MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

MVA: Gerenciamento de pequenas e medias empresas com System Center Advisor

Hoje foi disponibilizado um novo MVA (Microsoft Virtual Academy) que criei a algumas semanas, alem do post que criei em Abril http://www.marcelosincic.com.br/blog/post/Monitoracao-de-Servidores-com-o-System-Center-Advisor.aspx

O objetivo deste MVA é apresentar a ferramenta de monitoração gratuita e eficiente de forma simples e didática, com os 3 modulos:

image

Aproveite esta nova oportunidade: http://www.microsoftvirtualacademy.com/training-courses/gerenciamento-de-pequenas-e-medias-empresas-com-system-center-advisor

Posted: jul 02 2013, 11:45 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Instale o Windows 8.1 (Blue) Preview

Hoje foi liberado o Windows 8.1 Preview.

Para baixá-lo entre em http://preview.windows.com para baixar o update e depois será avisado da atualização pela loja:

Tela1

Tela2

Na sequencia poderá ver o novo Menu Iniciar e o botão de volta.

Note que agora é possivel agrupar e dar nomes a estes grupos, alem de escolher entre 4 diferentes tamanhos para os tiles, como mostrado na tela acima e abaixo.

image

Posted: jun 26 2013, 21:40 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Windows 8

Conceitos de Storage para IT Pro 3 – Virtualização e Tierização

No primeiro artigo desta série Conceitos de Storage para IT Pros–Tipos de RAID e IOPS abordamos alguns conceitos importantes e básicos para profissionais de TI sobre os tipos de RAID disponiveis e utilizados hoje em storages e também como calcular IOPS (operaçoes de leitura e escrita) para cada tipo de disco e aplicações.

No segundo artigo http://www.marcelosincic.com.br/blog/post/Conceitos-de-Storage-para-IT-Pro-2-e28093-Controladoras-e-Modelos.aspx abordamos os tipos de controladoras e tecnologias de storage mais comuns hoje existentes no mercado.

Neste terceiro artigo veremos o que são conceitos de tierização e virtualização de storages.

Virtualização

A virtualização de storage conceitualmente é diferente da virtualização de computadores.

Na virtualização de storages o conceito é utilizarmos um produto que faça a conexão com vários tipos e modelos de storage. Por exemplo, o System Center Virtual Machine Manager 2012 é capaz de ser a interface entre os diferentes storages e as máquinas virtuais. Mais detalhes sobre isso podem ser vistos no post http://www.marcelosincic.com.br/blog/post/Gerenciamento-de-Storage-com-o-System-Center-Virtual-Machine-2012.aspx

VMM2012

O mesmo recurso pode ser alcançado com o SMB 3.0 do Windows Server 2012, onde podemos apontar todas as LUNs disponíveis em um File Server e por meio do SMB 3.0 mapear as VMs entre os diferentes storages.

Tierização

Este recurso está presente em alguns storages de mercado e pode ser simulado pelo VMM. Significa ter a possibilidade de termos diversos storages com performances diferentes e ter a capacidade de mover uma VM de um storage mais lento para outro mais rápido de forma transparente a operação.

Isso pode ser simulado pelo VMM e pelo Hyper-V 3.0 com o recurso Storage Migration, onde podemos mover as VMs com Live Storage Migration permitindo que a operação não seja interrompida quando movemos entre os diferentes modelos de storage disponíveis.

Porem, alguns modelos storage como, por exemplo Compellent e Equallogic, podem conter “gavetas” de discos de diferentes tipos e mover os dados entre as gavetas conforme a performance necessária da aplicação ou maquina virtual. Neste caso o software do storage faz isso automaticamente conforme a carga que cada VM ou aplicação impõe ao storage.

Fonte: http://www.dellstorage.com/storage-tiering-archiving/storage-tiering.aspx

image

Para mais informações sobre o Windows Server 2012, acesse: http://clk.atdmt.com/MBL/go/425205719/direct/01/

Posted: jun 21 2013, 10:38 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Conceitos de Storage para IT Pro 2 – Controladoras e Modelos

No primeiro artigo desta série Conceitos de Storage para IT Pros–Tipos de RAID e IOPS abordamos alguns conceitos importantes e básicos para profissionais de TI sobre os tipos de RAID disponiveis e utilizados hoje em storages e também como calcular IOPS (operaçoes de leitura e escrita) para cada tipo de disco e aplicações.

Neste artigo iremos abordar os tipos mais comuns de controladoras e modelos de storages.

A tabela a seguir retirada do documento da Microsoft “Analyzing Characterizing and IO Size Considerations” disponivel em http://bit.ly/18nlbTg mostra como o tipo de barramento da controladora fisica utilizada para o seu storage influencia diretamente na performance:

image

HBA – Host Bus Adapter

Este é um tipo de barramento muito utilizado antes do iSCSI e muito eficiente, interligando o storage diretamente com o servidor por uma placa dedicada, sendo utilizado pelo Fibre Channel (exemplo Compellent) ou modelo de conexão direta (exemplo MD3000).

Como pode ser visto na tabela acima, por ser um barramento dedicado temos toda a performance sem concorrencia, diferente do iSCSI, pois no HBA cada servidor se conecta a uma saida do storage ou a um switch dedicado e no iSCSI usamos duas saidas de rede para todos os servidores.

Alem disso, em um storage dedicado são pelo menos duas controladoras, sendo elas redundantes e simultaneas para acesso, garantindo segurança e alta performance.

A desvantagem dos modelos HBA se dá por conta da limitação de conexões possiveis, uma vez que em alguns modelos (exemplo MD3000) são 4 portas, limitando a 4 servidores. Para este modelo utilizar HBA e montar um cluster de 4 nós é uma boa alternativa.

Fibre Channel

O FC é um dos modelos de HBA muito utilizado por conta da alta performance e numero ilimitado de hosts que podem ser conectados pelo switch Fibre Channel.

Alem disso, o FC permite boot de servidores sem disco local, o que garante a substituição de um host apenas colocando outro hardware identico e alterando o WWN no storage.

Nos storages FCs utilizamos o WWN (World Wide Name) para indicar qual LUNs será utilizado por cada servidor, sendo muito simples de ser realizado e configurado. Com o Windows 2012 podemos entregar storages diretamente as VMs por criar um WWN virtual no Hyper-V:

image

A desvantagem do FC se dá pelo custo mais alto que as outras soluções envolvendo HBA e, principalmente, iSCSI. Porem, as vantagens técnicas, administrativas e performance fazem do FC o melhor tipo de conexão a storage.

iSCSI

O iSCSI (Internet SCSI) é o modelo mais utilizado hoje por conta do custo acessivel, diversas opções de fabricantes, modelos e tamanhos. Basicamente o iSCSI utiliza comunicação pela rede ethernet comum, porem com algumas vantagens que melhoram a performance se seguidos:

  • Utilizar switches de rede separados apenas para a rede de storage
  • Trabalhar com 2 placas de rede em cada servidor para configurar o recurso de MPIO (Multipath I/O) que permite utilizar as duas placas simultanêas no acesso aos dados, duplicando a velocidade de acesso
  • Configurar o Jumbo Frame para trabalhar com pacotes de dados de 9K ao invés de 1.5K, uma vez que storage sempre trafega dados em pacotes maiores diferentemente da comunicação comum em rede

A desvantagem do iSCSI se dá exatamente pelos pontos acima, já que a estrutura de rede precisa ser dedicada para ter melhor performance e redundância.

O suporte ao iSCSI pode ser pelo storage ou até por softwares que habilitam um servidor comum a se tornar um storage iSCSI, o que é chamado de iSCSI Initiator Server e o cliente de iSCSI Initiator. A Microsoft tem este software disponivel, mas é muito conhecido no mercado o StarWind iSCSI Initiator Server.

NAS com SMB 3.0

A tecnologia de NAS (Network Attached Server) é baseada no Windows Server 2012 que com o SMB 3.0 torna ele compativel com virtualização, permitindo que o Hyper-V utilize um File Server para armazenar as maquinas virtuais, possibilitando que seja montado um Cluster baseado apenas em File Server.

As vantagens deste modelo são o baixo custo, facilidade na administração e entrega para novos servidores.

As desvantagens se dão por conta da rede que tem os mesmos requisitos listados do iSCSI, tendo algumas considerações adicionais:

  • O MPIO precisa ter placas de rede redundantes no servidor baseadas em SMB Direct e RDMA que não são modelos triviais em servidores atualmente
  • O Jumbo Frame impossibilita que maquinas de usuários (clientes) utilizem o servidor para guarda de arquivos, a menos que se habilite neles o modo Jumbo Frame com implicações em todos os switches da rede Core
  • Storages possuem recursos de multicontroladoras e fontes, o que nem sempre é presente em File Servers

Conclusão

Utilizando corretamente os tipos de storages disponiveis e pensando em sua necessidade é possivel ter um ambiente confiável e com boa performance e redundância.

Fonte: http://bit.ly/13uRbOs (Windows Server 2012 White Paper Storage)

image

Para mais informações sobre o Windows Server 2012, acesse: http://clk.atdmt.com/MBL/go/425205719/direct/01/

Posted: jun 16 2013, 21:39 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Novos Recursos de Rede no Windows Server 2012

Ao escolher uma placa de rede para utilizar com o Windows Server 2012 algumas considerações são importantes. A escolha de uma placa de rede ideal, seja para virtualização, File Server, SQL ou outra função.

A tabela abaixo demonstra como os recursos de placas de rede deve ser configurado conforme a função que o servidor fisico irá desempenhar:

Untitled

Saber como estes recursos funcionam pode não ser o desejo de consumo da maioria dos IT Pros, mas o ganho de performance é considerável e por isso se tornam um item que deve ser configurado.

Placas de rede para uso em servidores possuem um processador específico para desenvolver as tarefas de controle de interrupções, enfileiramento de mensagens e outras funções que liberam o processador (CPU) do computador de ter que lidar com o tráfego de rede.

Abaixo vemos a configuração de Interrupções (Ch0), onde podemos habilitar o processador da placa a realizar o controle de multiplos usos da placa ao invés da CPU. Isso acontece, por exemplo, no momento em que várias aplicações acessam a rede. Se a placa de rede é offboard vale a pena, se a placa é onboard sua CPU é menos eficiente que a CPU do computador, e o recurso não valeria a pena:

image

Os recursos Large Offload permitem indicar se a placa ou o SO irá fazer a transformação de pacotes em frames. Por exemplo, se um dado trafegado é maior que o pacote padrão de 1500 bytes (9000 em Jumbo Frame) ele é dividido em diversos pacotes. Os recursos de offload irão indicar que a placa é responsável por transformar o pacote em frames. Ligar este recurso para servidores de email e streaming não seria indicado, uma vez que estes tipos de pacote podem naturalmente ser perdidos e retransmitidos:

image

Já o RSS faz com que pacotes vindo de uma mesma conexão TCP/UDP sejam processadas sempre pelo mesmo processador principal. Em maquinas multiprocessadas ou mesmo multi-core este recurso faz com que cada conexão fique como que fidelizada ao mesmo processador, evitando que um pacote seja distribuido entre processadores e acabe por causa overload na CPU.

Para maquinas virtuais e NIC Team o recurso RSS é utilizado automaticamente quando se habilitou o SR-IOV no Virtual Switch, que permite que VMs no Windows 2012 acessem os recursos fisicos das placas de rede nativamente, como os que já abordei.

O recurso RSC junta pacotes pequenos para criar um unico pacote. Por exemplo, ele permitirá juntar 3 pacotes de 400 bytes em um unico de pacote de 1500 bytes, economizando cabeçalhos e pacotes na rede. Obviamente que com este recurso melhoramos o meio fisico de comunicação, jogando um numero menor de pacotes no cabo de rede.

O RDMA é um recurso que permite e dá suporte ao SMB Direct, um novo recursos dos File Servers. Este recurso permite que dados na memória de um servidor de arquivos seja transmitido diretamente a placa de rede, sem a necessidade da passagem pelo kernel do sistema operacional. Sua performance é similar ao Fibre Channel, que seria uma controladora dedicada (HBA). Sem o RDMA o recurso de Cluster Hyper-V baseado em SMB (File Share) fica comprometido em performance.

Importante: Quando em placas para acesso a storage iSCSI os recursos Offload, RSS e RDMA precisam estar desabilitados pois eles “seguram” os pacotes de dados, causando perda de pacotes e lentidão

Abordei alguns dos recursos existentes e que podem melhorar a performance de algumas funções como a tabela no inicio do artigo.

Se desejar detalhes sobre os recursos, acesse os links http://technet.microsoft.com/en-us/library/jj574168.aspx e http://technet.microsoft.com/pt-br/library/hh831795.aspx

image

Para mais informações sobre o Windows Server 2012, acesse: http://clk.atdmt.com/MBL/go/425205719/direct/01/

Posted: mai 21 2013, 00:52 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Hardware | Windows 2012
Login
Marcelo de Moraes Sincic | MITRE–Comparação entre EDRs
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

MITRE–Comparação entre EDRs

Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)

Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.

Como Avaliar um EDR?

Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.

Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.

Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.

Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?

Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:

  • APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
  • APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
  • Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV

Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.

Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.

Comparative-1

Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:

Comparative-1-Details

Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:

Detalhamento-1

O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.

Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item

Detalhamento-2

Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:

Tecnica aplicada

Como Reproduzir o Mesmo Ambiente Validado nos Testes?

Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.

Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.

Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:

Vendor Configuration

Os comentários estão fechados
Login