Il nuovo sistema operativo Windows Server 2022 ha introdotto una nuova edizione speciale dedicata agli ambienti Azure, in grado di offrire funzionalità specifiche non disponibili nelle classiche edizioni Standard e Datacenter. In questo articolo vengono riportate le caratteristiche disponibili in questa edizione che consentono di indirizzare al meglio alcuni scenari in ambienti cloud.

Innanzi tutto, l’edizione Datacenter Azure di Windows Server 2022 è supportata esclusivamente nei seguenti ambienti:

• Azure IaaS
• Azure Stack HCI (21H2)

Windows Server 2022 Datacenter Azure Edition include tutte le funzionalità della versione Datacenter, in più offre le funzionalità descritte nei paragrafi seguenti, non disponibili al di fuori di questi ambienti.

Azure Extended Networking

Si tratta di una funzionalità progettata per risolvere la sfida di spostare le applicazioni ed i workload in esecuzione in ambiente on-premises nel cloud, quando è richiesto di mantenere gli stessi indirizzi IP associati alle macchine virtuali. Azure Extended Networking consente infatti di estendere in Azure una subnet esistente on-premises per permettere alle macchine virtuali di mantenere gli stessi indirizzi IP privati. Tutto ciò è reso possibile grazie al fatto che la rete viene estesa utilizzando un tunnel VXLAN bidirezionale tra due macchine virtuali Windows Server 2022 che ricoprono il ruolo di virtual appliance.

Una virtual appliance deve essere in esecuzione in ambiente on-premises, mentre l’altra deve essere in esecuzione nel cloud e deve avere la Datacenter Azure Edition. Ogni subnet da estendere richiede la presenza di una coppia di queste virtual appliance. In questo modo è possibile mantenere i propri indirizzi IP privati in uso nell’ambiente on-premises anche in Azure e il tutto funziona in modo trasparente per gli applicativi. A questo proposito è bene specificare che è opportuno utilizzare questa funzionalità solo in scenari dove non risulta possibile procedere diversamente. Infatti, se possibile è sempre meglio modificare l’indirizzo IP e connettere direttamente i sistemi migrati a subnet esistenti in Azure. Questo tipo di configurazione può essere fatta utilizzando la procedura riportata nella documentazione ufficiale Microsoft, che prevede la presenza di Windows Admin Center connesso ad Azure.

SMB over QUIC

QUIC è un protocollo standard progettato per fornire una connessione affidabile su reti non sicure, come Internet. Infatti, QUIC utilizza un tunnel crittografato TLS 1.3 sulla porta UDP 443. Con SMB over QUIC tutto il traffico SMB, compreso il processo di autenticazione e di autorizzazione, rimane sempre all’interno di questo tunnel e non viene mai esposto sulla rete. In questo scenario SMB si comporta in modo standard all’interno del tunnel, pertanto l’esperienza utente e le capacità rimangono invariate. SMB over QUIC in Windows Server 2022 Datacenter Azure Edition utilizza la versione aggiornata del protocollo SMB (versione 3.1.1). Utilizzando SMB over QUIC, gli utenti e le applicazioni possono accedere in modo sicuro e affidabile ai dati presenti sui file server in esecuzione in ambiente Azure oppure ai file server dislocati negli edge, senza dover adottare delle connessioni VPN. Per maggiori dettagli è possibile consultare la documentazione ufficiale Microsoft.

Hotpatch di Azure Automanage

La funzionalità Hotpatch, parte di Azure Automanage, risulta supportata in Windows Server 2022 Datacenter: Azure Edition. Al momento il supporto è per le installazioni effettuate in modalità Core, ma verrà in futuro esteso anche per le installazioni Desktop. L’hotpatching è un nuovo meccanismo, utilizzato per installare gli aggiornamenti sulle macchine virtuali Windows Server Azure Edition, che consente di ridurre i riavvi necessari per l’installazione degli aggiornamenti.

Azure Automanage permette di orchestrare l’installazione di patch di sicurezza on top ad un Cumulative Update, che viene rilasciato ogni tre mesi. Il Cumulative Update richiede un riavvio del sistema, ma le patch di sicurezza rilasciate tra i Cumulative Update possono modificare il codice in esecuzione in memoria senza la necessità di dover riavviare la macchina.

Per maggiori informazioni riguardanti questa funzionalità è possibile consultare la specifica documentazione Microsoft.

