Llegamos a ustedes gracias a:



Reportajes y análisis

Windows Server 2016: Seguridad y soporte de nube

[25/10/2016] Microsoft anunció el lanzamiento el envío a fabricación de Windows Server 2016. En este artículo, voy a peinar la oferta de productos y ofreceré mis reflexiones acerca de este nuevo sistema operativo.

Los objetivos del diseño

El equipo de Windows Server de Microsoft señala que escuchan decir a sus clientes que están siendo tirados en pocas direcciones diferentes. En primer lugar, todo el mundo está preocupado por ser atacado. El mes pasado, Yahoo confirmó que 500 millones de cuentas fueron hackeadas por lo que llamó atacantes "patrocinados por el Estado". Esta violación incluye los nombres, fechas de nacimiento, y preguntas de seguridad, tanto cifradas como no cifradas. Súper.

En segundo lugar, TI en la sombra es un problema enorme, que la nube podría haber empeorado. Si como departamento de TI no ofrece una solución de calidad de manera rápida, su usuario empresarial sacará su tarjeta de crédito y se registrará en Dropbox o algún otro servicio. Por supuesto, TI sigue siendo responsable de la seguridad de los datos y la soberanía, así que ¿cómo funciona eso con toda la responsabilidad y muy poco del control?

En tercer lugar, la nube híbrida ha llegado a medida que las organizaciones abrazan los centros de datos de otras compañías, durante al menos una parte de su carga de trabajo de producción. Por lo tanto, necesitan herramientas y sistemas operativos que hagan que la nube sea más fácil de aprovechar cuando sea necesario, pero que también conecten los recursos de la casa cuando tenga sentido o cuando, por razones de cumplimiento, no tenga otra opción.

Todos estos pilares se abordan de alguna manera en Windows Server 2016. La seguridad fue un foco grande, y gran parte de esta revisión se centrará en las características de resistencia a las violaciones y mejoras de seguridad para el sistema operativo subyacente. También se aborda las TI en las sombras, con soporte de contenedor para DevOps que sean capaces de ponerse en marcha rápidamente con soluciones de aplicaciones de estilo ágil. (Yo personalmente creo que la historia de contenedores se ha prodigado con demasiada atención, por lo que no voy a mencionar mucho sobre ello aquí en esta revisión). La nube híbrida continúa en un tambor que Microsoft ha estado aporreando durante años, y hay algunas mejoras claves en el sistema operativo referentes a la nube, particularmente alrededor de la creación de redes, de las que hablaré en profundidad.

Especificaciones mejoradas

Vamos a empezar con los números en bruto. Para ser franco, Windows Server 2016 es compatible con algunas especificaciones máximas alucinantes, que parecen extravagantes mientras escribo esto en el año 2016, pero en cuatro años todos reiremos de lo ingenuo que fuimos sobre lo que parecía una gran capacidad de memoria y procesador:

  • Hasta 24TB de memoria física por servidor (en comparación con 4TB en la 2012)
  • Hasta 512 procesadores lógicos (320 en la 2012)
  • Hasta 12TB de memoria de la máquina virtual (1TB en la 2012)
  • Hasta 240 procesadores virtuales por máquina virtual (64 en la 2012)

Curiosamente, Microsoft señala que estos requisitos máximos específicos están siendo impulsados por las necesidades internas de Azure, más que por cualquier tipo de demanda de los clientes externos o el cierre de brechas de características entre Windows Server y otros sistemas operativos. Azure está creciendo a la escala en la que el mayor problema de Microsoft no es construir centros de datos u obtener capacidad de la red, sino obtener chips para servidores. Así pues, estas necesidades de gama superior se deben principalmente a la utilización de Windows Server para ejecutar el servicio en la nube pública.

La verdadera innovación: Nano Server

Tal vez la característica más innovadora de Windows Server 2016 es la opción de instalación del servidor Nano. Nano Server es esencialmente una refactorización completa de la base de código de Windows para eliminar muchas dependencias, elementos de zona de usuario y la superficie de ataque. El resultado, dirigido a servidores en los escenarios de la nube y otras áreas de uso limitado, es "justo el suficiente del sistema operativo".

¿Qué está logrando Nano Server?

