Avanzando después de CentOS 8 EOL

La comunidad de Linux se sorprendió desprevenida cuando, en diciembre de 2020, como parte de un cambio en la forma en que Red Hat respalda y desarrolla CentOS, Red Hat anunció repentinamente que está reduciendo la ventana de soporte oficial de CentOS 8 de diez años, a solo dos, con soporte hasta el 31 de diciembre de 2021.

Creó una situación peculiar en la que los usuarios de CentOS 7 que hicieron lo correcto y se actualizaron rápidamente a CentOS 8 se quedaron usando un sistema operativo con solo un año de soporte oficial restante, mientras que los usuarios de CentOS 7 aún obtienen soporte completo hasta el 30 de junio de 2024.

Peor aún, el hecho de que las versiones estables de CentOS se suspendieron a cambio de CentOS Stream de lanzamiento continuo significa que para asegurar sus cargas de trabajo, la mayoría de los usuarios de CentOS 8 tienen que optar por una distribución de Linux completamente diferente, con solo un año para elegir, evaluar e implementar. una alternativa.

La inesperada decisión de Red Hat subrayó hasta qué punto los usuarios de software dependen de las ventanas de soporte oficial para la seguridad de su software. Innumerables organizaciones ahora luchan por proteger o reemplazar CentOS 8, o corren el riesgo de depender de un sistema operativo que ya no es compatible, sin correcciones oficiales para nuevas vulnerabilidades.

El sistema operativo Linux gratuito de nivel empresarial que gustaba a todos

¿Quiere ejecutar un sistema operativo Linux de nivel empresarial y hacerlo de forma gratuita, mientras disfruta de una ventana de soporte oficial y predecible? Ese fue el trato con CentOS.

El proyecto CentOS tiene sus raíces en un proyecto independiente que produjo un clon compatible binario 1: 1 de Red Hat Enterprise Linux (RHEL). Cada versión de CentOS se emparejó perfectamente con RHEL; cualquier aplicación que funcione en una versión de RHEL también funcionó en la versión de CentOS correspondiente, así de simple.

Red Hat finalmente se hizo cargo de CentOS. La supervisión de Red Hat trajo consigo algunos beneficios, entre los que se incluyen ventanas de soporte fijas y fiables que, para las versiones recientes, se establecieron en diez años. Estas ventanas de soporte realmente importan: las organizaciones que ejecutan miles de instancias de Linux requieren una ventana de soporte predecible para planificar actualizaciones o migraciones.

Y es por eso que CentOS fue un buen negocio. CentOS era un sistema operativo Linux gratuito de nivel empresarial respaldado por un gran reproductor de Linux empresarial, incluido lo que todos pensaban que eran compromisos de soporte a prueba de balas.

CentOS está vivo, pero el trato se fue

CentOS no está muerto. Red Hat continuará lanzando nuevas versiones de CentOS a través de CentOS Stream, pero es un lanzamiento continuo: las actualizaciones pueden llegar en cualquier momento, e inevitablemente significará que CentOS Stream se desincroniza rápidamente con la versión más reciente de RHEL.

Se garantiza que los paquetes destinados a una versión futura de RHEL aterrizarán primero en CentOS Stream antes de que se publiquen en una versión fija de RHEL.

En otras palabras, los usuarios que ejecutan CentOS Stream simplemente no sabrán qué actualizaciones vendrán y de qué manera estas actualizaciones romperán la compatibilidad binaria con RHEL.

La pérdida de compatibilidad binaria significa que los usuarios pierden la garantía de que una aplicación certificada para una versión de RHEL funcionará con una versión de CentOS coincidente, y para los usuarios de CentOS Stream, eso podría suceder en cualquier momento.

El hecho de que CentOS Stream rompa la compatibilidad binaria con RHEL complica los esfuerzos para proteger CentOS 8 ahora que inesperadamente ha finalizado su vida útil. Entonces, mientras CentOS sigue vivo como CentOS Stream, las características clave que hicieron a CentOS tan atractivo ahora se han ido.

Si bien es algo comprensible que Red Hat no quiera respaldar un sistema operativo Linux gratuito de grado empresarial para siempre, hubo un problema real en el anuncio de Red Hat el año pasado, ya que deja a los usuarios de CentOS 8 en una situación difícil, necesitando asegurar sus CentOS. 8 cargas de trabajo rápidamente.

Asegurar las flotas de CentOS 8 se está volviendo crítico

El soporte de CentOS 8 finaliza en solo unos meses, por lo que no hay mucho tiempo para pensar en proteger las instancias de CentOS 8. No hacer nada no es una opción, una vez que se detenga el soporte oficial de Red Hat para CentOS 8, no habrá correcciones de errores ni parches para nuevas vulnerabilidades en el futuro.

Un sistema operativo no compatible conlleva riesgos importantes. Las nuevas vulnerabilidades, una vez que son de dominio público, pueden conducir rápidamente a exploits en la naturaleza. Cuando un sistema operativo es oficialmente compatible, un parche del proveedor solucionará rápidamente ese problema.

No es así cuando se suspende el soporte oficial, en cuyo caso los usuarios se quedan con un sistema operativo vulnerable, a menos que intenten desarrollar un parche ellos mismos. Dada la rapidez con la que se informan los nuevos CVE, en realidad no existe un período aceptable durante el cual un usuario pueda pasar sin la garantía de los parches oficiales de los proveedores.

En algunos casos de uso, usar CentOS 8 más allá de su ventana de soporte oficial también crea un riesgo de cumplimiento, ya que algunas organizaciones violarán sus obligaciones de cumplimiento al depender de un sistema operativo no compatible para las cargas de trabajo.

Opciones para proteger CentOS 8

La degradación a CentOS 7 para obtener algunos años adicionales de soporte de Red Hat parece una solución fácil, pero no lo es; no existe una manera sencilla de revertir una instancia de CentOS 8 a CentOS 7.

Cambiar y cambiar ahora mismo es la mejor manera de proteger las cargas de trabajo de CentOS 8 tal como están. Sin embargo, la conmutación rápida solo es posible cuando la distribución alternativa también es compatible en binario 1: 1 con RHEL.

Menos factible para la mayoría de las organizaciones es cambiar a una alternativa de Linux no compatible con binarios: Ubuntu o Debian tal vez. En algunos casos de uso, eso podría ser relativamente fácil, pero la mayoría de los usuarios de CentOS necesitarían planificar una migración de este tipo con cuidado y realizarla con relativa lentitud. Simplemente no queda tiempo suficiente para hacer eso.

Distribuciones que son binarias compatibles con CentOS 8

Básicamente, hay tres opciones viables. Primero está RockyLinux, un clon de RHEL compatible con binarios 1: 1 lanzado por uno de los fundadores del proyecto CentOS: Gregory Kurtzer. RockyLinux publicó con éxito un lanzamiento oficial, se puede descargar gratis y es compatible con binarios, por lo que todo lo que se ejecuta en RHEL debería funcionar bien en RockyLinux.

Del mismo modo, AlmaLinux es un proyecto impulsado por la comunidad patrocinado por CloudLinux. AlmaLinux también lanzó un clon estable, compatible con binario 1: 1 de RHEL y promete continuar lanzando una nueva edición cada vez que salga una nueva versión de RHEL.

Oracle Linux es la tercera alternativa: está establecido y (al menos actualmente) protegido por garantías de soporte de hierro fundido similares de Oracle. Oracle Linux 8 también es binario 1: 1 compatible con RHEL 8.

Hay scripts disponibles para realizar migraciones in situ entre esas distribuciones, por lo que el proceso en sí no es demasiado complicado. Para las organizaciones que buscan migrar, las implementaciones de prueba deberían (haber) comenzado (ed) ahora (hace mucho tiempo).

Ganar tiempo para decidirse por una alternativa a CentOS

Para muchos usuarios de CentOS, las noticias sobre CentOS surgieron hace relativamente poco tiempo y, como describimos, decidir una alternativa y prepararse para cambiar lleva tiempo, algo que los usuarios de CentOS 8 no tienen en este momento.

Como alternativa a cambiar de CentOS 8, los usuarios pueden optar por comprar soporte de ciclo de vida extendido de un tercero. Una buena solución incluirá cobertura para correcciones de errores críticos de CentOS 8 y cualquier CVE nuevo durante un período de tiempo específico.

Por ejemplo, el soporte de ciclo de vida extendido de TuxCare para CentOS 8 se extiende hasta 2025 y promete entregar parches para vulnerabilidades tan rápido como, si no más rápido, que la velocidad a la que el equipo de CentOS implementó las actualizaciones.

La suscripción para obtener soporte extendido garantiza que las cargas de trabajo de CentOS 8 permanezcan seguras después de 2021, incluso para las amenazas nuevas y emergentes que son tan comunes en el entorno de ciberseguridad actual. El soporte extendido también es una forma sencilla de cumplir con los requisitos reglamentarios.

Asegurar CentOS 8 antes de diciembre de 2021 es fundamental

Los usuarios que actualmente confían en CentOS 8 se encuentran en una posición difícil. Hay pocas opciones viables para proteger CentOS 8 en este momento, incluido el cambio a una alternativa compatible con binarios. Sin embargo, estas opciones no están exentas de complejidades. Lo que muchos usuarios de CentOS 8 necesitan ahora es tiempo.

Optar por el soporte extendido asegura CentOS 8 de inmediato y es una forma relativamente asequible de adquirir tiempo para decidir sobre una alternativa de CentOS que cumpla con sus requisitos, sin la necesidad de realizar una migración apresurada e incurrir en los riesgos asociados.

Lo único que no es una opción es ignorar el rápido e inesperado final de la vida de CentOS 8. Existen costos considerables asociados con la ejecución de un sistema operativo después de su final de vida. Creamos esta calculadora para darle una estimación aproximada del impacto financiero que puede tener. También analizamos en detalle los problemas que pueden surgir por tener un sistema operativo no compatible ejecutándose dentro de su perímetro de TI.

A partir del 31 de diciembre de 2021, CentOS 8 se volverá cada vez más vulnerable a las amenazas de seguridad, al igual que cualquier carga de trabajo que se ejecute en CentOS 8. Para muchas organizaciones, la compra de soporte extendido puede ser la mejor solución en este momento.

 

Fuente: https://thehackernews.com/2021/09/moving-forward-after-centos-8-eol.html