Mises à jour du support étendu de Microsoft - quel est l'enjeu ?

Après la fin de la prise en charge de SQL Server 2008/2008 R2 le 9 juillet 2019, Windows Server 2008/2008 R2 a également atteint sa fin de la prise en charge le 14 janvier 2020.
Qu’est-ce que cela signifie concrètement et quelles sont les alternatives?

La politique de support de Microsoft stipule que les produits ont un cycle de vie de 10 ans durant lesquels l’éditeur fournira un support.
Ces 10 années sont en fait divisées en deux périodes
– 5 ans de support général;
– 5 ans de support étendu.
À la fin du support étendu, Microsoft ne fournit plus de support (sauf dans des circonstances très exceptionnelles).
Cette fin de support se traduit concrètement par l’arrêt du développement et de la fourniture de correctifs de sécurité lors de la découverte de faille de sécurité existante.
De ce fait, cette faille de sécurité non corrigée deviendra un vecteur d’attaque pour les chevaux de Troie, les ransomwares, etc., susceptibles d’infiltrer votre organisation (entreprise ou collectivité).

Quelles sont les options et n’est-il pas déjà trop tard?

La première action à entreprendre est de vous assurer que la version des Systèmes d’Exploitation (OS) serveurs et la version de votre SQL Server soient alignées sur le cycle de vie du support de Microsoft, afin d’être sûr que vous utilisez en production uniquement des logiciels supportés par l’éditeur.
Microsoft encourage fortement les organisations à utiliser au moins pour les Systèmes d’Exploitation (OSE):
– Windows Server 2012, pris en charge jusqu’en 2022;
– Windows Server 2016 (pris en charge jusqu’en 2026);
– Windows Server 2019 (pris en charge jusqu’en 2029).
Utiliser Windows Server 2016 et Windows Server 2019 vous donnera un délai plus long avant de vous retrouver dans la même situation de fin de support.
Lorsque l’on réalise un audit, il ressort qu’environ 25% du parc serveurs sont des machines sous Windows Server 2008/2008 R2.
Une des explications à cette situation est qu’une application tierce dépend de ces anciens systèmes d’exploitation, il est donc important de ne pas oublier de faire évoluer l’application ou d’inciter l’éditeur de l’application (lorsque cela est possible) à faire une montée de version de son application vers une version plus récente du Système d’Exploitation.

Pour SQL Server, c’est plus compliqué car souvent la version du Système de Gestion de Base de Données (SGBD), en l’occurence SQL, dépend de l’application ou des applications utilisant la base de données et de ce fait, l’évolution doit se faire après une mise à jour de compatibilité de l’application vers une version plus récente de SGBD.

Microsoft encourage fortement les organisations à migrer dans AZURE les SGBD ou à utiliser au moins pour ces dernières:
– SQL Server 2012 Service Pack 4 , pris en charge jusqu’en 2022;
– SQL Server 2014 Service Pack 3 (pris en charge jusqu’en 2024);
– SQL Server 2016 Service Pack 2 (pris en charge jusqu’en 2026).
Utiliser SQL Server 2014 SP3 et SQL Server 2016 SP2 vous donnera un délai plus long avant de vous retrouver dans la même situation de fin de support.

Pour vous aider à migrer votre application, Microsoft a mise à disposition une base de connaissance sur la Gestion du cycle de vie de base de données.
C’est une aide précieuse à ne pas négliger dans votre approche d’évolution, ne serait-ce que pour valider avec l’éditeur ou le développeur de l’application utilisant la base de données qu’il a bien respecté les bonnes pratiques préconisées par l’éditeur du SGBD

Quelles sont les (vraies) options?

Si vous avez toujours du Windows Server 2008/2008 R2 ou du SQL Server 2008/2008 R2 et que vous souhaitez obtenir une protection le plus rapidement possible, il n’y a qu’une seule option réelle pour vous:
– Souscrire au Support Microsoft Étendu ou Microsoft Extended Support Updates (ESU).
Cette souscription prolonge la date limite de support à 2023 mais ne donnent que des mises à jour de sécurité qualifiées de «Important» ou «Critique» pour Windows Server. Il existe deux façons d’accéder aux ESU:
– Achat de l’ESU via votre contrat de licences en volume;
– Migrer vos serveurs physiques dans leur état actuel vers Microsoft AZURE.

