The maintenance control feature for Azure Virtual Machines platform updates is now generally available for Azure Dedicated Hosts and isolated virtual machines (VMs). This feature gives you more control over platform maintenance when dealing with highly sensitive workloads. Use this feature to control all host updates, including rebootless updates, within a 35-day window. The ability to control the maintenance window is particularly useful when you deploy workloads that are extremely sensitive to interruptions running on an Azure Dedicated Host or an isolated VM where the underlying physical server runs a single customer’s workload. This feature is not supported for VMs deployed in hosts shared with other customers.
New DCsv2-series virtual machines are available
You can develop confidential applications that protect data while it’s being processed in the CPU with new DCsv2-series virtual machines (VMs), powered by Intel SGX. Traditionally, applications are protected while at rest and in transit. Now, you can deliver applications that protect data while in use. This enables a new set of scenarios like multiparty sharing, where it’s possible to combine data from multiple companies to run machine learning models without the companies getting access to each other’s data.
Windows Server containers in AKS now generally available
Windows Server containers in Azure Kubernetes Service (AKS) are now generally available. You can take advantage of this new feature to run Linux and Windows workloads side-by-side in a single cluster using the same tools. Create/upgrade/scale Windows node pools in AKS through the standard tools (portal/CLI) and Azure will help manage the health of the cluster.
Azure Migrate now available in Azure Government
Microsoft’s service for datacenter migration, Azure Migrate, is now available in Azure Government, unlocking the whole range of functionality for government customers. Azure Migrate V2 for Azure Government includes a one-stop shop for discovery, assessment, and migration of largescale datacenters.
Storage
Enhanced features in Azure Archive Storage
Three new feature enhancements for Azure Block Blob storage and Azure Archive storage are now generally available, making the service faster, simpler, and more capable.
Priority retrieval from Azure Archive. High rehydrate-priority fulfills the need for emergency data rehydrate from archive, with retrievals for blobs of a few GB typically taking less than one hour.
Upload blob direct to access tier of your choice. The PutBlob or PutBlockList API allows you to upload your blob data directly to any access tier (hot, cool, or archive). This enables customers to write cold data directly to Azure Archive, realizing their cost savings immediately.
CopyBlob enhanced capabilities. The CopyBlob API supports the archive access tier, allowing you to copy data into and out of the archive access tier within the same storage account. It also includes support for the other two new features—priority retrieval and direct to access tier of your choice.
Networking
Azure Firewall: support for Windows Virtual Desktop
Azure Kubernetes Service (AKS) Private Link is generally available. You can use it to isolate your Kubernetes API server within your Azure virtual network, enabling fully private communication with the managed Kubernetes control plane hosted by AKS.
A partire da questo mese si rinnova la serie di articoli rilasciati dalla nostra community relativi alle novità degli Azure management services. Saranno articoli, pubblicati con cadenza mensile, dedicati esclusivamente a questi argomenti per aver un maggior livello di approfondimento.
Il management si riferisce alle attività e ai processi necessari per mantenere al meglio le applicazioni aziendali e le risorse che le supportano. Azure offre numerosi servizi e strumenti fortemente correlati tra di loro per fornire una esperienza di management completa. Questi servizi non sono dedicati esclusivamente alle risorse Azure, ma possono potenzialmente essere utilizzati anche per ambienti dislocati on-premises o presso altri cloud pubblici.
Il diagramma seguente mostra le diverse aree relative al management, che saranno contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor per containers: supporto del monitoring sull’utilizzo delle GPU su node pool GPU-enabled di AKS
Azure Monitor per containers ha introdotto la possibilità di effettuare il monitor sull’utilizzo delle GPU in ambienti Azure Kubernetes Service (AKS) con nodi che sfruttano le GPU. Al momento sono supportati come vendors NVIDIA e AMD. Questa funzionalità di monitoring può essere utile per:
Controllare la disponibilità di GPU sui nodi, l’utilizzo della GPU memory e lo stato delle richieste di GPU da parte dei pods.
Visualizzare le informazioni raccolte tramite il workbook built-in disponibile nella workbook gallery.
Generare alert sullo stato dei pod
Export di alert e raccomandazioni verso altre soluzioni
In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. La funzionalità è chiamata Continuos Export e viene descritta in modo dettagliato in questo articolo.
Funzionalità di Workflow automation
Azure Security Center include la possibilità di disporre di workflow per la risposta agli incidenti di security. Tali processi potrebbero includere notifiche, l’avvio di un processo di change management e l’applicazione di specifiche operazioni di remediation. La raccomandazione è di automatizzare il maggior numero possibile di procedure in quanto l’automation può migliorare la sicurezza garantendo che le fasi del processo vengano eseguite in modo rapido, coerente e in base ai requisiti predefiniti. In Azure Security Center è stata resa disponibile la funzionalità di workflow automation. Può essere utilizzata per scatenare in modo automatico il trigger di Logic Apps sulla base di alerts di security e sulle raccomandazioni. Inoltre, l’esecuzione manuale di trigger è disponibile per gli alerts di security e per le raccomandazioni che hanno disponibile l’opzione di quick fix.
Integrazione con Windows Admin Center
Risulta ora possibile includere direttamente da Windows Admin Center in Azure Security Center i sistemi Windows Server che risiedono on-premises.
Azure Monitor Application Insights: monitor di applicazioni Java codeless
Il monitor di applicazioni Java è ora reso possibile senza apportare modifiche al codice, grazie ad Azure Monitor Application Insights. In preview è infatti disponibile il nuovo agente codeless Java. Tra le librerie e i frameworks supportati dal nuovo agente Java troviamo:
gRPC.
Netty/Webflux.
JMS.
Cassandra.
MongoDB.
Ritiro della solution di Office 365
Per la solution “Azure Monitor Office 365 management (Preview)”, che consente di effettuare l’invio dei log di Office 365 verso Azure Monitor Log Analytics è previsto il ritiro il 30 Luglio 2020. Questa solution è stata sostituita dalla solution di Office 365 presente in Azure Sentinel e dalla solution “Azure AD reporting and monitoring”. La combinazione di queste due solution è in grado di offrire una miglior experience nella configurazione e nel relativo utilizzo.
Azure Monitor per Containers: supporto per Azure Red Hat OpenShift
Azure Monitor per Containers ora supporta in preview anche il monitor per cluster Kubernetes ospitati su Azure Red Hat OpenShift versione 4.x & OpenShift versione 4.x.
Azure Monitor Logs: limitazioni su query concorrenti
Per garantire un’esperienza coerente per tutti gli utenti nella consultazione dei Log di Azure Monitor, verranno gradualmente implementati nuovi limiti di concorrenza. Questo contribuirà a proteggersi dall’invio di un numero eccessivo di query contemporaneamente, che potrebbe potenzialmente sovraccaricare le risorse di sistema e compromettere la reattività. Questi limiti sono progettati per intervenire e limitare solo scenari di utilizzo estremi, ma non dovrebbero essere rilevanti per l’uso tipico della soluzione.
Secure
Azure Security Center
Disponibilità del Dynamic compliance packages
La regulatory compliance dashboard di Azure Security Center include ora il dynamic compliance packages per tracciare ulteriori standard di settore e normativi. I dynamic compliance packages possono essere aggiunti a livello di subscription oppure di management group dalla pagina delle policy di Security Center. Dopo aver inserito uno standard o un benchmark, questo viene visualizzato nella dashboard di conformità normativa con tutti i relativi dati. Sarà inoltre disponibile per il download un report di riepilogo per tutti gli standard che sono stati integrati.
Incluse le raccomandazioni di Identity nel tier free di Azure Security Center
Le raccomandazioni di security relative all’identity e all’accesso sono state incluse nel tier free di Azure Security Center. Questo aspetto consente di aumentare gratuitamente le funzionalità in ambito cloud security posture management (CSPM). Prima di questa moditifca, tali raccomandazioni erano disponibili solo nel tier Standard di Azure Security Center. Si riportano alcuni esempi di raccomandazioni relative all’identity e all’accesso:
“Multifactor authentication should be enabled on accounts with owner permissions on your subscription.”
“A maximum of three owners should be designated for your subscription.”
“Deprecated accounts should be removed from your subscription.”
Protect
Azure Backup
Cross Region Restore (CRR) per le macchine virtuali Azure
Grazie all’introduzione di questa nuova funzionalità in Azure Backup viene introdotta la possibilità di avviare a piacimento i ripristini in una regione secondaria, rendendoli completamente controllati dal cliente. Per farlo è necessario che il Recovery Service vault che detiene i backup sia impostato in ridondanza geografica; in questo modo i dati di backup nella region primaria sono replicati geograficamente nella regione secondaria associata ad Azure (paired region).
Figura 1 – Nuovi possibili scenari dati dal Cross Region Restore (CRR)
Azure Files share snapshot management
In Azure Backup è stata introdotta la possibilità di creare snapshots di Azure Files share, giornaliere, settimanali, mensili, e annuali e mantenerle fino a 10 anni.
Figura 2 – Azure Files share snapshot management
Supporto per la sostituzione dei dischi esistenti per le VM con immagini personalizzate
In Azure Backup è stato introdotto il supporto, durante le fasi del ripristino, per sostituire i dischi esistenti nelle macchine virtuali create con immagini personalizzate.
SAP HANA backup
In Azure Backup la protezione dei DB di SAP HANA presenti nelle macchine virtuali è disponibile in tutte le principali region di Azure. Tale funzionalità consente di avere in modo integrato e senza dover prevedere una infrastruttura di backup specifica la protezione dei database SAP HANA. Questa soluzione risulta ufficialmente certificata da SAP.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
SQL Server 2019 IaaS images with Linux distribution support now available
Azure Marketplace pay-as-you-go images for SQL Server 2019 on RHEL 8.0, Ubuntu 18.04, and SLES 12 SP5 are now generally available.
Virtual machine scale sets: automatic image upgrades for custom images
Virtual machine scale sets now provide the ability to automatically deploy new versions of custom images to scale set virtual machines. Enabling automatic OS image upgrades on your scale set helps ease update management by safely and automatically upgrading the OS disk for all virtual machines in the scale set. This capability is now available in preview for custom images through Shared Image Gallery.
Automatic instance repairs for virtual machine scale sets
Virtual machine scale sets now provide the capability to automatically repair unhealthy instances based on application health status. Configure the scale set instances to emit application health by using either the application health extension or Azure Load Balancer health probes. After the automatic repairs policy is enabled, when an instance is found to be unhealthy, the scale set will automatically delete the unhealthy instance and create a new one to replace it.
Azure Migrate is now available in Azure Government
Azure Migrate provides a hub of Microsoft and partner tools to help customers meet their migration needs. Azure Migrate also offers scenarios for database migration, VDI migration, and web application migration, in addition to at-scale migration of VMware, Hyper-V, and physical servers to Azure. All Azure Migrate features, including agentless discovery and assessment, application inventory, and migration, are now available in Azure Government.
Azure File Sync v10 released
The Azure File Sync agent v10 release is being released to servers which are configured to automatically update when a new version becomes available.
Improvements and issues that are fixed:
Improved sync progress in the portal
Improved cloud tiering portal experience
Support for moving the Storage Sync Service and/or storage account to a different Azure Active Directory (AAD) tenant
Evaluation tool now identifies files or directories that end with a period
Miscellaneous performance and reliability improvements
To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog by following the steps documented in KB4522409.
Networking
Azure Virtual Network supports reverse DNS lookup
Azure Virtual Network now supports reverse DNS lookup (PTR DNS queries) for virtual machine IP addresses by default. Use this to quickly look up name of the VM from its IP address. Previously, using DNS queries to look up the fully qualified domain name (FQDN) for a virtual machine from its IP address would result in an NXDOMAIN response. Now, instead of getting an NXDOMAIN, you’ll receive valid FQDN of the virtual machine to which the IP address belongs.
Azure Monitor Log Analytics è in grado di collezionare grossi quantitativi di dati ed è fondamentale disporre di metodi efficaci per renderli facilmente consultabili e per analizzarli in modo semplice. Tra le varie possibilità offerte troviamo i Workbooks, documenti interattivi che consentono di interpretare al meglio i dati e di fare analisi approfondite, pensati anche per scenari di collaborazione. In questo articolo vengono riportate le caratteristiche principali dei Workbooks e le indicazioni per utilizzarli al meglio.
I Workbooks consentono di combinare testo, query di Log Analytics, metriche di Azure e parametri, costituendo così dei report interattivi. Un aspetto interessante è che possono essere accessibili e modificabili da tutti coloro che hanno accesso alle stesse risorse di Azure. Questo aspetto li rende un potente strumento di collaborazione tra i membri di un team di lavoro.
Possibili scenari di utilizzo
I Workbooks possono essere utilizzati in differenti scenari, come ad esempio:
Strumento guida per la risoluzione dei problemi e degli incident post mortem. Nono solo è possibile evidenziare l’impatto di un’interruzione di un applicativo oppure di una macchina virtuale, ma sarà anche possibile combinare i dati e fornire spiegazioni scritte. In questo modo può diventare uno strumento guida per discutere dei passaggi necessari per prevenire future interruzioni del servizio.
Esplorazione dell’utilizzo di una determinata applicazione o di una macchina virtuale quando non si conoscono in anticipo le metriche di interesse. Infatti, a differenza di altri strumenti di analisi, i Workbooks consentono di combinare più tipi di visualizzazioni e di analisi, rendendoli un ottimo strumento per un’esplorazione in forma libera.
Mostrare al proprio team le prestazioni di una nuova funzionalità applicativa oppure le performance di una nuova macchina virtuale, dando visibilità delle principali metriche di interesse.
Condivisione con altri membri del team dei risultati di un lavoro di sperimentazione su una applicazione. Si ha infatti la possibilità di dettagliare gli obiettivi della sperimentazione con il testo e di mostrare le metriche e le query di Log Analytics utilizzate per valutare gli elementi di interesse.
Vantaggi dei Workbooks
Tra i principali vantaggi dei Workbooks è possibile citare:
Supporto per metriche, log e dati di Azure Resource Graph.
Supporto di parametri che consentono di ottenere report interattivi, in cui ad esempio la selezione di un elemento in una tabella aggiornerà dinamicamente i grafici e le visualizzazioni associate.
Flusso simile a un documento.
Possibilità di avere Workbooks personali oppure condivisi.
Esperienza di creazione semplice e sempre in ottica di collaborazione.
Possibilità di attingere a una template gallery pubblica su GitHub che contiene svariati Workbooks pronti all’utilizzo.
Limiti dei Workbooks
I Workbooks presentano anche le seguenti limitazioni che è bene tenere in considerazione:
Non sono previsti meccanismi automatici di refresh.
Non sono progettati per avere un layout addensato come le dashboards e per avere un unico pannello di controllo centralizzato. Sono infatti stati progettati per ottenere approfondimenti tramite un percorso interattivo.
Deploy e utilizzo dei Workbooks
La sezione Workbooks è accessibile dal portale Azure sia da Azure Monitor Log Analytics che da Application Insights ed è disponibile una gallery con una serie di Workbooks predefiniti.
Figura 1 – Workbooks Gallery dal portale Azure
In questo repository GitHub è possibile visualizzare numerosi template di Workbooks. Si può ovviamente contribuire aggiungendone dei nuovi oppure elaborando quelli esistenti.
I Workbooks possono essere composti da sezioni differenti che riportano grafici, tabelle, testo e controlli di input, tutti modificabili in modo indipendente.
Figura 2 – Aggiunta di sezione a un Workbook
Per poter creare dei Workbooks personalizzati in base alle proprie esigenze è utile conoscere quali elementi sono supportati, si riportano a questo proposito i riferimenti alla documentazione ufficiale Microsoft:
Figura 3 – Esempio di Workbook che mostra le metriche chiave delle VMs
Figura 4 – Esempio di Workbook che mostra il più alto utilizzo di CPU delle VMs per region
Per effettuare il deployment di nuovi Workbooks tramite ARM templates è possibile fare riferimento alla documentazione ufficiale Microsoft.
Conclusioni
Grazie all’adozione dei Workbooks è possibile consultare i dati raccolti utilizzando report visivamente accattivanti, con funzionalità avanzate che consentono di arricchire notevolmente l’esperienza di analisi dal portale di Azure. L’interattività basate sugli input dell’utente, la personalizzazione e la condivisione sono elementi importanti che rendono molto utile l’adozione dei Workbooks in scenari specifici.
In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. In questo articolo viene riportato come utilizzare questa funzionalità e vengono approfondite le sue caratteristiche.
Azure Security Center (ASC) effettua un assessment continuo dell’ambiente ed è in grado di fornire delle raccomandazioni relative alla sicurezza dell’ambiente. Come descritto in questo articolo è possibile personalizzare la soluzione per soddisfare i propri requisiti di sicurezza e le raccomandazioni che vengono generate. Nel tier standard queste raccomandazioni possono non essere limitate al solo ambiente Azure, ma sarà possibile contemplare anche ambienti ibridi e le risorse on-premises.
Security Center standard genera anche degli alert nel momento in cui vengono rilevate potenziali minacce di sicurezza sulle risorse presenti nel proprio ambiente. ASC stabilisce le priorità, elenca gli alert, fornisce le informazioni necessarie per esaminare rapidamente i problemi e riporta consigli su come risolvere eventuali attacchi.
Azure Event Hubs è una piattaforma di streaming di big data e un servizio per l’ingestion di eventi. Può ricevere ed elaborare milioni di eventi al secondo. I dati inviati a un Event Hub possono essere trasformati e archiviati utilizzando qualsiasi provider di analisi in tempo reale oppure adattatori batch o di archiviazione.
La nuova funzionalità che è stata introdotta in Azure Security Center si chiama Continuos Export, supporta scenari enterprise e consente di effettuare quanto segue:
Export verso Azure Event Hubs per ottenere una integrazione con SIEMs di terze parti ed Azure Data Explorer.
Export verso un workspace Log Analytics per avere una integrazione con Azure Monitor, utile per analizzare meglio i dati, utilizzare Alert rule, Microsoft Power BI e dashboards personalizzate.
Export in un file CSV, per singole esportazioni di dati (one shot).
La configurazione è semplice e la si può effettuare tramite la seguente procedura.
In Azure Security Center si seleziona la subscription per la quale si vuole configurare l’esportazione dei dati e nella sidebar delle impostazioni si seleziona Continuos Export:
Figura 1 – Continuous Export nei settings di ASC della subscription
In questo caso si è scelto di configurare l’esportazione verso un workspace di Log Analytics. Si possono selezionare quali raccomandazioni esportare ed il relativo livello di severity. Anche per gli alert di security si può scegliere per quale livello farne l’esportazione. L’export crea un oggetto, pertanto è opportuno specificare in quale resource group posizionarlo. Sarà infine necessario selezionare il workspace target di Log Analytics.
Figura 2 – Configurazione dei parametri per fare il Continuous Export
Selezionando il link per l’integrazione con Azure Monitor c’è la possibilità di creare in modo automatico delle Alert rule già preimpostate.
Figura 3 – Creazione automatica di alert rule in Azure Monitor
Di default queste alert rule non configurano degli Action Group, pertanto è consigliabile modificarle per scatenare un trigger in base alle proprie esigenze.
Queste le due alert rule create di default:
Figura 4 – Alert rule di Azure Monitor create di default
In alternativa, dopo aver fatto confluire le raccomandazioni e gli alert di ASC in un workspace, è possibile configurare in Azure Monitor delle Alert rule personalizzate basate su query di Log Analytics.
Gli alert di security e le raccomandazioni di ASC vengono memorizzate nelle tabelle SecurityAlert e SecurityRecommendations del workspace. Il nome della solution di Log Analytics contenente queste tabelle è in relazione al tier di ASC, che può essere quindi Security and Audit (tier standard) oppure SecurityCenterFree (tier free).
Figura 4 – Tabelle in Log Analytics
La configurazione di Continuos Export verso Event Hubs è del tutto simile e risulta essere la metodologia migliore per integrare le raccomandazioni e gli alerts di Azure Security Center con soluzioni SIEM di terze parti. In seguito, vengono riportati i connettori per le principali soluzioni SIEM di terze parti:
In Azure Sentinel è invece disponibile il Data connector nativo per contemplare gli alerts di Azure Security Center.
Per configurare l’export verso Azure Data Explorer è possibile usare la procedura riportata in questa documentazione Microsoft.
Conclusioni
Grazie a questa nuova funzionalità introdotta in Azure Security Center è possibile consolidare tutti gli alert e le raccomandazioni generati dalla soluzione verso altri strumenti, aprendo così nuovi possibili scenari di integrazione anche con soluzioni di terze parti. Il tutto è reso possibile tramite un meccanismo facilmente configurabile, che consente di essere immediatamente notificati e di intraprendere rapidamente le azioni necessarie. Questi aspetti sono fondamentali quando si trattano informazioni relative alla sicurezza.
Azure Spot Virtual Machines are now generally available
Spot Virtual Machines provide scalability while reducing costs and they’re ideal for workloads that can be interrupted. Get unique Azure pricing and benefits when running Windows Server workloads on Spot Virtual Machines.
Storage
Direct Upload of Azure Managed Disks
Customers can bring an on-premises VHD to Azure as a managed disk in two ways: copy the VHD into a storage account before converting it into a managed disk, or attach an empty managed disk to a virtual machine and do a copy. Both of these have disadvantages. The first option requires maintaining storage accounts, while the second option has the additional cost of running virtual machines. Direct upload addresses both these issues and provides a simplified workflow by allowing you to copy an on-premises VHD directly into an empty managed disk. You can use it to upload to Standard HDD, Standard SSD, and Premium SSD managed disks of all the supported sizes.
New Azure Disk sizes and bursting support
Azure Disks, block-level storage volumes managed by Azure and used with Azure Virtual Machines, now have new 4-GiB, 8-GiB, and 16-GiB sizes available on both premium and standard SSDs. The new disk sizes introduced on standard SSD disk provide the most cost-efficient SSD offering in the cloud, providing consistent disk performance at the lowest cost per GB. In addition, Microsoft now supports bursting on Azure premium SSD disks in all Azure regions in the public cloud. With bursting, even the smallest premium SSD disks at 4-GiB can now achieve up to 3,500 IOPS and 170 MiB/second, and better accommodate spiky workloads. It can be best used for OS disks to accelerate virtual machine (VM) boot or data disks to accommodate spiky traffic. To learn more about disk bursting, read the premium SSD bursting article.
Azure Ultra Disks: Shared disk capability in preview
Attach an Azure managed disk to multiple virtual machines (VMs) simultaneously using the new shared disks feature of Azure Managed Disks. Deploy new or migrate existing clustered applications to Azure by attaching a managed disk to multiple VMs. Shared disks also support SCSI persistent reservation protocol.
Server-side encryption with customer-managed keys for Azure Managed Disks in GA
Azure customers already benefit from server-side encryption with platform-managed keys for Managed Disks enabled by default. Server-side encryption with customer-managed keys improves on platform-managed keys by giving you control of the encryption keys to meet your compliance need. Today, customers can also use Azure Disk Encryption which leverages the BitLocker feature of Windows and the DM-Crypt feature of Linux to encrypt Managed Disks with customer-managed keys within the guest VM. Server-side encryption with customer-managed keys improves on Azure Disk encryption by enabling you to use any OS types and images, including custom images, for your virtual machines by encrypting data in the Storage service.
General availability of incremental snapshots of Managed Disks
Incremental snapshots are a cost-effective, point-in-time backup of managed disks. Unlike current snapshots, which are billed for the full size, incremental snapshots are billed for the delta changes to disks since the last snapshot and are always stored on the most cost-effective storage, Standard HDD storage irrespective of the storage type of the parent disks. For additional reliability, incremental snapshots are stored on Zone Redundant Storage (ZRS) by default in regions that support ZRS. Incremental snapshots provide differential capability, enabling customers and independent solution vendors (ISVs) to build backup and disaster recovery solutions for Managed Disks. It allows you to get the changes between two snapshots of the same disk, thus copying only changed data between two snapshots across regions, reducing time and cost for backup and disaster recovery. Incremental snapshots are accessible instantaneously; you can read the underlying data of incremental snapshots or restore disks from them as soon as they are created. Azure Managed Disk inherit all the compelling capabilities of current snapshots and have a lifetime independent from their parent managed disks and independent of each other.
New additions to the Azure Archive Storage partner network
Azure Archive Storage is now integrated with new partners including IBM Spectrum Protect Plus, NetApp StorageGRID, Rubrik, and Veritas NetBackup, making the partner network even more comprehensive. Other Azure Archive Storage partners include Archive360, CloudBerry Lab, Cohesity, Commvault, HubStor, Igneous, NetApp, and Tiger Technology.
Networking
IPv6 for Azure Virtual Network is generally available
IPv6 for Azure Virtual Network is now generally available worldwide. IPv6 support within the Azure Virtual Network and to the internet enables you to expand into the growing mobile and IoT markets with Azure-based applications and to address IPv4 depletion in your own corporate networks.
Azure Container Registry support for Private Link now in preview
Azure Container Registry now supports Private Link, a means to limit network traffic of resources within the virtual network.
Azure Edge Zones extends Azure services to the edge
Azure Edge Zones combines the power of Azure, 5G, carriers, and operators around the world to enable new scenarios for developers, customers and partners. These new offerings are coming to preview and will help local telecoms and carrier partners drive new solutions for business and society, including autonomous vehicles, smart cities, virtual reality, and other smart industry use cases.
Azure Stack
Azure Stack Edge
Azure Stack Edge preview
Microsoft also announced the expansion of Azure Stack Edge preview with the NVIDIA T4 Tensor Core GPU. Azure Stack Edge is a cloud managed appliance that provides processing for fast local analysis and insights to the data. With the addition of an NVIDIA GPU, customers are able to build in the cloud then run at the edge.
Azure Stack Hub
Azure Stack Hub preview
Microsoft, in collaboration with NVIDIA, is announcing that Azure Stack Hub with Azure NC-Series Virtual Machine (VM) support is now in preview. GPU support in Azure Stack Hub unlocks a variety of new solution opportunities. With our Azure Stack Hub hardware partners, customers can choose the appropriate GPU for their workloads to enable Artificial Intelligence, training, inference, and visualization scenarios.
Event Hubs on Azure Stack Hub in preview
We are now announcing the availability of the preview version of Event Hubs on Azure Stack Hub. Event Hubs on Azure Stack Hub will allow you to realize cloud and on-premises scenarios that use streaming and event-based architectures.
Nel mese di marzo ci sono state diverse novità annunciate da parte di Microsoft riguardanti gli Azure management services e System Center. In questo riepilogo, che riportiamo con cadenza mensile, vengono elencati i principali annunci, accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.
Azure Monitor
Integrazione con Azure Security Center
In Azure Security Center (ASC) è stata introdotta l’integrazione con Azure Monitor. Infatti in ASC è stata messa a disposizione la possibilità di esportazione continua verso un workspace di Log Analytics. Grazie a questa funzionalità è possibile configurare alert rules di Azure Monitor a fronte di raccomandazioni ed alert esportati da Security Center. Ne consegue che sarà possibile attivare action group per ottenere scenari di automazione supportati da Azure Monitor.
Disponibilità del servizio Azure Monitor for VMs
In Azure monitor è stato rilasciato il servizio che consente di effettuare il monitor delle macchine virtuali, chiamato Azure Monitor for VMs. Questo servizio analizza i dati di performance e lo stato delle macchine virtuali, effettua il monitor dei processi installati e ne esamina le relative dipendenze.
Il servizio Azure Monitor for VMs è suddiviso secondo tre differenti prospettive:
Health: i componenti logici presenti a bordo delle macchine virtuali vengono valutati secondo specifici criteri pre-configurati, generando alert quando si verificano determinate condizioni.
Performance: vengono riportati i dati principali di performance, provenienti dal sistema operativo guest.
Map: viene generata una mappa con le interconnessioni presenti tra vari componenti che risiedono su sistemi differenti.
Tale soluzione può essere utilizzata su macchine virtuali Windows e Linux, indipendentemente dall’ambiente in cui esse risiedono (Azure, on-premises oppure presso altri cloud provider).
Nuova versione dell’agente per sistemi Windows e Linux
Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Windows e per sistemi Linux. In entrambi i casi vengono introdotti diversi miglioramenti e una maggiore stabilità.
SHA-2 signing per l’agente di Log Analytics
L’agente Log Analytics per Windows inizierà a imporre la firma SHA-2 a partire dal 18 maggio 2020. Questa modifica richiede un’azione nel caso si esegua l’agente su una versione del sistema operativo legacy (Windows 7, Windows Server 2008 R2 oppure Windows Server 2008) . I clienti che si trovano in questa condizione devono applicare gli aggiornamenti e le patch più recenti su questi sistemi operativi prima del 18 maggio 2020, altrimenti i loro agenti smetteranno di inviare dati verso i workspace di Log Analytics. Saranno interessati da questo cambiamento i seguenti servizi Azure: Azure Monitor, Azure Automation, Azure Update Management, Azure Change Tracking, Azure Security Center, Azure Sentinel, Windows Defender ATP.
Azure Site Recovery
Nuovo Update Rollup
Per Azure Site Recovery è stato rilasciato l’Update Rollup 45 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.
Azure Backup
Azure Backup Report
In Azure Backup è stata annunciato il rilascio della soluzione Azure Backup Report. Si tratta di uno strumento disponibile nel portale Azure che mette a disposizione dei report per rispondere a molte domande sull’andamento dei backup, tra le quali: “Quali elementi di backup consumano più spazio di archiviazione?”, “Quali macchine hanno avuto costantemente comportamenti anomali di backup?”, “Quali sono le principali cause di errore del processo di backup?”. I report forniscono informazioni in modo trasversale tra tipologie di workload differenti, vaults, subscriptions, regions e tenants. Anche per questo strumento è garantito il supporto di Windows Server 2008, per facilitare le operazioni di migrazione dei sistemi on-premises basati su Windows Server 2008 verso Azure, processo grazie al quale è possibile continuare ad ottenere le patch di security.
Azure Automation
Disponibilità in nuove regions
Azure Automation è ora disponibile in preview nelle region di ” US Gov Arizona”.
Valutazione di Azure e System Center
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.
Azure Virtual Network NAT (Network Address Translation) simplifies outbound-only Internet connectivity for virtual networks. NAT can be configured for one or more subnets of a virtual network and provides on-demand connectivity for virtual machines.
Private Endpoints for Azure Storage are Generally Available
Private Endpoints provide secure connectivity to Azure Storage from a Azure virtual network (VNet). On-premises networks can also securely connect to a storage account using a private endpoint when that network is to a VNet using Express Route or VPN. Private Endpoints for Azure Storage are now generally available in all Azure public regions.
Azure Web Application Firewall integration with Azure Content Delivery Network service in preview
Azure Web Application Firewall service protects your web applications from malicious attacks. In addition to Azure Application Gateway and Azure Front Door service, Web Application Firewall is now natively integrated with Azure Content Delivery Network, protecting Content Delivery Network endpoints from common exploits such as SQL injection and cross site scripting (XSS) attacks.
Private Link for different Azure services is available
Azure Private Link is now generally available (GA) for the below services:
Azure Storage
Azure Data Lake Storage Gen 2
Azure SQL Database
Azure Cosmos DB
Azure Synapse Analytics (SQL Data Warehouse)
Azure Key Vault
Azure Database for MySQL
Azure Database for PostgreSQL
Azure Database for MariaDB
Azure Kubernetes Service -> Kubernetes API
In addition, Private Link is now available in preview for the following services:
App Service
Azure Cognitive Search
Event Hub
Service Bus
Azure Relay
Azure Backup
Azure Container Registry
Event Grid -> Topics
Event Grid -> Domains
App Service regional Virtual Network integration
The regional Virtual Network integration feature has now entered general availability (GA) and supports sending all outbound calls into your virtual network. Use features like network NSGs and UDRs against all outbound traffic from your web app.
Azure Shared Disks for clustered applications in preview
Azure Shared Disks is a shared block storage offering, enabling customers to run latency-sensitive workloads without compromising on well-known deployment patterns for fast failover and high availability. Azure Shared Disks are best suited for clustered databases, parallel file systems, persistent containers, and machine learning applications. Azure Shared Disks provide a consistent experience for applications running on Windows or Linux based clusters today.
ACR built-in audit policies for Azure Policy in preview
Azure Container Registry now supports built-in audit policies for Azure Policy.
Preparing for TLS 1.2 in Microsoft Azure
Microsoft Azure recommends all customers complete migration towards solutions that support transport layer security (TLS) 1.2 and to make sure that TLS 1.2 is used by default.
Azure File Sync agent version 6.x will expire on April 21, 2020
On April 21, 2020, Azure File Sync agent version 6.x will be expired and stop syncing. If you have servers with agent version 6.x, update to a supported agent version (7.x or later).
Azure Storage: Append Blob immutability support is generally available
Store business-critical data objects in a non-erasable and non-modifiable state for a user-specified retention interval using immutable storage for Azure Blob storage. Append blobs allow the addition of new data blocks to the end of an object and are optimized for data append operations required by auditing and logging scenarios.
General availability of NVv4 and HBv2-Series virtual machines
General availability of NVv4 virtual machines in South Central US, East US, and West Europe regions. Additional regions are planned in the coming months. With NVv4, Azure is the first public cloud to offer GPU partitioning built on industry-standard SR-IOV technology. HBv2-series VMs for HPC are now available in the Azure West Europe region.
La tendenza ad avere sempre più frequentemente soluzioni nel cloud e architetture ibride impone di adottare elevati standard di sicurezza per il proprio ambiente. Ma come è possibile ottenere un’efficace sicurezza del cloud per Azure e quali best practice è opportuno seguire? In questo articolo vengono riportate in modo sintetico le principali pratiche che è opportuno adottare in Azure per garantire un elevato livello di sicurezza e migliorare le security posture.
Attivazione MFA e restrizioni per gli accessi amministrativi
Per le utenze con diritti amministrativi è opportuno attivare l’autenticazione tramite meccanismi di Multi-factor Authentication (MFA). A questo proposito è molto interessante valutare meccanismi di autenticazione passwordless che prevedono che la password sia sostituita con qualcosa che si possiede più qualcosa che si è o che si conosce.
Microsoft attualmente offre tre distinti scenari di autenticazione passwordless:
Accesso tramite FIDO2 Security keys, da prediligere in scenari dove l’accesso avviene su postazioni condivisi oppure quando non si ha la possibilità di utilizzare un dispositivo mobile.
Azure Active Directory offre la possibilità di attivare meccanismi di MFA, compresa l’autenticazione passwordless. Meccanismi di MFA basati sui messaggi di testo sono più facilmente aggirabili, quindi è bene indirizzarsi su meccanismi di Multi-factor Authentication differenti oppure passwordless.
Ridurre al minimo il numero di persone e il relativo periodo temporale, per l’accesso amministrativo alle risorse Azure, è una pratica da adottare perché riduce la possibilità che un attore malintenzionato ottenga un accesso amministrativo oppure che un utente autorizzato influisca inavvertitamente su una specifica risorsa. Per consentire l’esecuzione di azioni amministrative agli utenti autorizzati si può offrire un accesso privilegiato just-in-time (JIT) alle risorse Azure ed Azure AD. A questo scopo l’adozione del servizio Azure Active Directory (Azure AD) Privileged Identity Management (PIM) che consente di gestire, controllare e monitorare gli accessi alle risorse aziendali è una buona pratica da adottare.
Un altro aspetto chiave da considerare è l’utilizzo di postazioni di lavoro sicure e isolate per i ruoli sensibili. In questo documento ufficiale Microsoft è possibile ottenere maggiori dettagli a riguardo.
Segmentazione e adozione del modello Zero Trust
Il modello di sicurezza, definito Zero trust e in contrasto con i modelli convenzionali basati sulla sicurezza perimetrale, prevede l’adozione di un approccio legato alla micro-segmentazione e alla definizione di perimetri granulari nella propria architettura di rete. Per contenere i rischi di sicurezza è bene adottare una strategia di segmentazione chiara e semplice, che permette alle parti interessate una chiara comprensione, per agevolare un monitor e una gestione efficace. Sarà poi utile assegnare le autorizzazioni necessarie e gli opportuni controlli di rete.
A questo proposito si riporta un design di riferimento per quanto riguarda il modello amministrativo di Azure:
Figura 1 – Reference Design – Azure Administration Model
Nella figura seguente viene mostrato il modello tipico di rete Hub-Spoke, dove l’Hub è una rete virtuale in Azure che funge da punto di connettività verso la rete on-premises e gli Spoke sono le reti virtuali che eseguono il peering con l’Hub e possono essere usate per isolare i carichi di lavoro.
Figura 2 – Reference Enterprise Design – Azure Network Security
Adozione di una opportuna “Firewall Strategy”
L’adozione di una soluzione firewall in ambiente Azure per proteggere e segregare al meglio i flussi di rete è ormai obbligata.
La scelta può prevedere l’adozione di:
Soluzioni Microsoft totalmente integrate nella piattaforma, come Azure Firewall, affiancato dal Web App Firewall (WAF) dell’Application Gateway, un load balancer applicativo (OSI layer 7) per il traffico web, che consente di governare il traffico HTTP e HTTPS delle applicazioni. Il modulo Web Application Firewall (WAF) per le pubblicazioni web consente di ottenere una protezione applicativa, basandosi su regole OWASP core rule sets. Il WAF protegge gli applicativi da vulnerabilità e da attacchi comuni, come ad esempio attacchi X-Site Scripting e SQL Injection. Tali soluzioni sono idonee per la maggior parte degli scenari e offrono funzionalità intrinseche di alta disponibilità e scalabilità oltre che una semplice configurazione e gestione centralizzata.
Soluzioni fornite da vendor di terze parti e disponibili nel marketplace di Azure. Le Network Virtual Appliances (NVAs) sono numerose, possono offrire funzionalità avanzate e consentono di dare una continuità nell’esperienza d’uso rispetto alle soluzioni già attive nell’ambiente on-premises. Tipicamente la configurazione di queste soluzioni è più articolata e il costo è tendenzialmente più elevato rispetto alle soluzioni Microsoft.
Scelta di una soluzione di DDoS Mitigation per gli applicativi critici
Molto importante è la protezione di tutti gli applicativi critici da attacchi informatici di tipologia denial-of-service distribuiti (attacchi DDoS – Distributed Denial of Service). Questi attacchi sono rivolti a far esaurire deliberatamente le risorse di un determinato sistema che eroga un servizio ai client, come ad esempio un sito web ospitato su dei web server, al punto da renderlo non più in grado di erogare il servizio a coloro che lo richiedono in modo legittimo.
In Azure la protezione da attacchi DDoS è disponibile in due differenti tiers: Basic oppure Standard.
Figura 3 – Comparativa delle funzionalità dei tiers disponibili per la protezione DDoS
La protezione Basic è abilitata di default nella piattaforma Azure, la quale effettua costantemente il monitor del traffico e applica in tempo reale delle mitigazioni agli attacchi di rete più comuni. Questo tier fornisce lo stesso livello di protezione adottato e collaudato dai servizi online di Microsoft ed è attiva per gli indirizzi IP Pubblici di Azure (Pv4 e IPv6). Non è richiesta alcun tipo di configurazione per il tier Basic.
L’Azure DDoS Protection di tipologia Standard fornisce delle funzionalità di mitigation aggiuntive rispetto al tier Basic, che sono ottimizzate in modo specifico per le risorse dislocate nelle virtual network di Azure. Le policy di protezione sono auto-configurate e vengono ottimizzate effettuando un monitoraggio specifico del traffico di rete e applicando degli algoritmi di machine learning, che consentono di profilare nel modo più opportuno e flessibile il proprio applicativo studiando il traffico generato. Nel momento in cui vengono superate le soglie impostate nella policy di DDoS, viene in automatico avviato il processo di DDoS mitigation, il quale viene sospeso nel momento in cui si scende al di sotto delle soglie di traffico stabilite. Queste policy vengono applicate a tutti gli IP pubblici Azure (IPv4) associati alle risorse presenti nelle virtual network, come: macchine virtuali, Azure Load Balancer, Azure Application Gateway, Azure Firewall, VPN Gateway e istanze Azure Service Fabric.
Adozione di Azure Security Center
Azure Security Center è una soluzione nel cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano le risorse Azure e workloads in ambienti ibridi. Per migliorare le security posture del proprio ambiente Azure è fondamentale valutare l’adozione di questa soluzione che viene offerta in due possibili tiers:
Free tier. In questo tier Azure Security Center è totalmente gratuito ed effettua un assessment continuo, fornendo delle raccomandazioni relative alla sicurezza dell’ambiente Azure.
Standard tier. Rispetto al tier free aggiunge funzionalità avanzate di rilevamento delle minacce, utilizzando l’analisi comportamentale e l’apprendimento automatico per identificare attacchi e exploit zero-day. Attraverso tecniche di machine learning e tramite la creazione di whitelist è possibile controllare l’esecuzione delle applicazioni per ridurre l’esposizione agli attacchi di rete e ai malware. Inoltre, il livello standard aggiunge la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. Lo standard Security Center Standard supporta diverse risorse Azure tra cui: VMs, Virtual machine scale sets, App Service, SQL servers, e Storage accounts.
Figura 4 – Confronto tra i tiers di Azure Security Center
Azure Security Center assegna un punteggio al proprio ambiente, utile per monitorare il profilo di rischio e cercare di migliorare costantemente le security posture, applicando delle azioni di remediation. Buona norma è verificare con cadenza regolare (almeno mensile) il security score fornito da Azure Security Center e programmare le iniziative finalizzate a migliorare specifici ambiti. Inoltre, è consigliato verificare attentamente gli alert che Security Center nel tier standard genera quando rileva potenziali minacce di sicurezza sulle proprie risorse. Security Center stabilisce le priorità, elenca gli alert, fornisce le informazioni necessarie per esaminare rapidamente i problemi e fornisce consigli su come risolvere eventuali attacchi.
Introdurre la sicurezza durante nelle fasi di sviluppo e rilascio
L’adozione di modelli DevOps per implementare applicazioni e servizi in Azure consentono, oltre che fornire la massima agilità, di ottenere benefici in termini di sicurezza. Nei modelli DevOps è possibile coinvolgere nelle fasi di sviluppo e gestione i team dedicati al controllo della qualità e della sicurezza durante tutto il ciclo di vita dell’applicazione. Utilizzando processi di Infrastructure-as-Code (IaC) è infatti possibile definire e monitorare la conformità su larga scala.
Non utilizzare tecnologie legacy
In ambiente Azure non è consigliata l’adozione delle classiche soluzioni Network Intrusion Detection System (NIDS) e Network Intrusion Prevention Systems (NIPS) in quanto la piattaforma è in grado di filtrare nativamente i pacchetti malformati. Le soluzioni NIDS / NIPS classiche si basano in genere su approcci obsoleti basati sulla firma che possono essere facilmente elusi durante tentativi di attacco e in genere producono un alto tasso di falsi positivi.
Conclusioni
Raggiungere un elevato livello di sicurezza degli ambienti Azure è una sfida importante che deve necessariamente essere vinta e prevede un costante lavoro di controllo, revisione e aggiornamento delle security posture. In questo articolo sono state riportate quelle che sono ritenute le principali best practice di sicurezza date da una diretta esperienza sul campo, che è sempre bene arricchirle adottando ulteriori accorgimenti.
Microsoft will open a datacenter region in Spain to help accelerate digital transformation of public and private entities of all sizes, helping them to innovate, scale and migrate their businesses to the cloud in a secure way.
Microsoft will retire classic IaaS VMs
Because Azure Resource Manager now has all the infrastructure as a service (IaaS) capabilities of Azure Service Management and new advancements, Microsoft will retire classic IaaS VMs on March 1, 2023. Beginning March 1, 2023, customers who are using classic IaaS VMs will no longer be able to start any classic IaaS VMs using ASM. Any remaining VMs in a running or stopped-allocated state will be moved to a stopped-deallocated state. The following Azure services and functionality will not be impacted by this retirement: Cloud Services, storage accounts not used by classic VMs, and virtual networks (VNets) not used by classic VMs.
Azure Virtual Network service endpoint policies feature
Azure Virtual Network service endpoint policies enable you to prevent unauthorized access to Azure Storage accounts from your virtual network. It enables you to limit access to only specific whitelisted Azure Storage resources by applying endpoint policies over the service endpoint configuration.
Azure Load Balancer TCP resets on idle timeout is available
Azure Load Balancer now supports sending bidirectional TCP resets on idle timeout for load balancing rules, inbound NAT rules, and outbound rules. This is available in all regions. Use this ability to help applications gain visibility into when Standard Load Balancer terminates connections due to idle timeout. When enabled, Standard Load Balancer will generate a TCP reset packet to both the client and server side of a TCP connection on idle timeout. This allows applications to behave more predictably, as well as to detect the termination of a connection, remove expired connections, and initiate new connections. CP resets can be enabled on standard load balancers using the Azure portal, Resource Manager templates, CLI, and PowerShell.
Web Application Firewall with Azure Front Door service supports exclusion lists
Web Application Firewall exclusion lists allow you to omit certain request attributes from a rule evaluation. You can use them to fine tune Web Application Firewall policies for your applications.
Azure StorSimple 8000/1200 series will no longer be supported starting December 31, 2022
Microsoft has been expanding the portfolio of Azure Hybrid storage capabilities with new services for data tiering and cloud ingestion, providing more options to customers for storing data in Azure in native formats. In conjunction with this, support for the following StorSimple versions will end December 31, 2022.
Active Directory for authentication on SMB access to Azure File in preview
Azure Files Active Directory (Azure AD) Authentication is in preview. You can use it to mount your Azure Files using Azure AD credentials with the exact same access control experience as on-premises.
HPC-optimized virtual machines are available
Azure HBv2-series Virtual Machines (VMs) are generally available in the South Central US region. HBv2 VMs will also be available in West Europe, East US, West US 2, North Central US, Japan East soon. HBv2 VMs deliver supercomputer-class performance, message passing interface (MPI) scalability, and cost efficiency for a variety of real-world high performance computing (HPC) workloads, such as CFD, explicit finite element analysis, seismic processing, reservoir modeling, rendering, and weather simulation.
A8 – A11 Azure Virtual Machine sizes will be retired on March 1, 2021
Microsoft is retiring A8 – A11 Azure Virtual Machine sizes on March 1, 2021. Starting today, customers with existing A8 – A11 size virtual machines will be able to deploy more of the same size, but new customers will no longer be able to create A8 – A11 VMs. After March 1, 2021, any remaining A8 – A11 size virtual machines remaining in your subscription will be set to a deallocated state. These virtual machines will be stopped and removed from the host. These virtual machines will no longer be billed in the deallocated state.
NDv2-Series VMs are Generally Available
NDv2 GPU VMs for high-end deep learning training and HPC workloads are going GA in East US, South Central US, and West Europe.
NVv4-Series VMs are Generally Available
Microsoft announced general availability of NVv4 Virtual Machines. NVv4 VMs are designed to provide you unprecedented GPU resourcing flexibility. You can now choose VMs with a whole GPU all the way down to 1/8th of a GPU.
Virtual machine scale sets now simpler to manage
Three new capabilities that simplify the overall management of virtual machine scale sets in Azure are now available. New custom scale-in policies for virtual machine scale sets let you specify the order in which virtual machines (VMs) within a scale set are deleted during a scale-in operation based on a set of criteria (such as the newest VM that was added to a scale set). New instance protection policies enable you to protect one or more individual VMs in a scale set. Two new capabilities are provided:
Protect from scale-in blocks instance deletion during scale-in operations.
Protect from scale set actions blocks all scale set operations including upgrades and reimage.
It’s also now possible to receive notifications about instance deletions and to set up a predefined delay timeout for the deletion operation. Notifications are sent through Azure Metadata Service Scheduled Events. Delay timeouts can range between 5 and 15 minutes.
