Information und Bildungsarbeit von und für die SAP-Community

Paradigmenwechsel beim Patching

Kann es sein, dass beim Einspielen von Security Patches faktisch die gesamte IT stillsteht und sich womöglich wichtige unternehmenskritische Anwendungen eine Zeit lang nicht nutzen lassen? Ein Plädoyer für die Verwendung neuer Patching-Konzepte.
Friedrich Krey, Suse
1. September 2016
Pinguin am Fernsehern mit Aufschrift "Linux"
avatar

Jede Downtime – geplant oder ungeplant – bedeutet für Teams von SAP-Rechenzentren und auch für Fachbereiche oder Anwender in Unternehmen immer einen misslichen Umstand.

Bei den planned Downtimes liegen wir im Schnitt pro Jahr immer noch bei geschätzten fünf Tagen – kein schlechter Wert. Über Jahre hinweg wurden Patching-Prozesse quasi ritualisiert und man verfährt nach Standarddrehbüchern: Relativ fest sind die Patching-Zeitabstände fixiert, und Patches finden oft an Wochenenden statt.

Praktisch alle IT-Betriebsabteilungen werden mit einbezogen und es werden mit Fachbereichen die planned Downtimes abgestimmt.

Bei den unplanned Downtimes in SAP-Rechenzen­tren gibt es keine fixen Termine und man kann auch nicht auf Wochenenden ausweichen. Eine Abstimmung mit den Fachbereichen ist nicht möglich.

In der Regel lässt sich bei einer unplanned Downtime nur ein bestimmtes Problem fixen. Um unplanned Downtimes zu minimieren, steht eine Reihe von Konzepten und Lösungen – einzeln oder in Kombination – zur Verfügung: RAS (Reliability, Availability, Service­ability), Virtualisierung, HA-/GEO-Cluster, Systemrollback oder das Live/Online Patching.

In Zeiten des Realtime Business sind wir angehalten, einen echten 7X24-Betrieb oder eine „Towards Zero Downtime“ anzustreben. Es liegt in der Natur der Sache, dass in einem SAP-Rechenzentrum Softwareaktualisierungen (und von Zeit zu Zeit auch Hardwareaktualisierungen) durchzuführen sind.

Stärker als in der Vergangenheit geht es dabei um die Security. Sogenannte CVEs (Common Vulnerabilities and Exposures) betreffen auch Betriebssysteme.

CVEs beschreiben auf der Grundlage von einheitlichen Konventionen Sicherheitslücken und andere Schwachstellen; hier: die Verletzbarkeit von Betriebssystemplattformen samt Kernel. Dabei bleibt Linux nicht ausgenommen.

Zum Beispiel wurden 24 als schwerwiegend kategorisierte CVEs bei Linux im Jahre 2014 ausgemacht. Mehr waren es bei anderen Betriebssystemen. Man muss davon ausgehen, dass die CVEs insgesamt ­weiter zulegen.

Das Security-Patching hat Auswirkungen auf die planned und unplanned Downtimes. Es darf nicht sein, dass etwa bei Security-Aktualisierungen oder einer Art CVE-Therapie quasi eine IT- oder eben SAP-Vollbremsung stattfindet.

Das Ziel muss lauten: Patches vornehmen, ohne ein System-Rebooting samt Vereinbarungen mit Fachbereichen über Downtimes, etwa mit SAP-nicht-Nutzung eine bestimmte Zeit lang.

Zum Zuge zu kommen hat ein Live Patching, das herkömmlichen Konzepten den Laufpass gibt und im Kern die IT-Serviceverfügbarkeit von kritischen SAP-Anwendungen nachhaltig erhöht. Seit Jahren beschäftigt sich Suse damit, ein Live oder Online Patching des Linux-Kernels im Enterprise-Umfeld zur Verfügung zu stellen – ohne eben ein typisches System-Stop-and-go.

Im Entwicklungsprojekt kGraft wurde das klassische Dynamic Software Updating (DSU), vornehmlich verwendet für Sicherheits-Patches und Patches mit limitierter Größe, erweitert – mit dem Ziel, eine Standard-Live-Patching-Lösung für den Linux-Enterprise-Einsatz bereitzustellen.

kGraft basiert auf modernsten Linux-Technologien, u. a. INT3/IPI-NMI selbstmodifizierendem Code, einem RCU-ähnlichen Update-Mechanismus, mountbasierter NOP Space Allokation und Standard-Kernel-Module-Loading/Linking-Mechanismen.

Im Rahmen der diesjährigen Sapphire hat Suse seine SAP-zertifizierte Lösung Suse Linux Enterprise Live Patching vorgestellt, die seitdem für x86-64-Server verfügbar ist. Zusätzlich wird sie zu SLES 12 Service Pack 1 for SAP Applications (Hana, NetWeaver und andere SAP-Plattformen) ausgeliefert.

Suse gibt mit Suse Linux Enterprise Live Patching Unternehmen einen Hebel an die Hand, um überholten Patching-Konzepten den Rücken zu kehren. Um Sicherheitsbetriebskonzepte ohne geplante Down­times und minimierte ungeplante Downtimes (durch CVEs) in die Tat umzusetzen.

Gleichzeitig kann das Riskmanagement verbessert, das Angriffspotenzial durch Schadsoftware proaktiv minimiert und insbesondere die IT-Servicequalität gesteigert werden.

avatar
Friedrich Krey, Suse

Friedrich Krey ist Head of SAP Alliances and Partners EMEA Central SUSE Linux GmbH sowie einer unserer geschätzten E3 SAP Community Magazin Kolumnisten.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.