¿Por qué Nano Server? Uno de los principales objetivos del diseño fue la de reducir los reinicios. Todos los martes de parches parecen venir con reinicios requeridos. En pocas palabras, los reinicios impactan en su negocio por un par de razones. En primer lugar, en un mundo ideal, no serían necesarios los reinicios. Además, los reinicios también toman mucho tiempo; algunos servidores de aplicaciones tienen la orden de cerrarse 10, configurar las actualizaciones, reiniciarse, y luego abrir otra sesión de Windows después de la configuración del parche. Estos 10 minutos puede tener un enorme impacto en su negocio.

Otro objetivo del diseño era reducir enormemente el tamaño del propio Windows. Usted sabe que la instalación de Windows Server 2012 R2 es un asunto de varios gigabytes. Tener muchos en máquinas virtuales es agradable desde una perspectiva de la portabilidad, pero mientras más grandes sean las imágenes, más difícil será la facilidad de uso y la gestión. Las imágenes más grandes tardan mucho tiempo en instalarse y configurarse, toman demasiado ancho de banda de red para moverse de un lugar a otro, y las imágenes ocupan mucho espacio en disco.

Si hemos sido capaces de obtener imágenes pequeñas del sistema operativo, se deduce que entonces seríamos capaces de lograr una mayor densidad de máquinas virtuales. Una mayor densidad disminuye los costos y aumenta los márgenes, lo cual es un gran lugar para que TI esté actualmente.

Teniendo todo esto en mente, el equipo de Windows Server pasó por una gran reingeniería de Windows, quitando las funciones de servidor y características opcionales, la eliminación de esencialmente toda la interfaz de usuario, matando a la compatibilidad de aplicaciones de 32 bits, y moviéndolas hacia otro lugar. El resultado es un sistema operativo que proporciona una superficie de ataque muy reducida, y mucho menos dolores de cabeza de mantenimiento para aplicaciones de mayor densidad.

Roles y funciones soportadas

¿Qué se pierde en términos de funcionalidad con Nano Server? Bueno, aparte de la interfaz gráfica de usuario, tiene un menor número de cargas de trabajo compatibles. En RTM, Nano Server soportará:

  • Ejecución de las máquinas virtuales Hyper-V como anfitrión
  • Escalar los servidores de archivos
  • Agrupación
  • Servicios de Información de Internet, el servidor web de Microsoft
  • DNS
  • Windows Defender
  • TPM SIL para la seguridad mejorada basada en hardware
  • Configuración del estado deseado de PowerShell
  • .NET Core, un marco de aplicación potente pero ligero
  • ASP.NET Core, un conjunto reducido de instrucciones para ejecutar aplicaciones web en la parte superior de IIS

En particular, Nano Server viene con soporte completo de Windows, archivos .INF y .SYS se instalarán para apoyar el nuevo hardware. También obtiene agentes de System Center Virtual Machine Manager y Operations Manager, de tal manera que cuando no puede iniciar sesión y administrar realmente Nano Server de forma local, puede lograr la mayor parte de lo que tiene que hacer de forma remota.

Administrando Nano Server

Si ha estado siguiendo la dirección estratégica de Microsoft, la falta de una interfaz gráfica de usuario en el servidor Nano no le sorprenderá. La visión que tiene la compañía de los servidores es que no deben ser tratados como princesas: Si uno se comporta mal, lo elimina y reconstruye de forma remota. No inicia sesión en medio de una interfaz gráfica de usuario y tratar de buscar su camino hacia la reparación.

La interfaz de administración principal para Nano Server es PowerShell, PowerShell a través de la comunicación remota. Si se conecta a un servidor Nano localmente en la consola, básicamente obtendrá una pantalla basada en texto que le permite recuperarse de los errores graves de redes que hacen que el servidor desaparezca del cableado -puede reiniciar un adaptador, cambiar y corregir los IPs y un par de otras cosas que pueden obstruir la gestión remota. Aparte de eso, la gestión es exclusivamente a través de cualquier herramienta remota centralizada que tenga en su entorno, ya sea System Center, cualquier cosa basada en WMI, PowerShell o alguna otra.

