Archivi categoria: Microsoft Azure

Azure Security: come proteggere il servizio di distribuzione e di gestione delle risorse Azure

Per ottenere un elevato livello di sicurezza del proprio ambiente dislocato nel cloud pubblico è necessario prevedere una protezione sulle singole risorse che vengono attivate, ma è anche opportuno monitorare il servizio che permette la distribuzione e la gestione delle risorse stesse. Nel cloud pubblico di Microsoft il servizio di deployment e management è definito Azure Resource Manager, un servizio cruciale connesso a tutte le risorse Azure, pertanto un potenziale ed ambizioso bersaglio per gli aggressori. Microsoft, consapevole di questo aspetto, ha recentemente annunciato Azure Defender for Resource Manager. In questo articolo vengono riportate le caratteristiche di questa soluzione che consente di svolgere un’analisi avanzata di sicurezza, al fine di rilevare potenziali minacce ed essere avvisati a fronte di attività sospette che interessano Azure Resource Manager.

In Azure Defender esistono protezioni pensate appositamente per i singoli servizi Azure, come ad esempio per Azure SQL DB, Azure Storage, Azure VMs, e protezioni che interessano in modo trasversale tutti quei componenti che possono essere utilizzati dalle varie risorse Azure. Tra questi troviamo Azure Defender per Azure Network, Key Vault ed è stata annunciata recentemente anche la disponibilità di Azure Defender per Azure DNS e per Azure Resource Manager. Questi strumenti permettono di ottenere un ulteriore livello di protezione e controllo nel proprio ambiente Azure.

Figura 1 – Azure Defender Threat Protection per Workloads Azure

Azure Resource Manager fornisce il layer di gestione che consente di creare, aggiornare ed eliminare risorse nell’ambiente Azure. Fornisce inoltre funzionalità specifiche per la governance dell’ambiente Azure, come il controllo degli accessi, i lock ed i tag, che consentono di proteggere ed organizzare le risorse dopo la loro distribuzione.

Azure Defender for Resource Manager effettua automaticamente il monitor delle operazioni di gestione delle risorse Azure dell’organizzazione, indipendentemente dal fatto che queste vengano eseguite tramite il portale di Azure, le REST API di Azure, l’interfaccia da riga di comando oppure con altri client di programmazione di Azure.

Figura 2 – Protezione di Azure Defender for Resource Manager

Per attivare questo tipo di protezione è sufficiente abilitare il piano specifico di Azure Defender nelle impostazioni di Azure Security Center:

Figura 3 – Attivazione di Azure Defender for Resource Manager

Azure Defender for Resource Manager è in grado di attivare una protezione al verificarsi delle seguenti condizioni:

  • Operazioni di gestione delle risorse classificate come sospette, come ad esempio operazioni da indirizzi IP dubbi, disabilitazione del componente antimalware e script ambigui in esecuzione tramite le VM extensions.
  • Utilizzo di exploitation toolkits come Microburst oppure PowerZure.
  • Spostamento laterale dall’Azure management layer all’Azure resources data plane.

Un elenco completo degli alert che Azure Defender for Resource Manager è in grado di generare, si trova in questo documento Microsoft.

Gli avvisi di sicurezza generati da Azure Defender for Resource Manager si basano su potenziali minacce che vengono rilevate monitorando le operazioni di Azure Resource Manager utilizzando le seguenti fonti:

  • Azure Activity Log, il log della piattaforma Azure che fornisce informazioni sugli eventi a livello di sottoscrizione.
  • Log interni di Azure Resource Manager, non accessibile dai clienti, ma solo dal personale Microsoft.

Al fine di ottenere un’esperienza di indagine migliore e più approfondita è consigliabile far confluire gli Azure Activity Log in Azure Sentinel, seguendo la procedura descritta in questo documento Microsoft.

Simulando un attacco al layer di Azure Resource Manager utilizzando l’exploitation toolkits PowerZure, Azure Defender for Resource Manager genera un alert con severity elevata, come mostrato nell’immagine seguente:

Figura 4 – Alert generato da Azure Defender for Resource Manager

A fronte di un alert di questo tipo è possibile ricevere anche una notifica impostando in modo opportuno un action group in Azure Monitor. Inoltre, nel caso sia stata attivata l’integrazione tra Azure Security Center ed Azure Sentinel, lo stesso alert sarebbe presente anche in Azure Sentinel, con le relative informazioni necessarie per avviare il processo di investigazione e fornire una pronta risposta ad una problematica di questo tipo.

Conclusioni

Proteggere in modo efficace le risorse nell’ambiente Azure significa anche adottare gli strumenti idonei per fronteggiare potenziali attacchi che possono sfruttare i meccanismi di distribuzione e di gestione delle risorse stesse. Grazie al nuovo strumento Azure Defender for Resource Manager è possibile usufruire in modo totalmente integrato nella piattaforma Azure di una efficace protezione, senza dover installare specifici software oppure abilitare agenti aggiuntivi.

Azure IaaS and Azure Stack: announcements and updates (January 2021 – Weeks: 01 and 02)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

New datacenter region in Chile

Microsoft has announced plans for a new datacenter region in Chile, as part of a “Transforma Chile” initiative. A skilling program as well as an Advisory Board are also part of the initiative, targeted at reaching 180,00 Chileans.

NCas_T4_v3-Series VMs are now generally available

NCas_T4_v3Virtual Machines feature 4 NVIDIA T4 GPUs with 16 GB of memory each, up to 64 non-multithreaded AMD EPYC 7V12 (Rome) processor cores, and 448 GiB of system memory. These virtual machines are ideal to run ML and AI workloads utilizing Cuda, TensorFlow, Pytorch, Caffe, and other frameworks or the graphics workloads using NVIDIA GRID technology. NCas_T4_v3 VMs are now generally available in West US2, West Europe, and Korea Central regions.