Conclusioni

Grazie a queste funzionalità, pensate per ambienti ibridi e totalmente integrate nel sistema operativo, Windows Server 2022 consente di aumentare notevolmente l’efficienza e l’agilità. Per scoprire tutte le novità introdotte in Windows Server 2022 è possibile consultare questa serie di articoli.

Il nuovo sistema operativo Windows Server 2022, basato sulle solide fondamenta del predecessore Windows Server 2019, apporta numerose innovazioni in ambito sicurezza, nell’integrazione e nella gestione ibrida in ambiente Azure, e come piattaforma applicativa. L’articolo si divide in due parti, nella prima parte sono state trattate le edizioni disponibili, le funzionalità per gli ambienti ibridi e gli aspetti legati alla piattaforma applicativa. In questa seconda parte vengono riportate le principali caratteristiche del nuovo sistema operativo server in ambito sicurezza e storage, ma non solo.

Sicurezza

Windows Server 2022 combina diverse funzionalità di sicurezza in aree differenti per fornire una protezione multilivello avanzata in grado di contrastare efficacemente le sempre più sofisticate minacce di security.

Secured-core server

Windows Server 2022 rientra nel programma Secured-Core di Microsoft. Tale programma è stato inizialmente lanciato con partner hardware per PC per poi estendersi anche all’ambito server. Secured-core offre una sicurezza trasversale su hardware e firmware, integrata nelle funzionalità del sistema operativo, in grado di aiutare a proteggere i server da minacce avanzate.

Utilizzando una combinazione di funzionalità in ambito identity, virtualizzazione, sistema operativo e difese hardware, i server Secured-Core offrono protezione sia a livello hardware sia a livello software. Insieme a Windows Defender System Guard, integrato in Windows Server 2022, i server Secured-Core permettono alle organizzazioni di avere garanzie sull’integrità del sistema operativo e verifiche per aiutare a prevenire attacchi ai firmware.

Secured-core server si basa su tre pilastri fondamentali:

• Sicurezza semplificata: quando si acquista hardware da un OEM per server Secured-core, si ha la certezza che il vendor fornisce un set hardware dotato di firmware e di driver in grado di soddisfare la promessa Secured-core. Inoltre, l’esperienza di configurazione di Windows Server sarà semplice e l’abilitazione delle funzionalità di sicurezza di Secured-core può avvenire direttamente da Windows Admin Center.
• Protezione avanzata contemplando le seguenti aree:
  • Root-of-trust hardware (TPM 2.0 come standard)
  • Firmware protection
  • Virtualization-based security (VBS)
• Difesa preventiva: l’abilitazione della funzionalità Secured-core aiuta a difendersi in modo proattivo ed a interrompere molti dei percorsi che gli aggressori possono utilizzare per compromettere un sistema.

Connettività sicura

Per aumentare il livello di sicurezza nelle comunicazioni, in Windows Server 2022 sono state introdotte le seguenti novità:

• Trasporto: HTTPS e TLS 1.3 abilitati di default
• DNS sicuro: richieste di risoluzione dei nomi DNS crittografate con DNS-over-HTTPS
• Server Message Block (SMB): introdotto il supporto alla crittografia AES-256 per il protocollo SMB
• SMB: controlli di crittografia SMB est-ovest per le comunicazioni interne dei sistemi cluster. I failover cluster ora supportano il controllo granulare della crittografia e della firma delle comunicazioni intra-nodo per i Cluster Shared Volumes (CSV) e per lo storage bus layer (SBL). Ciò significa che quando si utilizza Storage Spaces Direct, è possibile decidere di crittografare o firmare le comunicazioni est-ovest all’interno del cluster stesso per una maggiore sicurezza.
• SMB over QUIC. QUIC è un protocollo standard progettato per fornire una connessione più affidabile su reti non sicure, come Internet. QUIC utilizza un tunnel crittografato TLS 1.3 sulla porta UDP 443. All’interno di questo tunnel tutto il traffico SMB, compreso il processo di autenticazione e autorizzazione, non viene mai esposto sulla rete e SMB si comporta in modo del tutto normale offrendo le solite capacità. SMB over QUIC in Windows Server 2022 Datacenter: Azure Edition utilizza la versione aggiornata del protocollo SMB (versione 3.1.1). Utilizzando SMB over QUIC insieme a TLS 1.3, gli utenti e le applicazioni possono accedere in modo sicuro e affidabile ai dati presenti sui file server in esecuzione in ambiente Azure, senza dover adottare delle connessioni VPN.

