Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique Linux, MAG 16-09

Changement de paradigme pour le patching

Est-il possible que lors de l'application de patches de sécurité, l'ensemble de l'informatique soit en fait à l'arrêt et que des applications importantes pour l'entreprise ne puissent pas être utilisées pendant un certain temps ? Un plaidoyer pour l'utilisation de nouveaux concepts de patching.
Friedrich Krey, Suse
1er septembre 2016
Contenu :
Pingouin sur les téléviseurs avec l'inscription "Linux".
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Tout temps d'arrêt, qu'il soit planifié ou non, représente toujours une situation fâcheuse pour les équipes des centres de données SAP, mais aussi pour les services spécialisés ou les utilisateurs dans les entreprises.

En ce qui concerne les temps d'arrêt planifiés, nous sommes toujours estimés à cinq jours en moyenne par an, ce qui n'est pas une mauvaise valeur. Au fil des années, les processus de patching ont été quasiment ritualisés et on procède selon des scénarios standard : les intervalles de patching sont relativement fixes et les patchs ont souvent lieu le week-end.

Pratiquement tous les départements d'exploitation informatique sont impliqués et les temps d'arrêt planifiés sont convenus avec les départements spécialisés.

Pour les temps d'arrêt non planifiés dans les centres de calcul SAP, il n'y a pas de dates fixes et on ne peut pas non plus se rabattre sur les week-ends. Il n'est pas possible de se concerter avec les services spécialisés.

En règle générale, lors d'un temps d'arrêt non planifié, seul un problème spécifique peut être résolu. Pour minimiser les temps d'arrêt non planifiés, il existe toute une série de concepts et de solutions - seuls ou combinés : RAS (Reliability, Availability, Serviceability), la virtualisation, les clusters HA/GEO, le Systemrollback ou le Live/Online Patching.

À l'époque du Realtime Business, nous sommes amenés à viser un véritable fonctionnement 7X24 ou un "Towards Zero Downtime". Il est dans la nature des choses que des mises à jour logicielles (et de temps en temps aussi des mises à jour matérielles) doivent être effectuées dans un centre de données SAP.

La sécurité est plus importante que par le passé. Ce que l'on appelle les CVE (Common Vulnerabilities and Exposures) concernent également les systèmes d'exploitation.

Les CVE décrivent, sur la base de conventions uniformes, les failles de sécurité et autres vulnérabilités ; ici, la vulnérabilité des plateformes de systèmes d'exploitation, y compris le noyau. Linux n'y échappe pas.

Par exemple, 24 CVE classées comme graves ont été identifiées pour Linux en 2014. Il y en avait davantage pour d'autres systèmes d'exploitation. Il faut s'attendre à ce que le nombre total de CVE continue d'augmenter.

Le patching de sécurité a des répercussions sur les temps d'arrêt planifiés et non planifiés. Il ne faut pas que les mises à jour de sécurité ou une sorte de thérapie CVE entraînent un freinage complet de l'informatique ou de SAP.

L'objectif doit être le suivant : Appliquer des correctifs sans redémarrage du système, y compris des accords avec les services spécialisés sur les temps d'arrêt, par exemple avec une non-utilisation de SAP pendant un certain temps.

Il s'agit de mettre en place un Live Patching, qui met fin aux concepts traditionnels et augmente durablement la disponibilité des services informatiques pour les applications SAP critiques. Depuis des années, Suse s'efforce de mettre à disposition un patching en direct ou en ligne du noyau Linux dans l'environnement de l'entreprise - sans justement un stop-and-go typique du système.

Le projet de développement kGraft a étendu la mise à jour dynamique classique des logiciels (DSU), principalement utilisée pour les correctifs de sécurité et les correctifs de taille limitée, dans le but de fournir une solution standard de mise à jour en direct pour l'utilisation de Linux Enterprise.

kGraft est basé sur les technologies Linux les plus modernes, notamment le code auto-modifiant INT3/IPI-NMI, un mécanisme de mise à jour de type RCU, l'allocation d'espace NOP basée sur le montage et les mécanismes standard de chargement/liaison de modules du noyau.

Dans le cadre du Sapphire de cette année, Suse a présenté sa solution certifiée SAP, Suse Linux Enterprise Live Patching, qui est depuis disponible pour les serveurs x86-64. De plus, elle est livrée avec SLES 12 Service Pack 1 for SAP Applications (Hana, NetWeaver et autres plateformes SAP).

Avec Suse Linux Enterprise Live Patching, Suse donne aux entreprises un levier pour tourner le dos aux concepts de patching dépassés. Pour mettre en pratique des concepts d'exploitation de sécurité sans temps d'arrêt planifiés et avec des temps d'arrêt non planifiés minimisés (grâce aux CVE).

Parallèlement, il est possible d'améliorer la gestion des risques, de minimiser de manière proactive le potentiel d'attaque par des logiciels malveillants et surtout d'améliorer la qualité des services informatiques.

avatar
Friedrich Krey, Suse

Friedrich Krey est responsable des alliances et des partenaires SAP EMEA Central SUSE Linux GmbH et l'un de nos estimés chroniqueurs du magazine E3 SAP Community.


Tous les articles de l'auteur

Écrire un commentaire

Il manque 100.000 professionnels de l'informatique

Étude IBM : Obligation d'avoir des agents IA

SAP se prend une raclée

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.