Annunciato in anteprima pubblica ad Ignite 2021 e rilasciato silenziosamente il giorno 1 settembre, è arrivato Windows Server 2022. In questo articolo andremo ad analizzare le principali innovazioni del nuovo sistema operativo per server di casa Microsoft. Sicuramente il grande tema di Windows Server 2022 è la sicurezza, uno di quegli ambiti che deve rimanere costantemente al passo per contrastare efficacemente gli attacchi informatici sempre più frequenti.
Quali sono quindi le principali novità?
Novità sulla nuova edizione di Windows Server
- Oltre alle classiche edizioni Standard e Datacenter, Windows Server 2022 affianca una terza versione chiamata “Datacenter: Azure Edition“. Questa edizione può vantare funzionalità aggiuntive rispetto alle altre edizioni, ma è supportata solo sul cloud di Azure oppure su Azure Stack HCI. Azure Stack HCI è una versione di Windows Server che può essere eseguita direttamente sul proprio hardware, con Hyper-Converged Infrastructure (HCI) in modo che l’archiviazione sia condivisa tra i nodi usando Storage Spaces Direct (S2D). Questa versione del server Windows è una versione in abbonamento mensile soggetta costantemente a regolari aggiornamenti.
- Microsoft ha deciso di abbandonare le versioni semestrali di Windows Server e, a partire da Windows Server 2022, è disponibile un unico canale di rilascio principale, il Long-Term Servicing Channel (LTSC). Con il LTSC viene rilasciata una nuova versione principale di Windows Server ogni 2-3 anni e il supporto è garantito per i canonici 10 anni. Il Semi-Annual Channel (SAC), disponibile nelle versioni precedenti di Windows Server, era idoneo per containers e microservizi, che continueranno ad essere pienamente supportati ed ampliati su Azure Stack HCI (HyperConverged Infrastructure), piattaforma di virtualizzazione ibrida operante su hardware certificato.
- Le due opzioni di installazione “Desktop Experience” e “Server Core rimangono invariate. Sulla versione Desktop Experience si può notare che il desktop include ancora il vecchio menu Start, quindi Windows Server 2022 non è una controparte di Windows 11 ma di Windows 10 21H2. Microsoft Edge è incluso in Windows Server 2022, sostituendo di fatto Internet Explorer.
Innovazioni sulla Sicurezza
Microsoft continua a dimostrarsi particolarmente sensibile nei confronti di uno scenario sempre più critico per quanto concerne gli aspetti legati alla cybersecurity; gli attacchi informatici sono sempre più sofisticati quindi è importante garantire una sicurezza multilivello per contrastare efficacemente le minacce avanzate e fornire la protezione completa di cui i server hanno bisogno oggigiorno.
Secured Server-Core
Microsoft ha preso la tecnologia incorporata nei PC Secure-Core espandendola alla piattaforma server. Gli attacchi al firmware sono in aumento ed è importante avere una forte garanzia che l’hardware sottostante sia sicuro. Un server Secured-core utilizza funzionalità hardware, firmware e driver per abilitare le funzionalità di sicurezza avanzate di Windows Server 2022.
I componenti di Secure-Core forniscono infatti una serie di strumenti, a partire dal Trusted Platform Module 2.0, responsabile dell’archiviazione delle informazioni di sicurezza come ad esempio le chiavi Bitlocker, e dal Secure Boot che si occupa di controllare le firme del software di avvio del sistema, come il firmware UEFI e il sistema operativo, per evitare la presenza di eventuali software malevoli. I processori server Secured-core supportano la misurazione e la verifica dei processi di avvio con la tecnologia Dynamic Root of Trust for Measurement (DRTM) e l’isolamento dell’accesso dei driver alla memoria con la protezione Direct Memory Access (DMA).
Interessante è anche il componente basato sulla sicurezza (VBS) , che utilizza la virtualizzazione hardware di Hyper-V per contrastare gli attacchi alle credenziali utente e verificare la validità dei certificati dei driver.
Ognuna di queste aggiunte contribuisce a una piattaforma hardware affidabile ma è lecito domandarsi quanti dei server che si eseguono nella propria infrastruttura siano effettivamente server fisici; se si possiede un cluster Hyper-V e si eseguono ad esempio Domain Controller e server SQL virtualizzati, queste non saranno mai completamente protette come i Server Secure-Core nonostante alcune funzionalità siano comunque disponibili anche per le VM.
Connettività sicura
Le connessioni sicure sono al centro dei sistemi interconnessi di oggi.
