Una plataforma SAP segura no se puede entender sin un entorno SAP parcheado y actualizado. Las vulnerabilidades representan un riesgo significativo para las operaciones de una organización, y la aplicación de parches es crucial para mantener la seguridad y la estabilidad del sistema, por lo que la aplicación de parches y la actualización del software siempre son una prioridad. Sin embargo, la realidad de parchear sistemas complejos como SAP difiere de parchear software menos complejo que no es de misión crítica. El parche del sistema puede significar un tiempo de inactividad del servicio y una operación compleja que podría impactar directamente en el negocio de una empresa, creando una paradoja.
Después de definir la paradoja y entender por qué ocurre en la plataforma SAP, veremos cómo SUSE Linux Enterprise Server for SAP Applications , SUSE Live Patching y SUSE Manager pueden ayudar a superar este desafío mediante la implementación de una política de aplicación de parches dual al proporcionar un sistema continuo y sin inconvenientes. actualizaciones sin necesidad de tiempo de inactividad, lo que minimiza las interrupciones y permite un enfoque más eficiente para mantener el entorno de SAP.
La paradoja de parchear
Cuanto más crítico es un sistema y más necesita estar disponible, es menos probable que se parchee.
Esa paradoja de los parches es uno de los principales desafíos de seguridad que enfrentan los entornos de SAP. Y el resultado de la paradoja se refleja en informes como la investigación de seguridad cibernética de SAPInsider , que afirma que la mayoría de los clientes de SAP consideran que los sistemas sin parches son una gran amenaza para la seguridad y que "mantenerse al día con parches y actualizaciones" es el desafío más importante relacionado con la seguridad cibernética. Esto se debe a que aplicar parches y actualizar el software puede ser complejo, especialmente para sistemas de misión crítica como SAP S/4HANA ® , donde un simple reinicio de un gran SAP HANA ®base de datos puede tardar horas. Si algo sale mal, podría resultar en una interrupción significativa. Aunque el parche sale según lo planeado, negociar una ventana de mantenimiento que involucre a varios equipos y departamentos complica aún más el proceso.
Pero, por otro lado, mantener los sistemas sin parches durante mucho tiempo no es una opción. Un sistema sin parches es vulnerable a los ataques cibernéticos y podría tener errores que crean inestabilidad en el sistema y provocan la pérdida de datos. Un ejemplo es el error reciente en la biblioteca glibc que provocó un bloqueo aleatorio de la base de datos de HANA.
La paradoja de la aplicación de parches destaca la necesidad de hacer cumplir una política de aplicación de parches del día 1 con un proceso de aplicación de parches más sencillo que no requiera tiempo de inactividad del servicio ni más ventanas de mantenimiento.
La necesidad de hacer cumplir las políticas de parches de seguridad
Las organizaciones deben definir e implementar una política de parches que describa cuándo aplicar los parches, los factores a considerar y las ventanas de tiempo para parchear una vez que se descubre una vulnerabilidad.
La política de aplicación de parches debe abordar tanto la aplicación de parches para vulnerabilidades del día 1 como las actualizaciones programadas periódicamente. El parche del día 1 se aplica cuando se descubre una vulnerabilidad grave o un error del sistema, y se debe aplicar un parche de inmediato en lugar de esperar una ventana de mantenimiento.
Eso requiere un flujo de trabajo claro y una sincronización entre los equipos de la organización involucrada, por lo que hacer cumplir estas políticas en un entorno SAP no es solo una cuestión del equipo de seguridad. Necesita el compromiso de varios departamentos, desde SAP BASIS hasta los equipos de infraestructura, y el reconocimiento de la línea de negocio en caso de que se necesite un tiempo de inactividad del servicio. Y cada equipo tiene prioridades, por lo que aplicar parches a un sistema no es un proceso simple ni corto que incluya tareas como probar los parches y preparar parches que pueden requerir reinicios de múltiples sistemas.
Ahí es donde SUSE Live Patching se convierte en un requisito. Live Patching permite a los clientes parchear vulnerabilidades críticas y errores graves en su sistema operativo sin tiempo de inactividad o reinicio del servicio, lo que reduce la cantidad de ventanas de mantenimiento y les permite aplicar parches de inmediato.
Aplicación de parches en vivo
La tecnología Live Patching de SUSE permite a los clientes aplicar parches a los sistemas SAP sin necesidad de reiniciar o de tiempo de inactividad del servicio SAP. Al utilizar Live Patching, las organizaciones reducirán la complejidad del proceso y el costo interno de parcheo, además de la reducción de las ventanas de mantenimiento. Todos ellos minimizan el impacto en las operaciones de la organización manteniendo la seguridad de los sistemas.
Pero tener la tecnología para proporcionar parches "en vivo" no es suficiente para implementar una política de parches. También requiere un compromiso a largo plazo por parte del proveedor del sistema operativo para lanzar constantemente parches "en vivo" para todos los problemas de alta gravedad que afectan el kernel y las bibliotecas de Linux. reduciendo así la frecuencia de las ventanas de mantenimiento.
