Ulteriori informazioni
Transcript
Ulteriori informazioni
Windows Server 2012: cloud significa sicurezza? Di Chester Wisniewski, Senior Security Advisor Microsoft sostiene che Windows Server 2012 sia stato concepito per diventare il primo "sistema operativo in-the-cloud". Se da un lato i risparmi in termini di costi ed energia promessi dal cloud possono essere il motivo principale per cui le aziende desiderino adottare Server 2012, è anche vero che con il cloud vengono introdotti anche altri rischi. I miglioramenti apportati da Microsoft stanno tenendo il passo con il loro impeto verso il virtuale? Windows Server 2012: cloud significa sicurezza? Nuova funzionalità di sicurezza: il controllo dinamico degli accessi La novità di Windows Server 2012 è il controllo dinamico degli accessi (Dynamic Access Control, DAC). Le tradizionali autorizzazioni di condivisione si basano sull'appartenenza ai gruppi di Active Directory (AD), ma non possono estrarre informazioni sul contenuto dei file aperti, né da dove ne venga effettuato l'accesso. Dopo aver aggiornato AD per il supporto delle nuove funzionalità, sarete in grado di creare autorizzazioni e tag di contesto per i file. Questi tag ed elementi di contesto possono essere utilizzati sia per il controllo dell'accesso, sia per auditing/reportistica. Potete attribuire un tag PCI o HIPAA a un determinato file e consentirne l'accesso solamente agli utenti che possiedano le dovute autorizzazioni, anche nel caso in cui siano presenti altri utenti nella stessa condivisione file. Potete anche prendere in considerazione da dove venga effettuato l'accesso. Ad es. è possibile permettere a un determinato utente di visualizzare informazioni HIPAA di natura sensibile, ma non dal proprio smartphone o tablet. DAC ha tutte le premesse per diventare una funzionalità promettente, ma ancora non è sicuro come opererà nei moderni ambienti multipiattaforma. Potrà anche andare tutto a gonfie vele con Windows Phone, Windows RT e Windows 8, ma sarà possibile effettuarne l'integrazione con iPad o Android? Microsoft ha anche compiuto progressi per quanto riguarda il protocollo di condivisione file SMB. SMB versione 3 supporta ora l'autenticazione e la cifratura AES-CCM, in aggiunta alla protezione contro gli attacchi man-in-the-middle. Molti processori di ultima generazione supportano la cifratura accelerata AES, che dovrebbe risolvere qualsiasi problema di performance. Se gli hacker dovessero cercare di forzare un downgrade a SMB versione 2, meno sicura della v. 3, è possibile registrare e bloccare tali tentativi. Tweak e aggiornamenti BitLocker è stato aggiornato; nonostante venga tipicamente considerato una tecnologia desktop, contiene una nuova funzionalità che richiede Server 2012. I PC Windows 8 cifrati con BitLocker sono in grado di sbloccarsi automaticamente quando vengono connessi a una rete dotata di controller di dominio Windows Server 2012. Per usufruire di questa funzionalità, il PC deve avere un UEFI BIOS con DHCP abilitato: una combinazione al momento estremamente rara fra desktop aziendali e relativi utenti. Eccezion fatta per le pochissime configurazioni dell'hardware Le aziende che forniscono hosting di contenuti Web o che svolgono transazioni sicure possono sfruttare il supporto dei nuovi protocolli datagram transport layer security (DTLS) e server name indication (SNI). DTLS supporta protocolli di cifratura basati sui datagrammi, come UDP, in maniera dinamica, esattamente come avviene per SSL/TLS con le connessioni TCP. Fra gli usi principali di questa opzione sono incluse cifratura delle comunicazioni VoIP e trasmissione video e audio sicura in streaming. La cosa più importante è che l'introduzione di SNI consente a nomi di dominio diversi di condividere un unico indirizzo IP per le transazioni HTTPS. Uno dei fattori che ha contribuito ad ostacolare una più vasta diffusione dei siti Web protetti con SSL/TLS è stata l'impossibilità di condividere indirizzi IP negli ambienti di cloud computing. SNI estende il concetto di nomi intestazione host, includendo ora contenuti Web sicuri. Evoluzione, non rivoluzione Microsoft ha apportato piccole modifiche al tanto criticato User Account Control (UAC). Le nuove policy di Server 2012 concedono agli utenti una maggiore libertà di personalizzazione dei messaggi e dei controlli. È consigliabile evitare di fornire agli utenti diritti di amministrazione di qualsiasi tipo; ci si auspica quindi un'ulteriore diminuzione dell'importanza di UAC per gli utenti generici di Windows. Dal punto di vista dell'IT security, Windows Server 2012 è un'evoluzione, non una rivoluzione. Gli elementi maggiormente degni di nota sono sicuramente il controllo dinamico degli accessi e il potenziamento delle funzionalità di sicurezza SMB. Tuttavia, nessuno dei due costituisce un motivo abbastanza convincente per sostituire i server 2008 R2. Visitate sophos.it North American Sales: Toll Free: 1-866-866-2802 Email: [email protected] Boston, USA | Oxford, UK © Copyright 2012. Sophos Ltd. All rights reserved. All trademarks are the property of their respective owners. ????.artna.??.?? In Windows Server 2008/2008 R2, la gestione delle password e la maintenance delle applicazioni non interattive veniva di gran lunga semplificata dagli account del servizio gestito. Server 2012 introduce account del servizio gestito di gruppo, riducendo ulteriormente i costi associati agli account di servizio. Gli amministratori non saranno più costretti a creare istanze con account indipendenti per ciascun servizio, bensì potranno adoperare account in comune per le applicazioni più utilizzate, esattamente come avverrebbe per una configurazione di cluster. Altre News & Trends di IT security Mettetevi in contatto con noi: United Kingdom and Worldwide Sales: Tel: +44 (0)8447 671131 Email: [email protected] che supportano questa opzione, si tratta semplicemente di una pessima idea. Si consiglia di esigere l'autenticazione degli utenti all'avvio, tramite SmartCard/PIN oppure password. Australia and New Zealand Sales: Tel: +61 2 9409 9100 Email: [email protected]