и незакрытых уязвимостей. Хотя угрозы и уязвимости меняются, некоторые риски сохраняются; ознакомьтесь с нашими размышлениями об уязвимостях, обнаруженных и устраненных в течение жизненного цикла Ubuntu 14.04, в этом посте
Облако Ubuntu
Ubuntu предлагает все необходимое для обучения, программную инфраструктуру, инструменты, услуги и поддержку для общедоступных и частных облаков.
Ubuntu 16.04 LTS Xenial Xerus переходит от пятилетнего стандартного периода обслуживания системы безопасности через четыре месяца, в результате чего многие задаются вопросом: могу ли я выполнить обновление до Ubuntu 16.04 LTS к апрелю 2021 г. или мне нужно больше времени, чтобы спланировать это? миграция?
В статье блога До Ubuntu 16.04 ESM осталось меньше 6 месяцев: 6 вещей, которые нужно подготовить, я предлагаю руководство, которое поможет вам при ответе на этот вопрос начать думать обо всем вашем стеке, а также о много- или гибридной облачной инфраструктуре. — от ядра Linux до ваших приложений с открытым исходным кодом и от OpenStack до контейнеров и общедоступного облака. При создании плана важно определить риски и связанные с ними расходы, как это рекомендуется при любом крупном обновлении.
Ниже описаны два основных риска, которые следует включить в план миграции. Более подробно о них рассказывается на веб-семинаре Переход Ubuntu 16.04 LTS на расширенное обслуживание системы безопасности: шесть соображений с помощью Ubuntu Server Engineering Manager. , Рик Хардинг.
Риски и расходы, связанные с крупными обновлениями
Время простоя
Команды по инфраструктуре усердно работают над оптимизацией рабочих нагрузок, чтобы обеспечить их эффективность и избежать простоев любой ценой. Однако при обновлении системы и миграции, которые могут потребоваться после обновления ОС, время простоя часто становится неизбежным злом.
Для большинства организаций время простоя может быть дорогостоящим, поэтому крайне важно убедиться, что 1) затронутые заинтересованные стороны знают об этом и 2) время простоя запланировано в рамках периодов обслуживания с минимальным воздействием.
Это ключевой элемент планирования обновления из-за возможных рисков и затрат, которые могут различаться в зависимости от отрасли и системы.В отчете о затратах на перебои в центрах обработки данных за 2016 год, подготовленном Ponemon Institute, средняя стоимость простоя оценивается в 9 000 долларов США в минуту, что эквивалентно более 500 000 долларов США в час.
Поскольку затраты на простои растут из года в год, а у каждого бизнеса есть свои требования, зависимости и временные рамки, планирование простоев является критически важным моментом при планировании любого обновления и миграции.
Безопасность
Чтобы поддерживать стабильность и непрерывность критически важных рабочих нагрузок, необходимо обеспечить безопасность и соответствие систем требованиям. Без надлежащей подготовки и тестирования рабочие нагрузки могут быть подвержены риску, если уязвимости пакетов не будут быстро устранены при планировании серьезной миграции.
Например, после перехода Ubuntu 14.04 LTS на период расширенного обслуживания безопасности (ESM) в апреле 2019 года группа безопасности Ubuntu исправила более 500 уязвимостей, включая уязвимости ядра Linux, Python и GRUB2, выпустив более 200 Уведомлений безопасности Ubuntu для Ubuntu 14.04 ESM с апреля 2019 года по настоящее время. Для тех, кто отложил миграцию с 14.04 LTS и решил не продолжать устанавливать исправления для своих систем через ESM, эти системы были подвержены потенциальным нарушениям безопасности.
Компания Interana, которая предоставляет аналитическое решение и поддерживает двух крупнейших в мире поставщиков бизнес-аналитики, Microsoft и Salesforce, требовала планирования крупномасштабной миграции данных для каждого клиента, что усложняло обновление программного обеспечения с Ubuntu 14.04 LTS. .
Зиваго Ли, директор по разработке DevOps в Interana, объясняет: «Как поставщик управляемых услуг, обрабатывающий большие объемы данных клиентов, некоторые из которых являются конфиденциальными, мы обязаны обеспечить максимальную безопасность. О запуске неподдерживаемой операционной системы не могло быть и речи, но одновременная модернизация всех наших клиентов потребовала бы значительных затрат времени и ресурсов. Поскольку мы переходим на две LTS-версии, мы делаем не просто обновление диска, а полную новую сборку кластера, поэтому нам нужно запланировать с каждым клиентом перенос своих данных».
Поскольку стандартное окно обслуживания Ubuntu 14.04 LTS подошло к концу, Interana выбрала ESM, чтобы поддерживать безопасность своих решений, не спеша выпуская крупные обновления до того, как клиенты будут готовы. Вместо этого ESM позволил компании выполнить контролируемое развертывание Ubuntu 18.04 LTS одновременно с обновлением клиентов до новой версии платформы Interana V4.
Для большинства организаций запуск неподдерживаемой ОС невозможен, поэтому крайне важно планировать заранее, чтобы убедиться, что системы не подвергаются уязвимости. Тем, кто не сможет выполнить обновление до Ubuntu 16.04 LTS к апрелю 2021 года, рекомендуется продолжать получать исправления безопасности через ESM, чтобы избежать потенциального нарушения безопасности. Что касается сопутствующих расходов на неисправленные системы, то согласно отчету Института Ponemon о стоимости утечки данных за 2020 год общая стоимость утечки данных в среднем по миру составляет 3,86 млн долларов США, что также дает возможность оценить затраты на утечку данных в разбивке по отраслям и географическим регионам.
Расходы, связанные с продлением поддержки безопасности Ubuntu 16.04 LTS
Существует множество причин, по которым обновления инфраструктуры не выполняются по плану, будь то из-за вышеперечисленных рисков или из-за нехватки ресурсов, сроков или планирования бюджета. Вот почему рекомендуется взвесить риски миграции и связанные с ними затраты с учетом расширения безопасности вашего устройства Ubuntu 16.04 LTS с помощью ESM.
Продленное обслуживание безопасности (ESM) предоставляется Canonical, издателем Ubuntu, чтобы дать организациям больше времени для планирования обновлений, при этом обеспечивая целостность систем Ubuntu LTS. ESM гарантирует, что системы Ubuntu 16.04 LTS получают исправления для критически важных CVE (распространенные уязвимости и риски) в базовой ОС Ubuntu и масштабируемой инфраструктуре (Ceph, Openstack, Kubernetes и т. д.) на 64-разрядной архитектуре x86.
Для тех, у кого есть экземпляры Ubuntu 16.04 на AWS или Azure, ESM встроен в премиальные образы Ubuntu Pro и Ubuntu Pro FIPS. Переход на Ubuntu Pro дает вам исправления безопасности с открытым исходным кодом, а также гибкость ценообразования в общедоступном облаке — почасовая оплата без необходимости дополнительного контракта. Цены Pro варьируются от 0,01 до 0,127 долларов США в час в зависимости от размера инстанса.
Подписка на Ubuntu Advantage также предоставляет организациям доступ к дополнительным функциям безопасности и соответствия требованиям, таким как усиление безопасности CIS, модули, совместимые с FIPS 140-2, и оперативное исправление ядра Linux.
Чтобы узнать больше о ESM и соображениях при создании плана миграции и анализе затрат, посмотрите веб-семинар Ubuntu 16.04 LTS переходит на расширенное обслуживание безопасности: шесть соображений. Вместе с Риком Хардингом, менеджером по разработке серверов Ubuntu, мы подробно изучаем варианты и соображения, такие как:
Продленный план обслуживания безопасности предлагается Canonical исключительно для систем Ubuntu. Но о чем именно идет речь, что она несет и стоит ли она того, мы сегодня вместе проходим через это. Повеселись. Начнем с короткого вступления.