Acquisition d’ESU pour les serveurs physiques (On-Premises)

L’acquisition du Support Étendu Microsoft est possible à travers les programmes d’acquisition de licences suivants:

Enterprise Agreement (EA)
Enterprise Agreement Subscription (EAS)
Server & Cloud Enrolment (SCE)
Enrolment for Education Solutions (EES)
Cloud Solution Provider (CSP)

En outre, vous devrez bénéficier de la Software Assurance (SA) pour les licences de serveur existantes ainsi que pour les licences d’accès client (CAL) qui se connectent à ces serveurs et sur toutes les licences de connecteur externe pour ces serveurs également.
Cette SA, cependant, peut faire l’objet d’un accord différent.

Si vous faites l’acquisition d’un support Etendu (ESU) pour des serveurs physiques (On-Premises), une fois l’acquisition effectuée, vous recevrez des clés d’activation ESU supplémentaire via le site VLSC.
Pour activer les clés, vous serez amenés à installer des packages supplémentaires spécifiques appelés Services Stacks Updates (SSUs).
Notez, qu’il ne sera pas possible de faire une activation via KMS.

Pour les clients ayant souscrit un contrat Microsoft Cloud Agreement via un Cloud Support Partner (CSP), des abonnements serveurs appropriés permettent d’acquérir les ESU.

Combien est-ce que cela coûte ?

Les Mises à Jour de Sécurité à travers le Support Etendu pour Windows Server et SQL Server reviennent approximativement chaque année à 75% du prix d’achat total d’une licence pour un serveur physique.

Prendre cette option n’est clairement pas le bon choix, car c’est le plus cher.

Si vous couvrez un serveur avec des ESU pendant 3 années, vous paierez 2,25 fois le prix d’une licence complète.
A ce compte, vous auriez mieux fait d’acquérir une licence Windows Server 2019 avec SA..

Migrer vers Azure

Si vous n’avez pas d’autres alternatives que de rester sur un ancienne version et que vous souhaitez bénéficier de mises à jours de sécurité, l’autre option est de migrer ces serveurs physiques vers Microsoft Azure car les serveurs Windows Server 2008/R2 ou SQL Server 2008/R2 hébergés dans Microsoft Azure continuent à recevoir des mises à jour de sécurité (ESU) sans frais supplémentaires.
A première vue, l’équation serait la suivante:
– Serveurs Physiques + ESU = Prix d’achat d’une licence multiplié par 2,25;
– Serveurs dans Microsoft Azure = ESU gratuit.

La migration vers Microsoft Azure peut paraître alléchante et la plus intéressante, cela dit:
– Migrer vers Microsoft Azure a un coût et il peut être élevé.
– Une fois dans Microsoft Azure vous devrez payer pour la machine virtuelle, le stockage, la mise en réseau, etc

Ce qu’il faut retenir en matière de coût en migrant vers Azure

Il est nécessaire de tester la compatibilité de l’application avec AZURE. Des outils de vérification de la compatibilité existent comme MAP Toolkit par exemple, des bonnes pratiques de migration existent (voir en fin d’article la partie « Pour en savoir plus & Ressources »).
Une fois les tests de compatibilité réalisés, il faudra convertir puis migrer le serveur physique.
La maintenance et la gestion continue des serveurs basés dans Azure sont différents des processus à réalisés sur des serveurs physiques, il est souvent préférable de faire appel à un prestataire de services rompu à ces pratiques d’exploitation et le coût doit être pris en compte.
L’extension de support ne sera de toute façon que jusqu’en 2023, soit trois ans.

Migrer vers Azure représente donc bien un coût en terme de ressources humaines internes, de temps pour réaliser les tests et les opérations de migration auquel viennent se rajouter les coûts d’abonnement et de maintenance.

Il est donc nécessaire de réfléchir au coût que cela va représenter pour juste trois années de plus.

Est-ce qu’il ne serait pas plus intéressant d’investir le temps de tests et de migration vers Azure en temps de tests et de migrations vers Windows Server et SQL Server 2016 ?

A vous de le déterminer avant d’entamer toute action…

Hybrid Use Benefit

Dans le cas où vous avez souscrit à de la Software Assurance (SA) lors de l’achat de vos licences serveurs, et que cette SA est toujours valide, vous avez la possibilité de réduire le coût de vos machines virtuelles utilisées dans AZURE en activant l’avantage « AZURE Hybrid Use Benefit »

Hybrid Use Benefits pour Windows Server 2008

Pour chaque licence avec SA active de 16 cœurs (soit 8 packs de licences deux cœurs), vous pouvez exécuter jusqu’à 2 machines virtuelles avec maximum 16 cœurs.
Il faut noter que dans presque toutes les documents Microsoft, à l’exception des Termes de Contrats de Licences (PUR en anglais) et qui font foi, les fiches de données de licence, Microsoft Docs, etc., indiquent que chaque machine virtuelle peut avoir «jusqu’à 8 cœurs».
En revanche, dans les conditions de produits issues des « PUR », il est indiqué « seize (16) Cœurs Virtuels maximum, alloués sur 2 Instances de Base Azure maximum. ».

A noter:
– Les licences Windows Server Standard peuvent être utilisées sur site OU dans Azure;
– Les Licences Windows Server Datacenter peuvent être utilisées sur site ET dans Azure simultanément – sur des serveurs partagés.

Pour Windows Server Standard, il existe une période de migration de 180 jours au cours de laquelle vous pouvez exécuter les licences sur site et dans le cloud en même temps, pour faciliter le processus de migration

Hybrid Use Benefits pour SQL Server 2008

Les règles sont légèrement différentes de celles pour WIndows Server 2008, mais vont néanmoins vous permettre de réduire les coûts sur SQL dans Azure dans les scénarios IaaS et PaaS selon le tableau ci-dessous:

PUR Microsoft avril 2020 ( 8.2 Microsoft Azure Hybrid Benefit pour SQL Server)

A noter:
– Il n’y a pas de concept d’utilisation simultanée permanente entre local et Azure comme avec Windows Server;
– Il est possible de faire du simultané (double usage) pendant 180 jours, uniquement afin de permettre la migration vers le cloud (AZURE)

Conclusion

Pour finir, si vous envisagez d’acquérir dans les semaines à venir un support étendu, « Microsoft Extended Support Updates », c’est probablement la meilleur option à très courte durée, environ un an maximum.

C’est surtout la meilleure occasion de vous poser la question de comment vous gérez vos fin de support Microsoft dans l’avenir!
Par exemple, la fin de Support Etendu pour Windows Server 2012 est planifiée pour dans deux ans.
Souhaitez-vous vous reposer les mêmes questions dans deux ans

C’est le bon moment pour réaliser ou faire réaliser une photographie à un instant de « T » de la situation de vos actifs logiciels serveurs. Ce que nous pourrions appeler un inventaire logiciel Serveurs, ou une « SAM Baseline Server ».
Une fois cette cartographie réalisée, si vous avez des versions qui ont atteint la fin de support étendu, ou qui vont l’atteindre d’ici un ou deux:

Analysez avec les responsables d’applications ou les responsables de la gestion de ces serveurs les raisons pour lesquelles les anciennes versions sont toujours en cours d’utilisation;
Évaluez avec les responsables d’applications ou les responsables de la gestion de ces serveurs s’il es possible de faire une montée de version vers une version plus récente;
Mettez en place un processus d’analyse régulière des version des systèmes d’exploitation et des versions des applications afin d’avoir une cartographie au maximum avec six mois d’antériorité
Mettez en place un processus de veille technologique afin d’être informé le plus tôt possible des date de fin de support étendu des systèmes d’exploitation ou des applications par l’éditeur;
Réalisez, ou faites réaliser régulièrement une étude comparative sur les coûts d’acquisition de licences avec la Software Assurance versus l’acquisition de licences sans SA afin d’avoir une politique d’achat la plus rentable en fonction de votre cycle de vie logiciel.

Mises à jour du support étendu de Microsoft – quel est l’enjeu ?