Archivi categoria: Azure Networking

Come attivare un servizio SFTP in Azure basato su Container

Un protocollo di comunicazione che viene comunemente utilizzato per il trasferimento di file tra differenti realtà aziendali è certamente SFTP (SSH File Transfer Protocol oppure Secure File Transfer Protocol). Ad oggi, in Azure non è disponibile un servizio di piattaforma totalmente gestito che consenta di erogare un accesso tramite il protocollo SFTP. L’attivazione di una macchina virtuale in Azure che ospiti il servizio SFTP comporta costi di attivazione e un effort di gestione non trascurabili. In questo articolo viene riportata una soluzione che è possibile adottare per erogare in ambiente Azure il servizio SFTP, basata su Azure Container Instances (ACI) ed Azure File Shares.

La soluzione proposta si basa sui seguenti componenti:

  • Azure Container Instances (ACI), che in Azure è il metodo più semplice e rapido per l’esecuzione di containers on-demand in un ambiente serverless gestito. Il tutto viene reso possibile senza dover attivare macchine virtuali specifiche e la manutenzione necessaria è pressoché trascurabile. La soluzione Azure Container Instances è idonea in scenari che richiedono containers isolati, senza la necessità di adottare un sistema di orchestrazione. Il servizio Azure Container Instances comporta dei costi minimi che dipendono dal numero di vCPU e di GBs di memoria utilizzati dal container group. Per maggiori dettagli sui costi è possibile consultare la relativa pagina ufficiale Microsoft.
  • Azure File, il servizio Azure gestito che permette di accedere a file shares nel cloud tramite il protocollo Server Message Block (SMB).

Figura 1 – Architettura Azure

Sarà quindi attivato un container docker basato su Linux per erogare il servizio SFTP tramite Azure Container Instance (ACI). Per poter avere un accesso persistente allo storage dal container verrà fatto il mount di una Azure Files Shares. I file trasferiti tramite il servizio SFTP saranno pertanto anche accessibili tramite protocollo SMB, gestendo le opportune autorizzazioni, anche fermando l’esecuzione del container creato.

Per effettuare il deploy di questa soluzione è possibile utilizzare come base di partenza i template referenziati in questo documento Microsoft. Si tratta di due template, dove il primo prevede anche la creazione di uno storage account, ma di tipologia V1.

Figura 2 – Deployment tramite template custom

Al fine di ottenere una corretta integrazione con ambienti Azure esistenti e per garantire un accesso filtrato al servizio SFTP è necessario effettuare il deploy di container instances all’interno di una virtual network di Azure. Per fare ciò è necessario attivare una funzionalità in preview, che come tale ha alcune limitazioni, tra le quali non supporta scenari di Virtual Network tra di loro in peering. In questo scenario, qualora sia richiesta la pubblicazione del servizio SFTP verso internet, questa dovrà necessariamente avvenire tramite Azure Firewall, in quanto non è supportata l’assegnazione diretta di IP Pubblici agli Azure Container configurati in Virtual Network. Al fine di migliorare le security posture del vostro ambiente Azure è inoltre consigliabile:

  • Adottare un approccio legato alla micro-segmentazione e alla definizione di perimetri granulari nell’architettura di rete in Azure. Per fare ciò, oltre all’adozione di Azure Firewall, è necessario prevedere l’utilizzo dei Network Security Groups (NSGs), lo strumento utilizzato per segregare il traffico di rete internamente alla Virtual Network di Azure. Tramite delle regole di deny e permit è possibile filtrate le comunicazioni tra le differenti subnet dove sono attestati i differenti workload applicativi.
  • Prevedere l’utilizzo dei Virtual Network (VNet) service endpoints per aumentare il livello di sicurezza dello Storage Account, prevenendo accessi non autorizzati. I vNet Service Endpoints consentono di isolare maggiormente i servizi Azure, permettendo l’accesso ad essi solamente da una o più subnet definite nelle proprie Virtual Network. Questa funzionalità garantisce inoltre che tutto il traffico generato dalle proprie vNet verso i servizi Azure rimanga sempre all’interno della rete di backbone di Azure.

Per rendere completa questa soluzione è necessario prevedere anche una strategia di protezione dei dati che vengono posizionati sullo storage account tramite il servizio SFTP. Il backup dei contenuti trasferiti tramite servizio SFTP su Azure file shares potrà avvenire utilizzando Azure Backup. Anche in questo caso si tratta al momento di una funzionalità in preview, quindi si potrà avere una protezione con una frequenza giornaliera.

Ad oggi, in alternativa a questa soluzione è possibile adottare soluzioni di terze parti disponibili nel marketplace di Azure per erogare il servizio SFTP. Si tratta di soluzioni nettamente più costose che tipicamente richiedono un effort maggiore per il deployment e per la relativa gestione.

Conclusioni

In attesa che Microsoft rilasci un servizio SFTP totalmente gestito in Azure, questa soluzione proposta consente di erogare in modo semplice e veloce questo servizio, con costi ridotti e senza dover mantenere e gestire delle macchine virtuali. L’adozione di questa soluzione necessità l’integrazione con altri servizi della piattaforma Azure per realizzarla in modo efficace, senza tralasciare l’aspetto sicurezza. Al momento potrebbe essere necessario utilizzare servizi in preview, quindi non ufficialmente supportati in ambiente di produzione.

[VIDEO] – Architecting and Implementing Azure Networking

Per implementare cloud ibridi in modo sicuro e allo stesso tempo funzionale è fondamentale una conoscenza approfondita dei vari aspetti legati al networking di Azure. Recentemente ho avuto il piacere di partecipare alla Cloud Conferenze Italia dove ho tenuto una sessione relativa al Networking di Azure. A questo proposito riporto il video della sessione dove vengono esplorati a 360° gli elementi chiave da tenere in considerazione per realizzare architetture di rete ibride, sfruttando al meglio i vari servizi offerti dalla piattaforma Azure, al fine di realizzare la miglior integrazione con l’ambiente on-premises, senza mai trascurare la sicurezza. Durante l’intervento sono stati approfonditi scenari avanzati di architetture di rete ibride, mostrando esempi reali, frutto di un’esperienza diretta sul campo.

Azure Networking: gestione di micro-perimetri con Azure Firewall Manager

Nel cloud pubblico di Microsoft è stato introdotto il nuovo servizio di management Azure Firewall Manager che consente di gestire in modo centralizzato le policy di security e le regole di routing. Grazie a questa soluzione è possibile governare al meglio i perimetri di sicurezza dei propri ambienti cloud ottenendo una protezione ottimale del proprio ecosistema aziendale. In questo articolo vengono riportate le caratteristiche principali del nuovo servizio evidenziando i vantaggi che si possono ottenere grazie al suo utilizzo.

Il modello di sicurezza, definito Zero trust dagli analisti di Forrester Research, e in contrasto con i modelli convenzionali basati sulla sicurezza perimetrale, ci indirizza nell’adozione di un approccio legato alla micro-segmentazione e alla definizione di perimetri granulari nella propria architettura di rete. Per agevolare questo approccio Microsoft ha rilasciato questo strumento che, mettendo a disposizione un unico pannello di controllo centralizzato, è in grado di semplificare la configurazione e la gestione delle network security policy, le quali spesso devono essere distribuite su più istanze di Azure Firewall.

Azure Firewall Manager al momento si integra con Azure Virtual WAN, il servizio che consente di implementare architetture di rete gestite secondo il modello hub and spoke. Azure Firewall ora può essere attivato nelle reti di Hub di Virtual WAN e nel momento in cui policy di security e di routing vengono associate da Azure Firewall Manager ad una rete di Hub questa viene definita come Secured Virtual Hub.

Figura 1 – Panoramica di Azure Firewall Manager

Adottando Azure Firewall Manager è possibile ottenere i seguenti benefici:

  • Configurazioni e deployment centralizzati: il deployment e la configurazione di più istanze di Azure Firewall, in reti di Hub di Virtual WAN, può essere fatta in modo centralizzato. Queste istanze di Azure Firewall possono risiedere in differenti region di Azure e su diverse subscription. Inoltre, è possibile organizzare una gerarchia di policy di Azure Firewall ottimizzate per DevOps, dove le Global firewall policy vengono gestite dall’IT centrale e le firewall policy locali vengono delegate ai DevOps per favorire una migliore agilità nei processi.
  • Routing automatizzato: viene fornita la possibilità di ridirigere facilmente e in modo centralizzato il traffico dalle reti di spoke verso il Secure Virtual Hub, il tutto senza dover manipolare le User Defined Routes delle reti di spoke.
  • Integrazione con partner Security as a Service (SECaaS) di terze parti: per arricchire ulteriormente le funzionalità di sicurezza è prevista l’integrazione con SECaaS partners, attualmente Zscaler e iBoss, ma presto sarà possibile anche con CheckPoint.

Figura 2 – Central security e route policy management

Nel dettaglio gli step per adottare la soluzione sono i seguenti:

  1. Creazione dell’architettura di rete hub and spoke, utilizzando il servizio Azure Virtual WAN e attivazione di una istanza Azure Firewall nella rete di Hub. Per fare ciò è possibile procedere tramite due distinte modalità:
    1. Creazione di una nuova Secured Virtual Hub tramite Azure Firewall Manager e aggiunta delle virtual network connections;
    2. Trasformazione di un Virtual WAN Hub esistente, attivando sulla rete di Hub il servizio Azure Firewall.

Figura 3 – Avvio del processo tramite Azure Firewall Manager

  1. Selezione dei security provider (opzionale). Questo può essere fatto sia durante il processo di creazione di un Secure Virtual Hub oppure durante la conversione di un Virtual WAN Hub in un Secure Virtual Hub.

Figura 4 – Scelta del Trusted Security Partner

  1. Creazione di una firewall policy e associazione con la rete di Hub. Questo è possibile solo per le Azure Firewall Policy, mentre per le policy delle soluzioni di Security as a Service (SECaaS) fornite dai partner, è necessario utilizzare i loro strumenti di gestione.
  1. Configurazione delle impostazioni di routing sul secured hub per attrarre il traffico delle reti di spoke e renderlo filtrato secondo le policy definite.

Al momento Azure Firewall Manager è supportato solamente per la gestione di architetture Hub and Spoke create tramite il servizio Azure Virtual WAN. Il supporto per poter gestire anche le istanze di Azure Firewall attivate nelle Virtual Network è atteso per la prima metà del prossimo anno.

Conclusioni

Azure Firewall Manager è uno strumento che risulta molto utile per gestire ambienti complessi composti da differenti architetture di rete che adottano il modello Hub and Spoke tramite Azure Virtual WAN. Questo servizio di management aggiuntivo nonostante sia agli albori, e destinato ad arricchirsi presto con nuove funzionalità, risulta di fondamentale importanza per gestire in modo più semplice ed efficace la propria architettura di rete di Azure. Al momento il servizio è in Public Preview, quindi non sono garantiti SLA (Service-Level Agreement) e non dovrebbe essere utilizzato in ambienti di produzione.

Azure Monitor: le novità riguardanti il monitor del networking di Azure

Azure Monitor è una soluzione cloud-based in grado di collezionare dati di telemetria di diversa natura, analizzarli ed intraprendere determinate azioni. Tra le varie funzionalità offre la possibilità di controllare lo stato di salute del networking, la connettività verso le proprie applicazioni ed è in grado di fornire informazioni dettagliate sulle performance di rete. Il tutto non solo per ambienti cloud, ma anche in presenza di architetture ibride. In questo articolo vengono riportate le importanti novità che sono state recentemente annunciate da Microsoft per rendere ancora più completa la soluzione.

Prima di approfondire le nuove funzionalità che sono state introdotte è bene specificare che Azure Monitor include differenti soluzioni specifiche per monitorare il networking di Azure, tra le quali Network Performance Monitor (NPM), la suite che comprende le seguenti funzionalità:

Oltre agli strumenti inclusi in Network Performance Monitor (NPM) è possibile utilizzare Traffic Analytics, che consente di avere una visibilità complessiva sulle attività di rete che vengono intraprese nell’ambiente cloud. Il funzionamento di questa soluzione si basa sul principio che in Azure, per poter consentire o negare la comunicazione di rete verso le risorse connesse alle Azure Virtual Networks (vNet), vengono utilizzati i Network Security Group (NSG), che contengono una lista di regole di accesso. I NSG vengono applicati alle interfacce di rete connesse alle macchine virtuali oppure direttamente alle subnet (scelta consigliata). La platform utilizza i NSG flow logs per mantenere la visibilità del traffico di rete in ingresso e in uscita dai Network Security Group. Traffic Analytics si basa sull’analisi dei NSG flow logs e dopo una opportuna aggregazione dei dati, inserendo l’intelligence necessaria relativamente a security, topologia e mappa geografica, è in grado di fornire informazioni dettagliate sul traffico di rete del proprio ambiente cloud Azure. La novità che interessa Traffic Analytics è data dal fatto che ora è possibile processare questi dati con una frequenza maggiore, ad intervalli temporali ogni 10 minuti, contro i 60 minuti possibili in precedenza.

Figura 1 – Frequenza di elaborazione di Traffic Analytics

Azure Monitor for Networks

Per avere una maggiore visibilità nelle attività di rete svolte nel cloud Microsoft ha rilasciato Azure Monitor for Networks che introduce un’utile visuale sullo stato di salute di tutte le risorse di rete presenti nel proprio ambiente, arricchita dalle relative metriche. Il tutto è disponibile senza la necessità di dover fare alcuna configurazione specifica.

Figura 2 – Overview di Azure Monitor for Networks

Nel riquadro superiore è possibile impostare dei parametri di ricerca per identificare rapidamente le risorse di interesse, mentre sulla destra è presente un pannello che mostra eventuali alert suddivisi per criticità.

Selezionando i singoli componenti si ottengono maggiori informazioni di dettaglio.

Figura 3 – Dettagli sullo stato delle connessioni VPN

In particolare, al momento solamente per gli Application Gateway, viene messa a disposizione una vista molto utile delle Dependency, che aiuta a individuare con precisione la configurazione dei componenti e a rintracciare con maggiore rapidità eventuali condizioni di errore. Tale rappresentazione riporta le relazioni tra i front-end IPs, i listeners, le rules e i backend pool degli Application Gateway. I colori facilitano l’individuazione di stati di health problematici sulle risorse.

La vista riporta inoltre i dettagli delle metriche principali riguardanti gli Application Gateway.

Figura 4 – Elenco degli Application Gateway

Figura 5 – Dependency view di un Application Gateway specifico

Il grafico consente inoltre di accedere facilmente alle configurazioni dei diversi componenti. Per individuare i problemi di connettività e avviare le operazioni di troubleshooting è infatti presente la possibilità, facendo tasto destro sulla singola macchina virtuale, di accedere direttamente a VM Insight e al Connection troubleshoot.

Figura 6 – Accesso alle risorse per fare il troubleshooting della macchina

Conclusioni

La nuova soluzione Network Insights presente in Azure Monitor permette di avere una visione complessiva delle proprie risorse di rete in modo semplice e intuitivo. La soluzione risulta particolarmente utile in presenza di ambienti complessi e la console di Dependency view è un valido supporto anche per documentare le implementazioni degli Application Gateway. Si tratta al momento di una funzionalità in preview e come tale sarà sicuramente arricchita nel breve periodo con ulteriori novità, consentendo così di avere un monitor sempre più completo e intuitivo della propria architettura di rete in Azure.

Azure Networking: il nuovo metodo per accedere in modo privato ai servizi in Azure

L’esigenza di poter accedere a dati e servizi in Azure in modo totalmente privato e sicuro, in particolare dal proprio ambiente on-premises, è sicuramente molto sentita e sempre più diffusa. Per questa ragione Microsoft ha annunciato la disponibilità di Azure Private Link, che permette di semplificare l’architettura di rete instaurando una connessione privata verso i servizi in Azure, senza alcuna necessità di esposizione verso internet. In questo articolo vengono riportate le caratteristiche di questa tipologia di connettività e come è possibile attivarla.

Grazie ad Azure Private Link è possibile portare i servizi Azure in una Virtual Network e mapparli con un endpoint privato. In questo modo tutto il traffico viene istradato tramite l’endpoint privato, mantenendolo sulla rete globale di Microsoft. Il dato non transita mai su Internet, questo riduce l’esposizione a minacce e aiuta a rispettare gli standard di compliance.

Figura 1 – Panoramica di Azure Private Link

Il concetto che sta alla base di Azure Private Link è già in parte noto nell’ambito del networking di Azure e richiama i Virtual Network Service Endpoints. Prima dell’introduzione di Azure Private Link l’unico modo disponibile per aumentare il livello di sicurezza nell’accesso ai servizi Azure, come ad esempio Azure Storage e Azure SQL Database, era dato dai VNet Service Endpoints. La differenza però è sostanziale, in quanto utilizzando i VNet Service Endpoints il traffico rimane nella rete di backbone di Microsoft, consentendo l’accesso alle risorse PaaS solamente dalla propria VNet, ma l’endpoint PaaS viene comunque acceduto tramite l’IP pubblico del servizio. Ne consegue che il principio di funzionamento dei vNet Service Endpoints non si estende al mondo on-premises anche in presenza di connettività con Azure (VPN oppure ExpressRoute). Infatti, per consentire l’accesso da sistemi presenti on-premises è necessario continuare ad utilizzare le regole firewall del servizio per limitare la connettività solamente agli IP pubblici di propria appartenenza.

Grazie ad Azure Private Link è possibile invece accedere alle risorse PaaS tramite un indirizzo IP privato della propria VNet, il quale è potenzialmente accessibile anche da:

  • Sistemi on-premises tramite Azure ExpressRoute private peering eo Azure VPN gateway.
  • Sistemi attestati su VNet in peering.

Tutto il traffico risiede all’interno della rete Microsoft e non è necessario configurare l’accesso tramite gli IP Pubblici del servizio PaaS.

Figura 2 – Accesso da on-premises e peered networks

Azure Private Link semplifica notevolmente il modo in cui è possibile accedere ai servizi Azure (Azure PaaS, Microsoft partner e servizi privati) in quanto sono supportate configurazioni cross Azure Active Directory (Azure AD) tenants.

Figura 3 – Private Link cross Azure Active Directory (Azure AD) tenants

L’attivazione di Azure Private Link è semplice e richiede un numero limitato di configurazioni lato networking di Azure. La connettività avviene basandosi su un flusso di approvazione di chiamate e quando una risorsa PaaS viene mappata su un endpoint privato, non è richiesta la configurazione di route table e di Network Security Groups (NSG).

Dal Private link center è possibile creare nuovi servizi e gestire la configurazione oppure configurare servizi esistenti per usufruire dei Private Link.

Figura 4 – Avvio della configurazione da Private link center

Figura 5 – Creazione di un Azure Storage Account da rendere accessibile in modo privato

Figura 6 – Parametri classici per la creazione di uno storage account

Figura 7 – Configurazione del Private endpoint

Figura 8 – Private endpoint connection presente nello storage account creato

Giunti a questo punto lo storage account sarà accessibile in modo totalmente privato. Per testarne l’accesso è stata creata una macchina virtuale e verificata la connettività tramite “Connection troubleshoot”:

Figura 9 – Test eseguito da “Connection troubleshoot” che dimostra la connettività privata

Per collegare tra di loro più Azure Virtual Network vengono tipicamente utilizzati i VNet peering, i quali richiedono che negli address space delle VNet non ci siano delle sovrapposizioni. Qualora si verifichi questa condizione è possibile adottare gli Azure Private Link come metodo alternativo per connettere in modo privato applicazioni che risiedono in differenti VNet con una sovrapposizione degli address space.

Figura 10 – Azure Private Link in presenza di overlapping address space

Le caratteristiche di Azure Private Link consentono di avere un accesso specifico solamente alle risorse mappate in modo esplicito. Nell’eventualità di un incident di security all’interno della propria VNet, questo meccanismo elimina la minaccia di estrazione di dati da altre risorse utilizzando lo stesso endpoint.

Figura 11 – Accesso mirato solo alle risorse mappate in modo esplicito

Gli Azure Private Link aprono inoltre nuovi scenari di esposizione dei servizi erogati in Azure da parte dei service provider. Per consentire l’accesso ai servizi erogati ai propri clienti tipicamente si procedeva secondo una di queste modalità:

  • Si rendevano accessibili direttamente tramite IP Pubblici.
  • Per renderli privati, si creavano dei VNet peering, ma con problemi di scalabilità e di potenziali conflitti IP.

Figura 12 – Come Azure Private Link cambia gli scenari “Service Consumer”-“Service Provider”.

La nuova possibilità che viene offerta in questi scenari, che richiedono un accesso totalmente privato al servizio erogato, è la seguente:

  • Service Provider: configura un Azure Standard Load Balancer, crea un Azure Private Link e consente l’accesso dal Service Consumer proveniente da una differente VNet, subscription, o tenant Azure Active Directory (AD).
  • Service consumer: creare un Private Endpoint nella VNet specifica e richiedere l’accesso al servizio.

Figura 13 – Azure Private Link workflow in scenari “Service Consumer”-“Service Provider”

Per maggiori dettagli a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Conclusioni

Questo nuovo metodo consente di consumare privatamente soluzioni erogate in Azure all’interno della propria infrastruttura di rete. Si tratta di un importante cambiamento che sicuramente è opportuno tenere in considerazioni quando si progettano le architetture di rete in Azure, in particolare per gli scenari ibridi. Al momento il servizio è in preview, quindi non ancora utilizzabile per ambienti di produzione e disponibile per un set limitato di servizi Azure. Nei prossimi mesi però Microsoft ha annunciato che renderà disponibile questa funzionalità anche per altri servizi di Azure e dei partner, consentendo così di avere una esperienza di connettività privata, elemento chiave per avere una maggiore adozione e diffusione di questi servizi.

Azure Networking: le novità di Azure Firewall

Azure Firewall è la soluzione di firewall-as-a-service presente nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti nelle Virtual Network di Azure e di governare i relativi flussi di rete. Questo servizio è stato rilasciato ufficialmente da diversi mesi e, come spesso accade per i servizi cloud, si hanno delle rapide evoluzioni, volte a migliorare il servizio e ad aumentare il set di funzionalità. In questo articolo vengo riportate le principali novità che hanno recentemente interessato Azure Firewall.

Indirizzi IP Pubblici associati ad Azure Firewall

Mentre inizialmente era possibile associare ad Azure Firewall un solo indirizzo IP pubblico, ora si possono associare fino a 100 indirizzi IP pubblici. Questa possibilità apre nuovi scenari di configurazione e di funzionamento:

  • In configurazioni DNAT si ha la possibilità di utilizzare la stessa porta su indirizzi IP Pubblici differenti.
  • Per quanto riguarda connessioni SNAT in outbound saranno disponibili un numero maggiore di porte, riducendo la possibilità di terminare le porte a disposizione.

Attualmente l’indirizzo IP Pubblico sorgente di Azure Firewall utilizzato per le connessioni viene scelto in modo casuale. Questo aspetto è da tenere in considerazione quando sono necessarie autorizzazioni specifiche per il traffico proveniente da Azure Firewall. Microsoft ha comunque in roadmap la possibilità di fare configurazioni SNAT specificando l’indirizzo IP Pubblico da utilizzare. La procedura da seguire per effettuare il deployment di Azure Firewall con più indirizzi IP Pubblici, tramite comandi PowerShell, è possibile consultarla in questo documento.

Figura 1 – Assegnazione di più IP pubblici ad Azure Firewall dal portale Azure

Availability Zones

Al fine di aumentare i livelli di disponibilità di Azure Firewall è possibile, durante la fase di creazione,  prevedere l’utilizzo delle Availability Zones. Selezionando due o più Availability Zones si potrà ottenere una percentuale di uptime del 99.99 percento. Tutti i dettagli relativi ai Service Level Agreement (SLA) di Azure Firewall sono contenuti in questo documento. L’adozione di questa metodologia di deployment non prevede costi aggiuntivi, ma è necessario contemplare un incremento dei costi dati dal data transfer in inbound e in outbound dalle Availability Zones, reperibili in questo documento. Rispetto al costo dell’Azure Firewall questi non impattano in modo particolarmente significativo. Personalmente ritengo che se si adotta una architettura del networking di Azure dove Azure Firewall è il componente core per la messa in sicurezza dell’ambiente, diventa molto utile utilizzare le Availability Zones per garantire un elevato livello di disponibilità delle applicazioni mission-critical protette da questo servizio.

