Windows Server 2022, più sicurezza e integrazione col cloud per proteggere il perimetro aziendale - Cyber Security 360

SISTEMI OPERATIVI

Windows Server 2022, più sicurezza e integrazione col cloud per proteggere il perimetro aziendale

Il nuovo Windows Server 2022 avrà notevoli miglioramenti della sicurezza e una spiccata tendenza al cloud e all’integrazione con Azure, con il conseguente orientamento a gestire da quest’ultimo la sua integrazione ai vari servizi come il backup, il monitoraggio e la gestione dei servizi di identità. Ecco tutti i dettagli

14 Giu 2021
A
Claudio Augusto

Chief Information Officer / IT Manager

Windows Server 2022 sarà disponibile entro la fine del 2021, così come annunciato da Bernardo Caldas, Vice President of Program Management, Core OS and Edge Infrastructure di Microsoft, ricordando la disponibilità in preview del nuovo sistema operativo Microsoft e confermandone, in continuità con i precedenti sistemi operativi, l’identificazione con il numero dell’anno.

Il primo annuncio risaliva a ottobre dello scorso anno e ha fatto seguito a quanto già reso noto poche settimane prima nel circuito Windows Insider in cui si parlava del rilascio della Preview Build 20292 di Windows Server con versione sia desktop sia Server Core per le edizioni Datacenter e Standard (il 28 aprile è stata rilasciata la build 20344).

La preview può essere testata, fino al 31 ottobre 2021, sia on-premise (disponibile in formato ISO in 18 lingue e in formato VHDX solo in inglese), sia on-cloud ovviamente su Azure. Quanti sono interessati a vedere con i loro occhi questa anteprima possono consultare il programma Windows Insider.

Quante edizioni correnti

I criteri del ciclo vita delle soluzioni di casa Microsoft sono generalmente abbastanza trasversali a tutti i prodotti, prevedendo, già al momento del loro lancio, una sequenza temporale della rispettiva durata di assistenza e manutenzione che si può sintetizzare in:

  • un minimo di cinque anni di supporto “Mainstream”;
  • un periodo aggiuntivo di supporto “Extended” (per alcuni prodotti di solito altri cinque anni).

Per Mainstream si intende il supporto completo al prodotto che comprende gli aggiornamenti della sicurezza, gli aggiornamenti non correlati alla sicurezza e il supporto gratuito incluso nella licenza. Il supporto Extended prevede, di solito, soltanto il rilascio degli aggiornamenti della sicurezza.

Con la nuova edizione server 2022, Microsoft ne dovrà supportare ben quattro in contemporanea (2012, 2016, 2019 e 2022) almeno fino all’uscita di scena del prodotto Windows Server 2012, prevista il 10/10/2023, come supporto esteso mentre quello Mainstream è decorso il 09/10/2018.

Lo stesso era già accaduto per la versione 2019 che vedeva in campo ancora la versione 2008.

Windows Server 2022: cambi di strategia

È lo stesso Bernardo Caldas nel suo annuncio a riferire che il nuovo prodotto si basa su Windows Server 2019, definendolo quello adottato più velocemente rispetto ai precedenti. Si comprende subito che non sono previsti stravolgimenti ma dovremo accontentarci di miglioramenti, seppur importanti, delle funzionalità esistenti.

Vi era qualche dubbio che Microsoft volesse continuare a rilasciare sistemi operativi per server on-premise e si supponeva che volesse privilegiare esclusivamente il cloud ma, evidentemente, nel frattempo avranno compreso che non è ancora tempo per farlo, pur confermando che il software locale sta diventando sempre meno importante per Microsoft.

Questa incertezza è risultata evidente anche per il fatto che tutti i corsi e le certificazioni per i sistemisti Windows (MCSA, MCSD, MCSE) non sono mai state rilasciate da Microsoft per Windows Server 2019. Le ultime hanno riguardato l’edizione server 2016. Qualcuno aveva osservato che non fossero veramente necessarie vista la somiglianza tra 2016 e 2019, tuttavia questo sembrava un forte indizio di discontinuità dell’on-premise, tanto è vero che gli interessati alle certificazioni, potevano solo proseguire verso quelle Azure (Administrator Associate, Solutions Architect Expert, Security Engineer Associate). Ad oggi, tra l’altro, è ancora così.

Windows Server 2022: quali novità

Per quanto l’edizione 2022 sia basata su quella precedente sono previsti diversi miglioramenti.

Server con core protetto (Server Secure-core)

In pratica, il sistema operativo, l’hardware e il firmware cooperano per fornire una protezione multilivello con l’obiettivo di mitigare il rischio durante il boot da attacchi riferiti al firmware.

In evidenza l’uso di Trusted Platform Module 2.0 e System Guard per avviare Windows Server in modo sicuro e ridurre al minimo il rischio di vulnerabilità del firmware. Da precisare che il server Secure-core include anche funzionalità di sicurezza basata sulla virtualizzazione (VBS) come Credential Guard e integrità del codice protetto da hypervisor (HVCI). Credential Guard fornisce una difesa preventiva per le risorse sensibili come le credenziali e HVCI applica una sicurezza basata sull’hardware per impedire che malware avanzati possano manomettere il sistema.

Connettività protetta

È stato aggiunto un ulteriore livello di sicurezza durante il trasporto per una maggiore protezione avanzata. Windows Server 2022, quindi, migliora la sicurezza della connessione con protocollo di trasferimento ipertestuale crittografato più veloce e più sicuro (HTTPS) e TLS (Transport Layer Security) 1.3 abilitati per impostazione predefinita.

È inoltre possibile proteggere ulteriormente le comunicazioni del server con la crittografia AES-256 standard del settore, che ora supporta il protocollo SMB (Server Message Block) e controlli migliori.

Funzionalità ibride con Azure

Una parte sostanziale delle funzionalità annunciate è incentrata sulla connessione di Windows Server al cloud Microsoft con il potenziamento delle funzionalità Azure Arc e Storage Migration Service.

La prima, attraverso un unico portale di gestione su Azure, semplifica la configurazione di un’infrastruttura eterogenea che si estende su più data center o ambienti cloud favorendo l’archiviazione locale, perimetrale e multi-cloud e facilitando la distribuzione di varie opzioni di gestione di Azure tra cui: Criteri di Azure, Monitoraggio di Azure e Azure Defender.

Allo stesso modo Arc, quale strumento centralizzato semplifica il monitoraggio del carico di lavoro di server, applicazioni e database distribuiti in più posizioni.

Invece, il miglioramento del servizio di migrazione storage, originariamente concepito per la migrazione di vecchi file server a Windows Server 2019, verrà ora sempre più utilizzato per spostare le condivisioni di rete nel cloud di Azure con connettività senza soluzione di continuità tra i file server locali e i file server in Azure, mantenendo basse latenza e riducendo al contempo il footprint di storage locale.

Il servizio è ora anche in grado di migrare i dati dallo storage NetApp ad Azure.

Windows Admin Center (WAC)

WAC nella versione ultima 2103, disponibile in Azure e on-premise come servizio autonomo, aggiunge una gestione avanzata per le macchine virtuali e fornisce un visualizzatore di eventi più semplice per i dispositivi gestiti.

Piattaforma applicativa flessibile

L’esecuzione di applicazioni distribuite e su larga scala ha convinto Microsoft a migliorare l’offerta di funzionalità e strumenti della piattaforma per assecondare la richiesta di velocità degli sviluppatori e il supporto per carichi di lavoro critici come SQL Server.

L’edizione 2022 vede, su questo fronte, diversi miglioramenti per la gestione dei Windows Containers, inclusa la compatibilità delle applicazioni e l’esperienza con Kubernetes. Sono state ridotte le dimensioni dell’immagine del contenitore di Windows (circa il 20%) con diminuzione dei tempi di avvio, download e prestazioni migliori.

La dimensione dell’immagine è un aspetto molto importante considerando che quando si distribuisce un’applicazione container, ci si aspetta di vederla avviata il più velocemente possibile, ma prima che questo avvenga i layers dell’immagine del container devono essere scaricati ed estratti sull’host. Rappresenta un bel passo aventi vedere velocizzate queste operazioni rispetto a quelle dei primi containers visti con Windows Server 2016.

Inoltre, è ora possibile eseguire applicazioni che dipendono da Azure Active Directory con group Managed Services Accounts (gMSA) senza che il dominio si unisca all’host del contenitore. Gli account gMSA possono essere usati con i contenitori di Windows per abilitare gli scenari di autenticazione di Active Directory (AD) e attualmente, con la versione 2019 che li ha introdotti, è richiesto che il dominio si unisca all’host del contenitore per recuperare la password di gMSA da AD.

È stata anche semplificata la containerizzazione delle applicazioni .NET attraverso uno strumento del Windows Admin Center aggiornato. Una volta che l’applicazione si trova in un contenitore, è possibile ospitarla in Azure Container Registry per poi distribuirla ad altri servizi di Azure, incluso Azure Kubernetes Service.

Windows Server 2022 supporta applicazioni business-critical e su larga scala, come SQL Server, che richiedono 48 TB di memoria e 2.048 core logici in esecuzione su 64 socket fisici (quanti utenti al mondo sono interessati a queste capacità oltre alla stessa Microsoft per il suo Azure?). Va ricordato che Windows server 2019 si fermava a 24 TB di memoria e 512 core logici.

Al momento non risulta che Microsoft abbia ancora pubblicato altri dati sulla scalabilità per le VM in Windows Server 2022 (ad es. memoria massima, numero massimo di CPU virtuali).

Un ultimo dettaglio, anche se non pienamente confermato, sarà la possibilità di applicare patch senza riavviare il sistema operativo in esecuzione. Sarà vero?

Non si sono dimenticati della sicurezza

Microsoft poteva solo fare dei passi in avanti per la sicurezza del suo novo sistema operativo. E lo ha fatto.

In un mondo informatico sempre più vulnerabile, a fronte dell’intensa diffusione di agenti malevoli che compromettono i sistemi ancor prima di avviarsi attraverso root o boot kits, Microsoft ha reagito rendendo disponibile Server Secure-Core accennato in precedenza, basandosi sul lavoro già svolto per conseguire l’obiettivo PC Secure-Core.

Il risultato pratico dovrebbe essere che, all’acquisto di un server dotato di licenza Windows, saranno stati già predisposti firmware e driver sicuri e abilitate immediatamente tutte le funzionalità di sicurezza descritte in precedenza, sussistendo anche la possibilità di controllare lo stato dei propri server e abilitare le funzionalità di sicurezza utilizzando il nuovo componente aggiuntivo per Windows Admin Center (WAC).

Vediamo con maggior dettaglio i componenti di Secure-core:

  • TPM (Trusted Platform Module) e Secure Boot – TPM fornisce l’archiviazione per le informazioni di sicurezza come le chiavi Bitlocker, mentre Secure Boot controlla le firme di tutto il software di avvio (firmware UEFI, applicazioni EFI e il sistema operativo stesso) per garantire che non siano state violate (ad es. da un root kit).
  • VBS (Virtualization-based Security) – usa la virtualizzazione hardware (basata sulla tecnologia Hyper-V) per bloccare gli attacchi contro le credenziali utente (ad es. Pass-the-Hash/Mimikatz). VBS è anche la piattaforma per HVCI (Hypervisor-Enforced Code Integrity) che protegge la modifica del CFG (Control Flow Guard), assicura un certificato valido per Credential Guard e controlla che i driver di dispositivo dispongano di un certificato validato.
  • CFG (Control Flow Guard) – è la funzionalità di sicurezza atta a contrastare le vulnerabilità di danneggiamento della memoria, ed è il componente con cui Windows protegge da applicazioni dannose che vorrebbero ledere proprio la memoria in uso alle applicazioni.
  • System Guard – protegge l’integrità del sistema all’avvio e lo convalida tramite l’attestazione locale e remota utilizzando Static Root of Trust for Measurement (SRTM), Dynamic Root of Trust for Measurement (DRTM) e System Management Mode (SMM).

Altri miglioramenti della sicurezza in Windows Server 2022 riguardano:

  • l’ultima versione di Transport Layer Security (TLS) 1.3 che sarà abilitata per impostazione predefinita e sarà disponibile anche nelle versioni precedenti di Windows Server.
  • La possibilità di utilizzare la crittografia AES-256 per il traffico SMB (file server).

Considerazioni finali

In estrema sintesi, possiamo dire che nella edizione 2022 di Windows Server vediamo diversi miglioramenti della sicurezza e una spiccata tendenza al cloud, rilevando che Windows Server locale per Microsoft è sempre più un elemento gregario di Azure con il conseguente orientamento a gestire da quest’ultimo la sua integrazione ai vari servizi cloud, come il backup, il monitoraggio, la gestione dei servizi di identità.

Forse anche WSUS potrebbe subire qualche evoluzione anche se non vi è stata alcuna anticipazione, per quanto la stessa Microsoft abbia suggerito agli utenti di utilizzare Windows Update for Business (WUfB) invece di WSUS per applicare la patch al sistema operativo.

Sul piano estetico, esaminando la preview di Windows server 2022, non si rilevano facilmente dettagli visibili tali da poter distinguere questa edizione dalle precedenti (Windows Server 2019 o 2016). Oltre le apparenze e fidandoci anche delle dichiarazioni e documentazioni rese disponibili da Microsoft, dobbiamo affermare delle novità ci sono e sono tutte interessanti.

Per l’uscita del prodotto mancano ancora alcuni mesi e potrebbero esserci altrettante novità dell’ultim’ora.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5