Abordar de manera eficiente la mayoría de las vulnerabilidades y los errores no solo requiere parches del kernel, sino también parches para el código del espacio del usuario, en particular para las bibliotecas de seguridad esenciales, como OpenSSL y glibc. Las aplicaciones como la base de datos de SAP HANA dependen de estas bibliotecas, y extender la cobertura de Live Patching para incluirlas elimina la necesidad de reiniciar las aplicaciones relacionadas con SAP, lo que mejora aún más la estabilidad del sistema y reduce el tiempo de inactividad.
En última instancia, los parches "en vivo" para errores críticos también son esenciales, ya que la prevención de bloqueos y la pérdida de datos en el sistema operativo y las aplicaciones conectadas a las bibliotecas afectadas es un aspecto vital para mantener una plataforma SAP segura. En este sentido, Live Patching puede considerarse una herramienta proactiva para abordar posibles incidentes antes de que surjan, mejorando así la estabilidad y seguridad general del sistema.
El compromiso único de SUSE de ofrecer parches en vivo en el kernel y el espacio del usuario durante todo un año permite a los clientes implementar una política de parches verdaderamente ágil, lo que garantiza la disponibilidad de parches críticos para garantizar que tanto las aplicaciones como el sistema operativo no necesitan reiniciarse durante períodos más largos de tiempo. tiempo.
SUSE Linux Enterprise Live Patching ofrece un repositorio dedicado que contiene parches de seguridad y de errores críticos, lo que agiliza el proceso de parcheo. SLE Live Patching es especialmente beneficioso para los sistemas de misión crítica como SAP que exigen una alta disponibilidad y un tiempo de inactividad mínimo. Este enfoque también mitiga el riesgo de vulnerabilidades y simplifica las operaciones generales, lo que contribuye a un entorno más seguro y estable.
Implementación de políticas de parches duales con herramientas de administración de parches
Una política de parches dual define dos flujos de trabajo de parches: un flujo de trabajo de parches de reparación inmediata y un flujo de trabajo de parches de mantenimiento regular. Con este enfoque, Live Patching de SUSE abordará las vulnerabilidades y errores críticos sin tener que implementar costosas ventanas de mantenimiento. Al mismo tiempo, las ventanas regulares de mantenimiento planificado se pueden programar con una frecuencia más baja, lo que reduce la carga de los equipos de TI y minimiza la interrupción de las operaciones de la organización.
En tales situaciones, una herramienta de administración de vulnerabilidades y parches como SUSE Manager es esencial para simplificar la implementación de políticas y aprovechar el potencial de la automatización del flujo de trabajo de parches. La automatización del flujo de trabajo de parches reduce significativamente los riesgos asociados con la aplicación de parches y alivia la carga de los equipos de TI. La automatización de procesos como la aplicación de parches en clústeres de SAP HANA ( obtenga más información aquí ) y la definición de flujos de trabajo de administración del ciclo de vida de los parches ( vea el video ), que incluyen probar los parches antes de aplicarlos a la producción, minimiza las configuraciones incorrectas y mitiga los procesos propensos a errores. Además, SUSE Manager mejora la visibilidad de la seguridad dentro del sistema al ayudar a catalogar los parches e identificar las vulnerabilidades del sistema.
Como se indicó, al aplicar una política de aplicación de parches dual, las organizaciones pueden garantizar que el proceso de aplicación de parches sea confiable y seguro, incluso para sistemas de misión crítica como SAP.
Conclusión
La paradoja de los parches subraya las dificultades que encuentran las organizaciones al actualizar sistemas complejos como SAP. Comprender por qué los sistemas críticos tienden a estar menos parcheados, a pesar de la prioridad de proteger la plataforma y garantizar que estos sistemas estén actualizados, es crucial para abordar los problemas de seguridad y estabilidad y evitar la paradoja. Reconocer y superar estos desafíos ayuda a crear un entorno más sólido y seguro para los sistemas de misión crítica.
En resumen, las organizaciones pueden aliviar la carga de TI, minimizar el tiempo de inactividad y mitigar el riesgo de vulnerabilidades y errores del sistema que causan la pérdida de datos al establecer políticas de parches con un compromiso organizacional integral e implementar un flujo de trabajo dual que incorpore Live Patching y herramientas de administración de parches.
La tecnología SUSE Linux Enterprise Live Patching es la única solución compatible que permite a los clientes de SAP parchear vulnerabilidades críticas tanto en el kernel del sistema operativo como en las bibliotecas clave del espacio del usuario sin tiempo de inactividad o reinicios de los servicios de SAP. Junto con el soporte integral de SUSE Manager para automatizar la aplicación de parches en vivo de sus servidores SUSE Linux Enterprise for SAP Applications, SUSE ofrece todas las capacidades necesarias para implementar sin esfuerzo una política de parches dual uniforme.
Para obtener más información sobre cómo mejorar la seguridad de su plataforma SAP y explorar la tecnología Live Patching, visite www.suse.com/secure-sap .