Archivi categoria: Cloud & Datacenter Management (2023-2024)

Microsoft Defender for Cloud: un’estate di innovazioni per rimodellare la sicurezza aziendale

In un’era in cui la sicurezza dei dati e la gestione efficiente delle risorse cloud sono diventate priorità imprescindibili, Microsoft Defender for Cloud emerge come uno strumento strategico per le aziende moderne. Questa soluzione, integrata nell’ambiente Azure, offre una protezione avanzata, facilitando la gestione della sicurezza e delle conformità a livello aziendale. In questo articolo, verranno esplorate le principali novità che hanno caratterizzato Defender for Cloud nell’estate 2023, delineando come queste innovazioni possano rappresentare un valore aggiunto per le aziende.

I benefici dell’adozione di Defender for Cloud

Adottare Defender for Cloud in un contesto aziendale non è solo una scelta strategica, ma una necessità crescente. Questa soluzione consente di centralizzare e semplificare la gestione della sicurezza, offrendo una visione olistica che facilita il monitoraggio continuo e la risposta rapida alle minacce di sicurezza. Inoltre, contribuisce a ottimizzare la security posture di ambienti ibridi e multi-cloud, garantendo nel contempo una protezione avanzata e il rispetto di differenti conformità normative.

Novità dell’Estate 2023

Possibilità di includere Defender for Cloud nei business case fatti con Azure Migrate

Per le aziende intenzionate a trasferire le proprie risorse su piattaforme cloud come Azure, la pianificazione della migrazione è fondamentale. Con l’integrazione di Defender for Cloud in Azure Migrate, ora è possibile garantire una protezione avanzata fin dalla fase iniziale di migrazione. Questa integrazione assicura che le strategie di sicurezza siano ben integrate nel piano di migrazione, fornendo una transizione più sicura e senza problemi verso il cloud.

Defender for Cloud, sempre più agentless

Numerose funzionalità di Defender for Cloud sono ora disponibili senza la necessità di installare un agent:

  • Protezione dei container in Defender CSPM: discovery agentless. La transizione dal discovery guidato da agenti al discovery senza agenti, per la protezione dei container in Defender CSPM, rappresenta un salto qualitativo notevole verso una gestione della sicurezza più snella ed efficace. Questa nuova funzionalità elimina la necessità di installare agenti su ogni container, semplificando così il processo di discovery e riducendo l’utilizzo delle risorse.
  • Defender for Containers: agentless discovery per Kubernetes. Defender for Containers ha lanciato la funzione di discovery senza agent per Kubernetes, rappresentando un notevole passo avanti nella sicurezza dei container. Questo strumento offre una visione dettagliata e una completa capacità di inventario degli ambienti Kubernetes, assicurando un livello di sicurezza e conformità senza pari.
  • Defender for Servers P2 & Defender CSPM: agentless secret scanning per Virtual Machines. La funzionalità di scansione dei secret senza l’uso di agent, presente in Defender for Server P2 e Defender CSPM, consente di individuare secret non supervisionati e vulnerabili memorizzati sulle macchine virtuali. Questo strumento si rivela essenziale per impedire azioni di lateral movement nella rete e ridurre i rischi correlati.

Data Aware Security Posture 

Adottare una postura di sicurezza consapevole anche per i dati è fondamentale ed ora Microsoft Defender for Cloud è in grado di soddisfare anche questa esigenza. Questa funzionalità consente alle aziende di minimizzare i rischi legati ai dati, fornendo strumenti che individuano automaticamente le informazioni sensibili e valutano le relative minacce, migliorando la risposta alle violazioni dei dati. In particolare, la funzione di identificazione dei dati sensibili per i database PaaS è attualmente in fase di anteprima. Questa permette agli utenti di catalogare i dati critici e riconoscere le tipologie di informazioni all’interno dei loro database, rivelandosi fondamentale per una gestione e protezione efficace dei dati sensibili.

Supporto di GCP in Defender CSPM

L’introduzione del supporto per Google Cloud Platform (GCP) in Defender CSPM, attualmente in anteprima, segna un passo significativo verso una gestione della sicurezza più integrata e versatile, estendendo le capacità di Defender CSPM ad un’ampia gamma di servizi presenti nel cloud pubblico di Google.

Scansione malware in Defender for Storage

Defender per Storage introduce la funzionalità di scansione malware, superando le sfide tradizionali legate alla protezione da malware e fornendo una soluzione ideale per settori fortemente regolamentati. Questa funzione, disponibile come componente aggiuntivo, rappresenta un notevole potenziamento delle soluzioni di sicurezza di Microsoft Defender for Storage. Con la scansione malware si ottengono i seguenti benefici.

  • Protezione, in tempo pressoché reale, senza agent: capacità di intercettare malware avanzati come quelli polimorfici e metamorfici.
  • Ottimizzazione dei costi: grazie a una tariffazione flessibile, si possono controllare i costi basandosi sulla quantità di dati esaminati e con una granularità a livello di risorsa.
  • Abilitazione su larga scala: senza necessità di manutenzione, supporta risposte automatizzate su larga scala e offre diverse opzioni per l’attivazione tramite strumenti e piattaforme come Azure policy, Bicep, ARM, Terraform, API REST e il portale Azure.
  • Versatilità applicativa: basandosi sul feedback degli utenti beta negli ultimi due anni, la scansione malware si è dimostrata utile in una varietà di scenari, come applicazioni web, protezione dei contenuti, conformità, integrazioni con terze parti, piattaforme collaborative, flussi di dati e set di dati per l’apprendimento automatico (ML).

Express Configuration per il Vulnerability Assessments in Defender for SQL 

L’opzione di configurazione ‘express’ per le valutazioni delle vulnerabilità in Defender for SQL, ora disponibile per tutti, agevola il riconoscimento e la gestione delle vulnerabilità, garantendo una risposta tempestiva e una protezione più efficace.

GitHub Advanced Security per Azure DevOps

Risulta ora possibile visualizzare gli alert di GitHub Advanced Security per Azure DevOps (GHAzDO) relativi a CodeQL, secret e dipendenze, direttamente in Defender for Cloud. I risultati verranno visualizzati nella sezione DevOps e nelle Raccomandazioni. Per vedere questi risultati, è necessario integrare i propri repository abilitati a GHAzDO in Defender for Cloud.

Nuovo processo di auto-provisioning per il piano SQL Server (preview)

L’agente di monitoraggio Microsoft (MMA) verrà deprecato nell’agosto 2024. Defender for Cloud ha aggiornato la sua strategia sostituendo MMA con il rilascio di un processo di auto-provisioning dell’agente di monitoraggio Azure mirato a SQL Server.

Rivisitazione del modello di business e della struttura tariffaria

Microsoft ha rivisto il modello di business e la struttura tariffaria dei piani Defender for Cloud. Queste modifiche, mirate a offrire una maggiore chiarezza nelle spese e a rendere più intuitiva la struttura dei costi, sono state apportate in risposta al feedback dei clienti per migliorare l’esperienza d’uso complessiva.

Conclusione

L’estate 2023 ha segnato un periodo di innovazioni significative per Microsoft Defender for Cloud. Queste novità, orientate verso una gestione della sicurezza più integrata e semplificata, promettono di portare benefici tangibili alle aziende, facilitando la protezione dei dati e la conformità in ambienti cloud sempre più complessi.

Scopri le strategie infallibili per ottimizzare i costi su Azure

Le peculiarità e i vantaggi innegabili del cloud computing possono, in determinate situazioni, celare delle insidie se non gestite con la dovuta attenzione. Una gestione dei costi oculata rappresenta uno degli aspetti cruciali della governance del cloud. In questo articolo, verranno esplorati e delineati i principi e le tecniche che si possono impiegare per ottimizzare e minimizzare le spese relative alle risorse implementate nell’ambiente Azure.

La questione dell’ottimizzazione dei costi legati al cloud è un argomento che riscuote un interesse sempre più marcato tra numerosi clienti. Tanto che, per il settimo anno di fila, emerge come la principale iniziativa nel settore cloud, secondo quanto riportato nel rapporto annuale di Flexera del 2023.

Figura 1 – Iniziative riportate nel rapporto di Flexera del 2023

Principi per gestire al meglio i costi

Per una gestione efficace dei costi associati ad Azure, è fondamentale adottare i principi delineati nei paragrafi che seguono.

Progettazione

Un processo di progettazione ben strutturato, che includa un’analisi meticolosa delle necessità aziendali, è essenziale per personalizzare l’adozione delle soluzioni cloud. Diventa quindi cruciale delineare l’infrastruttura da implementare e il modo in cui verrà utilizzata, attraverso un piano di progettazione che mira a ottimizzare l’efficienza delle risorse allocate nell’ambiente Azure.

Visibilità

È vitale dotarsi di strumenti che offrano una visione globale e che permettano di ricevere notifiche relative ai costi di Azure, facilitando così un monitoraggio costante e proattivo delle spese.

Responsabilità

Assegnare i costi delle risorse cloud alle rispettive unità organizzative all’interno dell’azienda è una pratica sagace. Ciò assicura che i responsabili siano pienamente consapevoli delle spese attribuibili al loro team, promuovendo una comprensione approfondita delle spese di Azure a livello organizzativo. A tale scopo, è consigliabile strutturare le risorse Azure in modo da facilitare l’identificazione e l’attribuzione dei costi.

Ottimizzazione

È consigliabile intraprendere revisioni periodiche delle risorse Azure con l’intento di minimizzare le spese ove possibile. Avvalendosi delle informazioni disponibili, è possibile identificare con facilità le risorse sottoutilizzate, eliminare gli sprechi e capitalizzare le opportunità di risparmio sui costi.

Iterazione

È fondamentale che il personale IT sia impegnato in maniera continua nei processi iterativi di ottimizzazione dei costi delle risorse Azure. Questo rappresenta un elemento chiave per una gestione responsabile e efficace dell’ambiente cloud.

Tecniche per ottimizzare i costi

Indipendentemente dagli specifici strumenti e dalle soluzioni impiegate, per affinare la gestione dei costi in Azure, è possibile aderire alle seguenti strategie:

  • Spegnere le risorse inutilizzate, dato che la tariffazione dei diversi servizi Azure si basa sull’effettivo utilizzo delle risorse. Per quelle risorse che non richiedono un funzionamento ininterrotto e che consentono, senza alcuna perdita di configurazioni o dati, una disattivazione o una sospensione, è possibile implementare un sistema di automazione. Questo sistema, regolato da una programmazione predefinita, facilita l’ottimizzazione dell’utilizzo e, di conseguenza, una gestione più economica delle risorse stesse.
  • Dimensionare adeguatamente le risorse, consolidando i carichi di lavoro e intervenendo proattivamente sulle risorse sottoutilizzate, permette di evitare sprechi e di garantire un utilizzo più efficiente e mirato delle capacità disponibili.
  • Per le risorse utilizzate in modo continuativo nell’ambiente Azure, valutare l’opzione delle Reservations può rivelarsi una strategia vantaggiosa. Le Azure Reservations offrono la possibilità di beneficiare di una significativa riduzione dei costi, che può arrivare fino al 72% rispetto alle tariffe pay-as-you-go. Questo vantaggio è ottenibile impegnandosi a pagare per l’utilizzo delle risorse Azure per un periodo di uno o tre anni. Tale pagamento può essere effettuato in anticipo o su base mensile, senza alcun costo aggiuntivo. L’acquisto delle Reservations può essere effettuato direttamente dal portale Azure ed è disponibile per i clienti con i seguenti tipi di abbonamento: Enterprise Agreement, Pay-As-You-Go e Cloud Solution Provider (CSP).
  • Per attenuare ulteriormente i costi associati ad Azure, è opportuno considerare l’implementazione dell’Azure Hybrid Benefit. Questo vantaggio consente di realizzare un notevole risparmio, in quanto Microsoft permette di sostenere unicamente i costi relativi all’infrastruttura Azure, mentre le licenze per Windows Server o per SQL Server sono coperte da un contratto di Software Assurance o da una subscription già esistente.

L’Azure Hybrid Benefit può essere esteso anche ad Azure SQL Database, ai SQL Server installati su macchine virtuali Azure e alle SQL Managed Instances. Questi benefici facilitano la transizione verso soluzioni cloud, offrendo fino a 180 giorni di diritto di doppio utilizzo, e contribuiscono a valorizzare gli investimenti preesistenti in termini di licenze SQL Server. Per approfondire le modalità di utilizzo dell’Azure Hybrid Benefit per SQL Server, si invita a consultare le FAQ presenti in questo documento. È importante notare che questo vantaggio è applicabile anche alle sottoscrizioni di RedHat e SUSE Linux, ampliando ulteriormente le opportunità di risparmio e ottimizzazione dei costi.

L’Azure Hybrid Benefit può essere combinato con le Azure Reserved VM Instances, creando un’opportunità di risparmio significativo che può toccare l’80% del totale, specialmente quando si opta per un acquisto di Azure Reserved Instance della durata di 3 anni. Questa sinergia non solo rende l’investimento più economico, ma massimizza anche l’efficienza operativa.

  • Considerare l’integrazione di nuove tecnologie e l’applicazione di ottimizzazioni architetturali è cruciale. Questo processo implica la selezione del servizio Azure più appropriato per le specifiche esigenze dell’applicazione in questione, garantendo non solo un allineamento tecnologico ottimale, ma anche una gestione dei costi più efficiente.
  • Allocare e de-allocare risorse in modo dinamico è fondamentale per rispondere alle fluttuanti esigenze di prestazioni. Questo approccio è noto come “autoscaling”, un processo che facilita l’allocazione flessibile delle risorse per incontrare le specifiche necessità di prestazioni in ogni momento. Con l’intensificarsi del carico di lavoro, un’applicazione potrebbe necessitare di risorse supplementari per mantenere i livelli di prestazioni desiderati e adempiere agli SLA (Service Level Agreement). Al contrario, quando la domanda si riduce e le risorse aggiuntive non sono più indispensabili, queste possono essere de-allocate per minimizzare i costi. L’autoscaling capitalizza sull’elasticità degli ambienti cloud, permettendo non solo una gestione dei costi più efficace, ma anche riducendo il carico amministrativo, poiché le risorse possono essere gestite in modo più fluido e con meno interventi manuali.
  • Per gli ambienti dedicati a test e sviluppo, è consigliabile considerare l’utilizzo delle sottoscrizioni Dev/Test, che offrono la possibilità di accedere a sconti significativi sulle tariffe di Azure. Queste sottoscrizioni possono essere attivate nell’ambito di un contratto di Enterprise Agreement, facilitando così una gestione dei costi più vantaggiosa e una sperimentazione più agile e economica durante le fasi di sviluppo e test.

Conclusioni

L’adozione di un approccio metodologico nella gestione dei costi del cloud, unitamente all’impiego di strategie adeguate, rappresenta un pilastro fondamentale per navigare con successo nella complessa sfida della gestione economica del cloud. Attingendo dai principi e dalle tecniche delineate in questo articolo, gli utenti possono non solo ottimizzare le spese, ma anche valorizzare al massimo il loro investimento nel cloud, garantendo un equilibrio tra costi e benefici.

Hotpatching di Windows Server: una rivoluzione nella gestione delle macchine virtuali

Nell’era digitale, assicurare una continuità operativa è essenziale, non più solo un valore aggiunto. Per molte aziende, interruzioni frequenti, anche di breve durata, sono inaccettabili per i loro workload critici. Tuttavia, garantire tale continuità può risultare complesso, considerando che la gestione delle macchine virtuali (VM) con sistema operativo Windows Server è per certi aspetti complessa, soprattutto in relazione all’applicazione di patch di sicurezza e aggiornamenti. Con l’avvento della funzionalità di hotpatching da parte di Microsoft, si è aperto un nuovo capitolo nella gestione delle VM: un approccio più efficiente che minimizza le interruzioni, garantendo server sempre aggiornati e protetti. Questo articolo esamina le caratteristiche e i vantaggi di questa innovativa soluzione.

Cos’è l’Hotpatching?

L’hotpatching, introdotto da Microsoft, è una tecnica avanzata che consente di aggiornare sistemi operativi Windows Server senza la necessità di effettuare un riavvio. Immagina di poter “cambiare le gomme” della tua auto in movimento senza doverla fermare. Questa è la “magia” dell’hotpatching.

Dove è possibile utilizzare l’Hotpatching

La funzionalità Hotpatch è supportata sul sistema operativo “Windows Server 2022 Datacenter: Azure Edition”, che è possibile utilizzarlo per le VM che girano in ambiente Azure ed Azure Stack HCI.

Le immagini Azure disponibili per questa funzionalità sono:

  • Windows Server 2022 Datacenter: Azure Edition Hotpatch (Desktop Experience)
  • Windows Server 2022 Datacenter: Azure Edition Core

Da notare che Hotpatch è attivato di default sulle immagini Server Core e che Microsoft ha recentemente esteso il supporto all’hotpatching per includere Windows Server con Desktop Experience, ampliando ulteriormente il campo di applicazione di questa funzionalità.

Aggiornamenti supportati

Hotpatch copre gli aggiornamenti di sicurezza di Windows e mantiene un allineamento con il contenuto degli aggiornamenti di sicurezza emessi nel canale di aggiornamento Windows regolare (non hotpatch).

Ci sono alcune considerazioni importanti per l’esecuzione di una VM Windows Server Azure Edition con hotpatch abilitato:

  • i riavvii sono ancora necessari per installare gli aggiornamenti che non sono inclusi nel programma hotpatch;
  • i riavvii sono anche richiesti periodicamente dopo che è stata installata una nuova baseline;
  • i riavvii mantengono la VM sincronizzata con le patch non di sicurezza incluse nell’ultimo aggiornamento cumulativo.

Le patch attualmente non incluse nel programma hotpatch includono aggiornamenti non di sicurezza rilasciati per Windows, aggiornamenti .NET e aggiornamenti non-Windows (come driver, aggiornamenti firmware, ecc.). Questi tipi di patch potrebbero richiedere un riavvio durante i mesi di Hotpatch.

Benefici dell’Hotpatching

I benefici di questa tecnologia sono molteplici:

  • Migliore sicurezza: con l’hotpatching, le patch di sicurezza vengono applicate in modo rapido ed efficiente. Questo riduce la finestra di vulnerabilità tra il rilascio di una patch e la sua applicazione, offrendo una protezione rapida contro le minacce.
  • Minimizzazione del downtime: uno dei principali vantaggi dell’hotpatching è la capacità di applicare aggiornamenti senza la necessità di riavviare il server. Ciò significa meno interruzioni e una maggiore disponibilità per le applicazioni e per i servizi.
  • Gestione più flessibile: gli amministratori di sistema hanno la libertà di decidere quando applicare le patch, senza la preoccupazione di dover effettuare una attenta pianificazione per garantire che i processi in esecuzione non vengano interrotti durante l’applicazione degli aggiornamenti.

Come funziona l’Hotpatching

Durante un processo di hotpatching, la patch di sicurezza viene iniettata nel codice in esecuzione del sistema operativo in memoria, aggiornando il sistema mentre è ancora in funzione.

Hotpatch funziona stabilendo prima una baseline con l’attuale Aggiornamento Cumulativo per Windows Server. Periodicamente (con cadenza trimestrale), la baseline viene aggiornata con l’ultimo Aggiornamento Cumulativo, dopodiché vengono rilasciati hotpatch per i due mesi successivi. Ad esempio, se a gennaio viene rilasciato un Aggiornamento Cumulativo, febbraio e marzo vedrebbero il rilascio di hotpatch. Per il calendario di rilascio degli hotpatch, è possibile consulta le note di rilascio per Hotpatch in Azure Automanage per Windows Server 2022.

Gli hotpatch contengono aggiornamenti che non richiedono un riavvio. Poiché Hotpatch corregge il codice in memoria dei processi in esecuzione senza la necessità di riavviare il processo, le applicazioni ospitate sul sistema operativo non sono influenzate dal processo di patching. Questa azione è separata da eventuali implicazioni sulle prestazioni e sulle funzionalità della patch stessa.

L’immagine seguente riporta un esempio di un programma annuale di rilascio degli aggiornamenti (inclusi esempi di baseline non pianificate a causa di correzioni zero-day).

Figura 1 – Schema di una programmazione annuale di esempio per il rilascio degli aggiornamenti Hotpatch

Ci sono due tipi di baseline:

  • Baseline Pianificate: vengono rilasciate con una cadenza regolare, con rilasci di hotpatch nel mezzo. Le Baseline Pianificate includono tutti gli aggiornamenti in un Aggiornamento Cumulativo più recente e richiedono un riavvio.
  • Baseline Non Pianificate: vengono rilasciate quando viene rilasciato un aggiornamento importante (come una correzione zero-day) e quel particolare aggiornamento non può essere rilasciato come hotpatch. Quando vengono rilasciate le baseline non pianificate, un rilascio di hotpatch viene sostituito con una baseline non pianificata in quel mese. Anche le Baseline Non Pianificate includono tutti gli aggiornamenti in un Aggiornamento Cumulativo più recente e richiedono un riavvio.

La programmazione riportata nell’immagine di esempio illustra:

  • quattro rilasci di baseline pianificate in un anno solare (cinque in totale nel diagramma) e otto rilasci di hotpatch;
  • due baseline non pianificate che sostituirebbero i rilasci di hotpatch per quei mesi.

Processo di orchestrazione delle patch

Hotpatch è da considerate come un’estensione di Windows Update e gli strumenti di orchestrazione delle patch variano a seconda della piattaforma in uso.

Orchestrazione di Hotpatch in Azure

Le macchine virtuali create in Azure sono abilitate di default per il patching automatico se utilizzata un’immagine supportata di “Windows Server Datacenter: Azure Edition”:

  • le patch classificate come Critiche o di Sicurezza vengono automaticamente scaricate e applicate sulla VM;
  • le patch vengono applicate durante le ore di minore attività considerando il fuso orario della VM;
  • Azure gestisce l’orchestrazione delle patch e le patch vengono applicate seguendo i principi di disponibilità;
  • lo stato di salute della macchina virtuale, determinato attraverso i segnali di salute della piattaforma Azure, viene monitorato per rilevare fallimenti nel patching.

Orchestrazione di Hotpatch in Azure Stack HCI

Gli aggiornamenti Hotpatch per le macchine virtuali attive in ambiente Azure Stack HCI possono essere orchestrati utilizzando:

  • Group Policy per configurare le impostazioni del client Windows Update;
  • le impostazioni del client Windows Update oppure SCONFIG per Server Core;
  • una soluzione di gestione delle patch di terze parti.

Considerazioni e limitazioni

Tuttavia, come ogni tecnologia, anche l’hotpatching ha le sue sfumature. Non tutte le patch sono adatte per l’hotpatching; alcune potrebbero ancora richiedere un riavvio tradizionale. Inoltre, prima di applicare qualsiasi patch, rimane fondamentale testarla in un ambiente controllato per evitare potenziali problemi.

L’installazione di aggiornamenti Hotpatch non supporta il rollback automatico. Infatti, se una VM riscontra un problema durante o dopo un aggiornamento, risulta necessario disinstallare l’aggiornamento e installare l’ultimo aggiornamento baseline noto come valido. In seguito al rollback sarà necessario riavviare la VM.

Conclusione

L’introduzione dell’hotpatching da parte di Microsoft rappresenta un passo avanti significativo nella gestione delle VM con sistema operativo Windows Server. Con la capacità di applicare patch di sicurezza e aggiornamenti senza interruzioni, gli amministratori possono garantire che i loro server siano protetti e aggiornati in un modo più rapido ed efficace. In un mondo in cui la sicurezza è di primaria importanza e in cui ogni secondo conta, l’hotpatching si posiziona come una soluzione di valore per ogni azienda che utilizza Windows Server in ambiente Azure oppure in ambiente Azure Stack HCI.

Rivoluziona la gestione dei costi cloud con l’IA: scopri il nuovo copilot di Microsoft Cost Management!

Nell’era digitale, il cloud computing è diventato una componente essenziale per molte aziende, offrendo flessibilità, scalabilità e agilità. Tuttavia, con l’adozione sempre più diffusa del cloud, la gestione dei costi associati è diventata una sfida sempre più complessa e le aziende sono alla ricerca di soluzioni innovative per ottimizzare le loro spese nel cloud. In questo contesto, Microsoft ha introdotto “Copilot” in Cost Management, una nuova funzionalità basata sull’intelligenza artificiale, progettata per aiutare le aziende a navigare in questo panorama complesso. In questo articolo vengono riportate le principali caratteristiche di questa integrazione, che promette di rivoluzionare il modo in cui le aziende gestiscono ed ottimizzano le loro spese per le risorse cloud.

Una visione chiara dei costi con Microsoft Cost Management

Microsoft Cost Management, disponibile direttamente dal portale Azure, offre una visione dettagliata dei costi operativi, permettendo alle aziende di comprendere meglio come vengono spesi i loro fondi. Questo strumento fornisce informazioni dettagliate sulle spese, evidenziando eventuali anomalie e modelli di spesa. Inoltre, permette di impostare budget, condividere i costi tra diversi team e identificare opportunità di ottimizzazione.

L’IA al servizio della gestione dei costi

Con l’introduzione dell’IA in Microsoft Cost Management, gli utenti possono ora fare domande in linguaggio naturale per ottenere rapidamente le informazioni di cui hanno bisogno. Ad esempio, per comprendere una fattura recente, è possibile chiedere una suddivisione dettagliata delle spese. L’IA fornirà una panoramica delle diverse categorie di spesa e del loro impatto sul totale.

Oltre a fornire una panoramica dei costi, l’IA offre suggerimenti su come analizzare ulteriormente le spese. Gli utenti possono confrontare le fatture mensili, esaminare le spese specifiche o indagare su eventuali anomalie. L’IA fornisce anche informazioni dettagliate su eventuali variazioni nei costi e suggerisce azioni correttive.

L’IA integrata in Microsoft Cost Management interpreta le intenzioni dell’utente e recupera i dati necessari da diverse fonti. Queste informazioni vengono poi presentate a un modello di linguaggio avanzato che genera una risposta. È importante notare che i dati recuperati non vengono utilizzati per addestrare il modello, ma solo per fornire il contesto necessario per generare una risposta pertinente.

Prospettive future

Le capacità dell’IA in Microsoft Cost Management sono in continua evoluzione. In futuro, gli utenti potranno sfruttare simulazioni e modellazioni “what-if” per prendere decisioni informate. Ad esempio, potranno esplorare come varieranno i costi di archiviazione in caso di crescita aziendale o valutare l’impatto di spostare risorse da una regione all’altra.

Figura 1 – Esempio di simulazione e modellazione “what-if”

Benefici

L’introduzione dell’AI in Microsoft Cost Management permette di ottenere i seguenti benefici:

  • Maggiore visibilità e controllo dei costi: con una maggiore visibilità e comprensione dei costi delle risorse cloud, le organizzazioni possono prendere decisioni in modo più consapevole e gestire meglio i loro budget.
  • Efficienza operativa: l’uso dell’IA per analizzare e interpretare i dati riduce il tempo e lo sforzo necessari per ottenere intuizioni preziose. Inoltre, gli utenti possono porre domande specifiche in linguaggio naturale e ricevere risposte dettagliate, personalizzate per le loro esigenze.

Figura 2 – Esempi di domande

  • Ottimizzazione: con suggerimenti e raccomandazioni guidati dall’IA, le organizzazioni possono identificare e attuare opportunità di ottimizzazione per ridurre ulteriormente i costi.

Conclusione

L’integrazione di Copilot in Microsoft Cost Management rappresenta un passo avanti significativo nella gestione dei costi del cloud. Con l’aiuto dell’intelligenza artificiale, le aziende ora hanno uno strumento potente per ottimizzare le loro spese e assicurarsi di operare al massimo della loro efficienza. Con l’evoluzione costante dell’intelligenza artificiale, si prospettano ulteriori e interessanti innovazioni nell’ambito della gestione dei costi del cloud e non solo.

Azure al tuo fianco: nuove soluzioni per la fine del supporto di Windows Server 2012/R2

Nell’era dell’Intelligenza Artificiale e dei servizi nativi per il cloud, le organizzazioni continuano a fare affidamento su Windows Server come piattaforma sicura e affidabile per i loro workload mission-critical. Tuttavia, è importante ricordare che il supporto per Windows Server 2012/R2 terminerà il 10 ottobre 2023. Dopo tale data, i sistemi Windows Server 2012/R2 diventeranno vulnerabili se non si intraprenderanno dei provvedimenti, poiché non riceveranno più regolarmente gli aggiornamenti di sicurezza. Recentemente, Microsoft ha annunciato che Azure offre nuove soluzioni per gestire al meglio la fine del supporto di Windows Server 2012/R2. Queste soluzioni saranno esaminate nel dettaglio in questo articolo, dopo un breve riepilogo per definire il contesto.

L’impatto del termine del supporto per Windows Server 2012 R2: cosa significa per le aziende?

Microsoft ha annunciato la fine del supporto per Windows Server 2012 e 2012 R2, fissata per il 10 ottobre 2023. Questo evento rappresenta un punto cruciale per molte organizzazioni che si affidano a questi server per accedere alle applicazioni e ai dati. Ma cosa significa esattamente la fine del supporto (EOL) e quali sono le implicazioni per le aziende?

Comprendere la fine del supporto

Microsoft ha una politica di ciclo di vita che fornisce supporto per i suoi prodotti, tra cui Windows Server 2012 e 2012 R2. La fine del supporto si riferisce al momento in cui un prodotto non è più supportato da Microsoft, il che significa che non verranno più forniti aggiornamenti di sicurezza, patch o supporto tecnico.

Perché le aziende dovrebbero preoccuparsi

Senza aggiornamenti e patch regolari, le aziende che utilizzano Windows Server 2012 e 2012 R2 sono esposte a vulnerabilità di sicurezza, come attacchi ransomware e violazioni dei dati. Inoltre, l’utilizzo di un prodotto non supportato come Windows Server 2012 o 2012 R2 può portare a problemi di non conformità. Infine, il software obsoleto può causare problemi di compatibilità con applicazioni e hardware più recenti, ostacolando l’efficienza e la produttività.

Un’opportunità per rivedere la strategia IT

Le aziende dovrebbero utilizzare l’evento di EOL come un’opportunità per rivedere la loro strategia IT e determinare gli obiettivi aziendali desiderati dalla loro tecnologia. In questo modo, possono allineare la tecnologia con i loro obiettivi a lungo termine, sfruttando le ultime soluzioni cloud e migliorando l’efficienza operativa.

Le strategie che è possibile adottare per affrontare questa situazione, evitando così di esporre la propria infrastruttura IT a problematiche di security, sono già state affrontate nell’articolo: Come la fine del supporto di Windows Server 2012 può essere una grande opportunità per i CTO.

A questo proposito, Microsoft ha introdotto due nuove opzioni, fornite tramite Azure, per agevolare la gestione di questa situazione:

  • aggiornamento dei server con Azure Migrate;
  • distribuzione sui server abilitati ad Azure Arc degli aggiornamenti derivanti dall’ESU (Extended Security Updates).

Nei paragrafi seguenti vengono descritte le caratteristiche di queste nuove opzioni.

Aggiornamento dei server Windows in fase di fine supporto (EOS) con Azure Migrate

Azure Migrate è un servizio offerto da Microsoft Azure che consente di valutare e migrare le risorse locali, come macchine virtuali, applicazioni e database, verso l’infrastruttura cloud di Azure. Recentemente, Azure Migrate ha introdotto il supporto per gli aggiornamenti in-place di Windows Server 2012 e versioni successive, durante il passaggio ad Azure. Questo permette alle organizzazioni di spostare le loro applicazioni e i loro database legacy su un sistema operativo completamente supportato, compatibile e conforme come Windows Server 2016, 2019 oppure 2022.

Vantaggi chiave della funzionalità di aggiornamento del sistema operativo di Azure Migrate

Mitigazione del rischio: Azure Migrate crea una replica del server originale in Azure, permettendo l’aggiornamento del sistema operativo sulla replica mentre il server di origine rimane intatto. In caso di problemi, i clienti possono facilmente tornare al sistema operativo originale.

Test di compatibilità: Azure Migrate offre la possibilità di eseguire una migrazione di prova in un ambiente isolato in Azure. Questo è particolarmente utile per gli aggiornamenti del sistema operativo, permettendo ai clienti di valutare la compatibilità del loro sistema operativo e delle applicazioni aggiornate senza impattare la produzione. In questo modo è possibile identificare e risolvere eventuali problemi in anticipo.

Riduzione dello sforzo e del downtime: integrando gli aggiornamenti del sistema operativo con la migrazione al cloud, i clienti possono risparmiare significativamente tempo e sforzo. Con un solo dato aggiuntivo, la versione del sistema operativo di destinazione, Azure Migrate si occupa del resto, semplificando il processo. Questa integrazione riduce ulteriormente il downtime del server e delle applicazioni su di esso ospitate, aumentando l’efficienza.

Nessuna licenza Windows separata: con l’aggiornamento del sistema operativo di Azure Migrate, non è necessario acquistare separatamente una licenza del sistema operativo per effettuare l’aggiornamento. Che il cliente utilizzi Azure Hybrid Benefits (AHB) o PAYG, risulta coperto quando migrerà a un VM Azure utilizzando Azure Migrate.

Aggiornamento dei server su larga scala: Azure Migrate supporta aggiornamenti del sistema operativo dei server su larga scala, permettendo ai clienti di aggiornare fino a 500 server in parallelo durante la migrazione ad Azure. Utilizzando il portale Azure, sarà possibile selezionare fino a 10 VMs alla volta per configurare le repliche. Per replicare più VMs è possibile utilizzare il portale e aggiungere le VMs da replicare in più lotti di 10 VMs, oppure utilizzare l’interfaccia PowerShell di Azure Migrate per configurare la replica.

Versioni del sistema operativo supportate

Azure Migrate è in grado di gestire:

  • Windows Server 2012: supporta l’aggiornamento a Windows Server 2016;
  • Windows Server 2012 R2: supporta l’aggiornamento a Windows Server 2016, Windows Server 2019;
  • Windows Server 2016: supporta l’aggiornamento a Windows Server 2019, Windows Server 2022;
  • Windows Server 2019: supporta l’aggiornamento a Windows Server 2022.

Distribuzione degli aggiornamenti derivanti dall’ESU sui server abilitati ad Azure Arc

Azure Arc è un insieme di soluzioni Microsoft che consentono alle aziende di gestire, governare e proteggere le risorse in vari ambienti, tra cui on-premise, edge e multi-cloud, estendendo le capacità di gestione di Azure a qualsiasi infrastruttura.

Per le organizzazioni che non sono in grado di modernizzare oppure migrare prima della data di fine del supporto di Windows Server 2012/R2, Microsoft ha annunciato gli Extended Security Updates (ESU) abilitati da Azure Arc. Con Azure Arc, le organizzazioni saranno in grado di acquistare e distribuire senza problemi gli Extended Security Updates (ESU) in ambienti on-premise o multicloud, direttamente dal portale Azure.

Per ottenere gli Extended Security Updates (ESU) per Windows Server 2012/R2 e SQL Server 2012 abilitati da Azure Arc, è necessario seguire i passaggi seguenti:

  • Preparazione dell’ambiente Azure Arc: innanzitutto, è necessario un ambiente Azure e un’infrastruttura Azure Arc funzionante. Azure Arc può essere installato su qualsiasi server che esegue Windows Server 2012/R2 oppure SQL Server 2012, a condizione che vengano rispettati i requisiti di connettività.
  • Registrazione del server in Azure Arc: una volta predisposto l’ambiente Azure Arc, è necessario registrare i server Windows o i sistemi SQL Server in Azure Arc. Questo processo consente ai sistemi di diventare risorse gestite in Azure, rendendoli idonei per gli ESU.
  • Acquisto degli ESU: una volta che i server sono registrati in Azure Arc, è possibile acquistare gli ESU, per ogni server che desideri proteggere, attraverso Azure.
  • Attivazione degli ESU: dopo l’acquisto degli ESU, è necessario attivarli sui server. Questo processo comporta l’installazione di una chiave di licenza e il download degli aggiornamenti di sicurezza da Windows Update o dall’infrastruttura locale di distribuzione degli aggiornamenti.
  • Installazione degli aggiornamenti: infine, una volta attivati gli ESU, è possibile effettuare l’installazione degli aggiornamenti di sicurezza sui server. Questo processo può essere gestito manualmente o automatizzandolo attraverso strumenti di gestione degli aggiornamenti.

NOTA: gli ESU forniscono solo aggiornamenti di sicurezza critici e importanti, non includono nuove funzionalità o miglioramenti delle prestazioni. Inoltre, gli ESU sono disponibili solo per un periodo limitato dopo la fine del supporto di Microsoft. Pertanto, si consiglia di prendere in considerazione la migrazione a versioni più recenti dei server per avere accesso a tutte le funzionalità, oltre agli aggiornamenti di sicurezza.

Conclusioni

Quest’anno, Microsoft celebra il 30° anniversario di Windows Server, un traguardo raggiunto grazie all’incessante innovazione e al sostegno dei clienti. Tuttavia, i clienti si devono impegnare a mantenere aggiornati i loro sistemi Windows Server prossimi alla fine del supporto. In particolare, la fine del supporto per Windows Server 2012 e 2012 R2 rappresenta un rischio significativo per le aziende, ma presenta anche un’opportunità per rivedere e migliorare la loro strategia IT. Identificando gli obiettivi aziendali desiderati, impegnandosi nella pianificazione strategica e, se necessario, utilizzando queste nuove soluzioni offerte da Azure, le aziende possono garantire una transizione fluida e di successo, ottimizzando la loro infrastruttura IT per raggiungere i loro obiettivi a lungo termine.

Microsoft Azure e Nutanix: una partnership strategica per il cloud ibrido

Negli ultimi anni, l’adozione del cloud computing ha registrato una crescita esponenziale, rivoluzionando il modo in cui le organizzazioni gestiscono le proprie risorse IT. Uno dei concetti chiave che ha guadagnato popolarità è il “cloud ibrido”, un modello operativo che combina il meglio dei servizi del cloud pubblico e privato in un’unica soluzione flessibile. Per offrire nuove soluzioni di cloud ibrido che combinano l’agilità delle applicazioni con una gestione unificata tra il cloud privato ed Azure, Microsoft ha stretto una partnership strategica con Nutanix, leader per le infrastrutture iperconvergenti. Questo articolo esplorerà i dettagli chiave di questa partnership strategica, illustrando come le soluzioni di cloud ibrido offerte da Azure e Nutanix possano supportare le aziende nel raggiungimento dei propri obiettivi di trasformazione digitale, garantendo al contempo sicurezza, affidabilità ed efficienza, indispensabili per il successo nell’era del cloud.

Riconoscendo la necessità di offrire soluzioni che si adattino alle esigenze specifiche dei clienti, Microsoft Azure è stato progettato fin dall’inizio con l’obiettivo di ridurre i costi e la complessità, migliorando al contempo l’affidabilità e l’efficienza. Questa visione si è concretizzata in una piattaforma completa che offre scelta e flessibilità per il proprio ambiente IT.

Figura 1 – Panoramica delle possibilità offerte da Microsoft Azure in termini di infrastruttura

Il passaggio al cloud non è sempre un processo lineare ed esistono situazioni in cui le piattaforme on-premise esistenti continuano a svolgere un ruolo vitale. Azure permette ai clienti di adottare il cloud secondo il proprio ritmo, assicurando la continuità nell’utilizzo delle piattaforme locali già conosciute. Questa opportunità è da tempo disponibile per VMware ed ora è disponibile anche per Nutanix.

Cosa sono i Nutanix Cloud Clusters (NC2)?

I Nutanix Cloud Cluster (NC2) sono istanze bare metal che si trovano fisicamente all’interno di cloud pubblici, tra cui Microsoft Azure ed AWS. NC2 esegue il core dello stack Nutanix HCI, che include i seguenti componenti principali:

  • Nutanix Acropolis Hypervisor (AHV): l’hypervisor basato su Kernel-based Virtual Machine (KVM) open source;
  • Nutanix Acropolis Operating System (AOS): il sistema operativo che astrae all’utente finale i componenti Nutanix, come KVM, virsh, qemu, libvirt e iSCSI, e che gestisce l’intera configurazione di backend;
  • Prism: la soluzione che fornisce agli amministratori un accesso centralizzato per configurare, monitorare e gestire in modo semplice gli ambienti Nutanix.

Figura 2 – Panoramica di Nutanix Cloud Cluster su Azure

Il cluster Nutanix su Azure sarà composto da almeno tre nodi. Le SKU disponibili per NC2 su Azure, con i dettagli di core, RAM, storage e rete sono disponibili a questo indirizzo.

La connessione dell’ambiente on-premise verso Azure è supportata sia tramite Express Route, sia tramite VPN Gateway.

Si riporta un esempio di implementazione di NC2, dal punto di vista network, in Azure:

Figura 3 – Esempio di implementazione di NC2 in Azure

Principali scenari di adozione

L’adozione della soluzione Nutanix in Azure può avvenire per far fronte ai seguenti scenari:

  • disaster recovery e business continuity;
  • necessità di una espansione del proprio datacenter;
  • necessità di migrare in modo semplice e veloce i prori workload Nutanix in Azure

Benefici di questa soluzione

Si riportano i principali benefici che si possono ottenere nell’adottare questa soluzione.

  • Adozione di una strategia di distribuzione ibrida coerente: è possibile stabilire una strategia di distribuzione ibrida coerente, combinando le risorse on-premises con i cluster Nutanix in Azure. Questo consente di operare in modo omogeneo e senza diversità tra i due ambienti.
  • Facile attivazione e scalabilità: con Azure, si ha la possibilità di attivare e scalare facilmente le applicazioni e i servizi senza incontrare particolari limitazioni. L’infrastruttura globale di Azure fornisce infatti la scalabilità e la flessibilità necessarie per soddisfare le mutevoli esigenze aziendali.
  • Ottimizzazione degli investimenti fatti: risulta possibile continuare a sfruttare gli investimenti fatti in termini di competenze e di utilizzo degli strumenti Nutanix.
  • Modernizzazione attraverso le potenzialità di Azure: con Azure, è possibile modernizzare l’architettura attraverso l’integrazione con servizi innovativi e all’avanguardia. Infatti, una volta che i clienti attivano il loro ambiente Nutanix, possono beneficiare di un’ulteriore integrazione con Azure, consentendo agli sviluppatori di applicazioni di accedere all’ecosistema completo dei servizi offerti da Azure.

Modello di costo

I clienti devono sostenere i costi per l’acquisto del software Nutanix e devono riconoscere a Microsoft il costo per l’utilizzo delle risorse cloud. Il software Nutanix sui cluster può essere licenziato in diversi modi:

  • Licenze BYO (Bring Your Own): questo tipo di licenza consente ai clienti di utilizzare le proprie licenze Nutanix già in loro possesso o che stanno acquistando. In questo modo, i clienti possono trasferire le loro licenze on-premises su NC2. È importante notare che la licenza Nutanix AOS deve essere di tipo Pro o Ultimate, poiché la licenza AOS Starter non può essere utilizzata con NC2.
  • PAYG (Pay-As-You-Go): questo modello di licenza prevede pagamenti orari in base al numero di core utilizzati o all’utilizzo di SSD. I clienti pagano solo per le risorse effettivamente utilizzate durante il tempo in cui il cluster è attivo.
  • Cloud Commit: questo modello richiede un impegno minimo da parte del cliente per un determinato periodo di tempo. I clienti si impegnano a utilizzare le risorse Nutanix su NC2 per un periodo specifico e beneficiano di tariffe preferenziali in base a tale impegno.

Opzioni di supporto

Microsoft offre il supporto per l’infrastruttura bare metal dei NC2 su Azure. Per richiedere assistenza è sufficiente aprire una richiesta specifica direttamente dal portale Azure. Nutanix, invece, fornisce il supporto per il software Nutanix di NC2 su Azure. Tale livello di supporto è denominato Production Support per NC2.

Conclusioni

Grazie alla collaborazione tra Microsoft e Nutanix, questa soluzione offre ai clienti che già dispongono di un ambiente Nutanix on-premises la possibilità di sfruttare le stesse funzionalità anche nel cloud pubblico di Microsoft, consentendo inoltre di accedere alla vasta gamma di servizi offerti da Azure. Questa soluzione permette di adottare un modello operativo coerente, che può aumentare l’agilità, la velocità di distribuzione e la resilienza dei workload critici.

Azure Stack HCI: l’innovazione dell’infrastruttura IT che riduce l’impatto ambientale

L’era dell’innovazione tecnologica ha il dovere di fondersi con la sostenibilità ambientale, e Microsoft Azure Stack HCI rappresenta un significativo passo avanti in questa direzione. Nel frenetico mondo dell’IT aziendale, le organizzazioni sono costantemente alla ricerca di soluzioni che non solo offrano prestazioni eccellenti ed innovazione, ma che contribuiscano anche a ridurre l’impatto ambientale delle proprie infrastrutture IT. Azure Stack HCI si pone come una soluzione all’avanguardia che coniuga l’eccellenza tecnologica con l’impegno verso la sostenibilità ambientale. In questo articolo, esploreremo le implicazioni positive per l’ambiente che derivano dell’adozione di Azure Stack HCI.

 

Riduzione del consumo energetico

In un’infrastruttura hyper-converged (HCI), diversi componenti hardware vengono sostituiti dal software, il quale unisce i livelli di elaborazione, storage e rete in una singola soluzione. Azure Stack HCI è la soluzione di Microsoft che consente di realizzare un’infrastruttura hyper-converged (HCI), in cui risorse di calcolo, storage e networking vengono consolidate in una piattaforma unica. Ciò elimina la necessità di dispositivi separati, come appliance, storage fabric e SAN, portando a una riduzione complessiva del consumo energetico. Inoltre, i sistemi Azure Stack HCI sono appositamente progettati per operare in modo efficiente, sfruttando al massimo le risorse disponibili. Questa eliminazione dei dispositivi separati e l’ottimizzazione delle risorse contribuiscono a ridurre la quantità di energia richiesta per il mantenimento e per il raffreddamento dell’infrastruttura, contribuendo così alla diminuzione delle emissioni di carbonio.

Figura 1 – “Three Tier” Infrastructure vs Hyper-Converged Infrastructure (HCI)

Utilizzo intelligente delle risorse

Azure Stack HCI consente di scalare le risorse in modo flessibile in base alle esigenze dei carichi di lavoro e permette di estendere le sue funzionalità con i servizi cloud di Microsoft Azure, tra i quali:

  • Azure Site Recovery per implementare scenari di disaster recovery;
  • Azure Backup per una protezione offsite della propria infrastruttura;
  • Update Management che consente di effettuare una valutazione degli aggiornamenti mancanti e procedere con la distribuzione corrispondente, sia per macchine Windows sia per sistemi Linux, indipendentemente dalla loro posizione geografica;
  • Azure Monitor che offre un modo centralizzato per monitorare e tenere sotto controllo ciò che accade a livello applicativo, di rete e nell’infrastruttura hyper-converged, utilizzando analisi avanzate basate sull’intelligenza artificiale;
  • Defender for Cloud che garantisce funzionalità di monitoraggio e rilevamento delle minacce di sicurezza sui workload in esecuzione nell’ambiente Azure Stack HCI;
  • Cloud Witness per utilizzare lo storage account di Azure come quorum del cluster.

Inoltre, esiste la possibilità di modernizzare e rendere più efficiente anche il file server, che rimane un componente strategico e ampiamente utilizzato nei datacenter, mediante l’adozione della soluzione Azure File Sync. Tale soluzione consente di centralizzare le cartelle di rete dell’infrastruttura in Azure Files, garantendo al contempo la flessibilità, le prestazioni e la compatibilità di un tradizionale file server Windows. Nonostante sia possibile mantenere una copia completa dei dati in ambiente on-premises, Azure File Sync trasforma Windows Server in una “cache” che consente un accesso rapido ai contenuti presenti in una specifica Azure file share: in tal caso, tutti i file risiedono nel cloud, mentre solo i file più recenti sono conservati anche nel file server on-premises. Questo approccio consente di ridurre significativamente lo spazio di archiviazione necessario nel proprio datacenter.

Figura 2 – Integrazione della piattaforma con soluzioni cloud

Figura 2 – Integrazione della piattaforma con soluzioni cloud

Grazie alla virtualizzazione, all’allocazione dinamica delle risorse e all’adozione di soluzioni in ambiente cloud, è possibile utilizzare on-premises solo le risorse necessarie, evitando sprechi di energia. Questo approccio all’infrastruttura riduce l’impatto ambientale derivante dalla produzione, dalla gestione e dallo smaltimento dei componenti hardware obsoleti.

Ottimizzazione dello spazio fisico

Consolidando le risorse in un’unica piattaforma Azure Stack HCI si riduce la necessità di spazio fisico per l’installazione dei server, dei dispositivi storage e degli apparati di rete. Questo si traduce in una significativa riduzione della superficie occupata nei locali server, consentendo una gestione dello spazio più efficiente e una maggiore densità di calcolo. A sua volta, la riduzione dello spazio occupato comporta minori esigenze di raffreddamento e di illuminazione, contribuendo così al risparmio energetico complessivo.

Conclusioni

L’adozione di Microsoft Azure Stack HCI offre significativi benefici in termini di sostenibilità ambientale. La riduzione del consumo energetico, l’ottimizzazione delle risorse, l’uso intelligente dello spazio fisico e l’ampia flessibilità contribuiscono a ridurre l’impatto ambientale dei data center e delle infrastrutture IT. Azure Stack HCI rappresenta un passo avanti verso l’adozione di soluzioni IT più sostenibili, consentendo alle organizzazioni di ottimizzare le risorse, ridurre le emissioni di carbonio e promuovere una gestione più efficiente ed ecologicamente consapevole delle risorse IT.

Cloud Security Posture Management (CSPM) di Defender for Cloud: proteggi le tue risorse con una soluzione di sicurezza avanzata

Nel contesto del panorama digitale odierno, l’adozione del cloud computing ha aperto nuove opportunità per le organizzazioni, ma allo stesso tempo sono emerse nuove sfide in termini di sicurezza delle risorse cloud. L’adozione di una soluzione di Cloud Security Posture Management (CSPM) è fondamentale per garantire che le risorse cloud siano configurate in modo sicuro e che gli standard di sicurezza siano adeguatamente implementati. Microsoft Azure offre Defender for Cloud, una soluzione completa che combina la potenza di una piattaforma di CSPM con funzionalità avanzate di sicurezza per aiutare le organizzazioni a proteggere le loro risorse cloud in modo efficace. In questo articolo vengono approfondite le caratteristiche di CSPM offerte da Defender for Cloud.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare tre grandi pilastri della sicurezza per le architetture moderne che adottano componenti cloud:

  • DevOps Security Management (DevSecOps): Defender for Cloud aiuta a incorporare già durante il processo di sviluppo del software le best practice di sicurezza. Infatti, consente di proteggere gli ambienti di gestione del codice (GitHub e Azure DevOps), le pipeline di sviluppo e permette di ottenere informazioni sulla security posture dell’ambiente di sviluppo. Defender for Cloud include attualmente Defender for DevOps.
  • Cloud Security Posture Management (CSPM): si tratta di insieme di pratiche, processi e strumenti volti a identificare, monitorare e mitigare i rischi di sicurezza nelle risorse cloud. CSPM offre un’ampia visibilità sulla security posture delle risorse, consentendo alle organizzazioni di identificare e correggere le configurazioni non conformi, le vulnerabilità e le potenziali minacce. Questo approccio proattivo riduce il rischio di violazioni della sicurezza e aiuta a mantenere un ambiente cloud sicuro.
  • Cloud Workload Protection Platform (CWPP): i principi di sicurezza proattiva richiedono l’implementazione di pratiche di sicurezza che proteggano i workload dalle minacce. Defender for Cloud include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription Azure ed in ambienti ibridi e multi-cloud.

Figura 1 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

CSPM in Defender for Cloud

Defender for Cloud è la soluzione di sicurezza avanzata di Microsoft Azure che contempla l’ambito CSPM per offrire un’ampia gamma di funzionalità e controlli di sicurezza per le risorse cloud. Con Defender for Cloud, le organizzazioni possono ottenere una visibilità completa delle loro risorse, identificare e risolvere le vulnerabilità e monitorare costantemente la security posture delle risorse. Alcune delle funzionalità principali offerte da Defender for Cloud includono:

  • Analisi delle configurazioni: Defender for Cloud esamina le configurazioni delle risorse cloud alla ricerca di impostazioni non conformi e fornisce raccomandazioni per correggerle. Ciò garantisce che le risorse siano configurate in modo sicuro e che gli standard di sicurezza siano rispettati.
  • Identificazione delle vulnerabilità: la soluzione analizza continuamente le risorse cloud per individuare le vulnerabilità note. Vengono fornite raccomandazioni e priorità per affrontare queste vulnerabilità e ridurre il rischio di sfruttamento da parte di potenziali minacce.
  • Monitoraggio continuo: Defender for Cloud monitora costantemente la postura di sicurezza delle risorse cloud e fornisce avvisi in tempo reale in caso di configurazioni non sicure o attività sospette. Questo consente alle organizzazioni di rispondere prontamente alle minacce e di mantenere un ambiente cloud protetto.
  • Automazione e orchestrazione: Defender for Cloud automatizza gran parte del processo di gestione della postura di sicurezza degli ambienti cloud, consentendo alle organizzazioni di risparmiare tempo e risorse preziose.

Defender for Cloud offre gratuitamente le funzionalità fondamentali in ambito CSPM. Queste funzionalità sono automaticamente abilitate su qualsiasi subscription o account che abbia effettuato l’onboarding a Defender for Cloud. Qualora lo si ritenga necessario è possibile ampliare il set di funzionalità attivando il piano Defender CSPM.

Figura 2 – Comparativa tra i piani in ambito CSPM

Per una comparativa completa è possibile fare riferimento alla documentazione ufficiale Microsoft.

Il piano Defender CSPM opzionale offre funzionalità avanzate di gestione della security posture, tra le principali troviamo:

  • Security Governance: i team di security sono responsabili del miglioramento della postura di sicurezza delle loro organizzazioni, ma potrebbero non avere le risorse oppure l’autorità per implementare effettivamente le raccomandazioni di sicurezza. L’assegnazione di responsabili con date di scadenza e la definizione di regole di governance creano responsabilità e trasparenza, in modo da poter guidare il processo di miglioramento della sicurezza dell’organizzazione.
  • Regulatory compliance: grazie a questa funzionalità Microsoft Defender for Cloud semplifica il processo per soddisfare i requisiti di conformità normativa, fornendo una dashboard specifica. Defender for Cloud valuta continuamente l’ambiente per analizzare i fattori di rischio in base ai controlli e alle best practice degli standard applicati alle sottoscrizioni. La dashboard riflette lo stato di conformità a questi standard. Il Microsoft cloud security benchmark (MCSB) viene invece assegnato automaticamente alle sottoscrizioni e agli account quando si accede a Defender for Cloud (foundational CSPM). Questo benchmark si basa sui principi di sicurezza del cloud definiti dall’Azure Security Benchmark e li applica con una guida dettagliata all’implementazione tecnica per Azure, per altri fornitori di cloud (come AWS e GCP) e per altri cloud Microsoft.
  • Cloud Security Explorer: consente di identificare in modo proattivo i rischi per la sicurezza nell’ambiente cloud eseguendo graficamente query sul Cloud Security Graph, che è il motore di definizione del contesto di Defender for Cloud. Alle richieste del team di sicurezza è possibile dare priorità, tenendo conto del contesto e delle specifiche norme dell’organizzazione. Con il Cloud Security Explorer è possibile interrogare i problemi di sicurezza ed il contesto dell’ambiente, come l’inventario delle risorse, l’esposizione a Internet, le autorizzazioni e il “lateral movement” tra le risorse e tra più cloud (Azure e AWS).
  • Attack path analysis: l’analisi dei percorsi di attacco aiuta ad affrontare i problemi di sicurezza, relative all’ambiente specifico, che rappresentano minacce immediate con il maggior potenziale di sfruttamento. Defender for Cloud analizza quali problemi di sicurezza fanno parte di potenziali percorsi di attacco che gli aggressori potrebbero utilizzare per violare l’ambiente specifico. Inoltre, evidenzia le raccomandazioni di sicurezza che devono essere risolte per mitigarle.
  • Agentless scanning for machines: Microsoft Defender for Cloud massimizza la copertura dei problemi di postura del sistema operativo e va oltre alla copertura data dagli assessment basati su agenti specifici. Grazie alla scansione agentless per le macchine virtuali è possibile ottenere una visibilità immediata, ampia e senza ostacoli in merito ai potenziali problemi di postura. Il tutto senza dover installare agenti, rispettare requisiti di connettività di rete oppure impattare sulle prestazioni delle macchine. La scansione agentless per le macchine virtuali fornisce la valutazione delle vulnerabilità e l’inventario del software, entrambi tramite Microsoft Defender Vulnerability Management, in ambienti Azure e Amazon AWS. La scansione agentless è disponibile sia in Defender Cloud Security Posture Management (CSPM) sia in Defender for Servers P2.

Conclusioni

Nel contesto sempre più complesso della sicurezza delle risorse IT, soprattutto in presenza di ambienti ibridi e multi-cloud, il Cloud Security Posture Management (CSPM) è diventato una componente essenziale della strategia di sicurezza delle organizzazioni. Defender for Cloud di Microsoft Azure offre una soluzione avanzata di CSPM, che combina analisi delle configurazioni, identificazione delle vulnerabilità, monitoraggio continuo e automazione per garantire che le risorse IT siano protette in modo adeguato. Investire in una soluzione di CSPM come Defender for Cloud consente alle organizzazioni di mitigare i rischi di sicurezza e proteggere le risorse IT.

Come la fine del supporto di Windows Server 2012 può essere una grande opportunità per i CTO

La fine del supporto dei sistemi operativi Windows Server 2012 e 2012 R2 sta avvicinandosi rapidamente e, per i Chief Technology Officer (CTO) delle aziende, questo aspetto deve essere attentamente valutato in quanto ha degli impatti significativi sull’infrastruttura IT. Allo stesso tempo, la fine del supporto può rappresentare un’occasione importante per modernizzare l’ambiente IT al fine di garantire una maggiore sicurezza, nuove funzionalità e un miglioramento della continuità del business. In questo articolo vengono riportate le strategie che è possibile adottare per affrontare questa situazione, evitando così di esporre la propria infrastruttura IT a problematiche di security causate da questa situazione.

Quando termina il supporto di Windows Server 2012/2012R2 e cosa comporta?

Il 10 ottobre 2023 segna la fine del supporto esteso di Windows Server 2012 e Windows Server 2012 R2. Senza il supporto di Microsoft, Windows Server 2012 e Windows Server 2012 R2 non riceveranno più patch di sicurezza, a meno che non vengano svolte determinate azioni riportate in seguito. Ciò significa che eventuali vulnerabilità scoperte nel sistema operativo non saranno più corrette e questo potrebbe rendere i sistemi vulnerabili ad attacchi informatici. Inoltre, questa condizione comporterebbe lo stato di non conformità rispetto a specifici regolamenti, come ad esempio il General Data Protection Regulation (GDPR).

Inoltre, gli utenti non riceveranno più correzioni di bug e altri aggiornamenti necessari per mantenere il sistema operativo in linea con le ultime tecnologie, il che potrebbe comportare problemi di compatibilità con i software più recenti e introdurre potenziali problemi di prestazioni.

Oltre a tutto ciò, Microsoft non garantirà più un supporto tecnico e un aggiornamento dei contenuti tecnici disponibili online per questo sistema operativo.

Tutti questi aspetti comportano un impatto significativo sulle realtà IT che utilizzano ancora questi sistemi operativi.

Possibili strategie e opportunità legate alla fine del supporto

Questa situazione è certamente poco piacevole per chi si ritrova ad affrontarla ora, visti i tempi ristretti, ma può anche essere vista come una importante opportunità di rinnovo e innovazione della propria infrastruttura. Nei paragrafi seguenti vengono riportate le possibili strategie che si possono attuare.

Aggiornamento dei sistemi on-premises

Questa strategia prevede il passaggio a una nuova versione di Windows Server in ambiente on-premises. Il consiglio in questo caso è di approcciare come piattaforma almeno Windows Server 2019, ma è preferibile adottare la versione più recente, Windows Server 2022, che può fornire le ultime innovazioni in materia di sicurezza, prestazioni e modernizzazione delle applicazioni.

Inoltre, laddove tecnicamente possibile è preferibile non procedere con aggiornamenti in place del sistema operativo, ma di gestire la migrazione in side-by-side.

Questo metodo solitamente richiede un coinvolgimento del fornitore applicativo, per garantire la compatibilità software con la nuova versione del sistema operativo. Trattandosi di software non recenti, spesso viene richiesta l’adozione di versioni aggiornate degli stessi, che possono prevedere un adeguamento dell’architettura e una fase approfondita di test della nuova release. Adottando questo processo di upgrade i tempi e l’effort sono considerevoli, ma il risultato che si ottiene è fondamentale per rispettare il rinnovo tecnologico.

Mantenimento dei sistemi Windows Server 2012/2012 R2, ma con aggiornamenti di security per altri 3 anni

Per continuare a ricevere gli update di security per i sistemi Windows Server 2012\2012 R2 ospitati in ambiente on-premises, una possibilità è quella di aderire al programma Extended Security Update (ESU). Tale programma a pagamento garantisce il provisioning degli Update di Security classificati come “critical” e “important” per ulteriori tre anni, nel caso specifico fino al 13 ottobre 2026.

Il programma Extended Security Update (ESU) è un’opzione per i clienti che hanno bisogno di eseguire alcuni prodotti Microsoft legacy oltre la fine del supporto e che non sono nelle condizioni di intraprendere altre strategie. Gli aggiornamenti inclusi nel programma ESU non includono nuove funzionalità e aggiornamenti non legati agli aspetti di sicurezza.

Adozione di Azure

Migrazione dei sistemi in Azure

Migrando i sistemi Windows Server 2012 e Windows Server 2012 R2 presenti on-premises in ambiente Azure si continueranno a ricevere per altri tre anni i security update, classificati come critici e importanti, senza dover aderire al programma ESU. Questo scenario non solo è utile per garantire il rispetto della compliance dei propri sistemi, ma apre la strada verso architetture ibride dove sarà possibile ottenere i vantaggi dati dal cloud. A questo proposito Microsoft offre un’ottima soluzione in grado di fornire un ampio set di strumenti necessari per affrontare al meglio i più comuni scenari di migrazione: Azure Migrate, che struttura il processo di migrazioni in fase differenti (discovery, assessment, e migrazione).

Anche Azure Arc può risultare molto utile per inventariare il patrimonio digitale in ambienti eterogenei e distribuiti.

L’adozione di questa strategia può risultare più veloce rispetto all’aggiornamento dei sistemi e consente di avere più tempo a disposizione per affrontare il rinnovo software. A questo proposito il cloud consente di avere un’ottima flessibilità e agilità nel testare gli applicativi in ambienti paralleli.

Prima di iniziare il percorso di migrazione verso Azure è fondamentale anche strutturare il networking dell’ambiente ibrido in modo opportuno e valutare le iterazioni con gli altri componenti dell’infrastruttura, per constatare se l’applicativo può funzionare bene anche in ambiente cloud.

La migrazione in Azure può avvenire verso macchine virtuali IaaS oppure, in presenza di un numero elevato di sistemi da migrare in ambiente VMware, Azure VMware Solution può essere una soluzione da tenere in considerazione per affrontare una migrazione massiva in tempi rapidi e riducendo al minimo l’interruzione dei servizi erogati.

Estensione di Azure nel proprio datacenter con Azure Stack HCI

Azure Stack HCI è la soluzione Microsoft che permette di realizzare una infrastruttura hyper-converged (HCI) per l’esecuzione di workload in ambiente on-premises e che prevede una strategica connessione a vari servizi di Azure. Azure Stack HCI è stato appositamente progettato da Microsoft per aiutare i clienti a modernizzare il proprio datacenter ibrido, offrendo un’esperienza Azure completa e familiare in ambiente on-premises. Per un approfondimento sulla soluzione Microsoft Azure Stack HCI vi invito a leggere questo articolo oppure a visualizzare questo video.

Azure Stack HCI consente di ottenere gratuitamente, proprio come in Azure, importanti patch di sicurezza per i prodotti legacy di Microsoft che hanno superato il termine del supporto, tramite il programma Extended Security Update (ESU). Per maggiori informazioni a riguardo è possibile consultare questo documento Microsoft. Questa strategia consente di avere più tempo per intraprendere un percorso di modernizzazione applicativa, senza trascurare gli aspetti legati alla sicurezza.

Modernizzazione applicativa

In determinate circostanze si potrebbe intraprendere un percorso di modernizzazione applicativa, magari incentrato sul cloud pubblico, con l’obiettivo di aumentare l’innovazione, l’agilità e l’efficienza operativa. Microsoft Azure offre la flessibilità di scegliere tra un’ampia gamma di opzioni per ospitare le proprie applicazioni, coprendo lo spettro di Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Container-as-a-Service (CaaS) e serverless. In un percorso per abbandonare sistemi operativi legacy i clienti possono utilizzare i container anche per le applicazioni non appositamente progettate per utilizzare architetture basate su microservizi. In questi casi è possibile attuare una strategia di migrazione delle applicazioni esistenti che prevede solo modifiche minimali del codice dell’applicazione oppure modifiche alle configurazioni. Si tratta di modifiche strettamente necessarie per ottimizzare l’applicazione al fine di essere ospitata su soluzioni PaaS e CaaS. Per ottenere alcuni spunti a riguardo vi invito a leggere questo articolo.

Passaggi per una transizione di successo

Per le imprese che intendono intraprendere una delle strategie riportate, ci sono alcuni passaggi importanti che devono essere presi per garantire una transizione di successo.

Indipendentemente dalla strategia che si decide adottare il consiglio è di fare un assessment dettagliato, in modo da poter categorizzare ciascun workload per tipologia, criticità, complessità e rischio. In questo modo è possibile dare delle priorità e procedere con un piano di migrazione strutturato.

Inoltre, è necessario valutare attentamente la strategia di transizione più idonea considerando come minimizzare eventuali interruzioni delle attività aziendali. Ciò può includere la pianificazione dei test e la creazione di set di backup adeguati prima della migrazione.

Infine, una volta completata la migrazione, è importante attivare un moderno sistema di monitor per garantire che il workload applicativo sia stabile e che funzioni come previsto.

Conclusioni

La fine del supporto di Windows Server 2012 e Windows Server 2012 R2 rappresenta una sfida per molte aziende che utilizzano ancora questi sistemi operativi. Tuttavia, può anche essere vista come un’opportunità per le imprese di avviare un percorso di modernizzazione dell’infrastruttura oppure applicativa. In questo modo si potrà disporre di risorse più moderne, sfruttando anche le opportunità che offrono in termini di sicurezza, scalabilità e prestazioni.

Massimizza le prestazioni di Azure Stack HCI: scopri le migliori configurazioni per il networking

Le infrastrutture iperconvergenti (HCI) sono sempre più diffuse in quanto consentono di semplificare la gestione dell’ambiente IT, ridurre i costi e scalare facilmente in caso di necessità. Azure Stack HCI è la soluzione Microsoft che permette di realizzare una infrastruttura hyper-converged per l’esecuzione di workload in ambiente on-premises e che prevede una strategica connessione a vari servizi di Azure per modernizzare la propria infrastruttura IT. Configurare correttamente il networking di Azure Stack HCI è fondamentale per garantire la sicurezza, l’affidabilità e le prestazioni delle applicazioni. In questo articolo, vengono esplorati i fondamenti della configurazione del networking di Azure Stack HCI, approfondendo le opzioni di rete disponibili e le best practice per la progettazione e la configurazione del networking.

Sono differenti i modelli di rete che è possibile prendere come riferimento per progettare, distribuire e configurare Azure Stack HCI. Nei paragrafi seguenti vengono riportati gli aspetti principali da considerare per indirizzare le possibili scelte di implementazione a livello di rete.

Numero di nodi che compongono il cluster Azure Stack HCI

Un singolo cluster Azure Stack HCI può essere composto da un unico nodo e può scalare fino a 16 nodi.

Se il cluster è composto da un singolo server a livello fisico è consigliato prevedere i seguenti componenti di rete, riportati anche nell’immagine:

  • singolo switch TOR (L2 oppure L3) per il traffico in direzione nord-sud;
  • due\quattro porte di rete in team per gestire il traffico di management e computazionale collegate allo switch;

Inoltre, opzionalmente è possibile prevedere i seguenti componenti:

  • due NIC RDMA, utili se si prevede di aggiunge un secondo server al cluster per scalare la configurazione;
  • una scheda BMC per la gestione remota dell’ambiente.

Figura 1 – Architettura di rete per un cluster Azure Stack HCI composto da un singolo server

Se il cluster Azure Stack HCI è composto da due o più nodi è necessario approfondire i parametri seguenti.

Necessità di switch Top-Of-Rack (TOR) e relativo livello di ridondanza

Per i cluster Azure Stack HCI composti da due o più nodi, in ambiente di produzione, è fortemente consigliata la presenza di due switch TOR, in modo da poter tollerare interruzioni delle comunicazioni riguardanti il traffico nord-sud, in caso di guasto oppure di manutenzione del singolo switch fisico.

Se il cluster Azure Stack HCI è composto da due nodi si può fare in modo di non prevedere una connettività tramite switch per il traffico riguardante lo storage.

Configurazione a due nodi senza switch TOR per la comunicazione storage

In un cluster Azure Stack HCI composto da solo due nodi, per ridurre i costi degli switch, andando magari ad utilizzare switch già in possesso, è possibile collegare in modalità full-mesh le NIC RDMA dello storage.

In determinati scenari, che includono ad esempio branch office, oppure laboratori, si può adottare il seguente modello di rete che prevede un unico switch TOR. Applicando questo modello si ottiene una tolleranza agli errori a livello di cluster, ed è idonea se è possibile tollerare interruzioni della connettività in direzione nord-sud quando il singolo switch fisico si guasta oppure richiede manutenzione.

Figura 2 – Architettura di rete per un cluster Azure Stack HCI composto da due server, senza switch per lo storage e con un unico switch TOR

Sebbene i servizi SDN L3 siano pienamente supportati per questo schema, i servizi di routing come BGP dovranno essere configurati sul dispositivo firewall che si trovano sopra allo switch TOR, se questo non supporta i servizi L3.

Nel caso si voglia ottenere una maggiore tolleranza ai guasti per tutti i componenti di rete è possibile prevedere la seguente architettura, che prevede due switch TOR ridondati:

Figura 3 – Architettura di rete per un cluster Azure Stack HCI composto da due server, senza switch per lo storage e switch TOR ridondati

I servizi SDN L3 sono pienamente supportati da questo schema. I servizi di routing come BGP possono essere configurati direttamente sugli switch TOR se questi supportano i servizi L3. Le funzionalità legate alla sicurezza della rete non richiedono una configurazione aggiuntiva per il dispositivo firewall, poiché sono implementate a livello di virtual network adapter.

A livello fisico è consigliato prevedere i seguenti componenti di rete per ciascun server:

  • duequattro porte di rete in team, per gestire il traffico di management e computazionale, collegate alloagli switch TOR;
  • due NIC RDMA in una configurazione full-mesh per il traffico est-ovest per lo storage. Ogni nodo del cluster deve avere una connessione ridondata all’altro nodo del cluster;
  • come opzionale, una scheda BMC per la gestione remota dell’ambiente.

In entrambi i casi sono necessarie le seguenti connettività:

Reti Management e computazionale Storage BMC
Velocità di rete Almeno 1 GBps,

10 GBps recommendata

Almeno 10 GBps Tbd
Tipologia di interfaccia RJ45, SFP+ oppure SFP28 SFP+ oppure SFP28 RJ45
Porte e aggregazione Duequattro porte in teaming Due porte standalone Una porta

Configurazione a due o più nodi utilizzando switch TOR anche per la comunicazione storage

Quando si prevede un cluster Azure Stack HCI composto da più di due nodi oppure se non si vuole precludere la possibilità di poter aggiungere facilmente ulteriori nodi al cluster, è necessario far confluire anche il traffico riguardante lo storage dagli switch TOR. In questi scenari si può prevedere una configurazione dove si mantengono delle schede di rete dedicate per il traffico storage (non-converged), come mostrato nella seguente immagine:

Figura 4 – Architettura di rete per un cluster Azure Stack HCI composto da due o più server, switch TOR ridondati utilizzati anche per il traffico storage e configurazione “non-converged”

A livello fisico è consigliato prevedere i seguenti componenti di rete per ciascun server:

  • due schede di rete in team per gestire il traffico di management e computazionale. Ogni NIC è collegata a uno switch TOR diverso;
  • due NIC RDMA in configurazione standalone. Ogni NIC è collegata a uno switch TOR diverso. La funzionalità multicanale SMB garantisce l’aggregazione dei percorsi e la tolleranza agli errori;
  • come opzionale, una scheda BMC per la gestione remota dell’ambiente.

Queste le connettività previste:

Reti Management e computazionale Storage BMC
Velocità di rete Almeno 1 GBps,

10 GBps recommendata

Almeno 10 GBps Tbd
Tipologia di interfaccia RJ45, SFP+ oppure SFP28 SFP+ oppure SFP28 RJ45
Porte e aggregazione Due porte in teaming Due porte standalone Una porta

Un’altra possibilità da tenere in considerazione prevede una configurazione “fully-converged” delle schede di rete, come riportato nella seguente immagine:

Figura 5 – Architettura di rete per un cluster Azure Stack HCI composto da due o più server, switch TOR ridondati utilizzati anche per il traffico storage e configurazione “fully-converged”

Quest’ultima soluzione è preferibile quando:

  • i requisiti di larghezza di banda per il traffico nord-sud non richiedono schede dedicate;
  • le porte fisiche degli switch sono un numero ridotto;
  • si vogliono mantenere contenuti i costi della soluzione.

A livello fisico è consigliato prevedere i seguenti componenti di rete per ciascun server:

  • due schede di rete RDMA in team per il traffico di management, computazionale e storage. Ogni NIC è collegata a uno switch TOR diverso. La funzionalità multicanale SMB garantisce l’aggregazione dei percorsi e la tolleranza agli errori;
  • come opzionale, una scheda BMC per la gestione remota dell’ambiente.

Queste le connettività previste:

Reti Management, computazionale e storage BMC
Velocità di rete Almeno 10 GBps Tbd
Tipologia di interfaccia SFP+ oppure SFP28 RJ45
Porte e aggregazione Due porte in teaming Una porta

I servizi SDN L3 sono pienamente supportati da entrambi i modelli sopra riportati. I servizi di routing come BGP possono essere configurati direttamente sugli switch TOR se questi supportano i servizi L3. Le funzionalità legate alla sicurezza della rete non richiedono una configurazione aggiuntiva per il dispositivo firewall, poiché sono implementate a livello di virtual network adapter.

Tipologia di traffico che deve passare dagli switch TOR

Per scegliere gli switch TOR più adatti è necessario valutare il traffico di rete che confluirà da tali apparati di rete, il quale può essere suddiviso in:

  • traffico di management;
  • traffico computazionale (generato dai workload ospitati dal cluster), il quale può essere suddiviso in due categorie:
    • traffico standard;
    • traffico SDN;
  • traffico storage.

Microsoft ha recentemente cambiato l’approccio a riguardo. Infatti, non è più richiesto che gli switch TOR rispettino ogni requisito di rete riguardante le varie funzionalità, indipendentemente dal tipo di traffico per il quale lo switch viene utilizzato. Questo consente di avere switch fisici supportati in base al tipo di traffico che trasportano e permette di poter scegliere tra un maggior numero di dispositivi di rete ad un costo più contenuto, ma sempre di qualità.

In questo documento sono elencati gli standard di settore obbligatori per i ruoli specifici degli switch di rete utilizzati nelle implementazioni di Azure Stack HCI. Questi standard contribuiscono a garantire comunicazioni affidabili tra i nodi dei cluster Azure Stack HCI. In questa sezione sono invece riportati i modelli degli switch supportati dai vari vendor, in base alla tipologia di traffico prevista.

Conclusioni

Configurare correttamente il networking di Azure Stack HCI è fondamentale per garantire che l’infrastruttura hyper-converged funzioni in modo corretto, garantendo sicurezza, affidabilità e prestazioni ottimali. In questo articolo sono stati riportati i concetti fondamentali riguardanti la configurazione del networking di Azure Stack HCI, analizzando le opzioni di rete disponibili. Il consiglio è di pianificare sempre attentamente gli aspetti legati al networking di Azure Stack HCI, scegliendo l’opzione di rete più appropriata per le esigenze del vostro business e seguendo le best practice di implementazione.