Archivi categoria: Datacenter Management

Azure IaaS and Azure Stack: announcements and updates (June 2022 – Weeks: 21 and 22)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

DCsv3 and DCdsv3 series Virtual Machines

Confidential computing DCsv3 and DCdsv3-series virtual machines (VMs) are generally available.

Switzerland North Availability Zones

Availability Zones in Switzerland North are made up of three unique, physically separated, locations or “zones” within a single region which bring higher availability and asynchronous replication across Azure regions for disaster recovery protection. Availability Zones give you additional options for high availability for your most demanding applications and services as well as confidence and protection from potential hardware and software failures.

Azure Ebsv5 now available in 13 additional regions

Azure Virtual Machines Ebsv5 and Ebdsv5 are now available in 13 additional regions: South Africa North, France Central, Central India, Korea Central, Germany West Central, UK West, South India, Canada East, Australia Central, Japan West, Switzerland North, Norway East and UAE North.

Azure NC A100 v4 virtual machines for AI

Azure NC A100 v4 series virtual machines (VMs) are now generally available in US East 2, US East, Southeast Asia, and West Europe. These VMs, powered by NVIDIA A100 80GB Tensor Core PCIe GPUs and 3rd Gen AMD EPYC™ Milan processors, improve the performance and cost-effectiveness of a variety of GPU performance-bound real world AI training and inferencing workloads. 

Storage

Storage optimized Azure VMs deliver higher performance for data analytics

Microsoft is announcing the general availability of new storage optimized Azure Virtual Machines. The new Lasv3 and Lsv3 VM series have been engineered to run workloads that require high throughput and high IOPS, including big data applications, SQL and NoSQL databases, distributed file systems, data analytics engines, and more. 

Networking

Azure Bastion IP based connection

Azure Bastion now supports connectivity to Azure virtual machines or on-premises resources via specified IP address. When IP based connection feature is enabled, Azure Bastion can be used to RDP/SSH into an on-premises resource over ExpressRoute and Site-to-Site VPN.

Manage Azure Web Application Firewall policies in Azure Firewall Manager (preview)

Azure Firewall Manager now supports Azure Web Application Firewall (Azure WAF) policies for application delivery platforms, Azure Front Door, and Azure Application Gateway.

Enhanced IPv6 functionality for MultiValue profiles in Azure Traffic Manager

Azure Traffic Manager now enables you to specify minimum children property separately for IPv4 and IPv6 endpoints for MultiValue profiles.

Azure Private Link support in Azure API Management

With Azure Private Link support in Azure API Management, you can now integrate clients in a virtual network privately.

Azure Stack

Azure Stack HCI single-node

At Build 2022, Microsoft announces the new single-node offering that provides additional options for business scenarios with different requirements.  The new single-node Azure Stack HCI fulfills growing hybrid infrastructure needs in remote locations while maintaining the innovation of native integration with Azure Arc. Specifically, this new configuration offers flexibility to deploy the stack in smaller spaces and with less processing needs, optimizing resources while still delivering quality and consistency. 

Additional benefits of Azure Stack HCI single-node include:

  • Smaller Azure Stack HCI solutions for environments with physical space constraints or that don’t require built-in resiliency, like retail stores and branch offices.
  • A smaller footprint reduces hardware and operational costs. 
  • Solutions can be built to scale, ranging from single-node up to 16 nodes if needed.

Azure Management services: le novità di maggio 2022

Per rimanere costantemente aggiornati sulle novità riguardanti gli Azure Management services viene rilasciato mensilmente questo riepilogo, che consente di avere una panoramica delle principali novità del mese. In questo articolo troverete gli annunci riportati in modo sintetico e accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Govern

Azure Arc

Supporto per i private endpoint per Azure Arc-enabled servers

I private endpoint per i server abilitati per Azure Arc consentono di gestire i server Windows e Linux da Azure senza dover inviare traffico di rete tramite Internet, garantendo così una maggiore sicurezza. I server possono essere configurati per l’uso di un endpoint privato associandoli a un Azure Arc Private Link Scope e connettendo la rete on-premises ad una rete virtuale di Azure usando una VPN site-to-site oppure Express Route.

Azure Cost Management

Aggiornamenti relativi ad Azure Cost Management and Billing

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione, tra i quali:

Secure

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

Protect

Azure Backup

Supporto per le macchine virtuali di Azure con tecnologie trusted launch 

Trusted launch è un metodo semplice, per migliorare la sicurezza delle macchine virtuali di seconda generazione, che consente di ottenere una protezione da tecniche di attacco avanzate, combinando tecnologie che possono essere abilitate in modo indipendente, come secure boot e la versione virtualizzata di Trusted Platform Module (vTPM). Azure Backup ha introdotto il supporto per la protezione delle VM di Azure con abilitate le funzionalità di trusted launch.

Supporto per i dischi che utilizzano la funzionalità di Write Accelerator

Azure Backup è ora in grado di proteggere i dischi con abilitata la funzionalità di Write Accelerator. Questi dischi sono ampiamente utilizzati dai clienti Azure con macchine virtuali (VM) serie M per migliorare la latenza I/O delle scritture rispetto allo storage Azure Premium.

Migrate

Azure Migrate

Nuove funzionalità di migrazione per le applicazioni (preview)

Lo strumento Azure Migrate è stato integrato con funzionalità aggiuntive che semplificano lo spostamento delle applicazioni dagli ambienti on-premises verso Azure App Service e verso il servizio Azure Kubernetes. Le funzionalità di migrazione bulk di Azure App Service consente di:

  • Fare il discovery e l’assessment delle app Web ASP.NET, classificando quali app sono pronte per la migrazione
  • Suggerire una destinazione per la migrazione
  • Fare il discovery e l’assessment per la migrazione delle applicazioni Java Tomcat verso i servizi App Service Linux e verso Azure Kubernetes Service.
  • Portare nei container le app Web ASP.NET e spostale in container Windows su App Service oppure in Azure Kubernetes Service.

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Soluzioni SAP in ambiente Azure: opportunità e vantaggi da cogliere

Microsoft e SAP possono vantare una partnership di oltre 25 anni dedicata a garantire il successo del cliente nell’adozione delle loro soluzioni. Alla luce degli ultimi annunci fatti, la sinergia tra questi colossi informatici è ora principalmente focalizzata nell’aiutare i clienti ad utilizzare SAP in ambiente Microsoft Azure, in modo da poter crescere ed innovare ancora più velocemente. In questo articolo vengono riportate le principali opportunità e i vantaggi che si possono ottenere nell’eseguire i workload SAP in Azure.

Le ragioni per eseguire i workload SAP in Azure

Diversi sono le ragioni che possono spingere un cliente ad utilizzare Azure, piuttosto che qualsiasi altro cloud pubblico, per l’esecuzione dei workload SAP:

Figura 1 – Principali ragioni per eseguire i workload SAP in Azure

Nei paragrafi seguenti verranno approfondite le quattro principali ragioni che fanno emergere Azure come una piattaforma ideale per ospitare i workload SAP.

Azure è una piattaforma cloud collaudata e certificata per SAP

Con Azure si possono ottenere facilmente agilità ed efficienza grazie ad una piattaforma cloud collaudata e certificata SAP. Infatti, Azure consente di eseguire le applicazioni SAP mission-critical con le prestazioni, la scalabilità e l’affidabilità richieste dalle realtà aziendali più esigenti.

Azure è disponibile in oltre 65 aree geografiche in tutto il mondo, più di qualsiasi altro provider di servizi cloud, e Microsoft detiene una delle più grandi reti globali, con oltre 175.000 miglia di fibra (su terra e sottomarina). Inoltre, sono presenti oltre 160 edge site e pairing point che consentono ai clienti di estendere facilmente il loro networking in modalità ibrida.

La mappa seguente delinea la distribuzione di Azure a livello globale:

Figura 2 – Azure su scala mondiale

L’elenco delle region di Azure e degli edge site è in continua espansione.

Microsoft, avendo lavorato a stretto contatto con SAP e con i propri clienti, è ora in grado di mettere a disposizioni un’ampia gamma di opzioni per attivare macchine virtuali certificate SAP. Infatti, non importa quanto grande o piccolo sia il workload SAP e se si sta eseguendo SAP su SQL, Oracle oppure SAP HANA, in Azure si ha sempre la possibilità di scegliere l’opzione più adeguata alle proprie esigenze. Azure è inoltre stato il ​​primo cloud a introdurre soluzioni Bare Metal mediante istanze SAP HANA Large nell’ormai lontano 2016 e ora può vantare la possibilità di attivare istanze Optane Large.

Figura 3 – Opzioni scalabili per i workload SAP

Oltre alla scalabilità, è importante tenere in considerazione anche la disponibilità dei workload SAP. Con Azure si hanno possono valutare opzioni da vero leader del settore, spaziando dal 99,9% di SLA per un sistema non mission-critical su una singola macchina virtuale, fino ad arrivare al 99,99% di SLA per una coppia di macchine virtuali distribuite su diverse availability zone di Azure. Inoltre, è possibile contemplare piani di disaster recovery utilizzando region differenti di Azure.

Figura 4 – Opzioni da leader del settore per SLA ed alta disponibilità

I workload SAP, oltre a richiedere alte prestazioni dal punto di vista computazionale, necessitano anche storage ad alte prestazioni per la persistenza e, nel caso di AnyDB, anche per l’elaborazione delle transazioni. Anche in ambito storage, Azure è in grado di offrire differenti opzioni in grado di soddisfare le importanti esigenze di prestazioni SAP, fino ad arrivare all’adozione degli Azure Ultra Disks, anch’essi certificati per SAP HANA. Coloro che utilizzano NetApp in ambiente on-premises per i workload SAP, al fine di garantire lo stesso set di funzionalità, possono valutare l’adozione di Azure NetApp Files, l’offerta di archiviazione bare metal creata da Microsoft e NetApp, che risulta certificata per la scalabilità orizzontale della VM SAP HANA con un nodo di standby.

Figura 5 – Opzioni storage per le esigenti prestazioni di SAP

La gestione dell’ambiente IT, sia nel cloud sia in ambiente on-premises, è complessa e impegnativa. Azure offre un set completo di servizi e strumenti per organizzare, gestire e governare macchine fisiche e sistemi virtuali presenti in ambienti differenti.

Figura 6 – Opzioni bult-in in Azure per il management delle risorse SAP

In particolare, Azure offre per i workload SAP le seguenti possibilità:

  • Monitoraggio: mediante Azure Monitor Log Analytics, Application Insights, Network Watcher e altri strumenti di monitoraggio. Con Azure Monitor per SAP HANA è possibile combinare i dati dei sistemi SAP HANA con i dati del resto dell’infrastruttura.
  • Automazione: possibilità di creare automazioni e di standardizzare i processi e le tecniche di deployment.
  • Alta disponibilità: possibilità di utilizzare le soluzioni Azure Backup ed Azure Site Recovery per i workload SAP. In particolare, Azure Backup consente di eseguire facilmente il backup ed il ripristino dei database SAP HANA in esecuzione su macchine virtuali di Azure ed è certificato BackInt da SAP. Per maggiori informazioni in merito ai backup di SAP HANA a bordo di VMs Azure e possibile consultare la documentazione ufficiale Microsoft.
  • Governance: nell’ambito della governance dei workload SAP in Azure è possibile affrontare le seguenti discipline:
    • Gestione dei costi
    • Baseline di sicurezza e di compliance
    • Gestione dell’Identità
    • Accelerazione dei processi di deployment e coerenza delle risorse create

Tutte queste soluzioni sono integrate nella piattaforma Azure e non sono necessarie soluzioni di terze parti.

Azure offre soluzioni di sicurezza e di conformità di prim’ordine

Microsoft fornisce Azure ai clienti come piattaforma cloud, ma allo stesso tempo, essendo anche un fornitore in ambito security, può garantire funzionalità di sicurezza e di conformità di prim’ordine. L’approccio di Microsoft alla sicurezza in Azure ha le seguenti caratteristiche:

  • Integrato: le funzionalità di sicurezza sono perfettamente integrate nella piattaforma Azure, in tutte le risorse cloud e su tutti i livelli dell’architettura. L’attivazione è semplice e offre una gestione centralizzata, con la possibilità di gestire automazioni per rispondere efficacemente agli attacchi di sicurezza.
  • Moderno: le funzionalità di sicurezza sono basate anche sull’intelligenza artificiale, analizzando trilioni di segnali raccolti nell’intero portafoglio di sicurezza Microsoft, e sfruttano al massimo la scalabilità del cloud.
  • Olistico: non si limita alla sola protezione di Azure, ma si estende all’intera organizzazione. Funziona adattandosi all’ambiente da proteggere, anche per ambienti ibridi e distribuiti su più cloud e su diverse piattaforme, fornendo controlli avanzati ed una visibilità globale.

Microsoft offre livelli di sicurezza che agiscono su differenti fronti:

Figura 7 – Ambiti e relative soluzioni di sicurezza

Oltre alla sicurezza dell’infrastruttura, è noto come l’identità sia al centro della sicurezza e pertanto deve essere opportunamente gestita. Con Azure Active Directory, si ha la possibilità di federare l’ambiente Active Directory on-premises e di offrire funzionalità di Single Sign-On per tutte le applicazioni.

Figura 8 – Azure Active Directory per gestire la sicurezza delle identità

Ciò significa che è possibile offrire agli utenti un’esperienza di accesso unica e sicura a tutte le applicazioni aziendali, sia in locale sia nel cloud. In particolare, per un approfondimento sui possibili scenari e su come gestire le utenze quando in azienda si ha Microsoft e SAP, vi rimando a questo interessante articolo “SAP and Microsoft user management”.

Oltre alla sicurezza, ci sono altri punti di forza di Azure che riguardano la privacy e la trasparenza su come Microsoft gestisce l’ambiente cloud. Infatti, Microsoft ha un ampio portafoglio di conformità e, con oltre 90 certificazioni internazionali e specifiche del settore, si pone come leader in questo settore.

Figura 9 – Esempio di alcune certificazioni di conformità di Azure

Per maggiori informazioni a riguardo è possibile consultare l’Azure Trust Center.

Azure abilita all’innovazione applicativa

Una volta che i clienti eseguono i workload SAP in ambiente Azure in modo sicuro e conforme, possono gestire al meglio l’integrazione dei dati e delle applicazioni SAP con i dati non SAP, in modo da poter ottenere maggiori informazioni e promuovere una trasformazione digitale. I dati sono una risorsa strategica per l’azienda e, come dimostra il rapporto Harvard Business Review Analytic Services, le aziende che abbracciano una cultura basata sui dati sperimentano un miglioramento di quattro volte nelle prestazioni dei ricavi e una migliore soddisfazione dei clienti.

Si riporta un tipico percorso che può fare un cliente che utilizza SAP in ambiente Azure:

Figura 10 – Percorso per aumentare il valore aziendale con SAP in Azure

Nella prima fase viene dato un valore maggiore ai dati. Infatti, in Azure i clienti possono usare tecnologie avanzate per fare analisi dei dati e soluzioni di machine learning per trarre vantaggio dai tradizionali silos di dati presenti nella loro organizzazione.

In una fase successiva è possibile avviare l’innovazione applicativa. Infatti, la trasformazione digitale si può ottenere anche dall’integrazione delle applicazioni SAP con altri ambienti, come Teams oppure Azure IoT, andando a creare nuove esperienze utente.

Uno dei motivi per i quali i clienti scelgono di eseguire le soluzioni SAP in Azure è la possibilità di integrare questo ambiente con altre soluzioni nell’ecosistema di prodotti Microsoft, che permette di accelerare l’adozione della tecnologia cloud ed il tempo di innovazione.

Figura 11 – Integrazione delle soluzioni SAP nell’ecosistema Microsoft

Partnership di fiducia e consolidata in grado di fornire soluzioni SAP nel cloud di classe enterprise

La cloud partnership tra SAP e Microsoft è in grado di offrire delle solide basi per sviluppare un progetto strutturato di migrazione dei sistemi ERP in ambiente Microsoft Azure. Le due aziende lavorano a stretto contatto seguendo un percorso congiunto di innovazione e di integrazione.

Figura 12 – Elementi a valore dati dalla partnership

Inoltre, il fatto che SAP ha scelto Microsoft Azure per migrare i propri processi aziendali principali nel cloud pubblico e allo stesso modo, Microsoft esegue i principali processi aziendali su SAP in ambiente Azure è un importante segnale di collaborazione e di fiducia reciproca. Infine, è stato sviluppato un modello di supporto collaborativo e i 25 anni di supporto ai clienti danno la certezza che ci sia tutta l’esperienza necessaria anche per supportare SAP in ambiente Microsoft Azure.

Benefici

Molti clienti che effettuano una migrazione dei workload su Azure segnalano risparmi significati sui costi:

Figura 13 – Ottimizzazione dei costi SAP grazie ad Azure

Questi risparmi sono dati principalmente da:

  • Assenza di over-provisioning: spostando i workload SAP in Azure, i clienti ottengono dei risparmi passando da un modello CapEx e con over-provisioning, ad un modello OpEx flessibile, in cui pagano solo per ciò che realmente utilizzano e necessitano.
  • Attività automatizzate: eliminando la necessità di gestire i comuni data center e di manutenere l’hardware, i clienti sono in grado di dedicare il personale IT per le attività a maggior valore aggiunto.

Oltre ad efficientare i costi, l’IT può rispondere più rapidamente al business e contribuire a ottenere risultati aziendali migliori. Tra i vantaggi immediati troviamo un generale miglioramento delle prestazioni ed una maggiore flessibilità per scalare dinamicamente. Infine, spostando i dati nel cloud, è possibile semplificare i processi di analisi ed avere maggiori capacità di innovazione.

Alcuni casi di successo

Sono numerosi i clienti, di ogni settore e da ogni parte del mondo, che eseguono le loro soluzioni SAP in ambiente Microsoft Azure per gestire le loro attività core business.

Figura 14 – Clienti che eseguono soluzioni SAP in Azure

Analizzando questi clienti si nota la presenza di un numero elevato di aziende che rientrano in Fortune 500, la lista annuale compilata e pubblicata dalla rivista Fortune che classifica le 500 maggiori imprese societarie statunitensi misurate sulla base del loro fatturato.

Infine, per esplorare i risultati aziendali e i risparmi sui costi che le aziende ottengono con SAP in Azure è possibile consultare questo studio, commissionato e condotto da Forrester Consulting. Lo studio mostra come un’organizzazione è stata in grado di ottenere un ritorno sull’investimento previsto del 112% in tre anni.

Conclusione

Coloro che gestiscono workload SAP on-premises possono avere perplessità e preoccupazioni quando si chiedono se il cloud può davvero soddisfare le esigenze di questi ambienti mission-critical. Microsoft Azure, grazie alle possibilità offerte in termini di scalabilità, disponibilità e prestazioni è sicuramente la scelta ideale per garantire un’esperienza eccezionale nell’esecuzione dei workload SAP. Inoltre, la capacità di gestire queste infrastrutture con strumenti semplici, di assicurare un ecosistema sicuro e solido per i dati SAP, unito ai potenziali risparmi sui costi, sono tutti elementi che proclamano Azure come piattaforma ideale per ospitare i workload SAP, più di qualsiasi altro cloud pubblico.

L’evoluzione di un file server tradizionale grazie alle potenzialità offerte da Azure

lI file server continua ad essere un componente strategico e fortemente utilizzato nei datacenter dei nostri clienti. Spesso si cercano soluzioni moderne che permettano di centralizzare in modo efficace e funzionale le cartelle di rete della propria infrastruttura, mantenendo allo stesso tempo caratteristiche in termini di performance, compatibilità e flessibilità. In questo articolo vengono esplorate le caratteristiche della soluzione Azure File Sync, che consente di beneficiare delle potenzialità offerte dal cloud pubblico Microsoft Azure per quanto riguarda la sincronizzazione, l’erogazione e la protezione dei contenuti dei file server.

Le sfide dei file server tradizionali

Utilizzando dei file server in modalità tradizionale per fornire agli utenti un repository dove memorizzare i contenuti, spesso ci si trova nelle condizioni di:

  • adottare soluzioni legacy che risultano poco flessibili e poco efficienti
  • dover ospitare presso i propri datacenter un quantitativo elevato di cartelle di archivio raramente accedute
  • erogare in modo poco efficace dei contenuti in contesti multi-site
  • avere difficoltà nel ripristinare rapidamente l’erogazione del servizio in caso di guasti, problemi di sicurezza o interruzioni importanti

I principi di funzionamento di Azure File Sync

Azure File Sync è una soluzione che consente di centralizzare le cartelle di rete della propria infrastruttura in Azure Files, mantenendo la flessibilità, le prestazioni e la compatibilità di un file server Windows tradizionale. Sebbene ci sia la possibilità di scegliere di conservare una copia completa dei propri dati in ambiente on-premises, Azure File Sync consente di trasformare Windows Server in una “cache” per accedere rapidamente ai contenuti presenti su una determinata Azure file share: in questo caso tutti i file sono presenti in cloud, mentre i file più recenti sono presenti anche sul file server on-premises.

Figura 1 – Architettura di Azure File Sync

L’accesso locale ai propri dati può avvenire con qualsiasi protocollo disponibile in Windows Server, come SMB e NFS. Inoltre, si ha la possibilità di disporre di più server “cache” dislocati in location geografiche differenti. Infine, è consentito accedere direttamente ai contenuti presenti sulla File Share da altre risorse Azure (IaaS e PaaS).

Figura 2 – Accesso ai contenuti in Azure File share

Vantaggi di Azure File Sync

Tra i benefici che si possono ottenere adottando la soluzione Azure File Sync troviamo:

  • Cloud tiering: vengono mantenuti localmente solo i dati acceduti di recente. Questo consente di controllare la quantità di spazio disco utilizzata on-premises per la memorizzazione dei contenuti. Di conseguenza, si ottiene una riduzione dei costi per lo storage locale, in quanto localmente saranno archiviati solo una parte dei dati. I file nel cloud possono sempre essere richiamati rapidamente on-demand, senza interruzioni per l’utente, garantendo così un’esperienza ottimale.
  • Sincronizzazione e accesso multi-site: si ha la possibilità di effettuare la sincronizzazione tra differenti site, consentendo di accedere in scrittura agli stessi dati tra differenti Windows Server ed Azure Files.
  • Disaster recovery e business continuity: si ha la possibilità di effettuare in modo immediato il ripristino dei metadati dei file e di richiamare solamente i dati necessari, per velocizzare le operazioni di riattivazione del servizio in scenari di Disaster Recovery. Inoltre, Azure File offre diverse possibilità per quanto riguarda la ridondanza dei dati.
  • Backup lato cloud: viene a decadere la necessità di effettuare il backup dei dati on premises. La protezione dei contenuti è possibile farla direttamente nel cloud, come descritto nel paragrafo seguente. Questo comporta che è possibile ottenere una riduzione dei costi per quanto riguarda l’hardware ed il software utilizzato per effettuare il backup on-premises.

La protezione di Azure File share

La possibilità di attivare la funzionalità di Cloud Tiering rende Azure File Sync una soluzione particolarmente interessante, ma questo aspetto in particolare impone di fare le dovute considerazioni per quanto concerne la strategia di protezione dei dati. Così come per le soluzioni antivirus, le soluzioni di backup potrebbero causare il richiamo di file archiviati nel cloud tramite la funzionalità di Cloud Tiering. Microsoft consiglia di adottare una soluzione di backup cloud per eseguire il backup di Azure File share anziché una soluzione di backup locale. Tra i vari workload supportati da Azure Backup, rientra anche Azure Files:

Figura 3 – Panoramica di Azure Backup e delle sue funzionalità

Azure Backup utilizza diverse tecnologie di backup per ciascun workload che è in grado di proteggere. Scendendo nel dettaglio la protezione delle Azure File share utilizzate da Azure File Sync può avvenire utilizzando Azure Backup, secondo la seguente architettura:

Figura 4 – Architettura per la protezione delle Azure File share

Per maggiori dettagli a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Vantaggi della protezione delle Azure File share con Azure Backup

Il processo di protezione di Azure File share mediante Azure Backup offre i seguenti vantaggi:

  • Zero infrastructure: non è necessaria alcuna infrastruttura per attivare la protezione dell’ambiente.
  • Sicurezza: Azure Backup garantisce che i dati di backup vengano archiviati in modo sicuro sfruttando le funzionalità di sicurezza integrate della piattaforma Azure come RBAC e crittografia. Inoltre, con la funzionalità di soft-delete si ottiene una protezione avanzata da eventuali tentativi accidentali e dannosi di eliminazione dei backup.
  • Personalizzazione delle retention policy: è possibile configurare i backup con politiche di conservazione dei dati giornaliere, settimanali, mensili ed annuali, in base alle proprie esigenze.
  • Funzionalità di gestione integrate: è possibile pianificare i backup e specificare il periodo di retention desiderato in modo totalmente integrato nella piattaforma.
  • Ripristino istantaneo: il backup delle Azure File share usa gli snapshots, questo consente di selezionare solo i file che si desidera ripristinare istantaneamente.
  • Alert e report: è possibile configurare alert a fronte di operazioni di backup e ripristino che presentano errori. Si può inoltre utilizzare la soluzione di reportistica fornita da Azure Backup per ottenere informazioni dettagliate sui processi di backup.

Conclusioni

Grazie all’adozione di Azure File Sync si ha la possibilità di evolvere i file server tradizionali con funzionalità moderne e funzionali come il cloud tiering, la sincronizzazione tra più site, il DR rapido, l’accesso diretto in ambiente cloud e l’integrazione con il backup nel cloud.

Come affrontare la migrazione del datacenter in Azure

L’adozione di soluzioni e servizi nel cloud pubblico è in rapido e costante aumento e questo aumento è dato principalmente dal fatto che molte organizzazioni si sono rese conto che spostare workload esistenti in Azure può portare vantaggi significativi. Tra questi troviamo la capacità di distribuire rapidamente le applicazioni consentendo di beneficiare di un’infrastruttura presente su scala globale, la riduzione dei requisiti e dei costi di manutenzione e l’ottimizzazione delle prestazioni. In questo articolo saranno esaminati i principali aspetti da prendere in considerazione al fine di adottare un approccio strategico per quanto riguarda la migrazione della propria infrastruttura IT in Azure e come, grazie proprio a questo approccio, sia possibile trarre beneficio di tutti i vantaggi del cloud pubblico di Microsoft.

Principali fattori scatenanti per la migrazione

Tra i principali aspetti che portano i clienti ad affrontare una migrazione dei propri workload verso soluzioni cloud troviamo:

  • le scadenze dei contratti dei data center in uso;
  • la necessità di effettuare velocemente integrazioni a fronte di nuove acquisizioni;
  • l’esigenza urgente di capacità e di risorse;
  • il bisogno di mantenere aggiornato il software e l’hardware in utilizzo;
  • la volontà di rispondere efficacemente a potenziali minacce alla sicurezza;
  • le esigenze riguardanti la conformità (ad es. GDPR);
  • la necessità di innovare le proprie applicazioni e di renderle disponibili più velocemente;
  • la fine del fine del supporto software per determinati prodotti e la necessità di ottenere gratuitamente aggiornamenti di sicurezza estesi, sia per Windows Server 2008/R2, sia per Windows Server 2012/R2, oltre alle versioni corrispondenti di SQL Server.

Figura 1 – Principali fattori scatenanti per la migrazione

Ritrovarsi in almeno uno di questi fattori scatenanti che potrebbero avviare un processo di migrazione è molto comune. Per intraprendere nel migliore dei modi questa migrazione è necessario tenere in considerazione quanto riportato nei paragrafi successivi.

Il percorso di adozione di soluzioni cloud

Nel percorso di adozione di soluzioni cloud definito nel Microsoft Cloud Adoption Framework per Azure emergono sei azioni principali che è opportuno prendere in considerazione:

  • Strategy definition: definizione della “business justification” e dei risultati attesi.
  • Plan: allineamento del piano di adozione del cloud ai risultati aziendali, tramite:
    • Inventario del patrimonio digitale: catalogazione dei workload, applicazioni, origini dati, macchine virtuali e altre risorse IT e valutazioni per determinare il modo migliore per ospitarli nel cloud.
    • Creazione di un piano di adozione del cloud assegnando la priorità ai workload in base al loro impatto aziendale e alla complessità tecnica.
    • Definizione delle competenze e delle esigenze di supporto, per garantire che l’azienda sia preparata per il cambiamento e per le nuove tecnologie.
  • Ready: preparazione dell’ambiente cloud.
  • Adopt: implementazione delle modifiche desiderate nei processi IT e aziendali. L’adozione può avvenire tramite:
    • Migrazione: si concentra sullo spostamento delle applicazioni locali esistenti nel cloud in base a un processo incrementale.
    • Innovazione: si concentra sulla modernizzazione del patrimonio digitale per guidare l’innovazione aziendale e di prodotto. I moderni approcci all’implementazione, alle operations e alla governance dell’infrastruttura consentono di colmare rapidamente il divario tra lo sviluppo e le operations.
  • Govern: valutazione ed implementazione delle best practices in ambito governance.
  • Manage: implementazione delle linee operative e delle best practice.

Azure Landing Zone

Indipendentemente dalla strategia di migrazione che si decide di adottare è opportuno predisporre la Landing Zone, che rappresenta, nel percorso di adozione del cloud, la destinazione in ambiente Azure. Si tratta di un’architettura con scalabilità orizzontale progettata per consentire al cliente di gestire ambienti cloud funzionali, mantenendo al tempo stesso le procedure consigliate per la sicurezza e la governance. L’architettura della Landing Zone deve essere definita in base ai requisiti aziendali e ai requisiti tecnici necessari.

Figura 2 – Esempio concettuale di una Azure landing zone

Sono disponibili diverse opzioni per implementare la Landing Zone, grazie alle quali sarà possibile soddisfare le esigenze di deployment ed operatività del portfolio cloud.

Un approccio strutturato e metodologico e le strategie di migrazione

Diversi sono i percorsi di adozione delle soluzioni in Azure. Per affrontare nel migliore dei modi ciascuno di questi percorsi è consigliato elaborare a priori un business case completo ed un piano di progetto, contenente le informazioni sui vantaggi e sui costi (TCO) dello spostamento dei workload sul cloud Microsoft Azure, nonché raccomandazioni su come ottimizzare il modello di utilizzo dei servizi Microsoft Azure.

Figura 3 – Percorsi di adozione delle soluzioni cloud

Basandosi sulla strategia cloud dell’azienda e sugli obiettivi generali di business, è opportuno esaminare la distribuzione e l’utilizzo dei workload in uso e valutare il relativo stato “cloud-ready” per determinare le opzioni migliori e le modalità più opportune (lift&shift, refactor, rearchitect e rebuild) in ottica di consolidamento e migrazione ai servizi cloud di Microsoft Azure.

Figura 4 – Possibili strategie di migrazione

* Queste strategie di migrazione sono riportate da Gartner research. Gartner definisce anche una quinta strategia chiamata " Replace".

Nei paragrafi seguenti vengono riportate le principali strategie di migrazioni che possono risultare utili.

Rehost application (i.e., lift & shift)

Si tratta di ridistribuire un’applicazione esistente su una piattaforma cloud senza modificarne il codice. L’applicazione viene migrata “così com’è”, il che fornisce vantaggi cloud di base senza dover affrontare un rischio elevato e senza dover sostenere i costi necessari per apportare modifiche al codice applicativo.

Questa tecnica di migrazione viene solitamente utilizzata quando:

  • Si ha la necessità di spostare rapidamente le applicazioni da on-premise al cloud
  • Quando l’applicazione è necessaria, ma l’evoluzione delle sue capacità non risulta una priorità aziendale
  • Per applicazioni che sono già state progettate per sfruttare la scalabilità di Azure IaaS
  • In presenza di requisiti specifici dell’applicazione oppure della base dati, che possono essere soddisfatti solo utilizzando delle macchine virtuali IaaS in ambiente Azure.
Esempio

Spostamento di un’applicazione line of business a bordo di macchine virtuali che risiedono in ambiente Azure.

Refactor application (i.e., repackaging)

In questa strategia di migrazione sono previste modifiche minimali del codice dell’applicazione oppure modifiche alle configurazioni, necessarie per ottimizzare l’applicazione per Azure PaaS e sfruttare al meglio il cloud.

Questa tecnica di migrazione viene solitamente utilizzata quando:

  • Si vuole sfruttare una base di codice esistente
  • La portabilità del codice è un elemento importante
  • L’applicazione può essere facilmente pacchettizzata per essere eseguita in ambiente Azure
  • L’applicazione deve essere più scalabile e distribuibile in modo veloce
  • Si vuole promuovere l’agilità aziendale mediante un’innovazione continua (DevOps)
Esempio

Si effettua il refactoring di una applicazione esistente adottando servizi come App Service oppure Container Services. Inoltre, si effettua il refactoring di SQL Server in Azure SQL Database.

Rearchitect application

La tecnica di ri-progettazione consiste nel modificare oppure estendere l’architettura e la base di codice dell’applicazione esistente, andandola ad ottimizzare per la piattaforma cloud e garantendo così una migliore scalabilità.

Questa tecnica di migrazione viene solitamente utilizzata quando:

  • L’applicazione necessita di importanti revisioni per incorporare nuove funzionalità oppure per lavorare in modo più efficace su una piattaforma cloud
  • Si vogliono sfruttare gli investimenti fatti nelle applicazioni esistenti
  • Si ha la necessità di ridurre al minimo la gestione delle VMs nel cloud
  • Si intende soddisfare i requisiti di scalabilità in modo conveniente
  • Si vuole promuovere l’agilità aziendale mediante un’innovazione continua (DevOps)
Esempio

Scomposizione di un’applicazione monolitica in microservizi in ambiente Azure che interagiscono tra loro e sono facilmente scalabili.

Rebuild application

Il rebuild dell’applicazione da zero prevede l’utilizzo di tecnologie cloud-native su Azure PaaS.

Questa tecnica di migrazione viene solitamente utilizzata quando:

  • Si ha la necessita di uno sviluppo rapido e l’applicazione esistente è troppo limitante in termini di funzionalità e durata
  • Si vogliono sfruttare le nuove innovazioni presenti nel cloud come serverless, Intelligenza artificiale (AI) e IoT
  • Si dispone delle competenze necessarie per creare nuove applicazioni cloud-native
  • Si vuole promuovere l’agilità aziendale mediante un’innovazione continua (DevOps)
Esempio

Creazione di applicazioni green field con tecnologie cloud native innovative, come Azure Functions, Logic Apps, Cognitive Service, Azure Cosmos DB ed altro ancora.

Azure Cloud Governance

Nell’adozione di successo dei servizi nel cloud pubblico, oltre ad essere richiesto un approccio strutturato e metodologico, diventa fondamentale adottare una precisa strategia per migrare non solo le applicazioni, ma anche le pratiche di governance e di gestione, adeguandole in modo opportuno.

Per questa ragione diventa fondamentale mettere in atto un processo di Cloud Technical Governance attraverso il quale è possibile garantire al Cliente un utilizzo efficace ed efficiente delle risorse IT in ambiente Microsoft Azure, al fine di poter raggiungere i propri obiettivi. Per farlo è necessario applicare controlli e misurazioni utili ad aiutare il cliente a mitigare i rischi e creare dei confini. Le politiche di governance, all’interno dell’ambiente del Cliente, fungeranno anche da sistema di allarme preventivo per rilevare potenziali problemi.

Conclusioni

Il processo di trasformazione digitale che interessa le realtà aziendali spesso prevede la migrazione dei workload ospitati presso i propri datacenter verso il cloud per ottenere migliori risultati per quanto concerne la governance, la sicurezza e l’efficienza dei costi. L’innovazione data dalla migrazione verso il cloud diventa frequentemente una priorità aziendale, per questo motivo è opportuno adottare un proprio approccio strutturato, per affrontare vari scenari di migrazione, che consente di ridurre la complessità ed i costi.

Azure IaaS and Azure Stack: announcements and updates (May 2022 – Weeks: 17 and 18)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Lab Services April 2022 update (preview)

IT departments, administrators, educators, and students can utilize the following updated features in Azure Lab Services:

  • Enhanced lab creation and improved backend reliability
  • Access performance
  • Extended virtual network support
  • Easier labs administration via new roles
  • Improved cost tracking via Azure Cost Management service
  • Availability of PowerShell module
  • .NET API SDK for advanced automation and customization
  • Integration with Canvas learning management system

Storage

Azure File Sync agent v15 

Azure File Sync agent v15 is available and it’s now on Microsoft Update and Microsoft Download Center.

Improvements and issues that are fixed:

  • Reduced transactions when cloud change enumeration job runs
  • View Cloud Tiering status for a server endpoint or volume
  • New diagnostic and troubleshooting tool
  • Immediately run server change enumeration to detect files changes that were missed by USN journal
  • Miscellaneous improvements

More information about this release:

  • This release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 installations.
  • A restart is required for servers that have an existing Azure File Sync agent installation if the agent version is less than version 12.0.
  • The agent version for this release is 15.0.0.0.
  • Installation instructions are documented in KB5003882.

Object replication on premium blob storage and rule limit increased

Object replication now supports premium block blobs to replicate your data from your blob container in one storage account to another anywhere in Azure. The destination storage account can be a premium block blob or a general-purpose v2 storage account.

You can also specify up to 1000 replication rules (increased from 10) for each replication policy for both general-purpose v2 and premium block blob storage accounts.  

Object replication unblocks a set of common replication scenarios for block blobs: 

  • Minimize latency: have your users consume the data locally rather than issuing cross-region read requests.  
  • Increase efficiency: have your compute clusters process the same set of objects locally in different regions. 
  • Optimize data distribution: have your data consolidated in a single location for processing/analytics and then distribute only resulting dashboards to your offices worldwide. 
  • Optimizing costs: after your data has been replicated, you can reduce costs by moving it to the archive tier using life cycle management policies. 

Networking

Controls to block domain fronting behavior on customer resources

Effective April 29, 2022,you will be able to stop allowing domain fronting behavior on your Azure Front Door, Azure Front Door (classic), and Azure CDN Standard from Microsoft (classic) resources in alignment with Microsoft’s commitment to secure the approach to domain fronting within Azure.

Virtual Network NAT health checks available via Resource Health

Virtual Network NAT (VNet NAT) is a fully managed and highly resilient network address translation (NAT) service. With Virtual Network NAT, you can simplify your outbound connectivity for virtual networks without worrying about the risk of connectivity failures from port exhaustion or your internet routing configurations.

Support for Resource Health check with Virtual Network NAT helps you monitor the health of your NAT gateway as well as diagnose or troubleshoot outbound connectivity. 

With Azure Resource Health, you can: 

  • View a personalized dashboard of the health of your NAT gateway 

  • Set up customizable resource health alerts to notify you in near real-time of when the health status of your NAT gateway changes 

  • See the current and past health history of your NAT gateway to help you mitigate issues 

  • Access technical support when you need help with Azure services, such as diagnosing and solving issues 

Virtual Network NAT Resource Health is available in all Azure public regions, Government cloud regions, and China Cloud regions. 

Enhancements to Azure Web Application Firewall

Microsoft offers two options, global WAF integrated with Azure Front Door and regional WAF integrated with Azure Application Gateway, for deploying Azure WAF for your applications and APIs.

On March 29, Microsoft announced the general availability of managed Default Rule Set 2.0 with anomaly scoring, Bot Manager 1.0, and security reports on global WAF. Additional features on regional WAF are available, that offer you better security, improved scale, easier deployment, and better management of your applications and APIs:

  • Reduced false positives with Core Rule Set 3.2 integrated with Azure Application Gateway. The older CRS 2.2.9 ruleset is being phased out in favor of the newer rulesets.
  • Improved performance and scale with the next generation of WAF engine, released with CRS 3.2
  • Increased size limits on regional WAF for body inspection up to 2MB and file upload up to 4GB
  • Advanced customization with per rule exclusion and attribute by names support on regional WAF
  • Native consistent experience with WAF policy, new deployments of Application Gateway v2 WAF SKU now natively utilizes WAF policies instead of configuration
  • Advanced analytics capabilities with new Azure Monitor metrics on regional WAF

Azure Management services: le novità di aprile 2022

Microsoft annuncia in modo costante novità riguardanti gli Azure management services. Questo riepilogo, pubblicato con cadenza mensile, consente di avere una panoramica complessiva delle principali novità del mese corrente, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Supporto per i client Windows per l’agente di Azure Monitor (preview)

L’agente di Azure Monitor e le regole di raccolta dati ora supportano i dispositivi client Windows 10 e Windows 11, tramite un nuovo setup di installazione (MSI). Questo consente di estendere l’uso dello stesso agente per la telemetria e per aspetti legati alla sicurezza (usando Sentinel).

Supporto per i log custom e i log di IIS per l’agente di Azure Monitor (preview)

L’Azure Monitoring Agent (AMA) fornisce in modo nativo la possibilità di raccogliere i file di log (custom e di IIS) in un workspace di Log Analytics. Questa funzionalità risulta particolarmente utile per consultare facilmente i log custom generati dai servizi o dalle applicazioni ed i log di IIS e per effettuare analisi specifiche.

Integrazione tra Azure Monitor e Azure Managed Grafana (preview)

Microsoft ha annunciato Azure Managed Grafana, un servizio gestito da Microsoft che consente ai clienti di eseguire Grafana in modo nativo all’interno della piattaforma Azure. Azure Managed Grafana consente di estendere le integrazioni con Azure Monitor, fornendo la possibilità di visualizzare facilmente i dati di monitor di Azure nelle dashboard di Grafana.

Configure

Azure Automation

Diagnostic audit log per gli Automation account

Anche per gli Automation Account è stata abilitata la possibilità di inviare i dati di audit verso blob storage account, Event Hub e workspace di Azure Monitor Log Analytics. Questa possibilità consente di monitorare le attività principali che vengono svolte sull’Automation Account a fini di sicurezza e di conformità. Abilitando il meccanismo di raccolta degli eventi di Audit si è in grado di raccogliere dati di telemetria riguardanti le operazioni di creazione, aggiornamento ed eliminazione dei runbook e degli asset degli Automation Account.

Govern

Azure Cost Management

Aggiornamenti relativi ad Azure Cost Management and Billing

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione, tra i quali:

Secure

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

Protect

Azure Backup

Supporto per il vault-archive storage per il backup delle VMs, anche in presenza di SQL e SAP HANA

In Azure Backup è stata annunciata la possibilità di spostare i recovery point sul tier Vault-Archive di Azure Storage per risparmiare sui costi e conservare i dati di backup per una durata maggiore. Questa funzionalità è disponibile per le VMs di Azure, anche in presenza di SQL Server e SAP HANA installati a bordo delle VMs. Quando si spostano i dati di backup dal vault-standard al vault-archive, Azure Backup converte i dati incrementali in backup full. Questo procedimento comporta un aumento dei GB complessivi utilizzati, ma i costi si riducono a causa dell’enorme differenza del costo per GB tra i due livelli di archiviazione. Per semplificare questo procedimento, Azure Backup fornisce dei consigli sui Recovery Points (RPs) per i quali è consigliata la migrazione nel vault-archive. I ripristini è sempre possibile farli in modo integrato dal portale di Azure, tramite un processo semplice e intuitivo.

Metriche e relativi alert per Azure Blob storage (preview)

Nei mesi scorsi Azure Backup ha rilasciato la possibilità di consultare le metriche di integrità dei backup e dei ripristini per le macchine virtuali di Azure, database SQL/HANA a bordo di macchine virtuali di Azure ed Azure File. Ora, Azure Backup supporta tali metriche anche per i Blob storage.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (April 2022 – Weeks: 15 and 16)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Recommended alert rules for virtual machines (preview)

The Azure portal experience now allows you to easily enable a set of recommended and out-of-the-box set of alert rules for your Azure resources. Currently in preview for virtual machines, you can simply enable a set of best practice alert rules on an unmonitored VM with just a few clicks.

Storage

Rehydrate an archived blob to a different storage account

You can now rehydrate an archived blob by copying it to a different storage account, as long as the destination account is in the same region as the source account. Rehydration across storage accounts enables you to segregate your production data from your backup data, by maintaining them in separate accounts. Isolating archived data in a separate account can also help to mitigate costs from unintentional rehydration.

Azure Archive Storage now available in Switzerland North

Azure Archive Storage provides a secure, low-cost means for retaining cold data including backup and archival storage. Now, Azure Archive Storage is available in Switzerland North.

Networking

Service tags support for user-defined routing

Specify a service tag as the address prefix parameter in a user-defined route for your route table. You can choose from tags representing over 70 Microsoft and Azure services to simplify and consolidate route creation and maintenance. With this release, using service tags in routing scenarios for containers is also supported. User-defined routes with service tags will update automatically to include any changes that services make to their list of IPs and endpoints.

DNS reservations to prevent subdomain takeover in Cloud Services deployments

Microsoft Azure is a cloud platform integrated with data services, advanced analytics, and developer tools and services. When you build on, or migrate IT assets to Azure, Microsoft provides a secure, consistent application platform to run your workloads. To strengthen your security posture, Microsoft rolled out DNS reservations to prevent subdomain takeover in Cloud Services deployments. Subdomain takeovers enable malicious actors to redirect traffic intended for an organization’s domain to a site performing malicious activity. 

Azure Stack

Azure Stack HCI

Windows Server guest licensing offer

To facilitate guest licensing for Azure Stack HCI customers, take advantage of a new offer that brings simplicity and increased flexibility. This licensing is through an all-in-one place Azure subscription and in some cases may be less expensive than the traditional licensing model. The new Windows Server subscription for Azure Stack HCI is generally available as of April 1, 2022. With this offer, you can purchase unlimited Windows Server guest licenses for your Azure Stack HCI cluster through your Azure subscription. You can sign up and cancel anytime. There is a free 60-day trial after which the offer will be charged at $23.30 per physical core per month.

Come rafforzare la security posture nel cloud pubblico, in ambienti ibridi e multi-cloud grazie a Defender for Cloud

L’adozione di infrastrutture e di servizi in ambienti cloud, utili per le imprese per accelerare il percorso di trasformazione digitale, ci impone di adeguare anche le soluzioni, i processi e le pratiche che vengono adottate per garantire e mantenere un elevato grado di sicurezza delle proprie risorse IT. Il tutto deve avvenire in modo indipendente dai modelli di deployment utilizzati, andando a rafforzare la security posture complessiva del proprio ambiente e fornendo una protezione avanzata dalle minacce per tutti i workload, ovunque essi risiedano. In questo articolo viene riportato come la soluzione Defender for Cloud è in grado di controllare e migliorare gli aspetti legati alla sicurezza dell’ambiente IT dove vengono utilizzate risorse nel cloud pubblico, in ambienti ibridi e multi-cloud.

Le sfide della sicurezza nelle infrastrutture moderne

Tra le principali sfide che si devono affrontare in ambito sicurezza adottando infrastrutture moderne che utilizzano componenti nel cloud troviamo:

  • Workload in rapida e costante evoluzione. Questo aspetto è certamente un’arma a doppio taglio del cloud in quanto, da un lato gli utenti finali hanno la possibilità di ottenere di più dalle soluzioni in ambienti cloud, dall’altro diventa complesso garantire che i servizi in rapida e costante evoluzione siano sempre all’altezza dei propri standard e che seguano tutte le best practice di sicurezza.
  • Attacchi alla sicurezza sempre più sofisticati. Indipendentemente da dove si trovano in esecuzione i propri workload, gli attacchi alla sicurezza adottano tecniche sofisticate ed avanzate che richiedono di implementare protezioni affidabili per contrastare la loro efficacia.
  • Risorse e competenze in ambito sicurezza non sempre all’altezza per intervenire a fronte di alert di sicurezza e per assicurare che gli ambienti siano adeguatamente protetti. Infatti, la sicurezza IT è un fronte in continua evoluzione e rimanere aggiornati è una sfida costante e difficile da raggiungere.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza per le architetture moderne che adottano componenti cloud: Cloud Security Posture Management (CSPM) e Cloud workload protection (CWP).

Figura 1 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Cloud Security Posture Management (CSPM)

In ambito Cloud Security Posture Management (CSPM) Defender for Cloud è in grado di fornire le seguenti funzionalità:

    • Visibilità: per valutare la situazione attuale in merito alla sicurezza.
    • Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST) ed è personalizzabile secondo gli standard che si vogliono rispettare.

Figura 2 – Esempi di raccomandazioni

Defender for Cloud assegna un punteggio globale all’ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

Figura 3 – Esempio di Secure score

Cloud workload protection (CWP)

Per quanto concerne questo ambito, Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud:

Figura 4 – Workload protetti da Defender for Cloud

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in ambienti on-premises:

Figura 5 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

Defender for Cloud include inoltre, come parte delle funzionalità di sicurezza avanzate, soluzioni di vulnerability assessment per le macchine virtuali, i container registry e i server SQL. Alcune scansioni vengono effettuate mediante la soluzione Qualys, che è possibile utilizzare senza licenze specifiche e senza account dedicati, ma il tutto è incluso e gestito mediante Defender for Cloud.

Quali ambienti è possibile proteggere con Defender for Cloud?

Defender for Cloud è un servizio nativo di Azure, che consente di proteggere non solo le risorse presenti in Azure, ma anche ambienti ibridi e multi-cloud.

Figura 6 – Protezione trasversale su ambienti differenti

Protezione degli ambienti Azure

  • Azure IaaS e servizi Azure PaaS: Defender for Cloud è in grado di rilevare le minacce destinate alle macchine virtuali e ai servizi presenti in Azure, inclusi Azure App Service, Azure SQL, Azure Storage Account, ed altri. Inoltre, consente di rilevare le anomalie nei registri di attività di Azure (Azure activity logs) tramite l’integrazione nativa con Microsoft Defender for Cloud Apps (conosciuto come Microsoft Cloud App Security).
  • Azure data services: Defender for Cloud include funzionalità che consentono di classificare automaticamente i dati in Azure SQL. Inoltre, è possibile effettuare degli assessment per rilevare potenziali vulnerabilità nei servizi Azure SQL e Storage, accompagnate da raccomandazioni su come mitigarle.
  • Network: l’applicazione di Network Security Group (NSG) per filtrare il traffico da e verso le risorse attestate sulle virtual network di Azure è fondamentale per garantire la sicurezza della rete. Tuttavia, possono esserci alcuni casi in cui il traffico effettivo che attraversa i NSG interessa solamente un sottoinsieme delle regole NSG definite. In questi casi, la funzionalità di Adaptive network hardening consente di migliorare ulteriormente la security posture rafforzando le regole NSG. Mediante un algoritmo di apprendimento automatico che tiene conto del traffico effettivo, della configurazione, dell’intelligence sulle minacce e di altri indicatori di compromissione, è in grado di fornire consigli per adeguare la configurazione dei NSG in modo da consentire solo il traffico strettamente necessario.

Protezione di ambienti ibridi

Oltre a proteggere l’ambiente Azure, è possibile estendere le funzionalità di Defender for Cloud anche ad ambienti ibridi per proteggere in particolare i server che non risiedono su Azure. Mediante Azure Arc è possibile estendere i piani di Microsoft Defender alle macchine che non risiedono in Azure.

Protezione delle risorse in esecuzione su altri cloud pubblici

Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). Per proteggere con questa soluzione le risorse su altri cloud pubblici è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS e GCP. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e GCP e non ha dipendenza da altre soluzioni, come ad esempio AWS Security Hub.

Caso reale di protezione con Defender for Cloud

Ipotizzando un ambiente di un cliente con risorse dislocate in Azure, on-premises ed in AWS, con Defender for Cloud è possibile estendere la protezione a tutte le risorse, in modo indipendente da dove risiedono.

Infatti, connettendo un account Amazon Web Services (AWS) ad una sottoscrizione Azure, risulta possibile abilitare le seguenti protezioni:

  • Le funzionalità CSPM di Defender for Cloud vengono estese anche alle risorse AWS, consentendo di valutare le risorse presenti nel cloud Amazon, in base ai consigli di sicurezza specifici di AWS. Inoltre, le risorse vengono valutate per la conformità agli standard specifici di AWS come: AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Il tutto viene considerato andando a influenzare il security score complessivo.
  • Microsoft Defender for Servers offre il rilevamento delle minacce e abilita le difese avanzate anche per le istanze EC2 Windows e Linux.
  • Microsoft Defender for Kubernetes estende le difese avanzate ai cluster Amazon EKS Linux e consente il rilevamento delle minacce sui container presenti in quelle infrastrutture.

Queste protezioni si andranno ad aggiungere alle funzionalità sopra elencate disponibili per gli ambienti Azure e per le risorse che risiedono on-premises.

Conclusioni

Defender for Cloud è in grado di rispondere in modo efficace alle sfide, in ambito sicurezza, date dall’adozione di infrastrutture moderne. Grazie infatti all’impiego di Microsoft Defender for Cloud si dispone di una soluzione in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i workload in ambienti ibridi e multi-cloud.

Azure IaaS and Azure Stack: announcements and updates (April 2022 – Weeks: 13 and 14)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

On-demand capacity reservations

On-demand capacity reservations let you reserve compute capacity for one or more VM size(s) in an Azure region or availability zone for any length of time.

Azure Batch supports Spot Virtual Machines

Azure Batch offers Spot Virtual Machines in user-subscription Batch accounts. The Spot Virtual Machines are available as single-instance virtual machines (VMs) or Virtual Machine Scale Sets. In addition, you get unique Azure pricing and benefits when running Windows Server workloads on Spot Virtual Machine’s.

Azure Virtual Machines increase storage throughput by up to 300%

The new memory optimized Ebs v5 and Ebds v5 Azure Virtual Machines, now generally available, feature the latest 3rd Gen Intel Xeon Platinum 8370C (Ice Lake) processor in a hyper-threaded configuration. These VMs deliver up to 300% increase in VM-to-Disk Storage throughput and IOPS compared to the previous generation D/Ev4 VM series. The new VM series feature sizes from 2 to 64 vCPUs with and without local temporary storage best match your workload requirements. These new VMs offer up to 120,000 IOPS and 4,000 MB/s of remote disk storage throughput. The increased storage throughput is ideal for the most demanding data-intensive workloads, including large relational databases such as SQL Server, high-performance OLTP scenarios, and high-end data analytics applications. 

New planned datacenter region in India (India South Central)

Microsoft has announced plans to bring a new datacenter region to India, including availability zones.

Azure Virtual Machines DCsv3 available in Switzerland and West US (preview)

DCsv3-series virtual machines (VMs) are available (in preview) in Switzerland North and West US. The DCsv3 and DCdsv3-series virtual machines help protect the confidentiality and integrity of your code and data while it processes in the public cloud. By leveraging Intel® Software Guard Extensions and Intel® Total Memory Encryption – Multi Key, you can ensure your data is always encrypted and protected in use. 

Storage

Cross-region snapshot copy for Azure Disk Storage

Cross-region snapshot copy allows you to copy disk snapshots to any region for disaster recovery.
Incremental snapshots are cost-effective point-in-time backups of Azure Disk Storage. They are billed for the changes to disks since the last snapshot and are always stored on the most cost-effective storage, Standard HDD storage, irrespective of the storage type of the parent disk. Now, you can copy incremental snapshots to any region of your choice for disaster recovery using cross-region snapshot copy. Azure manages the copy process and ensures that only changes since the last snapshot in the target region are copied, reducing the data footprint and recovery point objective (RPO).

Copy data directly to Archive Storage with Data Box

You can now use Data Box to copy data directly to Archive tier by indicating this when ordering and then copying to the corresponding share on the Data Box.

Azure Ultra Disk Storage in Sweden Central

Azure Ultra Disk Storage provides high-performance along with sub-millisecond latency for your most-demanding workloads.

Azure storage table access using Azure Active Directory

Azure Active Directory (Azure AD) support to authorize requests for Azure Table Storage is now generally available. With Azure AD, you can use Azure role-based access control (Azure RBAC) to grant permissions to any security principal, which can include a user, group, application service principal, or managed identity. The security principal is authenticated by Azure AD to return an OAuth 2.0 token. The token can then be used to authorize a request against the Table service. Authorizing requests against Azure Storage Tables with Azure AD provides superior security and ease of use over shared key authorization. Microsoft recommends using Azure AD authorization with your table applications when possible to assure access with minimum required privileges.

Azure File Sync agent v15

Improvements and issues that are fixed:

  • Reduced transactions when cloud change enumeration job runs
  • View Cloud Tiering status for a server endpoint or volume
  • New diagnostic and troubleshooting tool
  • Immediately run server change enumeration to detect files changes that were missed by USN journal
  • Miscellaneous improvements

To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.

More information about this release:

  • This release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 installations.
  • A restart is required for servers that have an existing Azure File Sync agent installation if the agent version is less than version 12.0.
  • The agent version for this release is 15.0.0.0.
  • Installation instructions are documented in KB5003882.

Networking

Bring your own public IP ranges to Azure

When planning a potential migration of on-premises infrastructure to Azure, you may want to retain your existing public IP addresses due to your customers’ dependencies (for example, firewalls or other IP hardcoding) or to preserve an established IP reputation. Now you can bring your own IP addresses (BYOIP) to Azure in all public regions. Using the Custom IP Prefix resource, you can now bring your own public IPv4 ranges to Azure and use them like any other Azure-owned public IP ranges. Once onboarded, these IPs can be associated with Azure resources, interact with private IPs and VNETs within Azure’s network, and reach external destinations by egressing from Microsoft’s Wide Area Network.

The new Azure Front Door: a modern cloud CDN service

The new Azure Front Door is a Microsoft native, unified, and modern cloud content delivery network (CDN) catering to dynamic and static content acceleration. This service includes built in turnkey security and a simple pricing model built on Microsoft’s massive scale private global network. There are two Azure Front Door tiers: standard and premium. They combine the capabilities of Azure Front Door (classic) and Azure CDN from Microsoft (classic) and attach with Azure Web Application Firewall (WAF). This provides a unified and secure solution for delivering your applications, APIs, and content on Azure or anywhere at scale.

Several key capabilities have been released:

  • Improved automation and simplified provisioning with DNS TXT based domain validation
  • Auto generated endpoint host name to prevent subdomain takeover
  • Expanded Private Link support in all Azure regions with availability zones to secure backends
  • Web Application Firewall enhancements with DRS 2.0 RuleSet and Bot manager
  • Expanded rules engine with regular expressions and server variables
  • Enhanced analytics and logging capabilities
  • Integration with Azure DNS, Azure Key Vault, Azure Policy and Azure Advisor
  • A simplified and predictable cost model

Azure Bastion native client support

With the new Azure Bastion native client support, available with Standard SKU, you can now:

  • Connect to your target Azure virtual machine via Azure Bastion using Azure CLI and a native client on your local machine
  • Log into Azure Active Directory-joined virtual machines using your Azure Active Directory credentials
  • Access the features available with your chosen native client (ex: file transfer)

Azure Bastion support for Kerberos authentication (preview)

Azure Bastion support for Kerberos authentication, available with both basic and standard SKUs, is now in public preview.