Quantcast
L´IT al servizio della tua impresa

L’IT al sicuro con Windows Server 2016

hub-29.1

HPE collabora da sempre con Microsoft per aiutare le aziende a sfruttare il massimo del potenziale tecnologico acquistato. I benefici di HPE ProLiant Gen9 con Windows Server 2016

Uno dei problemi che assillano quasi sempre gli utenti finali, così come le aziende è utilizzare appieno gli strumenti (tecnologici e non acquistati) a caro prezzo. Pensiamo anche ai software più conosciuti, come Word ed Excel o a quelli di progettazione e grafica, li si paga per le loro alte potenzialità e di queste se ne usa appena il 10 percento.

Questo è un problema che si riflette anche a un livello superiore, e cioè quello dell’infrastruttura IT aziendale ed è non solo di chi compra, ma nel lungo termine anche di chi vende, perché i clienti si accontentano di quello che già hanno, non pensano di potere fare meglio e soprattutto si convincono che qualsiasi upgrade alla fine non serva. E davvero invece non è così. Per HPE e Microsoft, in partnership praticamente da sempre, questo rappresenta uno degli ambiti di azione più importanti: non vogliono convincervi ad acquistare qualcosa di nuovo, quanto piuttosto aiutare i clienti a sfruttare quanto hanno acquistato in modo da soddisfare pienamente le aspettative.

L’abbinata HPE ProLiant Gen9 e Windows Server 2016 contribuisce proprio a realizzare questo disegno, in primis per gli elevati standard di sicurezza e ridondanza che può garantire.
Ci concentriamo proprio su questo aspetto. Ci sono alcune funzioni chiave di WinServer 2016 votate alla salvaguardia dei dati, sia su disco sia in cloud, per ridurre i rischi di interruzione dell’attività. Entriamo nel dettaglio.

La più semplice funzionalità, in parte conosciuta anche grazie a Windows 10 è Windows Defender che lavora a braccetto con Device Guard e Control Flow Guard e impedisce l’installazione sul server di qualsiasi porzione di codice dannoso. All’installazione Windows Defender è attivo di default ed è ottimizzato a supporto dei diversi ruoli di Win Server 2016. La protezione comprende anche quella di connessione a Internet, gli aggiornamenti sono automatici per le definizioni del malware e si tratta di una protezione always on strettamente integrata con il sistema operativo, la migliore di base che si potrebbe richiedere.

Sappiamo bene che oltre alla protezione delle risorse on-premise ProLiant Gen9 e Windows Server 2016 abilitano e promuovono il massimo sfruttamento delle risorse virtuali. Ecco allora che il sistema operativo server di Microsoft protegge il vostro business anche grazie a Shielded Virtual Machines (disponibili solo nella versione Data Center). In pratica esse includono un dispositivo virtuale TPM che permette agli amministratori di abilitare BitLocker sulle VM, per assicurare che vengano eseguite solo su host di fiducia in modo che l’infrastruttura non sia contaminata dall’utilizzo di risorse storage, di rete e di host compromessi.

I vantaggi sono facilmente definibili: in primis tutto quello che è contenuto nelle VM è protetto (dagli IP, alle informazioni account) e non sono possibili intrusioni da account non autorizzati espressamente dall’amministratore. Alle VM protette e sane si potrà accedere solo se in possesso delle chiavi di accesso disponibili tramite Host Guardian Services, esse altrimenti non saranno nemmeno sbloccabili o smontabili. Anche Hyper-V nella nuova versione Win Server 2016 è più protetto, vediamo come.

Shielded Virtual Machines
Shielded Virtual Machines

Affianco a Shielded Virtual Machines opera il servizio Host Guardian Service, fondamentale in un’infrastruttura virtualizzata che possa definirsi anche sicura. A questo servizio spetta il compito di valutare se il vostro host Hyper-V è integro, prima di autorizzare a una Shielded Virtual Machine di avviarsi o di migrarvi sopra. Guardian contiene le chiavi di accesso delle SVM e non le rilascia fino a che non riceve la certificazione per farlo.

Si può parlare di un vero e proprio strumento di convalidazione dell’host Hyper-V, grazie alle chiavi di crittografia che abilitano la migrazione di una VM protetta. Queste chiavi abbiamo visto come vengono rilasciate ad un layer di sicurezza superiore, controllato dall’utilizzatore, solo agli host Hyper-V autorizzati, e quando il sistema operativo non risulta manomesso. In pratica è come se sicurezza tra infrastrutture cloud e lo strato del sistema operativo potessero rimanere isolati l’uno dell’altro.

Hyper-V, l'architettura
Hyper-V, l’architettura

Arriviamo all’anello debole della catena, che è quello da proteggere più di qualsiasi cosa e cioè la gestione dell’amministratore. Windows Server 2016 sfrutta per questo compito Just-in-time & Just-enough Administration (JEA) un insieme di funzionalità per il controllo pieno di diritti e privilegi degli amministratori non solo in base all’identità ma proprio a seconda di ogni singolo utilizzo e delle attività, e persino di un preciso periodo di tempo per svolgerla.

In questo modo i diritti degli utenti sono limitati e determinati ad aree di responsabilità prescelte, possono essere momentaneamente assegnati e poi revocati, anche in brevi periodo di tempo. In questo modo si riduce il numero degli amministratori plenipotenziari sulle macchine ed è più facile rendicontare con precisione le attività.