Archivi categoria: Azure Management

Azure Management services: le novità di Maggio 2020

Per rimanere costantemente aggiornati sulle novità riguardanti gli Azure management services, la nostra community rilascia mensilmente questo riepilogo, che consente di avere una panoramica delle principali novità del mese. In questo articolo troverete le novità, riportate in modo sintetico e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuova versione dell’agente per sistemi Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Linux. Le principali novità introdotte sono:

  • Miglioramenti di stabilità e affidabilità.
  • Migliore supporto per Azure Arc for Server.
  • Conformità FIPS.
  • Supporto per RHEL 8.

SHA-2 signing per l’agente di Log Analytics

L’agente Log Analytics per Windows inizierà a imporre la firma SHA-2 a partire dal 17 agosto 2020, posticipando la data precedentemente fissata al 18 maggio 2020. Questa modifica richiede un’azione nel caso si esegua l’agente su una versione del sistema operativo legacy (Windows 7, Windows Server 2008 R2 oppure Windows Server 2008) . I clienti che si trovano in questa condizione devono applicare gli aggiornamenti e le patch più recenti su questi sistemi operativi prima del 17 agosto 2020, altrimenti i loro agenti smetteranno di inviare dati verso i workspace di Log Analytics. Saranno interessati da questo cambiamento i seguenti servizi Azure: Azure Monitor, Azure Automation, Azure Update Management, Azure Change Tracking, Azure Security Center, Azure Sentinel, Windows Defender ATP.

Estensioni delle funzionalità di Azure Monitor

In Azure Monitor sono stati apportati i seguenti miglioramenti che ne espandono le funzionalità e la rendono una soluzione sempre più completa:

  • Disponibilità di Azure Monitor per Azure Storage e di Azure Monitor per Azure Cosmos DB.
  • Preview di Azure Monitor per Azure Key Vault e di Azure Monitor for Redis Cache.
  • Preview di Azure Monitor Application Insights nei workspaces di Azure Monitor Logs.
  • Capacity reservation e CMK encryption con Azure Monitor Logs clusters dedicati per deployments su larga scala.

Disponibilità di Azure Private Link per Azure Monitor
La funzionalità di Azure Private Link è ora disponibile anche per Azure Monitor e permette di avere le seguenti caratteristiche:

  • Connettività privata verso workspace di Azure Monitor Logs e verso Azure Application Insights.
  • Protezione da data exfiltration con accesso granulare verso specifiche risorse.
  • Protezione delle risorse dall’accesso dalla rete pubblica.

Al momento per accesso a queste funzionalità è necessario fare una richiesta in modo esplicito.

Migliorate l’esperienza in fase di cancellazione e ripristino di workspace di Azure Monitor Logs

Microsoft ha aggiunto la funzionalità di soft-delete dei workspace per facilitare se necessario le operazioni di ripristino. A fronte di una cancellazione il workspace passerà infatti in uno stato di soft-delete per consentirne eventualmente il ripristino, includendo dati e agenti connessi, entro 14 giorni. Questo comportamento è possibile aggirarlo ed eliminare definitivamente il workspace. Per evitare l’errata eliminazione dei workspace dal portale Azure è stata aggiunta una sezione specifica dove è possibile consultare quante soluzioni sono installate ed il relativo volume di dati giornaliero ricevuto negli ultimi 7 giorni per tipologia di dato.
Il ripristino del workspace, può ora avvenire direttamente dal portale Azure.

Azure Advisor recommendation digests

Azure Advisor introduce la possibilità di ricevere un riepilogo periodico dei consigli sulle best practice disponibili elaborate dalla soluzione. I recommendation digest di Advisor consentono di rimanere aggiornati sulle opportunità di ottimizzazione di Azure al di fuori del portale di Azure. Le notifiche sono personalizzabili e vengono gestite tramite Action Group di Azure Monitor.

Azure Service Health include anche i problemi emergenti

In Azure Service Health vengono ora riportati anche i problemi emergenti nel portale di Azure. Un problema emergente è una situazione in cui Azure è a conoscenza di un’interruzione diffusa ma potrebbe non essere ancora completamente a conoscenza della portata e dell’ampiezza. In precedenza, i problemi emergenti erano disponibili solo nella pagina Stato di Azure.

Configure

Azure Automation

TLS 1.2 enforcement

A partire dal 1° settembre 2020, Azure Automation imporrà la presenza del Transport Layer Security (TLS) versione 1.2 o successive, per tutti gli endpoint HTTPS esterni.

Secure

Azure Security Center

Modifiche al servizio just-in-time (JIT) virtual machine (VM) access

Nel servizio just-in-time (JIT) virtual machine (VM) access sono state apportate le seguenti modifiche:

  • La raccomandazione che avvisa di abilitare JIT su una VM è stata rinominata da “Just-in-time network access control should be applied on virtual machines” in “Management ports of virtual machines should be protected with just-in-time network access control”.
  • La recommendation viene ora attivata solo se vengono rilevate porte di management aperte.

Custom recommendations posizionate in un pannello separato

Tutte le custom recommendations create per le proprie subscriptions sono ora posizionate nella sezione dedicata “Custom recommendations”.

Account security recommendations spostate nella sezione “Security best practices”

Le seguenti recommendations sono state incluse nella sezione “Security best practices” e non impattano quindi sul secure score:

  • MFA should be enabled on accounts with read permissions on your subscription (originally in the “Enable MFA” control)
  • External accounts with read permissions should be removed from your subscription (originally in the “Manage access and permissions” control)
  • A maximum of 3 owners should be designated for your subscription (originally in the “Manage access and permissions” control)

Microsoft ha deciso di applicare questo cambiamento in quanto ha stabilito che il rischio di queste tre raccomandazioni è inferiore a quanto inizialmente pensato.

Protect

Azure Backup

SAP HANA backup per VM Red Hat Enterprise Linux

In Azure Backup è stata inclusa la protezione dei database SAP HANA su macchine virtuali Red Hat Enterprise Linux (RHEL). Tale funzionalità consente di avere in modo integrato e senza dover prevedere una infrastruttura di backup specifica la protezione dei database SAP HANA su RHEL, uno dei sistemi operativi più comunemente utilizzati in questi scenari.

Protezione dalla cancellazione accidentale delle Azure file shares

Per fornire una maggiore protezione contro gli attacchi informatici e per la cancellazione accidentale, Azure Backup ha aggiunto un ulteriore livello di sicurezza alla soluzione di gestione delle snapshot di Azure file shares. Nel caso vengano eliminate le File Share, i contenuti e i relativi punti di ripristino (snapshots) vengono conservati per un periodo di tempo configurabile, consentendone il ripristino completo senza perdita di dati. Quando si configura la protezione per una file share, Azure Backup abilita la funzionalità di soft-delete a livello di storage account con un periodo di conservazione di 14 giorni, il quale è configurabile in base alle proprie esigenze. Questa impostazione determina la finestra temporale in cui è possibile ripristinare i contenuti e le snapshot delle file share dopo qualsiasi operazione di eliminazione accidentale. Una volta ripristinata la file share, i backup riprendono a funzionare senza la necessità di effettuare ulteriori configurazioni.

Azure Site Recovery

Zone-to-zone disaster recovery disponibile in nuove regions

La funzionalità Zone-to-zone DR è ora disponibile anche nelle region Southeast Asia e UK South. Grazie a questa funzionalità di Azure Site Recovery, chiamata zone-to-zone DR, c’è la possibilità di creare piani di disaster recovery (DR) per macchine virtuali (VM), replicandole tra differenti Availability Zones di Azure. Nel caso una singola Availability Zone di Azure venga compromessa, sarà possibile eseguire il failover delle macchine virtuali in una zona diversa all’interno della stessa area e accedervi dalla Availability Zone secondaria.

Introdotto il supporto per i proximity placement groups

Azure Site Recovery ha introdotto il supporto per i proximity placement groups (PPGs). Grazie a questa funzionalità, qualsiasi virtual machine (VM) ospitata all’interno di un PPG può essere protetta utilizzando Azure Site Recovery. Abilitando la replica di tale VM, è possibile fornire come parametro aggiuntivo un PPG nella regione secondaria. All’attivazione di un processo di failover, Site Recovery inserirà la VM nel PPG di destinazione fornito dall’utente.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure Management services: le novità di Aprile 2020

A partire da questo mese si rinnova la serie di articoli rilasciati dalla nostra community relativi alle novità degli Azure management services. Saranno articoli, pubblicati con cadenza mensile, dedicati esclusivamente a questi argomenti per aver un maggior livello di approfondimento.

Il management si riferisce alle attività e ai processi necessari per mantenere al meglio le applicazioni aziendali e le risorse che le supportano. Azure offre numerosi servizi e strumenti fortemente correlati tra di loro per fornire una esperienza di management completa. Questi servizi non sono dedicati esclusivamente alle risorse Azure, ma possono potenzialmente essere utilizzati anche per ambienti dislocati on-premises o presso altri cloud pubblici.

Il diagramma seguente mostra le diverse aree relative al management, che saranno contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor per containers: supporto del monitoring sull’utilizzo delle GPU su node pool GPU-enabled di AKS

Azure Monitor per containers ha introdotto la possibilità di effettuare il monitor sull’utilizzo delle GPU in ambienti Azure Kubernetes Service (AKS) con nodi che sfruttano le GPU. Al momento sono supportati come vendors NVIDIA e AMD.
Questa funzionalità di monitoring può essere utile per:

  • Controllare la disponibilità di GPU sui nodi, l’utilizzo della GPU memory e lo stato delle richieste di GPU da parte dei pods.
  • Visualizzare le informazioni raccolte tramite il workbook built-in disponibile nella workbook gallery.
  • Generare alert sullo stato dei pod

Export di alert e raccomandazioni verso altre soluzioni

In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. La funzionalità è chiamata Continuos Export e viene descritta in modo dettagliato in questo articolo.

Funzionalità di Workflow automation

Azure Security Center include la possibilità di disporre di workflow per la risposta agli incidenti di security. Tali processi potrebbero includere notifiche, l’avvio di un processo di change management e l’applicazione di specifiche operazioni di remediation. La raccomandazione è di automatizzare il maggior numero possibile di procedure in quanto l’automation può migliorare la sicurezza garantendo che le fasi del processo vengano eseguite in modo rapido, coerente e in base ai requisiti predefiniti. In Azure Security Center è stata resa disponibile la funzionalità di workflow automation. Può essere utilizzata per scatenare in modo automatico il trigger di Logic Apps sulla base di alerts di security e sulle raccomandazioni. Inoltre, l’esecuzione manuale di trigger è disponibile per gli alerts di security e per le raccomandazioni che hanno disponibile l’opzione di quick fix.

Integrazione con Windows Admin Center

Risulta ora possibile includere direttamente da Windows Admin Center in Azure Security Center i sistemi Windows Server che risiedono on-premises.

Azure Monitor Application Insights: monitor di applicazioni Java codeless

Il monitor di applicazioni Java è ora reso possibile senza apportare modifiche al codice, grazie ad Azure Monitor Application Insights. In preview è infatti disponibile il nuovo agente codeless Java. Tra le librerie e i frameworks supportati dal nuovo agente Java troviamo:

  • gRPC.
  • Netty/Webflux.
  • JMS.
  • Cassandra.
  • MongoDB.

Ritiro della solution di Office 365

Per la solution “Azure Monitor Office 365 management (Preview)”, che consente di effettuare l’invio dei log di Office 365 verso Azure Monitor Log Analytics è previsto il ritiro il 30 Luglio 2020. Questa solution è stata sostituita dalla solution di Office 365 presente in Azure Sentinel e dalla solution “Azure AD reporting and monitoring”. La combinazione di queste due solution è in grado di offrire una miglior experience nella configurazione e nel relativo utilizzo.

Azure Monitor per Containers: supporto per Azure Red Hat OpenShift

Azure Monitor per Containers ora supporta in preview anche il monitor per cluster Kubernetes ospitati su Azure Red Hat OpenShift versione 4.x & OpenShift versione 4.x.

Azure Monitor Logs: limitazioni su query concorrenti

Per garantire un’esperienza coerente per tutti gli utenti nella consultazione dei Log di Azure Monitor, verranno gradualmente implementati nuovi limiti di concorrenza. Questo contribuirà a proteggersi dall’invio di un numero eccessivo di query contemporaneamente, che potrebbe potenzialmente sovraccaricare le risorse di sistema e compromettere la reattività. Questi limiti sono progettati per intervenire e limitare solo scenari di utilizzo estremi, ma non dovrebbero essere rilevanti per l’uso tipico della soluzione.

Secure

Azure Security Center

Disponibilità del Dynamic compliance packages

La regulatory compliance dashboard di Azure Security Center include ora il dynamic compliance packages per tracciare ulteriori standard di settore e normativi. I dynamic compliance packages possono essere aggiunti a livello di subscription oppure di management group dalla pagina delle policy di Security Center. Dopo aver inserito uno standard o un benchmark, questo viene visualizzato nella dashboard di conformità normativa con tutti i relativi dati. Sarà inoltre disponibile per il download un report di riepilogo per tutti gli standard che sono stati integrati.

Incluse le raccomandazioni di Identity nel tier free di Azure Security Center

Le raccomandazioni di security relative all’identity e all’accesso sono state incluse nel tier free di Azure Security Center. Questo aspetto consente di aumentare gratuitamente le funzionalità in ambito cloud security posture management (CSPM). Prima di questa moditifca, tali raccomandazioni erano disponibili solo nel tier Standard di Azure Security Center. Si riportano alcuni esempi di raccomandazioni relative all’identity e all’accesso:

  • “Multifactor authentication should be enabled on accounts with owner permissions on your subscription.”
  • “A maximum of three owners should be designated for your subscription.”
  • “Deprecated accounts should be removed from your subscription.”

Protect

Azure Backup

Cross Region Restore (CRR) per le macchine virtuali Azure

Grazie all’introduzione di questa nuova funzionalità in Azure Backup viene introdotta la possibilità di avviare a piacimento i ripristini in una regione secondaria, rendendoli completamente controllati dal cliente. Per farlo è necessario che il Recovery Service vault che detiene i backup sia impostato in ridondanza geografica; in questo modo i dati di backup nella region primaria sono replicati geograficamente nella regione secondaria associata ad Azure (paired region).

Figura 1 – Nuovi possibili scenari dati dal Cross Region Restore (CRR)

Azure Files share snapshot management

In Azure Backup è stata introdotta la possibilità di creare snapshots di Azure Files share, giornaliere, settimanali, mensili, e annuali e mantenerle fino a 10 anni.

Figura 2 – Azure Files share snapshot management

Supporto per la sostituzione dei dischi esistenti per le VM con immagini personalizzate

In Azure Backup è stato introdotto il supporto, durante le fasi del ripristino, per sostituire i dischi esistenti nelle macchine virtuali create con immagini personalizzate.

SAP HANA backup

In Azure Backup la protezione dei DB di SAP HANA presenti nelle macchine virtuali è disponibile in tutte le principali region di Azure. Tale funzionalità consente di avere in modo integrato e senza dover prevedere una infrastruttura di backup specifica la protezione dei database SAP HANA. Questa soluzione risulta ufficialmente certificata da SAP.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.