Una nueva característica Nano Server -que no estaba en las vistas previas técnicas- es la suite de herramientas de administración del servidor, que es una aplicación de gestión remota basada en la web que ofrece a través de Microsoft Azure. Para desplegarla, es necesario instalar una máquina virtual que actúe como pasarela entre la red y la aplicación Azure. La consola basada en web va a interactuar en la red con esta pasarela, que a su vez llevará a cabo sus instrucciones de gestión a nivel local en la red.

La suite de herramientas Management Server incluye reemplazos gráficos para herramientas locales como el Administrador de tareas, el Administrador de dispositivos, otras herramientas de configuración local, 'snap-ins' de uso general de Microsoft Management Console (MMC), el Editor del Registro, el Firewall de Windows y mucho más. Funciona sobre la base de WMI y PowerShell y por lo tanto puede manejar no solo Nano Server sino también Windows Server Core, Server con Desktop Experience, e incluso volver a Windows Server 2012 y 2012 R2. El conjunto de herramientas de administración del servidor está en vista pública y se dará a conocer oficialmente a finales de este año.

El veredicto sobre Nano Server

Desde mi punto de vista, Nano Server es muy interesante desde el punto de vista técnico, pero creo que es demasiado pronto para hablar en términos de adopción popular. Para mí, Nano Server es una solución para las empresas más grandes que ya están en la nube y la hiperconvergencia, y quieren dar el siguiente paso para lograr una mayor densidad y mejor escala. O es para empresas nuevas muy pequeñas que ya han comprado el ciclo de vida DevOps y los contenedores y están en busca del sistema operativo más pequeño que puedan tener en sus manos para hacer un despliegue más fácil.

La mayoría de las empresas que conozco encontrará que Nano Server es muy limitado en su forma actual para hacer una diferencia real. Pero el ahorro en tamaño y superficie de ataque otorgadas a Nano Server por el gran esfuerzo de refactorización auguran cosas muy poderosas, cosas técnicamente astutas para Windows Server en general, en los años venideros. En resumen, vea este espacio, ya que en 10 años sospecho que todos estaremos ejecutando sistemas operativos de Nano Server.

Las actualizaciones de redes definidas por software

Una de las áreas de cambio real dentro de Windows Server 2016 es la mejora de las capacidades de redes definidas por software. ¿Qué significa eso? Se pregunta. En esencia, las redes definidas por software intentan hacer por cables, enrutadores, conmutadores y otros equipos, lo que el hipervisor le hacía a los equipos físicos -virtualizarlos y, en concreto, abstraer la capa física real. Esto significa que las conexiones y configuraciones de red se pueden cambiar sobre la marcha de una forma automática y sin encordar físicamente por cable, ni mover las aplicaciones del rack al centro de datos.

Aquí es donde un poco de experiencia con la nube, y, en particular Microsoft Azure, serán de ayuda. Cuando crea los recursos dentro de su suscripción Azure, puede hacer que estén conectados a varias redes virtuales. Estas redes pueden ser privadas -por ejemplo, conectadas únicamente a las máquinas virtuales y recursos en Azure y no accesibles al público. O pueden ser públicas, e incluso se pueden conectar a dispositivos virtuales como routers y equilibradores de carga dentro de su red virtual.

Es una red completa, pero que se define y configura a través de software, y que también se puede cambiar entre software, ya sea manualmente o por medio de secuencias de comandos automatizados, tal como con PowerShell. Estas redes virtuales son entornos limitados esencialmente para que se ejecuten en máquinas virtuales Azure, perfectamente aseguradas desde del control exterior hasta que lo permita.

Toda esa capacidad SDN en Azure se cuece ahora esencialmente en Windows Server 2016: El producto virtualiza toda la red de clientes para la agilidad de Azure. Esto incluye características para virtualizar conmutación y enrutamiento, balanceadores de carga, servidores de seguridad, puertas de enlace de borde y otros aparatos físicos. Lo que es específicamente nuevo en el año 2016 es el soporte para la encapsulación VXLAN -piense en esto como el etiquetado VLAN en los esteroides diseñados especialmente para las redes convergentes-, y el aprovisionamiento de las políticas utilizando OVSDB, un estándar del sector, como protocolo.

El controlador de red

Se inicia con el controlador de red, un punto central de la automatización dentro de su SDN. El controlador de red es el cerebro de la operación y se encuentra en medio con el fin de empujar los estados de red hacia abajo en la red para reforzarla. Lógicamente, hay un plano de gestión, donde un usuario define las políticas que desea que se apliquen. Lo que a su vez va hacia un plano de control, que distribuye esas políticas a los criterios de valoración -básicamente los dispositivos de red virtuales y sus respectivos dispositivos de red física-, y luego el plano de datos -que es sobre lo que se ejecuta el sistema operativo en los mismos puntos finales que reciben las políticas.

El controlador de red opera en el plano de gestión y control, pero a diferencia de una pasarela o un proxy u otro filtro de "transferencia", no se sienta en la ruta de datos. Esto permite que las máquinas virtuales se comuniquen entre sí directamente, debido a que las directivas se refuerzan a sí mismas en los nodos finales por su cuenta.

Modelos de conectividad para SDN en Windows Server 2016

Windows Server 2016 es compatible con varios modelos de conectividad. Estos están destinados para las empresas que tienen un modelo de implementación más avanzada -es decir, las tiendas que tienen las redes virtuales en la producción, pero que desean implementar un nivel de la carga de trabajo en la nube, por razones obvias.

Por estas tiendas, WS 2016 es compatible con los siguientes modelos:

  • Pasarelas de sitio a sitio que crean un túnel encriptado a través de Internet entre la nube y la red corporativa
  • Conectividad basada en MPLS WAN privada para aquellas empresas que no quieren hacer un túnel a través de la Internet pública
  • Azure ExpressRoute para los que tienen los recursos para crear un enlace dedicado entre su red y un centro de datos Azure

Los clientes que no ejecutan Azure pueden utilizar un túnel GRE para el proveedor de la nube pública de su elección. (Generic Routing Encapsulation es básicamente una forma estándar para envolver los paquetes dentro de un túnel de punto a punto). Es posible que dentro de la propia nube tenga los recursos que son virtualizados fuera de la red, y para los que hay puertas de enlace de reenvío que le permiten salir de su red virtual y cogerlas.

Equilibrador de carga de la nube

También nuevo en Windows Server 2016 es lo que Microsoft llama un "equilibrador de carga optimizado en la nube". En su esencia, esta nueva característica es un balanceador de carga de todo el software que se construye desde cero para satisfacer los requisitos únicos de la nube. Estos incluyen la creación y eliminación rápida de una gran cantidad de direcciones IP virtuales y bajo demanda, a medida que se añaden y se retiran huéspedes, y escalan instancias de equilibradores de carga a través de una red para eliminar los cuellos de botella, la creación dinámica de más multiplexores por los que pasa el tráfico, y su eliminación posterior a medida que cambie la demanda. Otro caso de uso podría ser la necesidad de balancear la carga de los equilibradores de carga, tanto en términos de equilibrio en todos los casos y también en el uso de la capacidad multiusuario para soportar múltiples inquilinos en la nube con un equilibrador de carga virtual.

Los nuevos softwares de equilibrador de carga satisfacen todas estas necesidades, y cuenta con la nueva tecnología de retorno directo del servidor que permite la derivación del tráfico de retorno del multiplexor después de que ha sido rooteado y equilibrado inicialmente para evitar una mayor carga.

Mejoras de seguridad con SDN

Una de las ventajas de optar por SDN es la seguridad, debido a que la virtualización de la infraestructura de red introduce capas adicionales de defensa que pueden frustrar los ataques. La primera capa es de aislamiento de red virtual; si un atacante logró penetrar la infraestructura física, pero no formaba parte de la red virtual, el ataque no procedería. Si el atacante se las arregla para vincularse a una red virtual, usted como administrador puede implementar un servidor de seguridad distribuido, así como un grupo de seguridad de la red, que son esencialmente políticas puestas en esa capa. Incluso puede inyectar dispositivos de seguridad virtuales en la red para filtrar futuros ataques, proporcionando múltiples capas de defensa de seguridad.

Windows Server 2016 es compatible con todo esto: Se puede crear un grupo de seguridad de red asociado con un grupo de máquinas virtuales -de manera que las nuevas máquinas virtuales que se agregan al grupo, heredarán automáticamente los ajustes sin mayor configuración- dicho esto, por ejemplo, solo el puerto 443 está abierto en este grupo, y solo puede comunicarse con la Internet, pero también la Internet no puede hablar con cualquier otro grupo de seguridad de la red.

Esto le permite segmentar la red dinámicamente para satisfacer las nuevas necesidades de seguridad y hacerlo sobre la marcha. (Para los fanáticos de los contenedores, tenga en cuenta que en Server 2016 también puede asociar estas políticas con criterios de valoración de contenedores). También puede crear rutas definidas por el usuario para enrutar el tráfico de los huéspedes hacia los dispositivos virtuales; así es como se puede inyectar ese dispositivo virtual en el flujo de tráfico para defenderse aún más en contra de los abusos. No tiene que cambiar estos dispositivos virtuales para trabajar con Server 2016, y todos los aparatos que funcionan en Azure pasarán a trabajar en Windows Server en las instalaciones.

Mejor aún, en el 2017, Microsoft dice que será capaz de activar el reflejo de los puertos con, el reflejo del tráfico de los huéspedes: Los paquetes de entrada y de salida en cualquier puerto de un conmutador virtual se puede reflejar hacia un dispositivo virtual, y un solo aparato tiene la capacidad para servir a múltiples puertos.

Otras mejoras menores de redes

Otras mejoras a la pila de red en Windows Server 2016 incluyen:

* Soporte para cola múltiple de máquina virtual, o VMMQ por sus siglas en inglés, para obtener un rendimiento de 40G de Ethernet directamente en una máquina virtual con casi ninguna sobrecarga. Esto funciona con clientes Windows y Linux.

* Soporte para tarjetas de red convergentes, donde el tráfico tanto de la red de datos y la red de almacenamiento pueden formar parte simultáneamente de dos NICs en lugar de cuatro NICs, como se requería antes. Ahora también puede configurar la calidad de servicio (QoS, por sus siglas en inglés) de los umbrales de rendimiento de almacenamiento de manera que, por ejemplo, una migración en vivo de una máquina virtual a 40G en el "lado de un NIC de almacenamiento convergido no disminuye la red de datos con ella.

El veredicto sobre SDN

Las redes definidas por software son, obviamente, el destino al que se dirigen las redes durante los próximos cinco a 10 años. Las mejoras en la gestión, la flexibilidad y la seguridad son demasiado difíciles de ignorar, incluso dejando de lado la dificultad en el despliegue total de la infraestructura SDN desde el principio. A medida que la nube híbrida se convierte en realidad para más y más empresas, y que las redes se vuelven más capaces y se refresca el hardware, creo que hay bondad técnica real dentro de Windows Server 2016 para ser capaz de marcar el comienzo de esta nueva era de la virtualización de la red.

Espacios de almacenamiento directo (S2D)

Los proveedores de almacenamiento, por decirlo suavemente, han estado rasgando los presupuestos de TI desde hace años, con, entre otras cosas, recintos especiales enchapados en oro para super-discos que están marcados hasta con 30x sobre el precio de venta de una unidad típica de estado sólido o disco. El movimiento hacia la nube, sin embargo, ha acentuado la necesidad de almacenamiento rápido y accesible a través de los componentes de las materias primas.

En Windows Server 2016, Microsoft está debutando espacios de almacenamiento directos. Esta función resulta un clúster de cuatro nodos -con los discos de las materias primas directamente unidos hubiera podido comprar en Best Buy si hubiera querido- en una magra máquina de almacenamiento con tolerancia a fallas y una gran cantidad de espacio, si se compra el derecho de los componentes de red.

Desde el punto de vista del hardware, para cada máquina del clúster solo necesita unidades de estado sólido regulares o unidades de disco duro de hilado, y tarjetas de red que soporten RDMA, un protocolo para aumentar el rendimiento de las operaciones de almacenamiento remoto. Solo se necesita un conmutador de red por clúster, porque todas las máquinas se conectan directamente a la misma.

Ponga todo eso junto en un clúster de cuatro nodos, y luego utilice un sistema de PowerShell muy simple -literalmente un par de cmdlets para crear y luego agregar nodos al clúster de almacenamiento- y ver como Windows Server 2016 automáticamente nota que unidades tiene, configura el almacenamiento y caché en frío, y ordena los datos para una máxima tolerancia ante las fallas.

A medida que agrega nodos, solo tiene que ejecutar un cmdlet de PowerShell y Windows hará todo el trabajo pesado, añadiendo la capacidad de almacenamiento por sí mismo. También existen herramientas sencillas de gestión integradas, por lo que puede intercambiar unidades en caliente para hacer reparaciones sin cerrar todo el clúster. Lo mejor de todo, se desempeña con brillantez -Intel acaba de lanzar una configuración de referencia que ha alcanzado un millón de operaciones I/O por segundo.

Si busca el reinicio de una SAN, o si está en el mercado en busca de más capacidad de disco, entonces hágase un favor y dele un vistazo a los espacios de almacenamiento directo.

El endurecimiento de Windows Server en caso de incumplimiento

Es un hecho: los ataques de los hackers han evolucionado con el tiempo. Comenzaron, en términos generales, con scripts poco sofisticados en su juventud, y luego se transformaron en crimen organizado cuando las TI se hicieron algo común en el mundo empresarial. Recientemente, con las revelaciones de Edward Snowden y el complejo malware que se encuentra ahí afuera, nos encontramos con que ahora los estados y los grupos terroristas que son muy sofisticados y con buenos recursos, están implicados en los ataques.

A medida que los ataques han evolucionado, una cosa ha permanecido igual: El perímetro de seguridad que le importaba, y que era el límite de la red. El salvaje oeste de la Internet al otro lado del firewall no era de confiar, y la red que ejecuta dentro de los límites (relativamente) seguros de su servidor de seguridad, se componía de buenos chicos con buenas máquinas que hacían poco daño. Utiliza VPNs en su red corporativa desde el exterior para acceder a recursos seguros, y si no estaba en el campus y sin VPN, sus recursos de TI eran invisibles. Simplemente desaparecieron, quedando fuera de su acceso.

A medida que la tecnología ha madurado, el límite de la red ya no es el perímetro que realmente importa. Con características como DirectAccess, Outlook Anywhere, la publicación de servidores, servidores proxy inversos y más, en un entorno corporativo que está configurado adecuadamente, ahora se puede acceder a todo con SSL y tal vez con la autenticación de dos factores. El borde que realmente importa, el perímetro que tenemos que asegurar en esta generación, es en realidad la identidad. Más específicamente, la identidad del administrador.

La mayoría de los ataques de estos días implican, de alguna manera, abusar y mal utilizar los privilegios administrativos. Incluso puede comenzar con la recolección de credenciales de gama baja y luego una escalada de ataques para tratar de seguir aumentando el privilegio de usuario normal "peón" a administrador. El hecho es que seguimos viviendo en un mundo de sistema operativo donde hay un solo usuario, el administrador, quién puede acceder (léase: comprometer) todos los activos dentro de ese sistema.

Cuando se habla de uno o dos sistemas es un mal resultado -pero no un desastre. Pero ahora la virtualización nos ha traído sistemas que ejecutan otros sistemas simples como archivos en el disco, y eso significa que el administrador del host puede comprometer a todos los invitados. Por otra parte, la virtualización nos ha traído la nube, donde tenemos varios hosts que ejecutan decenas o cientos de invitados; e incluso los huéspedes representan diferentes organizaciones, si está en la capacidad multiusuario. Un administrador en el tejido de la nube puede comprometer a todos los invitados, y cuando se trata de la nube pública, el límite de confianza entre los inquilinos y los proveedores de servicios es frágil.

La protección de la capa de virtualización que subyace en los centros de datos y nubes privadas y públicas, implica proteger el acceso a máquinas de metal desnudo. Con administradores físicos de nuevo, solo el administrador del servidor lo tiene -mal, sin duda, pero más limitado. Con las máquinas virtuales, el administrador del servidor, administrador de almacenamiento, administrador de la red, el operador de copia de seguridad y administrador de capa, tienen acceso, porque son soo un par de archivos. Ahí es de donde vienen las máquinas virtuales blindadas.

Máquinas virtuales blindadas

La tecnología de máquinas virtuales blindadas significa que únicamente el administrador de las MV tiene acceso a la propia máquina virtual para que la pueda subir a un proveedor de hosting que no necesariamente es de su confianza. Literalmente, evita que las MV salgan por la puerta, incluso si es un administrador completo; porque en reposo, una máquina virtual blindada no es más que una mancha cifrada.

Cuando Hyper-V intenta encender la máquina virtual blindada, la MV busca su estructura local -la estructura de huésped que se ha configurado específicamente para ser confiable-; y si no encuentra la estructura de confianza, la mancha no se descifra y la máquina virtual simplemente no se ejecuta. Esta función requiere servidores con módulos de plataforma de confianza, TPM por sus siglas en inglés, porque ahí es donde se almacenan los tokens y claves para asegurar y desbloquear. Los TPM son módulos de plataforma de confianza, una pequeña mochila de hardware conectada a una placa base dentro de la computadora que almacena información de cifrado de forma segura.

La MV blindada también requiere Host Guardian Service, que mide y desmenuza todo el proceso de arranque de los servidores con el fin de asegurarse que sean consistentes entre sí, evitando que el malware se inserte en un sistema previamente asegurado.

La MV blindada vigila la integridad del código y la estructura de la máquina virtual, de modo que solo los procesos que están en la lista blanca pueden ejecutarse. El servicio da fe de la salud en general de la estructura de acogida, y solo cuando se cumple libera las claves necesarias para descifrar y arrancar (o migrar) una máquina virtual blindada. Como se puede ver, las máquinas virtuales blindadas esencialmente resuelven el problema de la administración fraudulenta en el contexto de la infraestructura virtualizada.

Para crear una máquina virtual blindada primero se crean datos de blindaje, que en esencia es un nudo cifrado de secretos creados en una estación de trabajo de confianza. Se compone de credenciales administrativas, credenciales de RDP, y un catálogo del volumen de la firma que previene poner malware en el disco plantilla desde donde se crearán las futuras MV blindadas. Esto ayuda a validar el hecho que la plantilla no se ha modificado desde su creación.

Como era de esperar en Windows, hay un asistente para todo eso, tanto la creación de los datos de blindaje, así como el disco de plantilla protegido.

Una vez que la MV blindada ha sido creada, está protegida principalmente por el cifrado BitLocker. Y con las MV Generación 2 -un requisito para utilizar la tecnología de blindaje- Hyper-V crea un TPM virtual fuera del área accesible del hipervisor en el que asegura y libera las claves de cifrado. El TPM virtual de la MV blindada no tiene ninguna relación con el hardware TPM del huésped, ya que el TPM virtual tiene que ser capaz de moverse con la máquina virtual en el caso de una migración en vivo.

Algunas notas sobre esto:

Tiene que utilizar RDP para conectarse a una máquina virtual blindada debido a que la MV blindada ha suprimido su consola de soporte, para que el administrador de estructuras no pueda acceder a la máquina virtual a través del teclado y el mouse del host. Esto significa que la MV blindada tendrá que ser accesible a la red en todo momento. Si cae fuera de la red por alguna extraña razón, existe un proceso mediante el cual se crea una máquina virtual anidada que no está blindado y ejecuta algunos scripts para "anclar" la MV blindada defectuosa para que pueda conectarse a la MV no blindada, y hacer un "túnel "a través de la máquina virtual blindada. Pero es una solución torpe y necesita mucho trabajo para que sea fácil de administrar.

Tiene que comprar la edición Datacenter de Windows Server 2016 para hacer que funcionen las MV blindadas. No hay ningún mecanismo para hacer esto en la edición estándar. Además, Nano Server es compatible como MV blindada, y de hecho es el método recomendado por Microsoft.

Los únicos sistemas operativos que pueden operar dentro de las máquinas virtuales blindadas son Windows 8, Windows Server 2012, Windows Server 2012 R2 y Windows Server 2016. Esto debido a que tiene que tener una máquina virtual Generación 2 para hacer todo este trabajo. No está claro si Microsoft planea habilitarlo para versiones anteriores de Windows.

La protección de las credenciales y acceso privilegiado

Windows Server 2016 introduce una serie de características, aparte de las máquinas virtuales blindadas, que están diseñadas para proteger aún más las identidades -especialmente credenciales administrativas. Está la llamada 'Guardia de credenciales', que impide los ataques mediante la protección de las credenciales almacenadas a través de la seguridad basada en la virtualización. También está la 'Guardia de credenciales remota', que básicamente hace lo mismo a través de RDP, utilizando un inicio de sesión único. En tercer lugar, para proteger el sistema operativo en las instalaciones o en la nube, la 'Guardia de dispositivos' permite los binarios ejecutables para asegurar que solamente las listas blancas se puedan ejecutar -no solo después de que se inicie Windows, sino desde el momento en que se inicia el sistema operativo.

