Microsoft a annoncé la disponibilité générale du "hotpatching - mise à jour à chaud" pour les machines virtuelles "Windows Server Azure Edition", permettant aux administrateurs d'installer les mises à jour de sécurité Windows sur les machines virtuelles prises en charge sans nécessiter de redémarrage du serveur.
La fonctionnalité fonctionne avec les machines virtuelles Azure nouvellement déployées exécutant Windows Server 2022 Datacenter - "Azure Edition Core Gen2" et est disponible dans toutes les régions Azure du monde.
"Le hotpatching est une nouvelle façon d'installer des mises à jour sur une machine virtuelle Windows Server 2022 Datacenter : Azure Edition (Core) qui ne nécessite pas de redémarrage après l'installation, en corrigeant le code en mémoire des processus en cours d'exécution sans avoir à redémarrer le processus".
"Le hotpatching couvre les mises à jour de sécurité Windows et maintient la parité avec le contenu des mises à jour de sécurité publiées dans le canal de mise à jour Windows régulier (non-Hotpatch). Le hotpatching fonctionne en établissant d'abord une base de référence avec une dernière mise à jour cumulative de Windows Update."
Quels sont les avantages ?
Les avantages de l'utilisation du hotpatching pour maintenir vos machines virtuelles Azure Windows Server 2022 à jour et sécurisées incluent :
- Disponibilité accrue avec moins de redémarrages
- Déploiement plus rapide des mises à jour car les packages sont plus petits, s'installent plus rapidement et ont une orchestration des correctifs plus facile avec Azure Update Manager
- Meilleure protection, car les packages Hotpatch s'installent plus rapidement sans qu'il soit nécessaire de planifier un redémarrage, ce qui réduit la "fenêtre de vulnérabilité" après la publication d'une mise à jour de sécurité Windows
Une fonctionnalité actuellement réservée à Microsoft Azure
"Il ne sera pas disponible dans AWS avant un certain temps, désolé. Cette fonctionnalité est actuellement limitée à Windows Server Azure Edition uniquement. Il est plutôt souhaitable que le hotpatching arrive finalement sur tous les Windows, même les clients. Mais je n'ai pas encore de calendrier pour cela".
Une évolution, mais encore limitée
Il est important de mentionner que les serveurs devront toujours être redémarrés après l'installation de mises à jour livrées par le canal de mise à jour Windows normal (non Hotpatch) qui ne sont pas incluses dans le programme Hotpatch.
Les exemples de correctifs qui ne peuvent pas être installés sans redémarrage comprennent les mises à jour non Windows (telles que les correctifs .NET) et les mises à jour non liées à la sécurité publiées pour Windows.
Des redémarrages seront également nécessaires périodiquement après l'installation d'une nouvelle ligne de base pour que les VM restent synchronisées avec les correctifs non sécuritaires inclus dans la dernière mise à jour cumulative de Windows.
"Les lignes de base (qui nécessitent un redémarrage) commenceront à une cadence de trois mois et augmenteront au fil du temps"
"Si vous devez installer une mise à jour en dehors du programme Hotpatch, vous pouvez désactiver et désenrôler le hotpatching sur une VM et revenir à un comportement de mise à jour typique pour Windows Server. Vous pouvez réinscrire le hotpatching de la VM ultérieurement"
Vous trouverez plus de détails sur la façon dont vous pouvez activer le correctif à chaud pour vos VM Windows Server Azure dans cet article de blog ou sur cette page Microsoft Docs.