04. Dez. 2019

Zwei einfache Schritte gegen den Oracle-Audit-Schock

Softwarelizenz-Audits stellen für Oracle eine nicht unerhebliche Einnahmequelle dar. Nachdem Ihre Audit-Daten zur Software-Compliance angefordert und von Ihnen übermittelt wurden, wird Oracle Ihnen eine möglichst große Zahl von Vorgängen präsentieren, bei denen Sie die Compliance nicht eingehalten haben. Diese Zahl ignoriert Ihre vorhandenen Berechtigungen und geht von Grauzonen aus, die einfach als Nichteinhaltung ausgelegt werden.

Two Simple Steps to Beat the Oracle Shock & Audit | Aspera Blog

Der wichtigste Ratschlag für Ihr Oracle-Lizenzmanagement lautet: Tanzen Sie nicht nach der Pfeife von Oracle, indem Sie diese übertriebene Zahl mit Oracle verhandeln. Beginnen Sie Ihre Verhandlungen stattdessen mit einer niedrigeren, genaueren Zahl, die Ihre Berechtigungen berücksichtigt und mit den Grauzonen aufräumt.

Das sind die zwei entscheidenden Schritte, mit denen Sie ein gerechteres Oracle-Softwarelizenz-Audit erreichen.

1. Finden Sie Ihre Oracle-Installationen

Lassen Sie uns einen Blick auf Ihre Oracle-Umgebung werfen. Manchmal brauchen Sie eine Lizenz für Installationen, auch wenn diese unbenutzt bleiben. In anderen Fällen kommt es auf die Nutzung an. Aber es beginnt alles mit den Installationen, folglich müssen Sie diese zunächst alle erfassen und dann der Nutzung nachgehen.

Oracle wird Sie auffordern, die proprietären LMS-Skripte auszuführen. Wir empfehlen, ein von Oracle verifiziertes Discovery & Inventory Tool zu verwenden. „LicenseControl for Oracle“ von Aspera etwa verwendet Oracle-verifizierte Daten, es gibt aber auch andere. Egal ob Sie die Lösung eines Mitbewerbers verwenden oder eine Tabellenkalkulation – bei einigen Punkten sollten Sie vorsichtig sein:

Editionen, Pakete & Optionen

Viele Produkte von Oracle gibt es in unterschiedlichen Versionen wie Enterprise oder Standard Edition. Jede Version enthält Funktionen, Pakete und Optionen, die Sie verwenden dürfen, wenn Sie die entsprechende Edition bezahlt haben. Alle Funktionen, Pakete und Optionen sind in der Regel aber auch dann installiert, wenn Sie eine Standard Edition verwenden. Deshalb ist es wichtig, sowohl den Installationen als auch der Nutzung nachzugehen, insbesondere der zufälligen Aktivierung von teuren Funktionen, die im nächsten Schritt von Bedeutung ist.

Named User Plus (NUP)

Diese Metrik gilt für sämtliche Benutzer und Geräte, die direkt oder indirekt mit einer Oracle-Datenbank verbunden sind. Für verschiedene Datenbank-Editionen gelten Mindestgrenzen von Benutzern, die Sie erwerben müssen. Beispielsweise hat eine Enterprise Edition eine Mindestmenge von 25 NUP. Eine gute Erkennung zeigt, welche Datenbanken Sie einsetzen und auf welche Datenbanken Ihre NUPs zugreifen. Das Ergebnis zeigt Ihnen, welche Lizenzanforderungen für diese Datenbanken bestehen.

Prozessor-Lizenzen

CPUs sind einfacher zu verfolgen und zu pflegen als NUP-Lizenzen und zudem kostengünstiger bei großen Benutzerzahlen. Doch ganz so einfach ist es nicht. Um Ihren Lizenzbedarf zu ermitteln, müssen Sie die Anzahl der Kerne in allen CPUs ermitteln und sie dann mit einem bestimmten Faktor für diese Konfiguration multiplizieren. So hat beispielsweise der Sun/Fujitsu UltraSPARC T1-Prozessor einen Core-Faktor von 0,25, mit dem Sie die Anzahl der Kerne multiplizieren. Das ergibt dann den erforderlichen Lizenzbetrag. Reine Mathematik!

Virtualisierung

Virtualisierung, Multiplexing und Cloud Computing machen es zu einer gewissen Herausforderung, alle Benutzer, CPUs und andere Compliance-Metriken zu erfassen. Wenn Oracle in einer virtuellen Umgebung zum Einsatz kommt, dann müssen Sie in der Regel alle virtuellen Maschinen und deren Hosts aufzählen. Denken Sie daran: Aus lizenzrechtlicher Sicht sollte jede virtuelle Maschine die gleiche Anzahl von CPU-Kernen haben wie der entsprechende physische Server.

AUDIT-TIPP: Multiplexing – indirekter Zugriff auf Oracle

Ermitteln Sie jede mit einer Oracle-Datenbank verbundene Anwendung und jeden Benutzer dieser Anwendungen. Dann:

a) lizenzieren Sie alle direkten und indirekten Benutzer von Oracle-Anwendungen (denn in diesem Fall verlangt Oracle Lizenzen für die potenzielle Nutzung, nicht für die tatsächliche Nutzung).

b) schauen Sie sich die externen Webanwendungen genauer an. Sollten sie durch Prozessor- oder NUP-Lizenzen abgedeckt sein? Wahrscheinlich Prozessor-Lizenzen, die eine unbegrenzte Anzahl von Benutzern zu einem Premium-Preis abdecken können. Andernfalls, wenn sie unlizenziert bleiben, könnte Oracle NUP-Lizenzen verlangen für die Millionen von Personen, die auf diese Webanwendung und die Oracle-Datenbank im Backend zugreifen könnten, was weitaus weniger erschwinglich ist.