– HTTPS e TLS 1.3 abilitati per impostazione predefinita
Transport Layer Security (TLS) 1.3 è l’ultima versione del protocollo di sicurezza più diffuso di Internet, che crittografa i dati per fornire un canale di comunicazione sicuro tra due endpoint. HTTPS e TLS 1.3 sono ora abilitati per impostazione predefinita su Windows Server 2022, proteggendo i dati dei client che si connettono al server. Elimina gli algoritmi crittografici obsoleti, migliora la sicurezza rispetto alle versioni precedenti e mira a crittografare il più possibile l’handshake.
Ma TLS non è univoco per Windows Server 2022. È disponibile anche in Windows 10 1903 e nelle versioni successive, presumibile quindi che Microsoft eseguirà il backport di TLS 1.3 a Windows Server 2019 e chisssà anche al 2016
– DNS sicuro: richieste di risoluzione dei nomi DNS crittografate con DNS-over-HTTPS
Il client DNS in Windows Server 2022 ora supporta DNS-over-HTTPS (DoH) che crittografa le query DNS utilizzando il protocollo HTTPS. Questo aiuta a mantenere il traffico il più privato possibile impedendo l’intercettazione e la manipolazione dei dati DNS. Ulteriori informazioni sulla configurazione del client DNS per l’utilizzo di DoH .
– SMB: crittografia SMB AES-256 per i più attenti alla sicurezza
Windows Server ora supporta le suite crittografiche AES-256-GCM e AES-256-CCM per il protocollo di condivisione file Server Message Block (SMB). Windows negozierà automaticamente questo metodo di crittografia più avanzato quando si connette a un altro computer che lo supporta ma continua a supportare ancora AES-128 per la compatibilità di livello inferiore.
Da tenere presente che questa funzionalità, come anche quelle dei successivi punti, sono disponibili solo tra nodi di Windows Server 2022 oppure quando comunicano con client Windows 11. Le funzionalità di crittografia, ad esempio, negozieranno ciò che ciascuna macchina supporta e ricadranno su crittografie di livello inferiore in presenza di edizioni meno recenti, quindi per garantire davvero che tutto il traffico sia protetto al massimo livello è necessario che tutti i server/client siano aggiornati
– SMB: controlli di crittografia SMB est-ovest per le comunicazioni del cluster interno
I cluster di failover di Windows Server ora supportano il controllo granulare della crittografia e della firma delle comunicazioni di archiviazione intra-nodo per i volumi condivisi cluster (CSV) e il livello del bus di archiviazione (SBL).
Ciò significa che quando si utilizza Storage Spaces Direct, è possibile decidere di crittografare o firmare le comunicazioni est-ovest all’interno del cluster stesso per una maggiore sicurezza.
– SMB Direct e crittografia RDMA
SMB Direct e RDMA forniscono un’infrastruttura di rete a bassa latenza e larghezza di banda elevata per carichi di lavoro come Storage Spaces Direct, Storage Replica, Hyper-V, Scale-out File Server e SQL Server. SMB Direct in Windows Server 2022 ora supporta la crittografia. Mentre in precedenza, l’abilitazione della crittografia in SMB disabilitava il posizionamento diretto dei dati influendo pesantemente sulle prestazioni, ora i dati sono crittografati prima del posizionamento, influendo meno sulle prestazioni, ma aggiungendo la privacy dei pacchetti protetti AES-128 e AES-256.
Altra funzionalità interessante è la compressione SMB che ora può essere abilitata sul server, sul client, sulla condivisione o anche solo su singole copie di file (utilizzando Robocopy e /compress); la compressione, a spese di un utilizzo della CPU leggermente superiore, riduce notevolmente la larghezza di banda della rete utilizzata. Per i file con spazio comprimibile, come ad esempio un file VHD, il risparmio di tempo può essere enorme!
– SMB su QUIC (SOLO per DATACENTER: Azure Edition)
Usando SMB sul protocollo QUIC, basato su UDP, insieme a TLS 1.3, gli utenti e le applicazioni possono accedere ai propri file server su SMB in modo sicuro senza aver più bisogno di una VPN per accedere da Windows. Questa funzionalità è supportata solo nella versione Datacenter: Azure Edition ed è utilizzabile solo con dispositivi Windows supportati per utilizzare QUIC anzichè il protocollo TCP.
Quindi, in sostanza, SMB su QUIC è disponibile solo per un file server eseguito nella versione Datacenter: Azure Edition e solo se ci si connette da un client Windows 11. Questo è abbastanza limitante, vedremo se in futuro questa funzionalità, attualmente in preview, verrà estesa anche per le altre edizioni di Windows Server 2022.
Miglioramenti della piattaforma applicativa
Diversi sono i miglioramenti che Windows Server 2022 porta in ambito applicativo, tra i principali troviamo:
- Compatibilità delle applicazioni e l’esperienza Windows container con Kubernetes.
- La riduzione delle dimensioni dell’immagine Windows Container fino al 40%, che porta ad avere un tempo di avvio più veloce del 30% e delle prestazioni migliori.
