גרסת SQL Server 2014 הגיעה לסוף חייה - מה עושים עכשיו?  

מאת  ליאור לוי  מנכ"ל ומייסד חברת פרולוג'יק (Prologic), מפיצה ומשווקת פתרונות חברת Idera לניהול תשתיות SQL ארגוניות

ממש בתחילתו של מאמר זה אני מבקש להמליץ לכול מנמ"ר או מנמ"רית לקרוא את השורות הבאות בעיון רב. הטקסט הזה מטרתו להאיר לכם בזרקור על נקודת כשל, שטיפול מוקדם בה יכול יהיה לחסוך לכם ולארגון בו אתם פועלים עוגמת נפש רבה בהמשך.

ב-9 ביולי הגיעה גרסת בסיס הנתונים Microsoft SQL Server 2014 לסוף חייה, מה שמוכר בשם EOL - ראשי תיבות של צירוף המילים End of Life. המשמעות היא שמתאריך זה מיקרוסופט אינה מספקת יותר בצורה שוטפת עדכוני אבטחת מידע, עדכוני תוכנה לשיפור ביצועים, תכנים טכניים או תמיכה במוצר.

הסיכונים לארגון

עבור ארגון שמפעיל את בסיס הנתונים הוותיק גם עכשיו – שלושה חודשים לאחר סיום חייו – מדובר על שלושה סיכונים מרכזיים:

סיכון בהיבט של אבטחת מידע, שכן ללא עדכוני אבטחת מידע, הסיכון למתקפת סייבר שמקורה במוצר הולך וגדל. בהעדר עדכוני תוכנה רציפים, הרי שאין סגירה של פרצות אבטחת מידע – בין אם אלו מבוצעות פרואקטיבית או כתגובה מיידית להתגלות פרצה כזו על ידי האקרים;

סיכון בהיבטי רגולציה, שכן שימוש בתוכנה שאינה נתמכת יכול להוביל לאי עמידה בדרישות רגולטוריות או תקנים בינ"ל – בפרט כאלו הנוגעים לאבטחת מידע ושמירת פרטיות. יש בכך סיכון לארגון הכולל בין השאר קנסות ואף צעדים משפטיים של הרגולטור כנגד ראשי הארגון;

וסיכון הנוגע לבעיות ביצועים ואמינות של מערכות המידע, כשבסיסי הנתונים הם נדבך תשתיתי קריטי ברמות מהמערכות. רבים מעדכוני התוכנה מיועדים להביא את המערכת לאופטימיזציה ולשיפור ביצועים, אלא שבהעדרם של עדכוני תוכנה אזי קיים סיכון לפגיעה בביצועי בסיס הנתונים. לסיכון הזה אם מתממש יש השפעה על אופן התפקוד העסקי בארגון, החל מהאטה של מערכות, פגיעה במשתמשים פנימיים ולקוחות, ואפילו פגיעה בתפקוד של מערכות הדיגיטל והאונליין הארגוניות.

עד כמה נפוץ בסיס הנתונים SQL 2014?

השאלה הראשונה שיש לשאול בנוגע להשלכות של המהלך היא – עד כמה נפוצה גרסה זו של שרת בסיסי הנתונים מתוצרת מיקרוסופט. אחד המקורות המוסמכים ברמה העולמית לתשובה לשאלה זו הוא הבלוגר Brent Ozar המתמחה בעולמות בסיסי הנתונים Microsoft SQL, ומפרסם מדי רבעון דו"ח מצב של נפוצות הגרסאות השונות של בסיס הנתונים – SQL ConstantCare Population Report. על פי הדו"ח האחרון, המעודכן לרבעון 2 של שנה זו, הרי ששיעור מערכות SQL 2014 נאמד בכ-6 אחוזים, וכותב הדו"ח אף מעריך שייתכן ובפועל שיעור המערכת הוותיקה אף גבוה יותר, פשוט כיוון שארגונים כלל אינם מנטרים בצורה מספיקה את "הזומבים" הישנים שמתחבאים להם בדאטה סנטר או במחסן הנתונים הארגוני.

על כך אני מבקש להוסיף הערכה משלי – אם בעולם מעריכים ששיעור הנפוצות של SQL 2014 עומד על 6 אחוזים, אז בישראל לדעתי שיעור נפוצות המערכת הוא אף גבוה יותר. אנו מכירים את האיטיות של החלפת מערכות במגזר הארגוני בישראל, מה שקרוי במקומותינו - "אם זה לא שבור, אז אין צורך לתקן".

המשמעות היא שגרסת בסיס הנתונים ייתכן ונמצאת בארגונים רבים מאוד בישראל, גדולים וקטנים כאחד. הבעיה היא שבסבירות גבוהה נמצא את הגרסה הוותיקה של בסיס הנתונים גם בארגונים בעלי חשיבות מדינתית וקריטית לתפקוד הרציף של הממשלה, מערכות הביטחון, תשתיות קריטיות, מערכת הבריאות והמגזר העסקי.

מה ניתן לעשות?

בעיקרון האפשרויות העומדות בפני ארגונים הן שתיים:

הראשונה – שדרוג לפלטפורמה נתמכת חדשה יותר, דוגמת – גרסת בסיס הנתונים SQL 2022; או הגירה לבסיס הנתונים מבוסס הענן Azure SQL Database;

השנייה – רכישת תכנית עדכון לאבטחה ממיקרוסופט הכוללת עדכוני אבטחה חיוניים המסופקים על ידי מיקרוסופט לתקופה של שלוש שנים לאחר תאריך סיום התמיכה המורחבת של המוצר. יש לציין שעדכונים אלו אינם כוללים תכונות חדשות, או כל שדרוג אחר, והיא מוגדרת כמוצא אחרון או פתרון ביניים לארגונים בזמן המעבר לפלטפורמה נתמכת חדשה יותר.

מה נדרש לבצע כבר עכשיו?

ארגונים נדרשים לבצע מספר פעולות כבר עכשיו על מנת לבדוק את מידת הנפוצות של בסיס הנתונים המיושן אצלו בארגון, וכאן חשוב לומר – שישנם פתרונות מבוססי אוטומציה, דוגמת אלו של חברת Idera – המתמחה בפתרונות לניהול תשתיות בסיסי נתונים, היכולים לסייע למערך ה-DBA בארגון לבצע פעולות אלו במהירות ובצורה יעילה.

  1. איתור המערכות – נדרש לאתר את מלאי המערכות הישנות במערך בסיסי הנתונים הארגוני. מהלך זה בעל חשיבות גדולה ביותר, שכן הוא יספק לנו נתונים מעודכנים לגבי חומרת הבעיה בארגון, ואם היא בכלל קיימת.
  2. תכנון – בהינתן הנתונים שמתקבלים במהלך הקודם ניתן לתכנן תכנית פעולה לשדרוג של המערכות הישנות למערכות חדשות ונתמכות. המלצתי לארגונים היא לתקצב את המהלך הזה בצורה ריאליסטית ולשים אותה על לוח המשימות, כדי שזו תוכל להתבצע בצורה יעילה, מהירה ואפקטיבית.
  3. בחינת יכולות – תכנון השדרוג צריך לכלול בחינה של בסיסי הנתונים בצורה מעמיקה, של היכולות החדשות שלהם, וכיצד יכולות אלו יכולות לספק ערכים מוספים לארגון כולו. אין שום טעם לבצע פעולת שדרוג של מערכת בת 10 שנים בלי לבחון את היכולות שהמערכות החדשות יכולות וצריכות לספק לארגון שלנו.
  4. גיבוי – חשוב לבצע גיבוי של המידע שנאגר על גבי בסיסי הנתונים הישנים, וזאת בפרט לאור העובדה שהם פגיעים הן בהיבטי אבטחת מידע והן בהיבטי ביצועים. כמו כן, לפני כול פעולה של ביצוע שדרוג יש לוודא שהמידע מגובה, מאובטח ומנוהל.
  5. ניטור ביצועים ואבטחת מידע – חשוב לבצע ניטור של מערך בסיסי הנתונים כולו, אך בפרט של אותם בסיסי נתונים ישנים. בפרט נדרש ניטור של "בריאות" בסיסי הנתונים ושל הביצועים, כול זאת כדי לוודא שעד לביצוע ההחלפה או השדרוג לא ייתקל הארגון בפגיעה במערכות או ביכולות שלהן.

לסיכום, חשוב לא לעבור על סיום חייו של בסיס הנתונים SQL 2014 לסדר היום. ארגונים נדרשים לבצע את הבדיקות ואת תכניות הפעולה שלהם כדי לשדרג את בסיס הנתונים הישן. אסור לסמוך על המזל או כוח האינרציה, שימנעו מהם ומהארגון שלהם נקודת כשל, וכאן כדאי לומר – שזו תוכל להגיע ככול שהשימוש במוצר פג תוקף יימשך מעבר לנדרש.

לפרטים נוספים והורדת גרסת הדגמה : [email protected]