ESU ? a Microsoft kiterjesztett biztonsági támogatása – IPR-Insights License Consulting

ESU ? a Microsoft kiterjesztett biztonsági támogatása

A Microsoft termékek kiterjesztett támogatásának megszűnése jelentős biztonsági kockázatot jelenthet a felhasználók számára. Természetesen azon ügyfélkör számára, akik külön fizetnek érte elérhetők ?kritikus? és ?fontos? besorolású biztonsági frissítések. A Microsoft az Extended Security Update (ESU) keretében biztosítja a fentieket ügyfelei számára, melyet a különböző mennyiségi licencelési programokban kiegészítő licencként vásárolhatnak meg az adott termékhez. Vincze Tibor írása a vásárlás a feltételeit és szabályait tekinti át, amelyek a szükséges ESU-k mennyiségének meghatározásához, valamint a költségoptimalizáláshoz nélkülözhetetlenek.

Az utóbbi egy évben több ismert Microsoft termék kiterjesztett támogatása szűnt meg: 2019. július 9-et követően az SQL Server 2008 / R2, 2020. január 14 után a Windows 7 és a Windows Server 2008 / R2 nem kap többé biztonsági frissítéseket, amely azt jelenti, hogy használatuk a továbbiakban jelentős biztonsági kockázatot jelenthet a szervezetek számára.

Könnyen előfordulhat azonban, hogy bizonyos, a fenti verziókon futó környezetek verzió upgrade-je nem lehetséges. Ennek egyik legtipikusabb példája az ilyen rendszereken futó, vagy ezeket elérő alkalmazások kompatibilitási problémája a magasabb verziójú operációs rendszerekkel vagy adatbázisokkal, de olyan egyszerűbb problémák is előfordulhatnak mint a szervezet erőforrás hiánya az upgrade végrehajtására.

Nem teljesen igaz azonban, hogy ezek a verziók már egyáltalán nem kapják meg a biztonsági frissítéseket. Az SQL Server ?kritikus?, a Windows Server és a Windows ?kritikus? és ?fontos? besorolású biztonsági frissítéseket továbbra is kap, de ezek már csak egy bizonyos ügyfélkör számára érhetőek el: akik külön fizetnek érte.

A Microsoft az Extended Security Update, vagy ESU keretében biztosítja a fentieket ügyfelei számára, melyet a különböző mennyiségi licencelési programokban kiegészítő licencként vásárolhatnak meg az adott termékhez.

A vásárlásnak azonban a feltételei és szabályai vannak és a szükséges ESU-k mennyiségének meghatározásához, valamint a költség optimalizáláshoz tisztában kell lennünk ezekkel.

Az ESU-ról általában

Az egyik legfontosabb tény, hogy a szerver termékek ESU-ját üzleti ügyfelek csak Enterprise Agreementben, Enterpsie Agreement Subscriptionben és Server & Cloud Enrollmentben vásárolhatják meg. Ezen szerződések szigorú feltételeit tekintve (minimum gépszám, teljes vállalati elköteleződés) máris csak egy szűkebb kör számára elérhetőek a szerver ESU-k, különös tekintettel arra, hogy MPSA-ban sem érhetők el. A Windows 7 ESU CSP partnereken keresztül érhető el a fentieken kívül.

Az ESU csak ideiglenes megoldást jelent a már nem támogatott verziókat továbbra is használni kívánó ügyfelek számára. A fenti lejárati dátumokat követően legfeljebb 3 éven keresztül biztosítja még a biztonsági frissítéseket.

Az ESU ezen túlmenően nem egy egyszeri vásárlást jelent, hanem évente kell megvennünk. További rossz hír, hogy évente egyre magasabb éves díjat jelent és egy-egy ESU időszak kihagyásával sem trükközhetünk. Ha az ESU-t a második évben szeretnénk megvenni úgy, hogy azt az első évben nem vettük meg, abban az esetben az első évet visszamenőleg ki kell fizetnünk, ugyanígy a harmadik év vásárlásának feltétele az előző két év díjának megfizetése. ESU-t tört évre nem vásárolhatunk, csak egész évre vonatkozóan.

 Így minél tovább szeretnénk még biztonságban tudni ezeket a környezeteket, annál mélyebben kell a pénztárcánkba nyúlnunk. Egyértelmű az e mögötti szándék: a Microsoft ezáltal a régi rendszerek kivezetésére, upgrade-jére ösztönzi az ügyfeleket, vagy más alternatív megoldások felé tereli őket.

Az egyre csökkenő ügyfélkört érintő régi verziójú rendszerek támogatását pedig az ezekhez ragaszkodó ügyfelekkel finanszíroztatja a Microsoft.

