È ormai disponibile già da un po’ l’ultimo Sistema Operativo Server, in casa Microsoft (ad oggi), ovvero Windows Server 2022, che include nuove funzionalità per migliorare la sicurezza, l’affidabilità e l’efficienza delle operazioni IT.
Considerando le crescenti minacce alla sicurezza e il continuo aumento di attacchi informatici, Windows Server 2022 è stato progettato appositamente per garantire la sicurezza dell’infrastruttura IT end-to-end, dando modo alle aziende di eseguire i propri workload in modo sicuro, con la possibilità di sfruttare l’integrazione con il cloud ibrido ed aggiornare le loro applicazioni per soddisfare le diverse esigenze IT.
Ecco alcune delle principali novità.
Server Hardware Improvements
A livello di supporto Hardware, Windows Server 2022 è in grado di sfruttare le ultime funzionalità di sicurezza introdotte direttamente a livello di CPU, come ad esempio il processore Intel Xeon Ice Lake: SGX, acronimo di Intel Software Guard Extensions, è una tecnologia di sicurezza che consente l’esecuzione di code sicure all’interno di enclave protetti in hardware. La tecnologia SGX sarà implementata sui processori di prossima generazione Ice Lake Xeon di Intel, che offriranno funzionalità di sicurezza estese come il supporto per la crittografia avanzata ed estesa per la protezione delle informazioni sensibili e la prevenzione del furto di dati.
Miglioramenti Gestione dello Storage
L’innovazione relativamente alla gestione dello storage rappresenta uno dei principali miglioramenti sui server Windows 2022. Lato Storage Spaces e Storage Spaces Direct i principali enhancements riguardano:
REFS File Snapshot:
Con l’aggiornamento alla versione 3.9 di REFS (Resilient File System) oltre alla compressione e decompressione trasparente con algoritmo LZ14 è possibile gestire lo snapshot sul singolo file, oltre che il classico snapshot a livello di Volume. Questa funzionalità è particolarmente utile negli scenari di backup delle macchine virtuali con file VHD/VHDX
Caching avanzato & Tiering:
Ottimizzazione e miglioramento delle prestazioni della Cache lato storage (utilizzabile anche la RAM) e Tiering migliorato al fine di posizionare i dati più frequentemente acceduti sui dischi più performanti.
Nuove Funzionalità per la Sicurezza
Protezione a livello di firmware:
Il firmware viene eseguito con privilegi elevati ed è spesso invisibile alle soluzioni anti-virus tradizionali, che hanno portato a un aumento del numero di attacchi basati sul firmware. Con Windows Server 2022 e gestione associata del vendor OEM per introdurre in Hardware le funzionalità di sicurezza vengono misurati e verificati i processi di avvio con tecnologia Dynamic Root of Trust for Measurement (DRTM). Oltre a questo è possibile anche “isolare” l’accesso al driver alla memoria tramite la protezione DMA (Direct Memory Access).
Virtualization-based Security:
La VBS, ovvero la sicurezza basata sulla virtualizzazione è in grado di utilizzare la virtualizzazione hardware e l’hypervisor nativo di Windows, al fine di creare un ambiente virtuale isolato che diventa la radice di attendibilità del sistema operativo presupponendo che il kernel possa essere compromesso. Windows Server 2022 usa questo ambiente isolato per ospitare una serie di soluzioni di sicurezza, fornendo loro una maggiore protezione dalle vulnerabilità nel sistema operativo e impedendo l’uso di exploit dannosi che tentano di sconfiggere le protezioni. Virtualization-based-Security permette quindi di applicare tutta una serie di restrizioni per proteggere le risorse vitali del sistema operativo o per proteggere asset di sicurezza come le credenziali utente autenticate.
TLS 1.3 abilitato di default:
HTTPS e TLS 1.3 è ora abilitato di default all’interno di Windows Server 2022, al fine di proteggere i dati dei client che si connettono al server, eliminando algoritmi di crittografia obsoleti e migliorando la sicurezza rispetto alle versioni precedenti tramite una robusta crittografia rispetto ai messaggi di handshake che vengono scambiati per le connessioni.
SMB-Quic:
SMB over QUIC offre una sorta di “VPN” per il protocollo SMB permettendo lo sharing dei file tramite una sicurezza elevata. Il certificato del server crea un tunnel crittografato TLS 1.3 sulla porta UDP 443 anziché sulla porta TCP 445. Tutto il traffico SMB, incluso autenticazione e autorizzazione all’interno del tunnel, non viene mai esposto alla rete sottostante. Il protocollo SMB si comporta poi normalmente all’interno del tunnel QUIC, senza quindi modificare l’esperienza utente. Questa funzionalità è però ad oggi solo disponibile nella versione Azure Windows Server 2022 Datacenter Azure Edition (Non quindi On-prem)
Crittografia SMB AES-256:
Windows Server 2022 e Windows 11 introducono come suite di crittografia i robusti algoritmi di encryption AES-256-GCM e AES-256-CCM per la crittografia SMB 3.1.1. Questa funzionalità consente di evitare attacchi di intercettazione.
Improvements lato Networking
DNS-over-HTTPS:
Il client DNS presente in Windows Server 2022 supporta ora il protocollo DNS-over-HTTPS (DoH) che crittografa le query DNS usando il protocollo HTTPS. DoH consente di mantenere il traffico privato il più possibile impedendo l’intercettazione e la modifica dei dati DNS
Introduzione UDP Segmentation Offload:
Windows Server 2022 permette di implementare la UDP Segmentation Offload (USO) & UDP Receive Side Coalescing (UDP RSC) in modo da demandare al chipset della scheda di rete questo carico di lavoro, riducendo quindi il carico di lavoro della CPU.
TCP Hystart++:
TCP HyStart++ su Windows 2022 Server permette di ridurre i packet loss durante l’avvio della connessione, abbreviando anche le tempistiche di ritrasmissione.
Miglioramenti gestione Container & Hyper-V
Esistono diversi miglioramenti della piattaforma per i contenitori di Windows, tra cui la compatibilità dell’applicazione e l’esperienza di Windows Container con Kubernetes.
Alcune delle nuove funzionalità sono:
- Riduzione delle dimensioni dell’immagine del contenitore di Windows fino al 40%, che comporta un tempo di avvio più veloce del 30% e prestazioni migliori.
- Le applicazioni possono ora usare Azure Active Directory con account di Servizi gestiti (gMSA) di gruppo senza aggiungere il dominio all’host del contenitore.
- Esistono diversi altri miglioramenti che semplificano l’esperienza del contenitore Windows con Kubernetes. Questi miglioramenti includono il supporto per i contenitori di processi host per la configurazione del nodo, IPv6 e l’implementazione coerente dei criteri di rete con Calico
Versione specifica ottimizzata per il Cloud
Windows Server 2022 Datacenter: Azure Edition si basa su Datacenter Edition per distribuire un sistema operativo solo vm che consente di usare i vantaggi del cloud, con funzionalità avanzate come SMB su QUIC, Hotpatch e Rete estesa di Azure.
In sintesi, Windows Server 2022 offre nuova funzionalità di sicurezza ibrida, protezione delle password, container Windows più stabili e performanti, miglioramenti di performance, storage più efficiente e una gestione semplificata delle operazioni IT attraverso Azure Automanage.