Archivi categoria: Azure Arc

La protezione di ambienti multi-cloud con Azure Security Center

La tendenza delle aziende di adottare una strategia multi-cloud è sempre più diffusa, ma questo modello operativo rende particolarmente sfidante ottenere elevati standard di sicurezza per il proprio ambiente. Per rispondere a questa esigenza Microsoft ha ufficialmente reso disponibile il supporto per la sicurezza multi-cloud nella soluzione Azure Security Center, consentendo di contemplare anche le risorse di Amazon Web Services (AWS) e di Google Cloud Platform (GCP). In questo articolo vengono riportare le caratteristiche di questa soluzione che consente di ottenere un elevato grado di sicurezza e migliorare le security posture in ambienti multi-cloud.

Azure Security Center (ASC) è stato originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure. La necessità dei clienti di proteggere le risorse dislocate su più cloud pubblici è però molto diffusa e per questa ragione il team di prodotto ha deciso di ampliare le capacità di azione, semplificando così gli strumenti di gestione della sicurezza in ambienti multi-cloud. Azure Security Center è in grado di proteggere non solo le risorse in ambienti ibridi ma anche di contemplare architetture multi-cloud, includendo AWS e GCP.

Figura 1 – Multi-cloud e hybrid protection in Azure Security Center

Queste le funzionalità che vengono messe a disposizione degli utilizzatori per coprire scenari multi-cloud:

  • Connettendo i propri account AWS oppure GCP ad Azure Security Center è possibile ottenere una visione multi-cloud unificata per quanto riguarda le security posture del proprio ambiente. In particolare, se le soluzioni AWS Security Hub oppure GCP Security Command Center rilevano configurazioni non corrette, queste segnalazioni vengono contemplate nel modello Secure Score e nella valutazione sulle conformità rispetto a specifiche normative (Regulatory Compliance), presenti in Azure Security Center.
  • Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. In particolare, per la funzionalità di vulnerability assessment è possibile effettuare scansioni manuali o su larga scala, ed analizzare le vulnerabilità rilevate, sui sistemi sottoposti a scansione, tramite un’esperienza unificata.

Queste funzionalità si completano con il supporto multi-cloud, anch’esso recentemente annunciato, di Azure Defender for SQL, che permette di monitora costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multi-cloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).

La soluzione Azure Arc ricopre un ruolo fondamentale in tutto ciò e permette di estendere i servizi ed i principi di gestione di Azure a qualsiasi infrastruttura. Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi e multi-cloud, facilitando in questo modo l’implementazione delle funzionalità di security presenti in Azure su tutti i componenti dell’infrastruttura.

Figura 2 – Azure Arc per ambienti ibridi e multi-cloud

Il processo di onboarding e le capacità offerte variano a seconda del cloud pubblico che si intende inglobare in Azure Security Center. Nei paragrafi seguenti vengono riportate le caratteristiche sia per Amazon Web Services (AWS) che per Google Cloud Platform (GCP).

Amazon Web Services (AWS)

Il processo di onboarding del proprio account AWS effettua l’integrazione della soluzione AWS Security Hub con Azure Security Center. In questo modo è possibile ottenere una visibilità ed una protezione completa di questi ambienti cloud per fornire:

  • Provisioning automatico degli agenti. ASC utilizza Azure Arc per la distribuzione dell’agente di Log Analytics a bordo delle istanze AWS.
  • Gestione delle policy.
  • Gestione delle vulnerabilità.
  • EDR (Endpoint Detection and Response) integrato.
  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di AWS Security Hub.
  • Uno score di ASC che contempla anche le risorse AWS.
  • Valutazioni relative alle conformità normativa anche per le risorse AWS.

Nel momento in cui la connessione con AWS Security Hub risulta configurata correttamente:

  • ASC esegue la scansione dell’ambiente AWS alla ricerca di istanze EC2, ne viene fatto l’onboarding in Azure Arc, consentendo l’installazione dell’agente di Log Analytics. In questo modo si ottiene la protezione dalle minacce e si ricevono i consigli sulla sicurezza.
  • Il servizio ASC esegue la scansione di nuove istanze AWS EC2 ogni 6 ore e le integra in base alla configurazione fatta.
  • Lo standard AWS CIS viene mostrato nella dashboard sulle conformità normative di ASC.
  • Se le policy di AWS Security Hub sono abilitate, le relative raccomandazioni verranno visualizzate nel portale di ASC e nella dashboard sulle conformità normative, dopo alcuni minuti dal completamento del processo di onboarding.

Figura 3 – Raccomandazioni di AWS visualizzate nel portale di ASC

Per visualizzare le raccomandazioni attive per le proprie risorse in base alla tipologia, è possibile utilizzare la pagina di asset inventory di Security Center ed applicare il filtro specifico per la tipologia di risorsa AWS che interessa:

Figura 4 – Filtri di visualizzazione per le risorse AWS

Google Cloud Platform (GCP)

Il meccanismo di onboarding del proprio account GCP permette di integrare GCP Security Command con Azure Security Center e di avere una visibilità ed una protezione completa, in particolare fornendo:

  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di GCP Security Command Center.
  • Uno score di ASC che contempla anche le risorse GCP.
  • Integrazione dei consigli di GCP Security Command Center basati sullo standard CIS all’interno della dashboard di conformità delle normative di Azure Security Center.

Nel momento in cui la connessione con GCP Security Command risulta completata:

  • Lo standard GCP CIS viene mostrato nella dashboard delle conformità normative di ASC.
  • Le raccomandazioni sulla sicurezza per le risorse dislocate in GCP verranno visualizzate nel portale di Azure Security Center e nella dashboard delle conformità normative dopo alcuni minuti dal completamento dell’onboarding.

Figura 5 – Raccomandazioni di GCP visualizzate nel portale di ASC

L’onboarding delle macchine virtuali GCP è al momento manuale, ma si possono adottare script per farlo su larga scala.

Nella pagina delle raccomandazioni di Azure Security Center sarà possibile visualizzare tutte le raccomandazioni di security delle risorse Azure insieme a quelle di AWS e di GCP, ottenendo così una visualizzazione multi-cloud.

Conclusioni

La possibilità di adottare Azure Security Center come soluzione centralizzata di controllo, dove confluiscono le informazioni di sicurezza provenienti anche da altri cloud pubblici, unita alle possibilità date dall’integrazione con Azure Arc, per estendere la protezione dei propri sistemi, permette di ottenere un elevato grado di sicurezza e di migliorare le security posture in ambienti multi-cloud. L’adozione di strategie multi-cloud sarà sempre più diffusa e Microsoft continuerà ad espandere Azure Security Center per fornire le migliori soluzioni per proteggere Azure, ambienti ibridi e modelli operativi multi-cloud.

Azure Arc: nuove funzionalità per gestire sistemi in ambienti ibridi

La complessità degli ambienti IT è in continua espansione al punto da avere realtà con applicazioni basate su diverse tecnologie, attive su infrastrutture eterogenee e che magari utilizzano soluzioni in differenti cloud pubblici. L’esigenza molto sentita dai clienti è di poter adottare una soluzione che, in modo centralizzato, consenta di inventariare, organizzare e applicare delle policy di controllo sulle proprie risorse IT ovunque si trovino. La risposta di Microsoft a questa esigenza è Azure Arc, la soluzione che coinvolge diverse tecnologie con l’obiettivo di sviluppare nuovi scenari ibridi, dove i servizi e i principi di gestione di Azure vengono estesi a qualsiasi infrastruttura. In questo articolo vengono riportate le nuove funzionalità che sono state recentemente introdotte per estendere la capacità di gestione degli ambienti ibridi.

I server abilitati per la soluzione Azure Arc possono già beneficiare di diverse funzionalità legate ad Azure Resource Manager come Tags, Policies e RBAC, oltre che ad alcune funzionalità relative ad Azure Management.

Figura 1 – Azure Management per tutte le risorse IT

Grazie al nuovo aggiornamento che è stato recentemente annunciato è possibile utilizzare nuove estensioni, chiamate Azure Arc Extensions, per ampliare le funzionalità ed estendere ulteriormente le pratiche di gestione e di governance di Azure anche ad ambienti differenti. Questo consente di adottare sempre più soluzioni tipicamente cloud, come tecniche DevOps (infrastructure as code), anche per gli ambienti on-premises.

Azure Arc Extensions

Le Azure Arc Extensions sono delle applicazioni che consentono di effettuare delle configurazioni e di eseguire dei task di automazione post-deployment. Queste estensioni possono essere eseguite direttamente da riga di comando Azure, da PowerShell oppure dal portale di Azure.

Al momento sono disponibili le seguenti Azure Arc Extensions che possono essere distribuite sui server abilitati per Azure Arc.

Custom Script Extension per sistemi Windows e Linux

Grazie a questa estensione è possibile eseguire dei task post provisioning della macchina per effettuare delle personalizzazioni dell’ambiente. Aggiungendo questa estensione è infatti possibile scaricare degli script personalizzati, ad esempio da Azure Storage, ed eseguirli direttamente sulla macchina.

Figura 2 – Custom Script Extension, per sistemi Windows abilitati per Azure Arc, dal portale Azure

Durante il deployment della Custom Script Extension è possibile aggiungere il file che contiene lo script da eseguire e opzionalmente i relativi parametri. Per i Sistemi Linux si tratta di uno script shell (.sh), mentre per Windows di uno script Powershell (.ps1).

Desired State Configuration extension su sistemi Windows e Ubuntu (DSCForLinux)

Desired State Configuration (DSC) è una piattaforma di gestione che è possibile utilizzare per gestire l’infrastruttura IT e di sviluppo in ottica di “configuration as code”.

DSC per Windows fornisce nuovi cmdlet di Windows PowerShell e risorse che è possibile utilizzare per specificare in modo dichiarativo come si desidera configurare l’ambiente software. Fornisce inoltre uno strumento utile per mantenere e gestire le configurazioni esistenti. Questa extension funziona come l’estensione per le macchine virtuali in Azure, ma è progettata per essere distribuita sui server abilitati per Azure Arc.

Figura 3 – PowerShell Desired State Configuration, per sistemi Windows abilitati per Azure Arc, dal portale Azure

L’estensione DSCForLinux consente di installare l’OMI agent e il DSC agent sui sistemi Ubuntu abilitati per Azure Arc. L’extension DSC permette di effettuare le seguenti azioni:

  • Registrare la VM ad un Azure Automation account per estrarre (pull) delle configurazioni (Register ExtensionAction).
  • Distribuire delle configurazioni MOF (Push ExtensionAction).
  • Applicare la configurazione meta MOF alla VM per configurare un pull server al fine di estrarre la configurazione del nodo (Pull ExtensionAction).
  • Installare moduli DSC personalizzati (Install ExtensionAction).
  • Rimuovere moduli DSC personalizzati (Remove ExtensionAction).

 

OMS Agent for Linux – Microsoft Monitoring Agent

L’installazione di questo agente consente raccogliere i dati di monitor dal sistema operativo guest e dai workload applicativi dei sistemi e di inviarli a un workspace di Log Analytics. Questo agente viene utilizzato da diverse soluzioni di management di Azure, tra le quali Azure Monitor, Azure Security Center, ed Azure Sentinel. Sebbene oggi sia possibile monitorare VMs non di Azure anche senza Azure Arc, l’utilizzo di questa estensione consente di rilevare e gestire automaticamente gli agenti nelle VMs. Una volta integrati, i server abilitati ad Azure Arc si adatteranno perfettamente alle viste esistenti del portale Azure insieme alle macchine virtuali presenti in Azure e agli Azure scale sets.

Dopo aver distribuito l’agente di Azure Arc sui sistemi è possibile installare il Microsoft Monitoring Agent (MMA) usando questa extension, semplicemente aggiungendo l’ID del workspace di Log Analytics e la relativa key.

Figura 4 – Microsoft Monitoring Agent extension per Azure Arc dal portale Azure

Grazie alla disponibilità di queste nuove extension, i server abilitati per Azure Arc dispongono anche di funzionalità come Update Management, Inventory, Change Tracking e monitor.

Update Management

La soluzione di Update Management consente di avere una visibilità complessiva sulla compliance degli update sia per sistemi Windows che Linux. Tramite il pannello di ricerca è possibile identificare velocemente gli update mancati ed è prevista la possibilità di schedulare dei deployment per l’installazione degli update all’interno di una specifica finestra di manutenzione.

Inventory

Questa funzionalità consente di recuperare informazioni di inventario relative a: software installati, files, chiavi Windows Registry, Servizi Windows e Daemons Linux.

Change Tracking

La funzionalità di Change Tracking consente di monitorare le modifiche apportate ai sistemi relativamente a Daemons, File, Registry, Software e Servizi Windows. Tale funzionalità può risultare molto utile per diagnosticare problemi specifici e per abilitare segnalazioni a fronte di cambiamenti non attesi.

Conclusioni

Grazie alla disponibilità di queste nuove extension è possibile usufruire di funzionalità maggiori, in ambito governance e management tipiche di Azure, anche per gli ambienti hybrid cloud. Si tratta di una importante evoluzione di questa soluzione, al momento ancora in preview, che è destinata presto ad arricchirsi ulteriormente con nuove importanti funzionalità.

Azure Hybrid Cloud: panoramica del nuovo portfolio Azure Stack

Nelle realtà aziendali l’adozione di soluzioni totalmente basate nel cloud non sempre risulta essere una scelta percorribile o la migliore in assoluto, spesso si devono necessariamente adottare soluzioni ibride, che comunque contemplano la possibilità di utilizzo anche delle innovazioni introdotte dal cloud. Microsoft, consapevole di ciò, ha recentemente annunciato diverse novità nella proposizione delle sue soluzioni in ambito Hybryd Cloud estendendo il proprio portfolio per renderlo più completo e maggiorerete adattabile alle esigenze dei clienti. In questo articolo viene riportato come è stata ampliata e modificata la gamma delle soluzioni Microsoft in ambito Azure Stack.

Attualmente le soluzioni incluse nel portfolio Azure Stack sono le seguenti:

  • Azure Stack Hub (in precedenza chiamato solo “Azure Stack”)
  • Azure Stack Edge (in precedenza chiamato “Azure Data Box Edge”)
  • Azure Stack HCI

Figura 1 – Famiglia di prodotti Azure Stack

Azure Stack Hub

Azure Stack Hub che, prima di questa revisione del portfolio prodotti, era conosciuto con il nome Azure Stack continua ad essere l’offerta per le realtà enterprise e per i clienti dei settori pubblici, che necessitano di un ambiente cloud ma disconnesso da Internet oppure che devono soddisfare specifici requisiti normativi e di conformità. Azure Stack Hub permette di erogare i servizi Azure nelle location che si desidera. La soluzione continua ad evolversi per contemplare una gamma sempre più ampia di servizi, tra i quali:

  • Kubernetes con l’integrazione di Azure Kubernetes Service (AKS) per automatizzare la creazione, l’aggiornamento e lo scaling di ambienti cluster.
  • Supporto per machine virtuali N-Series che includono il supporto GPU.
  • Event Hubs (prevista la preview quest’anno)
  • Azure Stream Analytics (prevista la preview quest’anno)
  • Windows Virtual Desktop (WVD) (prevista la preview quest’anno)
  • Azure Data Services con Azure Arc (prevista la preview quest’anno)

Azure Stack Edge

Azure Stack Edge, in precedenza conosciuto come Azure Databox Edge, è una appliance gestita di Azure in grado di portare la potenza computazionale, lo storage e l’intelligenza del cloud in un edge remoto del cliente. Il cliente può effettuare l’ordine ed il provisioning di Azure Stack Edge direttamente dal portale Azure, per poi utilizzare gli strumenti classici di gestione di Azure per farne il monitoring ed eseguirne gli aggiornamenti. Non sono richiesti costi iniziali per ottenere questa appliance, ma sarà contemplata mensilmente nella fatturazione dei servizi Azure. La grande novità riguardante Azure Stack Edge è che saranno supportati nuove funzionalità, tra le principali troviamo:

  • Esecuzione di machine virtuali
  • Cluster Kubernetes
  • Supporto per GPU NVIDIA
  • Supporto per l’alta disponibilità

Azure Stack Edge sarà inoltre disponibile in una versione “rugged”, per resistere a condizioni ambientali estreme, e in una versione alimentata a batterie, per essere facilmente trasportata.

Azure Stack HCI

Con l’arrivo di Windows Server 2019, Microsoft ha introdotto la soluzione Azure Stack HCI, che consente l’esecuzione di macchine virtuali ed un’ampia connessione a differenti servizi offerti da Azure. Si tratta di una infrastruttura hyper-converged (HCI), dove vengono rimossi diversi componenti hardware, sostituti dal software, in grado di unire i layer di elaborazione, storage e rete in un’unica soluzione. Si tratta dell’evoluzione della soluzione Windows Server Software-Defined (WSSD) disponibile in passato con Windows Server 2016. Azure Stack HCI con Windows Server 2019, consente l’utilizzo di Hyper-V, un ormai solido e affidabile hypervisor, insieme alle soluzioni di Software Defined Storage e Software Defined Networking. A questo viene aggiunto Windows Admin Center, che consente di gestire totalmente e da interfaccia grafica l’ambiente hyper-converged.

Azure Stack HCI condivide le stesse tecnologie software-defined utilizzate anche da Azure Stack Hub ed è richiesta l’adozione di hardware testato e validato in modo specifico per la soluzione. Per poter ottenere la certificazione l’hardware è sottoposto infatti a rigorosi test di validazione, che garantiscono l’affidabilità e la stabilità della soluzione. Per consultare le differenti soluzioni Azure Stack HCI dei vari vendor hardware è possibile accedere a questa pagina. Azure Stack HCI può essere utilizzato per ambienti più piccoli con un minimo di due nodi e può scalare fino ad un massimo di 16 nodi. Questo la rende una soluzione adatta a differenti scenari di utilizzo.

Conclusioni

Per rispondere al meglio alle esigenze dei differenti client in questo ambito Microsoft ha rivisitato il proprio portfolio prodotti. Il portfolio Azure Stack combinato con Azure Arc, permette di ottenere un ambiente dove i servizi e la gestione di Azure vengono riportati su modelli di infrastruttura validati e integrati, il tutto in modo complementare.

Azure Arc: un nuovo approccio agli ambienti ibridi

L’impiego di architetture ibride nelle realtà aziendali è sempre più preponderante, in quanto consentono di continuare a trarre vantaggio dagli investimenti fatti nel proprio ambiente on-premises e, allo stesso tempo, utilizzare l’innovazione introdotta dal cloud. L’adozione di soluzioni ibride risulta vincente se tiene conto anche di una politica condivisa per la distribuzione, la gestione e la messa sicurezza dei componenti. Senza coerenza nella gestione dei differenti ambienti, i costi e la complessità rischiano di crescere in modo esponenziale. Microsoft ha deciso di rispondere a questa esigenza con la soluzione Azure Arc, che coinvolge una serie di tecnologie con l’obiettivo di sviluppare nuovi scenari ibridi, dove i servizi e i principi di gestione di Azure vengono estesi a qualsiasi infrastruttura. In questo articolo viene presentato l’approccio adottato da Azure Arc per gli ambienti ibridi.

La complessità degli ambienti IT è in continua espansione al punto da riscontrare realtà con applicazioni basate su diverse tecnologie, attive su infrastrutture eterogenee e magari che adottano soluzioni in differenti cloud pubblici. L’esigenza molto sentita dai clienti è di poter adottare una soluzione che in modo centralizzato consenta di inventariare, organizzare e applicare delle policy di controllo sulle proprie risorse IT ovunque si trovino.

Il principio che sta alla base di Azure Arc è quello di estendere le pratiche di gestione e di governance di Azure anche ad ambienti differenti e di adottare soluzioni tipicamente cloud, come tecniche DevOps (infrastructure as code), anche per gli ambienti on-premises.

Figura 1 – Panoramica di Azure Arc

Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi, facilitando in questo modo l’implementazione delle funzionalità di security presenti in Azure su tutti i componenti dell’infrastruttura.

Figura 2 – Azure Management per tutte le risorse

Azure Arc consiste in un insieme di differenti tecnologie e di componenti che permette di:

  • Gestire le applicazioni in ambienti Kubernetes: viene fornita la possibilità di effettuare il deploy e la configurazione delle applicazioni Kubernetes in modo omogeneo su tutti gli ambienti, adottando le moderne tecniche DevOps.
  • Consentire l’esecuzione degli Azure data services su qualsiasi infrastruttura: il tutto si basa sull’adozione di Kubernetes e permette di rispettare più facilmente i criteri di compliance, di migliorare la sicurezza dei dati e di avere una notevole flessibilità in fase di deploy. Al momento i servizi contemplati sono Azure SQL Database e Azure Database for PostgreSQL.
  • Organizzare, gestire e governare tutti i sistemi server: Azure Arc estende infatti le possibilità offerte in ambito governance e management da Azure anche alle macchine fisiche e ai sistemi virtuali presenti in ambienti differenti. Tale soluzione è chiamata nello specifico Azure Arc for servers.

Figura 3 – Tecnologie di Azure Arc

Azure Arc prevede l’utilizzo di Resource Provider specifici per Azure Resource Manager ed è necessaria l’installazione degli agenti di Azure Arc.

Accedendo al portale si può notare come Azure Arc for Servers sia già attualmente disponibile in preview pubblica, mentre è necessario effettuare una registrazione per gestire in preview gli ambienti Kubernetes e i data services.

Figura 4 – Azure Arc nel portale Azure

Grazie all’adozione di Azure Arc che introduce una visione complessiva, è possibile raggiungere, per le proprie architetture ibride, i seguenti obiettivi, difficilmente perseguibili diversamente:

  • Standardizzazione delle operazioni
  • Organizzazione delle risorse
  • Sicurezza
  • Controllo dei costi
  • Business Continuity
  • Rispetto delle normative e della compliance aziendale

Figura 5 – Cloud-native governance con Azure Arc

Conclusioni

Azure Arc è stato recentemente annunciato e nonostante si trovi ancora in una fase embrionale, ritengo che possa evolvere notevolmente al punto da rivoluzionare la gestione e lo sviluppo degli ambienti ibridi. Per mantenersi aggiornati su come si svilupperà questa soluzione è possibile registrarsi a questa pagina.