Azure Management services: le novità di Maggio 2020

Per rimanere costantemente aggiornati sulle novità riguardanti gli Azure management services, la nostra community rilascia mensilmente questo riepilogo, che consente di avere una panoramica delle principali novità del mese. In questo articolo troverete le novità, riportate in modo sintetico e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuova versione dell’agente per sistemi Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Linux. Le principali novità introdotte sono:

  • Miglioramenti di stabilità e affidabilità.
  • Migliore supporto per Azure Arc for Server.
  • Conformità FIPS.
  • Supporto per RHEL 8.

SHA-2 signing per l’agente di Log Analytics

L’agente Log Analytics per Windows inizierà a imporre la firma SHA-2 a partire dal 17 agosto 2020, posticipando la data precedentemente fissata al 18 maggio 2020. Questa modifica richiede un’azione nel caso si esegua l’agente su una versione del sistema operativo legacy (Windows 7, Windows Server 2008 R2 oppure Windows Server 2008) . I clienti che si trovano in questa condizione devono applicare gli aggiornamenti e le patch più recenti su questi sistemi operativi prima del 17 agosto 2020, altrimenti i loro agenti smetteranno di inviare dati verso i workspace di Log Analytics. Saranno interessati da questo cambiamento i seguenti servizi Azure: Azure Monitor, Azure Automation, Azure Update Management, Azure Change Tracking, Azure Security Center, Azure Sentinel, Windows Defender ATP.

Estensioni delle funzionalità di Azure Monitor

In Azure Monitor sono stati apportati i seguenti miglioramenti che ne espandono le funzionalità e la rendono una soluzione sempre più completa:

  • Disponibilità di Azure Monitor per Azure Storage e di Azure Monitor per Azure Cosmos DB.
  • Preview di Azure Monitor per Azure Key Vault e di Azure Monitor for Redis Cache.
  • Preview di Azure Monitor Application Insights nei workspaces di Azure Monitor Logs.
  • Capacity reservation e CMK encryption con Azure Monitor Logs clusters dedicati per deployments su larga scala.

Disponibilità di Azure Private Link per Azure Monitor
La funzionalità di Azure Private Link è ora disponibile anche per Azure Monitor e permette di avere le seguenti caratteristiche:

  • Connettività privata verso workspace di Azure Monitor Logs e verso Azure Application Insights.
  • Protezione da data exfiltration con accesso granulare verso specifiche risorse.
  • Protezione delle risorse dall’accesso dalla rete pubblica.

Al momento per accesso a queste funzionalità è necessario fare una richiesta in modo esplicito.

Migliorate l’esperienza in fase di cancellazione e ripristino di workspace di Azure Monitor Logs

Microsoft ha aggiunto la funzionalità di soft-delete dei workspace per facilitare se necessario le operazioni di ripristino. A fronte di una cancellazione il workspace passerà infatti in uno stato di soft-delete per consentirne eventualmente il ripristino, includendo dati e agenti connessi, entro 14 giorni. Questo comportamento è possibile aggirarlo ed eliminare definitivamente il workspace. Per evitare l’errata eliminazione dei workspace dal portale Azure è stata aggiunta una sezione specifica dove è possibile consultare quante soluzioni sono installate ed il relativo volume di dati giornaliero ricevuto negli ultimi 7 giorni per tipologia di dato.
Il ripristino del workspace, può ora avvenire direttamente dal portale Azure.

Azure Advisor recommendation digests

Azure Advisor introduce la possibilità di ricevere un riepilogo periodico dei consigli sulle best practice disponibili elaborate dalla soluzione. I recommendation digest di Advisor consentono di rimanere aggiornati sulle opportunità di ottimizzazione di Azure al di fuori del portale di Azure. Le notifiche sono personalizzabili e vengono gestite tramite Action Group di Azure Monitor.

Azure Service Health include anche i problemi emergenti

In Azure Service Health vengono ora riportati anche i problemi emergenti nel portale di Azure. Un problema emergente è una situazione in cui Azure è a conoscenza di un’interruzione diffusa ma potrebbe non essere ancora completamente a conoscenza della portata e dell’ampiezza. In precedenza, i problemi emergenti erano disponibili solo nella pagina Stato di Azure.

Configure

Azure Automation

TLS 1.2 enforcement

A partire dal 1° settembre 2020, Azure Automation imporrà la presenza del Transport Layer Security (TLS) versione 1.2 o successive, per tutti gli endpoint HTTPS esterni.

Secure

Azure Security Center

Modifiche al servizio just-in-time (JIT) virtual machine (VM) access

Nel servizio just-in-time (JIT) virtual machine (VM) access sono state apportate le seguenti modifiche:

  • La raccomandazione che avvisa di abilitare JIT su una VM è stata rinominata da “Just-in-time network access control should be applied on virtual machines” in “Management ports of virtual machines should be protected with just-in-time network access control”.
  • La recommendation viene ora attivata solo se vengono rilevate porte di management aperte.

Custom recommendations posizionate in un pannello separato

Tutte le custom recommendations create per le proprie subscriptions sono ora posizionate nella sezione dedicata “Custom recommendations”.

Account security recommendations spostate nella sezione “Security best practices”

Le seguenti recommendations sono state incluse nella sezione “Security best practices” e non impattano quindi sul secure score:

  • MFA should be enabled on accounts with read permissions on your subscription (originally in the “Enable MFA” control)
  • External accounts with read permissions should be removed from your subscription (originally in the “Manage access and permissions” control)
  • A maximum of 3 owners should be designated for your subscription (originally in the “Manage access and permissions” control)

Microsoft ha deciso di applicare questo cambiamento in quanto ha stabilito che il rischio di queste tre raccomandazioni è inferiore a quanto inizialmente pensato.

Protect

Azure Backup

SAP HANA backup per VM Red Hat Enterprise Linux

In Azure Backup è stata inclusa la protezione dei database SAP HANA su macchine virtuali Red Hat Enterprise Linux (RHEL). Tale funzionalità consente di avere in modo integrato e senza dover prevedere una infrastruttura di backup specifica la protezione dei database SAP HANA su RHEL, uno dei sistemi operativi più comunemente utilizzati in questi scenari.

Protezione dalla cancellazione accidentale delle Azure file shares

Per fornire una maggiore protezione contro gli attacchi informatici e per la cancellazione accidentale, Azure Backup ha aggiunto un ulteriore livello di sicurezza alla soluzione di gestione delle snapshot di Azure file shares. Nel caso vengano eliminate le File Share, i contenuti e i relativi punti di ripristino (snapshots) vengono conservati per un periodo di tempo configurabile, consentendone il ripristino completo senza perdita di dati. Quando si configura la protezione per una file share, Azure Backup abilita la funzionalità di soft-delete a livello di storage account con un periodo di conservazione di 14 giorni, il quale è configurabile in base alle proprie esigenze. Questa impostazione determina la finestra temporale in cui è possibile ripristinare i contenuti e le snapshot delle file share dopo qualsiasi operazione di eliminazione accidentale. Una volta ripristinata la file share, i backup riprendono a funzionare senza la necessità di effettuare ulteriori configurazioni.

Azure Site Recovery

Zone-to-zone disaster recovery disponibile in nuove regions

La funzionalità Zone-to-zone DR è ora disponibile anche nelle region Southeast Asia e UK South. Grazie a questa funzionalità di Azure Site Recovery, chiamata zone-to-zone DR, c’è la possibilità di creare piani di disaster recovery (DR) per macchine virtuali (VM), replicandole tra differenti Availability Zones di Azure. Nel caso una singola Availability Zone di Azure venga compromessa, sarà possibile eseguire il failover delle macchine virtuali in una zona diversa all’interno della stessa area e accedervi dalla Availability Zone secondaria.

Introdotto il supporto per i proximity placement groups

Azure Site Recovery ha introdotto il supporto per i proximity placement groups (PPGs). Grazie a questa funzionalità, qualsiasi virtual machine (VM) ospitata all’interno di un PPG può essere protetta utilizzando Azure Site Recovery. Abilitando la replica di tale VM, è possibile fornire come parametro aggiuntivo un PPG nella regione secondaria. All’attivazione di un processo di failover, Site Recovery inserirà la VM nel PPG di destinazione fornito dall’utente.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Please follow and like us: