Affinity Water ist das größte reine Wasserversorgungsunternehmen in Großbritannien. Mit einer Geschichte, die bis in die 1880er Jahre zurückreicht, versorgen sie 3,6 Millionen Menschen täglich mit 900 Millionen Litern Wasser. Das sind ungefähr 360 olympische Wasserbecken an jedem Tag des Jahres.

Bei einem so großen Betrieb ist Affinity Water auf ein riesiges und komplexes Computersystem angewiesen. Sie müssen riesige Datenmengen speichern und verarbeiten, die sich auf die Logistik der Wasserversorgung beziehen: Kundeninformationen, Nachverfolgung der Qualitätskontrolle, Bedarfsplanung, Verteilung, Messung, Abrechnung usw. Alle diese Informationen müssen jederzeit verfügbar sein, damit die Dienste funktionieren. Millionen von Menschen greifen online auf ihre Rechnungen zu und bezahlen sie, und ihre Supportabteilung wird über die Website geleitet. Daher muss alles online sein und jederzeit funktionieren, ohne dass es zu Ausfallzeiten kommt. Darüber hinaus verarbeitet Affinity Water große Mengen sensibler personenbezogener Daten, sodass die Cybersicherheit einwandfrei sein muss.

Affinity Water verfügt über ungefähr einhundert Linux-Instanzen, die ihre Service-Infrastruktur mit Strom versorgen. Einige befinden sich in der Cloud unter AWS, andere sind lokale VMs, die mit einer Mischung aus Red Hat, Oracle und Ubuntu arbeiten.

Das Problem

Das große Problem von Affinity Water waren Ausfallzeiten, die durch Neustarts des Servers verursacht wurden. In der Vergangenheit war die Linux-Wartung ein sehr manueller Prozess. Immer wenn eine neue Sicherheitsanfälligkeit entdeckt wird, wird ein neuer Patch veröffentlicht und ein Neustart des Servers muss geplant werden, damit der Patch auf den Kernel angewendet wird. Für Affinity Water war dieser Prozess ein unnötiger Verwaltungsaufwand. Server-Neustarts mussten frühzeitig geplant werden, und die Koordination verbrauchte Zeit und Ressourcen. Die Neustarts mussten normalerweise zu nicht geselligen Zeiten stattfinden und beinhalteten viel E-Mail-Planung und Feilschen zwischen den Abteilungen. Jeder Neustart benötigte einen Berg von Dokumentationen und Managementberichten, bevor er ausgeführt werden konnte.

Da sich der Neustart verzögerte, gab es immer eine Lücke zwischen Patch-Release und Patch-Anwendung. Manchmal kann es Wochen oder Monate dauern, bis ein Wartungsfenster eingerichtet ist. Dies machte ihre Systeme anfällig für Angreifer und möglicherweise nicht konform mit ihren Sicherheitsvereinbarungen. Affinity Water sah lange Zeit keinen anderen Weg. Der Linux-Kernel ist anfällig für Sicherheitslücken, und Sicherheitslücken müssen gepatcht werden. Es gab keine Möglichkeit, einen Live-Kernel zu patchen, daher mussten die umständlichen Neustarts stattfinden. Und dann entdeckte der Systemadministrator Live-Patches - eine Möglichkeit, Linux-Server gepatcht und sicher zu halten, ohne sie herunterfahren zu müssen. Nachdem Affinity Water etwas über Live-Patches gelernt hatte, sah es sich genauer an und hoffte, einen Dienst zu finden, der auf allen Linux-Distributionen ausgeführt werden kann. Zu diesem Zeitpunkt entdeckten sie KernelCare.

Wie hat KernelCare das Problem gelöst?

Affinity Water bietet eine Mischung aus Linux-Varianten: Red Hat, Oracle, Ubuntu. Im Gegensatz zu anderen Live-Patching-Diensten wie KSplice, das nur unter der Linux-Marke Oracle von Oracle ausgeführt wird, ist KernelCare dies verteilungsunabhängig So können Schwachstellen auf allen Plattformen behoben werden. Dies war wichtig für Affinity Water, das alle Server unabhängig von der Verteilung schützen musste.

Sobald KernelCare auf allen Linux-Instanzen von Affinity Water betriebsbereit war, verschwanden die Sorgen des Managements über Ausfallzeiten und Neustartzyklen. Die allgemeine Effizienz wurde sofort gesteigert, und die Compliance-Teams waren begeistert, da die Systeme von Affinity Water jetzt immer mit Sicherheitsprotokollen auf dem neuesten Stand waren. Ihre Linux-Systemadministratoren arbeiteten weniger am Wochenende und konnten mehr Zeit mit der Familie verbringen.

Ein weiterer Bonus war die Patch-Rollback-Funktion von KernelCare. Obwohl der Systemadministrator von Affinity Water von der Patch-Bearbeitungszeit beeindruckt war, war er von der Möglichkeit begeistert, Patches zurückzusetzen und bei Bedarf weitere Tests durchzuführen, um Bedenken auszuräumen, ob ein Patch die Leistung oder Stabilität beeinträchtigen könnte.

KernelCare befreite Affinity Water von dem Dilemma, entweder Sicherheit oder Betriebszeit zu opfern.

Mit rebootlosem, unterbrechungsfreiem Live-Patching könnten sie das Beste aus beiden Welten haben. Sie sind sicher, ohne zusätzliche Ausfallzeiten. Und eine Reihe von Mitarbeitern hatte jetzt eine Sache weniger zu betonen.

Sehen Sie sich die Fallstudie in dieser Webinar-Aufzeichnung an: