Đột phá về bảo mật đám mây trong Windows Server 2016

Cập nhật: 11:24 Ngày 26/07/2017

 Đột phá về bảo mật đám mây trong Windows Server 2016

Để so sánh Windows server 2012 và Windows 2016, chúng ta có thể tóm một trong những sự khác nhau rõ rệt : Từ bộ chứa kiểu như Docker cho tới Nano Server, lưu trữ dựa trên phần mềm và những cải tiến mới về mạng, phiên bản Windows Server 2016 mới có nhiều tính năng tuyệt vời.

Storage Spaces Direct : tính năng khác biệt đầu tiên giữa Windows server 2012 và Windows 2016

Trong Windows Server 2012 có Storage Spaces, là tính năng tương tự như RAID nhưng là giải pháp phần mềm. Windows Server 2012 R2 bổ sung khả năng tạo một cluster lưu trữ dựa trên cùng công nghệ Storage Spaces và Microsoft Clustering. Một yêu cầu lớn cho loại cluster hiệu năng cao này là mọi lưu trữ đều có thể truy cập được từ các node mạng trong hệ thống thông qua một mảng JBOD gắn ngoài. Mảng JBOD này buộc cũng phải có ổ cứng SAS để có thể hỗ trợ các chuẩn nội tại.

 

Windows Server 2016 được thiết kế để chuyển tối đa việc quản lý vật lý sang quản lý tập trung qua phần mềm, nhất là các giải pháp lưu trữ.

Windows Server 2016 nâng tầm Storage Spaces lên cao hơn, có thêm khả năng tạo một hệ thống lưu trữ hiệu năng cao, sử dụng đĩa gắn trực tiếp trên mỗi node. Tính nhất quán giữa các node có được là nhờ giao thức SMB3. Tính năng mới này Microsoft gọi là Storage Spaces Direct (S2D), có thể tận dụng phần cứng như các đĩa SSD NVMe, trong khi vẫn hỗ trợ những phần cứng lưu trữ cũ hơn theo chuẩn SATA. Bạn chỉ cần hai node là có thể tạo được một cluster S2D.

Ở phương diện phần cứng, mỗi máy tính trong cluster bạn chỉ cần ổ SSD, ổ cứng HDD thông thường và NIC có hỗ trợ RMDA, là giao thức tăng tốc độ hoạt động của ổ cứng truy cập từ xa. Chỉ cần một bộ chuyển mạch (switch) cho mỗi cluster là đủ bởi vì mọi máy tính đều kết nối trực tiếp đến switch. Bạn chỉ cần chạy một lệnh qua PowerShell (thực chất là vài lệnh kết hợp, đầu tiên là tạo và sau đó là thêm node vào cluster lưu trữ), Windows sẽ làm phần việc nặng nhọc còn lại là thêm dung lượng lưu trữ. Sau đó, Windows Server 2016 sẽ tự động liệt kê ổ cứng mà bạn có, thiết lập caching tier và lưu trữ hot và cold, và lọc dữ liệu để tăng tối đa khả năng lọc lỗi dữ liệu.

Để kích hoạt tính năng này, trong cửa sổ PowerShell, chỉ cần gõ:

Enable-ClusterStorageSpacesDirect

Lệnh này sẽ khởi tạo một tiến trình để chuyển mọi dung lượng đĩa còn trống trên mỗi node gộp vào cluster, sau đó kích hoạt bộ đệm cache, liên kết tiering, tính nhất quán lưu trữ.

 

 

Lưu trữ Hyper-V nhanh hơn với ReFS : tính năng thứ 2:
Resilient File System (ReFS) là một tính năng khác từng xuất hiện trong Windows Server 2012. Được thiết kế từ đầu với mục đích ngăn dữ liệu hư hại hơn là những hệ thống file khác, ReFS có nhiều ưu điểm hơn so với NTFS. Microsoft đã kết hợp những mặt mạnh của cả hai hệ thống file này vào trong Windows Server 2016 bằng cách thiết lập ReFS là hệ thống mặc định cho các tải Hyper-V.

 

Khởi động lại hệ thống được cho là điều tối kị trong quản trị hệ thống, và Windows Server 2016 cũng được thiết kế hướng đến việc loại bỏ quy trình khởi động lại.

 

ReFS tăng tốc độ xử lý rất nhiều cho Hyper-V. Lúc đầu, bạn sẽ thấy tạo máy ảo mới sẽ có dung lượng cố định theo định dạng VHDX và quá trình tạo rất nhanh, xong ngay khi bạn nhấn Enter. Những ưu điểm này cũng được Microsoft áp dụng để tạo các file checkpoint và gộp file VHDX để làm các file backup. Những tính năng này tựa như cách mà Offload Data Transfer (ODX) thực hiện trên những ứng dụng lưu trữ lớn. Một điểm cần lưu ý là ReFS phân bổ lưu trữ cho các hoạt động mà không cần khởi chạy nó, vì vậy có thể vẫn sẽ còn dữ liệu sót đọng lại từ những file trước.

Windows Server 2016 hỗ trợ nhiều mô hình kết nối mạng, nhằm phục vụ cho đại đa số mô hình mạng của doanh nghiệp.

  • Gateway site-to-site tạo ra một đường kết nối mã hóa trên internet giữa đám mây và mạng doanh nghiệp.
  • WAN MPLS Private dành cho doanh nghiệp không muốn dùng đường kết nối internet chung.
  • Azure ExpressRoute dành cho doanh nghiệp có sẵn nguồn tài nguyên để tạo ra một kết nối chuyên biệt giữa mạng của họ và một trung tâm dữ liệu Azure.

Nâng cấp cuốn chiếu Hyper-V
Nâng cấp lên một hệ điều hành mới luôn gặp phải nhiều thách thức, trên nhiều phương diện. Trong các phiên bản Windows Server trước đây, ta không thể nâng cấp một cluster mà không phải tắt nó đi. Và việc tắt một cluster rõ ràng ảnh hưởng đến sản xuất của doanh nghiệp. Cách làm thông thường là dựng một cluster mới, chạy cập nhật trên cluster mới ấy, sau đó di dời mọi workload từ cluster cũ sang. Do đó, để làm được cách này thì doanh nghiệp buộc phải mua phần cứng mới.

Windows Server 2016 hỗ trợ nâng cấp kiểu cuốn chiếu, từ Windows Server 2012 R2 lên, nghĩa là bạn có thể thực hiện nâng cấp mà không cần tắt cluster hoặc di dời đến phần cứng mới. Tiến trình này tương tự như từng node đơn trong cluster phải có mọi quyền dời đến một node khác theo thứ tự để nâng cấp hệ điều hành host. Khác biệt ở đây là mọi thành phần trong cluster sẽ tiếp tục có thể vận hành ở mức Windows Server 2012 R2 (và hỗ trợ di dời giữa host cũ và host mới) cho đến khi mọi host chạy được hệ điều hành mới, và bạn chỉ việc nâng cấp level chức năng cluster lên level mới (bằng cách dùng lệnh ở PowerShell).

 

 

Hyper-V thêm NIC và bộ nhớ trực tiếp
Các phiên bản Hyper-V trước đây không cho phép bạn thêm một thành phần mạng hoặc bộ nhớ đến một máy ảo. Tắt hệ thống máy ảo khi đang vận hành là điều tối kị nên Microsoft hiện nay cho phép bạn thực hiện thay đổi cấu hình máy ảo mà không phải tắt máy. Hai thay đổi quan trọng mà bạn không phải tắt máy ảo là thay đổi bộ nhớ và giao tiếp mạng.

Trong phiên bản Windows Server 2016 của Hyper-V Manager, bạn có thể tìm thấy mục Network Adatper trong mục Add Hardware không còn bị "màu xám" vô hiệu nữa. Do vậy, nhà quản trị có thể thêm các adapter mạng trong khi VM vẫn đang chạy. Tương tự vậy, bộ nhớ cũng có thể thêm trực tiếp so với bộ nhớ cố định trước đây. Những phiên bản Hyper-V trước hỗ trợ phân bổ bộ nhớ động để VM sẽ chỉ tiêu tốn bộ nhớ khi chúng cần. Nhưng nếu ở chế độ phân bổ bộ nhớ động như vậy, bạn không thể điều chỉnh bộ nhớ khi VM đang chạy.

Load balancer đám mây
Một tính năng mới trong Windows Server 2016 mà Microsoft gọi là "cloud-optimized load balancer", cân bằng tải được tối ưu cho điện toán đám mây. Tính năng mới này hoàn toàn dựa trên phần mềm, được hãng phát triển từ đầu để đáp ứng đúng mục đích và đặc thù của điện toán đám mây. Tính năng này còn có khả năng tạo và xóa nhiều IP ảo cùng lúc theo từng khu (lot), và mở rộng, thu nhỏ các thành phần load-balancer trên mạng một cách dễ dàng, nhằm loại bỏ những điểm thắt cổ chai, tạo ra nhiều bộ multiplexer hơn và cũng tự động xóa các bộ multiplexer này tùy vào tải mạng. Ngoài ra, load balancer cũng hỗ trợ cùng lúc nhiều hệ đám mây hơn chỉ với một load balancer ảo.

Do đó, tính năng load balancer mới sẽ thỏa mãn được mọi nhu cầu hiện thời, và có thêm công nghệ direct-server giúp luồng dữ liệu đến thẳng máy chủ mà không qua multiplexer sau khi dữ liệu đã được phân luồng và được qua cân bằng tải. 

Những cải tiến về mạng
Hội tụ là yếu tố đáng nói ở đây, với nhiều tính năng mới nhằm giúp doanh nghiệp và nhà cung cấp host có thể kết hợp nhiều thành phần mạng lại với nhau để giảm thiểu giao tiếp mạng cho hệ thống. Điều này có thể giảm được số cổng mạng xuống còn phân nửa so với kiến trúc mạng kiểu cũ. Một khả năng mới khác có tên là Packet Direct, tập trung cải thiện hiệu năng của các workload trên toàn hệ thống, gồm mọi thứ, từ những gói packet nhỏ cho đến các gói dữ liệu truyền lớn.

Windows Server 2016 cũng có một role máy chủ mới tên là Network Controller, cung cấp một điểm tập trung để giám sát và quản lý kiến trúc và các dịch vụ mạng. Những cải tiến khác chủ yếu hỗ trợ cho tính năng mạng dựa trên phần mềm, gồm một load balancer, gateway cải tiến để kết nối đến được Azure và các trang web từ xa khác, và một tính năng mạng tập trung hỗ trợ cả dữ liệu truyền RDMA và truyền tenant. 

Một trong những mảng thực sự thay đổi bộ mặt của phiên bản Windows Server 2016 là cải thiện tính năng mạng dựa trên phần mềm. Điều này có nghĩa là Microsoft muốn đưa phần mềm vào quản lý mọi thứ, từ cáp, router, bộ chuyển mạch và những thiết bị mạng khác tương tác với máy tính, ảo hóa chúng, và loại bỏ được phần cứng càng nhiều càng tốt. Các kết nối và cấu hình mạng có thể thay đổi trực tiếp, tự động mà không phải động chân động tay trên các rack máy chủ ở trung tâm dữ liệu.

Do đó, hướng cấu hình dựa trên phần mềm đã được Microsoft áp dụng cho Azure. Khi bạn tạo các nguồn tài nguyên bên trong gói đăng ký Azure, bạn có thể gắn chúng với nhiều mạng ảo khác nhau. Những hệ thống mạng này có thể thiết lập ở chế độ riêng tư (private) để các VM kết nối âm thầm đến Azure. Do vậy, bạn có thể tạo ra một hệ thống mạng riêng biệt hoàn toàn, cấu hình nó thông qua phần mềm, thay đổi ứng dụng bên trong nó và tinh chỉnh nó một cách thủ công hay tự động hóa nó thông qua các script mã lệnh với PowerShell. Những hệ thống mạng ảo này là những sandbox biệt lập trên Azure, hoàn toàn an toàn cho đến khi nào bạn "mở cửa" cho chúng tiếp cận với mạng bên ngoài.

Những cải tiến về bảo mật cho SDN (software-defined networking) 
Một trong những lợi thế của SDN là bảo mật, bởi vì ảo hóa kiến trúc mạng đưa ra được một số lớp bảo mật mới, có thể ngăn chặn tấn công mạng. Lớp đầu tiên là tách tập mạng ảo; nếu kẻ tấn công có thể thâm nhập được vào kiến trúc vật lý, chúng vẫn sẽ không làm gì được mạng ảo. Còn nếu kẻ tấn công nhắm trực tiếp đến mạng ảo, nhà quản trị có thể triển khai một tường lửa phân tán cũng như tạo một nhóm chính sách bảo mật riêng để giữ chân và cô lập đợt tấn công ấy. Thậm chí, bạn có thể cài thêm các ứng dụng bảo mật ảo vào hệ thống để lọc tấn công, tạo ra nhiều lớp bảo mật.

Windows Server 2016 hỗ trợ mọi phương pháp kể trên. Bạn có thể tạo một nhóm chính sách bảo mật dành riêng cho VM, để mỗi VM mới được thêm vào đều tự động được áp vào nhóm chính sách ấy, thừa hưởng các thiết lập bảo mật mà bạn đã cấu hình từ trước. Ví dụ bạn thiết lập chỉ có cổng 443 được mở trong nhóm, và chỉ có cổng internet mới có thể kết nối được đến VM trong nhóm này, nhưng không kết nối được với nhóm VM khác. Bạn cũng có thể tạo các luồng truyền theo ý muốn để phân luồng truy cập đến các thiết bị kết nối internet cho riêng từng VM. Thậm chí, bạn còn có thể ánh xạ luồng truyền: các gói inbound và outbound của một port cụ thể nào đó trên một bộ chuyển mạch (switch) ảo nào đó có thể được ánh xạ đến một ứng dụng ảo, và một ứng dụng ảo cũng có khả năng truy cập nhiều port cùng lúc.

Ngoài ra, Windows Server 2016 cũng có vài cải tiến đáng chú ý về mạng, gồm:

  • Hỗ trợ hàng đợi máy chủ VMMQ (virtual machine multiqueue) để tập trung đường truyền 40G Ethernet trực tiếp đến một máy ảo mà không bị quá tải. Tính năng này hỗ trợ cả nền Windows lẫn Linux.
  • Hỗ trợ NIC hội tụ, là khi mạng dữ liệu và mạng lưu trữ đồng thời hoạt động trên hai NIC được nhóm với nhau, thay vì 4 NIC như trước. Bạn cũng có thể thiết lập threshold cho QoS (Quality of Service) về lưu trữ.

Kiến trúc mạng dựa trên phần mềm (SDN) rõ ràng là đích đến của nền tảng công nghệ thông tin trong 10 năm tiếp theo. Những cải tiến trong quản lý, tính linh động và bảo mật của SDN rất hấp dẫn giới công nghệ cho dù có thể những bước thiết lập ban đầu còn khó khăn. Khi điện toán đám mây lai trở nên phổ biến hơn đối với doanh nghiệp thì rõ ràng các hệ thống mạng cần được làm mới lại, cả phần cứng lẫn phần mềm. Windows Server 2016 đơn giản là thúc đẩy tiến trình này nhanh hơn.

 

Cập nhật lưu trữ QoS
Storage Quality of Service (QoS) được giới thiệu cùng với Hyper-V từ bản Windows Server 2012 R2, giúp bạn có thể đưa ra giới hạn về lượng IO mà mỗi VM có thể tiêu tốn. Bản QoS đầu tiên chỉ hỗ trợ ở mức host Hyper-V. Kết quả là lưu trữ QoS trong Windows Server 2012 R2 hoạt động rất tốt trong môi trường nhỏ nhưng lại trục trặc khi bạn cần cân bằng IO trên nhiều host.

Windows Server 2016 cho bạn quản lý tập trung các chính sách Storage QoS theo nhóm VM và buộc những chính sách này chạy ở cấp cluster. Điều này rất phù hợp trong trường hợp khi bạn muốn cấu thành một dịch vụ nào đó từ nhiều VM và chúng cần được quản lý thống nhất. Các dòng lệnh của PowerShell có thể hỗ trợ những tính năng mới này, như lệnh Get-StorageQosFlow cung cấp một số tùy chọn để giám sát tốc độ liên quan đến Storage QoS; Get-StorageQosPolicy để hiển thị thiết lập chính sách hiện thời; hay New-StorageQosPolicy để tạo một chính sách mới.

 

 

cmdlet PowerShell mới
PowerShell tiếp tục được Microsoft cập nhật theo từng phiên bản cập nhật của hệ điều hành. Windows Server 2016 sẽ có một PowerShell rất nhiều cmdlet mới, tập trung vào chức năng. Thậm chí bạn có thể dùng PowerShell để kiểm tra khác biệt giữa các phiên bản của chính PowerShell. Như lệnh cmdlets PowerShell Get-Command sẽ liệt kê danh sách lệnh hiện có mà nó hỗ trợ.

Những cmdlet mới được Microsoft bổ sung gồm 21 lệnh liên quan đến DNS, 11 lệnh cho Windows Defender, 36 lệnh cho Hyper-V, 17 cho quản trị IIS và 141 lệnh liên quan đến Network Controller và còn nhiều lệnh khác nữa. Một điểm cộng khác nữa về PowerShell liên quan đến Desired State Configuration (DSC). Microsoft đã làm việc rất nhiều để giúp DSC trở thành công cụ cấu hình và quản lý quan trọng không chỉ cho Windows Server mà còn cho máy chủ Linux. Kết hợp những điều này với việc mở mã nguồn PowerShell cho Linux và MacOS, cộng thêm gói dịch vụ OneGet, bạn có được vô vàn tính năng mới mà PowerShell mang lại.

Khi mà thế giới đang đưa nhiều tải việc vào các hệ thống máy ảo trên mây thì điều quan trọng là cần giảm thiểu các hiệu ứng môi trường cho những hệ thống vật lý chạy máy ảo và tăng tính bảo mật cho toàn bộ kiến trúc, đưa tự động hóa vào hệ thống. Điều cần thiết khác là làm sao chuyển được nhiều chức năng từ mặt vật lý sang phần mềm, như các tính năng quản lý mạng và lưu trữ. Trong Windows Server 2016, Microsoft đã vươn lên trước trong những yếu tố kể trên.

Bảo vệ truy cập và quyền quản trị
Ngoài những tính năng bảo mật như VM Shielded, Windows Server 2016 còn được thiết kế để bảo mật danh tính và thông tin đăng nhập, nhất là tài khoản quản trị. Credential Guard là tính năng giúp chống lại kỹ thuật tấn công pass-the-hash và pass-the-ticket bằng cách bảo vệ thông tin đăng nhập bằng giải pháp bảo mật ảo hóa. Ngoài ra, Windows Server 2016 còn có Remote Credential Guard, vận hành tương tự như Credential Guard nhưng qua RDP, sử dụng đăng nhập một lần. Thứ ba là bảo vệ OS trực tiếp ngay trên đám mây, Device Guard sẽ so sánh những lệnh thực thi có trong danh sách trắng (whitelist) mới có thể chạy được.

Cuối cùng, có một số tính năng bên trong PowerShell mà chỉ có Windows Server 2016 hỗ trợ là Just Enough Administration và Just in Time Administration (JITJEA), sẽ hạn chế thời gian tài khoản quản trị có thể làm việc được. Nếu bạn chạy tài khoản quản trị ngoài khung giờ quy định thì tài khoản ấy chỉ có hiệu lực như tài khoản thông thường mà thôi.

Một bổ sung khác là Microsoft cuối cùng cũng đưa công cụ chống malware Windows Defender vào Windows Server 2016. Thay vì chạy những chương trình bên ngoài như của Sysmantec hay Trend Micro trên máy chủ và cấu hình cho chúng không quét mailbox hay thư mục nào đó, bây giờ bạn có sẵn Windows Defender tiện lợi hơn nhiều.

 

 

Kết luận
Windows Server 2016 còn nhiều tính năng thú vị khác chưa đề cập như bộ chứa Hyper-V, bộ chứa Windows Server, khả năng tương thích Linux… và có rất nhiều thay đổi từ bản Windows Server 2012. Phiên bản này được giới công nghệ đánh giá rất cao. Đối với các doanh nghiệp bán hàng trực tuyến đang sử dụng kiến trúc điện toán đám mây lai, Windows Server 2016 hoàn toàn phù hợp. Đối với doanh nghiệp tài chính và công ty đặt nặng vấn đề bảo mật, tính năng máy ảo Shielded rất đáng giá. Còn với những doanh nghiệp nhỏ, có thể Windows Server 2016 vẫn chưa thực sự có nhiều tính năng mà họ buộc phải có, nhất là khi phải bỏ ra chi phí không nhỏ cho nó. Còn với những doanh nghiệp tầm trung, có thể hệ thống lưu trữ SAN cũ kỹ đang là rắc rối và tính năng Storage Spaces Direct là điểm sáng nhất để họ cân nhắc nâng cấp.

Dù gì đi nữa, Microsoft cũng đã làm việc cật lực và biết lắng nghe ý kiến đóng góp của khách hàng, đem lại những cải tiến trong sản phẩm, thúc đẩy doanh nghiệp đến với điện toán đám mây. Vì luôn có đâu đó những công cụ giúp bạn tiết kiệm thời gian, công sức, tiền bạc.
​​​​​​​(ST)