Con l’annuncio di Microsoft riguardante la dismissione di Windows Server Update Services (WSUS), si apre un nuovo capitolo nella gestione degli aggiornamenti per i sistemi server. Dopo quasi 20 anni dal suo rilascio, WSUS non verrà più attivamente sviluppato, generando un’ondata di incertezze tra gli amministratori IT che hanno fatto affidamento su questo strumento per distribuire aggiornamenti in ambienti enterprise. In questo articolo, analizzeremo gli impatti di questa decisione e le possibili strategie di migrazione, con particolare attenzione ai sistemi server.
Cos’è WSUS e cosa significa la sua dismissione?
Windows Server Update Services (WSUS) è da anni lo strumento di riferimento per gestire e distribuire aggiornamenti dei prodotti Microsoft all’interno delle reti aziendali. Gli amministratori IT possono approvare, pianificare e controllare la distribuzione degli aggiornamenti, scegliendo quali dispositivi li ricevano. WSUS offre inoltre funzionalità di automazione tramite PowerShell e si integra con Group Policy, rendendo più semplice la gestione centralizzata.
Con l’annuncio della sua dismissione, Microsoft ha specificato che WSUS non sarà rimosso immediatamente, ma non riceverà più sviluppi o miglioramenti futuri. La funzionalità attuale verrà mantenuta e Microsoft continuerà a rilasciare aggiornamenti attraverso WSUS, ma non verranno introdotte nuove funzionalità.
Implicazioni per gli Amministratori IT e strategie di migrazione
L’annuncio ha scatenato dubbi tra gli amministratori IT, specialmente per quanto riguarda la continuità del supporto e la necessità di individuare soluzioni alternative. Sebbene WSUS continuerà a essere disponibile nelle versioni in-market di Windows Server, inclusa la futura versione di Windows Server 2025, è cruciale che gli amministratori inizino a pianificare una transizione verso nuove soluzioni.
Un aspetto importante da considerare riguardo alla dismissione di WSUS è l’impatto su Microsoft Configuration Manager. Sebbene WSUS venga gradualmente dismesso, la sua deprecazione non avrà impatto diretto sulle funzionalità esistenti di Microsoft Configuration Manager, che continuerà a utilizzare WSUS come meccanismo per gestire e distribuire gli aggiornamenti. In altre parole, Configuration Manager rimarrà un’opzione valida per le organizzazioni che fanno affidamento su di esso per gestire gli aggiornamenti, con WSUS che fungerà ancora da canale per la distribuzione.
Tuttavia, è fondamentale sottolineare che, anche se WSUS sarà ancora utilizzabile all’interno di Configuration Manager, Microsoft consiglia comunque di pianificare una transizione verso soluzioni basate sul cloud, come Azure Update Manager, per sfruttare le nuove capacità e migliorare l’efficienza della gestione degli aggiornamenti nel lungo termine. La migrazione al cloud rappresenta quindi non solo un’evoluzione naturale, ma anche un’opportunità per garantire una gestione più flessibile ed efficiente degli aggiornamenti dei server, in linea con le moderne esigenze aziendali.
Azure Update Manager: un sostituto valido, ma…
Azure Update Manager è un servizio che aiuta a gestire e governare gli aggiornamenti per tutte le macchine, sia in Azure sia on-premises oppure su altre piattaforme cloud, collegate tramite Azure Arc. Da un’unica console di gestione, è possibile monitorare la conformità degli aggiornamenti per i server Windows e Linux, applicare aggiornamenti in tempo reale o programmarli in finestre di manutenzione definite.
Con Azure Update Manager, è possibile:
- Controllare e distribuire aggiornamenti di sicurezza o critici per proteggere le macchine.
- Abilitare valutazioni periodiche per controllare gli aggiornamenti.
- Utilizzare opzioni di patching flessibili, come la pianificazione degli aggiornamenti in finestre temporali personalizzate.
- Monitorare la conformità degli aggiornamenti di tutte le macchine, incluse quelle ibride o in altri ambienti cloud connessi tramite Azure Arc.
Azure Update Manager offre molteplici vantaggi, tuttavia, esistono alcuni aspetti da considerare attentamente.
Azure Update Manager rispetta la sorgente di aggiornamenti già configurata sulla macchina, che si tratti di Windows Update per gli aggiornamenti del sistema operativo, Microsoft Update per gli aggiornamenti dei prodotti o WSUS per una combinazione di entrambi. In questo contesto, WSUS può ancora essere utilizzato in parallelo ad Azure Update Manager per fornire capacità aggiuntive, come la memorizzazione o la cache degli aggiornamenti localmente.
Il punto critico riguarda le organizzazioni con un elevato numero di server on-premises dove la gestione degli aggiornamenti esclusivamente tramite Azure Update Manager richiede delle valutazioni ulteriori. La preoccupazione principale è legata alla larghezza di banda necessaria per scaricare gli aggiornamenti direttamente da Internet su ogni server, il che potrebbe saturare la rete. Inoltre, la micro-segmentazione tipica delle politiche di sicurezza dei server rende difficile l’uso di tecnologie peer-to-peer come Delivery Optimization.
Attualmente, se si vuole esplorare una strategia a lungo termine per le aziende enterprise e non si vuole accettare questo punto dolente, è necessario valutare soluzioni come Microsoft Connected Cache o esplorare le opzioni di altri vendor.
Un altro aspetto rilevante è il costo associato ad Azure Update Manager per i server gestiti tramite Azure Arc. Mentre il servizio è gratuito per i sistemi che risiedono in Azure, i server abilitati per Azure Arc sono soggetti a un costo di circa €4,48 per server al mese. Esistono tuttavia alcuni casi in cui Azure Update Manager non comporta addebiti, nello specifico quando i server sono:
- Abilitati per gli aggiornamenti di sicurezza estesi (ESU).
- Gestiti tramite Defender for Servers Plan 2.
- Ospitati su Azure Stack HCI, quando queste macchine sono abilitate per gli Azure benefit e gestite tramite Azure Arc.
Conclusioni
La dismissione di WSUS comporterà nel lungo periodo un cambiamento significativo per gli amministratori IT, soprattutto in contesti di grandi dimensioni con un numero elevato di server. Sebbene WSUS continuerà a essere disponibile, le aziende devono già ora iniziare a considerare strategie a lungo termine per garantire una gestione degli aggiornamenti che sia efficiente e sicura. Azure Update Manager si presenta come una valida alternativa, ma richiede un’attenta analisi delle implicazioni economiche e operative che questo cambiamento comporta.
Per chi è interessato a un approccio più completo in termini di sicurezza e gestione centralizzata, la combinazione di Azure Update Manager con Defender for Cloud (piano 2) offre una soluzione interessante. Questa unione non solo permette una gestione degli aggiornamenti, ma fornisce anche funzionalità avanzate per la protezione dei sistemi server, garantendo un livello di sicurezza superiore.
In conclusione, sebbene WSUS resterà disponibile per ancora qualche anno, la direzione intrapresa da Microsoft è chiara: il futuro della gestione degli aggiornamenti si sposta verso il cloud, e le organizzazioni devono prepararsi per affrontare questa transizione in modo strategico e proattivo.