Affinity Water est la plus grande société de distribution d'eau uniquement au Royaume-Uni. Avec une histoire qui remonte aux années 1880, ils fournissent quotidiennement à 3,6 millions de personnes 900 millions de litres d'eau. Cela représente environ 360 piscines olympiques d'eau, chaque jour de l'année.

Avec une telle opération, Affinity Water s'appuie sur un système informatique vaste et complexe. Ils doivent stocker et traiter d'énormes quantités de données relatives à la logistique de l'approvisionnement en eau: information client, suivi du contrôle qualité, planification de la demande, distribution, comptage, facturation, etc. Toutes ces informations doivent être accessibles à tout moment pour que les services fonctionnent. Des millions de personnes accèdent et paient leurs factures en ligne, et leur service d'assistance est acheminé via le site Web, de sorte que tout doit être en ligne et fonctionner à tout moment, sans temps d'arrêt. De plus, Affinity Water gère de grandes quantités de données personnelles sensibles, la cybersécurité doit donc être sans faille.

Affinity Water dispose d'une centaine d'instances Linux alimentant leur infrastructure de service. Certains sont dans le cloud sur AWS, et certains sont des VM sur site, fonctionnant sur un mélange de Red Hat, Oracle et Ubuntu.

Le problème

Le gros problème d'Affinity Water était les temps d'arrêt causés par les redémarrages du serveur. Historiquement, la maintenance Linux a été un processus très manuel. Chaque fois qu'une nouvelle vulnérabilité est découverte, un nouveau correctif sort et un redémarrage du serveur doit être planifié pour que le correctif soit appliqué au noyau. Pour Affinity Water, ce processus représentait une surcharge administrative inutile. Les redémarrages des serveurs nécessitaient une planification bien à l'avance, et la coordination consommait du temps et des ressources. Les redémarrages devaient généralement se produire à des heures non sociables et impliquaient beaucoup de planification d'e-mails et de marchandage entre les services. Chaque redémarrage nécessitait une montagne de documentation et de rapports de gestion avant de pouvoir être effectué.

Comme le redémarrage était retardé, il y avait toujours un écart entre la publication du correctif et l'application du correctif. Parfois, cela peut prendre des semaines ou des mois pour organiser une fenêtre de maintenance. Cela laissait leurs systèmes vulnérables aux attaquants et potentiellement non conformes à leurs accords de sécurité. Pendant longtemps, Affinity Water n'a pas vu d'autre moyen. Le noyau Linux est sujet aux vulnérabilités et les vulnérabilités doivent être corrigées. Il n'y avait aucun moyen de patcher un noyau en direct, donc les redémarrages difficiles devaient se produire. Et puis, leur administrateur système a découvert les correctifs en direct - un moyen de garder les serveurs Linux patchés et en sécurité, sans avoir à les fermer. Après avoir appris les correctifs en direct, Affinity Water a cherché plus en profondeur, dans l'espoir de trouver un service qui pourrait fonctionner sur toutes leurs distributions Linux. C'est à ce moment-là qu'ils ont découvert KernelCare.

Comment KernelCare a-t-il résolu le problème?

Affinity Water exécute un mélange de saveurs Linux: Red Hat, Oracle, Ubuntu. Contrairement à d'autres services de correctifs en direct, tels que KSplice, qui ne fonctionne que sur la propre marque de Linux d'Oracle, KernelCare est indépendant de la distribution afin qu'il puisse corriger les vulnérabilités sur toutes les plates-formes. C'était important pour Affinity Water, qui devait protéger tous ses serveurs, quelle que soit la distribution.

Une fois que KernelCare était opérationnel sur toutes les instances Linux d'Affinity Water, les inquiétudes de la direction concernant les temps d'arrêt et les cycles de redémarrage se sont évaporées. L'efficacité globale a été immédiatement améliorée et les équipes de conformité ont été ravies car les systèmes d'Affinity Water étaient désormais toujours à jour avec les protocoles de sécurité. Leurs administrateurs système Linux ont fait moins de travail le week-end et ont pu profiter de plus de temps en famille.

Un autre bonus était la fonction de restauration des correctifs de KernelCare. Bien que l'administrateur système d'Affinity Water ait été impressionné par le délai d'exécution des correctifs, ils ont adoré la possibilité de restaurer les correctifs et d'exécuter plus de tests si nécessaire, éliminant ainsi toute préoccupation quant à savoir si un correctif pourrait affecter les performances ou la stabilité.

KernelCare a libéré Affinity Water du dilemme consistant à sacrifier la sécurité ou la disponibilité.

Avec des correctifs en direct sans redémarrage et sans interruption, ils pourraient avoir le meilleur des deux mondes. Ils sont sécurisés, sans temps d'arrêt supplémentaire. Et un groupe de membres du personnel avait maintenant une chose de moins à souligner.

Regardez l'étude de cas dans cet enregistrement de webinaire: