Archivi categoria: Datacenter Management

Azure IaaS and Azure Stack: announcements and updates (June 2023 – Weeks: 23 and 24)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure VMware Solution Stretched Clusters with Customer-Managed Keys

Stretched clusters for Azure VMware Solution (AVS) is now Generally Available, providing 99.99% uptime for mission critical applications that require the highest availability. With this release, customers can use Customer-Managed Keys to encrypt the stretched vSAN. By default, virtual machines within vSAN datastore are protected with data-at-rest encryption using FIPS 140-2 compliant Data Encryption Key (DEK) generated for each local disk on ESXi hosts. These DEKs are encrypted by VMware vSAN Key Encryption Key (service-managed key) provided by Microsoft.

Stretched Cluster Benefits:

  • improved application availability;
  • provide a zero-recovery point objective (RPO) capability for enterprise applications without needing to redesign them or deploy expensive disaster recovery solutions;
  • A private cloud with stretched clusters is designed to provide 99.99% availability due to its resilience to AZ failures.

Azure VMware Solution customer-managed encryption is supported through integration with Azure Key Vault. You can create your own encryption keys and store them in a Key Vault, or you can use Azure Key Vault API to generate encryption keys.

Mv2 Virtual Machine: 8TB memory

Mv2 High Memory virtual machines serve largest in-memory workloads providing infrastructure for 6 and 12TB memory needs. Based on customer demand, an 8TB memory virtual machine (VM) Standard_M416ms_8_v2 is now available, that offers an intermediate size to scale between 6TB and 12TB.

NGads V620-series VMs optimized for cloud gaming

NGads V620-series virtual machines (VMs), powered by AMD RadeonTM PRO V620 GPUs and AMD EPYCTM 7763 CPUs, are purpose-built for generating and streaming high quality graphics for an interactive gaming experience hosted on Azure. Featuring GPU partitioning with options for ¼, ½, or 1 full GPU, they allow customers to right-size their choice for the performance and cost of the business need. These VMs also feature the AMD Adrenaline Gaming Driver Cloud Edition that targets the same optimizations available in the consumer gaming version of the Adrenaline driver but is further optimized for the cloud environment.In addition, the NGads V620-series VMs also support graphics-accelerated virtual desktop infrastructure (VDI) and visualization rendering, using the AMD Pro Workstation Driver, Cloud Edition.

Azure VMware Solution now available in North Switzerland

With the introduction of AV36 in North Switzerland, customers will receive access to 36 cores, 2.3 GHz clock speed, 576GB of RAM, and 15.36TB of SSD storage.

Confidential Virtual Machines (VM) support in Azure Virtual Desktop (preview)

Azure Confidential Virtual Machines (VMs) support in Azure Virtual Desktop is in public preview. Confidential Virtual Machines increase data privacy and security by protecting data in use. The Azure DCasv5 and ECasv5 confidential VM series provide a hardware-based Trusted Execution Environment (TEE) that features AMD SEV-SNP security capabilities, which harden guest protections to deny the hypervisor and other host management code access to VM memory and state, and that is designed to protect against operator access and encrypts data in use. With this preview, support for Windows 11 22H2 has been added to Confidential Virtual Machines.

Networking

Private Link support for Application Gateway

Private link configuration for Application Gateway enables incoming traffic to an Azure Application Gateway frontend and can be secured to clients running in another Azure Virtual Network, Azure subscription, or Azure subscription linked to a different Azure Active Directory tenant through Azure Private Link.

Azure Load Balancer per VM limit removal

The “Load balancer per VM” limit is now removed for customers using Standard Load Balancer. Previously this limit was 2 load balancers per VM (1 public and 1 internal). Now with this limit removed, you can associate as many load balancers per VM with either types (public or internal) up to the Azure Load Balancer’s limits.

Azure Load Balancer: inbound ICMPv6 pings and traceroute are now supported

Standard Public Load Balancer now supports inbound ICMP pings on IPv6 frontends as well as inbound tracerouting support to both IPv4 and IPv6 frontends. This is an addition to previous announcement of ICMPv4 pings support on Azure Load Balancer. Now, you can ping and traceroute to both IPv4 and IPv6 frontend of a Standard Public Load Balancer like you natively would on an on-premises device without any external software needed. This enables you to troubleshoot network issues, identify network bottlenecks, verify network paths, and monitor network performance between Azure Load Balancer and your client device. This functionality is generally available in all public regions, Azure China cloud regions, and Azure Government cloud regions.

Azure Front Door integration with managed identities

Azure Front Door now supports managed identities generated by Azure Active Directory to allow Front Door to easily and securely access other Azure AD-protected resources such as Azure Key Vault. This feature is in addition to the AAD Application access to Key Vault that is currently supported.

Azure Front Door upgrade from standard to premium

Azure Front Door supports upgrading from Standard to Premium tier without downtime. Azure Front Door Premium supports advanced security capabilities and has increased quota limits, such as managed Web Application Firewall rules and private connectivity to your origin using Private Link.

Azure Front Door Migration from classic to standard/premium

In March 2022, Microsoft announced the general availability of two new Azure Front Door tiers. Azure Front Door Standard and Premium are native, modern cloud content delivery network (CDN) catering to both dynamic and static content delivery acceleration with built-in turnkey security and a simple and predictable pricing model. The migration capability enables you to perform a zero-downtime migration from Azure Front Door (classic) to Azure Front Door Standard or Premium in just three simple steps or five simple steps if your Azure Front Door (classic) instance has custom domains with your own certificates. The migration will take a few minutes to complete depending on the complexity of your Azure Front Door (classic) instance, such as number of domains, backend pools, routes, and other configurations.

Azure Front Door Standard/Premium in Azure Government (preview)

Azure Front Door (AFD) Standard and Premium tier is now available in Azure Government in public preview, in the regions of Arizona and Texas. After this release, Local Government (US) customers and their partners can benefit from the new and enhanced capabilities on standard and premium. The new and enhanced capabilities include, but are not limited to, better reporting and diagnostic capabilities, expanded rules engine with server variables, enhanced Web Application Firewall (latest DRS rule set, Bot protection, Web Application Firewall Notebook using Sentinel for security investigation and monitoring, Microsoft Sentinel Analytics) and security capabilities (Private Link connectivity to your origin, subdomain takeover prevention) and many upcoming new features.

Storage

Zone Redundant Storage for Azure Disks is now available in more regions

Zone Redundant Storage (ZRS) for Azure Disk Storage is now generally available on Azure Premium SSDs and Standard SSDs in Brazil South, UK South, East US, East US 2, and South-Central US regions. Disks with ZRS provide synchronous replication of data across three availability zones in a region, enabling disks to tolerate zonal failures without causing disruptions to your application. This feature enables disks to tolerate zonal failures without causing disruptions to your application. Additionally, it allows you to maximize virtual machine availability without the need for application-level replication of data across zones. You can also use ZRS with shared disks to provide higher availability for clustered or distributed applications like SQL FCI, SAP ASCS/SCS, or GFS2.

Azure Files scalability improvement for Azure Virtual Desktop and other workloads that open root directory handles

Azure Files has increased the root directory handle limit per share from 2,000 to 10,000 for standard and premium file shares. This improvement benefits applications that keep an open handle on the root directory. For example, Azure Virtual Desktop with FSLogix profile containers now supports 10,000 active users per share.

Zone Redundant Storage for Azure Disks is now available in Japan East and Korea Central

Zone Redundant Storage (ZRS) for Azure Disk Storage is now generally available on Azure Premium SSDs and Standard SSDs in Japan East and Korea Central regions.

Azure NetApp Files Availability zone volume placement enhancement: populate existing volume (preview)

Azure NetApp Files availability zone volume placement feature lets you deploy new volumes in the availability zone of your choice, in alignment with Azure compute and other services in the same zone. With this ‘Populate existing volume’ enhancement you can now obtain and, if desired, populate previously deployed, existing volumes with the logical availability zone information. It will automatically map the physical zone the volumes were deployed in and map it to the logical zone for your subscription. This feature will not move any volumes between zones. With this capability you can enhance workloads that were previously deployed regionally and align them with VMs in the same failure domain, for example to enable HA architectures across availability zones.

Azure AD Support for Azure Files SMB shares REST API (preview)

The public preview of Azure Active Directory (Azure AD) for Azure SMB Shares enables share-level read and write access for users, groups, and managed identities (MI) when accessing through the REST API. With Azure AD support, applications can now access Azure file shares securely, without storing or managing any credentials. Applications can leverage managed identities to securely access the customer-owned file shares. Azure Portal also now supports using Azure AD to authenticate requests to Azure Files. Users can choose Azure AD identity-based authentication method for the actions they take through portal such as browsing their file share contents.

Azure IaaS and Azure Stack: announcements and updates (June 2023 – Weeks: 21 and 22)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Generation 2 VM for Windows

Generation 2 VMs support key features that aren’t supported in generation 1 VMs. These features include increased memory, Intel Software Guard Extensions (Intel SGX), and virtualized persistent memory (vPMEM). You can now run Windows workloads on Generation 2 VMs in production to take advantage of these Generation 2 features.

Azure HX Virtual Machines for HPC

HX-series Virtual Machines (VMs) are optimized for large memory HPC workloads such as backend EDA, finite element analysis, computational geoscience, and big data analytics.

These VMs feature:

  • Up to 176 AMD EPYC™ 9004-series CPU cores with AMD 3D V-Cache (Genoa-X), 1.4 TB of RAM, clock frequencies up to 3.7 GHz, and no simultaneous multithreading.
  • Up to 1.4 TB/s of effective memory bandwidth and 2.3 GB L3 cache per VM, up to 12 GB/s (reads) and 7 GB/s (writes) of block device SSD performance.
  • 400 Gb/s NDR InfiniBand from NVIDIA Networking to enable supercomputer-scale MPI workloads.

Storage

Azure Files geo-redundancy for standard large file shares (preview)

Azure Files geo-redundancy for large file shares is now in public preview for standard SMB file shares. Azure Files has supported large file shares for several years which not only provides file share capacity up to 100TiB but improved IO operations per second (IOPS) and throughput as well. Large file shares are widely adopted by customers using locally redundant storage (LRS) and zone-redundant storage (ZRS) but has not been available for geo-redundant storage (GRS) and geo-zone redundant storage (GZRS) until now. Geo-redundancy is critical for meeting various compliance and regulatory requirements. Geo-redundant storage asynchronously replicates to a secondary region and if the primary region becomes unavailable, you can initiate a failover to the secondary region.

New features in Azure Container Storage (preview)

Azure Container Storage, a unique storage service built natively for containers, is introducing several new features in preview to enhance the performance, reliability, and backup experience for its customers. Among the new features are volume snapshot, which allows you to capture the point-in-time state of persistent volumes, enabling you to back up data before applying changes. Additionally, the scalability target of Persistent Volumes has increased, empowering you to easily scale up your storage footprint. This means you can focus on building data services without worrying about the limitations of the underlying infrastructure.

Azure Management services: le novità di maggio 2023

Per rimanere costantemente aggiornati sulle novità riguardanti gli Azure Management services viene rilasciato mensilmente questo riepilogo, che consente di avere una panoramica delle principali novità del mese. In questo articolo troverete gli annunci, riportati in modo sintetico, accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli:

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Azure Monitor per le soluzioni SAP

Azure Monitor per le soluzioni SAP è ora disponibile. Si tratta di una soluzione per i clienti che eseguono applicazioni SAP in ambiente Microsoft Azure e che consente di fare il monitor end-to-end. Con Azure Monitor per SAP i clienti possono raccogliere in modo centralizzato dati telemetrici end-to-end da SAP NetWeaver, database, cluster Linux Pacemaker in alta disponibilità e sistemi operativi Linux. La soluzione Azure Monitor for SAP può essere configurata senza infrastrutture da implementare e mantenere per i clienti. Alcune nuove funzionalità di Azure Monitor for SAP includono SAP Landscape Monitor, che fornisce una destinazione unica per conoscere lo stato di salute dell’intero panorama SAP, e SAP Insights (anteprima), che consente di identificare facilmente la causa dei problemi riguardanti la disponibilità o le prestazioni delle applicazioni SAP. Inoltre, Azure Monitor per le soluzioni SAP offre Transport Layer Security e nuovi modelli di alert riguardanti le prestazioni delle CPU, della memoria e gli I/O del disco, oltre a molte altre funzionalità. Con il rilascio di questa release, la versione di Azure Monitor per le soluzioni SAP (Classic) sarà ritirata entro il 31 maggio.

Disponibilità del servizio gestito Azure Monitor per Prometheus

Prometheus, il progetto open-source della Cloud Native Computing Foundation, è considerato lo standard de-facto quando si tratta di monitorare carichi di lavoro containerizzati. L’esecuzione di Prometheus in modalità self-managed è spesso un’ottima soluzione per le implementazioni più piccole, ma scalarlo per gestire i carichi di lavoro aziendali può essere una sfida.

Il servizio completamente gestito per Prometheus di Azure Monitor offre il meglio di ciò che piace dell’ecosistema open-source, automatizzando allo stesso tempo attività complesse come lo scaling, l’alta disponibilità e la conservazione dei dati a lungo termine. È disponibile come funzionalità indipendente di Azure Monitor oppure come componente integrato di Container Insights, Azure Monitor Alerts e Azure Managed Grafana.

Servizio gestito Azure Monitor per Prometheus per Kubernetes abilitati ad Azure Arc (preview)

Il servizio gestito Azure Monitor per Prometheus estende il supporto per il monitoring dei cluster Kubernetes gestiti da Azure Arc. Il servizio gestito Azure Monitor per Prometheus su Kubernetes abilitato ad Azure Arc consente ai clienti di monitorare i loro cluster Kubernetes in esecuzione ovunque e mantiene le stesse funzionalità del monitoraggio di Azure Kubernetes Service (AKS).

Azure Monitor Agent: supporto per l’hardening di CIS e SELinux

L’AMA ha introdotto il supporto agli standard di hardening per CIS e SELinux. Per SELinux, AMA funziona mediante l’attivazione di una policy built-in firmata. Per CIS, AMA supporta determinate distro, disponibili anche sul marketplace Azure.

Supporto degli alert per Azure Data Explorer (preview)

Gli alert di Azure Monitor consentono di monitorare le telemetrie di Azure e delle applicazioni per identificare rapidamente i problemi che interessano i vari servizi. Più specificamente, le regole di allert dei log di Azure Monitor consentono di impostare query periodiche sulla telemetria dei log per identificare potenziali problemi e ricevere notifiche oppure attivare azioni.

Finora tali regole di alert supportavano l’esecuzione di query sui dati di Log Analytics e Application Insights. Ora Microsoft sta introducendo il supporto per l’esecuzione di query anche sulle tabelle di Azure Data Explorer (ADX) e per unire i dati tra queste fonti di dati in un’unica query.

Ottimizzazione dei costi con le trasformazioni su Log Analytics per il troubleshooting di Cosmos DB

Azure Cosmos DB ora supporta le trasformazioni sui workspace di Log Analytics. Per aiutare a ridurre i costi quando si abilita Log Analytics per eseguire un troubleshooting sulle risorse Cosmos DB, sono state introdotte le trasformazioni.  Queste trasformazioni nel workspace di Log Analytics consentono di filtrare le colonne, ridurre il numero di risultati restituiti e creare nuove colonne prima che i dati vengano inviati alla destinazione.

Configure

Azure Automation

Supporto per i runbook Python 3.8

In Azure Automation è stato introdotto il supporto per i runbook Python 3.8. Questa funzionalità consente di creare ed eseguire runbook Python 3.8 per l’orchestrazione delle attività di gestione degli ambienti ibridi e multi-cloud.

Govern

Azure Cost Management

Aggiornamenti relativi a Microsoft Cost Management

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.

Alert per ottimizzare gli acquisti di reservation

Le reservation di Azure possono fornire risparmi sui costi impegnandosi in piani annuali o triennali. Tuttavia, a volte le reservation possono rimanere inutilizzate o sottoutilizzate, con conseguenti perdite finanziarie. In qualità di utente di un account di fatturazione o di una reservation, è possibile esaminare la percentuale di utilizzo delle reservation acquistate nel portale Azure, ma si potrebbero perdere cambiamenti importanti. Abilitando gli alert sull’utilizzo delle reservation, si risolve il problema ricevendo notifiche via e-mail ogni volta che una qualsiasi delle reservation presenta un basso utilizzo. Questo permette di intervenire tempestivamente e di ottimizzare gli acquisti di reservation per ottenere la massima efficienza sui costi.

Secure

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

  • nuovi alert in Defender per il Key Vault;
  • supporto dei dischi crittografati in AWS per la scansione agentless;
  • inclusione di nuove region AWS;
  • modifiche alle raccomandazioni sulle identità;
  • nuove raccomandazioni di Defender for DevOps per includere i risultati della scansione DevOps di Azure;
  • rilascio del Vulnerability Assessment dei container basato su Microsoft Defender Vulnerability Management (MDVM) in Defender CSPM.

Protect

Azure Backup

Azure Backup Server V4

La versione V4 di Microsoft Azure Backup Server (MABS) è stata rilasciata e introduce i seguenti miglioramenti:

  • Supporto dei workload: Azure Backup Server V4 supporta l’installazione su Windows Server 2022 utilizzando SQL Server 2022 come database MABS. Inoltre, aggiunge il supporto per il backup di macchine virtuali in esecuzione su Azure Stack HCI 22H2 e VMware 8.0, oltre al backup di Windows Server 2022 e SQL Server 2022.
  • Prestazioni: Azure Backup Server V4 aggiunge la possibilità di selezionare e ripristinare singoli file/cartelle dai punti di ripristino online per le macchine virtuali Hyper-V e Azure Stack HCI che eseguono Windows Server, senza dover scaricare l’intero punto di ripristino. MABS V4 aggiunge anche il supporto per i ripristini paralleli e prevede un numero maggiore di processi di backup online paralleli.
  • Sicurezza: con Azure Backup Server V4 è possibile utilizzare endpoint privati per inviare i backup al Recovery Services vault.

Azure Backup Reports: supporto per un numero maggiore di workloads

Azure Backup Reports include ora il supporto per altri workload: Azure Database for PostgreSQL Servers, Azure Blobs e Azure Disks. Grazie a questo aggiornamento è ora possibile abilitare la registrazione dei metadati relativi al backup (come job, backup item, policy, utilizzo) per questi workload e conservare questi record per un periodo di tempo personalizzabile a seconda dei requisiti di conformità e di audit. In questo modo è possibile sfruttare le viste di reporting, già fornite nativamente dalla soluzione Backup Reports, per visualizzare le informazioni degli elementi protetti corrispondenti a questi workload.

Eliminazione soft dei recovery point per Azure Backup (preview)

La funzionalità di eliminazione soft di Azure Backup ora supporta l’eliminazione soft dei recovery point. Tale funzionalità consente di recuperare i dati dai recovery point che potrebbero essere stati eliminati in seguito alle modifiche apportate a un policy di backup. L’eliminazione soft dei recovery point consente di conservare questi recovery point per una durata aggiuntiva, in base alla conservazione specificata per l’eliminazione soft nelle impostazioni del vault.

Supporto per le macchine virtuali confidenziali che utilizzano le Customer Managed Keys (preview privata)

Azure Backup sta introducendo il supporto per il backup delle macchine virtuali confidenziali con crittografia del disco del sistema operativo, fatto utilizzando le chiavi gestite dal cliente.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 67 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità. In particolare, questo mese la principale novità riguarda il discovery e l’assessment di SQL Server.

Azure Database Migration

Database Migration Service Pack per Oracle (preview)

Il Database Migration Service Pack per Oracle è una raccolta di quattro estensioni che forniscono una soluzione completa per modernizzare i workload Oracle e migrarli verso i database in ambiente Azure. Questo pacchetto di estensioni offre diversi vantaggi, tra cui valutazioni end-to-end approfondite, dimensionamento corretto delle risorse Azure, conversione del codice, pianificazione delle correzioni e migrazione dei dati in tempo quasi reale in ambiente Azure (vedi paragrafo successivo).

Migrazione dei dati per Oracle (preview)

L’estensione Data Migration for Oracle è un potente strumento che consente di migrare facilmente i database Oracle sulla piattaforma Azure. Tale soluzione offre un’esperienza di migrazione senza interruzioni, dal database Oracle di origine alla piattaforma di destinazione (SQL), utilizzando Azure Database Migration Service. L’estensione offre la migrazione dei dati sia offline sia online per i database critici, garantendo tempi di inattività minimi per il processo di migrazione.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (May 2023 – Weeks: 19 and 20)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure VMware Solution on Azure Government

Azure VMware Solution will become generally available on May 17, 2023, to US Federal and State and Local Government (US) customers and their partners, in the regions of Arizona and Virgina. With this release, Microsoft is combining world-class Azure infrastructure together with VMware technologies by offering Azure VMware Solutions on Azure Government, which is designed, built, and supported by Microsoft.

Networking

Routing Intent and Virtual WAN Integrated Firewall NVAs

Routing intent allows you to set up simple and declarative routing policies to configure Virtual WAN to route traffic to bump-in-the-wire security solutions such as Azure Firewall, Integrated Firewall NVA and SaaS deployed in the Virtual WAN hub. This feature delivers two critical use cases: inter-region/inter-hub traffic inspection and branch-to-branch (on-premises to on-premises traffic inspection). With the General Availability of routing intent feature, the Virtual WAN team also extended routing intent capabilities to Next Generation Firewall NVA’s integrated within the Virtual WAN hub. As a result, the Virtual WAN team is also announcing the General Availability of the first two integrated Firewall NVA’s in Virtual WAN: Check Point CloudGuard Network Security and Fortinet NGFW.

Seamlessly upgrade your Application Gateway V2 WAF configuration to a policy

Azure’s regional Web Application Firewall (WAF) on Application Gateway now supports a fully automated experience when upgrading your WAF from a configuration to a policy. WAF policies offer you multiple benefits over WAF configurations including:

  • richer feature set: Advanced features like newer managed rule sets, custom rules, per rule exclusions, bot protection rules, and more;
  • higher scale and performance with our next generation WAF engine;
  • simplified management experience: WAF policy allows you to define your WAF setup once, and share it across multiple gateways, listeners, and URL paths;
  • latest features: you can keep up to date with the latest features and enhancements.

Policy analytics for Azure Firewall

As application migration to the cloud accelerates, it’s common to update Azure Firewall configuration daily (sometimes hourly) to meet the growing application needs and respond to a changing threat landscape. Frequently, changes are managed by multiple administrators spread across geographies. Over time, the firewall configuration can grow sub optimally impacting firewall performance and security. It’s a challenging task for any IT team to optimize firewall rules without impacting applications and causing serious downtime. Policy analytics help address these challenges faced by IT teams by providing visibility into traffic flowing through the firewall with features such as firewall flow logs, rule to flow match, rule hit rate, and single rule analysis. IT admins can refine Azure Firewall rules in a few simple steps through the Azure portal.

Inbound ICMPv4 pings are now supported on Azure Load Balancer

Standard Public Load Balancer now supports inbound ICMP pings on IPv4 frontends. Previously, to determine reachability of a Load Balancer’s frontend, a TCP-based ping tool like Psping would need to be used. This added complexity as external software was needed on each client machine. Now, you can ping the IPv4 frontend of a Standard Public Load Balancer like you natively would on an on-premises device without any external software needed. This enables you to troubleshoot network traffic between Azure Load Balancer and your client device.

Azure Bastion now support shareable links

With the Azure Bastion shareable links feature, you can now connect to a target resource (virtual machine or virtual machine scale set) using Azure Bastion without accessing the Azure portal.
This feature will solve two key pain points:

  • administrators will no longer have to provide full access to their Azure accounts to one-time VM users—helping to maintain their privacy and security;
  • users without Azure subscriptions can seamlessly connect to VMs without exposing RDP/SSH ports to the public internet.

Now generally available, the shareable links feature is supported for peered VNETs across subscriptions and across regions. It is also supported for national clouds.

Azure DNS Private Resolver is available in additional regions

Azure DNS Private Resolver is now available in West US, Canada East, Qatar Central, UAE North, Australia Southeast, Norway East, Norway East, and Poland Central.

Always Serve for Azure Traffic Manager (preview)

Always Serve for Azure Traffic Manager (ATM) is now available in public preview. You can disable endpoint health checks from an ATM profile and always serve traffic to that given endpoint. You can also now choose to use 3rd party health check tools to determine endpoint health, and ATM native health checks can be disabled, allowing flexible health check setups.

Storage

Azure Container Storage (preview)

Azure Container Storage, now in preview, is a unique volume management service built natively for containers. It provides a consistent experience across different types of storage offerings, including Managed option (backed by Azure Elastic SAN), Azure Disks, and ephemeral disk on container services. This simplifies the deployment of persistent volumes and offers a highly scalable, cost-effective, high-performance and resilient storage solution. With Azure Container Storage, you can easily create and manage block storage volumes for production-scale stateful container applications and run them on Kubernetes, ensuring consistent experiences across different environments. The solution is optimized to enhance the performance of stateful workloads on Azure Kubernetes Service (AKS) clusters by accelerating the deployment of stateful containers with persistent volumes and improving quality with reduced pod failover time through fast attach/detach. Additionally, by efficiently deploying and managing persistent volumes on backend storage options, you can reduce the total cost of ownership (TCO) associated with container storage.

Azure NetApp Files Standard Network Features – Edit Volumes (preview)

Standard Network Features provide you with an enhanced Virtual Networking experience for a seamless and consistent experience along with security posture for Azure NetApp Files. You are now able to edit existing ANF volumes and upgrading Basic network features to Standard network features.

Cloud Security Posture Management (CSPM) di Defender for Cloud: proteggi le tue risorse con una soluzione di sicurezza avanzata

Nel contesto del panorama digitale odierno, l’adozione del cloud computing ha aperto nuove opportunità per le organizzazioni, ma allo stesso tempo sono emerse nuove sfide in termini di sicurezza delle risorse cloud. L’adozione di una soluzione di Cloud Security Posture Management (CSPM) è fondamentale per garantire che le risorse cloud siano configurate in modo sicuro e che gli standard di sicurezza siano adeguatamente implementati. Microsoft Azure offre Defender for Cloud, una soluzione completa che combina la potenza di una piattaforma di CSPM con funzionalità avanzate di sicurezza per aiutare le organizzazioni a proteggere le loro risorse cloud in modo efficace. In questo articolo vengono approfondite le caratteristiche di CSPM offerte da Defender for Cloud.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare tre grandi pilastri della sicurezza per le architetture moderne che adottano componenti cloud:

  • DevOps Security Management (DevSecOps): Defender for Cloud aiuta a incorporare già durante il processo di sviluppo del software le best practice di sicurezza. Infatti, consente di proteggere gli ambienti di gestione del codice (GitHub e Azure DevOps), le pipeline di sviluppo e permette di ottenere informazioni sulla security posture dell’ambiente di sviluppo. Defender for Cloud include attualmente Defender for DevOps.
  • Cloud Security Posture Management (CSPM): si tratta di insieme di pratiche, processi e strumenti volti a identificare, monitorare e mitigare i rischi di sicurezza nelle risorse cloud. CSPM offre un’ampia visibilità sulla security posture delle risorse, consentendo alle organizzazioni di identificare e correggere le configurazioni non conformi, le vulnerabilità e le potenziali minacce. Questo approccio proattivo riduce il rischio di violazioni della sicurezza e aiuta a mantenere un ambiente cloud sicuro.
  • Cloud Workload Protection Platform (CWPP): i principi di sicurezza proattiva richiedono l’implementazione di pratiche di sicurezza che proteggano i workload dalle minacce. Defender for Cloud include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription Azure ed in ambienti ibridi e multi-cloud.

Figura 1 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

CSPM in Defender for Cloud

Defender for Cloud è la soluzione di sicurezza avanzata di Microsoft Azure che contempla l’ambito CSPM per offrire un’ampia gamma di funzionalità e controlli di sicurezza per le risorse cloud. Con Defender for Cloud, le organizzazioni possono ottenere una visibilità completa delle loro risorse, identificare e risolvere le vulnerabilità e monitorare costantemente la security posture delle risorse. Alcune delle funzionalità principali offerte da Defender for Cloud includono:

  • Analisi delle configurazioni: Defender for Cloud esamina le configurazioni delle risorse cloud alla ricerca di impostazioni non conformi e fornisce raccomandazioni per correggerle. Ciò garantisce che le risorse siano configurate in modo sicuro e che gli standard di sicurezza siano rispettati.
  • Identificazione delle vulnerabilità: la soluzione analizza continuamente le risorse cloud per individuare le vulnerabilità note. Vengono fornite raccomandazioni e priorità per affrontare queste vulnerabilità e ridurre il rischio di sfruttamento da parte di potenziali minacce.
  • Monitoraggio continuo: Defender for Cloud monitora costantemente la postura di sicurezza delle risorse cloud e fornisce avvisi in tempo reale in caso di configurazioni non sicure o attività sospette. Questo consente alle organizzazioni di rispondere prontamente alle minacce e di mantenere un ambiente cloud protetto.
  • Automazione e orchestrazione: Defender for Cloud automatizza gran parte del processo di gestione della postura di sicurezza degli ambienti cloud, consentendo alle organizzazioni di risparmiare tempo e risorse preziose.

Defender for Cloud offre gratuitamente le funzionalità fondamentali in ambito CSPM. Queste funzionalità sono automaticamente abilitate su qualsiasi subscription o account che abbia effettuato l’onboarding a Defender for Cloud. Qualora lo si ritenga necessario è possibile ampliare il set di funzionalità attivando il piano Defender CSPM.

Figura 2 – Comparativa tra i piani in ambito CSPM

Per una comparativa completa è possibile fare riferimento alla documentazione ufficiale Microsoft.

Il piano Defender CSPM opzionale offre funzionalità avanzate di gestione della security posture, tra le principali troviamo:

  • Security Governance: i team di security sono responsabili del miglioramento della postura di sicurezza delle loro organizzazioni, ma potrebbero non avere le risorse oppure l’autorità per implementare effettivamente le raccomandazioni di sicurezza. L’assegnazione di responsabili con date di scadenza e la definizione di regole di governance creano responsabilità e trasparenza, in modo da poter guidare il processo di miglioramento della sicurezza dell’organizzazione.
  • Regulatory compliance: grazie a questa funzionalità Microsoft Defender for Cloud semplifica il processo per soddisfare i requisiti di conformità normativa, fornendo una dashboard specifica. Defender for Cloud valuta continuamente l’ambiente per analizzare i fattori di rischio in base ai controlli e alle best practice degli standard applicati alle sottoscrizioni. La dashboard riflette lo stato di conformità a questi standard. Il Microsoft cloud security benchmark (MCSB) viene invece assegnato automaticamente alle sottoscrizioni e agli account quando si accede a Defender for Cloud (foundational CSPM). Questo benchmark si basa sui principi di sicurezza del cloud definiti dall’Azure Security Benchmark e li applica con una guida dettagliata all’implementazione tecnica per Azure, per altri fornitori di cloud (come AWS e GCP) e per altri cloud Microsoft.
  • Cloud Security Explorer: consente di identificare in modo proattivo i rischi per la sicurezza nell’ambiente cloud eseguendo graficamente query sul Cloud Security Graph, che è il motore di definizione del contesto di Defender for Cloud. Alle richieste del team di sicurezza è possibile dare priorità, tenendo conto del contesto e delle specifiche norme dell’organizzazione. Con il Cloud Security Explorer è possibile interrogare i problemi di sicurezza ed il contesto dell’ambiente, come l’inventario delle risorse, l’esposizione a Internet, le autorizzazioni e il “lateral movement” tra le risorse e tra più cloud (Azure e AWS).
  • Attack path analysis: l’analisi dei percorsi di attacco aiuta ad affrontare i problemi di sicurezza, relative all’ambiente specifico, che rappresentano minacce immediate con il maggior potenziale di sfruttamento. Defender for Cloud analizza quali problemi di sicurezza fanno parte di potenziali percorsi di attacco che gli aggressori potrebbero utilizzare per violare l’ambiente specifico. Inoltre, evidenzia le raccomandazioni di sicurezza che devono essere risolte per mitigarle.
  • Agentless scanning for machines: Microsoft Defender for Cloud massimizza la copertura dei problemi di postura del sistema operativo e va oltre alla copertura data dagli assessment basati su agenti specifici. Grazie alla scansione agentless per le macchine virtuali è possibile ottenere una visibilità immediata, ampia e senza ostacoli in merito ai potenziali problemi di postura. Il tutto senza dover installare agenti, rispettare requisiti di connettività di rete oppure impattare sulle prestazioni delle macchine. La scansione agentless per le macchine virtuali fornisce la valutazione delle vulnerabilità e l’inventario del software, entrambi tramite Microsoft Defender Vulnerability Management, in ambienti Azure e Amazon AWS. La scansione agentless è disponibile sia in Defender Cloud Security Posture Management (CSPM) sia in Defender for Servers P2.

Conclusioni

Nel contesto sempre più complesso della sicurezza delle risorse IT, soprattutto in presenza di ambienti ibridi e multi-cloud, il Cloud Security Posture Management (CSPM) è diventato una componente essenziale della strategia di sicurezza delle organizzazioni. Defender for Cloud di Microsoft Azure offre una soluzione avanzata di CSPM, che combina analisi delle configurazioni, identificazione delle vulnerabilità, monitoraggio continuo e automazione per garantire che le risorse IT siano protette in modo adeguato. Investire in una soluzione di CSPM come Defender for Cloud consente alle organizzazioni di mitigare i rischi di sicurezza e proteggere le risorse IT.

Azure IaaS and Azure Stack: announcements and updates (May 2023 – Weeks: 17 and 18)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Microsoft Azure available from new cloud region in Poland

The newest cloud region in Poland is available with Azure Availability Zones and provides customers with the highest standards of security, privacy, and regulatory-compliant data storage in the country.

Ebsv5 and Ebdsv5 NVMe-enabled VM sizes

The Ebsv5 and Ebdsv5 VM series are the first Azure VM series to support NVMe storage protocol. NVMe support enables these series to achieve the highest Disk Storage IOPS and throughput of any Azure VMs to date. NVMe is a high-performance storage interface that is faster and more efficient compared to other traditional storage protocols like SCSI, which is the only other protocol that most Azure VMs use currently. With NVMe interface supported, customers can now use these VMs to achieve even higher VM-to-disk throughput and IOPS performance per core, with up to 8,000 MBps and 260,000 IOPS. This enables customers that process extremely data-intensive workloads to process more data on fewer core compute resources, potentially saving them money on infrastructure and commercial software licensing costs.

DCesv5 and ECesv5-series Confidential VMs with Intel TDX (preview)

There is an expansion of Confidential VM family with the launch of the DCesv5-series and ECesv5-series in preview. Featuring 4th Gen Intel® Xeon® Scalable processors, these VMs are backed by an all-new hardware-based Trusted Execution Environment called Intel® Trust Domain Extensions (TDX). Organizations can use these VMs to seamlessly bring confidential workloads to the cloud without any code changes to their applications.

Networking

Cloud Next-Generation Firewall (NGFW) Palo Alto Networks – an Azure Native ISV Service

Cloud NGFW Palo Alto Networks is the first ISV next-generation firewall service natively integrated in Azure. Developed through a collaboration between Microsoft and Palo Alto Networks, this service delivers the cutting-edge security features of Palo Alto Networks NGFW technology while also offering the simplicity and convenience of cloud-native scaling and management. NGFWs provide superior network security by offering enhanced capabilities compared to traditional firewalls. These include deep packet inspection, advanced visibility and control features, and the use of AI to improve threat detection and response.

Palo Alto Networks SaaS Cloud NGFW Integration with Virtual WAN (preview)

Palo Alto Networks Cloud NGFW is the first security software-as-a-service (SaaS) solution to be integrated in Azure Virtual WAN, allowing you to enjoy the simplicity of a SaaS security offering without the hassles of managing provisioning, scaling, resiliency, software updates, or routing.

Cloud NGFW SaaS integration with Virtual WAN provides you with the following benefits:

  • protect workloads with a highly available NGFW powered by machine learning to
  • detect and stop known, unknown and zero-day threats;
  • fully managed infrastructure and software lifecycle under SaaS model;
    consumption-based pay-as-you-go billing;
  • dedicated and streamlined support channel between Azure and Palo Alto Networks to provide a delightful customer support experience;
  • simple one-click routing to inspect on-premises, Azure VNets and Internet traffic;
  • deep and cohesive integration with Azure that provides a cloud-native experience.

Application Gateway V1 will be retired on 28 April 2026

Because Application Gateway V1 retires on 28 April 2026, please transition to Application Gateway V2 by that date.

Alongside the Application Gateway V1 features you already use, Application Gateway V2 provides:

  • additional features – Autoscaling, zone redundancy, URL rewrite, mutual authentication mTLS , Azure Kubernetes Service Ingress Controller, Keyvault integration;
  • increased performance – 5x Better TLS offload performance compared to V1;
  • enhanced security – Faster update of security rules, WAF custom rules and policy associations, bot protection-

From now through 28 April 2026, you can continue using Application Gateway V1 but begin transitioning to Application Gateway V2.

New customers (customers who doesn’t not have Application Gateway V1 SKU in their subscriptions in the month of June 2023) won’t be able to create V1 gateways from 1st July 2023.

Existing customers with subscriptions containing V1 gateways, will no longer be able to create V1 gateways after 28th August 2024. However, they can manage V1 gateways until the retirement date of 28 April 2026. After 28 April 2026, Application Gateway V1 will not be supported.

Storage

Cross-region service endpoints for Azure Storage

Cross-region service endpoints is now generally available for Azure Blob and Data Lake Storage in all Azure regions. Virtual Network (VNet) service endpoints provide secure and direct connectivity to Azure services over an optimized route over the Azure backbone network. Service endpoints in Azure Storage already allow the ability to connect to a storage account to VNets in the same or paired region. With this release, cross-region service endpoints can be configured to allow access to an Azure Blob or Data Lake storage account from VNets in any region. This is valuable for customer scenarios such as global storage resource and access management.

Azure Blob Storage adds a new online access: Cold Storage (preview)

Azure Blob Storage is optimized for storing massive amounts of unstructured data. With blob access tiers, you can store your blob data in the most cost-effective manner based on how frequently it will be accessed and how long it will be retained. Now Azure Blob Storage adds a new online access tier, cold, in addition to hot, cool and archive.

Cold tier pricing is positioned between cool and archive, with 90-day early deletion policy. See the prices in Azure Blob Storage pricing. You can seamlessly use the cold tier the way you use hot and cool, through REST API, SDK, tools, and lifecycle management policy. Cold public preview is now available in Canada Central, Canada East, France Central and Korea Central.

Azure Management services: le novità di aprile 2023

Microsoft annuncia in modo costante novità riguardanti gli Azure management services. Questo riepilogo, pubblicato con cadenza mensile, consente di avere una panoramica complessiva delle principali novità del mese corrente, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli:

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Azure Monitor per Prometheus ha aggiornato l’add-on AKS per supportare i nodi Windows

Il servizio gestito Azure Monitor per Prometheus ha aggiornato il componente aggiuntivo AKS metrics per supportare la raccolta di metriche Prometheus dai nodi Windows nei cluster AKS. L’integrazione del componente aggiuntivo Azure Monitor Metrics consente di avviare l’esecuzione dei pod Windows DaemonSet sui pool di nodi. Sono supportati sia Windows Server 2019 sia Windows Server 2022.

Rilasciata l’API Azure Monitor Metrics Dataplane

L’API Azure Metrics Dataplane è un nuovo approccio al monitoraggio di Azure che migliora la raccolta di informazioni sulle risorse consentendo una maggiore capacità ed efficienza di interrogazione. Con questa API risulta possibile recuperare i dati sulle metriche, per un massimo di 50 ID di risorse nella stessa subscription e region, in un’unica chiamata API batch. Questo migliora il throughput delle query, riduce il rischio di throttling e offre un’esperienza più fluida ai clienti che desiderano raccogliere informazioni sulle risorse Azure.

Configure

Update management center

Disponibilità di Hotpatch per le VM Windows Server in Azure con la Desktop Experience
Hotpatch è ora disponibile per le immagini di anteprima delle macchine virtuali di Windows Server Azure Edition con la modalità di installazione Desktop Experience.

Hotpatch è una funzione che consente di applicare patch e installare aggiornamenti alle macchine virtuali Windows Server Azure Edition in ambiente Azure, senza richiedere un riavvio. In precedenza era disponibile per la modalità di installazione Server Core, ma ora anche le macchine virtuali Windows Server Azure Edition installate con la modalità di installazione Desktop Experience possono usufruire di questa modalità di installazione degli aggiornamenti di sicurezza, fornendo:

  • minore impatto sui workload dovendo fare meno riavvii;
  • distribuzione più rapida degli aggiornamenti, poiché i pacchetti sono più piccoli, si installano più rapidamente e l’orchestrazione delle patch è più semplice con Azure Update Manager;
  • migliore protezione, in quanto i pacchetti di aggiornamento hotpatch sono dedicati agli aggiornamenti di sicurezza di Windows che si installano più rapidamente senza riavvii.

Govern

Azure Cost Management

Azure Advisor: consigli per il giusto dimensionamento di VM/VMSS con un tempo di riferimento personalizzato

I clienti che utilizzano Azure Advisor possono migliorare la pertinenza delle raccomandazioni per renderle più attuabili, con conseguenti ulteriori risparmi sui costi. Infatti, le raccomandazioni per il giusto dimensionamento aiutano a ottimizzare i costi, identificando le macchine virtuali inattive o sottoutilizzate in base alla loro attività di CPU, memoria e rete nel periodo di riferimento predefinito di sette giorni. Ora, grazie all’ultimo aggiornamento, i clienti possono impostare il periodo di riferimento per ottenere raccomandazioni basate su 14, 21, 30, 60 o addirittura 90 giorni di utilizzo. La configurazione può essere applicata a livello di subscription. Questa funzionalità è particolarmente utile quando i workload hanno picchi bisettimanali oppure mensili.

Aggiornamenti relativi a Microsoft Cost Management

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.

Secure

Microsoft Defender for Cloud

Integrazione tra Azure API Management e Microsoft Defender for API (preview)

Risulta ora possibile ottenere un maggiore livello sicurezza delle API grazie all’integrazione tra Azure API Management e Microsoft Defender for APIs. Questa integrazione consente una strategia completa di difesa per:

  • ottenere visibilità sulle API di Azure;
  • comprenderne la postura di sicurezza;
  • dare priorità alle correzioni delle vulnerabilità;
  • rilevare e rispondere alle minacce attive in runtime, utilizzando rilevamenti di utilizzo anomalo e sospetto delle API basati sull’apprendimento automatico.

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate.

Protect

Azure Backup

Supporto per le macchine virtuali Azure che utilizzano Premium SSD v2 (preview)

In Azure Backup è possibile ora abilitare la protezione delle macchine virtuali Azure che utilizzano Premium SSD v2. L’abilitazione di questi backup è attualmente disponibile in regioni selezionate e Microsoft ha in programma di aggiungere nelle prossime settimane il supporto anche in altre regioni.

Azure Site Recovery

Supporto per dischi di grandi dimensioni per il disaster recovery delle macchine virtuali Hyper-V

In Azure Site Recovery risulta ora possibile abilitare il disaster recovery delle macchine virtuali Hyper-V con dischi dati di dimensioni fino a 32 TB. Questo vale per le macchine virtuali Hyper-V che replicano su dischi gestiti in qualsiasi region di Azure.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità. In particolare, questo mese le principali novità riguardano:

  • possibilità di creare un business case importando la lista dei server attraverso un file .csv;
  • costruzione di un business case utilizzando Azure Migrate per:
    • server e carichi di lavoro in esecuzione in ambienti Microsoft Hyper-V e fisici/bare-metal, nonché servizi IaaS di altri cloud pubblici;
    • istanze SQL Server Always On Failover Cluster e gruppi di disponibilità Always On.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (April 2023 – Weeks: 15 and 16)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Hotpatch for Windows Server VMs on Azure with desktop experience

Hotpatch is now available for Windows Server Azure edition VMs running the desktop experience. Hotpatch is a feature that allows you to patch and install updates to Windows Server Azure Edition virtual machines on Azure without requiring a reboot. It was previously available for the server core installation mode, but now, Windows Server Azure edition VMs installed with the desktop experience mode (the Windows Explorer shell, Start Menu, etc.) will no longer reboot every month for security updates, providing:

  • lower workload impact with less reboots;
  • faster deployment of updates as the packages are smaller, install faster, and have easier patch orchestration with Azure Update Manager;
  • better protection, as the hotpatch update packages are scoped to Windows security updates that install faster without rebooting.

Trusted launch on existing Azure Gen2 VMs (preview)

Trusted launch provides a seamless way to improve the security of Azure Generation 2 VMs. It protects against advanced and persistent attack techniques by combining technologies which can be independently enabled like secure boot and virtualized version of trusted platform module (vTPM). The preview is available to support to enable Trusted launch on existing Gen2 VMs by upgrading the security type of the Gen2 VM to Trusted launch. This will help improve the foundational security of existing Gen2 VMs.

Networking

Azure CNI overlay in generally available

Azure CNI overlay addresses performance, scalability and IP exhaustion challenges while using traditional Azure Container Networking Interface (CNI). With Azure CNI overlay AKS clusters can be scaled to very large sizes by assigning pod IP addresses from user defined overlay address space which are logically different from VNet IP address space hosting the cluster nodes. Additionally, user defined private CIDR can be reused in different AKS clusters, truly extending the IP space available for containerized applications in AKS. Pod and node traffic within the cluster use an overlay network via Azure Software Defined Network (SDN) without any additional encapsulation. Network Address Translation (using the node’s IP address) is used to reach resources outside the cluster.

Storage

Azure Storage Mover is now Generally Available

Azure Storage Mover is a new, fully managed migration service that enables you to migrate your files and folders to Azure Storage while minimizing downtime for your workload. You can use Storage Mover for different migration scenarios such as lift-and-shift, and for cloud migrations that you have to repeat occasionally. Azure Storage Mover also helps maintain oversight and manage the migration of all your globally distributed file shares from a single storage mover resource.

Support for Linux clients to use identity-based access to Azure file shares over SMB

Azure Files now supports Linux clients to use identity-based authentication over Server Message Block (SMB). Previously only Windows clients were supported by Azure Files.

In order to leverage identity based authentication and authorization, the clients need to be domain joined to one of the following Domain Services:

  • On-premises Active Directory Domain Services (AD DS)
  • Azure Active Directory Domain Services (Azure AD DS)

Azure Active Directory (Azure AD) Kerberos for hybrid identities is NOT supported yet for Linux clients. This capability will enable customers who are moving a mix of Windows and Linux environments to cloud to have a consistent identity system across both Windows and Linux workstations.

Azure Elastic SAN Public Preview is now available in more regions

Azure Elastic SAN, which is currently in preview, is available with locally redundant storage (LRS) in several regions, including Australia East, Southeast Asia, France Central (including ZRS), North Europe (including ZRS), Sweden Central, UK South, West Europe (including ZRS), East US, East US 2, South Central US, West US 2 (including ZRS), and West US 3. By combining SAN-like capabilities with the advantages of being a cloud-native service, Azure Elastic SAN provides a storage solution that is highly scalable, cost-effective, high-performing, and resilient. It caters to various storage needs, whether you’re migrating your on-premises SAN to the cloud or creating your application directly in the cloud.

Come la fine del supporto di Windows Server 2012 può essere una grande opportunità per i CTO

La fine del supporto dei sistemi operativi Windows Server 2012 e 2012 R2 sta avvicinandosi rapidamente e, per i Chief Technology Officer (CTO) delle aziende, questo aspetto deve essere attentamente valutato in quanto ha degli impatti significativi sull’infrastruttura IT. Allo stesso tempo, la fine del supporto può rappresentare un’occasione importante per modernizzare l’ambiente IT al fine di garantire una maggiore sicurezza, nuove funzionalità e un miglioramento della continuità del business. In questo articolo vengono riportate le strategie che è possibile adottare per affrontare questa situazione, evitando così di esporre la propria infrastruttura IT a problematiche di security causate da questa situazione.

Quando termina il supporto di Windows Server 2012/2012R2 e cosa comporta?

Il 10 ottobre 2023 segna la fine del supporto esteso di Windows Server 2012 e Windows Server 2012 R2. Senza il supporto di Microsoft, Windows Server 2012 e Windows Server 2012 R2 non riceveranno più patch di sicurezza, a meno che non vengano svolte determinate azioni riportate in seguito. Ciò significa che eventuali vulnerabilità scoperte nel sistema operativo non saranno più corrette e questo potrebbe rendere i sistemi vulnerabili ad attacchi informatici. Inoltre, questa condizione comporterebbe lo stato di non conformità rispetto a specifici regolamenti, come ad esempio il General Data Protection Regulation (GDPR).

Inoltre, gli utenti non riceveranno più correzioni di bug e altri aggiornamenti necessari per mantenere il sistema operativo in linea con le ultime tecnologie, il che potrebbe comportare problemi di compatibilità con i software più recenti e introdurre potenziali problemi di prestazioni.

Oltre a tutto ciò, Microsoft non garantirà più un supporto tecnico e un aggiornamento dei contenuti tecnici disponibili online per questo sistema operativo.

Tutti questi aspetti comportano un impatto significativo sulle realtà IT che utilizzano ancora questi sistemi operativi.

Possibili strategie e opportunità legate alla fine del supporto

Questa situazione è certamente poco piacevole per chi si ritrova ad affrontarla ora, visti i tempi ristretti, ma può anche essere vista come una importante opportunità di rinnovo e innovazione della propria infrastruttura. Nei paragrafi seguenti vengono riportate le possibili strategie che si possono attuare.

Aggiornamento dei sistemi on-premises

Questa strategia prevede il passaggio a una nuova versione di Windows Server in ambiente on-premises. Il consiglio in questo caso è di approcciare come piattaforma almeno Windows Server 2019, ma è preferibile adottare la versione più recente, Windows Server 2022, che può fornire le ultime innovazioni in materia di sicurezza, prestazioni e modernizzazione delle applicazioni.

Inoltre, laddove tecnicamente possibile è preferibile non procedere con aggiornamenti in place del sistema operativo, ma di gestire la migrazione in side-by-side.

Questo metodo solitamente richiede un coinvolgimento del fornitore applicativo, per garantire la compatibilità software con la nuova versione del sistema operativo. Trattandosi di software non recenti, spesso viene richiesta l’adozione di versioni aggiornate degli stessi, che possono prevedere un adeguamento dell’architettura e una fase approfondita di test della nuova release. Adottando questo processo di upgrade i tempi e l’effort sono considerevoli, ma il risultato che si ottiene è fondamentale per rispettare il rinnovo tecnologico.

Mantenimento dei sistemi Windows Server 2012/2012 R2, ma con aggiornamenti di security per altri 3 anni

Per continuare a ricevere gli update di security per i sistemi Windows Server 2012\2012 R2 ospitati in ambiente on-premises, una possibilità è quella di aderire al programma Extended Security Update (ESU). Tale programma a pagamento garantisce il provisioning degli Update di Security classificati come “critical” e “important” per ulteriori tre anni, nel caso specifico fino al 13 ottobre 2026.

Il programma Extended Security Update (ESU) è un’opzione per i clienti che hanno bisogno di eseguire alcuni prodotti Microsoft legacy oltre la fine del supporto e che non sono nelle condizioni di intraprendere altre strategie. Gli aggiornamenti inclusi nel programma ESU non includono nuove funzionalità e aggiornamenti non legati agli aspetti di sicurezza.

Adozione di Azure

Migrazione dei sistemi in Azure

Migrando i sistemi Windows Server 2012 e Windows Server 2012 R2 presenti on-premises in ambiente Azure si continueranno a ricevere per altri tre anni i security update, classificati come critici e importanti, senza dover aderire al programma ESU. Questo scenario non solo è utile per garantire il rispetto della compliance dei propri sistemi, ma apre la strada verso architetture ibride dove sarà possibile ottenere i vantaggi dati dal cloud. A questo proposito Microsoft offre un’ottima soluzione in grado di fornire un ampio set di strumenti necessari per affrontare al meglio i più comuni scenari di migrazione: Azure Migrate, che struttura il processo di migrazioni in fase differenti (discovery, assessment, e migrazione).

Anche Azure Arc può risultare molto utile per inventariare il patrimonio digitale in ambienti eterogenei e distribuiti.

L’adozione di questa strategia può risultare più veloce rispetto all’aggiornamento dei sistemi e consente di avere più tempo a disposizione per affrontare il rinnovo software. A questo proposito il cloud consente di avere un’ottima flessibilità e agilità nel testare gli applicativi in ambienti paralleli.

Prima di iniziare il percorso di migrazione verso Azure è fondamentale anche strutturare il networking dell’ambiente ibrido in modo opportuno e valutare le iterazioni con gli altri componenti dell’infrastruttura, per constatare se l’applicativo può funzionare bene anche in ambiente cloud.

La migrazione in Azure può avvenire verso macchine virtuali IaaS oppure, in presenza di un numero elevato di sistemi da migrare in ambiente VMware, Azure VMware Solution può essere una soluzione da tenere in considerazione per affrontare una migrazione massiva in tempi rapidi e riducendo al minimo l’interruzione dei servizi erogati.

Estensione di Azure nel proprio datacenter con Azure Stack HCI

Azure Stack HCI è la soluzione Microsoft che permette di realizzare una infrastruttura hyper-converged (HCI) per l’esecuzione di workload in ambiente on-premises e che prevede una strategica connessione a vari servizi di Azure. Azure Stack HCI è stato appositamente progettato da Microsoft per aiutare i clienti a modernizzare il proprio datacenter ibrido, offrendo un’esperienza Azure completa e familiare in ambiente on-premises. Per un approfondimento sulla soluzione Microsoft Azure Stack HCI vi invito a leggere questo articolo oppure a visualizzare questo video.

Azure Stack HCI consente di ottenere gratuitamente, proprio come in Azure, importanti patch di sicurezza per i prodotti legacy di Microsoft che hanno superato il termine del supporto, tramite il programma Extended Security Update (ESU). Per maggiori informazioni a riguardo è possibile consultare questo documento Microsoft. Questa strategia consente di avere più tempo per intraprendere un percorso di modernizzazione applicativa, senza trascurare gli aspetti legati alla sicurezza.

Modernizzazione applicativa

In determinate circostanze si potrebbe intraprendere un percorso di modernizzazione applicativa, magari incentrato sul cloud pubblico, con l’obiettivo di aumentare l’innovazione, l’agilità e l’efficienza operativa. Microsoft Azure offre la flessibilità di scegliere tra un’ampia gamma di opzioni per ospitare le proprie applicazioni, coprendo lo spettro di Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Container-as-a-Service (CaaS) e serverless. In un percorso per abbandonare sistemi operativi legacy i clienti possono utilizzare i container anche per le applicazioni non appositamente progettate per utilizzare architetture basate su microservizi. In questi casi è possibile attuare una strategia di migrazione delle applicazioni esistenti che prevede solo modifiche minimali del codice dell’applicazione oppure modifiche alle configurazioni. Si tratta di modifiche strettamente necessarie per ottimizzare l’applicazione al fine di essere ospitata su soluzioni PaaS e CaaS. Per ottenere alcuni spunti a riguardo vi invito a leggere questo articolo.

Passaggi per una transizione di successo

Per le imprese che intendono intraprendere una delle strategie riportate, ci sono alcuni passaggi importanti che devono essere presi per garantire una transizione di successo.

Indipendentemente dalla strategia che si decide adottare il consiglio è di fare un assessment dettagliato, in modo da poter categorizzare ciascun workload per tipologia, criticità, complessità e rischio. In questo modo è possibile dare delle priorità e procedere con un piano di migrazione strutturato.

Inoltre, è necessario valutare attentamente la strategia di transizione più idonea considerando come minimizzare eventuali interruzioni delle attività aziendali. Ciò può includere la pianificazione dei test e la creazione di set di backup adeguati prima della migrazione.

Infine, una volta completata la migrazione, è importante attivare un moderno sistema di monitor per garantire che il workload applicativo sia stabile e che funzioni come previsto.

Conclusioni

La fine del supporto di Windows Server 2012 e Windows Server 2012 R2 rappresenta una sfida per molte aziende che utilizzano ancora questi sistemi operativi. Tuttavia, può anche essere vista come un’opportunità per le imprese di avviare un percorso di modernizzazione dell’infrastruttura oppure applicativa. In questo modo si potrà disporre di risorse più moderne, sfruttando anche le opportunità che offrono in termini di sicurezza, scalabilità e prestazioni.

Azure IaaS and Azure Stack: announcements and updates (April 2023 – Weeks: 13 and 14)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

New General-Purpose VMs: Dlsv5 and Dldsv5

The Dlsv5 and Dldsv5 VM series are ideal for workloads that require less RAM per vCPU than standard general purpose VM sizes. Target workloads include web servers, gaming, video encoding, AI/ML, batch processing and more. These VM series can potentially improve price-performance and reduce the cost of running workloads that do not require more memory per vCPU. The new VMs feature sizes with and without local temporary storage.

Networking

Azure Firewall enhancements for troubleshooting network performance and traffic visibility (preview)

Microsoft Azure Firewall now offers new logging and metric enhancements designed to increase visibility and provide more insights into traffic processed by the firewall. IT security administrators may use (in preview) a combination of the following to root cause application performance issues:

o    Latency Probe metric
o    Flow Trace Log
o    Top Flows Log

Private Application Gateway v2 (preview)

Application Gateway v2 is introducing a collection of new capabilities to further enable you to control network exposure using Application Gateway v2 skus:

  • private IP only frontend configuration (elimination of Public IP);
  • enhanced control over Network Securtiy Groups:
    • eliminate GatewayManager service tag requirement;
    • enable definition of Deny All Outbound rule;
  • enhanced control over Route Table rules:
    • forced Tunelling Support (learning of 0.0.0.0/0 route via BGP);
    • route Table rule of 0.0.0.0/0 next hop Virtual Appliance.

Storage

Azure File Sync agent v16

The Azure File Sync agent v16 release has finished flighting and is now available on both Microsoft Update and the Microsoft Download Center.

Improvements and issues that are fixed:

  • improved Azure File Sync service availability:
    • Azure File Sync is now a zone-redundant service which means an outage in a zone has limited impact while improving the service resiliency to minimize customer impact. To fully leverage this improvement, configure your storage accounts to use zone-redundant storage (ZRS) or Geo-zone redundant storage (GZRS) replication. To learn more about different redundancy options for your storage accounts, see: Azure Storage redundancy
  • immediately run server change enumeration to detect files changes that were missed on the server:
    • Azure File Sync uses the Windows USN journal feature on Windows Server to immediately detect files that were changed and upload them to the Azure file share. If files changed are missed due to journal wrap or other issues, the files will not sync to the Azure file share until the changes are detected. Azure File Sync has a server change enumeration job that runs every 24 hours on the server endpoint path to detect changes that were missed by the USN journal. If you don’t want to wait until the next server change enumeration job runs, you can now use the Invoke-StorageSyncServerChangeDetection PowerShell cmdlet to immediately run server change enumeration on a server endpoint path;
  • bug fix for the PowerShell script FileSyncErrorsReport.ps1;
  • miscellaneous reliability and telemetry improvements for cloud tiering and sync.

More information about this release:

  • this release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 installations;
  • the agent version for this release is 16.0.0.0;
  • installation instructions are documented in KB5013877.

Azure Files NFS: nconnect support

Azure Files NFS v4.1 share now support nconnect option. Nconnect is a client-side Linux mount option that increases performance at scale. With nconnect, the NFS mount uses more TCP connections between the client and the Azure Files service for NFSv4.1. Using Nconnect can improve a client’s throughput/IOPS upto 4X and reduce TCO by upto 70%. There is no additional billing cost associated to using this feature. This feature is available to all existing and new shares.

Azure Premium SSD v2 Disk Storage in new regions

Azure Premium SSD v2 Disk Storage is now available in East US 2, North Europe, and West US 2 regions. This next-generation storage solution offers advanced general-purpose block storage with the best price performance, delivering sub-millisecond disk latencies for demanding IO-intensive workloads at a low cost. It is well-suited for a wide range of enterprise production workloads, including SQL Server, Oracle, MariaDB, SAP, Cassandra, MongoDB, big data analytics, gaming on virtual machines, and stateful containers.