Требования к ESM
В программе ESM могут участвовать только системы Ubuntu Long Term Support (LTS). Однако только те версии, которые вышли из обычного периода поддержки LTS. Другими словами, после пяти лет присутствия на рынке. Затем клиенты Ubuntu могут получить еще пять лет поддержки для устранения уязвимостей в системе безопасности.
Как и в случае службы Canonical Livepatch для систем Ubuntu, домашние пользователи могут бесплатно получить три экземпляра ESM. Члены сообщества Ubuntu могут увеличить это число до 50 экземпляров.
Область действия и ограничения программы ESM
ESM предназначен исключительно для обеспечения систем на основе Ubuntu и критически важных компонентов инфраструктуры обновлениями безопасности. Программа esM может участвовать в следующих решениях:
- Физические серверы или экземпляры
- Виртуальные машины
- Контейнер
- Настольная версия Ubuntu
Сфера применения ESM
ESM охватывает следующие обновления:
- Уязвимости (CVE) с высоким и критическим рейтингом
- Горизонтально масштабируемая инфраструктура на основе Ubuntu
- 64-разрядная архитектура x86.
Canonical обеспечивает поддержку безопасности различных двоичных пакетов, обычно используемых в облачных и серверных рабочих нагрузках на 64-разрядных архитектурах x86 AMD/Intel. Дополнительную информацию см. в описании службы.
Ubuntu предоставила обзор, в котором перечислены пакеты, включенные в ESM, и те, которые не включены в ESM. Положительным моментом является то, что список не включенных пакетов довольно короткий. Список включенных пакетов, с другой стороны, намного длиннее. Однако Ubuntu указывает, что список исключений не претендует на полноту. Он будет ссылаться на список включенных пакетов, потому что он кажется полным. Что интересно в этой истории, так это то, что Snap не включен в ESM, по крайней мере, не в текущий план Ubuntu 14.04 ESM.
Период поддержки
Ubuntu 14.04 и Ubuntu 16.04 получают ESM на три года после окончания периода LTS. С другой стороны, Ubuntu 18.04 и Ubuntu 20.04 получат пятилетнюю ESM после окончания периода LTS. Вот как это можно сказать:
- Ubuntu 14.04 получит ESM до 2022 года.
- Ubuntu 16.04 получит ESM до 2024 года.
- Ubuntu 18.04 получит ESM до 2028 года.
- Ubuntu 20.04 получит ESM к 2030 году.
Заключение
Ожидается, что Ubuntu ESM будет хорошо принят, особенно в среде бизнес-клиентов. Но частные клиенты также могут извлечь из этого выгоду. Если вы используете e.B. Ubuntu 16.04, потому что вы держитесь за Unity Desktop, ESM должен предложить вам еще три года беззаботного сообщества Unity. Конечно, вы также можете использовать Unity в Ubuntu 18.04 и Ubuntu 20.04.
Те, кто придает большое значение максимальной стабильности в сочетании с максимальным уходом за изделием, должны быть довольны уходом за изделием LTS в сочетании с ESM. Но ESM означает, что в обозримом будущем будут только исправления безопасности, а не дальнейшая разработка продукта. Так что дайте понять, что ESM означает танец на замороженной версии. Тем не менее, те, кто использует Ubuntu Desktop в своей компании, должны получить максимальную предсказуемость в дуэте LTS и ESM.
Лично для меня использование Ubuntu ESM исключено. Но также только потому, что лично я буду переходить с LTS на LTS-версию каждые два-три года и не буду использовать LTS-версию 5, 8 или 10 лет. Тем не менее, те, кто нуждается в максимальном планировании и обслуживании продукта, должны получить к нему доступ здесь.
Если вам понравилось видео, возьмите с собой подписку. Нажатие на большой палец вверх помогает моему видео, а колокольчик сразу информирует вас, когда я публикую новый материал здесь, на канале. Вы также можете следить за мной на Mastodon и в Twitter. RSS-каналы также предлагает мой блог. Так что решение за вами
Читайте также: