Azure Stack HCI: implementare HotPatch sulle VM Guest

Azure Stack HCI Hotpatch

Tra i tanti benefit presenti all’interno di Azure Stack HCI, c’è la possibilità di utilizzare macchine virtuali basate su Windows Server 2022 Datacenter Azure Edition, la stessa SKU che gira in Azure e che sblocca una serie di funzionalità molto utili anche nel mondo on-premises.

Oltre al già citato SMB Over QUIC, troviamo anche HotPatch, un sistema che consente di aggiornare i propri server e di non doverli riavviare.

HotPatch è già presente in Microsoft Azure ma lo si può attivare solo durante la creazione della VM Guest.

Come si può notare dallo schema, gli aggiornamenti HotPatch vengono distribuiti 8 mesi su 12, quindi ogni 3 mesi, a partire da gennaio, è necessario fare l’installazione degli update classici. In cosa si traduce questo? Che il riavvio dei server si riduce del 67% dovendo effettuare il restart solo 4 volte su 12 durante l’intero anno.

Il patching rimane uno dei grandi problemi delle aziende che, per tanti motivi (sbagliati), non applicano nel modo corretto gli aggiornamenti dei sistemi operativi e degli applicativi al loro interno. Questa regola vale per Linux, Microsoft, VMware, Oracle, etc.

A volte invece è semplicemente il downtime il vero pericolo delle aziende e questo ferma il processo di patching, con evidenti rischi per la sicurezza e la stabilità dei sistemi.

Ecco perchè HotPatch è una grande novità sul fronte sicurezza!

NB: ovviamente in questo conteggio non sono incluse eventuali patch zero-day o considerate critiche per la sicurezza del sistema operativo.

Deployment

Il deployment parte dalla vostra infrastruttura Azure Stack HCI, in cui dovrete installare l’immagine di Windows Server 2022 Datacenter Azure Edition. La soluzione è oggi in Preview anche per la versione Desktop!

Create la vostra macchina virtuale, utilizzando l’immagine precedentemente scaricata.

Almeno per adesso, c’è una grande differenza tra le macchine create su Azure e quelle create su Azure Stack HCI: in ambiente cloud, esiste un flag che ci permette di attivare la funzione di Hotpatch senza dover fare niente, ma in on-premises è necessario attivare il componente attraverso alcuni comandi PowerShell descritti nel seguente articolo – Enable Hotpatch for Azure Edition Server Core virtual machines (preview) | Microsoft Learn.

Riavviate il server e provate a lanciare il Windows Update per vedere il risultato.

Hotpatch nella Server Core
Hotpatch nella Server Desktop

Conclusioni

HotPatch è sicuramente una grande novità e la possibilità di poterlo implementare anche in ambienti on-premises permette di gestire al meglio al security posture anche per quelle realtà dove ci sono ambienti mission-critical o per quegli amministratori IT timorosi che dopo il restart il proprio server possa esplodere.