Windows 7 ESU

A Windows 7 kiterjesztett támogatását a Professional és Enterprise kiadásokra vásárolhatjuk meg. A szerver oldali ESU-kkal ellentétben az asztali operációs rendszer esetében nem feltétel a Software Assurance megléte meglévő licenceinkhez. Az ESU a Windows 7 esetében mindig eszköz alapú licencet jelent, függetlenül meglévő licenceink metrikájától. Minden, a kiterjesztett biztonsági támogatással érintett operációs rendszer környezetet futtató eszközhöz egy ESU-t kell vásárolnunk az adott évre vonatkozóan. Természetesen az eszköznek megfelelő licenccel kell rendelkeznie, amely a Windows 7 megfelelő kiadásának futtatására jogosítja.

Ilyen licenccel azonban számtalan formában rendelkezhetünk:

Eszköz alapú licencek esetén a felhasználás egyértelmű. User alapú Windows előfizetések esetében azonban az ESU továbbra is eszköz alapon licencelődik, így, bár a licencelt felhasználó korlátlan számú eszközön jogosult Windows (köztük a 7) használatára, az ESU-t minden eszközre külön meg kell vennünk, amelyen szeretnénk élni a kiterjesztett támogatás előnyeivel.

Az M365-höz, mely szintén user alapon biztosítja a Windows használati jogát, külön cikkszám alatt vásárolhatunk ESU-t, mely szintén eszköz alapú. Az ilyen ESU licenccel ellátott eszközöket azonban, csak user alapú Windows használati vagy elérési joggal rendelkező felhasználó használhatja (pl. M365 előfizetés, VDA per user előfizetés, Windows Enterprise per user előfizetés), vagy az eszközhöz Windows Software Assurance-t kell hozzárendelnünk.

Az M365 E5, M365 E5 Security és M365 Security + Compliance előfizetéssel rendelkező felhasználók öt eszközön mentesülnek az első éves ESU fizetése alól, amíg az eszközeiket csak ilyen előfizetéssel rendelkező felhasználó használja. A második és harmadik évet már ezekre az eszközökre is meg kell vásárolni, ha szükségünk van rá, természetesen az első éves díj megfizetésének kötelezettsége nélkül.

A szerver oldalon virtualizált Windows 7 operációs rendszer környezetek elérése szempontjából az ESU magához az operációs rendszerhez hasonlóan elérés oldalról licencelődik. Eszköz alapú licenc révén tehát minden olyan eszközt ESU-val kell ellátnunk, amelyről a virtuális desktop elérhető, még akkor is, ha maga az eszköz nem Windows 7-et, hanem magasabb verziójú OS-t futtat! Fontos ebben az esetben az elérés korlátozása! Mivel a Microsoft esetében a lehetőséget és nem a gyakorlati megvalósulást kell licencelnünk, meg kell oldanunk, hogy csak azokról az eszközökről legyen lehetőség a virtuális gép elérésére, amelyekről tényleg használatban van, ha nem akarunk minden olyan gépre ESU-t venni, melyről elméletben elérhető, de valójában soha nem használják a virtuális gépet.

Ahogy korábban említettem, a régi verziójú rendszerek upgrade-jén vagy kivezetésén kívül a Microsoft alternatív megoldások felé is tereli ügyfeleit. A Windows asztali operációs rendszer esetében ez az alternatív megoldás a Windows Virtual Desktop on Azure szolgáltatás. A nemrég élesített, Azure infrastruktúrán futó VDI szolgáltatásban létrehozott Windows 7 virtuális gépek automatikusan megkapják a ESU biztonsági javításokat ESU vásárlása nélkül. Az operációs rendszer eléréséhez természetesen továbbra is megfelelő licencre (user alapú Windows, M365 vagy VDA előfizetésre) van szükségünk.

Windows Server 2008 / R2

A Windows Server esetében az ESU beszerzésére már csak SA-zott Windows Server licencek megléte esetén lehetséges. A Windows Server 2008 / R2 OS-t tehát akár a fizikai operációs rendszerként, akár virtuális gépen futtatjuk, a futtató fizikai szerverünket kell mag alapon licencelnünk, SA-zott licencekkel. Ez azt jelenti, hogy virtuális 2008 /R2 szerverek esetén az ESU licenc igény elszabadulhat amennyiben a VM magas host számú clusterben futhat, a VM mozgásának korlátozása nélkül. Lássunk egy példát: egy 4 hostos, hostonként 16 fizikai maggal rendelkező clusterben 15 virtuális szerverünk fut. Ebben az esetben a Windows Server Datacenter kiadásának választása az ésszerű, a korlátlan virtualizációs lehetőség miatt. Ha a 15 virtuális gépből csak egyetlen egy 2008 / R2, amelyre ESU-t szeretnénk, abban az esetben mind a 4 hostra, összesen 64 magnyi kiadás azonos (Datacenter) Windows Server ESU-t kell vásárolnunk. Látható, hogy ez nem gazdaságos, ilyen módon ugyanis olyan processzormag kapacitás alapján is fizetjük az ESU-t, amelyek magasabb verziójú szervereknek nyújtanak erőforrást. 