Networking

Public IP SKU upgrade

Azure public IP addresses now support the ability to be upgraded from Basic to Standard SKU.  Additionally, any Basic Public Load Balancer can now be upgraded to a Standard Public Load Balancer, while retaining the same public IP address.  This is supported via PowerShell, CLI, templates, and API and available across all Azure regions.

Azure Hybrid Cloud: panoramica della soluzione Azure Stack Edge

Microsoft per rispondere al meglio alle esigenze di adottare soluzioni in grado di estendere il proprio ambiente, dal datacenter principale ai siti periferici, con i servizi innovativi di Azure, mette a disposizione dei propri clienti il portfolio Azure Stack. Si tratta di un insieme di soluzioni in ambito Hybryd Cloud, che consentono di distribuire ed eseguire i propri workload applicativi in modo coerente, senza vincoli imposti dalla locazione geografica. In questo articolo viene riportata una panoramica della piattaforma Azure Stack Edge (ASE) e delle sue caratteristiche, esaminando i casi d’uso e le principali funzionalità.

Prima di entrare nello specifico di Azure Stack Edge è bene precisare che le soluzioni incluse nel portfolio Azure Stack sono le seguenti:

  • Azure Stack Edge: l’appliance gestita di Azure in grado di portare la potenza computazionale, lo storage e l’intelligenza del cloud in un edge remoto del cliente.
  • Azure Stack HCI: la soluzione che consente l’esecuzione di macchine virtuali ed una facile connessione ad Azure grazie ad una infrastruttura hyper-converged (HCI).
  • Azure Stack Hub: l’offerta per le realtà enterprise e per i clienti dei settori pubblici, che necessitano di un ambiente cloud ma disconnesso da Internet oppure che devono soddisfare specifici requisiti normativi e di conformità.

Figura 1 – Famiglia di prodotti Azure Stack

Per avere una panoramica di queste soluzioni vi invito a leggere questo articolo.

Value proposition di Azure Stack Edge

I risultati che si possono trarre adottando la soluzione Azure Stack Edge sono i seguenti:

  • Possibilità di adottare on-premises un modello Infrastructure as a service (IaaS) per i carichi di lavoro nei siti periferici (edge), dove sia l’hardware che il software vengono forniti da Microsoft.
  • Capacità di eseguire le applicazioni presso i siti del cliente, in modo da mantenerle in prossimità delle fonti dati. Inoltre, consente di eseguire presso l’edge non solo le applicazioni proprietarie e di terze parti, ma anche di usufruire di diversi servizi Azure.
  • Disponibilità di acceleratori hardware built-in che consentono di eseguire scenari di machine learning e AI presso l’edge, proprio dove si trovano i dati, senza la necessità di dover inviare i dati nel cloud per svolgere ulteriori analisi.
  • Possibilità di disporre di un cloud storage gateway integrato che consente un facile trasferimento dei dati dall’edge verso l’ambiente cloud.

Scenari d’uso

I principali scenari d’uso di Azure Stack Edge sono i seguenti:

  • Machine learning presso i siti periferici: grazie alla presenza di acceleratori hardware integrati e le capacità di elaborazione offerte dalla soluzione, si ha la possibilità di far fronte a questi scenari proprio dove risiedono i dati, elaborandoli in tempo reale, senza doverli inviare verso Azure.
  • Capacità computazione presso gli edge: i clienti possono eseguire le proprie applicazioni aziendali e le soluzioni IoT presso i siti periferici, senza necessariamente dover fare affidamento su una connettività costante verso l’ambiente cloud.
  • Trasferimento di rete dei dati dall’edge al cloud: utilizzato negli scenari in cui si desidera trasferire periodicamente i dati dall’edge al cloud, per ulteriori analisi oppure per scopi di archiviazione.

Form factors

Per supportare i differenti scenari d’uso riportati, verticalmente tra i settori industriali, Azure Stack Edge è disponibile in tre form factor distinti:

  • Azure Stack Edge Pro, un server blade 1U con una o due GPU.
  • Azure Stack Edge Pro R, un server rugged con GPU, in una robusta custodia da trasporto, completa di UPS e batteria di backup.
  • Azure Stack Edge Mini R, una macchina con un form factor ridotto dotata di batteria e con un peso non elevato (meno di 3,5 Kg).

Figura 2 – Form factors di Azure Stack Edge

Le versioni Azure Stack Edge “rugged” permettono una resistenza a condizioni ambientali estreme, e le versioni alimentate a batterie consentono un facile trasporto.

Stack software di Azure Stack Edge

Il cliente può effettuare l’ordine ed il provisioning di Azure Stack Edge direttamente dal portale Azure, per poi utilizzare gli strumenti classici di gestione di Azure per farne il monitoring ed eseguirne gli aggiornamenti. Il supporto hardware viene fornito direttamente da Microsoft, che provvederà alla sostituzione dei componenti in caso di problematiche. Non sono previsti costi iniziali per ottenere questa appliance, ma il costo sarà contemplato mensilmente nella fatturazione dei servizi Azure. Dal momento che, una volta configurato, qualsiasi applicazione eseguita in Azure Stack Edge può essere configurata e distribuita dal portale di Azure, viene elimina la necessità di disporre di personale IT nell’edge location.

Capacità computazionale di Azure Stack Edge

La possibilità di offrire capacità computazionale preso gli edge è una delle funzionalità chiave di Azure Stack Edge, la quale può essere erogata secondo una delle seguenti modalità:

  • IoT Edge: l’esecuzione di carichi di lavoro containerizzati distribuiti tramite IoT hub è sempre stata supportata sin dal lancio di Azure Stack Edge e continua tuttora ad esserlo.
  • Kubernetes: recentemente è stato introdotto il supporto per l’esecuzione di workloads containerizzati in cluster Kubernetes in esecuzione su Azure Stack Edge.
  • Virtual machines: un ulteriore modo per l’esecuzione delle applicazioni è l’attivazione di workload a bordo di macchine virtuali.

Ambiente Kubernetes in Azure Stack Edge

Kubernetes sta diventando lo standard di fatto per l’esecuzione e l’orchestrazione di workloads containerizzati, ma chi conosce questi ambienti, ha la consapevolezza di alcune delle sfide operative che possono derivare dalla gestione di un cluster Kubernetes. In questo ambito l’obiettivo di Azure Stack Edge è quello di semplificare la distribuzione e la gestione dei cluster Kubernetes. Grazie a una semplice configurazione è possibile attivare un cluster Kubernetes su Azure Stack Edge.

Una volta configurato il cluster Kubernetes, è necessario eseguire ulteriori operazioni di gestione, che vengono semplificare in ASE con dei semplici componenti aggiuntivi. Tra queste operazioni troviamo:

  • La possibilità di abilitare in modo semplice gli acceleratori hardware.
  • Il provisioning del sistema storage per la creazione di volumi persistenti.
  • Lo stare al passo con le versioni di Kubernetes prendendo gli ultimi aggiornamenti disponibili.
  • La capacità di applicare meccanismi di sicurezza e di governance dalla propria infrastruttura.

Completata la configurazione dell’ambiente cluster, vengono forniti dei meccanismi semplici per distribuire e gestire i carichi di lavoro sul cluster Kubernetes, tramite le seguenti modalità:

  • Azure Arc: ASE viene fornito con l’integrazione nativa con Azure Arc. Con pochi passaggi è possibile abilitare Azure Arc, permettendo la distribuzione delle applicazioni nel cluster Kubernetes direttamente dal portale Azure.
  • IoT Hub: abilitando il componente aggiuntivo dell’IoT hub è possibile utilizzarlo per la distribuzione dei conteiners.
  • Kubectl: risulta infine supportato il modo nativo kubectl, utilizzato tipicamente in ambienti disconnessi oppure se si dispone di un’infrastruttura esistente che si integra già con questa modalità.

Figura 3 – Kubernetes deployment in Azure Stack Edge

Macchine virtuali in Azure Stack Edge

Un’altra variante per offrire capacità computazionale presso gli edge è l’attivazione di macchine virtuali. Azure Stack Edge consente di ospitare macchine virtuali, sia Windows che Linux, offrendo la possibilità di distribuire e gestire queste macchine virtuali direttamente da Azure oppure agendo localmente.

Figura 4 – Macchine virtuali in Azure Stack Edge

Un aspetto da tenere in considerazione è che Azure Stack Edge consente di configurare delle topologie di rete più semplici rispetto ad Azure oppure ad Azure Stack Hub.

Per quanto riguarda le funzionalità di accelerazione hardware presenti in Azure Stack Edge, sono supportate queste due varianti:

  • GPU NVIDIA T4, completamente integrata con lo stack GPU
  • Intel Movidius Visual Processing Unit (VPU), per scenari di AI e ML

Servizi Azure che possono essere distribuiti in Azure Stack Edge

Il numero dei servizi che possono essere attivati in Azure Stack Edge è elevato, tra quelli recentemente introdotti troviamo:

  • Live Video Analytics: una piattaforma per la creazione di soluzioni e applicazioni video basate sull’intelligenza artificiale, per svolgere approfondimenti in tempo reale utilizzando i flussi video.
  • Spatial Analysis: un modulo di visione artificiale in tempo reale per analizzare i video e comprendere i movimenti delle persone negli spazi fisici. Ad esempio, durante il periodo Covid, molti negozi al dettaglio desiderano implementare politiche di distanziamento sociale e potrebbero utilizzare uno speciale modulo di analisi per comprendere un determinato comportamento sulla base dei video girati nel negozio.
  • Azure Monitor: che consente di aumentare le prestazioni e la disponibilità delle applicazioni raccogliendo i log dai containers ed analizzandoli.

Figura 5 – Soluzioni Azure in Azure Stack Edge

Conclusioni

Nelle realtà aziendali l’adozione di soluzioni totalmente basate nel cloud non sempre risulta essere una scelta percorribile oppure la migliore in assoluto, spesso si devono necessariamente adottare soluzioni ibride, che comunque contemplano la possibilità di utilizzo anche delle innovazioni introdotte dal cloud. Azure Stack Edge risulta essere una soluzione flessibile e moderna che permettere di rispondere alle esigenze, anche quelle più sfidanti, che emergono per i siti periferici, senza tralasciare le potenzialità offerte dal cloud pubblico.

Azure IaaS and Azure Stack: announcements and updates (December 2020 – Weeks: 53)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

In the last week of the year, there was little news, thanks to the holiday period. This series of blog posts will continue into 2021. I take this opportunity to wish you a Happy New Year!

Azure

Azure NetApp Files: Application Consistent Snapshot tool (preview)

Azure Application Consistent Snapshot tool (AzAcSnap) is in public preview. It is a command-line tool enables you to simplify data protection for third-party databases (SAP HANA) in Linux environments (for example, SUSE and RHEL).

Azure Management services: le novità di Dicembre 2020

Nel mese di dicembre sono state annunciate da parte di Microsoft diverse novità riguardanti gli Azure management services. La nostra community rilascia mensilmente questo riepilogo che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuovo agente di Azure Monitor e nuove funzionalità di Data Collection Rules (preview)

In Azure Monitor è stato introdotto (in preview) un nuovo agente unificato (Azure Monitor Agent – AMA) e un nuovo concetto per rendere più efficiente la raccolta dati (Data Collection Rules – DCR).

Tra le varie funzionalità chiave aggiunte in questo nuovo agente troviamo:

  • Supporto per Azure Arc server (Windows and Linux) 
  • Supporto per Virtual Machine Scale Set (VMSS)
  • Installazione tramite template ARM

Per quanto riguarda la Data Collection sono state apportate queste novità:

  • Migliore controllo nella definizione dell’ambito della raccolta dei dati (ad es. possibilità di raccogliere da un sottoinsieme di VMs per un singolo workspace)
  • Raccolta unica ed invio sia a Log Analytics che ad Azure Monitor Metrics
  • Invio verso più workspace (multi-homing per Linux)
  • Possibilità di filtrare meglio gli eventi di Windows
  • Migliore gestione delle estensioni

Azure Monitor per Windows Virtual Desktop (preview)

Azure Monitor permette ora di effettuare le seguenti operazioni relative agli ambienti Windows Virtual Desktop:

  • Visualizzare un riepilogo sullo stato e sull’integrità degli host pool
  • Trovare e risolvere eventuali problemi nel deployment
  • Valutare l’utilizzo delle risorse e prendere decisioni sulla scalabilità e sulla gestione dei costi
  • Comprendere ed indirizzare i feedback degli utenti

Azure Monitor for containers: reports tab e log di deployment

In Azure Monitor for containers è stato reso disponibile un nuovo tab Reports che offre ai clienti un accesso completo a tutti i workbook di monitoring avanzati per Kubernetes, come ad esempio: Node-disk, Node-network, Workloads e monitoring dei Persistent Volume.

Inoltre, è ora possibile visualizzare i log in tempo reale dei deployment di Azure Kubernetes Service (AKS), accedendo direttamente ai Live Logs dei pod. In Log Analytics sarà consentito fare delle ricerche applicando dei filtri per visualizzare i log storici dei deployment dei pod, utile per diagnosticare eventuali problematiche.

Azure Monitor for containers: supporto per i live log dei Private Cluster (preview)

In Azure Monitor for containers è stato introdotto il supporto per i live log dei cluster privati, che consente di visualizzare in tempo reale i log dei container, gli eventi e le metriche dei pod. Per maggiori dettagli a riguardo è possibile consultare la documentazione specifica di Microsoft.

Infrastructure Encryption per i dati di Azure Monitor 

A partire dal 1 novembre 2020 i dati che confluiscono in Azure Monitor vengono crittografati due volte: a livello di servizio e ora anche a livello di infrastruttura, grazie alla double encryption disponibile per Azure storage.

Configure

Azure Automation

Disponibile il supporto per Azure Private Link

Microsoft ha introdotto il supporto per gli Azure Private Link, necessari per connettere in modo sicuro le reti virtuali ad Azure Automation tramite l’utilizzo di endpoint privati. Questa funzionalità risulta utile per:

  • Stabilire una connessione privata con Azure Automation, senza aprire l’accesso dalla rete pubblica.
  • Assicurare che i dati di Azure Automation siano accessibili solo attraverso reti private autorizzate.
  • Proteggersi dall’estrazione dei dati permettendo un accesso granulare a specifiche risorse.
  • Mantenere tutto il traffico all’interno della rete backbone di Microsoft Azure.

Disponibilità in nuove region

Azure Automation è ora disponibile nelle region di “Norway East” e “Germany West Central”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Supporto per i runbook Python3 (preview)

In Azure Automation è ora possibile importare, creare ed eseguire runbook Python 3 in Azure oppure in un Hybrid Runbook Worker.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (December 2020 – Weeks: 51 and 52)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure VMware Solution: now available in UK South and Japan East Azure regions

The new Azure VMware Solution empowers customers to seamlessly extend or migrate their existing on-premises VMware applications to Azure without the cost, effort or risk of re-architecting applications or retooling operations. General Availability of the new Azure VMware Solution was announced at Microsoft Ignite, Sept 2020, with initial availability in US East, US West, West Europe and Australia. Microsoft has now expanded availability to two more Azure regions Japan East and UK South. For updates on more upcoming region availability please visit the product by region page here.

HBv2-series VMs for HPC now available in the UAE North region

HBv2 VMs are now Generally Available in the Azure UAE North region.

Storage

Azure File Sync agent v11.1

Azure File Sync agent v11.1 is now on Microsoft Update and Microsoft Download Center.

Improvements and issues that are fixed:

  • New cloud tiering modes to control initial download and proactive recall
    • Initial download mode: you can now choose how you want your files to be initially downloaded onto your new server endpoint. Want all your files tiered or as many files as possible downloaded onto your server by last modified timestamp? You can do that! Can’t use cloud tiering? You can now opt to avoid tiered files on your system. To learn more, see Create a server endpoint section in the Deploy Azure File Sync documentation.
    • Proactive recall mode: whenever a file is created or modified, you can proactively recall it to servers that you specify within the same sync group. This makes the file readily available for consumption in each server you specified. Have teams across the globe working on the same data? Enable proactive recalling so that when the team arrives the next morning, all the files updated by a team in a different time zone are downloaded and ready to go! To learn more, see Proactively recall new and changed files from an Azure file share section in the Deploy Azure File Sync documentation.
  • Exclude applications from cloud tiering last access time tracking
    • You can now exclude applications from last access time tracking. When an application accesses a file, the last access time for the file is updated in the cloud tiering database. Applications that scan the file system like anti-virus cause all files to have the same last access time which impacts when files are tiered. For more details, see the release notes.
  • Miscellaneous performance and reliability improvements
    • Improved change detection performance to detect files that have changed in the Azure file share.
    • Improved sync upload performance.
    • Initial upload is now performed from a VSS snapshot which reduces per-item errors and sync session failures.
    • Sync reliability improvements for certain I/O patterns.
    • Fixed a bug to prevent the sync database from going back-in-time on failover clusters when a failover occurs.
    • Improved recall performance when accessing a tiered file.

More information about this release:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version for this release is 11.1.0.0.
  • A restart may be required if files are in use during the agent installation.
  • Installation instructions are documented in KB4539951.

Le possibilità offerte da Azure per l’esecuzione dei container

La forte tendenza nello sviluppo di applicazioni che prevedono architetture basate su microservizi rendono i container perfetti per eseguire il deployment del software in modo efficiente ed operare su larga scala. I container sono in grado di funzionare su sistemi operativi Windows, Linux e Mac, su macchine virtuali oppure bare metal, in data center on-premise e, ovviamente, nel cloud pubblico. Microsoft è certamente uno dei principali provider che consente l’esecuzione di container a livello enterprise nel cloud pubblico. In questo articolo viene riportata una panoramica delle principali soluzioni che è possibile adottare per l’esecuzione di container in ambiente Microsoft Azure.

Macchine virtuali

Le macchine virtuali IaaS in ambiente Azure sono in grado di fornire la massima flessibilità per eseguire container Docker. Infatti, su macchine virtuali Windows e Linux è possibile installare il runtime Docker e grazie alla disponibilità di diverse combinazioni di CPU e RAM si può disporre delle risorse necessarie per eseguire uno o più container. Questo approccio è tipicamente consigliato in ambienti di DevTest, in quanto l’onere di configurazione e manutenzione della macchina virtuale non è comunque trascurabile.

Approcci serverless

Azure Container Instances (ACI)

Azure Container Instances (ACI) è il metodo più semplice e rapido in Azure per l’esecuzione di container on-demand in un ambiente serverless gestito. Il tutto viene reso possibile senza dover attivare macchine virtuali specifiche e la manutenzione necessaria è pressoché trascurabile. La soluzione Azure Container Instances è idonea in scenari che richiedono container isolati, senza la necessità di adottare un sistema complesso di orchestrazione. ACI è infatti in grado di fornire solo alcune funzionalità di schedulazione di base offerte delle piattaforme di orchestrazione e, sebbene non copra i servizi di valore forniti da tali piattaforme, può essere visto come una soluzione complementare.

Le risorse di primo livello in Azure Container Instances sono i Container group, una raccolta di container che vengono schedulati sulla stessa macchina host. I container all’interno di un Container group condividono il lifecycle, le risorse, la rete locale ed i volumi di archiviazione. Il concetto di Container group è simile a quello del pod in ambiente Kubernetes.

Figura 1 – Esempio di container group in Azure Container Instances

Il servizio Azure Container Instances comporta dei costi che dipendono dal numero di vCPU e di GBs di memoria allocati al secondo. Per maggiori dettagli sui costi è possibile consultare la relativa pagina ufficiale Microsoft.

Azure Web App for Containers

Per carichi di lavoro web-based esiste la possibilità di far eseguire i container dagli Azure App Service, la piattaforma Azure di web hosting, utilizzando il servizio Azure Web App for Containers, con il vantaggio di poter sfruttare le metodologie di distribuzione, scalabilità e monitor intrinseche nella soluzione.

Azure Batch e container

Se i workload prevedono la necessità di scalare con più job batch è possibile inserirli in container e gestire lo scaling tramite Azure Batch. In questo scenario la combinazione tra Azure Batch e container risulta vincente. Azure Batch consente l’esecuzione ed il ridimensionare di un numero elevato di processi di elaborazione batch in Azure, mentre i container forniscono un metodo semplice per eseguire le attività Batch, senza dover gestire l’ambiente e le relative dipendenze, necessarie per l’esecuzione delle applicazioni. In questi scenari è possibile prevedere l’adozione delle low-priority VMs con Azure Batch per ridurre i costi.

Orchestrazione dei container

I task di automazione e gestione di un numero elevato di container e le modalità con le quali questi interagiscono applicativamente tra di loro è noto come orchestrazione. Nel caso quindi ci sia la necessità di orchestrare più containers è necessario adottare soluzioni più sofisticate come: Azure Kubernetes Service (AKS) oppure Azure Service Fabric.

Azure Kubernetes Service (AKS)

Azure Kubernetes Service (AKS) è il servizio Azure completamente gestito che permette l’attivazione di un cluster Kubernetes.

Kubernetes, conosciuto anche come “k8s”, provvede all’orchestrazione automatizzata dei container, migliorandone l’affidabilità e riducendo il tempo e le risorse necessarie in ambito DevOps. Kubernetes tende a semplificare i deployment, permettendo di eseguire automaticamente le implementazioni ed i rollback. Inoltre, permette di migliorare la gestione delle applicazioni e di monitorare lo stato dei servizi per evitare errori in fase di implementazione. Tra le varie funzionalità sono previsti controlli di integrità dei servizi, con la possibilità di riavviare i container che non sono in esecuzione oppure che risultano bloccati, permettendo di annunciare ai client solo i servizi correttamente avviati. Kubernetes permette inoltre di scalare automaticamente in base all’utilizzo ed esattamente come i container, permette di gestire in maniera dichiarativa l’ambiente cluster, consentendo una configurazione controllata a livello di versione e facilmente replicabile.

Figura 2 – Esempio di architettura a microservizi basata su Azure Kubernetes Service (AKS)

Azure Service Fabric

Un’altra possibilità per orchestrare i container è l’adozione dell’affidabile e flessibile piattaforma Azure Service Fabric. Si tratta dell’orchestratore di container di Microsoft che permette il deployment e la gestione dei microservizi in ambienti cluster ad elevata intensità e con tempi di deployment molto rapidi. Con questa soluzione si ha la possibilità, per la stessa applicazione, di unire servizi che risiedono in processi e servizi all’interno di container. L’architettura unica e scalabile di Service Fabric consente di eseguire analisi dei dati pressoché in tempo reale, calcoli computazionali in memoria, transazioni parallele ed elaborazione di eventi nelle applicazioni. Service Fabric offre un runtime sofisticato e leggero che supporta microservizi stateless e stateful. Un elemento chiave di differenziazione di Service Fabric è il suo robusto supporto per la creazione di servizi stateful, adottando modelli di programmazione built-in di Service Fabric oppure servizi stateful containerizzati. Per maggiori informazioni sugli scenari applicativi che possono trarre vantaggio dai servizi stateful di Service Fabric è possibile consultare questo documento.

Figura 3 – Panoramica di Azure Service Fabric

Azure Service Fabric può vantare di ospitare molti servizi Microsoft, tra i quali Azure SQL Database, Azure Cosmos DB, Cortana, Microsoft Power BI, Microsoft Intune, Azure Event Hubs, Azure IoT Hub, Dynamics 365, Skype for Business, e molti servizi core di Azure.

Conclusioni

Microsoft offre un ventaglio di opzioni per l’esecuzione dei container nel proprio cloud pubblico. La scelta della soluzione più adatta alle proprie esigenze tra tutte quelle offerte, nonostante richieda una attenta valutazione, permette di avere una elevata flessibilità. Dall’adozione di approcci serverless, alla gestione di ambienti cluster per l’orchestrazione, fino alla creazione di una propria infrastruttura basata su macchine virtuali è possibile trovare la soluzione ideale per eseguire i container in ambiente Microsoft Azure.

Azure IaaS and Azure Stack: announcements and updates (December 2020 – Weeks: 49 and 50)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Dedicated Host: automatic VM placement and Azure Virtual Machine Scale Sets available

You can simplify the deployment and increase the scalability of your Azure Dedicated Hosts environments with two new features now generally available:

  • You can accelerate the deployment of Azure VMs in Dedicated Hosts by letting the platform select the host group to which the VM will be deployed.
  • You can also use Virtual Machine Scale Sets in conjunction with Dedicated Hosts. This new capability allows IT organizations to use scale sets across multiple dedicated hosts part of a dedicated hosts group. 

New datacenter region in Denmark

Microsoft has announced the most significant investment in its 30-year history in Denmark, introducing Denmark as the location for its next sustainable datacenter region and a comprehensive skilling commitment for an estimated 200,000 Danes by 2024. Powered by 100 percent renewable energy, the datacenter region will provide Danish customers of all sizes faster access to the Microsoft Cloud, world-class security and the ability to store data at rest in the country.

HBv2-series VMs for HPC are now available in UAE North

HBv2 VMs for supercomputing lass HPC are now generally available in the Azure UAE North region.

Storage

Azure Storage blob inventory (preview)

A lot of valuable data is stored in Azure Blob Storage. Customers frequently want to have an overview of their data for business and compliance reasons. The Azure Storage blob inventory feature provides an overview of your blob data within a storage account. Use the inventory report to understand your total data size, age, encryption status, and so on. Enable blob inventory reports by adding a policy to your storage account. Add, edit, or remove a policy by using the Azure portal. Once enabled, an inventory report is automatically created daily.

Azure Storage account recovery available via portal

Azure Storage uses a storage account to contain all of your Azure Storage data including: blobs, files,  tables, queues, and disks.  Accidentally deleting a storage account deletes all data in the account and previously could not be recovered. Microsoft is announcing that storage account recovery is available with some restrictions and this functionality is available via the Azure Portal. 

 For a storage account to be recoverable: 

  • A new storage account with the same name has not been recreated since deletion 
  • The storage account was deleted in the last 14 days 
  • It is not a classic storage account 
  •  Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts with standard tier performance in the following regions: Australia East, Korea Central, and South Central US. In addition, the NFS 3.0 preview is expanded to support block blob with premium performance tier in all available regions.  

Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts

Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts with standard tier performance in the following regions: Australia East, Korea Central, and South Central US. In addition, the NFS 3.0 preview is expanded to support block blob with premium performance tier in all available regions.

Azure Stack

Azure Stack Edge

Virtual Machine Support (public preview)

Azure Stack Edge hosts Azure virtual machines so you can run your VM based IoT, AI, and business applications on an Azure appliance at your location. The system includes deployment and management from the Azure portal, meaning you use the Azure Portal to deploy a VM Image and a VM to your Edge device at your location. Because Azure Stack Edge supports Azure VMs, you can build and test your VM image in Azure before deploying straight to the edge. For local control, ARM compatible APIs and templates can deploy and manage VMs, even when the device is disconnected from Azure.

Kubernetes system is available

Azure Stack Edge includes a managed Kubernetes environment so you can deploy your containerized apps to the edge using this industry standard technology. Just click a button in the Azure Portal and Azure Stack Edge will create a Kubernetes cluster and keep it running for you. Then deploy your Kubernetes apps from the cloud via IoT Edge or Arc enabled Kubernetes. Or use native kubectl tools for local deployment. This makes it simple to have an on-premises Kubernetes environment for your AI, IoT, and modern business applications.

Azure Stack HCI

The new Azure Stack HCI is now generally available

Azure Stack HCI is the new subscription service for hyperconverged infrastructure from Microsoft Azure. Azure Stack HCI brings together the familiarity and flexibility of on-premises virtualization with powerful new hybrid capabilities. With Azure Stack HCI, you can run virtual machines, containers, and select Azure services on-premises with management, billing, and support through the Azure cloud.

Azure Stack Hub

Event hubs is available

Event Hubs is a reliable and scalable event streaming engine that backs thousands of applications across every kind of industry in Microsoft Azure. Microsoft is announcing the general availability of Event Hubs on Azure Stack Hub. Event Event Hubs on Azure Stack Hub will allow you to realize cloud and on-premises scenarios that use streaming architectures.

 

Azure Application delivery: quale servizio di load balancing scegliere?

La transizione verso soluzioni cloud per erogare le applicazioni è una tendenza che procede a un ritmo molto elevato e garantire un accesso rapido, sicuro ed affidabile a tali applicazioni è un’attività sfidante che deve essere indirizzata adottando le giuste soluzioni. Microsoft Azure mette a disposizione una vasta gamma di servizi per garantire una erogazione ottimale delle applicazioni, ma nella valutazione di quale soluzione di load-balancing adottare ci sono diversi aspetti da prendere in considerazione. Questo articolo vuole fare chiarezza sugli elementi che è opportuno valutare per adottare la soluzione Azure più idonea in questo ambito.

L’esigenza di distribuire i carichi di lavoro su più risorse di elaborazione può essere data dalla necessità di ottimizzare l’uso delle risorse, massimizzare il throughput, ridurre al minimo i tempi di risposta ed evitare di sovraccaricare ogni singola risorsa. Inoltre, può essere rivolta anche a migliorare la disponibilità delle applicazioni condividendo un carico di lavoro tra risorse di elaborazione ridondanti.

Servizi di load balancing di Azure

Per erogare servizi di load-balancing di Azure troviamo i seguenti componenti.

Azure Load Balancer e cross-region Azure Load Balancer: si tratta di componenti che consentono il bilanciamento del carico Layer-4 per tutti i protocolli TCP e UDP, garantendo alte prestazioni e bassissime latenze. Azure Load Balancer è un componente zone-redundant, pertanto offre un’elevata disponibilità tra le Availability Zones.

Figura 1 – Panoramica di Azure Load Balancer e cross-region Azure Load Balancer

Azure Application Gateway: si tratta di un servizio gestito dalla piattaforma Azure, con funzionalità intrinseche di alta disponibilità e scalabilità. L’Application Gateway è un load balancer applicativo (OSI layer 7) per il traffico web, che consente di governare il traffico HTTP e HTTPS delle applicazioni (URL path, host based, round robin, session affinity, redirection). L’Application Gateway è in grado di gestire in modo centralizzato i certificati per la pubblicazione applicativa, tramite policy SSL ed effettuando SSL offload quando necessario. L’Application Gateway può avere assegnato un indirizzo IP Privato oppure un indirizzo IP Pubblico, se la ripubblicazione applicativa deve avvenire verso Internet. In particolare, in quest’ultimo caso, è consigliato attivare la funzionalità di Web Application Firewall (WAF), che consente di ottenere una protezione applicativa, basandosi su regole OWASP core rule sets. Il WAF protegge l’applicativo da vulnerabilità e da attacchi comuni, come ad esempio attacchi X-Site Scripting e SQL Injection.

Figura 2 – Panoramica di Azure Application Gateway

Front Door: è un application delivery network che fornisce bilanciamento del carico a livello globale e un servizio di site accelleration per le applicazioni web. Offre funzionalità Layer-7 per la pubblicazione applicativa come ad esempio SSL offload, path-based routing, fast failover, caching, al fine di migliorare le prestazioni e l’alta disponibilità delle applicazioni.

Figura 3 – Panoramica di Azure Front Door

Traffic Manager: è un servizio di bilanciamento del carico basato su DNS che consente di distribuire il traffico in modo ottimale ai servizi distribuiti in differenti region di Azure, fornendo al contempo alta disponibilità e responsività. Sono disponibili diversi metodi di instradamento per determinare verso quale endpoint dirigere il traffico. Basandosi su DNS, il failover può non essere immediato a causa delle sfide comuni relative al caching DNS e ai sistemi che non rispettano i TTL del DNS.

Figura 4 – Panoramica di Azure Traffic Manager (performance traffic-routing method)

Aspetti da valutare nella scelta dei servizi di load balancing di Azure

Ogni servizio ha le proprie caratteristiche e per scegliere quello più opportuno è bene fare una classificazione rispetto ai seguenti aspetti.

Servizi di load-balancing: globali vs regionali

  • Global load-balancing: vengono utilizzati per distribuire il traffico verso i backend distribuiti globalmente su più region, i quali possono essere dislocati in ambienti cloud oppure ibridi. Rientrano in questa categoria Azure Traffic Manager, Azure Front Door ed i cross-region Azure Load Balancer.
  • Regional load-balancing: consentono di distribuire il traffico verso le macchine virtuali attestate su una specifica virtual network oppure verso endpoint in una specifica region. Rientrano in questa categoria gli Azure Load Balancer e gli Azure Application Gateway.

Tipologia di traffico: HTTP(S) vs non-HTTP(S)

Un’altra importante discriminante nella scelta della soluzione di load-balancing da adottare è la tipologia di traffico che si deve gestire:

  • HTTP(S): è consigliata l’adozione di servizi di load-balancing Layer-7 che accettano solo traffico HTTP(S). Sono adatti per questa tipologia di traffico Azure Front Door ed Azure Application Gateway. Tipicamente vengono utilizzati per applicazioni web oppure per altri endpoint HTTP(S) e includono funzionalità come: SSL offload, web application firewall, path-based load balancing, e session affinity.
  • Non-HTTP(S): viene richiesto l’utilizzo di servizi di load-balancing che permettono di contemplare il traffico non-HTTP(S), come Azure Traffic Manager, cross-region Azure Load Balancer e Azure Load Balancer.

Nella valutazione del servizio Azure di load-balancing da adottare è opportuno far rientrare anche considerazioni riguardanti i seguenti aspetti:

Per facilitare la scelta della soluzione di load-balancing è possibile utilizzare come base di partenza il seguente diagramma di flusso, che indirizza la scelta su una serie di aspetti chiave:

Figura 5 – Flowchart per la scelta della soluzione Azure di load-balancing

NOTA: Questo flowchart non contempla i cross-region Azure Load Balancer in quanto al momento (11/2020) sono in preview.

Questo diagramma di flusso è un ottimo punto di inizio per le proprie valutazioni, ma siccome ogni applicazione ha requisiti unici è bene effettuare un’analisi specifica più di dettaglio.

Se l’applicazione è composta da più workload è opportuno valutare ciascuno di questi in modo separato, in quanto può essere necessario adottare una o più soluzioni di bilanciamento del carico.

I vari servizi di load load-balancing possono essere utilizzati in combinazione tra loro per garantire un accesso applicativo affidabile e sicuro ai servizi erogati in ambienti IaaS, PaaS oppure on-premises.

Figura 6 – Possibile esempio di come combinare i vari servizi di load-balancing di Azure

Conclusioni

Grazie ad un’ampia gamma di servizi globali e regionali Azure è in grado di garantire performance, sicurezza ed alta disponibilità nell’accesso agli applicativi. Per stabilire l’architettura più idonea alle proprie esigenze sono diversi gli elementi da valutare, ma la giusta combinazione delle soluzioni di Application Delivery di Azure permette di fornire un notevole valore alle organizzazioni IT, garantendo una distribuzione veloce, sicura ed affidabile delle applicazioni e dei dati all’utente.

Azure Networking: come monitorare ed analizzare i log di Azure Firewall

Nelle architetture di rete in Azure dove è presente Azure Firewall, la soluzione di firewall-as-a-service (FWaaS) che consente di mettere in sicurezza le risorse presenti nelle Virtual Network e di governare i relativi flussi di rete, diventa strategico adottare degli strumenti per monitorare in modo efficace i relativi log. In questo articolo viene esplorato come interpretare al meglio i log e come è possibile fare analisi approfondite di Azure Firewall, un componente che spesso detiene un ruolo fondamentale nelle architetture di rete in Azure.

Un aspetto importante da verificare è che in Azure Firewall siano correttamente configurate le impostazioni di diagnostica, per far confluire i dati di log e le metriche verso un workspace di Azure Monitor Log Analytics.

Figura 1 – Impostazioni di diagnostica di Azure Firewall

Per avere una panoramica complessiva dei diagnostic logs e delle metriche disponibili per Azure Firewall è possibile consultare la specifica documentazione di Microsoft.

Uno dei metodi più efficaci per visualizzare ed analizzare i log di Azure Firewall è utilizzare i Workbooks, che consentono di combinare testo, query di Log Analytics, metriche di Azure e parametri, costituendo così dei report interattivi e facilmente consultabili.

Per Azure Firewall è presente un workbook specifico fornito da Microsoft che permette di ottenere informazioni dettagliate sugli eventi, conoscere le application e le network rule attivate e visualizzare le statistiche sulle attività del firewall per URL, porte e indirizzi.

L’importazione di questo workbook può avvenire tramite ARM template oppure Gallery template, seguendo le istruzioni riportate in questo articolo.

Figura 2 – Importazione del workbook di Azure Firewall

Completato il processo di importazione è possibile consultare nella pagina di overview una panoramica dei diversi eventi e delle tipologie di log presenti (application, networks, threat intel, DNS proxy), con la possibilità di applicare dei filtri specifici relativi ai workspace, alla fascia oraria ed ai firewall.

Figura 3 – Azure Firewall Workbook overview

Nel workbook è presente una sezione specifica per le Application rule dove vengono mostrate le origini per indirizzo IP, l’utilizzo delle application rule, e gli FQDN negati e consentiti. Inoltre, è possibile applicare dei filtri di ricerca sui dati delle Application rule.

Figura 4 – Azure Firewall Workbook – Application rule log statistics

Inoltre, nella sezione Network Rule è possibile visualizzare le informazioni in base alle azioni compiute dalle regole (allow/deny), alle target port e alle azioni DNAT.

Figura 5 – Azure Firewall Workbook – Network rule log statistics

Nel caso Azure Firewall sia stato impostato per funzionare anche come DNS Proxy è possibile visualizzare nel tab “Azure Firewall – DNS Proxy” del Workbook anche informazioni riguardanti il traffico e le richieste DNS gestite.

Qualora si renda necessario effettuare degli approfondimenti per ottenere maggiori informazioni sulle comunicazioni di specifiche risorse è possibile utilizzare la sezione Investigation andando ad agire sui filtri a disposizione.

Figura 6 – Azure Firewall Workbook – Investigation

Per visualizzare ed analizzare gli activity log è possibile connettere i log di Azure Firewall ad Azure Sentinel, il servizio che amplia le capacità dei tradizionali prodotti SIEM (Security Information and Event Management), utilizzando le potenzialità del cloud e l’intelligenza artificiale. In questo modo, tramite workbook specifici disponibili in Azure Sentinel, è possibile ampliare le capacità di analisi e creare alert specifici per poter identificare e gestirerapidamente le minacce di security che interessano questo componente di infrastruttura. Per connettere i log di Azure Firewall ad Azure Sentinel è possibile seguire la procedura riportata in questo documento Microsoft.

Conclusioni

Azure Firewall è un servizio ampliamene utilizzato e spesso è il fulcro della propria architettura network in Azure, dove transitano e vengono controllate tutte le comunicazioni di rete. Diventa pertanto importante datarsi di uno strumento per analizzare le metriche e le informazioni raccolte, in grado di fornire anche un valido supporto nella risoluzione di eventuali problemi ed incident. Grazie all’adozione di questi Workbooks è possibile consultare agilmente i dati raccolti da Azure Firewall, utilizzando report visivamente accattivanti, con funzionalità avanzate che consentono di arricchire l’esperienza di analisi direttamente dal portale di Azure.