Por último, hay características dentro de PowerShell, y soportadas por Windows Server 2016, llamadas 'Administración suficiente JEA' y 'Administración a tiempo JITA', que reduce operacionalmente la propiedad y duración de los privilegios. La combinación de JITJEA (pronunciado yit-yi-ah, por sus siglas en inglés) proporciona un acceso privilegiado a través de un flujo de trabajo que es auditado y limitado en el tiempo; por lo que es, literalmente, suficiente privilegio para hacer su trabajo solo por el tiempo necesario. Tras ello, vuelve a ser un usuario normal.

Además, Microsoft finalmente añadió anti-malware (Windows Defender) para Windows Server 2016. En lugar de poner un programa como Symantec o Trend en sus servidores y enseñarles a que detengan el escaneo de almacenes de bandejas de entrada, y así sucesivamente; ahora puede elegir confiar en Windows Defender y sus nociones pre-programadas de cargas de trabajo para la protección anti malware.

El veredicto sobre la resistencia a la violación

Es claro para mí que Microsoft ha hecho un gran esfuerzo de pensar y tejer estrategias para asegurar todas las capas del ecosistema de Windows Server, desde el host o huésped, a la identidad de la red y hasta la estructura de la nube. Las máquinas virtuales blindadas es una característica que valdrá la pena por el precio inicial para muchas organizaciones que ignoran todo lo demás del producto. Hay algunos muy buenos trabajo aquí.

La última palabra

Hay mucho que ver en Windows Server 2016; Muchas cosas han cambiado desde Windows Server 2012, la última actualización importante del sistema operativo. He cubierto los puntos altos en esta revisión, pero hay mucho más que no he discutido, incluyendo mejoras en el clúster, contenedores de Windows Server y Hyper-V, las mejoras introducidas para que Linux se ejecute como un ciudadano de primera clase como invitado en Hyper-V, y mucho más. En Redmond han estado muy ocupados, y hay mucho valor en este lanzamiento desde un punto de vista técnico. Esta es la mejor versión de Windows Server hasta la fecha, por un margen bastante amplio, diría yo.

Por supuesto, la propuesta de valor para usted dependerá obviamente en cuánto le cuesta licenciar a su empresa. Windows Server cuenta ahora con licencias por núcleo y los enormes aumentos de precios publicitados a finales del año pasado son efectivos en la actualidad.

Para las grandes tiendas de nubes híbridas, con acuerdos de licencia de empresas que ya están establecidos, desplazarse hasta Windows Server 2016 es algo obvio. Para las empresas financieras y las que tienen grandes preocupaciones de seguridad, la característica de establecer máquinas virtuales blindadas del sistema operativo, podrían hacer que sea una compra obligada, haciendo que todas las otras mejoras se conviertan en la guinda del pastel.

Para las empresas más pequeñas, los muy modestos cambios en las funciones esenciales y el resto de las mejoras en el año 2016 no representan una mejora enormemente convincente, sobre todo por el dinero. Para las empresas medianas, el cálculo de números es realmente importante: ¿Se puede ahorrar dinero desechando una vieja red de área de almacenamiento, e implementando espacios de almacenamiento directo? (Probablemente). ¿Trasladará la carga de trabajo a la nube? ¿Tiene los recursos para desplegar SDN? Un sí a cualquiera de estas preguntas y está viviendo en un mundo que sería materialmente mejor con Windows Server 2016.

En última instancia, Microsoft ha hecho un buen trabajo al escuchar a los clientes, impulsando la innovación en un producto que pasa duras pruebas a diario en un enorme servicio en la nube pública, y al poner esta tecnología en una forma que sea lo suficientemente flexible como para adaptarse a una variedad de operaciones. En este lanzamiento existen herramientas para ahorrar tiempo y dinero, y mejorar su postura de seguridad sin mucho esfuerzo.

Yo recomiendo Windows Server 2016.

Puede ver también: