Documentos de Académico
Documentos de Profesional
Documentos de Cultura
8. Contenedores
9. PowerShell
10. Server Management Tools (SMT)
Identidad privilegiada
Desafíos para proteger credenciales
La ingeniería social lleva al BEN MARY JAKE ADMIN
ADMIN
DOMINIO
robo de credenciales
La mayoría de los ataques
incluye recolección de
credenciales (PtH) Administrador típico
Las credenciales
Capacidad
administrativas suelen
brindar derechos extra
innecesarios durante
tiempo ilimitado
Tiempo
Enfoque Windows Server 2016
Credential Guard BEN MARY JAKE ADMIN
ADMIN
DOMINIO
Previene ataques del tipo ‘Pass the Hash’ y
‘Pass the Ticket’, ya que protege las
credenciales almacenadas a través de
seguridad basada en virtualización
Capacidad
Just in Time
La administración otorga acceso privilegiado
a través de un flujo de trabajo que es
auditado y limitado en el tiempo
JEA + JIT =
limitada en tiempo y
Capacidad y tiempo requeridos Tiempo
capacidad
Proteja
infraestructura y
aplicaciones
Desafíos para proteger el sistema operativo
Nuevos exploits pueden ?
atacar la ruta de inicio del
sistema operativo hasta las
operaciones de aplicaciones
Las amenazas conocidas y
desconocidas deben ser
bloqueadas sin impactar en
las cargas de trabajo
legítimas ?
Enfoque Windows Server 2016
Control Flow Guard
Protege contra vulnerabilidades
desconocidas bloqueando los vectores de
ataque comunes
Windows Defender
Protege activamente de malware conocido
sin impactar en las cargas de trabajo
Code Integrity
Asegura que solo los binarios permitidos se
pueden ejecutar desde el momento en que
se inicia el sistema operativo
Máquinas virtuales
blindadas
Proteja las máquinas virtuales
Un administrador comprometido o
malintencionado de cualquier
fabric puede acceder a máquinas Host OS Cliente Cliente
virtuales huéspedes MV huésped MV huésped
û ü û
Backup
operator
Soporta equivalentes virtualizados de
û ü û
Virtualization-host
tecnologías de seguridad de hardware (ej., administrator
TPMs) y permite encriptación BitLocker para
û ü ü
Virtual machine
máquinas virtuales blindadas administrator
*Configuration dependent
Claves de desencriptación controladas por sistema externo
Nube/ Centro de datos
Host OS Guest VM Guest VM Guest VM
Hypervisor
¿puede darme
Host OS Guest VM Guest VM unas claves?
fabric
Hypervisor
Hyper-V Host 2
Protección de claves
Hypervisor
Host Guardian Service
Hyper-V Host 3
Política de liberación de clave para entornos de confianza
Nube/
Cloud/Datacenter
Centro de datos
Criterio de liberación
Host OS Guest VM Guest VM Guest VM de claves (TPM-mode)
1.Máquinas físicas conocidas
2.Instancia Hyper-V de confianza
3.Configuración según CI
Hypervisor
Hyper-V Host 1
Conrolador
Controller
Claro, te conozco
Fabric de
y pareces sano
Hypervisor
Hyper-V Host 2
Protección de claves
Hypervisor
Host Guardian Service
Hyper-V Host 3
Nano Server
Nano Server: Sistema operativo ‘Just Enough’
Aplicaciones
Optimizada para aplicaciones de terceros
Experiencia
distribuidas de próxima generación RDS
Físico/Virtual
Mayor índices de consolidación y
mejor utilización Principales beneficios
Despliegue más veloz que en los Mayor aceleración de despliegue de aplicaciones
entornos físicos tradicionales
Reduce esfuerzo en el despliegue de aplicaciones
Las aplicaciones se despliegan en
MVs con mayor éxito de Mejora el desarrollo y las pruebas
compatibilidad Menores costos asociados con el despliegue de
Las aplicaciones se benefician con aplicaciones
Virtual las características principales de Aumento en la consolidación de servidores
las MV, como la migración en vivo,
HA
¿Por qué contenedores?
Las aplicaciones impulsan la innovación en el mundo móvil en la nube actual
Desbloquean la productividad y la
libertad DevOps
Habilitan aplicaciones que se escriben
una vez y se despliegan donde sea
Se pueden desplegar como aplicaciones
distribuida en multi-capas en modelos
Desarrolladores IaaS/PaaS
Ofrecen abstracción para microservicios
3
Las operaciones colaboran con
desarrolladores para ofrecer métricas y
datos sobre las aplicaciones
Los desarrolladores
arman y ponen a prueba Las operaciones
aplicaciones en 1 2 automatizan el
contenedores, usando un despliegue y monitorean
entorno de desarrollo, las aplicaciones
como Visual Studio desplegadas desde el
Los contenedores son empujados repositorio central
al repositorio central
Contenedores Hyper-V
Anatomía y principales capacidades
Hyper-V Container Hyper-V Container
Principales capacidades
Consistencia: Los contenedores Hyper-V usan las mismas
APIs que los contenedores de Windows Server, App A App B
asegurando la consistencia en las herramientas de gestión Bins/Bibliotecas Bins/Bibliotrcas
y despliegue.
OS invitado Windows OS invitado Windows
Compatibilidad: Los contenedores Hyper-V usan las Optimizado para cont. Hyper-V Optimizado para cont. Hyper-V
mismas imágenes que los contenedores Windows Server.
Fuerte aislamiento: cada contenedor Hyper-V tiene su Hypervisor
propia copia dedicada del núcleo
Alta confianza: con tecnología de virtualización Hyper-V
comprobada Servidor
Optimizados: la capa de virtualización y el sistema
operativo se optimizaron específicamente para los
contenedores
Integración con Docker
Inversiones estratégicas unidas para impulsar contenedores
Centro de datos
Docker: Un motor de fuente del cliente
abierta que automatiza el
despliegue de las aplicaciones Dockerized app
como un contenedor portátil y
auto–suficiente que se puede
En cualquier lugar
ejecutar casi en cualquier lugar
Contenedor Contenedor
Socios: permite que las Windows Server Linux
herramientas de Docker
gestionen aplicaciones con Microsoft Proveedor
múltiples contenedores usando Azure de servicio
Docker
contenedores Linux y Windows,
sea cual fuere el entorno de
alojamiento o proveedor de la
nube Inversiones en la próxima ola de Azure soporta APIs de
Windows Server Docker Open Orchestration
Inversiones estratégicas
Despliegue Open source de Federación de imágenes Docker Hub
Docker Engine para Windows Server para Azure Gallery y Portal
© 2016 Microsoft Corporation. All rights reserved.
¡Gracias!