Archivi categoria: Cloud

Azure Management services: le novità di Marzo 2021

Nel mese di marzo ci sono state diverse novità annunciate da parte di Microsoft riguardanti gli Azure management services. In questa serie di articoli, riportati con cadenza mensile, vengono elencati i principali annunci, accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Novità in Azure Monitor for Windows Virtual Desktop

Azure Monitor for Windows Virtual Desktop, che sarà reso disponibile nelle prossime settimane, permetterà di avere una visualizzazione centralizzata, contenente tutte le informazioni di monitor utili per eseguire la risoluzione dei problemi ed operare su larga scala. Grazie agli ultimi aggiornamenti è possibile:

  • Visualizzare un riepilogo sullo stato e sull’integrità dell’host pool
  • Trovare e risolvere eventuali problemi nei deployment
  • Comprendere ed indirizzare i feedback degli utenti
  • Valutare l’utilizzo delle risorse e prendere decisioni sulla scalabilità, ottenendo così una gestione dei costi ottimale

Monitor di ExpressRoute in Azure Monitor Network Insights

Azure Monitor Network Insights permette ora, tramite una console centralizzata, di effettuare il monitor di ExpressRoute. La soluzione consente di visualizzare le seguenti informazioni relative alla connettività ExpressRoute:

  • Topologia di tutti i componenti relativi ai circuit ExpressRoute (peering, connessioni e gateway)
  • Provisioning e stato di integrità dei vari componenti
  • Metriche del circuit (disponibilità, velocità effettiva e consegna di pacchetti)
  • Metriche del gateway ExpressRoute connesso al circuit

Azure Monitor SQL insights per Azure SQL (preview)

Azure Monitor SQL Insights permette di effettuare la raccolta, l’analisi e la visualizzazione personalizzata dei dati di telemetria per SQL Database, SQL Managed Instance e SQL Server a bordo di macchine virtuali Azure. L’esperienza interattiva introdotta da SQL Insights consente di personalizzare la raccolta, la frequenza delle telemetrie e di combinare i dati da più origini, fornendo un’esperienza unificata di monitoraggio per l’ambiente SQL. SQL Insights si basa sulla piattaforma Azure Monitor, offrendo ai clienti l’accesso a tutte le funzionalità di visualizzazione e di notifica presenti nella soluzione.

Azure Monitor Alerts per Azure Backup (preview)

Risulta ora possibile gestire gli alerts relativi ai backup tramite l’esperienza standard di Azure Monitor. Questa integrazione consente agli utenti di avere un’esperienza coerente nella gestione degli alerts tra i diversi servizi di Azure, incluso il backup.

Azure monitor for containers: consultazione live dei log dei Pods & Replica set

Azure monitor for containers ha introdotto il supporto per l’accesso in tempo reale ai log dei Pod e dei Replica set di Azure Kubernetes Service (AKS). Grazie e a questa nuova funzionalità è possibile cercare, filtrare e visualizzare i log storici dei pod in Log Analytics, nonché risolvere e diagnosticare eventuali problemi dei Pod e dei Replica set.

Container Insights: Persistent Volume monitoring & Reports tab

Container insights di Azure Monitor introduce due novità:

  • Monitoring dei Persistent Volume (PV) per i cluster AKS.
  • Un nuovo Reports tab che fornisce un accesso completo a tutti i workbooks relativi a Kubernetes.

Azure SQL auditing in Log Analytics

Risulta ora possibile far confluire i log di auditing di Azure SQL Database ed Azure Synapse Analytics verso un workspace di Log Analytics e verso Event Hub. In questo modo è possibile centralizzare i SQL audit logs in un’unica location e fare analisi su larga scala.

Nuova versione dell’agente per sistemi Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Linux, che introduce diversi miglioramenti e una maggiore stabilità.

Disponibilità in nuove regions

Azure Monitor Log Analytics è disponibile nelle seguenti nuove region:

  • Australia Central 2

Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Configure

Azure Automation

Disponibilità in nuove regions

Azure Automation è disponibile nelle seguenti nuove region:

  • UK West

Azure Automanage

Nuove funzionalità per sistemi Windows ed estensione alle distro Linux

Azure Automanage è una nuova soluzione grazie alla quale è possibile automatizzare diverse operazioni lungo l’intero ciclo di vita delle macchine virtuali dislocate in Azure. Consente di implementare automaticamente le best practice nella gestione delle macchine virtuali garantendo la conformità per quanto riguarda gli aspetti legati alla sicurezza, alla conformità aziendale e alla business continuity. In questa soluzione sono state aggiunte nuove funzionalità per semplificare le operazioni sulle macchine virtuali (VM) Windows Server, come l’installazione delle patch di sicurezza senza effettuare il riavvio. Questa funzionalità consente il deployment di patch di sicurezza in pochi secondi, facilitando così la protezione dei server da minacce critiche. Azure Automanage è stato inoltre esteso alle principali distribuzioni Linux.

Govern

Azure Policy

Azure Cost Management

Aggiornamenti relativi ad Azure Cost Management and Billing

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione, tra i quali:

  • Possibilità di monitorare le spesa tramite avvisi sui costi previsti (forecasted cost alerts)
  • Nuova visualizzazione dei costi per le subscription
  • Novità di Cost Management Labs

Secure

Azure Security Center

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Azure Security Center

Lo sviluppo di Azure Security Center è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

  • Integrazione di Azure Firewall management in Security Center
  • Inclusione della “Disable rule” experience nel SQL vulnerability assessment (preview)
  • Azure Monitor Workbooks integrati in Security Center
  • Azure Audit reports inclusi nella regulatory compliance dashboard (preview)
  • Possibilità di visualizzare i recommendation data in Azure Resource Graph con “Explore in ARG”
  • Aggiornamenti delle policy per il deployment di workflow automation
  • Miglioramenti nella pagina delle raccomandazioni

Protect

Azure Backup

Backup Center

La nuova soluzione Backup Center è ora disponibile ed offre un’esperienza unica progettata per la gestione centralizzata dei backup su larga scala. Con Backup Center, è possibile esplorare dinamicamente grandi inventari di backup tra vaults, subscriptions, locations e persino tenants differenti utilizzando Azure Lighthouse. Tramite Backup Center è inoltre possibile governare qualsiasi azione relativa ai backup. Grazie all’integrazione con le Azure Policy e le recenti funzionalità aggiuntive per le Azure Policy basate sui tag, è possibile implementare una governance su larga scala e semplificare il monitoring della compliance. Backup Center fornisce anche informazioni utili per rilevare le risorse non protette dai backup.

Backup Center supporta i seguenti tipi di workload:

  • Azure Virtual Machines
  • SQL in Azure Virtual Machines
  • HANA in Azure VMs
  • Azure Files

Inoltre, sono supportati in preview i seguenti workload:

  • Azure Disks
  • Azure Blobs
  • Azure Database per server PostgreSQL

Backup degli Azure Managed Disk

Azure Backup offre la possibilità di proteggere i dischi di tipologia managed. Il tutto avviene tramite la creazione periodica di snapshot che vengono conservati per una durata stabilita tramite policy di backup. La soluzione non prevede la presenza di agenti specifici e supporta il backup ed il ripristino sia dei dischi del sistema operativo che dei dischi dati (inclusi gli Shared Disk), indipendentemente dal fatto che siano collegati o meno ad una macchina virtuale in esecuzione in Azure.

Supporto per backup incrementali di SAP HANA

In Azure Backup è stato introdotto il supporto per creare backup incrementali di SAP HANA (al momento in tutte le region, tranne che Germany Northeast, Germany Central, France South, e US Gov IOWA). Grazie a questa funzionalità la protezione di DB di SAP HANA di grandi dimensioni è più veloce ed economica.

Supporto per l’Archive storage per il backup delle VMs e di SQL a bordo di VMs (preview)

In Azure Backup è ora possibile spostare i recovery point per risparmiare sui costi e conservare i dati di backup per una durata maggiore. Questa funzionalità è disponibile per le VMs di Azure e per i SQL Server installati a bordo delle VMs di Azure. Utilizzando Azure PowerShell, è possibile spostare questi backup dal tier standard al nuovo archive tier. I ripristini è possibile farli in modo integrato dal portale di Azure, con un processo semplice e intuitivo. Oltre a ciò, Azure Backup fornirà, tramite un’API specifica, delle raccomandazione per lo spostamento dei recovery point verso il tier archive.

Backup per Azure Blobs (preview)

Il backup di Azure Blob è una soluzione di protezione dei dati locale e gestita, che consente di proteggere i block blobs da vari scenari di perdita di dati. I dati vengono archiviati localmente all’interno dello storage account di origine e possono essere ripristinati da un determinato momento selezionato quando necessario. Questa funzionalità fornisce un mezzo semplice, sicuro ed economico per proteggere i blobs.

Azure Site Recovery

Espansione degli scenari di DR alle Availability Zones di Azure

Sebbene le Availability Zones siano tradizionalmente utilizzate dai clienti per configurazioni in alta disponibilità degli ambienti, ora possono essere sfruttate anche per implementare specifici scenari di Disaster Recovery. Questa funzionalità permette di definire piani di DR per scenari dove viene richiesto il mantenimento della data residency e della compliance locale, migliorando il Recovery Point Objective (RPO). Questa configurazione permette inoltre di ridurre la complessità delle configurazioni necessarie per attuare una strategia di DR in una region secondaria.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità. In particolare, questo mese le principali novità riguardano:

  • Supporto per fornire più credenziali server sull’appliance di Azure Migrate necessarie per rilevare le applicazioni installate (inventario software), effettuare l’analisi delle dipendenze agentless e scoprire istanze e database di SQL Server nell’ambiente VMware.
  • La migrazione VMware agentless ora supporta la replica simultanea di 500 VMs per vCenter.
  • Azure Migrate effettua automaticamente l’installazione dell’Azure VM agent durante la migrazione (utilizzando il metodo di migrazione agentless).
  • L’hub di Azure Migrate ora include uno strumento di containerizzazione delle app (preview), con supporto per ASP.NET e per le applicazioni web Java, che permette di facilitare la migrazione delle applicazioni in container in esecuzione su Azure Kubernetes Service (AKS).
  • Possibilità di svolgere assessment per la migrazione verso Azure VMware Solution.
  • Il nuovo modulo PowerShell di Azure Migrate (preview) aggiunge il supporto per gli strumenti agentless di Server Migration per la migrazione di macchine virtuali VMware (VM) in Azure. Inoltre, è possibile configurare e gestire la replica dei server in Azure ed eseguirne la migrazione, utilizzando i cmdlet di Azure PowerShell in modo automatizzato e ripetibile.

Azure Database Migration

SQL Server discovery ed assessment agentless

Con Azure Migrate è ora possibile rilevare le istanze e i database SQL Server in esecuzione in un ambiente VMware, analizzarne la configurazione, le prestazioni e le dipendenze delle applicazioni per effettuare la migrazione agli Azure SQL database e alle Azure SQL Managed Instance. La soluzione è in grado di fornire informazioni riguardanti la possibilità di migrazione, il dimensionamento corretto e le proiezioni dei costi di SQL Azure.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (March 2021 – Weeks: 11 and 12)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Brazil South Availability Zones

Availability Zones give users additional options for high availability for their most demanding applications and services as well as confidence and protection from potential hardware and software failures by providing three or more unique physical locations within an Azure region. Availability Zones in Brazil South are made up of three unique physically separated locations or “zones” within a single region to bring higher availability and asynchronous replication across Azure regions for disaster recovery protection.

Azure expands PCI DSS certification

PCI DSS is a global information security standard designed to secure payments and reduce credit card fraud. Microsoft Azure has increased the scope of its Payment Card Industry Data Security Standard (PCI DSS) certification, providing coverage across all live Azure regions

Make workloads on AMD-backed virtual machines confidential without recompiling code (limited preview)

Microsoft is further broadening the confidential computing options available to Azure customers through the technology partnership with AMD, specifically by being the first major cloud provider to offer confidential virtual machines on the new AMD EPYC™ 7003 series processors. This new approach complements existing Azure confidential computing solutions such as confidential containers for Azure Kubernetes Service and opens the possibility to create new confidential applications without requiring code modifications which in turn substantially simplifies the process of creating confidential applications. 

HBv3-Series VMs: now generally available in some regions

Azure HBv3-series virtual machines (VMs) for high-performance computing (HPC)
are generally available in the East US, South Central US, and West Europe Azure regions. HBv3 Virtual Machines feature AMD EPYC™ 7003-series (Milan) CPU cores, 448 GB of RAM, 480 MB of L3 cache, and no simultaneous multithreading (SMT). HBv2 Virtual Machines provide up to 340 GB/sec of memory bandwidth. HBv3 VMs can be deployed with a range of CPU core counts to support a diverse set of HPC workload needs. 

Publishing VM Images from Shared Image Gallery to Azure Marketplace

You can now publish a VM Image in Shared Image Gallery (SIG) to Azure Marketplace. This capability simplifies your image preparation, testing, and submission process as you no longer have to extract vhds, upload them, and generate SAS URIs. With this capability, you can now manage the full image lifecycle within Azure. You can simply create your image from the VM or a vhd into Shared Image Gallery, then select the SIG Image to publish it in Partner Center.

New VM series supported by Azure Batch

The selection of VMs that can be used by Azure Batch has been expanded, allowing newer Azure VM series to be used. The following additional VM series can now be specified when Batch pools are created:

  • DCsv2
  • HBv3
  • NCasT4_v3

Storage

Azure Storage Explorer v1.18.0

Azure Storage Explorer helps you upload, download, and manage the data you store in Azure Storage.   The released version v1.18.0 includes the following new capabilities:

  • Decrease startup and load time of Storage Explorer.
  • New connection flow to make it easier to specify the type of resource.
  • For faster data transfer, Storage Explorer now uses AzCopy v10.8.0.
  • Log files now have more descriptive names and, easier way to clean up old logs.
  • Authorizing via shared access signatures (SAS) is now enabled for ADLS Gen2 accounts.  You can now attach to an ADLS Gen2 Storage account, container, or folder via SAS using Storage Explorer.

Networking

IPv6 Support for ExpressRoute Private Peering (preview)

IPv6 support for ExpressRoute Private Peering is now available for public preview with ExpressRoute circuits globally and Azure environments in regions with Availability zones. IPv6 support will unlock hybrid connectivity for you as you look to expand into mobile and IoT markets with Azure, or to address IPv4 exhaustion in your on-premise networks.

Here are the new capabilities available with this support:

  • Establish BGP sessions between the customer and Microsoft edge over ExpressRoute using IPv4 subnets, IPv6 subnets, or both
  • Connect to dual-stack deployments in Azure using a new or existing ExpressRoute gateway
  • Use FastPath with an ExpressRoute connection to route IPv6 traffic

Service Tags for User Defined Routing (preview)

You can now specify a Service Tag for the address prefix parameter in a user defined route for your route table. You can choose from tags representing over 60 Microsoft and Azure services to simplify route creation and maintenance. 

  • You no longer need to manually update routes when services change or add to their list of endpoints. Routes with Service Tags will update automatically to include new changes. 
    • This also eliminates the need for regularly updating routes based on the IP data in the weekly JSON file downloads we provide. 
  • This also helps reduce the likelihood of running into the routes per route table limit (400) which is common when configuring routing for multiple Microsoft and Azure services. By using Service Tags, you can avoid this, since the tag condenses all ranges for that service into one group. 
    • For example, we list more than 4,500 prefixes which collectively represent the Azure address space. You can now use one route with the AzureCloud Service Tag which will include all of these. 

The feature is available through REST, PowerShell, CLI, and can also be used in ARM templates. This feature is not currently available through the Azure Portal.

Azure Stack

Stream Analytics runs on Azure Stack Hub

Azure Stream Analytics now is supported on Azure Stack Hub as an IoT Edge module. It allows customer to leverage Azure Stack features, to interact with SQL, Event Hubs, and IoT Hubs running in an Azure Stack Hub subscription. Customers can build truly hybrid architectures for stream processing in your own private, autonomous cloud, which can be connected or disconnected with cloud-native apps using consistent Azure services on-premises.

Azure IaaS and Azure Stack: announcements and updates (March 2021 – Weeks: 09 and 10)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

In this dedicated post you can find the most important announcements and major updates officialized last week during Microsoft Ignite 2021 conference.

Azure

Compute

Microsoft introduces Narya: advancing failure prediction and mitigation

Project Narya is an end-to-end prediction and mitigation service. Not only does it predict and mitigate Azure host failures but also measures the impact of its mitigation actions and to use an automatic feedback loop to intelligently adjust its mitigation strategy.

Storage

Azure File Sync agent v11.2

Azure File Sync agent v11.2 release is now on Microsoft Update and Microsoft Download Center.

Improvements and issues that are fixed:

  • If a sync session is cancelled due to a high number of per-item errors, sync may go through reconciliation when a new session starts if the Azure File Sync service determines a custom sync session is needed to correct the per-item errors.
  • Registering a server using the Register-AzStorageSyncServer cmdlet may fail with “Unhandled Exception” error.
  • New PowerShell cmdlet (Add-StorageSyncAllowedServerEndpointPath) to configure allowed server endpoints paths on a server. This cmdlet is useful for scenarios in which the Azure File Sync deployment is managed by a Cloud Solution Provider (CSP) or Service Provider and the customer wants to configure allowed server endpoints paths on a server. When creating a server endpoint, if the path specified is not in the allow list, the server endpoint creation will fail. Note, this is an optional feature and all supported paths are allowed by default when creating a server endpoint. To learn more, see the release notes.

More information about this release:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version for this release is 11.2.0.0.
  • A restart may be required if files are in use during the installation.
  • Installation instructions are documented in KB4539952.

Routing Preferences

Routing Preference for Azure Storage provides you the flexibility to choose how network traffic is routed between clients outside Azure and your storage accounts by optimizing for exceptional network reliability and performance or by optimizing for lower costs. You now have the choice to direct network traffic to the public endpoint of your storage account using the ‘Microsoft Global Network‘ or over the ‘Public Internet‘. The Microsoft global network delivers exceptional network reliability with premium performance, while using your ISP network may help achieve cost efficiency.

  • Routing over the Microsoft Global Network: The Microsoft global network is one of the largest networks on the globe that currently spans over 165,000 fiber miles with over 180 edge Points of Presence (POPs). The network is well provisioned with multiple redundant fiber paths and traffic engineered intelligently to ensure exceptionally high reliability and performance. Internet traffic enters and exits the Microsoft network at the POP closest to the client to provide optimized network experience (cold potato routing).
  • Routing via the transit ISP network: The new competitive egress tier minimizes traversal over the Microsoft global network and maximizes traversal over the transit ISP network. Internet traffic enters and exits Microsoft network at the POP closest to your storage account’s region (hot potato routing).

By default and to date, network traffic between clients outside Azure and the storage account always uses the Microsoft global network. You can change the routing preference configuration for the default public endpoint to the ISP network for storage accounts in major Azure regions where the feature is available. In addition, you now have the ability to publish additional route-specific endpoints for your storage accounts. These route-specific endpoints will always route traffic between clients outside Azure and the storage account over the appropriate path.

La protezione di ambienti multi-cloud con Azure Security Center

La tendenza delle aziende di adottare una strategia multi-cloud è sempre più diffusa, ma questo modello operativo rende particolarmente sfidante ottenere elevati standard di sicurezza per il proprio ambiente. Per rispondere a questa esigenza Microsoft ha ufficialmente reso disponibile il supporto per la sicurezza multi-cloud nella soluzione Azure Security Center, consentendo di contemplare anche le risorse di Amazon Web Services (AWS) e di Google Cloud Platform (GCP). In questo articolo vengono riportare le caratteristiche di questa soluzione che consente di ottenere un elevato grado di sicurezza e migliorare le security posture in ambienti multi-cloud.

Azure Security Center (ASC) è stato originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure. La necessità dei clienti di proteggere le risorse dislocate su più cloud pubblici è però molto diffusa e per questa ragione il team di prodotto ha deciso di ampliare le capacità di azione, semplificando così gli strumenti di gestione della sicurezza in ambienti multi-cloud. Azure Security Center è in grado di proteggere non solo le risorse in ambienti ibridi ma anche di contemplare architetture multi-cloud, includendo AWS e GCP.

Figura 1 – Multi-cloud e hybrid protection in Azure Security Center

Queste le funzionalità che vengono messe a disposizione degli utilizzatori per coprire scenari multi-cloud:

  • Connettendo i propri account AWS oppure GCP ad Azure Security Center è possibile ottenere una visione multi-cloud unificata per quanto riguarda le security posture del proprio ambiente. In particolare, se le soluzioni AWS Security Hub oppure GCP Security Command Center rilevano configurazioni non corrette, queste segnalazioni vengono contemplate nel modello Secure Score e nella valutazione sulle conformità rispetto a specifiche normative (Regulatory Compliance), presenti in Azure Security Center.
  • Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. In particolare, per la funzionalità di vulnerability assessment è possibile effettuare scansioni manuali o su larga scala, ed analizzare le vulnerabilità rilevate, sui sistemi sottoposti a scansione, tramite un’esperienza unificata.

Queste funzionalità si completano con il supporto multi-cloud, anch’esso recentemente annunciato, di Azure Defender for SQL, che permette di monitora costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multi-cloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).

La soluzione Azure Arc ricopre un ruolo fondamentale in tutto ciò e permette di estendere i servizi ed i principi di gestione di Azure a qualsiasi infrastruttura. Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi e multi-cloud, facilitando in questo modo l’implementazione delle funzionalità di security presenti in Azure su tutti i componenti dell’infrastruttura.

Figura 2 – Azure Arc per ambienti ibridi e multi-cloud

Il processo di onboarding e le capacità offerte variano a seconda del cloud pubblico che si intende inglobare in Azure Security Center. Nei paragrafi seguenti vengono riportate le caratteristiche sia per Amazon Web Services (AWS) che per Google Cloud Platform (GCP).

Amazon Web Services (AWS)

Il processo di onboarding del proprio account AWS effettua l’integrazione della soluzione AWS Security Hub con Azure Security Center. In questo modo è possibile ottenere una visibilità ed una protezione completa di questi ambienti cloud per fornire:

  • Provisioning automatico degli agenti. ASC utilizza Azure Arc per la distribuzione dell’agente di Log Analytics a bordo delle istanze AWS.
  • Gestione delle policy.
  • Gestione delle vulnerabilità.
  • EDR (Endpoint Detection and Response) integrato.
  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di AWS Security Hub.
  • Uno score di ASC che contempla anche le risorse AWS.
  • Valutazioni relative alle conformità normativa anche per le risorse AWS.

Nel momento in cui la connessione con AWS Security Hub risulta configurata correttamente:

  • ASC esegue la scansione dell’ambiente AWS alla ricerca di istanze EC2, ne viene fatto l’onboarding in Azure Arc, consentendo l’installazione dell’agente di Log Analytics. In questo modo si ottiene la protezione dalle minacce e si ricevono i consigli sulla sicurezza.
  • Il servizio ASC esegue la scansione di nuove istanze AWS EC2 ogni 6 ore e le integra in base alla configurazione fatta.
  • Lo standard AWS CIS viene mostrato nella dashboard sulle conformità normative di ASC.
  • Se le policy di AWS Security Hub sono abilitate, le relative raccomandazioni verranno visualizzate nel portale di ASC e nella dashboard sulle conformità normative, dopo alcuni minuti dal completamento del processo di onboarding.

Figura 3 – Raccomandazioni di AWS visualizzate nel portale di ASC

Per visualizzare le raccomandazioni attive per le proprie risorse in base alla tipologia, è possibile utilizzare la pagina di asset inventory di Security Center ed applicare il filtro specifico per la tipologia di risorsa AWS che interessa:

Figura 4 – Filtri di visualizzazione per le risorse AWS

Google Cloud Platform (GCP)

Il meccanismo di onboarding del proprio account GCP permette di integrare GCP Security Command con Azure Security Center e di avere una visibilità ed una protezione completa, in particolare fornendo:

  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di GCP Security Command Center.
  • Uno score di ASC che contempla anche le risorse GCP.
  • Integrazione dei consigli di GCP Security Command Center basati sullo standard CIS all’interno della dashboard di conformità delle normative di Azure Security Center.

Nel momento in cui la connessione con GCP Security Command risulta completata:

  • Lo standard GCP CIS viene mostrato nella dashboard delle conformità normative di ASC.
  • Le raccomandazioni sulla sicurezza per le risorse dislocate in GCP verranno visualizzate nel portale di Azure Security Center e nella dashboard delle conformità normative dopo alcuni minuti dal completamento dell’onboarding.

Figura 5 – Raccomandazioni di GCP visualizzate nel portale di ASC

L’onboarding delle macchine virtuali GCP è al momento manuale, ma si possono adottare script per farlo su larga scala.

Nella pagina delle raccomandazioni di Azure Security Center sarà possibile visualizzare tutte le raccomandazioni di security delle risorse Azure insieme a quelle di AWS e di GCP, ottenendo così una visualizzazione multi-cloud.

Conclusioni

La possibilità di adottare Azure Security Center come soluzione centralizzata di controllo, dove confluiscono le informazioni di sicurezza provenienti anche da altri cloud pubblici, unita alle possibilità date dall’integrazione con Azure Arc, per estendere la protezione dei propri sistemi, permette di ottenere un elevato grado di sicurezza e di migliorare le security posture in ambienti multi-cloud. L’adozione di strategie multi-cloud sarà sempre più diffusa e Microsoft continuerà ad espandere Azure Security Center per fornire le migliori soluzioni per proteggere Azure, ambienti ibridi e modelli operativi multi-cloud.

Azure IaaS and Azure Stack: most impactful announcements at Microsoft Ignite 2021

This special edition includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft this week during Microsoft Ignite 2021 conference. Microsoft announced several important additions to its Azure infrastructure as a service (IaaS) portfolio and the Microsoft infrastructure services continue to evolve to optimize the experience of running business-critical workloads.

Azure

Compute

Microsoft adding datacenter region in China

To meet growing customer demand in China, Microsoft will establish a new datacenter region in northern China. The new region will enable more customers to innovate and collaborate with the Microsoft Cloud, including Microsoft Azure, Office 365, Dynamics 365 and Power BI.

Azure Resource Mover now generally available

Azure Resource Mover, which provides portability between Azure regions is now generally available. Azure Resource Mover allows new customers to create applications in existing regions and migrate them upon new region launch or move into regions with availability zones (AZs) if not planned for their region. Azure Resource Mover moves multiple resources among Azure regions and performs dependency analysis for the workloads to ensure a successful move.

On-demand capacity reservations for Azure Virtual Machines will be
available (preview in April)

On-demand capacity reservations for Azure Virtual Machines enable customers to access virtual machines (VMs) in advance with service-level agreement (SLA) guarantees. This is particularly important to organizations that want to ensure high levels of availability when running business-critical applications on Azure.

Azure Virtual Machine Scale Sets flexible orchestration mode (preview).

Azure Virtual Machine Scale Sets help customers simplify the deployment, management and scalability of their applications while increasing high availability. Customers may now change VM sizes without redeploying their scale set, resulting in greater operational agility. Customers will also be able to mix Spot Virtual Machines and pay-as-yougo VMs within the same scale set to optimize costs.

New Mv2 Azure Virtual Machines for memory intensive workloads (preview)

These offerings expand the range of workloads that customers can run in Azure while addressing specific organizational compliance requirements and can give a 20% increase in CPU performance. Customers will be able to deploy the same VMs to Azure Dedicated Hosts.

Automatic VM guest patching for Linux VMs (preview)

Automatic VM guest patching for virtual machines helps ease update management by safely and automatically patching virtual machines to maintain security compliance. With automatic VM guest patching enabled, the VM is assessed periodically to determine the applicable patches for that VM. Updates classified as ‘Security’ or ‘Critical’ are automatically downloaded and applied on the VM during off-peak hours. Patch orchestration is managed by Azure and patches are applied following availability-first principles.

Improve Azure Spot Virtual Machines runtime and simulate evictions with new features (preview)

With Azure Spot Virtual Machines (Spot VMs), IT organizations can acquire scalable compute capacity at deep discounts for interruptible workloads. New ‘try & restore’ capabilities can now improve the overall runtime of workloads running on Spot virtual machines if they get evicted due to capacity constraints. This new capability applies when a Spot VM is part of a virtual machine scale set. Customers can also use recently added REST APIs to simulate evictions and test the behavior of their workload making sure it can tolerate interruptions when deployed on Spot VMs.

Azure trusted launch for Virtual Machines (preview)

Azure trusted launch protects your virtual machines against boot kits, rootkits, and kernel-level malware.  Trusted launch allows administrators to deploy virtual machines with verified and signed bootloaders, OS kernels, and drivers. By leveraging secure and measured boot, administrators gain insights and confidence of the entire boot chain’s integrity. With virtual Trusted Platform Module (vTPM), administrators can securely protect keys, certificates, and secrets in the virtual machines. In addition, administrators can monitor and attest to the integrity of virtual machines as well as reacting to any changes to the attestation policy baseline. Azure Security Center serves as a single pane of glass for integrity alerts, recommendations, and remediations generated by trusted launch. These new features are easily enabled, trusted launch is switched on with a simple change in deployment code or a checkbox within the Azure portal for all virtual machines.

Storage

New Azure Disk Storage capabilities for running mission-critical applications (preview)

Several Azure Disk Storage product enhancements for running mission-critical
applications on Azure are now available in preview, including:

  • Azure Premium SSD and Standard SSD, which offer zone-redundant
    storage (ZRS) support to protect data in the event of a zone failure, a
    key feature to provide customers with high availability for mission-critical
    workloads. Disks with ZRS also provide a recovery point objective (RPO)
    of zero that minimizes data loss and helps ensure successful data recovery.
  • Performance tiers on Azure Premium SSD, which provide sustained
    higher performance for a planned event like a seasonal sales promotion,
    giving customers the flexibility to scale performance without increasing
    the disk size by selecting a higher performance tier. Customers can now
    upgrade performance tiers on Premium SSDs without any downtime to
    avoid disruption to their workloads.
  • Auto-key rotation of customer-managed keys, which gives customers
    the option to automatically update all their disks, snapshots and
    images using the same encryption key when a new version of a key is
    generated. Customers no longer need to manually update all their Azure
    resources and can ensure that their data is always secured with the
    latest key versions and that they meet their organization’s security and
    compliance requirements.

Operational backup for Azure Blobs (preview)

Operational backup for Azure Blobs is a managed, local data protection solution that lets you protect your block blobs from various data loss scenarios like blob corruptions, blob deletions, and accidental storage account deletion. The data is stored locally within the source storage account itself and can be restored to a selected point in time whenever needed. So this provides a simple, secure, and cost-effective means to protect your blobs. Operational backup for blobs uses capabilities available from the blob service, like blob point-in-time restore, blob versioning, blob soft delete, and blob change feed, to restore all or a subset of blobs in a storage account. The solution integrates with Backup Center and other Backup management capabilities to provide a single pane of glass that can help you govern, monitor, operate, and analyze backups at scale.

Networking

Azure load balancing options

Azure load balancing options include a guided experience to help customers choose
the load balancing options that match their architectural and application requirements. Azure Load Balancer, now generally available, supports load balancing across IP addresses in the backend pool. Previously, network interfaces associated with virtual machines (VMs) could be added only in the backend of a Load Balancer. This feature enables flexibility to load balance across containers in addition to VMs and VM scale sets associated with their load balancer.

Azure Public IP SKU upgrade and load balancer upgrade

Azure Public IP SKU allows customers to upgrade and retain the same IPs without
management overhead or notices to their end customers and now supports the ability to upgrade from Basic to Standard SKU. In addition, any Basic Public Load Balancer can now be upgraded to a Standard Public Load Balancer, while retaining the same public IP address. This is supported via PowerShell, command line interface (CLI) templates and API, and is available across all Azure regions.

Azure Networking routing preference

Azure Networking routing preference is now generally available and lets Azure customers choose how their traffic is routed between Azure and the internet. Azure customers can choose to optimize for performance (Microsoft network) or cost (ISP network/open internet). These options are also referred to as “cold potato routing” and “hot potato routing,” respectively. Egress data transfer price varies based on the routing
selection. This update will give customers more flexibility to optimize their underlying routing network for performance or cost on a per workload basis. 

Azure Route Server (preview)

Azure Route Server facilitates dynamic routing between network virtual appliance (NVA) and virtual networks. By establishing the Border Gateway Protocol (BGP) peering between an NVA and Azure Router Server, customers can inject IP addresses
(i.e., routes) from their NVA to their virtual network and let the NVA learn
what IP addresses their virtual network has. Azure Route Server is a fully
managed service with built-in high availability.

ExpressRoute IPv6 Support

To be released to preview later this month, will support both IPv4- and IPv6-based private peering in availability zones (AZs). IPv6 will enable key internet of things (IoT) scenarios. It will simplify enterprises’ migration or expansion to Azure even as they run
out of IPv4 addresses in their on-premises network.

New ExpressRoute Gateway metrics (preview)

ExpressRoute Gateway metrics enable users to monitor the count of routes learned, count of routes advertised, number of virtual machines (VMs) in the virtual network and frequency of routes changed for their ExpressRoute gateways, and set up alerts to manage capacity accordingly.

New ExpressRoute Portal Experience

It allows users to have a more complete peering and Global Reach configuration experience in Azure Portal.

Azure Virtual WAN now offers integration with VMware SD-WAN (preview)

This allows customers to connect all branch offices and remote locations to Azure through VMWare SD-WAN. Users can now manage last-mile connectivity and dynamic path optimization through VMWare SD-WAN and leverage global connectivity, routing intelligence and security through Azure Virtual WAN, benefiting from a complete Secure
Access Service Edge (SASE) solution.

Virtual WAN Remote User VPN Features

Virtual WAN Remote User VPN Features enable 100,000 remote users to connect to a Virtual WAN hub in a region (increased from the previous 10,000 limit). It will allow remote users to authenticate using any combination of Certificates, Azure Active Directory and Radius Servers. It also offers custom IPsec parameters for remote user VPN. Finally, it will connect multiple Radius servers to a single Virtual WAN Hub for Remote User authentication.

Scalable Bastion Gateway (preview)

Scalable Bastion Gateway will be released in preview later this month. Scalable Bastion Gateway will allow users to increase the size of Bastion gateway to support as many as 500 concurrent sessions and decrease the gateway size when the usage demand goes down. Bastion will support native Azure Active Directory (Azure AD) authentication integration for Linux VMs deployed on Azure.

Advanced VPN diagnostic features

Advanced VPN diagnostic features, including Packet Capture, the BGP Dashboard and VPN Connection features, will be released in preview this month. Packet Capture helps customers troubleshoot their connectivity issues and inspect the traffic flowing through their VPN gateways. The BGP Dashboard provides an all-up view for customers to see their route exchange between Azure and their on-premises networks. VPN Connection features (Reset, Show SA, Modes) allow customers to have fine-grained control and visibility to their VPN tunnels for monitoring, troubleshooting and management.

Application Gateway Ingress Controller (AGIC) 

The Application Gateway Ingress Controller (AGIC) is now generally available as an add-on in Azure Kubernetes Service (AKS). You can now easily create or attach an existing Application Gateway instance to their AKS clusters. You can use the standard Kubernetes ingress API to define your routing rules, then have those rules be  implemented by the managed Application Gateway service. The Azure Application Gateway is a scalable, reliable, and secure L7 load balancer. By using Application Gateway as the entry point to the AKS applications, you don’t have to self-manage third party networking tools.

Multiple new features for Azure VPN Gateway (preview)

The following new features for Azure VPN Gateway are in public preview:

  • Multiple authentication types for point-to-site VPN: you can now enable multiple authentication types on a single gateway for OpenVPN tunnel type. Azure AD, certificate-based and RADIUS can all be enabled on a single gateway.
  • VPN connection management: with new enhancements in VPN connection management capabilities, you can now reset an individual connection instead of resetting the whole gateway. You can also set the IKE mode of the gateway to responder-only, initiator-only or both and view the Security Association (SA) of a connection.

Azure Stack

Event Hubs on Azure Stack Hub

Event Hubs is a reliable and scalable event streaming engine that backs thousands of applications across every kind of industry in Microsoft Azure. Microsoft is now announcing the general availability of Event Hubs on Azure Stack Hub for disconnected scenarios.

Azure IaaS and Azure Stack: announcements and updates (February 2021 – Weeks: 07 and 08)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Automatic Azure VM extension upgrade capabilities (preview)

Azure virtual machine extensions are small applications that provide post-deployment configuration and automation on Azure VMs. The ability to automatically upgrade Azure VM extensions is now available in public preview for Azure virtual machines and virtual machine scale sets. If the automatic extension upgrade feature is enabled for an extension on a VM or a VM scale set, the extension is upgraded automatically whenever the extension publisher releases a new version. Azure manages the upgrade rollout and the upgrades are safely applied following availability-first principles, keeping your environments more secure and up to date.

Azure Image Builder Service now generally available

Azure Image Builder service offers unification and simplification for your image building process across Azure and Azure Stack with an automated image building pipeline. Whether you want to build Windows or Linux virtual machine images, you can use existing image security configurations to build compliant images for your organization and patch existing custom images using Linux commands or Windows Update. Azure Image Builder supports images from multiple Linux distributions, Azure Marketplace, and Windows Virtual Desktop environments and you can build images for specialized VM sizes, such as creating images for GPU VMs.

New datacenter region in Indonesia

Microsoft announced plans to establish its first datacenter region in Indonesia to deliver trusted Azure services locally, with world-class data security, privacy, and the ability to store data in the country. In addition, Microsoft announced plans to skill an additional 3 million Indonesians to empower a total of 24 million Indonesians by the end of 2021 through its long-established skilling programs designed to help create inclusive economic opportunities in the digital era.

Storage

Azure NetApp Files: Volume hard quota change

From the beginning Azure NetApp Files has been using a ‘capacity pool’ provisioning and automatic growth mechanism. Azure NetApp Files volumes are thinly provisioned on an underlaying, customer-provisioned ‘capacity pool’ of a selected tier and size. Volume sizes (‘quotas’) are used to provide performance and capacity, and these ‘quotas’ can be adjusted on-the-fly at any time. This behavior means that, currently, the volume quota is a performance lever used to control bandwidth to the volume. Currently, underlaying capacity pools automatically grow when capacity fills up. The Azure NetApp Files behavior of volume and capacity pool provisioning will change to a manual and controllable mechanism. Starting March 15th, 2021, volume sizes (quota) will manage bandwidth performance, as well as provisioned capacity, and underlying capacity pools will no longer grow automatically. 

Networking

Azure Firewall Premium (preview)

With the new Azure Firewall Premium now in public preview, you can now perform the following new capabilities:

  1. Transport Layer Security (TLS) Inspection: Azure Firewall Premium decrypts outbound traffic, performs the required value-added security functions and re-encrypt the traffic which is sent to the original destination.
  2. Intrusion Detection and Prevention System (IDPS): Azure Firewall Premium provides signature-based IDPS to allow rapid detection of attacks by looking for specific patterns, such as byte sequences in network traffic, or known malicious instruction sequences used by malware.
  3. Web Categories: Allows administrators to allow or deny user access to the Internet based on categories (e.g. social networking, search engines, gambling), reducing the time spent on managing individual FQDNs and URLs. This capability is also available for Azure Firewall Standard based on FQDNs only.
  4. URL Filtering: Allow users to access specific URLs for both plain text and encrypted traffic, typically being used in congestion with web categories.

Azure Firewall Premium is utilizing Firewall Policy, a global resource that can be used to centrally manage your firewalls using Azure Firewall Manager. Starting this release, all new features will be configurable via Firewall Policy only. This includes TLS Inspection, IDPS, URL Filtering, web categories and more. Firewall Rules (Classic) continues to be supported and can be used for configuring existing features of Standard Firewall. Firewall Policy can be managed independently or using Azure Firewall manager. Firewall policy associated with a single firewall has no charge.

Azure Front Door: Standard and Premium now in public preview

Microsoft is introducing the preview of two new SKUs to the Azure Front Door family, which combines capabilities of: Azure Front Door, Azure Content Delivery Network (CDN) standard, and Azure Web Application Firewall (WAF) into a single secure cloud CDN platform with intelligent threat protection and a simple to understand pricing model.

  • Azure Front Door standard SKU is content delivery optimized, offering both static and dynamic content acceleration, global load balancing, SSL offload, domain and certificate management, enhanced traffic analytics, and basic security capabilities.
  • Azure Front Door premium SKU builds on capabilities of the standard SKU, and adds extensive security capabilities across WAF, BOT protection, Azure Private Link support, integration with Microsoft Threat Intelligence, and security analytics. 

Azure Front Door Standard/Premium (Preview) is a secure cloud CDN service that cyber security teams can use to accelerate content delivery while protecting apps, APIs, and websites from cyberthreats. It combines intelligent threat protection and modern CDN technology in a tightly integrated service. Your users get friction-free access to internal apps, and APIs and websites are delivered fast at a global scale. And best of all, implementing Azure Front Door Standard/Premium (Preview) across your internal and external digital assets is quick, easy and cost effective with a simplified billing model.

Web Application Firewall Integration with Azure Front Door Standard and Premium SKU

Azure Web Application Firewall is now integrated into Azure Front Door Standard and Premium SKU (Preview). Azure Front Door Standard supports custom WAF rules only, and the Premium SKU supports custom WAF rules, managed ruleset, and Bot manager.

Azure Front Door: Web Application Firewall ruleset refresh

Azure Web Application Firewall with Azure Front Door has a new version of managed ruleset available: Microsoft_DefaultRuleSet_1.1Powered by Microsoft Threat Intelligence, Microsoft_DefaultRuleSet_1.1 adds new rules for broader coverage and modifications for some existing rules to reduce false positives.

Azure Management services: le novità di Febbraio 2021

Il mese di Febbraio è stato ricco di novità e diversi sono gli aggiornamenti che hanno interessato gli Azure management services. In questo articolo viene fatta una panoramica complessiva delle principali novità del mese, in modo da poter rimanere aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Disponibilità in nuove regions

Azure Monitor Log Analytics è disponibile nelle seguenti nuove region:

  • UAE Central
  • Japan West
  • Australia Central 2 (preview)

Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Il nuovo agente di Azure Monitor e le nuove funzionalità di Data Collection Rules (preview) si estendono a nuove region e distro

In Azure Monitor è attualmente presente (in preview) un nuovo agente unificato (Azure Monitor Agent – AMA) e un nuovo concetto per rendere più efficiente la raccolta dati (Data Collection Rules – DCR).

Tra le varie funzionalità chiave di questo nuovo agente troviamo:

  • Supporto per Azure Arc server (Windows and Linux) 
  • Supporto per Virtual Machine Scale Set (VMSS)
  • Installazione tramite template ARM

Per quanto riguarda la Data Collection introduce queste novità:

  • Migliore controllo nella definizione dell’ambito della raccolta dei dati (ad es. possibilità di raccogliere da un sottoinsieme di VMs per un singolo workspace)
  • Raccolta unica ed invio sia a Log Analytics che ad Azure Monitor Metrics
  • Invio verso più workspace (multi-homing per Linux)
  • Possibilità di filtrare meglio gli eventi di Windows
  • Migliore gestione delle estensioni

AMA su Linux supporta le seguenti nuove distro per la raccolta dati (Data Collection Rules – DCR):

  • CentOS Linux 8*
  • Debian 10
  • Oracle Linux 8*
  • Red Hat Enterprise Linux Server 8*
  • SUSE Linux Enterprise Server 15.2*
  • SUSE Linux Enterprise Server 15.1*
  • Ubuntu 20

*Known issue con gli eventi Syslog. Al momento sono supportati solo i Performance Counters (CPU, Memory, Disk, Network)

Inoltre, AMA e DCR sono ora disponibili in nuove regions:

  • UK West (WUK)
  • Korea Central (SE)
  • France Central (FRC)
  • South Africa North (JNB)
  • Switzerland North

Nuove metriche per il bursting dei dischi

Azure Monitor consente di ottenere informazioni dettagliate sulle risorse distribuite ed in esecuzione in ambiente Azure. Tramite le metriche, che sono degli indicatori di prestazione delle risorse in Azure, è possibile ottenere informazioni dettagliate su ciò che sta accadendo. In Azure Monitor sono state rilasciate nuove metriche che consentono di comprendere al meglio le prestazioni di bursting dei dischi. Queste nuove metriche forniscono le prestazioni attese dai dischi SSD Premium e indicano la quantità dei crediti di bursting che sono stati utilizzati.

Configure

Azure Automation

Disponibilità in nuove regions

Azure Automation è disponibile nelle seguenti nuove region:

  • Japan West
  • UAE Central

Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Govern

Azure Cost Management

Disponibilità per subscription Azure Government Pay-As-You-Go

Le funzionalità di Azure Cost Management sono ora disponibili anche per le subscription Azure Government Pay-As-You-Go. 

Aggiornamenti relativi ad Azure Cost Management and Billing

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione, tra i quali:

Secure

Azure Security Center

Ulteriori novità di Azure Security Center

Lo sviluppo di Azure Security Center è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

Protect

Azure Backup

Cross Region Restore (CRR) per le macchine virtuali Azure

Azure Backup archivia i dati di backup nel Recovery Service vault sul quale di default viene impostata una ridondanza geografica. Questo comporta che i dati di backup nella region primaria vengono replicati geograficamente nella region secondaria associata (paired region). Tuttavia, i dati replicati nella region secondaria sono disponibili per il ripristino solo se Azure dichiara un’emergenza nella region primaria. Adottando questa nuova funzionalità in Azure Backup viene fornita la possibilità di avviare a piacimento i ripristini delle macchine virtuali in una regione secondaria, rendendoli completamente controllati dal cliente. Per farlo è comunque necessario che il Recovery Service vault che detiene i backup sia impostato in ridondanza geografica. Il ripristino tra region differenti di Azure è disponibile, tuttora in preview, anche per SQL e SAP HANA.

Nuove funzionalità per Azure Backup Center (preview)

Backup Center, attualmente in preview, supporta ora anche i seguenti workloads: SQL in Azure VM, SAP HANA in Azure VM ed Azure Files. Grazie al Backup Center è possibile gestire e monitorare in modo centralizzato i backups di tutti i workload Azure supportati. 

Inoltre, in Backup Center sono state incluse nuove policies built-in per Azure Backup che consentono di configurare i backup delle macchine virtuali in Azure sulla base dei resource group di appartenenza e dei tag assegnati.

Azure Backup per SAP HANA: soft limit aumentato da 2 TB a 8 TB

Grazie alle nuove funzionalità di trasferimento dati, Azure Backup permette ora di proteggere DB SAP HANA di dimensioni superiori. Azure Backup per SAP HANA permette ora di raggiungere velocità di trasferimento dei dati fino a 420 MBps per i non-log backup (ad esempio full, differenziali e incrementali) e 100 MBps per i backup dei log. Grazie a questo miglioramento nella capacità di trasferimento dati è possibile eseguire il backup di ~ 1,5 TB all’ora, che si traduce in 6-8 TB di backup completi in 4-6 ore. Il servizio di backup di Azure permette di fornire velocità simili anche durante le operazioni di ripristino.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 54 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (February 2021 – Weeks: 05 and 06)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure achieves new certifications

Microsoft Azure has achieved this new certifications:

  • Its first PCI 3-D Secure (PCI 3DS) certification
  • It has increased the scope of its HITRUST CSF certification to include 172 Azure offerings across 49 Azure regions. Azure’s HITRUST certification letters are available on the Service Trust Portal and include the full list of HITRUST CSF certified Azure offerings and regions.

New planned datacenter region in Georgia (East US 3)

The new datacenter region will have a presence in Douglas and Fulton counties, in response to growing customer demand, supporting the creation of new jobs and local business growth. Availability Zones in the new East US 3 region will provide customers with high availability and additional tolerance to datacenter failures.

Storage

Soft delete for Azure file shares is now on by default for new storage accounts

Soft delete for Azure file shares is now enabled by default and this change will apply to all new storage accounts. Soft delete protects your Azure file shares from accidental deletion. Soft delete acts like a recycle bin for Azure file shares, meaning that deleted shares remain recoverable for their entire retention period (7 days by default for storage accounts created after January 31st).  You will be charged for soft deleted data on the snapshot meter. If you have automated the creation of new storage accounts and the creation/deletion of new file shares within them, you must modify your scripts to explicitly disable soft delete after the creation of a new storage account. Soft delete will remain disabled by default for existing storage accounts.

Azure File Sync agent v11.2 

The Azure File Sync agent v11.2 release is being flighted to servers which are configured to automatically update when a new version becomes available.

Improvements and issues that are fixed:

  • If a sync session is cancelled due to a high number of per-item errors, sync may go through reconciliation when a new session starts if the Azure File Sync service determines a custom sync session is needed to correct the per-item errors.
  • Registering a server using the Register-AzStorageSyncServer cmdlet may fail with “Unhandled Exception” error.
  • New PowerShell cmdlet (Add-StorageSyncAllowedServerEndpointPath) to configure allowed server endpoints paths on a server. This cmdlet is useful for scenarios in which the Azure File Sync deployment is managed by a Cloud Solution Provider (CSP) or Service Provider and the customer wants to configure allowed server endpoints paths on a server. When creating a server endpoint, if the path specified is not in the allow list, the server endpoint creation will fail. Note, this is an optional feature and all supported paths are allowed by default when creating a server endpoint. To learn more, see the release notes.

How to obtain and install this update:

  • To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.

More information about this update rollup:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version of this update rollup is 11.2.0.0.
  • A restart may be required if files are in use during the installation.
  • Installation instructions are documented in KB4539952.

Append blob support for Azure Data Lake Storage (limited public preview)

Append blobs allow users to append data to the end of a blob or file quickly and existing content does not need to be modified.  This makes append blobs great for applications such as logging that need to add information to existing files efficiently and continuously.  Until now, only block blobs were supported in Azure Data Lake Storage accounts. With this preview, applications can use create append blobs in these accounts also and write to them using Append Block operations.

Ingest up to 10 files and blobs with the new Azure Data Explorer intuitive UX

You can now easily ingest blobs or files into Azure Data Explorer with the new ingestion intuitive wizard. This ingestion wizard also allows you to create a table automatically based on the source structure.

Azure IaaS and Azure Stack: announcements and updates (January 2021 – Weeks: 03 and 04)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

New Azure Cloud Services deployment model (preview)

Both deployment models are now available in Azure Cloud Services:

  • Azure Cloud Services (extended support), in public preview, is a new Azure Resource Manager–based deployment model for Azure Cloud Services. As an existing user of Azure Cloud Services, with Azure Cloud Services (extended support) you can now increase regional resiliency while gaining access to new capabilities such as role-based access control (RBAC), tags, policy, and support for deployment templates.
  • The Azure Service Manager–based deployment model is now named Azure Cloud Services (classic). You can keep using the existing Azure Cloud Services (classic) deployment model for your Azure Service Manager–based applications.

Availability Zones in new regions

Availability Zones give users additional options for high availability for their most demanding applications and services as well as confidence and protection from potential hardware and software failures by providing three or more unique physical locations within an Azure region. Availability Zones are now generally available in South Central US and in Germany West Central. Availability Zones in this regions are made up of 3 unique physically separated locations or “zones” within a single region to bring higher availability and asynchronous replication across Azure regions for disaster recovery protection.

Linux Diagnostics Agent 4.0 (preview)

The Linux Diagnostic Extension (LAD) 4.0 is now available in public preview. This release contains,

  • Azure Monitor Metric Sink enabled by default
  • Support for Ubuntu 20.04
  • Removal of OMI for a modified version of Telegraf
  • Bug and stability improvements
  • Performance improvements
  •  

Since this is a major version upgrade this update will not be automatically applied. You will need to update manually.

Storage

Copy Blob support over private endpoints 

Azure Storage now enables you to copy data between storage accounts where one or both the accounts are protected using private endpoints. This includes support for Copy Blob or utilities such as such as AzCopy over Private Endpoints. The feature also enables copying of data between storage accounts, where one account uses a private endpoint and another uses a service endpoint. Azure Storage validates that the client has access to both the source and the destination storage accounts before allowing the data to be copied.

Resource instance rules for access to Azure Storage (preview)

Some Azure resources cannot be isolated through a virtual network or an IP address rule. However, you’d still like to secure and restrict access to your storage account to only your application’s Azure resources. You can now configure your storage accounts to allow access to only specific resource instances of select Azure services by creating a resource instance rule. Resource instances must be in the same tenant as your storage account, but they may belong any resource group or subscription in the tenant. Resource instance rules for access to Azure Storage are now in public preview in all Azure public regions. 

Prevent Shared Key authorization on Azure Storage accounts (preview)

Every secure request to an Azure Storage account must be authorized. By default, requests can be authorized with either Azure Active Directory (Azure AD) credentials, or by using the account access key for Shared Key authorization. Of these two types of authorization, Azure AD provides superior security and ease of use over Shared Key, and is recommended by Microsoft. To require clients to use Azure AD to authorize requests, you can disallow requests to the storage account that are authorized with Shared Key. Microsoft is announcing the public preview of the ability to disable Shared Key authorization for Azure Storage. Before you disable Shared Key authorization on existing storage accounts, Microsoft suggests checking existing access patterns via monitoring.

Azure Management services: le novità di Gennaio 2021

Il nuovo anno è iniziato con diversi annunci da parte di Microsoft riguardanti novità relative agli Azure management services. La Cloud Community rilascia mensilmente questo riepilogo, che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Query cross tra Azure Monitor ed Azure Data Explorer (preview)

Le possibilità di eseguire query tra Azure Monitor ed Azure Data Explorer permette di interrogare i dati esportati in Azure Data Explorer oppure in Azure blob storage e unirli con qualsiasi workspace di Azure Monitor Log Analytics.

Tra le diverse funzionalità recentemente rilasciate troviamo la possibilità di eseguire query:

  • Tra servizi Azure Data Explorer ed Azure Monitor (Log Analytics / Application Insights) e viceversa
  • Sui log di Azure Monitor esportati da un Azure blob storage account utilizzando Azure Data Explorer

In Azure Monitor Log Analytics l’arco temporale massimo di conservazione dei dati è limitato a 2 anni. Questo aspetto in alcuni ambiti può risultare limitante, al punto da non permettere di rispettare determinati criteri di conformità. Per superare questa limitazione è possibile esportare i log in un Azure blob storage. Grazie a questa nuova funzionalità è possibile eseguire query incrociate includendo anche i dati esportati nell’Azure blob storage in modo integrato.

Monitoring di Cluster Azure Data Explorer con Azure Monitor (preview)

Azure Monitor amplia le sue capacità con Azure Monitor for Azure Data Explorer, che permette di effettuare un monitor completo dei cluster Azure Data Explorer, fornendo una visione unica delle performance, delle operations, e dell’effettivo utilizzo.

Integrazione tra i workbook di Azure Monitor ed Application Change Analysis (preview)

L’integrazione recentemente rilasciata tra i workbook di Azure Monitor ed Application Change consente di creare diverse tipologie di grafici, utilizzando come origine dati le informazioni riguardanti le modifiche che vengono apportate in ambiente Azure. Ad esempio, risulta possibile creare grafici per visualizzare quando sono avvenute modifiche importanti nelle ultime 24 ore oppure sfruttare la capacità di merge per visualizzare cosa è cambiato prima di un picco di memoria che si è verificato su una VM.

ITSM Connector per ServiceNow ITOM con Secure Export (preview)

Secure Export è la nuova versione (in preview) dell’IT Service Management Connector (ITSM) di Azure Monitor, che consente di creare automaticamente work items in uno strumento ITSM, nel momento in cui viene attivato un alert di Azure Monitor. Come parte dell’anteprima, è stata introdotta una nuova integrazione con ServiceNow IT Operations Management (ITOM) utilizzando Secure Export.

Azure Monitor Network Insights

Azure Monitor Network Insights è ora disponibile e permette , tramite una console centralizzata, di effettuare il monitoraggio dell’infrastruttura di rete di Azure. Le caratteristiche principali di Network Insights sono le seguenti:

  • Console unica per il monitor del network.
  • Non è richiesta la configurazione di agenti.
  • Accesso centralizzato degli strumenti di monitor del traffico e della connettività, che permettono di controllare health state, metriche, alerts, e dati.
  • Visualizzazione della topologia di rete, con la possibilità di visualizzare le dipendenze funzionali. In questo modo viene resa più semplice la risoluzione di eventuali problematiche.
  • Accesso alle metriche delle risorse per eseguire il debug quando necessario, senza dover scrivere query oppure creare workbook specifici.

Disponibilità in nuove region

Azure Monitor Log Analytics è ora disponibile nelle seguenti region di Azure: “Germany West Central”, “UAE North”, e “Switzerland West”. Inoltre, Azure Log Analytics è disponibile in preview in due nuove region: “UAE Central” e “Japan West”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Configure

Azure Automation

Disponibilità in nuove region

Azure Automation è ora disponibile nella region di “UAE North” e nella region di “Switzerland West”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Govern

Azure Policy

Supporto per i NSG Flow Logs 

NSG flow logs nella piattaforma Azure permettono di mantenere la visibilità del traffico di rete in ingresso e in uscita dai Network Security Group. Per semplificare l’esperienza di distribuzione dei NSG flow logs è stato introdotto nelle Azure Policy il supporto integrato, che consente di controllare lo stato di abilitazione e di forzare la raccolta dei NSG flow logs quando disabilitata, nello specifico utilizzando le seguenti policy:

  • Audit policy: Flag NSGs without Flow logs enabled 
  • DeployIfNotExists policy: Enable Flow logs on NSGs where it is disabled   

Azure Cost Management

Aggiornamenti relativi ad Azure Cost Management and Billing

Microsoft è costantemente alla ricerca di nuovi modi per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione, tra i quali:

  • Nuova visualizzazione dei costi per resource groups
  • Salvataggio dell’ultimo scope utilizzato
  • Novità di Cost Management Labs
  • Definizione di ruoli e responsabilità
  • Metodologie per risparmiare sui costi eseguendo app .NET su Azure
  • Nuovi metodi per risparmiare denaro
  • Nuovi video per approfondire queste tematiche
  • Aggiornamenti della documentazione

Secure

Azure Security Center

Vulnerability assessment per sistemi on-premise e in ambienti multi-cloud

La soluzione Azure Security Center è stata recentemente arricchita con la possibilità di effettuare in modo integrato un Vulnerability Assessment, non solo delle macchine virtuali in Azure, ma anche dei sistemi dislocati on-premises oppure in ambienti multi-cloud, purché sia stato abilitato Azure Arc.

La scansione delle vulnerabilità inclusa in Azure Defender for servers viene effettuata tramite la soluzione Qualys, il quale risulta essere riconosciuto come strumento leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi.

Grazie a questo aggiornamento, risulta possibile sfruttare la potenza di Azure Defender for server per consolidare il programma di gestione delle vulnerabilità su tutte le risorse del proprio ambiente (Azure e non). Tra le funzionalità principali troviamo:

  • Monitoring della scansione del VA (vulnerability assessment) sulle macchine Azure Arc
  • Provisioning del VA agent sulle macchine Azure Arc Windows e Linux (manualmente e su larga scala)
  • Ricezione ed analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
  • Esperienza unificata per le VMs di Azure e per le macchine Azure Arc

Ulteriori novità di Azure Security Center

Lo sviluppo di Azure Security Center è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

  • Azure Security Benchmark diventa l’initiative predefinita
  • Secure score per management groups (preview)
  • Secure score API
  • Protezione sangling DNS aggiunta ad Azure Defender for App Service
  • Multi-cloud connectors
  • Esenzione, per subscriptions e management groups, per le recommendation dal secure score
  • Gli user possono richiedere la visibilità “tenant-wide”
  • 35 recommendations in preview aggiunte
  • Export in CSV di liste filtrate di recommendations
  • Le risorse “Not applicable” vengono riportate come “Compliant” nell’Azure Policy assessments
  • Esportazione settimanale del secure score e dei dati di regulatory compliance tramite continuous export (preview)

Aggiornamenti e miglioramenti di Azure Defender for SQL

In Azure Security Center i seguenti aggiornamenti e miglioramenti sono stati apportati ad Azure Defender per SQL:

Protect

Azure Backup

Backup degli Azure Managed Disk (limited preview)

Azure Backup offre la possibilità, al momento accedendo ad una preview limitata, di proteggere i dischi di tipologia managed. Il tutto avviene tramite la creazione periodica di snapshot che vengono conservati per una durata stabilita tramite policy di backup. La soluzione non prevede la presenza di agenti specifici e supporta il backup ed il ripristino sia dei dischi del sistema operativo che dei dischi dati (inclusi gli Shared Disk), indipendentemente dal fatto che siano collegati o meno ad una macchina virtuale in esecuzione in Azure.

Encryption at rest con chiavi “customer-managed”

In Azure Backup è stato introdotto il supporto per l’encryption at rest utilizzando chiavi gestite dal cliente. Questa funzionalità permette di crittografare i dati di backup nei Recovery Services vaults usando le proprie chiavi presenti in Azure Key Vault. I dati vengono protetti utilizzando una chiave di crittografia dei dati (DEK) basata su AES 256, che a sua volta è protetta utilizzando le chiavi archiviate nel Key Vault. Rispetto alla crittografia che utilizza le chiavi gestite dalla piattaforma Azure (disponibile di default), questo supporto permette un maggiore controllo sulla gestione delle chiavi di crittografia, permettendo di soddisfare al meglio le esigenze di conformità.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 53 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.