Figura 2 – Configurazione Availability Zones in fase di creazione di Azure Firewall

In presenza di Azure Firewall creati senza l’utilizzo delle Availability Zones, non si ha la possibilità di effettuare una conversione all’utilizzo delle stesse. L’unica modalità attualmente disponibile prevede la creazione di un nuovo Azure Firewall migrando le configurazioni esistenti. I backup in formato JSON della configurazione di Azure Firewall possono essere fatti utilizzando i seguenti comandi PowerShell:

$AzureFirewallId = (Get-AzFirewall -Name "AzureFirewallName" -ResourceGroupName "Network-RG").id

$BackupFileName = ".AzureFirewallBackup.json"

Export-AzResourceGroup -ResourceGroupName "Network-RG" -Resource $AzureFirewallId -SkipAllParameterization -Path $BackupFileName

Avendo a disposizione il file JSON è necessario modificarlo per contemplare le Availability Zones:

{

"apiVersion": "2019-04-01",

"type": "Microsoft.Network/azureFirewalls",

"name": "[variables('FirewallName')]",

"location": "[variables('RegionName')]",

"zones": [

"1",

"2",

"3"

],

"properties": {

"ipConfigurations": [

{

Al termine della modifica è possibile effettuare il deployment del nuovo Azure Firewall, utilizzando il file JSON opportunamente modificato, tramite il seguente comando:

New-AzResourceGroupDeployment -name "RestoreFirewallAvZones" -ResourceGroupName "Network-RG" -TemplateFile ".AzureFirewallBackup.json"

Gestione centralizzata con soluzioni di terze parti

Azure Firewall espone pubblicamente delle REST APIs che possono essere utilizzate da vendor di terze parti per fornire delle soluzioni che permettono una gestione centralizzata degli Azure Firewall, dei Network Security Groups (NSGs), e delle virtual appliance di rete (NVAs). Al momento questi sono i vendor che offrono soluzioni di questo tipo: Barracuda con Cloud Security Guardian, AlgoSec con CloudFlow e Tufin con Orca.

Just-in-time (JIT) VM access per Azure Firewall

Quando un utente richiede di accedere a una VM con una policy Just-in-time (JIT), il Security Center prima verifica se l’utente dispone effettivamente dei permessi Role-Based Access Control (RBAC) necessari per effettuare la richiesta di accesso. In caso affermativo la richiesta viene approvata, e il Security Center è in grado di configurare automaticamente non solo i NSG, ma anche le regole necessarie lato Azure Firewall per consentire il traffico in ingresso.

Application rules con FQDN di SQL

Nelle application rule di Azure Firewall è stata introdotta la possibilità di specificare degli FQDN di SQL. In questo modo è possibile governare l’accesso dalle virtual network verso specifiche istanze SQL server. Tramite gli FQDN SQL è possibile filtrare il traffico:

  • Da Virtual Network verso un Azure SQL Database oppure un Azure SQL Data Warehouse.
  • Dall’ambiente on-premises verso Azure SQL Managed Instances oppure SQL IaaS in esecuzione sulle Virtual Network.
  • Da spoke-to-spoke verso Azure SQL Managed Instances oppure SQL IaaS in esecuzione sulle Virtual Network.

Figura 3 – Creazione Application Rule con FQDN SQL

FQDN Tag per Azure HDInsight (HDI)

I cluster Azure HDInsight presenti sulle proprie Virtual Network hanno diverse dipendenze da altri servizi Azure (esempio Azure Storage), con i quali è necessario prevedere un traffico di rete in uscita per funzionare in modo corretto. Grazie all’introduzione degli FQDN tags per HDInsight è possibile configurare Azure Firewall per restringere l’accesso in outbound per i cluster HDI. Per maggiori dettagli a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Automazione per gestire il backup

Disporre di una strategia che consenta di ripristinare la configurazione del servizio in tempi rapidi è fondamentale in quanto questo servizio è il centro di governo del networking vostro ambiente Azure e contiene diverse regole per gestire in modo completo il traffico di rete. Il servizio al momento non dispone in modo integrato di una funzionalità per farne il backup completo in modo periodico. In questo articolo viene riportato un meccanismo ideato per fare il backup schedulato della configurazione di questo componente utilizzando il servizio Azure Automation.

Conclusioni

Azure Firewall è una soluzione che sempre più spesso viene utilizzata nelle architetture di rete di Azure, per i vantaggi che offre rispetto alle soluzioni firewall di vendor di terze parti e grazie ad un costante arricchimento delle funzionalità offerte. Tutte queste novità introdotte rendono Azure Firewall una soluzione più completa, totalmente integrata nella piattaforma, che consente di mettere in sicurezza le risorse presenti sulle Virtual Network di Azure con una elevata flessibilità.

Azure Firewall: l’automazione per gestirne il backup

Azure Firewall è la soluzione di firewall-as-a-service presente nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti nelle Virtual Network di Azure e di governare i relativi flussi di rete. In questo articolo viene riportato un meccanismo ideato per fare il backup schedulato della configurazione di questo componente utilizzando il servizio Azure Automation.

Azure Firewall è una soluzione che sempre più spesso viene utilizzata nelle architetture Azure, per i vantaggi che offre rispetto alle soluzioni firewall di vendor di terze parti e grazie ad un costante arricchimento delle funzionalità offerte. Dal momento in cui viene adottato, questo servizio diventa il centro di governo del networking vostro ambiente Azure e conterrà diverse regole per gestire in modo completo il traffico di rete. Diventa pertanto fondamentale disporre di una strategia che consenta di ripristinare la configurazione del servizio in tempi rapidi. Il servizio al momento non dispone in modo integrato di una funzionalità per farne il backup completo in modo periodico. Per questa ragione ho realizzato un runbook in Azure Automation che effettua il backup dell’Azure Firewall su un blob storage account di Azure.

Si riporta la procedura per attivare l’esecuzione del backup periodico della configurazione tramite questa metodologia.

Prerequisiti

Qualora non si disponga di un Azure Automation Account è necessario procedere con la relativa creazione:

Figura 1 – Creazione Azure Automation Account

Risulta inoltre necessario disporre di un blob storage account sul quale saranno salvati i backup dell’Azure Firewall.

Figura 2 – Creazione blob storage account

Nelle impostazioni firewall dello storage account è necessario abilitare l’exception “Allow trusted Microsoft services to access this storage account”.

Sullo storage account è inoltre possibile valutare la creazione di policy che consentono di prevenire la cancellazione dei backup.

Configurazione moduli in Azure Automation

Azure Automation supporta la possibilità di utilizzare il modulo Azure Powershell Az nei runbooks. Il modulo AZ non è al momento importato automaticamente negli Automation Accounts. Per questa ragione è necessario procedure con la relativa configurazione come descritto da questo documento Microsoft, nello specifico seguendo la procedura in seguito riportata.

Figura 3 – Avvio procedura di aggiunta moduli

 

Figura 4 – Selezione dei moduli necessari e avvio del processo di import

Questi i moduli necessari per questa automation:

Figura 5 – Moduli necessari

Import e pubblicazione del runbook

Lo step successivo prevede la creazione del Runbook in Azure Automation:

Figura 6 – Creazione del Runbook

Il codice del runbook è possibile trovarlo in questa pagina GitHub. Una volta creato il runbook è opportuno procedere con la relativa pubblicazione.

Figura 7 – Pubblicazione del Runbook.

Schedulazione del runbook

Come ultimo step è opportuno schedulare l’esecuzione periodica del runbook.

Figura 8 – Creazione della schedulazione

 

Figura 9 – Aggiunta della schedulazione al runbook

 

Figura 10 – Configurazione dei parametri richiesti dal runbook

I backup in formato JSON della configurazione di Azure Firewall vengono salvati automaticamente nello storage account indicato e vengono mantenuti per il numero di giorni espresso nel parametro “RetentionDays”.

Figura 11 – Backup di Azure Firewall all’interno del container

Ripristino della configurazione

Nel caso sia necessario ripristinare la configurazione di Azure Firewall è sufficiente fare il deploy del file JSON nel resource group specifico, utilizzando il comando seguente:

New-AzResourceGroupDeployment -name “RestoreAzureFirewall” -ResourceGroupName “AFW-RGNamexxx” -TemplateFile “.xxx-afwxxxxx.json”

 

Conclusioni

Grazie all’adozione di questa automazione è possibile effettuare il backup dell’Azure Firewall su un blob storage account di Azure. Tutto ciò risulta particolarmente utile e strategico in caso di modifica errata delle regole oppure se avviene una cancellazione parziale o totale della configurazione di Azure Firewall, che può essere accidentale oppure svolta da persone non autorizzate.

Come accedere remotamente alle macchine virtuali in ambiente Azure

Poter accedere tramite RDP (Remote Desktop Protocol) oppure via SSH (Secure SHel) alle macchine virtuali presenti in Azure è un’esigenza fondamentale per gli amministratori di sistema. L’esposizione diretta di questi protocolli su Intenet è sicuramente una pratica da evitare in quanto comporta un elevato rischio di security. In questo articolo vengono riportate le differenti metodologie che è possibile adottare per accedere remotamente ai sistemi presenti su Azure e le caratteristiche di ciascuna di essa.

Anche recentemente Microsoft ha rilasciato un aggiornamento di sicurezza considerato critico e indirizzato alla risoluzione della vulnerabilità CVE-2019-0708 individuata sul servizio Remote Desktop per diversi sistemi operativi. Tale vulnerabilità permette l’esecuzione di codice tramite protocollo RDP consentendo così di prendere il controllo completo del sistema remoto. Questa vulnerabilità viene portata a titolo di esempio per evidenziare quanto sia effettivamente rischioso pubblicare in Internet questi protocolli di accesso. Per questa ragione è opportuno valutare l’adozione di una delle soluzioni in seguito riportate per avere una maggiore sicurezza.

Figura 1 – RDP/SSH attack

Accesso VPN

Per disporre di un semplice accesso amministrativo verso la Virtual Network di Azure è possibile attivare un VPN di tipologia Point-to-Site (P2S). Tramite le VPN P2S è possibile instaurare la connettività da una singola postazione verso l’ambiente Azure, in modo semplice e sicuro. Stabilita la connessione VPN si avrà la possibilità di accedere remotamente ai sistemi presenti in Azure. Per maggiori informazioni sulle VPN P2S vi invito a leggere l’articolo Azure Networking: l’accesso VPN Point-to-Site e le novità introdotte. Adottando questa metodologia è opportuno tenere in considerazioni il numero massimo di connessioni possibili per singolo Azure VPN Gateway.

Figura 2 – Protocolli disponibili per le VPN P2S

Just-in-Time VM Access

Si tratta di una funzionalità disponibile in Azure Security Center Standard Tier, che consente di applicare le configurazioni necessarie ai Network Security Group (NSG) e recentemente anche ad Azure Firewall per consentire un accesso amministrativo ai sistemi, opportunamente filtrato per IP sorgente e per un determinato periodo di tempo. Just-in-Time VM Access consente di effettuare le configurazioni necessarie per accedere remotamente ai sistemi in modo rapido, mirato e solo per un periodo temporale ben specifico. Senza l’utilizzo di questa funzionalità sarebbe necessario creare manualmente apposite regole all’interno dei NSG oppure in Azure Firewall (NAT Rule), ricordandosi di rimuoverle quando non più necessarie.

Figura 3 – Richiesta di accesso tramite Just-in-Time VM Access

Jumpbox

Uno scenario che viene in alcune situazioni utilizzato è la presenza di una macchina virtuale (Jumpbox) accessibile remotamente e dislocata in una subnet opportunamente isolata, che viene utilizzata per accedere a diversi altri sistemi in comunicazione con quella subnet. In una architettura di rete che rispecchia la topologia hub-spoke, tipicamente questo sistema viene posizionato nella rete di Hub, ma è comunque consigliato applicare dei filtri per fare in modo che tale sistema sia raggiungibile solo da determinati indirizzi IP pubblici, senza esporlo direttamente in Internet. In questo scenario è opportuno tenere in considerazione che si avranno a disposizione al massimo due connessioni remote contemporaneamente per singola Jumpbox.

Figura 4 – Posizionamento della Jumpbox in una architettura hub-spoke

Azure Bastion

Si tratta di un servizio PaaS, recentemente annunciato in preview da Microsoft, che offre un accesso RDP ed SSH sicuro e affidabile alle macchine virtuali, direttamente tramite il portale di Azure. Il provisioning del servizio Azure Bastion viene effettuato all’interno di una Virtual Network di Azure e supporta l’accesso a tutte le macchine virtuali su di essa attestate, senza dover esporre degli indirizzi IP pubblici.

Figura 5 – Architettura di Azure Bastion

Per maggiori dettagli a riguardo vi invito a leggere l’articolo Azure Bastion: un nuovo modello di sicurezza di Silvio Di Benedetto.

Azure Bastion è un servizio a pagamento, per ottenere i dettagli sui costi è possibile accedere alla pagina Azure Bastion pricing.

Al momento è opportuno tenere in considerazione che Azure Bastion e Just-in-Time VM Access non possono essere utilizzati per accedere agli stessi sistemi.

SSL Gateway

Una soluzione molta valida in termini di sicurezza potrebbe essere quella di implementare in ambiente Azure una architettura Remote Desktop Services, che prevede l’utilizzo del ruolo Remote Desktop Gateway, appositamente pensato per essere direttamente esposto verso Internet (porta TCP 443). Grazie a questo componente è possibile incapsulare il traffico RDP in un tunnel HTTP over TLS/SSL. Il Remote Desktop Gateway supporta inoltre la Multi-Factor Authentication che consente di aumentare ulteriormente il livello di sicurezza per l’accesso remoto alle risorse. Una soluzione analoga è disponibile anche in ambiente Citrix. In questo ambito sarà necessario considerare, oltre ai costi legati ai componenti Azure, anche i costi di licenza.

Figura 6 – Possibile architettura Remote Desktop Services in ambiente Azure

Conclusioni

Diverse sono le possibilità per garantire un accesso remoto sicuro ai sistemi presenti in ambiente Azure. Il nuovo servizio Azure Bastion è un metodo sicuro e semplice, ma che necessita di essere ampliato con ulteriori funzionalità, tra le più importanti c’è sicuramente il supporto per Virtual Network in peering e per la multi-factor authentication. Tali funzionalità con molta probabilità saranno già disponibili nel momento dell’effettivo rilascio. In attesa di poter utilizzare Azure Bastion in ambiente di produzione è possibile adottare gli altri metodi riportati, evitando così di dover esporre i sistemi in modo non protetto verso internet.

Azure Networking: tutto ciò che è opportuno sapere sul nuovo Application Gateway

L’Application Gateway è l’offerta di Application Delivery Controller as-a-service presente in Azure che consente ai clienti di effettuare la ripubblicazione applicativa, con funzionalità integrate di bilanciamento del carico layer-7, sicurezza e Web Application Firewall (WAF). Microsoft ha recentemente annunciato la disponibilità di una versione totalmente rivisitata dell’Azure Application Gateway e del relativo modulo Web Application Firewall (WAF). In questo articolo vengono riportati i miglioramenti e le funzionalità aggiuntive che sono presenti nelle nuove SKUs, chiamate rispettivamente Standard_v2 e WAF_v2.

Miglioramenti e nuove funzionalità

Si riportano gli ambiti dove la nuova versione dell’Azure Application Gateway ha apportato migliorie e funzionalità aggiuntive.

Figura 1 – Schema con le nuove funzionalità della SKU V2

Scalabilità

La nuova versione dell’Azure Application Gateway consente di effettuare in modo automatico uno scale-up oppure uno scale-down del numero delle istanze da utilizzare, in base al traffico rilevato verso gli applicativi ripubblicati. In questo modo il dimensionamento dell’Application Gateway sarà sempre idoneo per sostenere il traffico necessario e non sarà più opportuno dimensionare questo componente alla massima capacità per sostenere i momenti con picchi di traffico. Ne consegue che grazie a questa funzionalità è possibile ottenere un risparmio significativo sui costi in scenari dove sono presenti workload che non hanno un afflusso omogeneo, ma soggetto a variazioni.

Zone redundancy

Nella nuova SKU è possibile prevedere il deployment dell’application Gateway in diverse zone di disponibilità (availability zone) in modo da non essere soggetti a disservizi in caso di problematiche legate alla singola zona di Azure. Questa metodologia di deployment permette di aumentare la resilienza delle applicazioni pubblicate.

Assegnazione IP Pubblico Statico

Il Virtual IP Address assegnato all’Application Gateway potrà essere statico, garantendo così una assegnazione dell’indirizzo IP costante per tutto il ciclo di vita del componente. Tale funzionalità risulta particolarmente utile per gestire regole su sistemi firewall esterni ad Azure e per scenari di pubblicazione di Azure Web App.

Header Rewrite

La funzionalità di Header Rewrite consente di gestire più facilmente le pubblicazioni degli applicativi in quanto è consentito aggiungere, rimuovere o modificare gli header delle richieste e delle risposte HTTP, direttamente dall’Application Gateway e senza la necessità di modificare il codice dell’applicativo.

Performance

L’adozione della nuova SKU dell’Application Gateway consente di avere un notevole miglioramento nelle performance sia durante le attività di provisioning che durante le attività di aggiornamento della configurazione. Inoltre, si evidenzia un miglioramento delle performance, fino a 5 volte superiore rispetto alla precedente SKU, in scenari di SSL offloading.

La raccomandazione

Per tutte le nuove implementazioni si consiglia di valutare l’adozione della nuova SKU dell’Azure Application Gateway, mentre per chi sta effettuando pubblicazioni applicative tramite Application Gateway V1, si consiglia di migrare alla SKU V2 in tempi brevi, per le seguenti ragioni:

  • Nuove funzionalità e miglioramenti: migrando alla nuova SKU è possibile beneficiare dei miglioramenti e delle nuove funzionalità sopra menzionate.
  • Costo: vista la nuova politica di pricing adottata per la SKU V2, basata sui consumi e non più sul dimensionamento e sul numero di istanze, questa potrebbe risultare complessivamente più conveniente rispetto alla SKU V1. Per maggiori informazioni sui costi della nuova versione dell’Azure Application Gateway è possibile consultare la relativa pagina dei costi.
  • Supporto della piattaforma: a breve Microsoft disabiliterà la possibilità di creare nuovi Application Gateway V1. Inoltre, in futuro Microsoft rilascerà ulteriori nuove funzionalità, ma la maggior parte di queste saranno rilasciate esclusivamente per la SKU V2.

Come avviene la migrazione alla SKU V2

Attualmente la piattaforma Azure non fornisce una procedura automatica di migrazione dalla SKU V1 alla SKU V2, ma è necessario procedere con una migrazione in side-by-side. Per procedere con questa attività è necessaria una opportuna attività di analisi preliminare per verificare la presenza di tutti i requisiti necessari. La migrazione della configurazione esistente può avvenire tramite appositi script di supporto, ma potrebbero comunque essere richieste attività manuali. Conclusa la configurazione di tutte le impostazioni verso il nuovo Azure Application Gateway V2 è necessario ridirigere il flusso di traffico proveniente dai client verso il nuovo servizio di Application Delivery.

Conclusioni

L’introduzione delle nuove funzionalità descritte rende l’offerta di Application Delivery Controller as-a-service disponibile nella piattaforma Azure ancora più completa e funzionale, al punto da essere altamente competitiva con soluzioni di altri vendor, da tempo consolidate sul mercato. Per rimanere costantemente aggiornati con la rapida evoluzione del cloud è consigliato effettuare quanto prima il passaggio alla nuova versione dell’Application Gateway per poter usufruire dei vantaggi sopra citati.

Azure Networking: l’accesso VPN Point-to-Site e le novità introdotte

Tra le differenti possibilità per stabilire una connettività ibrida con il cloud Azure esistono le VPN di tipologia Point-to-Site (P2S). Tramite le VPN P2S è possibile attivare la connettività da una singola postazione verso l’ambiente Azure, in modo semplice e sicuro. Si tratta di una soluzione utile per consentire la comunicazione da postazioni remote verso le Virtual Network di Azure, prevalentemente utilizzata per fini di test e sviluppo. Può essere anche attivata in alternativa alle VPN Site-to-Site se si deve garantire la connettività verso Azure per un numero molto limitato di sistemi. In questo articolo vengono approfondite le caratteristiche di questa connettività e vengono riportate le ultime novità a riguardo.

Per stabilire connettività ibride con Azure si possono utilizzare differenti metodologie, ciascuna delle quali ha caratteristiche differenti e può risultare idonea per specifici scenari, garantendo livelli differenti di performance e affidabilità.

Figura 1 – Opzioni per attivare connettività ibride con Azure

Le VPN Point-to-Site forniscono sicuramente un set più ristretto di funzionalità rispetto alle altre opzioni di connettività ibrida e sono idonee in casi specifici, dove solo un numero limitato di postazioni devono collegarsi all’ambiente Azure. La connessione P2S viene stabilita avviandola direttamente dal sistema remoto e nella soluzione non sono previsti sistemi nativi per attivarla in modo automatico.

Figura 2 – Confronto tra le opzioni di connettività ibrida

Protocolli utilizzati dalla VPN P2S

Le VPN Point-to-site possono essere configurate per utilizzare i seguenti protocolli:

  • OpenVPN®: è un protocollo recentemente aggiunto in ambito Azure, ma già ampiamente utilizzato da differenti soluzioni, che arricchisce questa tipologia di connettività. Si tratta di un protocollo VPN basato su SSL/TLS, che per le sue caratteristiche consente di attraversare con maggiore facilità i firewall. Inoltre, è garantita la compatibilità con differenti piattaforme: Android, iOS (versione 11.0 e superiori), Windows, Linux e dispositivi Mac (OSX versione 10.13 e successive).
  • Secure Socket Tunneling Protocol (SSTP): si tratta di un protocollo VPN proprietario Microsoft basato su SSL e quindi anch’esso può facilmente attraversare sistemi firewall, ma ha la limitazione che può essere utilizzato esclusivamente da sistemi Windows. In particolare, Azure supporta tutte le versioni di Windows che contemplano il protocollo SSTP (Windows 7 e successivi).
  • IKEv2: si tratta di una soluzione VPN IPsec che può essere utilizzata da differenti piattaforme client, ma per poter funzionare richiede che sul firewall vengano consentite comunicazioni specifiche. IKEv2 è supportato su Windows 10 e Windows Server 2016, ma per poterlo utilizzare è necessario installare update specifici e impostare determinate chiavi di registry. Le precedenti versioni del SO non sono supportate e possono utilizzare solamente il protocollo SSTP oppure OpenVPN®.

Figura 3 – Protocolli OpenVPN® e IKEv2 a confronto

Le VPN Point-to-Site richiedono la presenza di un VPN Gateway attivo sulla virtual network di Azure e a seconda della SKU variano il numero massimo delle connessioni possibili. Occorre inoltre tener in considerazione che i VPN Gateway di tipologia Basic non supportano i protocolli IKEv2 e OpenVPN.

Figura 4 – Gateway SKU a confronte per le VPN P2S

La coesistenza tra le VPN P2S e le VPN S2S per la stessa virtual network è possibile solamente in presenza di VPN gateway di tipologia RouteBased.

Autenticazioni client supportate

L’accesso VPN Point-to-Site prevede la possibilità di utilizzare le seguenti metodologie di autenticazione:

  • Autenticazione nativa di Azure tramite certificati. Con questa modalità l’autenticazione avviene tramite un certificato client presente sul dispositivo che deve connettersi. I certificati client vengono generati da un certificato trusted root e devono essere installati su ogni sistema che deve connettersi. Il certificato root può essere emesso tramite una soluzione Enterprise, oppure è possibile generare un certificato self-signed. Il processo di validazione del certificato client viene svolto dal VPN Gateway durante il tentativo di stabilire la connessione della VPN P2S. Il certificato root deve essere quindi caricato nell’ambiente Azure ed è necessario per il processo di validazione.
  • Autenticazione tramite Active Directory (AD) Domain Server. Grazie a questa tipologia di autenticazione gli utenti possono autenticarsi utilizzando le credenziali di dominio. Questa metodologia richiede la presenza di un server RADIUS integrato con AD. Tale sistema RADIUS può essere implementato on-premises oppure nella VNet di Azure. Utilizzando questo meccanismo, durante il processo di autenticazione, l’Azure VPN Gateway comunica con il sistema RADIUS, pertanto è indispensabile prevedere questo flusso di comunicazione. Qualora il server RADIUS sia dislocato on-premises, deve quindi essere prevista anche una connettività tramite VPN S2S con i sistemi on-premises. Il server RADIUS può utilizzare i certificati rilasciati da una Certification Authority interna in alternativa ai certificati rilasciati da Azure, con il vantaggio che non è necessario gestire in Azure l’upload dei certificati root e la revoca dei certificati. Un altro aspetto importante è che il server RADIUS può integrarsi con meccanismi di autenticazione di terze parti, aprendo così la possibilità di utilizzare anche sistemi di autenticazione a più fattori per l’accesso VPN P2S. Al momento il protocollo OpenVPN® non è supportato con l’autenticazione RADIUS.

Conclusioni

Le VPN Point-to-Site (P2S) possono essere molto utili per fornire connettività verso le Virtual Network di Azure in scenari ben specifici. Grazie all’introduzione del supporto al protocollo OpenVPN® è possibile attivarle più facilmente e da differenti dispositivi (Windows, Mac e Linux), senza tralasciare gli aspetti legati alla sicurezza.