Son birkaç hafta boyunca, genellikle desteklenmeyen ve limboda olan sürekli lisanslarını tutan VMware müşterilerinin Broadcom’dan resmi atıl ve desist mektupları almaya başladığı bildiriliyor. Mesaj rahatsız edici olduğu kadar kördür: destek sözleşmeniz süresi doldu ve bu son kullanma tarihinden bu yana yayınlanan güncellemeleri, yamaları veya geliştirmeleri hemen kaldıracaksınız. Sadece bu değil, denetimler, sözleşmenin ihlali için “gelişmiş zararlar” olasılığı ile takip edebilir.
Bu, sürekli lisans sahiplerini VMware’in yeni aboneliğine yönelik yeni modeline itme çabasında keskin bir yükseliştir. Birçoğu için, kritik altyapı yazılımının uzun vadeli, istikrarlı terimlere ait olabileceği, sürdürülebileceği ve desteklenebileceği bir dönemin sonunu işaret eder.
Şimdi, VMware lisansları satın alanlara bile, yeni abonelik rejiminde oturum açmadıkça destek erişiminin masanın dışında olduğu söyleniyor. Sonuç olarak, işletmeler BT ortamlarının en temel katmanlarından birini nasıl yönettikleri ve destekledikleri konusunda zor kararlar vermek zorunda kalıyorlar.
Tüm risk eşit değildir
VMware sadece başka bir kurumsal yazılım parçası değil. Sıhhi tesisat. Vakıf. Katman Her şey üstünde çalışır, bu yüzden birçok CIO, desteklenmemiş koşma fikrinde kaçar. Potansiyel risk çok büyük. Sanal altyapınızdaki bir güvenlik açığı veya başarısızlık, bir CRM’deki bir hata ile aynı değildir. Bu sistemik bir zayıflık. Her şeye dokunur.
Bu teknik risk, şüphesiz, VMware’in resmi teklifi dışındaki destek seçeneklerini göz önünde bulundurarak herhangi bir kuruluşun en büyük engeldir. Ve bu geçerli bir endişe. Ancak teknik risk siyah beyaz değildir. Sürüm, dağıtım modeline, ağ mimarisine ve operasyonel olgunluğa bağlı olarak çok değişir. Minimum maruziyetle olgun bir sürüm çalıştıran sıkı bir şekilde yönetilen ve istikrarlı bir VMware ortamı, daha yeni bir yapıya açık, çok kiracılı bir dağıtım ile aynı risk profilini taşımıyor.
Satıcı desteği olmadan güvenlik
Hakim varsayım, desteğin güvenliğe eşit olması ve desteklenmeyenlerin çalışmasının maruz kalmaya eşit olmasıdır. Ancak bu ilişki göründüğünden daha karmaşıktır. Çoğu kurumsal ortamda, güvenlik bir yama olup olmadığı ile belirlenmez. Çevrenin ne kadar iyi yapılandırıldığı, yönetildiği ve izlendiği ile belirlenir.
Yamalar anında uygulanmaz. Risk değerlendirmeleri, entegrasyon testi ve değişim kontrol süreçleri doğal gecikmeler getirir. Ve çoğu durumda, güvenlik boşlukları eksik yamalardan değil, yanlış yapılandırmalardan kaynaklanır: açıkta kalan yönetim arayüzleri, zayıf kimlik bilgileri, aşırı izin veren erişim. Uygun şekilde korunmuş ve gözden geçirilen bir ortam, zayıf hijyenli yamalı bir ortamdan önemli ölçüde daha güvenli olabilir. Güvenlik açığı analizi, çevreye özgü etki değerlendirmeleri ve azaltma stratejileri yoluyla proaktif güvenliğe odaklanan destek modelleri farklı ama eşit derecede geçerli bir koruma biçimi sunar. Sadece yama teslimine güvenmiyorlar. Bir güvenlik açığının saldırı zincirinde nasıl davrandığını, sömürülebilir olup olmadığını ve hangi telafi kontrollerinin mevcut olduğunu düşünürler.
Bu tür özel risk yönetimi, eski VMware sürümleri için satıcı desteği azaldığı için özellikle önemlidir. Bildirilen birçok güvenlik açıkları, temel sanallaştırma yığını değil, daha yeni ürün bileşenleri veya paketlenmiş hizmetlerle ilgilidir. Artan güvenlik riski algısının, söz konusu sürümlerin istikrarına ve olgunluğuna karşı dengelenmesi gerekmektedir. Başka bir deyişle, desteklenmeyen tüm dağıtımlar eşit yaratılmaz.
Ortamlar arasında eşit olmayan risk
Bazı VMware ortamları – özellikle VSphere 5.x veya 6.x gibi eski sürümler – zaten satıcı yama aralığının ötesindedir. Bu durumlarda, desteklenmeyen statüye geçiş, esastan daha sembolik olabilir. Risk profili anlamlı bir şekilde değişmedi. Diğerleri, özellikle aktif destek sözleşmesi olmadan VSphere 7 veya 8’i işleten kuruluşlar daha karmaşık bir zorlukla karşı karşıya. Bazı kritik güvenlik yamaları, şiddete ve versiyona bağlı olarak erişilebilir kalır, ancak kesinlik marjı azalır.
Bunlar, işletmelerin boşluğu kapatmak için giderek artan bir şekilde alternatif destek modellerine yöneldiği – sürekliliği sağlayan, uyumluluğu sürdürme ve yetenekli teknik uzmanlığa erişimi korumak.
Yazılım Destek Alternatifi
Üçüncü taraf desteği bazen geçici bir düzeltme olarak görülür-kuruluşlar uzun vadeli planlarını anlarken zaman satın almanın bir yolu. Ve bu amaca iyi hizmet edebilir. Ancak giderek artan bir şekilde, kendi başına stratejik bir seçim olarak da kabul edilmektedir: sanallaştırma yol haritaları üzerinde kontrolü korurken güvenilir bir destek ortağı ile operasyonel istikrarı korumak isteyen işletmeler için uzun vadeli bir çözüm. Bu bağlamda üçüncü taraf desteği ayırt eden, sadece maliyet kontrolü değil, metodolojisi.
Risk bütünsel olarak değerlendirilir, hangi güvenlik açıklarının gerçekten önemli olduğunu, konfigürasyon yoluyla neyin ele alınabileceğini ve yükseltmenin gerçekten gerekli olduğunu belirler. Bu yaklaşım, çoğu işletmenin kanama kenarı özelliklerini kovalamadığını kabul etmektedir. Öngörülemez bir şekilde değişmeyen kararlı, iyi anlaşılmış ortamlar çalıştırmak istiyorlar. Üçüncü taraf desteği, hızlı, pahalı bir göç veya iş ihtiyaçlarına uymayabilecek bir abonelik sözleşmesine zorlanmadan tam olarak bunu yapmalarına yardımcı olur.
En önemlisi, kuruluşların kendi zaman çizelgelerine geçmelerini sağlar.
Desteklenmemiş VMware ortamları etrafındaki konuşmanın çoğu teknik riske odaklanmaktadır. Ancak uzun vadeli tehdit stratejik olabilir. Sürekli lisanslamanın sonu, abonelik fiyatlandırmasındaki keskin artış ve şimdi destek sınırlarının yasal uygulanması çok daha büyük bir soruna işaret ediyor: altyapı stratejisi üzerinde kontrol kaybı.
Satıcı tarafından dayatılan zaman çizelgeleri, lisans modelleri ve denetim politikaları, kuruluşların bir zamanlar sahip oldukları yazılımı nasıl kullandıklarını nasıl kullandıklarını dikte etmektedir. Üçüncü taraf desteği riski ortadan kaldırmaz-hiçbir kutu. Ancak onu yeniden dağıtıyor ve kontrol ediyor. İşletmelere ne zaman ve nasıl göç ettikleri, güncellemeleri nasıl yönettikleri ve nereye yatırım yaptıkları konusunda daha fazla ajans verir. Satıcı gündemleri tarafından şekillenen bir manzarada, bu bağımsızlık giderek daha kritiktir.
Broadcom’un durdurma ve durgunluk mektupları, yazılım satıcıları ve müşteriler arasındaki ilişkide yeni bir aşamayı temsil eder-biri işbirliği ile değil, sözleşmeye dayalı uygulama ile tanımlanır. Ve VMware müşterileri hala altyapılarına “sahip olma” fikrine yapışıyorlar için, kaba bir uyanış: destek artık isteğe bağlı değil ve sürekli artık sonsuza kadar değil. Kuruluşlar şimdi üç yolla karşı karşıya: abonelik modelini kabul edin, alternatif bir platforma hızlı bir şekilde geçmeyi deneyin veya geleceğine kendi şartlarına karar vermeleri için istikrar veren bir destek modeli bulun.
Birçoğu için, üçüncü seçenek operasyonel güvenliği stratejik esneklik ile dengeleyen tek seçenektir.
Şimdi soru, desteklenmeyen altyapının riskli olup olmadığı değil. Soru, daha büyük bir riskin başka birinin bundan sonra ne olacağını dikte etmesine izin verip vermediğidir.