Fentiek elkerülése érdekében -amennyiben feltétlenül szükséges a Windows Server 2008 / R2 infrastruktúra on-premise környezetben tartása- érdemes ezen szerverek részére dedikált fizikai környezetet kialakítani, amely más, magasabb verziójú operációs rendszerek részére nem biztosít processzor erőforrásokat. Ilyen módon csak a 2008 / R2 szerverek futtatásához minimálisan szükséges processzormagokra szükséges ESU-t vásárolnunk.

A Microsoft a Windows Server esetében is ajánl alternatív megoldásokat, természetesen itt is az Azure-on keresztül. Az Azure-ban futó Windows Server 2008 / R2 VM-ek ugyanis nem igényelnek ESU licencet, a szolgáltatás keretében megkapják a biztonsági frissítéseket. Az Azure Hybrid Benefit Windows Server SA előny révén pedig az operációs rendszer licencdíját is megspórolhatjuk az Azure-ban, meglévő on-premise licenceink segítségével.

Fontos, hogy az on-premise és az Azure környezetekben az ESU használatának egyaránt feltétele, hogy szerver elérés licenceink (CAL) is SA-val rendelkezzenek.

SQL Server 2008 / R2

Az SQL Server ESU a Windows Serverhez hasonlóan SA-zott licenceket igényel. Szintén hasonlóság, hogy az ESU-t a szerver licencekkel azonos kiadású és metrikájú formában tudjuk megvásárolni.

A különbség elsősorban az SQL Server licenceléséből ered. Mag alapú licencek esetén az SQL Server esetében dönthetünk úgy, hogy a VM-ek vCore száma alapján számítjuk az licenc igényt, így valóban csak a 2008 / R2 rendszerek által használt erőforrás mértékéig szükséges az ESU vásárlása. Szerver példány alapú licencek esetén hasonló a helyzet, de figyelnünk kell, hogy ebbene az esetben a CAL-oknak szintén SA-val kell rendelkezniük, ahogy a Windows Server esetében is. Mag alapú SQL Server licencek esetén nincs szükségünk SQL Server CAL-okra.

Nagyobb figyelmet az SQL Server Enterprise + SA licencekkel a korlátlan virtualizáció érdekében lefedett clusterek igényelnek. Itt, a Windows Serverhez hasonlóan eshetünk abba a csapdába, hogy a valójában kihasznált CPU erőforrásoknál jóval nagyobb mértékben kell ESU-t vásárolnunk (pl. egy-két SQL Server 2008 / R2 miatt az egész clustert kell ESU-val lefednünk).  Ilyen clusterek esetén szintén érdemes dedikált környezetet kialakítanunk a régi SQL szervereinknek, akár a VM-ek mozgásának korlátozásával a clusteren belül, akár a fizikai erőforrások leválasztásával a clusterről.

Az Azure-ban futó SQL VM-ek szintén megkapják az ESU-t külön licencigény nélkül, az Azure Hybrid Benefit SA előnnyel pedig ebben az esetben is csökkenthetjük a felhő alapú szolgáltatások licenc költségét on-premise licenceinkkel.

A támogatás lejártának következményei más gyártók szempontjából

A Microsoft által nyújtott ESU a kiterjesztett támogatás lejártát követően tehát még lehetővé teszi a biztonságos környezetek fenntartását és a felkészülést az átállásra, vagy kivezetésre. Fontos azonban megjegyezni, hogy az ESU sem nyújt megoldást minden, a kiterjesztett támogatás lejértából eredő problémára. Egy komplex IT környezet számtalan szoftvergyártó termékét futtatja, akik saját alkalmazásaik futtatásához és támogatásához szintén követelményeket támasztanak. Ilyen alapvető feltétel a támogatott operációs rendszer és adatbázis. Számos gyártó az alkalmazásai futtatását már nem támogatja ezeken a régi rendszereken és ez alól az ESU megléte sem képez kivételt. Jó példa erre az IBM License Metric Tool (ILMT), mely már szintén nem támogatott a Windows Server 2008 / R2 környezetekben, a megfelelő ILMT környezet futtatásának hiánya azonban elég komoly hatással lehet IBM termékeink licencelésére és ezáltal azok költségére, ahogy ezt Dr. Rogányi Dániel kollégám részletesen kifejti cikkében.