Windows Server 2022 jde vstříc bezpečnosti i hybridním řešením

Windows Server, operační systém vydávaný Microsoftem od roku 2003, je díky přehlednému uživatelskému rozhraní a vysoké úrovni zabezpečení jedním z nejoblíbenějších operačních systémů pro uživatele napříč oblastmi podnikání i velikostmi byznysu.

S rostoucím tempem vývoje nových technologií se periodicita vydávání nových verzí systému zkracuje, a tím se zmenšuje i rozsah změn. Od příchodu Windows Serveru 2019, tři roky po zveřejnění Windows 2016, jde spíše o obohacené a vylepšené varianty posledních verzí než zcela nové systémy s přelomovými funkcemi. A přesně takový je i Windows Server 2022, neoplývá velkými novinkami, má ale několik vylepšení, které uživatele určitě potěší.

Tou nejstěžejnější oblastí je rozhodně zabezpečení – ochrana firmware a sítě, šifrování přenosů nebo bezpečné sdílení souborů třeba za použití VPN. Další zlepšení najdeme v celkovém zrychlení a usnadnění některých procesů, například handshakes, spouštění připojení ve vysokorychlostních sítích a migraci souborových serverů.

Krok kupředu udělal Microsoft i v oblasti kontejnerizace serverových aplikací, které je teď jednodušší rozdělit do jednotlivých kontejnerů. Pomocí nástroje gMSA (group Managed Service Accounts) k nim lze navíc bezpečně přistupovat pomocí Active DirectoryActive Directory (AD)Active Directory (AD) je adresářová služba od firmy Microsoft, která je postavená na protokolu LDAPvíce bez nutnosti provádět změny na hostitelském serveru aplikace. Tato funkce současně usnadňuje použití s Kubernetes.

Ochrana proti útokům na firmware

V prvé řadě se podíváme na bezpečnostní novinky. Zabezpečení operačního systému je vystavěno v několika vrstvách a začíná už od základního hardware. Servery s TPM (Trusted Platform Module) 2.0 čipem podporují bezpečné ukládání klíče BitLocker (nástroj pro šifrování disků, který je součástí Windows Serveru už od roku 2008) i dalších citlivých údajů.

Virtualizační funkce hardware lze využít k vytvoření zabezpečené oblasti paměti, která je izolovaná od samotného OS. Tento krok dokáže ochránit před celou řadou zranitelností, nejčastěji před útoky na údaje uživatelů s autorizovaným přístupem k provádění změn na serveru (tzv. credential attacks). Jedná se o tzv. Virtual Based Security, která dokáže zamězit také čím dál častějším útokům na firmware.

Šifrované spojení: SMB, DoH a TLS 1.3

Vyšší bezpečnost se v podobě lepšího šifrování projevila i v přenosových procesech. Pro sdílení přístupu přes oblíbený protokol SMB (Server Message Block) používá Windows Server 2022 kryptografické sady s pokročilejší metodou šifrování AES-256-GCM a AES-256-CCM. Automaticky jsou použity pouze v případě, že dochází k navázání spojení se zařízením, které je rovněž podporuje. V opačném případě je využito šifrování AES-128.

Vzdálený přístup Hyper-V uzlů ke storage je nyní, díky SMB, také šifrovaný. Navíc poskytuje kontrolu nad šifrováním spojení mezi uzly v rámci clusteru i nad příchozím a odchozím provozem z/do clusteru.

Kompresi SMB lze, na rozdíl od Windows Server 2019, povolit na serveru, u klienta, sdílených souborů a dokonce u kopií souborů (vzniklých pomocí funkce Robocopy). Výsledkem bude sice vyšší zapojení procesoru, ale využití šířky pásma se výrazně sníží.

DNS klient v novém systému podporuje šifrování jednotlivých DNS dotazů pomocí protokolu HTTPS, tzv. DNS over HTTPS (DoH). Jde o jednu z nejvhodnějších metod, která co do ochrany a zachování soukromí skvěle doplňuje DNSSEC – více o tomto tématu si můžete přečíst v našem článku o zabezpečení DNS.

Vedle protokolu HTTPS je pro zajištění bezpečného připojení a komunikace mezi dvěma koncovými body využita i nejnovější verze TLS (Transport Layer Security) protokolu. TLS 1.3 odstraňuje zastaralé algoritmy a šifruje co největší množství zahájených spojení.

Snadná migrace storage z Linuxu i do Azure

Funkce Storage Migration byla už součástí Windows Serveru 2012 R2. Do nejnovějšího Windows 2022 se však dostává ve vylepšené podobě. Služba umožňuje migraci nejen ze starších verzí operačního systému, ale i z Linuxu, který používá Sambu. Umožňuje též migraci z a do failover clusterů. Windows 2022 jde celkově naproti hybridním řešením, není proto překvapením, že vylepšená funkce usnadňuje sdílení dat do Azure.

V případě, že potřebujete migrovat několik souborových serverů, lze pomocí nástroje Storage Migration Service řídit orchestraci a migrovat data z několika zdrojů na různé cílové servery.

Rychlejší procesy zajišťují vylepšené protokoly UDP a TCP

Nový Windows se výrazně posunul i z hlediska výkonu. Funkce USO (UDP Segmentation Offload), přesouvá výkon potřebný k odesílání paketů na úroveň specializovaného hardware síťového adaptéru a šetří tak výraznou část procesoru. Protokol TCP HyStart++ zase eliminuje ztrátovost paketů. Obě funkce zajišťují plynulejší tok dat v síti a lepší výkon při vysoké zátěži.

Vylepšená kontejnerizace aplikací

Rozšíření pro kontejnerizaci umožňuje jednodušší vytváření kontejntejnerů pro aplikace typu ASP.NET, MSI, .NET a WebDeploy. Image kontejneru je přibližně o 1 GB menší než doposud, proto je jeho stahování rychlejší. Windows Server 2022 slibuje rovněž novou verzi Kubernetes, která podporuje spuštění několika aplikací v kontejnerech pro Windows.

Vyplatí se upgrade na Windows Server 2022?

Ze starších verzí OS se přechod na Windows Server 2022 určitě vyplatí. Uživatelé znatelně pocítí rozdíl zejména v rychlosti procesů a nových nástrojích, které jdou naproti soudobým technologickým a bezpečnostním trendům.

Nový Windows má ale co nabídnout ti těm, kteří aktuálně využívají verzi 2019. Potěší zvláště v případě, pokud zrovna připravujete svou infrastrukturu na hybridní stav.

Větší propagace Azure je totiž cílem Microsoftu. S novou verzí OS dokonce poprvé nepřichází bezplatná edice Hyper-V Serveru. Tato zpráva u uživatelů vyvolala vlnu nevole. Společnost si od tohoto kroku slibuje větší přesun lidí na Azure Stack HCI – verze Windows serveru provozovaná na vlastním hardware, za niž se odvádí měsíční poplatek a pravidelné aktualizace systému jsou v ceně.