Innovazioni in ambito Storage

In ambito storage Windows Server 2022 porta le seguenti novità:

• Storage Migration Service: diversi sono i miglioramenti che riguardano questo servizio, utili per semplificare le migrazioni storage sia verso Windows Server sia verso Azure, tra i quali:
  • Migrazione utenti e gruppi locali verso il nuovo server.
  • Migrazione dello storage tra failover cluster, e migrazione tra server standalone e failover cluster.
  • Migrazione storage da server Linux che utilizzano Samba.
  • Sincronizzazione più semplice delle share migrate con Azure, usando Azure File Sync.
  • Migrazione più semplice verso nuovi ambienti, come Azure.
  • Migrazione dei server NetApp CIFS da array NetApp FAS verso server e cluster Windows.
• In Storage Space Direct viene introdotta la nuova funzionalità User adjustable storage repair speed che offre un maggiore controllo sul processo di resync dei dati allocando risorse per riparare le copie dei dati (resilienza) oppure per eseguire workload attivi (prestazioni).
• SMB compression: grazie a miglioramenti lato SMB in Windows Server 2022 e Windows 11 è possibile comprimere i file durante il trasferimento in rete, ottenendo così dei benefici nei tempi di trasferimento.
• Storage bus cache è disponibile anche per server standalone. Questa funzionalità può migliorare significativamente le prestazioni di lettura e scrittura, mantenendo elevata l’efficienza dello storage e bassi i costi operativi. Così come avviene nella sua implementazione per Storage Spaces Direct, questa funzione unisce i supporti più veloci (ad esempio, NVMe oppure SSD) con i supporti più lenti (ad esempio, HDD) per creare tier differenti. Una parte del media più veloce viene riservata alla cache.

Ulteriori nuove funzionalità

Oltre agli aspetti trattati nei paragrafi precedenti sono state annunciate le seguenti funzionalità:

• La Nested Virtualization in Windows Server 2022 è disponibile anche per processori AMD, ampliando così la scelta hardware per il proprio ambiente.
• Microsoft Edge viene incluso in Windows Server 2022, in sostituzione di Internet Explorer. Edge può essere utilizzato con le opzioni di installazione Server Core e Server con Desktop Experience.

Conclusioni

Windows Server 2022 evolve la piattaforma matura e consolidata di Windows Server introducendo una serie di aggiornamenti innovativi in differenti ambiti. Per le realtà aziendali diversi sono quindi i vantaggi per valutare l’adozione di questo nuovo sistema operativo server, in particolare, per coloro che utilizzano Windows Server in ambiente Azure.

Il nuovo sistema operativo Windows Server 2022, basato sulle solide fondamenta del predecessore Windows Server 2019, apporta numerose innovazioni in ambito sicurezza, nell’integrazione e nella gestione ibrida in ambiente Azure, e come piattaforma applicativa. L’articolo si divide in due parti, in questa prima parte vengono riportate le principali caratteristiche del nuovo sistema operativo server relative alle edizioni disponibili, alle funzionalità pensate per gli ambienti ibridi e ai nuovi aspetti legati alla piattaforma applicativa.

Edizioni

Windows Server 2022 si caratterizza per i seguenti aspetti relativi alle edizioni:

• Windows Server 2022 avrà un’edizione Standard, un’edizione Datacenter e una nuova versione definita Datacenter Azure.
• L’edizione Datacenter Azure di Windows Server 2022 sarà supportata solo in Azure (Azure IaaS oppure Azure Stack HCI – 21H2) ed offre funzionalità specifiche non disponibili al di fuori di questi ambienti (hotpaching, SMB over QUIC, ed Azure Extended Networking).
• Per tutte le edizioni Windows Server 2022 sono presenti entrambe le opzioni di installazione Core e Desktop.
• Sarà possibile effettuare l’upgrade in place di Windows Server 2019 Datacenter Edition per portarlo al nuovo Windows Server 2022 Datacenter Azure edition. Ciò nonostante l’upgrade in place per sistemi operativi server è una pratica da valutare attentamente e se possibile da evitare.
• Recentemente Microsoft ha aggiornato il suo servicing model per i sistemi operativi server. Infatti, Microsoft ha deciso di abbandonare le versioni semestrali di Windows Server e, a partire da Windows Server 2022, è disponibile un unico canale di rilascio principale, il Long-Term Servicing Channel. Con il Long-Term Servicing Channel viene rilasciata una nuova versione principale di Windows Server ogni 2-3 anni. Gli utenti hanno diritto a 5 anni di supporto mainstream e 5 anni di supporto extended. Questo canale offre ai sistemi una manutenzione prolungata ed una stabilità funzionale. Il Long-Term Servicing Channel riceve aggiornamenti di sicurezza e non, ma non riceve nuove caratteristiche e nuove funzionalità. Il Semi-Annual Channel, disponibile nelle versioni precedenti di Windows Server, era idoneo per containers e microservizi. In questi ambiti l’innovazione proseguirà con Azure Stack HCI. A questo proposito si ricorda che il sistema operativo della soluzione Azure Stack HCI è un sistema operativo specifico e dedicato con una composizione semplificata, che include solamente i ruoli necessari alla soluzione.

