Windows Server 2022: Mejoras en seguridad
Windows Server 2022, la próxima versión del sistema operativo de servidores de Microsoft, estará ampliamente disponible antes de finales de 2021. Esta versión combina las mejoras de Windows Containers que los primeros adoptantes han estado recibiendo en el Canal Semi Anual (SAC) con mejoras en seguridad, como secured-core desde Windows client, junto con desarrollos a nivel de red.
Infraestructura y roles de servidor
Aunque se ha puesto mucho énfasis en las estrategias de híbridos y migración, ¿qué lugar ocupa el sistema operativo de servidor? Según Vijay Kumar, director de marketing de productos de Windows Server y Azure en Microsoft, "Windows Server es un sistema operativo altamente versátil y multipropósito, con decenas de roles y cientos de características, que incluyen derechos de invitado". Kumar también destaca las funciones del Software-Defined Data Center (SDDC), que los clientes pueden utilizar para diversos propósitos, como ejecutar servicios de archivos, SQL Server o aplicaciones personalizadas en Storage Spaces Direct con Software-defined Storage.
Azure Stack HCI es una opción para ejecutar máquinas virtuales en las instalaciones con conexiones a servicios híbridos de Azure. También permite utilizar Azure Kubernetes Service en hardware propio, lo que está más enfocado en infraestructura que en ser un servidor de aplicaciones o un servidor de almacenamiento. Windows Server 2022 es compatible con aplicaciones aún más grandes que las versiones anteriores, admitiendo hasta 48 terabytes de memoria, hasta 64 sockets y 2,048 procesadores lógicos. También admite el cálculo confidencial con Intel SGX en CPUs Ice Lake.
Windows Server Azure Edition es una nueva opción para máquinas virtuales en Azure, pero no es un SKU nuevo. Según Kumar, "es solo una nueva imagen de Windows Server OS que permite la nueva gestión del ciclo de vida. Recientemente, presentamos Azure Automanage para Windows Server, que permite a los clientes aplicar parches de seguridad sin reiniciar para sus nuevas máquinas virtuales de Windows Server. Para utilizar esta función, los clientes requerirán la nueva imagen del sistema operativo". A medida que Automanage obtenga nuevas capacidades en el futuro, la imagen de Azure Edition se actualizará para hacer que funcionen.
Las versiones preliminares regulares de Windows Server permiten a los administradores probar opciones como la actualización in situ desde Server 2016 y 2019, lo cual se espera que funcione para roles importantes como DNS, DHCP, File and Storage Services, Hyper-V y IIS. Si bien habrá una lista habitual de pequeñas mejoras en la próxima versión, como opciones de línea de comandos para Robocopy y Xcopy para mejorar el rendimiento de copia de archivos sobre SMB mediante la compresión de los archivos, o pruebas de validación de clúster que cubren opciones de configuración de red más complejas, las grandes mejoras están en seguridad, Windows Admin Center y contenedores.
Los diferentes tipos de buses en los dispositivos electrónicosSecured-core y conectividad segura
Secured-core server y secure connectivity ofrecen capas adicionales de seguridad desde el hardware hacia arriba, sin mucho trabajo adicional. Según Kumar, "Secured-core server se basa en tecnologías como Windows Defender System Guard y Virtualization-based Security para minimizar los riesgos de vulnerabilidades de firmware y malware avanzado". Esta opción de seguridad ya está disponible para sistemas Windows 10, donde el sistema operativo utiliza seguridad basada en virtualización para aislar las partes clave del servidor del malware, incluidos ataques avanzados al kernel, mediante la validación de Secure Boot en lugar de confiar en el firmware. Esto dificulta mucho a los atacantes obtener acceso a un dispositivo y luego comprometer otros servidores en su red.
También hay un nuevo complemento de secured-core para Windows Admin Center. La integración con Azure Security Center permite a los administradores recibir alertas sobre eventos asociados con controladores maliciosos que indican que un atacante está apuntando a un servidor.
Secured-core requerirá nuevo hardware de servidor para la protección de seguridad del firmware, confirmó Kumar. Pero también habilitará opciones que ya están disponibles en Windows Server, como HVCI, que los administradores también pueden activar desde Windows Admin Center, incluso de forma remota, si ven alertas sobre un ataque. "Otras capacidades, como la seguridad basada en la virtualización, la integridad del código basada en el hipervisor, el arranque seguro y TPM, están disponibles en el hardware y las plataformas de sistema operativo actuales. La extensión de seguridad de Windows Admin Center informará sobre estas capacidades en el hardware y las plataformas de sistema operativo actuales".
Windows Server 2022 también mejora la seguridad de las conexiones de red: TLS 1.3 está habilitado de forma predeterminada y hay soporte del cliente DNS para HTTPS y endurecimiento del protocolo SMB, como la encriptación AES 256. Microsoft llama a esto "secured connectivity" y Kumar sugiere que la adopción debería ser sencilla para las organizaciones. "La nueva encriptación AES-256 de SMB está completamente abstracta en el protocolo SMB 3 para mitigar problemas de compatibilidad. Además, SMB Direct ahora admite encriptación en redes RDMA, tanto con AES-128 como con AES-256". Además de mejorar el rendimiento de la red admitiendo la compresión a través de SMB, hay un mejor rendimiento con SMB cuando se utiliza encriptación o firma con SMB Direct con tarjetas de red habilitadas para RDMA.
+
Cómo entrar al programa de configuración del BIOS en tu computadoraLa implementación de Microsoft del protocolo QUIC de código abierto, que será la base de HTTP/3, estará en Windows Server 2022. Se está utilizando para SMB sobre QUIC, que es un reemplazo más seguro de WebDAV para proporcionar acceso a SMB sin el costo ni la complejidad de una VPN. Esto utiliza QUIC como transporte para SMB en lugar de TCP/IP y RDMA, con un túnel que asegura SMB incluso si no está habilitada la encriptación. "SMB sobre QUIC estará disponible con Azure Automanage y Windows Server 2022", dijo Kumar a Newsmatic. "También se admitirá como cliente en Windows 10 y en plataformas de terceros como Android y otros".
Es posible, aunque aún no se ha decidido, que SMB sobre QUIC también llegue a Windows Server 2019, ya que Azure Files lo utilizará y varios proveedores cuyos productos utilizan SMB están trabajando en la adopción del transporte QUIC.
QUIC utiliza UDP en lugar de TCP como su protocolo de red, y para mejorar el rendimiento de UDP, Windows Server 2022 descarga el envío y procesamiento de UDP desde la CPU a la NIC, utilizando UDP Segmentation Offload y Receive Side Coalescing. También hay mejoras en el rendimiento de TCP que reducen la pérdida de paquetes al iniciar conexiones y los tiempos de retransmisión.
Mejorando la modernización de aplicaciones con contenedores
Windows Admin Center no está vinculado a ninguna versión específica de Windows Server, aunque la versión v2103 salió al mismo tiempo que la vista previa de Windows Server 2022. Kumar señaló que han incluido varias mejoras que los administradores seguramente querrán aprovechar, como la extensión de contenedores que facilita el empaquetado de aplicaciones de servidor existentes de ASP.NET, WebDeploy, .NET y MSI en contenedores. También hay otras mejoras en Windows Containers, algunas de las cuales los clientes de SAC ya han estado recibiendo y otras que son nuevas, según Kumar: "Un tamaño de imagen más pequeño para descargas más rápidas, implementación simplificada de políticas de red, herramientas de contenerización para aplicaciones .NET y mejoras en las cuentas de servicios administrados en grupo (gMSA) para Windows Containers, que permiten a los clientes habilitar el soporte para gMSA sin unirse al dominio del host". Esto facilita la ejecución de aplicaciones que dependen de Active Directory (AD) sin realizar cambios en la máquina anfitriona del contenedor. Una identidad de AD protegida en una tienda de secretos puede ser utilizada por el host no unido para recuperar la contraseña de gMSA, lo que facilita mucho el uso de gMSA con Kubernetes.
También es posible virtualizar zonas horarias para poder ejecutar aplicaciones a escala global sin necesidad de considerar (o tener acceso a) la zona horaria del host.
La imagen del contenedor es aproximadamente 1GB más pequeña que antes, lo que permite descargas más rápidas y un arranque más rápido. Se han incluido todas las mejoras de rendimiento y escala del soporte de red de superposición de las versiones SAC. Se espera que en Windows Server se habilite el soporte IPv6 para Kubernetes, aunque esto requerirá la versión 1.20 de Kubernetes para lograr un soporte completo de IPv6 de extremo a extremo.
Entendiendo los permisos de archivos y directorios en UNIXEn una futura versión de Kubernetes, se lanzará un nuevo tipo de contenedor llamado HostProcess, que estará disponible con Windows Server 2022 y también con Windows Server 2019. Este tipo de contenedor permite ejecutar más aplicaciones en contenedores de Windows. Los contenedores HostProcess se ejecutan directamente en el host y pueden crearse en el espacio de nombres de red del host en lugar de en su propio espacio de nombres. Pero los operadores de clúster no tendrán que iniciar sesión y configurar individualmente cada nodo de Windows para tareas administrativas y de mantenimiento de Windows; simplemente pueden implementar políticas de gestión en clústeres como cualquier otra política de contenedor.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Centros de Datos, allí encontraras muchos artículos similares a Windows Server 2022: Mejoras en seguridad , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados