Archivi categoria: Datacenter Management

La sicurezza degli ambienti AWS con Microsoft Defender for Cloud

Microsoft Defender for Cloud, precedentemente noto come Azure Security Center ed Azure Defender, è una soluzione di Cloud Security Posture Management (CSPM) e per la protezione dei workload, in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i carichi di lavoro in ambienti ibridi e multi-cloud. Per le realtà che stanno adottando una strategia multi-cloud e che necessitano di elevati standard di sicurezza per il proprio ambiente è importante sapere che Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). In questo articolo viene riportato come proteggere ambienti AWS utilizzando Microsoft Defender for Cloud.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza del cloud:

Cloud Security Posture Management (CSPM) in grado di fornire le seguenti funzionalità:
- Visibilità: per valutare la situazione attuale in merito alla sicurezza.
- Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST).

Defender for Cloud assegna un punteggio globale all’ambiente ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

Cloud workload protection (CWP): Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in locale:

Figura 1 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

La protezione delle risorse AWS

Per proteggere con questa soluzione le risorse su altri cloud pubblici esiste ormai da tempo un meccanismo che prevede l’utilizzo di connettori di interfacciamento con gli account AWS e GCP. Il processo di onboarding del proprio account AWS era basata sull’integrazione della soluzione AWS Security Hub, come descritto nel dettaglio in questo articolo.

Ora è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e non ha dipendenza da altre soluzioni, come AWS Security Hub. L’esperienza di onboarding è progettata per funzionare facilmente su larga scala, semplicemente collegando il proprio master account AWS, che permette di effettuare automaticamente l’onboarding degli account esistenti e futuri.

Figura 2 – Connessione di AWS a Microsoft Defender for Cloud

Questo meccanismo estende facilmente le funzionalità di sicurezza avanzate di Defender for Cloud alle proprie risorse AWS e comprende le seguenti aree.

Figura 3 – Piani di protezione disponibili

Cloud Security Posture Management (CSPM) per AWS

Le funzionalità CSPM di Defender for Cloud vengono estese alle proprie risorse AWS. Questo piano agentless valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste vengono contemplate nel calcolo del security score globale. Per fornire una visione complessiva sullo stato di sicurezza dei propri ambienti multi-cloud, anche le raccomandazioni relative alla sicurezza di AWS sono integrate nel portale Defender for Cloud, insieme ai consigli di Azure. Sono stati implementate da Microsoft oltre 160 raccomandazioni pronte all’uso per i servizi IaaS e PaaS e tre standard normativi tra cui AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Tutto questo consente di rafforzare la propria security posture contemplando al meglio anche le risorse AWS. Inoltre, è possibile personalizzare i modelli esistenti oppure crearne dei nuovi che contengono le proprie raccomandazioni ed i propri standard per verificare la compliance dei requisiti interni.

Figura 4 – Raccomandazioni per AWS integrate in Defender for Cloud

Cloud workload protection (CWP) per AWS

Per AWS al momento è prevista la protezione avanzata per i seguenti workload:

Protezione dei server: Microsoft Defender for server offre il rilevamento delle minacce e la difese avanzate anche per le istanze EC2, sia per sistemi Windows sia per sistemi Linux. Questo piano include la licenza integrata per Microsoft Defender for Endpoint e diverse funzionalità, tra le quali: Security baselines e assessment a livello di SO, Vulnerability assessment, Adaptive Application Controls (AAC) e File Integrity Monitoring (FIM).
Protezione dei container: Microsoft Defender for Containers estende il rilevamento delle minacce per i container e le difese avanzate di Defender for Kubernetes ai cluster Amazon EKS (Elastic Kubernetes Service). Affinché Defender for Kubernetes sia in grado di proteggere i cluster AWS EKS, è necessaria la presenza di Azure Arc-enabled Kubernetes e dell’extension di Defender.

Figura 5 – Alert e raccomandazioni per i cluster EKS

NOTA: Per coloro che hanno hai già configurato un connettore AWS tramite i connector cloud classici, è consigliato connettere nuovamente l’account utilizzando il nuovo meccanismo.

Costo della soluzione

Se si decide di attivare questa integrazione valgono le seguenti indicazioni sui costi:

Il piano CSPM è gratuito. Per fornire le raccomandazioni il piano CSPM interroga le API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano alcun addebito, ma vengono registrate in CloudTrail nel caso in cui sia stato abilitato il trail per gli eventi di lettura. Come riportato nella documentazione AWS, questo non comporta costi aggiuntivi per il mantenimento. Occorre però fare attenzione ed eventualmente filtrare questi eventi se sono previsti delle esportazioni di dati (ad esempio per farli confluire in un SIEM esterno).
Il piano Defender for Containers verrà fatturato allo stesso prezzo del piano Defender for Kubernetes per le risorse di Azure.
Per ogni macchina AWS connessa ad Azure mediante Azure Arc, il piano Defender per server viene fatturato allo stesso prezzo del piano Microsoft Defender per server per le macchine Azure.

Conclusioni

Microsoft Defender for Cloud, originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure, estendere e perfeziona le proprie funzionalità per contemplare anche altri cloud pubblici. In particolare, grazie al nuovo meccanismo di integrazione con AWS è possibile adottare in modo nativo una soluzione di CSPM ed abilitare la protezione dalle minacce per i workload di elaborazione in Amazon Web Services (AWS). Questo consente di ottenere un elevato grado di sicurezza, di migliorare le security posture in ambienti multi-cloud e di semplificare la gestione degli strumenti utili per governare la sicurezza.

Azure IaaS and Azure Stack: announcements and updates (December 2021 – Weeks: 49 and 50)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Virtual Machine restore points (preview)

Public preview of VM restore point is available, a new resource that stores VM configuration and a point-in-time snapshot of one or more managed disks attached to a VM. VM restore points supports multi-disk application consistent snapshots and can be leveraged to easily capture backups of your VM and disks. You can easily restore the VM using VM restore points in cases of data loss, corruption, or disasters. Microsoft is also introducing a new Azure Resource Manager (ARM) resource called Restore Point Collection, which will act as a container for all the restore points of a specific VM.

Placement polices for Azure VMware Solution

Placement policies are used to define constraints for running virtual machines in the Azure VMware Solution Software-Defined Data Center (SDDC). These constraints allow the you to decide where and how the virtual machines should run within the SDDC clusters. Placement polices are used to support performance optimization of virtual machines (VMs) through policy, and help mitigate the impact of maintenance operations to policies within the SDDC cluster.

Storage

Secure access to storage account from a virtual network/subnet in any region (preview)

You can secure access to your storage account by enabling a service endpoint for Storage in the subnet and configuring a virtual network rule for that subnet through the Azure storage firewall. You can now configure your storage account to allow access from virtual networks and subnets in any Azure region. By default, service endpoints enable connectivity from a virtual network to a storage account in the same Azure region as the virtual network or it’s paired Azure region. This preview enables you to register your subnet to allow service endpoint connectivity to storage accounts in any Azure region across the globe.

Attribute-based Access Control (ABAC) conditions with principal attributes (preview)

Attribute-based access control (ABAC) is an authorization strategy that defines access levels based on attributes associated with security principals, resources, requests, and the environment. Azure ABAC builds on role-based access control (RBAC) by adding conditions to Azure role assignments expressed as a predicate using these attributes. This update to the preview enables the use of Azure AD custom security attributes for principals in role assignment conditions. You can now use combine principal attributes with resource and request attributes in your condition expressions.

Soft delete for blobs capability for Azure Data Lake Storage

Soft delete for blobs capability for Azure Data Lake Storage is now generally available. This feature protects files and directories from accidental deletes by retaining the deleted data in the system for a specified period of time. During the retention period, you can restore a soft-deleted object, i.e. file or directory, to its state at the time it was deleted. After the retention period has expired, the object is permanently deleted. All soft deleted files and directories are billed at the same rate as active ones until the retention period has expired.

Azure Stack

Azure Stack HCI

Windows Server guest licensing offer for Azure Stack HCI (preview)

To facilitate guest licensing for Azure Stack HCI customers, we are pleased to announce a new offer that brings simplicity and more flexibility for licensing. The new Windows Server subscription for Azure Stack HCI is available in public preview as of December 14, 2021. This offer will allow you to purchase unlimited Windows Server guest licenses for your Azure Stack HCI cluster through your Azure subscription. You can sign up and cancel anytime and preview pricing is $0 until general availability (GA). At GA, the offer will be charged at $23.60 per physical core per month. This offer simplifies billing through an all-in-one place Azure subscription and in some cases will be less expensive for customers than the traditional licensing model.

Come estendere i principi di gestione di Azure alle infrastrutture VMware con Azure Arc

La tendenza che si riscontra frequentemente in differenti contesti aziendali è quella di ricorrere a strategie ibride e multi-cloud per i propri ambienti IT. Tutto ciò consente di intraprendere un percorso di innovazione digitale con grande flessibilità ed agilità. Per farlo nel migliore dei modi è opportuno adottare tecnologie che consentano di creare nuove opportunità e allo stesso tempo di gestire le sfide intrinseche in questi nuovi paradigmi. In Microsoft è stata ideata una soluzione specifica e prende il nome di Azure Arc. Uno dei benefici cruciali di Azure Arc è quello di estendere le pratiche di gestione e di governance di Azure anche ad ambienti differenti e di adottare soluzioni e tecniche che tipicamente vengono utilizzate in ambiente cloud anche per gli ambienti on-premises. In questo articolo viene approfondito come Microsoft ha recentemente migliorato in Azure Arc il processo di integrazione delle infrastrutture VMware vSphere e quali opportunità si possono cogliere da questa innovazione.

Perché adottare una strategia ibrida?

Tra le principali ragioni che portano i clienti a adottare una strategia ibrida troviamo:

Workload che non possono essere spostati nel cloud pubblico a causa dei requisiti normativi e di sovranità dei dati. Questo aspetto solitamente è comune in settori altamente regolamentati come servizi finanziari, ambienti sanitaria e governativi.
Alcuni workload, in particolare quelli che risiedono negli edge, richiedono basse latenze.
Molte aziende hanno fatto investimenti significativi nell’ambiente on-premises che desiderano massimizzare, quindi la scelta ricade nel modernizzare le applicazioni tradizionali che risiedono on-premises e le soluzioni adottate.
Garantire una maggiore resilienza.

Quali domande porsi per sfruttare e gestire al meglio ambienti ibridi e multi-cloud?

In situazioni dove si sta adottando una strategia ibrida oppure multi-cloud, le domande chiave che è opportuno porsi per trarre maggiori benefici sono:

Come posso visualizzare, governare e proteggere le risorse IT, indipendentemente da dove sono in esecuzione?
C’è la possibilità di portare l’innovazione del cloud anche nell’infrastruttura esistente?
Come è possibile modernizzare i datacenter locali adottando nuove soluzioni cloud?
Come estendere l’elaborazione e l’intelligenza artificiale all’edge per sbloccare nuovi scenari di business?

La risposta a tutte queste domande può essere… “adottando Azure Arc!”.

Figura 1 – Panoramica di Azure Arc

Molti sono i clienti che dispongono di infrastruttura basate su VMware e che allo stesso tempo stanno utilizzando servizi Azure. Azure Arc estende le possibilità offerte in ambito governance e management da Azure anche alle macchine virtuali presenti in ambienti VMware. Per migliorare ulteriormente questa esperienza di controllo e di gestione di tali risorse è stata introdotta una profonda integrazione tra Azure Arc e VMware vSphere.

Azure Arc-enabled VMware vSphere: come funziona?

Azure Arc-enabled VMware vSphere è una nuova funzionalità di Azure Arc pensata per i clienti con ambienti VMware vSphere on-premises oppure che adottano Azure VMware Solution.

Questa integrazione diretta di Azure Arc con VMware vSphere richiede di attivare un’appliance virtuale denominata “Arc bridge”. Questa risorsa permette di instaurare la connessione tra il server VMware vCenter e l’ambiente Azure Arc.

Grazie a questa integrazione è possibile effettuare l’onboarding in Azure di alcune oppure di tutte le risorse vSphere gestite dal proprio server vCenter quali: resource pool, cluster, host, datastore, network, template e macchine virtuali esistenti.

Figura 2 – VMware vCenter dal portale Azure

Terminata la fase di onboarding si aprono nuovi scenari di utilizzo che consentono di sfruttare i benefici riportati nel paragrafo seguente.

Benefici di Azure Arc-enabled VMware vSphere

Grazie a questa nuova integrazione è possibile ottenere i seguenti benefici:

Eseguire il provisioning di nuove macchine virtuali in ambienti VMware da Azure. La distribuzione delle macchine virtuali su VMware vSphere può essere fatta dal portale oppure utilizzando template ARM. La possibilità di poter descrivere l’infrastruttura, mediante processi di Infrastructure as Code, in modo coerente in Azure e negli ambienti on-premises è molto importante. Infatti, adottando template ARM, i team DevOps possono utilizzare pipeline CI/CD per eseguire il provisioning dei sistemi oppure per aggiornare le macchine virtuali VMware in modo contestuale ad altri aggiornamenti applicativi.

Figura 3 – Provisioning di una VM VMware dal portale Azure

Effettuare operazioni di manutenzione ordinaria sulle macchine virtuali direttamente dal portale Azure come: l’arresto, l’avvio, il riavvio, il ridimensionamento, l’aggiunta oppure l’aggiornamento di dischi e la gestione delle schede di rete.
Garantire un accesso self-service alle risorse vSphere tramite Azure Arc. Per gli amministratori che gestiscono ambienti vSphere, ciò significa che possono facilmente delegare un accesso self-service alle risorse VMware, governando e garantendo la conformità tramite controlli avanzati di governance di Azure ed Azure RBAC. Infatti, risulta possibile assegnare autorizzazioni granulari sulle risorse computazionali, di archiviazione, di rete e sui template.
Fornire un inventario delle macchine virtuali in ambienti vSphere distribuiti.
Eseguire e gestire su larga scala l’onboarding di ambienti vSphere nei servizi di management di Azure come ad esempio Azure Monitor Log Analytics ed Azure Policy Guest Configuration. Tale abilitazione permette di orchestrare l’installazione dell’agente specifico di Azure Arc (Connected Machine agent) direttamente da Azure.
Mantenere sincronizzate in Azure le modifiche apportate direttamente tramite vCenter, grazie alle funzionalità di rilevamento automatico.

Conclusioni

Grazie a questa nuova integrazione avanzata, i clienti possono avere la flessibilità di innovare, anche utilizzando il loro ambiente VMware esistente. Inoltre, mediante questo approccio è possibile avere un meccanismo efficace di controllo per gestire e governare in modo coerente tutte le risorse IT.

Azure IaaS and Azure Stack: announcements and updates (December 2021 – Weeks: 47 and 48)

Azure

Compute

West Central US: Microsoft expands cloud services with two new datacenters in Wyoming

Microsoft is announcing the launch of two new Microsoft datacenters in Cheyenne – Wyoming, one in Cheyenne Business Parkway and another in Bison Business Park, enabling to expand and support the growth and demand for digital services in West Central US datacenter region. Cheyenne has been home to Microsoft’s cloud infrastructure services since 2012 and this expansion will enable us to continue providing services to current and new customers.

New Azure Virtual Machines DCasv5 and ECasv5-series (preview)

Azure DCasv5/ECasv5 confidential virtual machines (VMs) powered by 3rd Gen AMD EPYC™ processors with SEV-SNP are available in preview.

SQL Server IaaS Agent extension for Linux SQL VMs

Microsoft is making the capabilities of SQL Server IaaS Agent extension available to Linux platforms, starting with Ubuntu with plans for other distributions in time.

If you are already running SQL Server on Azure using an Ubuntu Linux Virtual Machine, the SQL Server IaaS Agent extension now enables you to leverage integration with the Azure portal and unlocks the following benefits for SQL Server on Linux Azure VMs:

Compliance: The extension offers a simplified method to fulfill the requirement of notifying Microsoft that the Azure Hybrid Benefit has been enabled as is specified in the product terms. This process negates needing to manage licensing registration forms for each resource.
Simplified license management: The extension simplifies SQL Server license management, and allows you to quickly identify SQL Server VMs with the Azure Hybrid Benefit enabled using the Azure portal, Azure PowerShell, or the Azure CLI.

IaaS Agent extension full mode no restart for SQL VMs

You can now enable the full mode of SQL Server IaaS Agent extension with no restart, giving you access to more manageability features for SQL Server on Azure Virtual Machines without interruption to your workloads. Previously, you had to restart the SQL Server services to enable these features. The full mode of SQL Server IaaS Agent extension unlocks many benefits such as Automated Backup, Automated Patching, Storage Optimization, and more, along with license management that comes with lightweight mode.

Storage

Azure File Sync: new agent released

The Azure File Sync agent v14.1 is available. Issue that is fixed in the v14.1 release:

Tiered files deleted on Windows Server 2022 are not detected by cloud tiering filter driver. This issue can also impact Windows 2016 and Windows Server 2019 if a tiered file is deleted using the FILE_DISPOSITION_INFORMATION_EX class.

To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.

More information about this release:

This release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 installations.
A restart is required for servers that have an existing Azure File Sync agent installation if the agent version is less than version 12.0.
The agent version for this release is 14.1.0.0.
Installation instructions are documented in KB5001873.

Azure NetApp Files application volume group for SAP HANA (preview)

Application volume group (AVG) for SAP HANA enables you to deploy all volumes required to install and operate an SAP HANA database according to best practices in a single one-step and optimized workflow. The application volume group feature includes the use of proximity placement group (PPG) with VMs to achieve automated, low-latency deployments. Application volume group for SAP HANA has implemented many technical improvements that simplify and standardize the entire process to help you streamline volume deployments for SAP HANA. Instead of creating the SAP HANA volumes (data, log, shared, log-backup, file-backup) individually, the new application volume group for SAP HANA creates these volumes in a single ‘atomic’ operation (GUI, RP, API).

Networking

VPN Gateway NAT

Azure VPN NAT (Network Address Translation) supports overlapping address spaces between your on-premises branch networks and your Azure Virtual Networks. NAT can also enable business-to-business connectivity where address spaces are managed by different organizations and re-numbering networks is not possible. VPN NAT provides support for 1:1 Static NAT and 1-to-many dynamic NAT.

Wildcard listener on Application Gateways

Azure Application Gateway now supports the use of wildcard characters such as asterisk (*) and question mark (?) for hostnames on a multi-site HTTP(S) listener. You can now route requests from multiple host-names such as shop.contoso.com, accounts.contoso.com, pay.contoso.com to the same backend pool through a single listener configured with a wildcard hostname such as *.contoso.com.

Azure Management services: le novità di novembre 2021

Nel mese di novembre Microsoft ha svelato numerose novità riguardanti gli Azure management services, complice anche la conferenza Microsoft Ignite 2021. Tramite questi articoli rilasciati con cadenza mensile, si vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Log Analytics Workspace Insights in Azure Monitor

Microsoft ha annunciato la disponibilità di Log Analytics workspace insights che consente di ottenere informazioni dettagliate sui workspace di Log Analytics, fornendo una panoramica completa in merito ai seguenti aspetti: utilizzo, prestazioni, integrità, agenti, query e change logs.

Queste le principali domande alle quali la soluzione può fornire una risposta:

Quali sono le tabelle principali, quelle in cui viene importata la maggior parte dei dati?
Quale risorsa invia la maggior parte dei log verso il workspace?
Quanto tempo impiegano i log a raggiungere il workspace?
Quanti agenti sono collegati all’area di lavoro? Quanti sono in stato di salute?
Controllo delle query: quante query vengono eseguite nel workspace? Quali sono i loro codici di risposta e il tempo di durata? Quali sono le query lente e inefficienti che richiedono un sovraccarico del workspace?
Chi ha impostato un limite giornaliero? Quando la conservazione dei dati è cambiata?
- Utili per tracciare un registro delle modifiche delle impostazioni del workspace.

Nuove esperienze nella risoluzione dei problemi in Network Insights per VPN Gateway & Azure Firewall

Risulta ora possibile accedere a informazioni dettagliate ed avere una nuova esperienze nella risoluzione dei problemi in Azure Monitor Network Insights per VPN Gateway ed Azure Firewall.

Infatti, si ha la possibilità di:

Accedere alla topologia delle risorse che mostra l’integrità delle stesse e le relative connessioni
Un workbook che mostra tutte le metriche chiave
Collegamenti diretti alla documentazione e alla guida per la risoluzione dei problemi

Azure Monitor container insights per Azure Arc enabled Kubernetes

In Azure Monitor si possono ottenere informazioni dettagliate sui conteiner in esecuzione in ambienti Kubernetes abilitati per Azure Arc. Questo permette di centralizzare la visualizzazione delle metriche dell’infrastruttura, dei log dei container e delle relative raccomandazioni. Le caratteristiche principali sono:

Onboarding semplice direttamente dal portale di Azure
Ricezione di aggiornamenti automatici dell’agente di monitoring
Visibilità delle prestazioni, raccogliendo le metriche di memoria e processore dai controller, nodi e container
Visualizzazioni tramite workbook e nel portale di Azure
Alert e query sui dati storici per la risoluzione dei problemi
Capacità di esaminare le metriche di Prometheus

Gestione delle regole di esportazione dei dati di Log Analytics nel portale di Azure (preview)

L’esportazione dei dati di Log Analytics ora può essere configurata nel portale di Azure. Questo consente di gestire facilmente le regole di esportazione dei dati offrendo una visione chiara delle regole esistenti nel workspace, indipendentemente dal fatto che siano in stato abilitato o disabilitato. Risulta inoltre possibile modificare le regole esistenti e creare nuove regole con pochi semplici passaggi.

Azure Monitor for SAP: nuove telemetrie e root cause analysis (RCA)

Azure Monitor per soluzioni SAP (AMS) ha introdotto il supporto per nuovi dati di telemetria SAP HANA (preview) e SAP NetWeaver

Per SAP HANA troviamo:

Stato licenza: fornisce i dettagli delle licenze per tutti i tenant in esecuzione con SAP HANA MDC.
Multi-Version Concurrency Control (MVCC): report sulla consistenza dei dati transazionali, isolando le transazioni che accedono agli stessi dati contemporaneamente
Dettagli su save point operation
Dettagli su delta merge
Statistiche sugli alert di HANA

I clienti che stanno utilizzando la soluzione avranno a disposizione, senza effettuare ulteriori attività, i dati di telemetria sopra riportati. Per i nuovi clienti che vogliono attivare questa soluzione, è possibile seguire questa guida all’onboarding di AMS e configurare almeno un provider SAP HANA.

Inoltre, i clienti che utilizzano SAP in ambiente Azure possono visualizzare le “root cause analysis (RCA)” quando un sistema SAP diventa indisponibile per un’interruzione della macchina virtuale o dell’host. Infatti, AMS consente di visualizzare le informazioni sul riavvio, l’analisi della causa scatenante, i dettagli sul sistema interessato ed i passaggi consigliati.

AMS è attualmente disponibile nelle seguenti region di Azure: US East, US East 2, US West 2, Europe West, e Europe North. AMS non prevede costi di licenza aggiuntivi, ma sono contemplati solamente i costi di consumo di Azure Monitor.

Configure

Azure Automation

Supporto per runbook PowerShell 7.1 (preview)

Il supporto di Azure Automation per i runbook di PowerShell 7.1 è stato reso disponibile in anteprima in Azure, Azure Gov ed Azure China. Ciò consente lo sviluppo e l’esecuzione di runbook utilizzando PowerShell 7.1, sia per processi cloud sia per processi ibridi su sistemi Azure e non.

Supporto per le Managed Identities

In Azure Automation è stato introdotto il supporto alle Managed Identities. Le System Assigned Managed Identities sono supportate per i processi cloud ed ibridi, mentre le User Assigned Managed Identities sono supportate solo per i processi cloud. Questo supporto consente di ridurre l’effort di gestione dei RunAs Account per i runbook. Una User Assigned Managed Identities è una risorsa Azure indipendente che può essere assegnata all’account di Azure Automation, il quale può avere più identità user-assigned associate. La stessa identità può essere assegnata a più Azure Automation account.

Govern

Update Management

Automatic VM guest patching

La nuova funzionalità denominata “Automatic VM guest patching” è ora disponibile ed aiuta a semplificare la gestione degli aggiornamenti e a raggiungere la conformità in ambito sicurezza. Abilitando la funzionalità “Automatic VM guest patching” vengono scaricate e applicate automaticamente sul sistema le patch classificate come critiche e di sicurezza. Tale funzionalità è disponibile sia per sistemi Windows sia per sistemi Linux.

Azure Cost Management

Azure Advisor: consigli per risparmiare sui costi delle risorse Azure Cosmos DB

In Azure Advisor sono state incluse delle raccomandazione specifiche che consentono di ottenere possibili risparmi sui costi di Azure Cosmos DB, ottenute in base all’utilizzo storico delle risorse.

Aggiornamenti relativi ad Azure Cost Management and Billing

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.

Secure

Microsoft Defender for Cloud

Cambio ai nomi delle soluzioni Azure in ambito sicurezza

A novembre, durante Ignite 2021, sono stati annunciati cambiamenti ai nomi delle soluzioni Microsoft Azure in ambito sicurezza, come riportato in seguito:

Figura 2 – Nuovi nomi per le soluzioni Azure di sicurezza

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

Azure Security Center ed Azure Defender sono stati unificati e vengono chiamati “Microsoft Defender for Cloud”
CSPM nativo per AWS e protezione dalle minacce per Amazon EKS e AWS EC2
Assegnazione delle priorità ai dati sensibili nei cloud workload, utilizzando Azure Purview
Miglioramenti all’integrazione con Microsoft Sentinel
Rilascio di Azure Security Benchmark v3

Protect

Azure Backup

Autorizzazione multi-utente per i backup (preview)

La multi-user authorization per Azure Backup fornisce una protezione avanzata per i Recovery Services vaults contro operazioni critiche non autorizzate. Azure Backup utilizza un Resource Guard per garantire che le operazioni critiche vengano eseguite solo in presenza dell’autorizzazione appropriata. Con questo meccanismo, Azure Backup aiuta a fornire una migliore protezione contro le operazioni che potrebbero portare alla perdita dei dati di backup, tra cui:

Disabilitazione del soft delete e delle impostazioni di hybrid security
Disabilitazione della protezione MUA
Modifiche alle backup policy
Modifiche alla protezione
Stop della protezione
Cambio del MARS security PIN

L’amministratore dei backup, che in genere accede al Recovery Services vault, deve acquisire il ruolo di Contributor su Resource Guard per poter eseguire le suddette operazioni protette (critiche). Per farlo deve richiedere anche l’azione dell’owner di Resource Guard, il quale deve approvare e concedere l’accesso richiesto. Risulta possibile anche usare Azure AD Privileged Identity Management per gestire l’accesso just-in-time su Resource Guard. Inoltre, è possibile creare la risorsa Resource Guard in una subscription oppure in un tenant diverso da quello del Recovery Services vault, per ottenere il massimo isolamento.

Metriche e relativi alert per Azure Backup (preview)

Azure Backup mette ora a disposizione metriche built-in per consentire di monitorare l’integrità dei backup e di scrivere regole di alert personalizzate basate su queste metriche.

Azure Site Recovery

Supporto per il failover di più configurazioni IP

Azure Site Recovery ha introdotto, per le macchine virtuali presenti in Azure, il supporto per il failover delle configurazioni IP secondarie. Questo consente di configurare le impostazioni di failover e di test failover per ciascuna configurazione IP secondaria, al momento solo nello scenario Azure to Azure (A2A).

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 59 che risolve diverse problematiche e introduce alcuni miglioramenti. Tra le novità più importanti troviamo il supporto per Windows Server 2022 per il mobility Service. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure Stack HCI: la soluzione hyper-converged in continua evoluzione – edizione di novembre 2021

Azure Stack HCI è la soluzione che permette di realizzare una infrastruttura hyper-converged (HCI) per l’esecuzione di workload in ambiente on-premises e che prevede una strategica connessione a vari servizi di Azure. Anche Azure Stack HCI viene considerato come servizio hybrid di Azure e come tale è in continua evoluzione. Recentemente Microsoft ha introdotto una serie di nuove funzionalità che aprono la strada a nuovi scenari di adozione di Azure Stack HCI e che consentono di gestire al meglio la propria infrastruttura ibrida basata su questa soluzione. In questo articolo vengono riportati i principali aspetti che hanno subito un’evoluzione e le nuove funzionalità recentemente introdotte in Azure Stack HCI.

Nuovi workload e nuovi benefici

Il risultato che si intende perseguire con l’infrastruttura Azure Stack HCI è quello di poter eseguire in ambiente on-premises gli stessi carichi di lavoro del cloud pubblico con gli stessi vantaggi. Per raggiungerlo Microsoft sta portando i workload di Azure più popolari in Azure Stack HCI.

A partire dallo scorso anno è possibile attivare su Azure Stack HCI l’orchestratore Azure Kubernetes Service (AKS), che consente di automatizzare la distribuzione e la gestione delle applicazioni containerizzate in ambiente on-premises esattamente come avviene in Azure. Oltre a poter eseguire app Windows e Linux in conteniter, AKS rende disponibile l’infrastruttura per eseguire dei servizi selezionati della piattaforma Azure (PaaS) su Azure Stack HCI.

Le importanti novità annunciate in questo ambito sono le seguenti.

Figura 1 – Nuovi workload Azure e nuovi benefici in Azure Stack HCI

Azure Virtual Desktop per Azure Stack HCI (preview)

Attivando Azure Virtual Desktop nel cloud pubblico, gli utenti possono accedere ai propri desktop e alle proprie applicazioni da qualsiasi luogo, usufruendo della familiarità e della compatibilità garantita da Windows 10 e da Windows 11. Azure Virtual Desktop è un servizio ospitato e gestito da Microsoft, che non richiede la configurazione di una complessa infrastruttura VDI.

Esistono però situazioni dove le applicazioni risultano sensibili alla latenza, come ad esempio l’editing video, oppure scenari dove gli utenti hanno bisogno di usufruire di un sistema legacy presente on-premises che non può essere facilmente raggiunto. Per consentire di affrontare al meglio situazioni di questo tipo, Azure Virtual Desktop aggiunge una nuova opzione ibrida grazie ad Azure Stack HCI.

Azure Virtual Desktop per Azure Stack HCI usa lo stesso piano di gestione cloud del normale Azure Virtual Desktop, ma consente di creare pool di session host utilizzando macchine virtuali in esecuzione su Azure Stack HCI. Queste macchine virtuali possono eseguire Windows 10 e/o Windows 11 Enterprise multi-session. Collocando i desktop più vicini agli utenti, è possibile abilitare l’accesso diretto a bassa latenza e senza round trip, utilizzando una tecnologia chiamata RDP Shortpath.

Azure benefit per Windows Server

Microsoft offre vantaggi speciali quando si distribuisce Windows Server in ambiente Azure e gli stessi vantaggi, entro la fine di quest’anno, saranno disponibili anche su Azure Stack HCI.

Innanzi tutto, quando si distribuiscono macchine virtuali con Windows Server 2022, anche in ambiente Azure Stack HCI è possibile attivare l’edizione Azure Datacenter che offre funzionalità specifiche non disponibili nelle classiche edizioni Standard e Datacenter. Per approfondire le caratteristiche disponibili in questa edizione è possibile consultare questo articolo.

Inoltre, Azure Stack HCI versione 21H2 consente di:

Ottenere gratuitamente aggiornamenti di sicurezza estesi, proprio come in Azure. Questo vale per Windows Server 2008/R2 e verrà presto applicato anche a Windows Server 2012/R2 quando si raggiungerà la fine del supporto, oltre alle versioni corrispondenti di SQL Server.
Ottenere la licenza ed attivare le macchine Windows Server come in Azure. Azure Stack HCI oltre a consentire di utilizzare la propria licenza Datacenter per abilitare l’attivazione automatica delle macchine virtuali (Automatic VM Activation – AVMA), mette a disposizione l’opzione di pagare la licenza di Windows Server per i sistemi guest tramite la propria subscription Azure, proprio come avviene in ambiente Azure.

Innovazione dell’infrastruttura

In Microsoft vengono gestiti tra i più grandi data center del mondo e si vuole portare l’esperienza maturata e l’innovazione del cloud anche in Azure Stack HCI. Per queste ragioni Azure Stack HCI è un servizio in abbonamento che riceve aggiornamenti regolari delle funzionalità con l’obiettivo importante di poter sfruttare on-premises la tecnologia collaudata su larga scala nel cloud.

Figura 2 – Innovazione dell’infrastruttura in Azure Stack HCI

Grazie al rilascio dell’ultimo aggiornamento, noto come “versione 21H2” oppure come “feature update 21H2”, vengono introdotte le seguenti nuove funzionalità:

Gestione del quick restart con Kernel Soft Reboot: migliora le prestazioni di riavvio, saltando la sequenza di pre-avvio e l’autotest all’accensione dell’hardware. In questo modo si riduce anche il tempo complessivo di aggiornamento del cluster (disponibile solo su Azure Stack HCI Integrated Systems).
Utilizzo delle GPUs con VM clusterizzate: fornisce l’accelerazione GPU ai carichi di lavoro in esecuzione sulle VM in ambiente cluster. Ideale per workload in ambito AI/ML.
Dynamic CPU compatibility mode: la modalità di compatibilità del processore è stata aggiornata per sfruttare al meglio tutte le funzionalità dei processori in ambiente cluster. Infatti, è possibile combinare differenti generazioni di processori nello stesso cluster con un degrado minimo. Il cluster calcola in modo intelligente il più grande sottoinsieme comune di funzionalità del processore che possono essere esposte alle macchine virtuali.
Storage thin provisioning: migliora l’efficienza dello storage e semplificata la gestione mediante il thin provisioning.
Network ATC: semplifica la gestione della configurazione di rete degli host.
Velocità di riparazione dello storage regolabile: maggiore controllo sul processo di ri-sincronizzazione dei dati.
Supporto per la nested virtualization con processori AMD: migliore flessibilità per realizzare ambienti di test e valutazione grazie alla possibilità di attivare la nested virtualization anche in presenza di processori AMD.
Secured-Core Server: offre una sicurezza trasversale su hardware e firmware, integrata nelle funzionalità del sistema operativo, in grado di aiutare a proteggere i server da minacce avanzate.

Nuove funzionalità di gestione

Un altro risultato che si vuole ottenere con Azure Stack HCI è quello di poter gestire la propria infrastruttura come se fosse un’estensione del cloud pubblico. Azure Stack HCI si integra infatti in modo nativo con Azure Resource Manager e questo consente di proiettare il cluster come risorsa nel portale di Azure. In questo modo è possibile sfruttare gli stessi processi in tutti gli ambienti e gestire le risorse Azure Stack HCI proprio come le risorse cloud.

Figura 3 – Nuove funzionalità di gestione di Azure Stack HCI

Host server Arc-enabled ed extension

Dalla risorsa Azure Stack HCI è possibile individuare, aggiungere, modificare o rimuovere le extension, grazie alle quali è possibile accedere facilmente alle funzionalità di gestione. Con la disponibilità di Azure Stack HCI versione 21H2 il cluster abiliterà automaticamente ad Arc i server host, al momento della registrazione, per poter utilizzare fin da subito le extension disponibili.

Gestione delle VM Arc-enabled (preview)

Oltre che per gestire il cluster, ora è possibile utilizzare Azure Arc anche per eseguire il provisioning e la gestione delle macchine virtuali in esecuzione su Azure Stack HCI, direttamente dal portale di Azure. Le macchine virtuali e le loro risorse associate (immagini, dischi, e network) vengono proiettate in ARM come risorse separate mediante una nuova tecnologia multipiattaforma chiamata Arc Resource Bridge.

In questo modo è possibile:

ottenere una gestione coerente tra le risorse cloud e le risorse Azure Stack HCI;
automatizzare le distribuzioni delle macchine virtuali utilizzando i modelli ARM;
garantire un accesso self-service grazie al supporto ad Azure RBAC.

Azure Backup ed Azure Site Recovery

Con Azure Stack HCI versione 21H2 è stato introdotto il supporto ufficiale per Azure Backup ed Azure Site Recovery. Con MABS v3 UR2 o versioni successive è possibile eseguire il backup degli host e delle macchine virtuali attive in Azure Stack HCI. Inoltre, con Azure Site Recovery è possibile replicare le macchine virtuali da Azure Stack HCI ad Azure ed attivare scenari di disaster recovery.

Conclusioni

Grazie ad un costante miglioramento, all’introduzione continua di nuove funzionalità ed all’inclusione di nuovi scenari di utilizzo, la proposizione per scenari hyper-converged risulta sempre più completa, integrata e performante. Azure Stack HCI si integra perfettamente all’ambiente on-premises esistente ed offre un importante valore aggiunto: la possibilità di connettere Azure Stack HCI con altri servizi Azure per ottenere una soluzione hyper-converged ibrida. Questo aspetto in particolare la differenzia fortemente da altri competitor che offrono soluzioni in questo ambito.

Azure IaaS and Azure Stack: announcements and updates (November 2021 – Weeks: 45 and 46)

Azure

Compute

Virtual machines selector now generally available

Microsoft want to simplify the process required for you to identify the right VM based on your needs and budget. To that end, virtual machines selector is a web-based tool localized in 26 languages and available worldwide. Using the virtual machines selector you can specify your requirements, such as the category of workload you plan to run in Azure, and the technical specifications of your VM (e.g., OS disks storage options, data disks storage performance, Operating System, deployment region, etc.). After a few simple steps, the tool identifies the best VM and disk storage combination based on the information you enter. You will then be able to view the details of the recommended VMs and their prices. You can then add the selected VMs to the pricing calculator to perform a more comprehensive cost analysis.

New cloud region in Sweden

The new sustainable datacenter region in Sweden, with presence in Gävle, Sandviken and Staffanstorp is available. It includes Azure Availability Zones, which offer you additional resiliency for your applications by designing the region with unique physical datacenter locations with independent power, network, and cooling for additional tolerance to datacenter failures.

Azure VMware Solution now generally available in the France Central Azure Region and in Japan West Azure Region

Azure VMware Solution has expanded availability to Japan West and to France Central. With this release Japan West is now the second region within the Japan sovereign area to become available (joining Japan East).

SQL Server on Azure Virtual Machines: Multi subnet high availability

You can now simplify your SQL Server on Azure Virtual Machines high availability and disaster recovery configuration by deploying virtual machines in multiple subnets, eliminating the need for an Azure Load Balancer. Multi subnet configuration natively helps you match on-premises experience for connecting to your availability group listener or SQL Server failover cluster instance. Additionally, this feature doesn’t have any limitations on unique port or feature interoperability considerations like distributed network name (DNN) for availability group and failover cluster instance. Multi subnet configuration is natively supported by all versions of SQL Server and Windows Server Failover Cluster to simplify deployment, maintenance and improve failover time.

Azure Virtual Machines DCv3-series now available in Europe West and North (preview)

Announcing public preview expansion of the DCv3-series VMs to Europe West and North.

Storage

SFTP support for Azure Blob Storage (preview)

Starting today, SSH File Transfer Protocol (SFTP) support for Azure Blob Storage is available for public preview in select regions. Azure Blob Storage is the only storage platform that supports SFTP over object storage natively in a serverless fashion, enabling you to leverage object storage economics and features. With multi-protocol support, you can run your applications on a single storage platform with no application rewrites necessary, therefore eliminating data silos.

NFSv4.1 support on Azure Files

Azure Files support for NFS v4.1 on premium tier for both locally-redundant storage and zone-redundant storage is available. Now you can deploy these fully POSIX compliant, distributed NFS file shares in your production environments for a wide variety of Linux and container based workloads. Some example workloads include: highly available SAP application layer, enterprise messaging, user home directories, custom line-of-business applications, database backups, database replication, and devops pipelines. NFS 4.1 is available in all regions where the premium tier of Azure Files exists.

Azure Archive rehydration priority update

Azure Archive Storage provides a secure, low-cost means for retaining cold data, including backups and archival storage. Data stored in Archive Storage is offline and unavailable for read access until it is rehydrated to the hot or cool tier. You can choose to rehydrate data with standard or high priority, depending on the urgency of the retrieval request. Previously, it was not possible to change the retrieval priority after initiating a rehydration operation; priority had to be determined in advance, and there was no flexibility to update the priority if the retrieval urgency subsequently changed.

Archive Storage now supports updating the retrieval priority from standard to high while a rehydration operation is pending. You can simplify rehydration management and improve cost efficiency by initiating the rehydration operation with standard priority for a set of blobs, then updating the priority to high for any blobs that require faster retrieval.

Networking

VPN Gateways: increased connection limit

The max number of Site-to-Site/VNet-to-VNet connections on a VPN Gateway has been increased from 30 to 100 tunnels for SKUs VpnGw4, VpnGw5, VpnGw4AZ, and VpnGw5AZ.
This change does not affect legacy gateways with the High Performance SKU.

Azure Bastion: new features available with Standard SKU (preview)

With the new Azure Bastion native client support you can:

Connect to your target Azure virtual machine via Azure Bastion using Azure CLI and a native client on your local Windows machine
Log into Azure Active Directory-joined virtual machines using your Azure Active Directory credentials

Also, with the new Azure Bastion IP based connection capability you can now connect to any target resource reachable from your Bastion using its private IP address. This includes any reachable resources hosted on-premises or in other clouds, allowing you to achieve more secure global remote connectivity with Azure Bastion.

ExpressRoute now supports Azure Virtual Desktop Shortpath RDP over Private Peering

ExpressRoute Private Peering now supports Azure Virtual Desktop RDP Shortpath. After establishing the reverse connect transport, the client and session host starts the RDP connection. With RDP Shortpath configured, the client will require a direct connectivity with the session host to establish a secure TLS connection. You can leverage ExpressRoute Private peering to setup the direct connection to support RDP Shortpath.

L’edizione dedicata ad Azure di Windows Server 2022

Il nuovo sistema operativo Windows Server 2022 ha introdotto una nuova edizione speciale dedicata agli ambienti Azure, in grado di offrire funzionalità specifiche non disponibili nelle classiche edizioni Standard e Datacenter. In questo articolo vengono riportate le caratteristiche disponibili in questa edizione che consentono di indirizzare al meglio alcuni scenari in ambienti cloud.

Innanzi tutto, l’edizione Datacenter Azure di Windows Server 2022 è supportata esclusivamente nei seguenti ambienti:

Azure IaaS
Azure Stack HCI (21H2)

Windows Server 2022 Datacenter Azure Edition include tutte le funzionalità della versione Datacenter, in più offre le funzionalità descritte nei paragrafi seguenti, non disponibili al di fuori di questi ambienti.

Azure Extended Networking

Si tratta di una funzionalità progettata per risolvere la sfida di spostare le applicazioni ed i workload in esecuzione in ambiente on-premises nel cloud, quando è richiesto di mantenere gli stessi indirizzi IP associati alle macchine virtuali. Azure Extended Networking consente infatti di estendere in Azure una subnet esistente on-premises per permettere alle macchine virtuali di mantenere gli stessi indirizzi IP privati. Tutto ciò è reso possibile grazie al fatto che la rete viene estesa utilizzando un tunnel VXLAN bidirezionale tra due macchine virtuali Windows Server 2022 che ricoprono il ruolo di virtual appliance.

Figura 1 – Diagramma generico per estendere una subnet in Azure

Una virtual appliance deve essere in esecuzione in ambiente on-premises, mentre l’altra deve essere in esecuzione nel cloud e deve avere la Datacenter Azure Edition. Ogni subnet da estendere richiede la presenza di una coppia di queste virtual appliance. In questo modo è possibile mantenere i propri indirizzi IP privati in uso nell’ambiente on-premises anche in Azure e il tutto funziona in modo trasparente per gli applicativi. A questo proposito è bene specificare che è opportuno utilizzare questa funzionalità solo in scenari dove non risulta possibile procedere diversamente. Infatti, se possibile è sempre meglio modificare l’indirizzo IP e connettere direttamente i sistemi migrati a subnet esistenti in Azure. Questo tipo di configurazione può essere fatta utilizzando la procedura riportata nella documentazione ufficiale Microsoft, che prevede la presenza di Windows Admin Center connesso ad Azure.

SMB over QUIC

QUIC è un protocollo standard progettato per fornire una connessione affidabile su reti non sicure, come Internet. Infatti, QUIC utilizza un tunnel crittografato TLS 1.3 sulla porta UDP 443. Con SMB over QUIC tutto il traffico SMB, compreso il processo di autenticazione e di autorizzazione, rimane sempre all’interno di questo tunnel e non viene mai esposto sulla rete. In questo scenario SMB si comporta in modo standard all’interno del tunnel, pertanto l’esperienza utente e le capacità rimangono invariate. SMB over QUIC in Windows Server 2022 Datacenter Azure Edition utilizza la versione aggiornata del protocollo SMB (versione 3.1.1). Utilizzando SMB over QUIC, gli utenti e le applicazioni possono accedere in modo sicuro e affidabile ai dati presenti sui file server in esecuzione in ambiente Azure oppure ai file server dislocati negli edge, senza dover adottare delle connessioni VPN. Per maggiori dettagli è possibile consultare la documentazione ufficiale Microsoft.

Figura 2 – Configurazione di SMB over QUIC da Windows Admin Center

Hotpatch di Azure Automanage

La funzionalità Hotpatch, parte di Azure Automanage, risulta supportata in Windows Server 2022 Datacenter: Azure Edition. Al momento il supporto è per le installazioni effettuate in modalità Core, ma verrà in futuro esteso anche per le installazioni Desktop. L’hotpatching è un nuovo meccanismo, utilizzato per installare gli aggiornamenti sulle macchine virtuali Windows Server Azure Edition, che consente di ridurre i riavvi necessari per l’installazione degli aggiornamenti.

Figura 3 – Hotpatch per una macchina Windows Server 2022 in ambiente Azure

Azure Automanage permette di orchestrare l’installazione di patch di sicurezza on top ad un Cumulative Update, che viene rilasciato ogni tre mesi. Il Cumulative Update richiede un riavvio del sistema, ma le patch di sicurezza rilasciate tra i Cumulative Update possono modificare il codice in esecuzione in memoria senza la necessità di dover riavviare la macchina.

Per maggiori informazioni riguardanti questa funzionalità è possibile consultare la specifica documentazione Microsoft.

Conclusioni

Grazie a queste funzionalità, pensate per ambienti ibridi e totalmente integrate nel sistema operativo, Windows Server 2022 consente di aumentare notevolmente l’efficienza e l’agilità. Per scoprire tutte le novità introdotte in Windows Server 2022 è possibile consultare questa serie di articoli.

Azure IaaS and Azure Stack: announcements and updates (November 2021 – Weeks: 43 and 44)

In this dedicated post you can find the most important announcements and major updates officialized last week during Microsoft Ignite (November 2021) conference.

Azure

Compute

Zerto Disaster Recovery for Azure VMware Solution

Zerto Disaster Recovery is now available and supported with Azure VMware Solution, delivering data protection and disaster recovery services that eliminate data loss and downtime for vSphere virtual machines running on Azure VMware Solution environment.

Zerto Disaster Recovery for Azure VMware Solution supports the following 3 scenarios:

On-premises VMware to Azure VMware Solution for Hybrid disaster recovery
Azure VMware Solution to Azure VMware Solution for cloud-based disaster recovery
Azure VMware Solution to Azure IaaS for cloud-based disaster recovery

Azure Spot Virtual Machines: Try to restore functionality

You can now opt-in and use this feature while deploying Spot VMs using Virtual Machine Scale Sets. This new feature will automatically try to restore an evicted Spot VM to maintain the desired target compute capacity (e.g., number of VMs) in a scale set.

Storage

Azure File Sync agent v14

Improvements and issues that are fixed in the v14 release:

Improved server endpoint deprovisioning guidance in the portal. When removing a server endpoint via the portal, we now provide step by step guidance based on the reason behind deleting the server endpoint, so that you can avoid data loss and ensure your data is where it needs to be (server or Azure file share).
Invoke-AzStorageSyncChangeDetection cmdlet improvements. Microsoft has improved the Invoke-AzStorageSyncChangeDetection cmdlet and the 10,000 item limit no longer applies when scanning the entire share.
Azure File Sync is now supported in West US 3 region.
Reduced transactions when a file consistently fails to upload due to a per-item sync error.
Reliability and telemetry improvements for cloud tiering and sync.

To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.

More information about this release:

This release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 installations.
A restart is required for servers that have an existing Azure File Sync agent installation if the agent version is less than version 12.0.
The agent version for this release is 14.0.0.0.
Installation instructions are documented in KB5001872.

Ephemeral OS disks for Azure VMs support additional VM sizes

You now can choose where to store Ephemeral OS disks, either in VM temp disk or on VM cache. This feature enables Ephemeral OS disks to be created for all the VMs, which don’t have cache or have an insufficient cache (such as Dav3, Dav4, Eav4, and Eav3) but has sufficient temp disk to host the Ephemeral OS disk.

Networking

New Azure Firewall Premium capabilities

Several new Azure Firewall Premium capabilities are available:

Azure Firewall Premium availability in more regions. Azure Firewall Premium is now available in both Microsoft Government Cloud and Azure China 21Vianet. This expansion makes Azure Firewall Premium now available in 44 Azure regions.
Terraform support for Firewall Policy Premium. Azure Firewall Premium supports a range of DevOps tools including Azure CLI, PowerShell, REST API. Customers can now use Terraform, a popular open-source tool used by DevOps for implementing infrastructure as code, to manage their Azure Firewall Premium.
Web categories Category Check (in preview). Web categories lets administrators allow or deny user access to web site categories such as gambling websites, social media websites, and others. Often customers want to check what categories does a specific URL fall under. Customers can now use the convenience of Azure Portal to determine URL web categories and share feedback if the category is not accurate.
Migrate to Premium SKU using Stop/Start approach. If you use Azure Firewall Standard SKU with Firewall Policy, you can use the Allocate/Deallocate method to upgrade your Firewall SKU to Premium. This migration approach is supported on both VNET Hub and Secure Hub Firewalls. Secure Hub deployments will be upgraded while preserving the public IP of the firewall.

Extended regional availability for Private Link NSG Support and for Private Link UDR Support

Private Endpoint support for Network Security Groups (NSGs) and Private Endpoint support for User Defined Routes (UDRs) are now in public preview.

Private Endpoint support for Network Security Groups (NSGs) enhancement will provide you with the ability to enable advanced security controls on traffic destined to a private endpoint.
Private Endpoint support for User Defined Routes (UDRs) enhancement will provide you with the ability to apply custom routes to traffic destined to a private endpoint with a wider subnet range.

At this time, this features are available in the following regions: UsEast2Euap, UsCentralEuap, WestCentralUS, WestUS, WestUS2, EastUS, EastUS2, Asiaeast, Australiaeast, Japaneast, Canadacentral, Europenorth, Koreacentral, Brazilsouth, Uksouth, US South, US North, and France Central.

ExpressRoute IPv6 Support for Private Peering

IPv6 support for ExpressRoute Private Peering is now generally available with ExpressRoute circuits and Azure environments globally. IPv6 support will unlock hybrid connectivity for you as you look to expand into mobile and IoT markets with Azure, or to address IPv4 exhaustion in your on-premise networks.

Azure Management services: le novità di ottobre 2021

Nel mese di ottobre sono state annunciate da parte di Microsoft un numero considerevole di novità riguardanti gli Azure management services. Tramite questi articoli rilasciati con cadenza mensile voglio fornire una panoramica complessiva delle principali novità del mese, in modo da poter rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare ulteriori approfondimenti.

Monitor

Azure Monitor

Disponibilità e supporto delle availability zones in nuove regions

Azure Monitor Log Analytics è disponibile nelle seguenti nuove region:

West US 3
Korea South
Canada East

Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Inoltre, è stato introdotto il supporto per le Availability Zones nella region di West US 2 per Azure Monitor Log Analytics ed Application Insights, che consente di garantire una maggiore disponibilità per i log presenti nei Workspace.

Azure Monitor container insights: aggiornamento dell’esperienza utente dal portale

L’esperienza utente dal portale per Azure Monitor container insights è stata aggiornata e consente di:

Ottenere più facilmente informazioni dettagliate sui container
Visualizzare l’utilizzo delle risorse come capacità allocabile
Usufruire di nuove metriche e di nuovi alert consigliati

Azure Monitor Query SDK

Microsoft ha rilasciato l’SDK di Azure Monitor Query per .NET, Java, JavaScript/TypeScript e Python. Questo nuovo SDK consente agli sviluppatori di creare applicazioni che eseguono query di sola lettura su log e metriche di Azure Monitor, in modo che possano analizzare e visualizzare i dati in modi personalizzati. L’SDK è stato modernizzato per seguire le linee guida dell’SDK di Azure ed essere idiomatico per ogni linguaggio di programmazione. Inoltre, introduce una serie di aggiornamenti e nuove funzionalità.

Azure Monitor application insights in Azure Spring Cloud

Grazie a questa nuova integrazione in Azure Monitor Application Insights risulta possibile abilitare il monitoraggio delle applicazioni Java Spring Boot in esecuzione in Azure Spring Cloud con pochi semplici passaggi e senza apportare nessuna modifica al codice.

Govern

Azure Cost Management

Aggiornamenti relativi ad Azure Cost Management and Billing

Secure

Azure Security Center

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Azure Security Center

Lo sviluppo di Azure Security Center è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

Protect

Azure Backup

Backup multipli durante il giorno per Azure Files

Mantenere l’RPO basso è spesso un requisito chiave per Azure Files che contengono dati business-critical aggiornati frequentemente. Per garantire una perdita di dati minima, in caso di emergenza oppure di modifiche indesiderate al contenuto, le organizzazioni potrebbero avere la necessità di effettuare i backup più frequentemente di una volta al giorno. Azure Backup ora consente di creare policy di backup per effettuare più snapshot al giorno. Con questa funzionalità risulta inoltre possibile definire la durata dei processi di backup.

Supporto per l’Archive storage per il backup delle VMs e di SQL a bordo di VMs utilizzando il portale Azure

In Azure Backup nel mese di agosto è stata annunciata la possibilità di spostare i recovery point sul tier Vault-Archive di Azure Storage per risparmiare sui costi e conservare i dati di backup per una durata maggiore. Questa funzionalità è disponibile per le VMs di Azure e per i SQL Server installati a bordo delle VMs di Azure. Inizialmente questa possibilità veniva data solo utilizzando Azure PowerShell, mentre ora è possibile spostare questi backup dal standard tier al nuovo archive tier anche dal portale Azure.

Quando si spostano i dati di backup dal vault-standard al vault-archive, Azure Backup converte i dati incrementali in backup full. Questo procedimento comporta un aumento dei GB complessivi utilizzati, ma i costi si riducono a causa dell’enorme differenza del costo per GB tra i due livelli di archiviazione. Per semplificare questo procedimento, Azure Backup fornisce dei consigli sui Recovery Points (RPs) per i quali è consigliata la migrazione nel vault-archive. I ripristini è sempre possibile farli in modo integrato dal portale di Azure, con un processo semplice e intuitivo.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.