Nelle infrastrutture che vediamo ogni giorno sappiamo bene che il patching è un’attività che va fatta (non ci stancheremo mai di dirlo) ma che, per un motivo o per l’altro, può essere parecchio critica.

Pensiamo banalmente al patching del kernel Linux: questa attività in genere richiede il riavvio dell’intera macchina e se il servizio che sta erogando non è sufficientemente bilanciato -o non lo è affatto- bisogna mettere in conto un certo periodo di downtime dello stesso.

Per questo caso specifico il problema è risolto da diverso tempo: il live patching del kernel Linux è oramai una realtà ed a meno di situazioni di aggiornamento particolarmente critico o articolato, aggiungere una patch al cuore del nostro amato sistema operativo è spesso un’operazione fattibile a runtime.

Altri strati di erogazione, come i webserver o gli application server, vengono spesso replicati in più copie e bilanciati con meccanismi hardware o software, quindi in genere il patching di quelle soluzioni è anch’esso operazione con poco impatto. Certo, dobbiamo spegnere l’applicativo o il servizio web, ma tendenzialmente avremo la possibilità di escludere quella componente da quanto è in produzione ed operarci senza ridurre il servizio offerto.

Discorso a parte sono i database. Se da una parte soluzioni moderne come Percona o Apache Ignite ci permettono di avere soluzioni distribuite o active/active, in genere ci troviamo ad affrontare i buoni “vecchi” MySQL, MariaDB e PostgreSQL che, volente o nolente, richiedono uno stop.

Questo è proprio il problema che afferma di poter risolvere TuxCare grazie al prodotto DatabaseCare, un sistema che si integra nella propria infrastruttura, dialoga costantemente con i database e segnala quando è presente una patch per qualcuno di esso, e si occupa di applicarla agli stessi senza necessità di riavvio.

Live patching critical systems is paramount to maintaining availability and enhancing security […] Databases store an organization’s most valuable asset — its data. We know that making sure the data is safe is a universal concern across industries and IT teams. DatabaseCare provides fast patches for new vulnerabilities — no service restarts are necessary at all.

Applicare patch live ai sistemi critici è fondamentale per mantenere la disponibilità e migliorare la sicurezza […] I database immagazzinano la parte più di valore di un’organizzazione — i suoi dati. Sappiamo che assicurarci che i dati siano sicuri è una preoccupazione comune per le aziende ed i gruppi IT. DatabaseCare fornisce rapidamente le patch per le nuove vulnerabilità — nessun riavvio del servizio è necessario.

Il funzionamento avviene in diverse fasi:

• Per prima cosa il database si collega a DatabaseCare ePortal, un repository locale nella propria infrastruttura contenente le patch di DatabaseCare.
• Se una nuova patch è disponibile, l’agent contatta ePortal che, tramite la sua connessione scarica la patch direttamente sull’ePortal dal repository principale di DatabaseCare.
• Il database server -ed eventuali altri database che necessitano della medesima patch- possono quindi scaricarsi la patch dal repository interno, senza dover accedere al pubblico.
• A questo punto, analizzando l’utilizzo del processo che gestisce il database, blocca temporaneamente il processo in maniera sicura ed applica la patch direttamente in memoria, senza necessità di riavvii alcuni e, teoricamente, senza che l’applicazione e/o gli utenti che stanno utilizzando il DB si accorgano di nulla.

Diciamo che di esperienza in tal senso TuxCare ne ha parecchia, questo nuovo prodotto va infatti ad affiancare prodotti similari venduti dalla stessa azienda dai nomi decisamente esplicativi quali KernelCare, LibraryCare e QEMUCare.

Sembra tutto molto interessante e sarebbe da testarne realmente il funzionamento trasparente, ma il prezzo di ingresso non è basso, partendo da $7.25/mese per ogni sistema… in un’azienda medio/grossa questa cifra può scalare rapidamente… Certo che in tal caso i vantaggi potrebbero essere di gran lunga superiori al costo, e questo magari porterà i clienti di TuxCare a provarlo, affezionarsi e, magari, rendere non solo i loro dati ma anche quelli di tutti gli utenti dei loro servizi più sicuri in minor tempo possibile.