Windows Server 2016 Shielded VMs Cloud Summit Nano Server Container 軟體定義資料中心 Azure 軟體定義儲存 軟體定義網路 SDDC S2D SDN NFV 混合雲 微軟

WS2016強化權限管控 邁向軟體定義及微服務

2016-09-01
Windows Server 2016除了功能強化之外,也加入了不少新技術,本文將針對強化作業系統的安全性、軟體定義資料中心(Software Defined Data Center,SDDC)以及應用程式平台內的幾項技術亮點進行重點說明。
在Windows Server 2016 TP5技術預覽版本之後,台灣微軟已經確認不會再有更新的技術預覽版本釋出,換言之,Windows Server 2016的所有功能已底定,目前只剩下零星的Bug排除與修正。綜觀Windows Server 2016,除了功能強化之外,也加入了不少新技術,本文將針對強化作業系統的安全性、軟體定義資料中心(Software Defined Data Center,SDDC)以及應用程式平台內的幾項技術亮點進行重點說明。

增加安全層級

安全性一直是企業組織關心的議題,在強化作業糸統的安全性方面,Windows Server 2016除了提供Control Flow Guard對抗已知的威脅與攻擊,並內建Windows Defender安全防護工具,以便即時監測惡意程式,同時也設計了Code Integrity功能。這項功能可以讓管理人員設定只允許授權的程式可以在伺服器上執行,這也就意謂了惡意程式或病毒無法在伺服器上執行,也就沒有安全的疑慮。

「限時夠用」的精細權限管理

針對人員權限管理,微軟也提供更精細的管控。過往,Windows Server並沒有提供精細的權限管控,因此遇上有伺服器管理需求時,只能開啟Administrator權限,而這也是過去經常被詬病之處,透過「Just in Time Administration」以及「Just Enough Administration」的新管理機制,能夠僅針對特定的人員、在所需求的時間內,提供足夠的管理權限。

微軟營運暨行銷事業群資深雲平台行銷經理馮立偉以右圖解釋,「假設Ben是最高權限管理者,Mary、Jake、Admin以及Domain Admin都需要管理伺服器,所以BEN就把安全的權限開給他們,但是Mary只需要兩周、Jake只需要3天,Admin需要3個月,繁忙的Ben事情一忙就忘了要把安全權限收回,因而造成很多潛在的問題。Just in Time Administration以及Just Enough Administration能在正確的時候,提供剛剛好足夠的權限,來執行某一件事。」


▲Just in Time Administration以及Just Enough Administration能在正確的時候,提供剛剛好足夠的權限,來執行某一件事。

Shielded VM保護虛擬機安全

虛擬化技術已臻成熟,企業對於虛擬化的接受度也愈益普及,過往企業虛擬機器(VM)環境的保護者主要來自於VM的管理人員,但是萬一人員監守自盜或是駭客偷走了VM該怎麼辦?針對Hyper-V安全性,微軟也以Shielded VM和Host Guardian Service來強化。

簡單地說,Shielded VM是用來保護VM的資料與狀態,BitLocker加密功能會被啟用,以便保護VM 虛擬主機(Shielded VM)當中的機敏資料,並且只能執行在健康且被允許的主機環境中,亦即在執行VM的瞬間,系統會透過主機監護服務(Host Guardian Service)檢查環境,如果不是在授權的環境中,VM就無法被執行。


▲Shielded VM使用BitLocker加密,並且只允許在被授權的環境下啟用。

他指出,微軟希望做到的是,即使VM連同內部的資料被帶走,也無法在別的伺服器環境下啟動,因為BitLocker加密功能只能防外賊,對於內部有權限的人員還是能夠得知密碼,並且在解密後取得VM內的資料,因此,通常會配合主機監護服務一起使用。

取經Azure發展資料中心

Windows Server 2016的另一項重點,便是提供軟體定義的運算、儲存以及網路,以協助企業發展一個更靈活且具成本效益的資料中心,而靈感正是來自於微軟Azure。在虛擬化技術部分,微軟新增了功能強化,例如可以動態地增減記憶體與網卡、支援更多開源軟體,例如RHEL、SLES、Ubuntu、CentOS等。另外,針對重要的系統,包含SQL、Exchange、SharePoint、SAP及Oracle等都做了最佳化。

具有雲概念的網路

而在軟體定義網路( Software-defined Networking ,SDN)方面,微軟也順應時代,運用Azure技術推出SDN相關功能,以軟體的方式模擬複雜網路環境。例如,網路控制器Network Controller,負責複雜的網路策略(如隔離、QoS、安全性、負載平衡、交換器、路由器、閘道器、DNS等)以及生命周期,而且具有可擴展性,可提供API讓第三方業者加值。

同時可以監控與管理運用網路功能虛擬化(Network Functions Virtualization,NFV)所模擬出來的Layer 4軟體式負載平衡器(Software Load Balancer)、站台對站台閘道器(Site-to-Site Gateway)、轉送閘道器(Forwarding Gateway)、GRE通道閘道器(GRE Tunnel Gateway)以及分散式多租戶防火牆(Distributed Multi-Tenant Firewall)等。 馮立偉提到,「以往VM之間的溝通與傳遞,要靠網路設備來實現,現在只需軟體就可以完成,而且分散式防火牆(Distributed Firewall)和網路安全群組(Network Security Groups)能做到動態地分割網段。」

降低儲存成本

其實Windows Server作業系統在前幾個版本就可以拿來作為儲存設備,但是Windows Server 2016則是首次支援超融合基礎架構。對於多數企業來說,中高階的儲存成本設備並不便宜,為重要系統配置中高階儲存設備沒問題,但是搭配非關鍵系統就會不符成本效益,運用軟體定義儲存的目的即是為了降低企業在儲存設備的投資,如今只要運用超融合基礎架構的硬體,搭配微軟的軟體定義儲存功能Storage Spaces Direct(簡稱S2D),就可以化身成為儲存設備,而且相較於現今主流儲存設備,功能完全不遜色。

同步的複寫功能(Storage Replication)可以輕鬆地將資料複寫至另一台儲存設備或是災難復原中心建立副本,而且也有QoS的設計。而為了協助企業輕鬆打造S2D,微軟也與硬體業者合作,例如雲達便推出三款適用於軟體定義儲存的硬體產品,以協助企業減輕儲存方面的成本負擔。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!