Archivi categoria: Cloud

Azure management services e System Center: novità di Marzo 2020

Nel mese di marzo ci sono state diverse novità annunciate da parte di Microsoft riguardanti gli Azure management services e System Center. In questo riepilogo, che riportiamo con cadenza mensile, vengono elencati i principali annunci, accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.

Azure Monitor

Integrazione con Azure Security Center

In Azure Security Center (ASC) è stata introdotta l’integrazione con Azure Monitor. Infatti in ASC è stata messa a disposizione la possibilità di esportazione continua verso un workspace di Log Analytics. Grazie a questa funzionalità è possibile configurare alert rules di Azure Monitor a fronte di raccomandazioni ed alert esportati da Security Center. Ne consegue che sarà possibile attivare action group per ottenere scenari di automazione supportati da Azure Monitor.

Disponibilità del servizio Azure Monitor for VMs

In Azure monitor è stato rilasciato il servizio che consente di effettuare il monitor delle macchine virtuali, chiamato Azure Monitor for VMs. Questo servizio analizza i dati di performance e lo stato delle macchine virtuali, effettua il monitor dei processi installati e ne esamina le relative dipendenze.

Il servizio Azure Monitor for VMs è suddiviso secondo tre differenti prospettive:

  • Health: i componenti logici presenti a bordo delle macchine virtuali vengono valutati secondo specifici criteri pre-configurati, generando alert quando si verificano determinate condizioni.
  • Performance: vengono riportati i dati principali di performance, provenienti dal sistema operativo guest.
  • Map: viene generata una mappa con le interconnessioni presenti tra vari componenti che risiedono su sistemi differenti.

Tale soluzione può essere utilizzata su macchine virtuali Windows e Linux, indipendentemente dall’ambiente in cui esse risiedono (Azure, on-premises oppure presso altri cloud provider).

Nuova versione dell’agente per sistemi Windows e Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Windows e per sistemi Linux. In entrambi i casi vengono introdotti diversi miglioramenti e una maggiore stabilità.

SHA-2 signing per l’agente di Log Analytics

L’agente Log Analytics per Windows inizierà a imporre la firma SHA-2 a partire dal 18 maggio 2020. Questa modifica richiede un’azione nel caso si esegua l’agente su una versione del sistema operativo legacy (Windows 7, Windows Server 2008 R2 oppure Windows Server 2008) . I clienti che si trovano in questa condizione devono applicare gli aggiornamenti e le patch più recenti su questi sistemi operativi prima del 18 maggio 2020, altrimenti i loro agenti smetteranno di inviare dati verso i workspace di Log Analytics. Saranno interessati da questo cambiamento i seguenti servizi Azure: Azure Monitor, Azure Automation, Azure Update Management, Azure Change Tracking, Azure Security Center, Azure Sentinel, Windows Defender ATP.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 45 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Azure Backup

Azure Backup Report

In Azure Backup è stata annunciato il rilascio della soluzione Azure Backup Report. Si tratta di uno strumento disponibile nel portale Azure che mette a disposizione dei report per rispondere a molte domande sull’andamento dei backup, tra le quali: “Quali elementi di backup consumano più spazio di archiviazione?”, “Quali macchine hanno avuto costantemente comportamenti anomali di backup?”, “Quali sono le principali cause di errore del processo di backup?”. I report forniscono informazioni in modo trasversale tra tipologie di workload differenti, vaults, subscriptions, regions e tenants. Anche per questo strumento è garantito il supporto di Windows Server 2008, per facilitare le operazioni di migrazione dei sistemi on-premises basati su Windows Server 2008 verso Azure, processo grazie al quale è possibile continuare ad ottenere le patch di security.

Azure Automation

Disponibilità in nuove regions

Azure Automation è ora disponibile in preview nelle region di ” US Gov Arizona”.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure IaaS and Azure Stack: announcements and updates (March 2020 – Weeks: 11 and 12)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Virtual Network NAT generally available

Azure Virtual Network NAT (Network Address Translation) simplifies outbound-only Internet connectivity for virtual networks. NAT can be configured for one or more subnets of a virtual network and provides on-demand connectivity for virtual machines.

Private Endpoints for Azure Storage are Generally Available

Private Endpoints provide secure connectivity to Azure Storage from a Azure virtual network (VNet). On-premises networks can also securely connect to a storage account using a private endpoint when that network is to a VNet using Express Route or VPN. Private Endpoints for Azure Storage are now generally available in all Azure public regions.

Azure Web Application Firewall integration with Azure Content Delivery Network service in preview

Azure Web Application Firewall service protects your web applications from malicious attacks. In addition to Azure Application Gateway and Azure Front Door service, Web Application Firewall is now natively integrated with Azure Content Delivery Network, protecting Content Delivery Network endpoints from common exploits such as SQL injection and cross site scripting (XSS) attacks.

Private Link for different Azure services is available

Azure Private Link is now generally available (GA) for the below services:

  • Azure Storage
  • Azure Data Lake Storage Gen 2
  • Azure SQL Database
  • Azure Cosmos DB
  • Azure Synapse Analytics (SQL Data Warehouse)
  • Azure Key Vault
  • Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Database for MariaDB
  • Azure Kubernetes Service -> Kubernetes API

In addition, Private Link is now available in preview for the following services:

  • App Service
  • Azure Cognitive Search
  • Event Hub
  • Service Bus
  • Azure Relay
  • Azure Backup
  • Azure Container Registry
  • Event Grid -> Topics
  • Event Grid -> Domains

App Service regional Virtual Network integration

The regional Virtual Network integration feature has now entered general availability (GA) and supports sending all outbound calls into your virtual network. Use features like network NSGs and UDRs against all outbound traffic from your web app.

Azure Shared Disks for clustered applications in preview

Azure Shared Disks is a shared block storage offering, enabling customers to run latency-sensitive workloads without compromising on well-known deployment patterns for fast failover and high availability.  Azure Shared Disks are best suited for clustered databases, parallel file systems, persistent containers, and machine learning applications. Azure Shared Disks provide a consistent experience for applications running on Windows or Linux based clusters today.

ACR built-in audit policies for Azure Policy in preview

Azure Container Registry now supports built-in audit policies for Azure Policy.

Preparing for TLS 1.2 in Microsoft Azure

Microsoft Azure recommends all customers complete migration towards solutions that support transport layer security (TLS) 1.2 and to make sure that TLS 1.2 is used by default.

Azure File Sync agent version 6.x will expire on April 21, 2020

On April 21, 2020, Azure File Sync agent version 6.x will be expired and stop syncing. If you have servers with agent version 6.x, update to a supported agent version (7.x or later).

Azure Storage: Append Blob immutability support is generally available

Store business-critical data objects in a non-erasable and non-modifiable state for a user-specified retention interval using immutable storage for Azure Blob storage. Append blobs allow the addition of new data blocks to the end of an object and are optimized for data append operations required by auditing and logging scenarios.

General availability of NVv4 and HBv2-Series virtual machines

General availability of NVv4 virtual machines in South Central US, East US, and West Europe regions. Additional regions are planned in the coming months. With NVv4, Azure is the first public cloud to offer GPU partitioning built on industry-standard SR-IOV technology. HBv2-series VMs for HPC are now available in the Azure West Europe region.

 

Azure Security: Best Practices per migliorare la security posture

La tendenza ad avere sempre più frequentemente soluzioni nel cloud e architetture ibride impone di adottare elevati standard di sicurezza per il proprio ambiente. Ma come è possibile ottenere un’efficace sicurezza del cloud per Azure e quali best practice è opportuno seguire? In questo articolo vengono riportate in modo sintetico le principali pratiche che è opportuno adottare in Azure per garantire un elevato livello di sicurezza e migliorare le security posture.

Attivazione MFA e restrizioni per gli accessi amministrativi

Per le utenze con diritti amministrativi è opportuno attivare l’autenticazione tramite meccanismi di Multi-factor Authentication (MFA). A questo proposito è molto interessante valutare meccanismi di autenticazione passwordless che prevedono che la password sia sostituita con qualcosa che si possiede più qualcosa che si è o che si conosce.

Microsoft attualmente offre tre distinti scenari di autenticazione passwordless:

Azure Active Directory offre la possibilità di attivare meccanismi di MFA, compresa l’autenticazione passwordless. Meccanismi di MFA basati sui messaggi di testo sono più facilmente aggirabili, quindi è bene indirizzarsi su meccanismi di Multi-factor Authentication differenti oppure passwordless.

Ridurre al minimo il numero di persone e il relativo periodo temporale, per l’accesso amministrativo alle risorse Azure, è una pratica da adottare perché riduce la possibilità che un attore malintenzionato ottenga un accesso amministrativo oppure che un utente autorizzato influisca inavvertitamente su una specifica risorsa. Per consentire l’esecuzione di azioni amministrative agli utenti autorizzati si può offrire un accesso privilegiato just-in-time (JIT) alle risorse Azure ed Azure AD. A questo scopo l’adozione del servizio Azure Active Directory (Azure AD) Privileged Identity Management (PIM) che consente di gestire, controllare e monitorare gli accessi alle risorse aziendali è una buona pratica da adottare.

Un altro aspetto chiave da considerare è l’utilizzo di postazioni di lavoro sicure e isolate per i ruoli sensibili. In questo documento ufficiale Microsoft è possibile ottenere maggiori dettagli a riguardo.

Segmentazione e adozione del modello Zero Trust

Il modello di sicurezza, definito Zero trust e in contrasto con i modelli convenzionali basati sulla sicurezza perimetrale, prevede l’adozione di un approccio legato alla micro-segmentazione e alla definizione di perimetri granulari nella propria architettura di rete. Per contenere i rischi di sicurezza è bene adottare una strategia di segmentazione chiara e semplice, che permette alle parti interessate una chiara comprensione, per agevolare un monitor e una gestione efficace. Sarà poi utile assegnare le autorizzazioni necessarie e gli opportuni controlli di rete.

A questo proposito si riporta un design di riferimento per quanto riguarda il modello amministrativo di Azure:

Figura 1 – Reference Design – Azure Administration Model

Nella figura seguente viene mostrato il modello tipico di rete Hub-Spoke, dove l’Hub è una rete virtuale in Azure che funge da punto di connettività verso la rete on-premises e gli Spoke sono le reti virtuali che eseguono il peering con l’Hub e possono essere usate per isolare i carichi di lavoro.

Figura 2 – Reference Enterprise Design – Azure Network Security

Adozione di una opportuna “Firewall Strategy”

L’adozione di una soluzione firewall in ambiente Azure per proteggere e segregare al meglio i flussi di rete è ormai obbligata.

La scelta può prevedere l’adozione di:

  • Soluzioni Microsoft totalmente integrate nella piattaforma, come Azure Firewall, affiancato dal Web App Firewall (WAF) dell’Application Gateway, un load balancer applicativo (OSI layer 7) per il traffico web, che consente di governare il traffico HTTP e HTTPS delle applicazioni. Il modulo Web Application Firewall (WAF) per le pubblicazioni web consente di ottenere una protezione applicativa, basandosi su regole OWASP core rule sets. Il WAF protegge gli applicativi da vulnerabilità e da attacchi comuni, come ad esempio attacchi X-Site Scripting e SQL Injection. Tali soluzioni sono idonee per la maggior parte degli scenari e offrono funzionalità intrinseche di alta disponibilità e scalabilità oltre che una semplice configurazione e gestione centralizzata.
  • Soluzioni fornite da vendor di terze parti e disponibili nel marketplace di Azure. Le Network Virtual Appliances (NVAs) sono numerose, possono offrire funzionalità avanzate e consentono di dare una continuità nell’esperienza d’uso rispetto alle soluzioni già attive nell’ambiente on-premises. Tipicamente la configurazione di queste soluzioni è più articolata e il costo è tendenzialmente più elevato rispetto alle soluzioni Microsoft.

Scelta di una soluzione di DDoS Mitigation per gli applicativi critici

Molto importante è la protezione di tutti gli applicativi critici da attacchi informatici di tipologia denial-of-service distribuiti (attacchi DDoS – Distributed Denial of Service). Questi attacchi sono rivolti a far esaurire deliberatamente le risorse di un determinato sistema che eroga un servizio ai client, come ad esempio un sito web ospitato su dei web server, al punto da renderlo non più in grado di erogare il servizio a coloro che lo richiedono in modo legittimo.

In Azure la protezione da attacchi DDoS è disponibile in due differenti tiers: Basic oppure Standard.

Figura 3 – Comparativa delle funzionalità dei tiers disponibili per la protezione DDoS

La protezione Basic è abilitata di default nella piattaforma Azure, la quale effettua costantemente il monitor del traffico e applica in tempo reale delle mitigazioni agli attacchi di rete più comuni. Questo tier fornisce lo stesso livello di protezione adottato e collaudato dai servizi online di Microsoft ed è attiva per gli indirizzi IP Pubblici di Azure (Pv4 e IPv6). Non è richiesta alcun tipo di configurazione per il tier Basic.

L’Azure DDoS Protection di tipologia Standard fornisce delle funzionalità di mitigation aggiuntive rispetto al tier Basic, che sono ottimizzate in modo specifico per le risorse dislocate nelle virtual network di Azure. Le policy di protezione sono auto-configurate e vengono ottimizzate effettuando un monitoraggio specifico del traffico di rete e applicando degli algoritmi di machine learning, che consentono di profilare nel modo più opportuno e flessibile il proprio applicativo studiando il traffico generato. Nel momento in cui vengono superate le soglie impostate nella policy di DDoS, viene in automatico avviato il processo di DDoS mitigation, il quale viene sospeso nel momento in cui si scende al di sotto delle soglie di traffico stabilite. Queste policy vengono applicate a tutti gli IP pubblici Azure (IPv4) associati alle risorse presenti nelle virtual network, come: macchine virtuali, Azure Load Balancer, Azure Application Gateway, Azure Firewall, VPN Gateway e istanze Azure Service Fabric.

Adozione di Azure Security Center

Azure Security Center è una soluzione nel cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano le risorse Azure e workloads in ambienti ibridi. Per migliorare le security posture del proprio ambiente Azure è fondamentale valutare l’adozione di questa soluzione che viene offerta in due possibili tiers:

  • Free tier. In questo tier Azure Security Center è totalmente gratuito ed effettua un assessment continuo, fornendo delle raccomandazioni relative alla sicurezza dell’ambiente Azure.
  • Standard tier. Rispetto al tier free aggiunge funzionalità avanzate di rilevamento delle minacce, utilizzando l’analisi comportamentale e l’apprendimento automatico per identificare attacchi e exploit zero-day. Attraverso tecniche di machine learning e tramite la creazione di whitelist è possibile controllare l’esecuzione delle applicazioni per ridurre l’esposizione agli attacchi di rete e ai malware. Inoltre, il livello standard aggiunge la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. Lo standard Security Center Standard supporta diverse risorse Azure tra cui: VMs, Virtual machine scale sets, App Service, SQL servers, e Storage accounts.

Figura 4 – Confronto tra i tiers di Azure Security Center

Azure Security Center assegna un punteggio al proprio ambiente, utile per monitorare il profilo di rischio e cercare di migliorare costantemente le security posture, applicando delle azioni di remediation. Buona norma è verificare con cadenza regolare (almeno mensile) il security score fornito da Azure Security Center e programmare le iniziative finalizzate a migliorare specifici ambiti. Inoltre, è consigliato verificare attentamente gli alert che Security Center nel tier standard genera quando rileva potenziali minacce di sicurezza sulle proprie risorse. Security Center stabilisce le priorità, elenca gli alert, fornisce le informazioni necessarie per esaminare rapidamente i problemi e fornisce consigli su come risolvere eventuali attacchi.

Introdurre la sicurezza durante nelle fasi di sviluppo e rilascio

L’adozione di modelli DevOps per implementare applicazioni e servizi in Azure consentono, oltre che fornire la massima agilità, di ottenere benefici in termini di sicurezza. Nei modelli DevOps è possibile coinvolgere nelle fasi di sviluppo e gestione i team dedicati al controllo della qualità e della sicurezza durante tutto il ciclo di vita dell’applicazione. Utilizzando processi di Infrastructure-as-Code (IaC) è infatti possibile definire e monitorare la conformità su larga scala.

Non utilizzare tecnologie legacy

In ambiente Azure non è consigliata l’adozione delle classiche soluzioni Network Intrusion Detection System (NIDS) e Network Intrusion Prevention Systems (NIPS) in quanto la piattaforma è in grado di filtrare nativamente i pacchetti malformati. Le soluzioni NIDS / NIPS classiche si basano in genere su approcci obsoleti basati sulla firma che possono essere facilmente elusi durante tentativi di attacco e in genere producono un alto tasso di falsi positivi.

Conclusioni

Raggiungere un elevato livello di sicurezza degli ambienti Azure è una sfida importante che deve necessariamente essere vinta e prevede un costante lavoro di controllo, revisione e aggiornamento delle security posture. In questo articolo sono state riportate quelle che sono ritenute le principali best practice di sicurezza date da una diretta esperienza sul campo, che è sempre bene arricchirle adottando ulteriori accorgimenti.

Azure IaaS and Azure Stack: announcements and updates (March 2020 – Weeks: 09 and 10)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

New datacenter region in Spain

Microsoft will open a datacenter region in Spain to help accelerate digital transformation of public and private entities of all sizes, helping them to innovate, scale and migrate their businesses to the cloud in a secure way.

Microsoft will retire classic IaaS VMs

Because Azure Resource Manager now has all the infrastructure as a service (IaaS) capabilities of Azure Service Management and new advancements, Microsoft will retire classic IaaS VMs on March 1, 2023. Beginning March 1, 2023, customers who are using classic IaaS VMs will no longer be able to start any classic IaaS VMs using ASM. Any remaining VMs in a running or stopped-allocated state will be moved to a stopped-deallocated state. The following Azure services and functionality will not be impacted by this retirement: Cloud Services, storage accounts not used by classic VMs, and virtual networks (VNets) not used by classic VMs.

Azure Virtual Network service endpoint policies feature 

Azure Virtual Network service endpoint policies enable you to prevent unauthorized access to Azure Storage accounts from your virtual network. It enables you to limit access to only specific whitelisted Azure Storage resources by applying endpoint policies over the service endpoint configuration.

Azure Load Balancer TCP resets on idle timeout is available

Azure Load Balancer now supports sending bidirectional TCP resets on idle timeout for load balancing rules, inbound NAT rules, and outbound rules. This is available in all regions. Use this ability to help applications gain visibility into when Standard Load Balancer terminates connections due to idle timeout. When enabled, Standard Load Balancer will generate a TCP reset packet to both the client and server side of a TCP connection on idle timeout. This allows applications to behave more predictably, as well as to detect the termination of a connection, remove expired connections, and initiate new connections.  CP resets can be enabled on standard load balancers using the Azure portal, Resource Manager templates, CLI, and PowerShell.

Web Application Firewall with Azure Front Door service supports exclusion lists

Web Application Firewall exclusion lists allow you to omit certain request attributes from a rule evaluation. You can use them to fine tune Web Application Firewall policies for your applications.

Azure StorSimple 8000/1200 series will no longer be supported starting December 31, 2022

Microsoft has been expanding the portfolio of Azure Hybrid storage capabilities with new services for data tiering and cloud ingestion, providing more options to customers for storing data in Azure in native formats. In conjunction with this, support for the following StorSimple versions will end December 31, 2022.

Active Directory for authentication on SMB access to Azure File in preview

Azure Files Active Directory (Azure AD) Authentication is in preview. You can use it to mount your Azure Files using Azure AD credentials with the exact same access control experience as on-premises.

HPC-optimized virtual machines are available

Azure HBv2-series Virtual Machines (VMs) are generally available in the South Central US region. HBv2 VMs will also be available in West Europe, East US, West US 2, North Central US, Japan East soon. HBv2 VMs deliver supercomputer-class performance, message passing interface (MPI) scalability, and cost efficiency for a variety of real-world high performance computing (HPC) workloads, such as CFD, explicit finite element analysis, seismic processing, reservoir modeling, rendering, and weather simulation.

A8 – A11 Azure Virtual Machine sizes will be retired on March 1, 2021

Microsoft is retiring A8 – A11 Azure Virtual Machine sizes on March 1, 2021. Starting today, customers with existing A8 – A11 size virtual machines will be able to deploy more of the same size, but new customers will no longer be able to create A8 – A11 VMs. After March 1, 2021, any remaining A8 – A11 size virtual machines remaining in your subscription will be set to a deallocated state. These virtual machines will be stopped and removed from the host. These virtual machines will no longer be billed in the deallocated state.

NDv2-Series VMs are Generally Available

NDv2 GPU VMs for high-end deep learning training and HPC workloads are going GA in East US, South Central US, and West Europe.

NVv4-Series VMs are Generally Available

Microsoft announced general availability of NVv4 Virtual Machines. NVv4 VMs are designed to provide you unprecedented GPU resourcing flexibility. You can now choose VMs with a whole GPU all the way down to 1/8th of a GPU.

Virtual machine scale sets now simpler to manage

Three new capabilities that simplify the overall management of virtual machine scale sets in Azure are now available. New custom scale-in policies for virtual machine scale sets let you specify the order in which virtual machines (VMs) within a scale set are deleted during a scale-in operation based on a set of criteria (such as the newest VM that was added to a scale set).  New instance protection policies enable you to protect one or more individual VMs in a scale set. Two new capabilities are provided:

  • Protect from scale-in  blocks instance deletion during scale-in operations.
  • Protect from scale set actions blocks all scale set operations including upgrades and reimage.

It’s also now possible to receive notifications about instance deletions and to set up a predefined delay timeout for the deletion operation. Notifications are sent through Azure Metadata Service Scheduled Events. Delay timeouts can range between 5 and 15 minutes.

 

Azure management services e System Center: novità di Febbraio 2020

Il mese di Febbraio è stato ricco di novità e diversi sono gli aggiornamenti che hanno interessato gli Azure management services e System Center. In questo articolo vengono riepilogati per avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Azure Monitor

Modifiche allo schema di Log Analytics

Nello schema di Azure Monitor Log Analytics sono state apportate importanti novità per consentire una più rapida e facile consultazione dei contenuti.

Aggiornamenti nella visualizzazione dei log

Azure Monitor Log Analytics ha migliorato notevolmente l’aspetto nella visualizzazione dei log. Sono stati introdotti nuovi grafici che in modo rapido e semplice consentono di visualizzare i dati raccolti e offrono la possibilità di ottenere dagli stessi maggiori informazioni in modo efficace.

Azure Site Recovery

Ritiro di alcuni scenari di protezione

A partire dal 1 marzo 2023 non sarà più possibile utilizzare Azure Site Recoivery per i seguenti scenari di protezione:

  • Tra site di proprietà dei clienti gestiti da System Center Virtual Machine Manager (SCVMM)
  • Tra site gestiti da SCVMM verso Azure

Entro questa data è pertanto necessario modificare la configurazione per utilizzare lo scenario di protezione tra Hyper-V e tra Hyper-V ed Azure, sempre senza SCVMM. I dati relativi agli scenari di protezione non più supportati saranno rimossi dalla data indicata.

Ritiro della funzionalità di data encryption di Azure Site Recovery

A partire dal 30 aprile 2022 la funzionalità di data encryption di Azure Site Recovery sarà ritirata e sostituita con più avanzati meccanismi di encryption quali Encryption at Rest con Azure Site Recovery, che utilizza Storage Service Encryption (SSE). Grazie all’adozione di SSE, i dati saranno criptati prima di risiedere sullo storage e decriptati nel momento in cui vengono prelevati.

Azure Backup

Azure Offline Backup con Azure Data Box

I clienti che utilizzano Azure Backup possono ora trarre vantaggio da Azure Data Box per lo spostamento dei backup di grandi dimensioni attraverso un apposito meccanismo di migrazione offiline. La soluzione prevede l’utilizzo sia di Azure Data Box (appliance da 100 TB) che di Azure Data Box disks (fino a 8 TB ciascuno), tramite il Microsoft Azure Recovery Services Agent, per posizionare i backup iniziali di grandi dimensioni (fino a 80 TB per server) in modalità offline verso un Azure Recovery Services Vault. I successivi backup saranno poi effettuati tramite la rete.

Figura 1 – Azure Offline Backup con Azure Data Box

Supporto per Windows Server 2008

In Azure Backup è stata annunciato il supporto per sistemi Windows Server 2008. Questo facilita le operazioni di migrazione dei sistemi on-premises basati su Windows Server 2008 verso Azure, in modo da poter continuare ad ottenere le patch di security.

Esclusione selettiva dei dischi da proteggere

Azure Backup ora consente di escludere in modo selettivo i dischi da proteggere in una macchina virtuale. Questo consente di ottenere dei risparmi sui costi della soluzione qualora ci siano dischi che non è opportuno proteggere tramite Azure Backup.

Backup Explorer

In Azure Backup viene ora offerta una nuova soluzione, al momento in preview, chiamata Backup Explorer, un Azure Monitor Workbook integrato che consente di avere un controllo centralizzato in tempo reale sullo stato di esecuzione dei vari backup.

Figura 2 – Overview di Backup Explorer

System Center

Update Rollup 1 per System Center 2019

Per System Center 2019 è stato rilasciato il primo update rollup. Questo aggiornamento introduce nuove funzionalità, effettua correzioni di errori e interessa i seguenti prodotti:

Microsoft Endpoint Manager

Nuovi rilasci per il Technical Preview Branch

Per Configuration Manager sono stati rilasciati nel Technical Preview Branch l’update 2001.2, l’update 2002 e l’update 2002.2. Tra le principali novità, vengono introdotti miglioramenti relativi a Desktop Analytics e alle task sequence. Inoltre permettono di ottenere novità inerenti agli Orchestration Groups, una evoluzione dei Server Groups.

Per verificare i dettagli riguardanti le novità incluse in questi aggiornamenti è possibile consultare questi documenti:

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di Configuration Manager ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure IaaS and Azure Stack: announcements and updates (February 2020 – Weeks: 07 and 08)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Azure Firewall Manager now supports virtual networks

Azure Firewall Manager Preview now supports Azure Firewall deployments in virtual networks (also known as hub virtual networks) in addition to its support for Azure Firewall deployments in virtual WAN hubs (also known as secured virtual hubs).

New Azure Firewall certification and features

New Azure Firewall capabilities are available:

  • ICSA Labs Corporate Firewall Certification.
  • Forced tunneling support now in preview.
  • IP Groups now in preview.
  • Customer configured SNAT private IP address ranges now generally available.
  • High ports restriction relaxation now generally available.

Form more detrails you can read this document.

Azure Virtual Network: Network address translation in preview

Azure Virtual Network now offers network address translation (NAT) (in preview) to simplify outbound-only internet connectivity for virtual networks. All outbound connectivity uses the public IP address and/or public IP prefix resources connected to the virtual network NAT. Outbound connectivity is possible without a load balancer or public IP addresses directly attached to virtual machines. Virtual Network NAT Preview is fully managed, highly resilient, and is currently available in the following regions:

  • Europe West
  • Japan East
  • US East 2
  • US West
  • US West 2
  • US West Central 

Preview of Azure Shared Disks for clustered applications

The limited preview of Azure Shared Disks, the industry’s first shared cloud block storage, is available. Azure Shared Disks enables the next wave of block storage workloads migrating to the cloud including the most demanding enterprise applications, currently running on-premises on Storage Area Networks (SANs). These include clustered databases, parallel file systems, persistent containers, and machine learning applications. This unique capability enables customers to run latency-sensitive workloads, without compromising on well-known deployment patterns for fast failover and high availability. This includes applications built for Windows or Linux-based clustered filesystems like Global File System 2 (GFS2). With Azure Shared Disks, customers now have the flexibility to migrate clustered environments running on Windows Server, including Windows Server 2008 (which has reached End-of-Support), to Azure. This capability is designed to support SQL Server Failover Cluster Instances (FCI)Scale-out File Servers (SoFS)Remote Desktop Servers (RDS), and SAP ASCS/SCS running on Windows Server.

Azure Private Link is generally available

Azure Private Link is now generally available. Azure Private Link is a secure and scalable way for you to consume services (such as Azure PaaS,  Partner Service, BYOS) on the Azure platform privately from within your virtual network. Private Link also enables you to create and render your own services on Azure. It enables a true private connectivity experience between services and virtual networks.

Azure Resource Manager template support for NSG flow logs

Now, Azure Resource Manage, the native and powerful way to manage your infrastructure as code, supports the deployment of network security group (NSG) flow logs through templates. NSG flow logs are now an Azure Resource Manager resource so you have the ability to deploy flow logs programmatically and set up Azure Governance policies to verify that flow logs are enabled. 

Azure Network Watcher is generally available in four new regions

Azure Network Watcher is now generally available in UAE North, Switzerland North, Norway West, and Germany West Central regions.

Native Azure Active Directory authentication support and Azure VPN Client 

Native Azure Active Directory (Azure AD) authentication support for OpenVPN protocol, and Azure VPN Client for Windows are generally available for Azure point-to-site (P2S) VPN. Native Azure AD authentication support enables user-based policies, conditional access, and multi-factor authentication (MFA) for P2S VPN. Native Azure AD authentication requires both Azure VPN Gateway integration and a new Azure VPN client to obtain and validate an Azure AD token.

Unified network monitoring with connection monitor in preview

Azure Network Watcher now has a new and improved connection monitor feature. Connection monitor provides unified end-to-end connection monitoring capabilities for hybrid and Azure deployments. Some of the new capabilities include:

  • A single console for configuring and monitoring connectivity and network quality from Azure and on-premises VMs/hosts. 
  • The ability to monitor endpoints within and across Azure regions, on-premises sites, and global service locations. 
  • Higher and configurable probing frequencies and support for more protocols.
  • Faster time to detect and diagnose issues in Azure and hybrid networks.
  • Access to historical monitoring data retained in Log Analytics. 

Azure Bastion is available in 20 new regions

Azure Bastion, the managed PaaS service that provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over SSL and without any public IP on your virtual machines, is now generally available in 20 new regions.

Active Directory authentication support on Azure Files (preview)

You can now mount your Azure Files using AD credentials with the exact same access control experience as on-premises. You may leverage an Active Directory domain service either hosted on-premises or on Azure for authenticating user access to Azure Files for both premium and standard tiers. Managing file permissions is also simple. As long as your Active Directory identities are synced to Azure AD, you can continue to manage the share level permission through standard role-based access control (RBAC). For directory and file level permission, you simply configure Windows ACLs (NTFS DACLs) using Windows File Explorer just like any regular file share. 

Azure Stack

Kubernetes on Azure Stack 

Microsoft now supports Kubernetes cluster deployment on Azure Stack, a certified Kubernetes Cloud Provider. Install Kubernetes using Azure Resource Manager templates generated by ACS-Engine on Azure Stack.

Azure IaaS and Azure Stack: announcements and updates (January 2020 – Weeks: 05 and 06)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

New solution for Azure Monitor for virtual machines

The new solution for Azure Monitor for VMs will soon be available in all regions. This update will provide richer monitoring functionality and map data sets for Service Map customers. Once it’s available in your region, it’ll be necessary to upgrade to the new solution in order to continue using Azure Monitor for VMs. Disruption to your workflow should be minimal since Azure Monitor for VMs is still in preview, compared to upgrading after general availability.

Azure Cost Management and billing updates

Here are a few of the latest improvements and updates related to Azure Cost Management in January 2020:

Large file shares (100 TiB) on standard is available world-wide

Large file shares (100 TiB) on standard is available in all regions world-wide, including national clouds (Gov, China, Germany).
 

Azure DNS private zones is now available in Azure Government and Azure China

Azure DNS private zones is now generally available in Azure Government and Azure China regions. Use Azure DNS private zones for DNS resolution across one or more virtual networks in Azure Government and Azure China clouds. Azure DNS private zones provides a reliable and secure DNS service to manage and resolve domain names in an Azure virtual network without the need to add a custom DNS solution.

Managed identities on lab virtual machines in Azure DevTest Labs

Lab owners can now enable user-assigned managed identities on lab virtual machines in Azure DevTest Labs. Managed identities is a feature of Azure Active Directory that can authenticate any Azure service, including Azure Key Vault, without any credentials in your code. With this feature, lab users can now share Azure resources such as Azure SQL Database in the context of the lab. Once configured, every existing or newly created lab virtual machine will be enabled with this managed identity, and the lab user will be able to access resources once logged in to their machine.

New AMD-based Dav4 and Eav4 Azure VMs are available in additional regions

New Azure Dav4-series and Eav4-series virtual machines based on the latest AMD EPYC™ processor are now available in East US, East US2, West US2, Southeast Asia, North Europe, and West Europe regions. The Dav4-series and Das v4-series Azure VMs are suited for general-purpose workloads. The Eav4-series and Eas v4-series are ideal for memory-intensive workloads. 

HBv2-Series VMs are Generally Available

HBv2 VMs are Generally Available in the US South Central region .HBv2 Virtual Machines feature 120 AMD EPYC™ 7002-series CPU cores, 480 GB of RAM, 480 MB of L3 cache, and no simultaneous multithreading (SMT). HBv2 Virtual Machines provide up to 350 GB/sec of memory bandwidth.

Azure management services e System Center: novità di Gennaio 2020

Il nuovo anno è iniziato con diversi annunci da parte di Microsoft riguardanti novità relative agli Azure management services e a System Center. La Cloud Community rilascia mensilmente questo riepilogo, che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Azure Monitor

Nuova versione del Gateway di Log Analytics

Per Azure Monitor è stata rilasciata una nuova versione del Gateway di Log Analytics che introduce una maggiore stabilità ed affidabilità. Per ottenere la nuova versione è possibile accedere al portale Azure, navigando nel blade di Log Analytics oppure direttamente tramite il Microsoft Download Center.

Disponibilità in nuove regions per Service Map

La funzionalità Azure Map di Azure Log Analytics è ora disponibile anche nella region US Gov Virginia“.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 43 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Supporto per le customer-managed keys

Azure Site Recovery ha introdotto il supporto per i seguenti scenari:

Azure Backup

Long term retention per il backup delle file shares configurabile dal portale Azure

Azure Backup consente di mantenere i backup on demand delle file share fino a 10 anni. Questa configurazione, resa inizialmente possibile solamente tramite PowerShell, è ora effettuabile anche dal portale Azure.

Restore cross region delle macchine virtuali

In Azure Backup è stata annunciata la possibilità di eseguire restore cross region delle macchine virtuali verso l’Azure Paired Region di riferimento. Al momento questa funzionalità è disponibile in preview limitata in West Central United States (WCUS) e il restore può quindi avvenire verso la region WUS2. Per maggiori informazioni a riguardo è possibile consultare questa documentazione tecnica.

Protezione di SAP HANA in nuove regions

La soluzione Azure Backup consente ora di abilitare la protezione dei DBs di SAP HANA a bordo di macchine virtuali Azure nelle region europee e asiatiche. Queste le regions dove è attiva questa funzionalità:

  • West Europe (WE), North Europe (NE), France Central, France South, UK West (UKW), Germany North, Germany West Central, Germany Central, Germany North East, Switzerland North, and Switzerland West.
  • Australia Central, Australia Central 2, Australia East (AE), Australia Southeast (ASE), Japan East (JPE), Japan West (JPW), Korea Central (KRC), and Korea South (KRS).

Soft Delete per SQL Server e per SAP HANA nelle VMs Azure

In Azure Backup è stata introdotta la funzionalità di soft delete anche per quanto riguarda la protezione di SQL Server e SAP HANA a bordo di macchine virtuali Azure. Soft delete è una funzionalità di security che consente di proteggere i backup anche in seguito alla cancellazione. Grazie a Soft delete, nell’eventualità che un backup venga rimosso in modo accidentale o per azioni malevole, si ha la garanzia che il dato di backup sia comunque mantenuto per 14 giorni dalla data di cancellazione. Questa funzionalità, che non prevede costi aggiuntivi, pemette di recuperare eventuali backup rimossi entro il periodo di retention.

Microsoft Endpoint Manager

Nuovo rilascio per il Technical Preview Branch

Per Configuration Manager è stato rilasciato nel Technical Preview Branch l’update 2001 che tra le principali novità introduce diverse dashboard per verificare l’utilizzo del nuovo Microsoft Edge e di altri browser.

Per verificare i dettagli riguardanti le novità incluse in questi aggiornamenti è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di Configuration Manager ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure IaaS and Azure Stack: announcements and updates (January 2020 – Weeks: 03 and 04)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Microsoft to launch new cloud datacenter region in Israel

Microsoft announced plans to establish the company’s first cloud region in Israel to deliver its intelligent, trusted cloud services through a local datacenter region. This investment expands the Microsoft global cloud infrastructure to 56 cloud regions in 21 countries, with the new Israel region anticipated to be available starting with Microsoft Azure in 2021, with Office 365 to follow. The new Israel region will adhere to Microsoft’s trusted cloud principles and become part of one of the largest cloud infrastructures in the world, already serving more than a billion customers and 20 million businesses.

Azure is now certified for the ISO/IEC 27701 privacy standard

zure is the first major US cloud provider to achieve certification as a data processor for the new international standard ISO/IEC 27701 Privacy Information Management System (PIMS). The PIMS certification demonstrates that Azure provides a comprehensive set of management and operational controls that can help your organization demonstrate compliance with privacy laws and regulations. Microsoft’s successful audit can also help enable Azure customers to build upon our certification and seek their own certification to more easily comply with an ever-increasing number of global privacy requirements.

New support for Network Security Group flow logs

Network Security Group (NSG) flow logs, a feature of Azure Network Watcher, allows you to view information about ingress and egress IP traffic. This feature now supports two new Azure Storage configurations:

  • Firewalled Storage accounts. Configuring Storage firewalls provides greater access control and security of your data. NSG flow logs can now be sent to storage accounts with a firewall enabled.
  • Service endpoints for Storage. Azure Virtual Network service endpoints allow you to control how your network interacts with Azure, ensuring that traffic from your virtual network to Azure services remains on the Azure backbone network. NSG Flow Logs can now be sent to Storage accounts accessible through virtual network service endpoints.

Microsoft Sustainability Calculator provides insights into IT carbon emissions

The Microsoft Sustainability Calculator is a Power BI application for Azure enterprise customers that provides new insight into carbon emissions data associated with their Azure services. For the first time, those responsible for reporting on and driving sustainability within their organizations will have the ability to quantify the carbon impact of each Azure subscription over a period of time and datacenter region, and to see estimated carbon savings from running those workloads in Azure versus on-premises datacenters. This data is crucial for reporting existing emissions and will help drive additional decarbonization efforts.

Red Hat Enterprise Linux gold images now available on Azure

Red Hat Enterprise Linux (RHEL) bring-your-own-subscription images, also referred to as RHEL gold images, are now available in Azure with a simple, automated sign-up process.

Azure Stack

Azure App Service on Azure Stack Hub Update 8 Released

This release updates the resource provider and brings the following key capabilities and fixes:

  • Updates to App Service Tenant, Admin, Functions portals and Kudu tools. Consistent with Azure Stack Portal SDK version.
  • Managed disk support for all new deployments: all new deployments of Azure App Service on Azure Stack Hub will make use of managed disks for all Virtual Machines and Virtual Machine Scale Sets.  All existing deployments will continue to use unmanaged disks.
  • Updates to core service to improve reliability and error messaging enabling easier diagnosis of common issues.
  • TLS 1.2 Enforced by Front End load Balancers

All other fixes and updates are detailed in the App Service on Azure Stack Update Eight Release Notes.

Azure IaaS and Azure Stack: announcements and updates (January 2020 – Weeks: 01 and 02)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Azure Lab Services updates

Azure DevTest Labs recently released different updates:

  • Enables multiple owners to manage a lab.
  • Added the ability to automatically shut down virtual machines when a users’ remote desktop (RDP) session is disconnected (Windows).
  • Integration with Azure Bastion, enabling you to connect to your lab virtual machines through a web browser.
  • It automatically installs the necessary GPU drivers for you when you create a lab with GPU machines. You no longer have to figure out which GPU driver to use on your own.

Azure File Sync agent version 5.x will expire on February 12th

To continuously improve Azure File Sync, Microsoft can only support old versions of the agent for a limited time. On February 12, 2020, Azure File Sync agent version 5.x will be expired and stop syncing. If you have servers with agent version 5.x, update to a supported agent version (6.x or later). If you don’t update your servers before February 12, 2020, they will stop syncing. To resume syncing, the agent must be updated to a supported version.