New features are constantly added to Azure NetApp Files and previously released preview features are moved into general availability. The following capabilities have recently received general availability status and no longer need registration for use:
Il nuovo anno è iniziato con diversi annunci da parte di Microsoft riguardanti novità relative agli Azure managementservices. Il rilascio mensile di questo riepilogo consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Novità riguardanti gli alert di Azure Monitor
In Azure Monitor sono state introdotte le seguenti novità in merito agli alert:
Frequenza di 1 minuto per gli alert log. Gli alert log consentono agli utenti di utilizzare una query di Log Analytics per valutare, con una frequenza impostata, i log delle risorse e attivare un alert in base ai risultati ottenuti. Le regole possono attivare una o più azioni utilizzando gli Action Group. Ora si ha la possibilità di valutare la query di alert ogni minuto, riducendo così il tempo complessivo per l’attivazione di un alert log. Adottando questa frequenza di valutazione è opportuno tenere in considerazione che si ha un impatto anche sui costi di Azure Monitor.
Nuova modalità di creazione delle alert rule: l’esperienza di creazione di una alert rule si è trasformata da un processo articolato in una procedura guidata semplice e intuitiva.
Nuovo agente: supporto per i Private Link
Il nuovo agente di Azure Monitor ha introdotto il supporto per le configurazioni di rete tramite private link. Questa configurazione consente di operare in ambienti con restrizioni che richiedono requisiti di rete speciali ed un elevato grado di isolamento.
Nuova versione dell’agente per sistemi Linux
Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Linux grazie al quale vengono introdotti diversi miglioramenti e una maggiore stabilità.
Govern
Azure Cost Management
Miglioramenti nelle raccomandazioni di Azure Advisor per le macchine virtuali
In Azure è stata migliorata la raccomandazione di Azure Advisor denominata “Shutdown/Resize your virtual machines”. Questa raccomandazione offre ai clienti l’opportunità di risparmiare sui costi prendendo di mira le macchine virtuali che non vengono utilizzate in modo efficiente.
Tra i principali miglioramenti apportati troviamo:
Ridimensionamento delle serie tra SKU differenti: fino a questa nuova versione, i consigli per il ridimensionamento forniti da Azure Advisor erano principalmente all’interno della stessa famiglia di SKU. Questo significa che se si stava utilizzando una D3 v2 in modo inefficiente, veniva consigliata un D2 v2 oppure una D1 v2, ovvero una SKU più piccola ma all’interno della stessa famiglia. Ora le raccomandazioni tengono in considerazione, per aumentare i risparmi, la possibilità di spostarsi in famiglie differenti andando ad utilizzare SKU che si adattano perfettamente al workload sulla base dei dati raccolti.
Adozione delle nuove versioni delle famiglie di SKU: in generale, le versioni più recenti delle famiglie di SKU sono più ottimizzate, offrono più funzionalità e un rapporto prestazioni/costo migliore rispetto alle versioni precedenti. Se viene rilevato che il workload è in esecuzione su una versione precedente e può ottenere vantaggi in termini di costi senza influire sulle prestazioni su una versione più recente, viene segnalato da Azure Advisor.
Miglioramenti sulla qualità delle segnalazioni: Microsoft ha ricevuto il feedback che alcune raccomandazioni non erano attuabili in quanto non tenevano in considerazione determinati criteri. Per migliorare quindi la qualità delle raccomandazioni ora vengono generate tenendo in considerazione ancora più caratteristiche, come il supporto di rete accelerato, il supporto allo storage premium, la disponibilità in una regione, l’inclusione in un availability set, ecc. . Inoltre, per aumentare la qualità, la robustezza e l’applicabilità delle raccomandazioni è stato completamente rinnovato l’intero motore delle raccomandazioni per basarlo su nuovi algoritmi di machine learning automatici e all’avanguardia.
Multitasking nell’analisi dei costi (preview)
Azure Cost Management introduce una nuova esperienza di analisi dei costi che consente di effettuarle in modo più efficace. L’anteprima include una nuova esperienza a tab per semplificare l’analisi. Iniziando da un elenco delle viste integrato è possibile aprire più tab per esplorare contemporaneamente diversi aspetti dei costi.
Aggiornamenti relativi ad Azure Cost Management and Billing
Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.
Secure
Microsoft Defender for Cloud
Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud
Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Microsoft Defender per Resource Manager è stato aggiornato con nuovi alert ed è stata introdotta una maggiore enfasi sulle operazioni ad alto rischio mappate su MITRE ATT&CK® Matrix
Introdotte raccomandazioni per abilitare i piani di Microsoft Defender sui workspace (preview)
Provisioning automatico dell’agente di Log Analytics su macchine abilitate per Azure Arc (preview)
Protect
Azure Backup
Cambiamenti nelle impostazioni di sicurezza
Azure Backup ha recentemente rilasciato le seguenti modifiche riguardanti le impostazioni di sicurezza per i workload protetti tramite Microsoft Azure Recovery Service Agent, Azure Backup Server, oppure System Center Data Protection Manager:
Integrazione con MUA (Multi-user authorization): l’operazione di “disabilitazione delle funzioni di sicurezza” è ora definita come un’operazione critica che può essere protetta da una Resource Guard.
Per fornire protezione contro l’eliminazione accidentale o dannosa, non è più possibile annullare la registrazione di un server protetto se le funzioni di sicurezza sono abilitate per il vault e sono presenti elementi di backup associati, in stato attivo o di eliminazione soft.
I clienti non dovranno sostenere alcun costo per i dati di backup conservati nello stato di soft delete.
La policy di backup non viene applicata ai dati conservati nello stato di soft delete e quindi nessun dato viene eliminato per 14 giorni.
Azure Site Recovery
Supporto per le Azure Policy
Microsoft ha introdotto la possibilità di utilizzare le Azure Policy per abilitare Azure Site Recovery per le macchine virtuali (VM) su larga scala, consentendo così di aderire più facilmente e rapidamente agli standard organizzativi. Dopo aver creato una policy di Disaster Recovery per una determinata subscription oppure per un resource group specifico, tutte le nuove macchine virtuali aggiunte a tale subscription oppure al resource group avranno Azure Site Recovery abilitato automaticamente. La policy in questione si chiama “Configure disaster recovery on virtual machines by enabling replication via Azure Site Recovery“. Oltre a consentire l’abilitazione della replica per le macchine virtuali su larga scala, le Policy permettono di mantenere il controllo sul raggiungimento degli standard organizzativi. Infatti, è possibile monitorare la conformità alle policy e, se si rileva che macchine virtuali non sono conformi, è possibile creare un’attività di remediation per rendere la subscription oppure il resource group conforme al 100%.
Supporto per i Managed Diskdi tipologia Zone Redundant Storage (ZRS)
Azure Site Recovery (ASR) ha introdotto il supporto per i dischi managed di tipologia ZRS. Pertanto, ASR consente ora di proteggere le macchine virtuali che sfruttano i dischi managed ZRS, replicandoli in un region secondaria a scelta. ASR identifica i dischi di origine come dischi managed ZRS e crea dischi managed ZRS equivalenti nella region secondaria. Se si verifica un’interruzione in una region e si rende necessario eseguire il failover nella region secondaria, ASR attiverà le macchine virtuali nella region secondaria con dischi managed ZRS, garantendo lo stesso livello di resilienza.
Migrate
Azure Migrate
Nuovi rilasci e funzionalità di Azure Migrate
Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Microsoft is announcing a price reduction on the DCsv2 and DCsv3-series VMs by up to 33%. The price reduction enables the data protection benefits of ACC with no premium compared to general purpose VMs on a per physical core basis. New prices took effect on 1/1/2022. If you are already using DCsv2 and DCsv3-series VMs prior to 1/1/2022, you will see the price reduction in your next bill.
Storage
Azure Ultra Disk Storage is available in West US 3
Azure Ultra Disk Storage is now available in West US 3. Azure Ultra Disks offer high throughput, high IOPS, and consistent low latency disk storage for Azure virtual machines (VMs). Ultra Disks are suited for data-intensive workloads such as SAP HANA, top tier databases, and transaction-heavy workloads.
Networking
Multiple custom BGP APIPA addresses for active VPN gateways
All SKUs of active-active VPN gateways now support multiple custom BGP APIPA addresses for each instance. Automatic Private IP Addressing (APIPA) addresses are commonly used as the BGP IP addresses for VPN connectivity. In addition to many on-premises VPN devices requiring multiple custom APIPA addresses for BGP, this feature enables BGP connections to Amazon Web Services (AWS) and other cloud providers.
Load Balancer SKU upgrade through PowerShell script
You can now upgrade your Azure Load Balancer from Basic SKU to Standard SKU by using a PowerShell script. By upgrading to Standard SKU, the Load Balancer enables the network layer traffic to drive higher performance and stronger resiliency, along with an improved integration experience with other Azure services. The PowerShell script creates the Standard SKU Load Balancer with the same configurations as the Basic Load Balancer. In addition, the script migrates the backend resources to the Standard Load Balancer for you.
Azure Traffic Manager: additional IP addresses for endpoint monitoring service
Traffic Manager uses a probing mechanism to evaluate your application endpoints. To enhance the capacity of our probing plane, Microsoft will be increasing the number of probes deployed within Traffic Manager’s endpoint monitoring service over the next few years to continue to mitigate the large amount of growth. Your applications will see an increase in number of health probes and some of these probes may originate from new IP addresses. These changes will start to go live on 21st January 2022 at 20:00 UTC.
Recommended action: if you use a network access control mechanism (e.g., Azure Firewall or Network Security Groups) and are not using Service Tags (AzureTrafficManager), please continue checking this updated list of IP addresses each Wednesday, until further notice, to ensure you allow incoming traffic from these new IP addresses. Failure to do so may cause some Traffic Manager health probes for the application endpoints to fail and may result in misrouting of traffic. No action is required access control isn’t used or network access control is utilized with AzureTrafficManager service tags.
Nel momento in cui si decide di intraprendere una strategia basata su un cloud ibrido, che combina le risorse IT on-premises con le risorse ed i servizi del cloud pubblico, è opportuno valutare attentamente come connettere la propria rete locale con le reti virtuali presenti nel cloud pubblico. In Azure una possibilità è quella di utilizzare ExpressRoute, una connessione privata e dedicata che avviene tramite un provider di connettività di terze parti. In questo articolo vengono riportate le possibili architetture di rete con ExpressRoute, insieme ad una serie di accorgimenti da tenere in considerazione per un deployment di successo.
Molto spesso viene utilizzata una VPN Site-to-site per stabilire la connettività tra le risorse on-premise e le risorse in ambiente Azure attestate sulle Virtual Network. Questo tipo di connettività è ideale per i seguenti casi d’uso:
Ambienti di sviluppo, test, laboratori, ma anche workload di produzione dove le risorse dislocate in ambiente Azure non un utilizzano in modo intensivo e strategico la connettività verso l’ambiente on-premises e viceversa.
Quando si ha una tolleranza accettabile per quanto riguarda la larghezza di banda e la velocità nella connessione ibrida.
Ci sono alcuni casi d’uso però dove è opportuno configurare ExpressRoute, secondo le best practice Microsoft, per garantire una connettività bidirezionale tra la rete on-premise e le reti virtuali (vNet) di Azure del cliente. Infatti, ExpressRoute risulta adatto per i seguenti casi d’uso:
Se si devono soddisfare requisiti di alta velocità, connessione a bassa latenza e di disponibilità/resilienza elevata.
In presenza di carichi di lavoro mission-critical che fanno uso di una connettività ibrida.
Che cos’è ExpressRoute?
Grazie ad ExpressRoute è possibile attivare una connessione privata dedicata, fornita da un provider di connettività di terze parti, per estendere la rete locale in Azure. Le connessioni ExpressRoute non passano attraverso la rete Internet pubblica. In questo modo possono offrire un livello di sicurezza superiore, maggiore affidabilità, velocità più elevate e latenze coerenti rispetto alle connessioni Internet tradizionali.
Figura 1 – Schema logico di ExpressRoute
Le connessioni ExpressRoute abilitano l’accesso ai servizi seguenti:
Servizi di Microsoft Azure (scenario trattato in questo articolo).
Servizi di Microsoft 365. Microsoft 365 è stato progettato per essere accessibile in modo sicuro e affidabile tramite Internet. Per questo motivo è consigliabile utilizzare ExpressRoute con Microsoft 365 solo in determinati scenari, come descritto in questo articolo Microsoft.
Risulta possibile creare una connessione ExpressRoute tra la rete locale ed il cloud Microsoft tramite quattro differenti modalità:
Figura 2 – Modelli di connettività di ExpressRoute
I provider di connettività possono offrire uno o più modelli di connettività ed è possibile scegliere il modello più appropriato per le proprie esigenze di connettività.
Architetture di riferimento
La seguente architettura di riferimento mostra come è possibile connettere la rete locale alle reti virtuali in Azure, usando Azure ExpressRoute.
Figura 3 – Architettura di riferimento per estendere una rete locale con ExpressRoute
L’architettura sarà costituita dai seguenti componenti.
Rete aziendale locale (nello schema “On-premises network”). Si tratta della rete locale privata del Cliente.
Edge router locali. Si tratta dei router che collegano la rete locale al circuito gestito dal provider.
ExpressRoute Circuit. Si tratta di un circuit layer 2 oppure layer 3, fornito dal provider di connettività, che unisce la rete locale ad Azure tramite edge router. Il circuit utilizza l’infrastruttura hardware gestita dal provider di connettività.
Edge router Microsoft. Si tratta di router in una configurazione ad alta disponibilità attivo-attivo. Questi router consentono al provider di connettività di connettere i propri circuit direttamente al data center.
Virtual network gateway (ExpressRoute). Il gateway di rete virtuale ExpressRoute consente alla rete virtuale (VNet) di Azure di connettersi al circuito ExpressRoute usato per la connettività con la rete locale.
Reti virtuali di Azure (VNet). Rete virtuali che risiedono in una region di Azure.
Nell’architettura sopra descritta, ExpressRoute sarà utilizzato come canale di connettività principale per connettere la rete locale ad Azure.
Inoltre, è possibile prevedere l’utilizzo di una connessione VPN site-to-site come fonte di connettività di backup per migliorare la resilienza della connettività. In questo caso l’architettura di riferimento sarà la seguente:
Figura 4 – Architettura di riferimento per utilizzare sia ExpressRoute sia una connessione VPN site-to-site
In questo scenario sono previsti, in aggiunta ai componenti architetturali descritti in precedenza, i seguenti componenti:
Appliance VPN on-premises. Un dispositivo oppure un servizio che fornisce connettività esterna alla rete locale. L’appliance VPN può essere un dispositivo hardware oppure una soluzione software supportata per la connessione ad Azure.
Virtual network gateway (VPN). Il gateway di rete virtuale VPN consente alla rete virtuale di connettersi all’appliance VPN presente nella rete locale.
Connessione VPN. La connessione ha proprietà che specificano la tipologia di connessione (IPSec) e la chiave condivisa con l’appliance VPN locale per crittografare il traffico.
Come monitorare ExpressRoute
Per consentire di monitorare le risorse di rete in presenza di una connettività ExpressRoute si può adottare lo strumento di piattaforma Azure Monitor, attraverso il quale è possibile verificare la disponibilità, le prestazioni, l’utilizzo ed il funzionamento di tale connettività.
Si riporta a titolo di esempio una schermata della soluzione.
Figura 5 – Monitor dei circuit ExpressRoute tramite Azure Monitor
Mediante questa soluzione verrà fornito un mapping dettagliato della topologia di tutti i componenti di ExpressRoute (peering, connessioni, gateway) in relazione tra loro. Le informazioni dettagliate sulla rete per ExpressRoute includeranno una dashboard attraverso la quale è possibile consultare le metriche, la velocità effettiva, l’eventuale drop di pacchetti di rete e le metriche del gateway.
Si riporta a titolo di esempio una schermata della dashboard che mostra il Throughput totale del traffico in ingresso ed in uscita per il circuit ExpressRoute (espresso in bit/secondo). Inoltre, risulta possibile visualizzare il throughput per le singole connessioni.
Figura 6 – Metriche relative al Throughput delle connection ExpressRoute
Microsoft nelle security baseline per ExpressRoute, riferite all’Azure Security Benchmark versione 1.0, il set di linee guida specifico per Azure creato da Microsoft, fornisce diverse indicazioni che è consigliato seguire. Tra le principali che è opportuno adottare troviamo:
Definizione e implementazione delle configurazioni di sicurezza standard per Azure ExpressRoute utilizzando le Azure Policy.
Utilizzo di tag per i componenti Azure ExpressRoute in modo da fornire metadati e un’organizzazione logica e strutturata delle risorse.
Applicazione di lock per evitare la cancellazione oppure la modifica accidentalenon voluta dei componenti Azure relativi alla configurazione ExpressRoute.
Utilizzo degli strumenti della piattaforma Azure per monitorare le configurazioni delle risorse di rete e rilevare le modifiche relative alle risorse di rete delle connessioni ExpressRoute. Creazione di Alert in Azure Monitor da generare quando vengono apportate modifiche alle risorse critiche.
Configurazione della raccolta centralizzata degli Activity Log per i componenti ExpressRoute.
Conclusioni
ExpressRoute offre una connessione veloce e affidabile ad Azure con larghezze di banda che possono raggiungere fino ai 100 Gbps. Si tratta quindi di un’opzione ideale per scenari specifici come la migrazione periodica dei dati, la replica a fini di business continuity, il disaster recovery, e l’attivazione di strategie di alta disponibilità. Grazie all’elevata velocità ed ai tempi di latenza ridotti di ExpressRoute, Azure sembrerà una naturale estensione dei propri data center. In questo modo è possibile trarre vantaggio dalla scalabilità e dall’innovazione del cloud pubblico senza compromessi in termini di prestazioni di rete.
In the past two weeks, Microsoft hasn’t made any major announcements regarding these topics. However, here are some links to interesting videos made by John Savill, Principal Cloud Solution Architect at Microsoft:
Nel mese di dicembre sono state annunciate da parte di Microsoft novità riguardanti gli Azure managementservices. Grazie al rilascio di questo riepilogo, che avviene con frequenza mensile, si vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Audit Logs per le query di Azure Monitor
Azure Monitor consente di raccogliere dati dell’intero ecosistema, inclusi i dati di telemetria a livello di applicazione e di sistema operativo, log di sicurezza, log di rete, log di diagnostica dalle risorse Azure e log personalizzati. Tutti questi dati possono essere interrogati con il potente linguaggio KQL, utile per ottenere informazioni dettagliate ed effettuare correlazioni. Microsoft ha incluso la possibilità di controllare le query di Azure Monitor. Infatti, abilitando tale funzionalità mediante il meccanismo di diagnostica di Azure, è possibile raccogliere dati di telemetria su chi ha eseguito una query, quando è stata eseguita, quale strumento è stato usato per eseguire la query, il testo della query e le statistiche sulle prestazioni relative all’esecuzione della query. Questa telemetria, come qualsiasi altra telemetria basata su Azure Diagnostic, può essere inviata ad un Azure Storage Blob, ad un Azure Event Hub, oppure nei log di Azure Monitor.
Govern
Azure Cost Management
Aggiornamenti relativi ad Azure Cost Management and Billing
Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.
Secure
Microsoft Defender for Cloud
Microsoft Defender for Containers aggiunge nuove funzionalità per Kubernetes(preview)
Microsoft Defender for Containers, è una nuova offerta che unisce le funzionalità di Azure Defender for Kubernetes e Azure Defender for Container registries, aggiungendo diverse nuove funzionalità relative a Kubernetes su Azure:
Profilo AKS: onboarding e manutenzione come profilo AKS, in modo da non avere più una dipendenza dall’agente di Log Analytics.
Supporto multi cloud: supporto multi cloud per AKS, Amazon EKS, Kubernetes on-prem/IaaS (GCP verrà aggiunto in futuro).
Visibilità delle vulnerabilità: una nuova raccomandazione effettua il monitor dei cluster Kubernetes e mostra un elenco di immagini in esecuzione con le eventuali vulnerabilità, basate su scansioni di valutazione fornite da Qualys. Questo consente di concentrarsi sulle vulnerabilità più critiche che espongono i gli ambienti di runtime a minacce e attacchi alla sicurezza.
Protezione avanzata dalle minacce: analisi di AI compatibili con Kubernetes e rilevamento delle anomalie.
Valutazione della vulnerabilità ACR migliorata: la raccomandazione sulla valutazione della vulnerabilità di Azure Container Registry (ACR) è stata migliorata con l’aggiunta di informazioni di runtime ai risultati della scansione delle immagini. Questo consente l’assegnazione di priorità e di applicare filtri in base allo stato di distribuzione dell’immagine.
Scansione continua delle immagini: oltre alla scansione periodica delle immagini di Azure Container Registry (ACR) negli ultimi 30 giorni, la scansione continua delle immagini esegue periodicamente la scansione delle immagini ACR in esecuzione sui cluster Kubernetes.
Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud
Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Microsoft Defender for Cloud, precedentemente noto come Azure Security Center ed Azure Defender, è una soluzione di Cloud Security Posture Management (CSPM) e per la protezione dei workload, in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i carichi di lavoro in ambienti ibridi e multi-cloud. Per le realtà che stanno adottando una strategia multi-cloud e che necessitano di elevati standard di sicurezza per il proprio ambiente è importante sapere che Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). In questo articolo viene riportato come proteggere ambienti AWS utilizzando Microsoft Defender for Cloud.
I pilastri della sicurezza contemplati da Microsoft Defender for Cloud
Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza del cloud:
Cloud Security Posture Management (CSPM) in grado di fornire le seguenti funzionalità:
Visibilità: per valutare la situazione attuale in merito alla sicurezza.
Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace
Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST).
Defender for Cloud assegna un punteggio globale all’ambiente ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.
Cloud workload protection (CWP): Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.
Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in locale:
Figura 1 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud
La protezione delle risorse AWS
Per proteggere con questa soluzione le risorse su altri cloud pubblici esiste ormai da tempo un meccanismo che prevede l’utilizzo di connettori di interfacciamento con gli account AWS e GCP. Il processo di onboarding del proprio account AWS era basata sull’integrazione della soluzione AWS Security Hub, come descritto nel dettaglio in questo articolo.
Ora è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e non ha dipendenza da altre soluzioni, come AWS Security Hub. L’esperienza di onboarding è progettata per funzionare facilmente su larga scala, semplicemente collegando il proprio master account AWS, che permette di effettuare automaticamente l’onboarding degli account esistenti e futuri.
Figura 2 – Connessione di AWS a Microsoft Defender for Cloud
Questo meccanismo estende facilmente le funzionalità di sicurezza avanzate di Defender for Cloud alle proprie risorse AWS e comprende le seguenti aree.
Figura 3 – Piani di protezione disponibili
Cloud Security Posture Management (CSPM) per AWS
Le funzionalità CSPM di Defender for Cloud vengono estese alle proprie risorse AWS. Questo piano agentless valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste vengono contemplate nel calcolo del security score globale. Per fornire una visione complessiva sullo stato di sicurezza dei propri ambienti multi-cloud, anche le raccomandazioni relative alla sicurezza di AWS sono integrate nel portale Defender for Cloud, insieme ai consigli di Azure. Sono stati implementate da Microsoft oltre 160 raccomandazioni pronte all’uso per i servizi IaaS e PaaS e tre standard normativi tra cui AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Tutto questo consente di rafforzare la propria security posture contemplando al meglio anche le risorse AWS. Inoltre, è possibile personalizzare i modelli esistenti oppure crearne dei nuovi che contengono le proprie raccomandazioni ed i propri standard per verificare la compliance dei requisiti interni.
Figura 4 – Raccomandazioni per AWS integrate in Defender for Cloud
Cloud workload protection (CWP) per AWS
Per AWS al momento è prevista la protezione avanzata per i seguenti workload:
Protezione dei server: Microsoft Defender for server offre il rilevamento delle minacce e la difese avanzate anche per le istanze EC2, sia per sistemi Windows sia per sistemi Linux. Questo piano include la licenza integrata per Microsoft Defender for Endpoint e diverse funzionalità, tra le quali: Security baselines e assessment a livello di SO, Vulnerability assessment, Adaptive Application Controls (AAC) e File Integrity Monitoring (FIM).
Protezione dei container: Microsoft Defender for Containers estende il rilevamento delle minacce per i container e le difese avanzate di Defender for Kubernetes ai cluster Amazon EKS (Elastic Kubernetes Service). Affinché Defender for Kubernetes sia in grado di proteggere i cluster AWS EKS, è necessaria la presenza di Azure Arc-enabled Kubernetes e dell’extension di Defender.
Figura 5 – Alert e raccomandazioni per i cluster EKS
NOTA: Per coloro che hanno hai già configurato un connettore AWS tramite i connector cloud classici, è consigliato connettere nuovamente l’account utilizzando il nuovo meccanismo.
Costo della soluzione
Se si decide di attivare questa integrazione valgono le seguenti indicazioni sui costi:
Il piano CSPM è gratuito. Per fornire le raccomandazioni il piano CSPM interroga le API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano alcun addebito, ma vengono registrate in CloudTrail nel caso in cui sia stato abilitato il trail per gli eventi di lettura. Come riportato nella documentazione AWS, questo non comporta costi aggiuntivi per il mantenimento. Occorre però fare attenzione ed eventualmente filtrare questi eventi se sono previsti delle esportazioni di dati (ad esempio per farli confluire in un SIEM esterno).
Il piano Defender for Containers verrà fatturato allo stesso prezzo del piano Defender for Kubernetes per le risorse di Azure.
Per ogni macchina AWS connessa ad Azure mediante Azure Arc, il piano Defender per server viene fatturato allo stesso prezzo del piano Microsoft Defender per server per le macchine Azure.
Conclusioni
Microsoft Defender for Cloud, originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure, estendere e perfeziona le proprie funzionalità per contemplare anche altri cloud pubblici. In particolare, grazie al nuovo meccanismo di integrazione con AWS è possibile adottare in modo nativo una soluzione di CSPM ed abilitare la protezione dalle minacce per i workload di elaborazione in Amazon Web Services (AWS). Questo consente di ottenere un elevato grado di sicurezza, di migliorare le security posture in ambienti multi-cloud e di semplificare la gestione degli strumenti utili per governare la sicurezza.
Public preview of VM restore point is available, a new resource that stores VM configuration and a point-in-time snapshot of one or more managed disks attached to a VM. VM restore points supports multi-disk application consistent snapshots and can be leveraged to easily capture backups of your VM and disks. You can easily restore the VM using VM restore points in cases of data loss, corruption, or disasters. Microsoft is also introducing a new Azure Resource Manager (ARM) resource called Restore Point Collection, which will act as a container for all the restore points of a specific VM.
Placement polices for Azure VMware Solution
Placement policies are used to define constraints for running virtual machines in the Azure VMware Solution Software-Defined Data Center (SDDC). These constraints allow the you to decide where and how the virtual machines should run within the SDDC clusters. Placement polices are used to support performance optimization of virtual machines (VMs) through policy, and help mitigate the impact of maintenance operations to policies within the SDDC cluster.
Storage
Secure access to storage account from a virtual network/subnet in any region (preview)
You can secure access to your storage account by enabling a service endpoint for Storage in the subnet and configuring a virtual network rule for that subnet through the Azure storage firewall. You can now configure your storage account to allow access from virtual networks and subnets in any Azure region. By default, service endpoints enable connectivity from a virtual network to a storage account in the same Azure region as the virtual network or it’s paired Azure region. This preview enables you to register your subnet to allow service endpoint connectivity to storage accounts in any Azure region across the globe.
Attribute-based Access Control (ABAC) conditions with principal attributes (preview)
Attribute-based access control (ABAC) is an authorization strategy that defines access levels based on attributes associated with security principals, resources, requests, and the environment. Azure ABAC builds on role-based access control (RBAC) by adding conditions to Azure role assignments expressed as a predicate using these attributes. This update to the preview enables the use of Azure AD custom security attributes for principals in role assignment conditions. You can now use combine principal attributes with resource and request attributes in your condition expressions.
Soft delete for blobs capability for Azure Data Lake Storage
Soft delete for blobs capability for Azure Data Lake Storage is now generally available. This feature protects files and directories from accidental deletes by retaining the deleted data in the system for a specified period of time. During the retention period, you can restore a soft-deleted object, i.e. file or directory, to its state at the time it was deleted. After the retention period has expired, the object is permanently deleted. All soft deleted files and directories are billed at the same rate as active ones until the retention period has expired.
Azure Stack
Azure Stack HCI
Windows Server guest licensing offer for Azure Stack HCI (preview)
To facilitate guest licensing for Azure Stack HCI customers, we are pleased to announce a new offer that brings simplicity and more flexibility for licensing. The new Windows Server subscription for Azure Stack HCI is available in public preview as of December 14, 2021. This offer will allow you to purchase unlimited Windows Server guest licenses for your Azure Stack HCI cluster through your Azure subscription. You can sign up and cancel anytime and preview pricing is $0 until general availability (GA). At GA, the offer will be charged at $23.60 per physical core per month. This offer simplifies billing through an all-in-one place Azure subscription and in some cases will be less expensive for customers than the traditional licensing model.
La tendenza che si riscontra frequentemente in differenti contesti aziendali è quella di ricorrere a strategie ibride e multi-cloud per i propri ambienti IT. Tutto ciò consente di intraprendere un percorso di innovazione digitale con grande flessibilità ed agilità. Per farlo nel migliore dei modi è opportuno adottare tecnologie che consentano di creare nuove opportunità e allo stesso tempo di gestire le sfide intrinseche in questi nuovi paradigmi. In Microsoft è stata ideata una soluzione specifica e prende il nome di Azure Arc. Uno dei benefici cruciali di Azure Arc è quello di estendere le pratiche di gestione e di governance di Azure anche ad ambienti differenti e di adottare soluzioni e tecniche che tipicamente vengono utilizzate in ambiente cloud anche per gli ambienti on-premises. In questo articolo viene approfondito come Microsoft ha recentemente migliorato in Azure Arc il processo di integrazione delle infrastrutture VMware vSphere e quali opportunità si possono cogliere da questa innovazione.
Perché adottare una strategia ibrida?
Tra le principali ragioni che portano i clienti a adottare una strategia ibrida troviamo:
Workload che non possono essere spostati nel cloud pubblico a causa dei requisiti normativi e di sovranità dei dati. Questo aspetto solitamente è comune in settori altamente regolamentati come servizi finanziari, ambienti sanitaria e governativi.
Alcuni workload, in particolare quelli che risiedono negli edge, richiedono basse latenze.
Molte aziende hanno fatto investimenti significativi nell’ambiente on-premises che desiderano massimizzare, quindi la scelta ricade nel modernizzare le applicazioni tradizionali che risiedono on-premises e le soluzioni adottate.
Garantire una maggiore resilienza.
Quali domande porsi per sfruttare e gestire al meglio ambienti ibridi e multi-cloud?
In situazioni dove si sta adottando una strategia ibrida oppure multi-cloud, le domande chiave che è opportuno porsi per trarre maggiori benefici sono:
Come posso visualizzare, governare e proteggere le risorse IT, indipendentemente da dove sono in esecuzione?
C’è la possibilità di portare l’innovazione del cloud anche nell’infrastruttura esistente?
Come è possibile modernizzare i datacenter locali adottando nuove soluzioni cloud?
Come estendere l’elaborazione e l’intelligenza artificiale all’edge per sbloccare nuovi scenari di business?
La risposta a tutte queste domande può essere… “adottando Azure Arc!”.
Figura 1 – Panoramica di Azure Arc
Molti sono i clienti che dispongono di infrastruttura basate su VMware e che allo stesso tempo stanno utilizzando servizi Azure. Azure Arc estende le possibilità offerte in ambito governance e management da Azure anche alle macchine virtuali presenti in ambienti VMware. Per migliorare ulteriormente questa esperienza di controllo e di gestione di tali risorse è stata introdotta una profonda integrazione tra Azure Arc e VMware vSphere.
Azure Arc-enabled VMware vSphere: come funziona?
Azure Arc-enabled VMware vSphere è una nuova funzionalità di Azure Arc pensata per i clienti con ambienti VMware vSphere on-premises oppure che adottano Azure VMware Solution.
Questa integrazione diretta di Azure Arc con VMware vSphere richiede di attivare un’appliance virtuale denominata “Arc bridge”. Questa risorsa permette di instaurare la connessione tra il server VMware vCenter e l’ambiente Azure Arc.
Grazie a questa integrazione è possibile effettuare l’onboarding in Azure di alcune oppure di tutte le risorse vSphere gestite dal proprio server vCenter quali: resource pool, cluster, host, datastore, network, template e macchine virtuali esistenti.
Figura 2 – VMware vCenter dal portale Azure
Terminata la fase di onboarding si aprono nuovi scenari di utilizzo che consentono di sfruttare i benefici riportati nel paragrafo seguente.
Benefici di Azure Arc-enabled VMware vSphere
Grazie a questa nuova integrazione è possibile ottenere i seguenti benefici:
Eseguire il provisioning di nuove macchine virtuali in ambienti VMware da Azure. La distribuzione delle macchine virtuali su VMware vSphere può essere fatta dal portale oppure utilizzando template ARM. La possibilità di poter descrivere l’infrastruttura, mediante processi di Infrastructure as Code, in modo coerente in Azure e negli ambienti on-premises è molto importante. Infatti, adottando template ARM, i team DevOps possono utilizzare pipeline CI/CD per eseguire il provisioning dei sistemi oppure per aggiornare le macchine virtuali VMware in modo contestuale ad altri aggiornamenti applicativi.
Figura 3 – Provisioning di una VM VMware dal portale Azure
Effettuare operazioni di manutenzione ordinaria sulle macchine virtuali direttamente dal portale Azure come: l’arresto, l’avvio, il riavvio, il ridimensionamento, l’aggiunta oppure l’aggiornamento di dischi e la gestione delle schede di rete.
Garantire un accesso self-service alle risorse vSphere tramite Azure Arc. Per gli amministratori che gestiscono ambienti vSphere, ciò significa che possono facilmente delegare un accesso self-service alle risorse VMware, governando e garantendo la conformità tramite controlli avanzati di governance di Azure ed Azure RBAC. Infatti, risulta possibile assegnare autorizzazioni granulari sulle risorse computazionali, di archiviazione, di rete e sui template.
Fornire un inventario delle macchine virtuali in ambienti vSphere distribuiti.
Eseguire e gestire su larga scala l’onboarding di ambienti vSphere nei servizi di management di Azure come ad esempio Azure Monitor Log Analytics ed Azure Policy Guest Configuration. Tale abilitazione permette di orchestrare l’installazione dell’agente specifico di Azure Arc (Connected Machine agent) direttamente da Azure.
Mantenere sincronizzate in Azure le modifiche apportate direttamente tramite vCenter, grazie alle funzionalità di rilevamento automatico.
Conclusioni
Grazie a questa nuova integrazione avanzata, i clienti possono avere la flessibilità di innovare, anche utilizzando il loro ambiente VMware esistente. Inoltre, mediante questo approccio è possibile avere un meccanismo efficace di controllo per gestire e governare in modo coerente tutte le risorse IT.
West Central US: Microsoft expands cloud services with two new datacenters in Wyoming
Microsoft is announcing the launch of two new Microsoft datacenters in Cheyenne – Wyoming, one in Cheyenne Business Parkway and another in Bison Business Park, enabling to expand and support the growth and demand for digital services in West Central US datacenter region. Cheyenne has been home to Microsoft’s cloud infrastructure services since 2012 and this expansion will enable us to continue providing services to current and new customers.
New Azure Virtual Machines DCasv5 and ECasv5-series (preview)
Azure DCasv5/ECasv5 confidential virtual machines (VMs) powered by 3rd Gen AMD EPYC™ processors with SEV-SNP are available in preview.
SQL Server IaaS Agent extension for Linux SQL VMs
Microsoft is making the capabilities of SQL Server IaaS Agent extension available to Linux platforms, starting with Ubuntu with plans for other distributions in time.
If you are already running SQL Server on Azure using an Ubuntu Linux Virtual Machine, the SQL Server IaaS Agent extension now enables you to leverage integration with the Azure portal and unlocks the following benefits for SQL Server on Linux Azure VMs:
Compliance: The extension offers a simplified method to fulfill the requirement of notifying Microsoft that the Azure Hybrid Benefit has been enabled as is specified in the product terms. This process negates needing to manage licensing registration forms for each resource.
Simplified license management: The extension simplifies SQL Server license management, and allows you to quickly identify SQL Server VMs with the Azure Hybrid Benefit enabled using the Azure portal, Azure PowerShell, or the Azure CLI.
IaaS Agent extension full mode no restart for SQL VMs
You can now enable the full mode of SQL Server IaaS Agent extension with no restart, giving you access to more manageability features for SQL Server on Azure Virtual Machines without interruption to your workloads. Previously, you had to restart the SQL Server services to enable these features. The full mode of SQL Server IaaS Agent extension unlocks many benefits such as Automated Backup, Automated Patching, Storage Optimization, and more, along with license management that comes with lightweight mode.
Storage
Azure File Sync: new agent released
The Azure File Sync agent v14.1 is available. Issue that is fixed in the v14.1 release:
Tiered files deleted on Windows Server 2022 are not detected by cloud tiering filter driver. This issue can also impact Windows 2016 and Windows Server 2019 if a tiered file is deleted using the FILE_DISPOSITION_INFORMATION_EX class.
To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.
More information about this release:
This release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 installations.
A restart is required for servers that have an existing Azure File Sync agent installation if the agent version is less than version 12.0.
The agent version for this release is 14.1.0.0.
Installation instructions are documented in KB5001873.
Azure NetApp Files application volume group for SAP HANA (preview)
Application volume group (AVG) for SAP HANA enables you to deploy all volumes required to install and operate an SAP HANA database according to best practices in a single one-step and optimized workflow. The application volume group feature includes the use of proximity placement group (PPG) with VMs to achieve automated, low-latency deployments. Application volume group for SAP HANA has implemented many technical improvements that simplify and standardize the entire process to help you streamline volume deployments for SAP HANA. Instead of creating the SAP HANA volumes (data, log, shared, log-backup, file-backup) individually, the new application volume group for SAP HANA creates these volumes in a single ‘atomic’ operation (GUI, RP, API).
Networking
VPN Gateway NAT
Azure VPN NAT (Network Address Translation) supports overlapping address spaces between your on-premises branch networks and your Azure Virtual Networks. NAT can also enable business-to-business connectivity where address spaces are managed by different organizations and re-numbering networks is not possible. VPN NAT provides support for 1:1 Static NAT and 1-to-many dynamic NAT.
Wildcard listener on Application Gateways
Azure Application Gateway now supports the use of wildcard characters such as asterisk (*) and question mark (?) for hostnames on a multi-site HTTP(S) listener. You can now route requests from multiple host-names such as shop.contoso.com, accounts.contoso.com, pay.contoso.com to the same backend pool through a single listener configured with a wildcard hostname such as *.contoso.com.