- Possibilità di eseguire le applicazioni che dipendono da Azure Active Directory con group Managed Services Accounts (gMSA) senza dover aggiungere al dominio i tuoi host di container. E’ possibile inoltre mantenere virtualmente il loro fuso orario, senza dover corrispondere all’host, il che è importante per servizi distribuiti a livello globale.
- Supporto da parte dei Windows Container del Microsoft Distributed Transaction Control (MSDTC) e del Microsoft Message Queuing (MSMQ).
- Semplificazione dell’esperienza dei Windows Container in ambito Kubernetes, tra i quali: supporto per gli host-process container per la configurazione dei nodi, IPv6 e l’implementazione delle policy di rete con Calico.
- Oltre ai miglioramenti della piattaforma, Windows Admin Center è stato aggiornato per semplificare la containerizzazione delle applicazioni .NET; una volta che l’applicazione si trova in un container, è possibile ospitarla in un Azure Container Registry per poi distribuirla in altri servizi di Azure, incluso Azure Kubernetes Service (AKS).
- Supporto di applicazioni business-critical su larga scala, come ad esempio SQL Server, che richiedono fino a 48 TB di memoria e 2.048 core logici in esecuzione su 64 socket fisici. Il Confidential computing Intel Secured Guard Extension (SGX) disponibile sui processori Intel Ice Lake offre un miglioramento nell’ambito della sicurezza delle applicazioni, isolandole l’una dall’altra tramite la protezione della memoria.
Innovazioni Funzionalità Ibride
La nuova versione di Windows Server semplifica l’estensione dei datacenter ad Azure in maniera efficace e flessibile senza comprometterne l’agilità.
– I server abilitati per Azure Arc consentono di gestire i server fisici e le macchine virtuali Windows e Linux ospitati all’esterno di Azure, sulla rete aziendale o su un altro provider cloud. Questa esperienza di gestione è progettata per essere coerente con la modalità di gestione delle macchine virtuali native di Azure. Quando una macchina ibrida è connessa ad Azure, diventa una macchina connessa e viene trattata come una risorsa in Azure. Per offrire questa esperienza con i tuoi computer ibridi, è necessario installare l’agente di Azure Connected Machine su ogni computer.
– L’hotpatch, è un nuovo modo per installare gli aggiornamenti nelle macchine virtuali (VM), che non richiede un riavvio dopo l’installazione. Questa funzionalità è supportata solo nella versione Azure Edition di Windows Server e offre i seguenti vantaggi:
- Riduzione dell’impatto dei carichi di lavoro con un minor numero di riavvii
- Distribuzione più rapida degli aggiornamenti, l’installazione è più veloce in quanto i pacchetti sono più piccoli e l’orchestrazione delle patch con Azure è più semplice
- Migliore protezione, poiché i pacchetti di aggiornamento di Hotpatch hanno come ambito gli aggiornamenti di sicurezza di Windows che si installano più velocemente senza riavviare
– I miglioramenti apportati a Windows Admin Center per la gestione di Windows Server 2022 includono funzionalità per segnalare lo stato corrente delle funzionalità di Secured-Core citate in precedenza e, se applicabile, consentire ai clienti di abilitare le funzionalità.
Ma non solo, tutto ruota attorno alla nuova versione di Windows Admin Center che di fatto è destinato sempre di più a soppiantare Server Manager: è possibile verificare la compatibilità delle applicazioni, installare aggiornamenti, aggiungere ruoli e sfruttare i servizi ibridi di Azure tramite una sola console di gestione. Se non hai mai sentito parlare di Windows Admin Center, dai un’occhiata al nostro precedente articolo!
Conclusioni
Microsoft dimostra come il voler portare innovazioni verso il cloud non escluda la continuità di un comparto tecnologico basato sul software locale, una crescente integrazione con il cloud costituisce certamente un passaggio obbligato, soprattutto per chi, oggi, valuta la migrazione ad un sistema operativo server fresco di rilascio.
Le novità introdotte non sono poche ma neanche così rivoluzionarie tanto da scaturirne un rilascio quasi silenzioso rispetto al clamore che poteva accompagnare l’uscita di un nuovo Windows Server qualche anno fa. I margini di innovazione per un sistema operativo server on-premises paiono sempre più ridotti, per cui è lecito aspettarsi che le nuove edizioni vadano nella direzione di rendere sempre più stabile veloce e sicuro un software che probabilmente ha raggiunto da tempo la piena maturità.
Questo non significa che non ci siano motivi per migrare, le innovazioni appena elencate lo dimostrano, ma la domanda sorge spontanea: Windows Server è ancora una priorità per Microsoft come lo era alcuni anni fa?