Funzionalità per ambienti ibridi

Utilizzando Windows Server 2022 è possibile aumentare l’efficienza e l’agilità utilizzando funzionalità pensate per ambienti ibridi e totalmente integrate nel sistema operativo.

Azure Automanage – Hotpatch

La funzionalità Hotpatch, parte di Azure Automanage, risulta supportata in Windows Server 2022 Datacenter: Azure Edition. Al momento il supporto è per le installazioni effettuate in modalità Core, ma verrà in futuro esteso anche per le installazioni Desktop. L’hotpatching è un nuovo meccanismo, utilizzato per installare gli aggiornamenti sulle macchine virtuali Windows Server Azure Edition, che consente di ridurre i riavvi necessari per l’installazione degli aggiornamenti.

Azure Automanage permette di orchestrare l’installazione di patch di sicurezza on top ad un Cumulative Update, che viene rilasciato ogni tre mesi. Il Cumulative Update richiede un riavvio del sistema, ma le patch di sicurezza rilasciate tra i Cumulative Update possono modificare il codice in esecuzione in memoria senza la necessità di dover riavviare la macchina.

Per maggiori informazioni riguardanti questa funzionalità è possibile consultare la specifica documentazione Microsoft.

Windows Admin Center

Windows Admin Center (WAC) introduce dei miglioramenti specifici per la gestione di Windows Server 2022, tra i quali WAC consente di verificare lo stato delle funzionalità Secured-core e, ove applicabile, permette la relativa abilitazione.

Azure Arc

Anche Windows Server 2022 consente l’abilitazione ad Azure Arc per ottenere una gestione, dei server fisici e delle macchine virtuali che risiedono all’esterno di Azure (sulla rete aziendale on-premises oppure presso altri cloud provider), coerente con le metodologie di gestione delle macchine virtuali native che risiedono in ambiente Azure. Connettendo infatti una macchina ad Azure tramite Arc viene considerata a tutti gli effetti come una risorsa Azure. Ogni macchina connessa ha un ID specifico, viene inclusa in un resource group e beneficia dei costrutti standard di Azure.

Piattaforma applicativa

Diversi sono i miglioramenti che Windows Server 2022 porta in ambito applicativo, tra i principali troviamo:

• La riduzione delle dimensioni dell’immagine Windows Container fino al 40%, che porta ad avere un tempo di avvio più veloce del 30% e delle prestazioni migliori.
• Possibilità di eseguire le applicazioni che dipendono da Azure Active Directory con group Managed Services Accounts (gMSA) senza dover fare la join al dominio del container host.
• Supporto da parte dei Windows Container del Microsoft Distributed Transaction Control (MSDTC) e del Microsoft Message Queuing (MSMQ).
• Semplificazione dell’esperienza dei Windows Container in ambito Kubernetes, tra i quali: supporto per gli host-process container per la configurazione dei nodi, IPv6 e l’implementazione delle policy di rete con Calico.
• Oltre ai miglioramenti della piattaforma, Windows Admin Center è stato aggiornato per semplificare la containerizzazione delle applicazioni .NET. Una volta che l’applicazione si trova in un container, è possibile ospitarla in un Azure Container Registry per poi distribuirla in altri servizi di Azure, incluso Azure Kubernetes Service (AKS).
• Grazie al supporto dei processori Intel Ice Lake, Windows Server 2022 supporta applicazioni business-critical su larga scala, come ad esempio SQL Server, che richiedono fino a 48 TB di memoria e 2.048 core logici in esecuzione su 64 socket fisici. Mediante la tecnologia di Confidential computing Intel Secured Guard Extension (SGX) disponibile su Intel Ice Lake è possibile ottenere un miglioramento nell’ambito della sicurezza delle applicazioni, isolandole l’una dall’altra tramite la protezione della memoria.

Nella seconda parte dell’articolo vengono riportate le principali caratteristiche del nuovo sistema operativo server in ambito sicurezza e storage, ma non solo.