Mehr Tipps zum Oracle-Audit >>

2. Oracle-Compliance

Nachdem Sie Ihre Oracle-Installationen und deren Nutzung ermittelt haben, ist es nun an der Zeit, diese zu vergleichen, um eventuelle Lücken in Ihrer Oracle-Compliance aufzuspüren. Dabei ist ein gutes Verständnis Ihrer Verpflichtungen gegenüber Oracle entscheidend. Und genau hier helfen detaillierte, granulare Daten bezüglich Ihrer Oracle-Umgebung weiter, weshalb wir ein von Oracle verifiziertes Tool empfehlen und nicht die Oracle-Skripte.

Sie mögen in der Lage sein, Ihre Oracle-Assets mit klassischen Discovery-Tools und Tabellenkalkulationen zu inventarisieren, aber sie könnten lückenhaft sein und somit können Sie die Compliance nicht mehr zuverlässig feststellen. Wenn Sie Lücken in der Compliance übersehen, dann findet Oracle diese gerne für Sie und präsentiert Ihnen die Rechnung.
Lassen Sie uns die Compliance-Risiken wiederholen:

Editionen, Pakete & Optionen

Die Funktionen, Pakete und Optionen jeder Edition sind installiert, müssen aber nicht lizenziert werden, wenn sie nicht verwendet werden – Sie bezahlen aber dann dafür, wenn Sie sie aktivieren. Da stets alles installiert ist, lassen sich leicht Funktionen unbeabsichtigt aktivieren. Das kann ziemlich knifflig werden. Wenn Sie Funktionen der Enterprise Edition aktivieren, während Sie für eine Standard Edition lizenziert sind, dann bedeutet das, dass Sie für die Nutzung der Enterprise Edition bezahlen müssen. Hier gibt es keine einfache Lösung. Es kann recht kompliziert sein, die Aktivierung von Optionen zu blockieren, so dass eine ständige Überwachung der Nutzung notwendig ist.

AUDIT-TIPP: Kennen Sie Ihre Aktivierungen

Ein gutes Oracle-Lizenzmanagement-Tool hält Sie konform, indem es Sie benachrichtigt, wenn Funktionen, Pakete oder Optionen aktiviert werden, und es findet heraus, warum sie aktiviert wurden. Das hilft, unbeabsichtigte Aktivierungen von zufälligen zu unterscheiden. In einem Audit können Sie dann nachweisen, dass sie nicht verwendet wurden, um zusätzliche Lizenzgebühren zu vermeiden.

Weitere Tipps zum Oracle-Audit >>

Named User Plus (NUP)

Sie haben die minimalen NUPs pro Edition gezählt. Nun ist der nächste Schritt, die Oracle-Server zu finden, auf die Ihre NUPs zugreifen, da diese lizenziert werden müssen. Ob Zugriffe berechtigt oder versehentlich erfolgen, ist unerheblich, Oracle macht da keinen Unterschied. Diese Unterscheidung selbst vorzunehmen – ein versehentlicher Zugriff ist in der Regel eine einmalige Sache – und sie zu korrigieren macht den Unterschied zwischen Compliance und einer großen Lizenzrechnung.

Prozessor-Lizenzen

Zählen Sie alle Server, auf denen ein Oracle-Produkt installiert ist, auch wenn diese gerade nicht laufen. Denn Sie benötigen dafür eine Lizenz. In diesem Fall ist es das Nutzungspotenzial, das anstelle der tatsächlichen Nutzung lizenziert wird. Berücksichtigen Sie auch den Core-Faktor. Ein von Oracle geprüftes Discovery-Tool geht über das reine Zählen hinaus – es kann zudem den CPU-Status anzeigen, so dass Sie nicht lizenzierte Kerne leicht erkennen können.

Virtualisierung

Wenn Sie eine virtuelle Maschine auf einem Host-Server betreiben, wie viele Lizenzen benötigt Sie dann? Gute Frage, denn in den Augen von Oracle sind nicht alle virtuellen Maschinen gleich. Je nach Anbieter der virtuellen Maschine müssen Sie Ihre Server unterschiedlich partitionieren, was bedeutet, dass die Lizenzierung unterschiedlich ist, was wiederum bedeutet, dass der zu bezahlende Betrag unterschiedlich ist.

Sie sollten über den Anbieter der virtuellen Maschinen gut Bescheid wissen – und darüber, wie sie gemäß der Oracle Partition Policy partitioniert werden müssen. Auch wenn diese Richtlinie kein verbindliches Dokument ist, wird Oracle es Ihnen vor die Nase halten, was zu virtuellen Kopfschmerzen bei einem Audit führen kann.

Und so fühlt sich Oracle Compliance an.

Sie haben Ihre gesamte Oracle-Umgebung zusammengesammelt und analysiert. Sie sind so konform, dass es fast schon wehtut. Sie können jetzt aufhören, die Füße hochlegen und Ihre Daten übermitteln, wenn die Auditzeit ins Land zieht. Oder Sie nutzen diese Informationen, um mit Hilfe der Oracle-Lizenzoptimierung einige echte Kosteneinsparungen in Ihrem Oracle-Umfeld zu erzielen.

Möchten Sie weitere hilfreiche Tipps, um den Schock zu vermeiden und das Audit von Oracle zu überstehen? Dann laden Sie das leicht verständliche Oracle Audit Playbook von Aspera herunter.

Jetzt herunterladen >>



Themen: Software Audits, Oracle