Microsoft Azure has achieved this new certifications:
Its first PCI 3-D Secure (PCI 3DS) certification
It has increased the scope of its HITRUST CSF certification to include 172 Azure offerings across 49 Azure regions. Azure’s HITRUST certification letters are available on the Service Trust Portal and include the full list of HITRUST CSF certified Azure offerings and regions.
New planned datacenter region in Georgia (East US 3)
The new datacenter region will have a presence in Douglas and Fulton counties, in response to growing customer demand, supporting the creation of new jobs and local business growth. Availability Zones in the new East US 3 region will provide customers with high availability and additional tolerance to datacenter failures.
Storage
Soft delete for Azure file shares is now on by default for new storage accounts
Soft delete for Azure file shares is now enabled by default and this change will apply to all new storage accounts. Soft delete protects your Azure file shares from accidental deletion. Soft delete acts like a recycle bin for Azure file shares, meaning that deleted shares remain recoverable for their entire retention period (7 days by default for storage accounts created after January 31st). You will be charged for soft deleted data on the snapshot meter. If you have automated the creation of new storage accounts and the creation/deletion of new file shares within them, you must modify your scripts to explicitly disable soft delete after the creation of a new storage account. Soft delete will remain disabled by default for existing storage accounts.
Azure File Sync agent v11.2
The Azure File Sync agent v11.2 release is being flighted to servers which are configured to automatically update when a new version becomes available.
Improvements and issues that are fixed:
If a sync session is cancelled due to a high number of per-item errors, sync may go through reconciliation when a new session starts if the Azure File Sync service determines a custom sync session is needed to correct the per-item errors.
Registering a server using the Register-AzStorageSyncServer cmdlet may fail with “Unhandled Exception” error.
New PowerShell cmdlet (Add-StorageSyncAllowedServerEndpointPath) to configure allowed server endpoints paths on a server. This cmdlet is useful for scenarios in which the Azure File Sync deployment is managed by a Cloud Solution Provider (CSP) or Service Provider and the customer wants to configure allowed server endpoints paths on a server. When creating a server endpoint, if the path specified is not in the allow list, the server endpoint creation will fail. Note, this is an optional feature and all supported paths are allowed by default when creating a server endpoint. To learn more, see the release notes.
How to obtain and install this update:
To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.
More information about this update rollup:
This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
The agent version of this update rollup is 11.2.0.0.
A restart may be required if files are in use during the installation.
Installation instructions are documented in KB4539952.
Append blob support for Azure Data Lake Storage (limited public preview)
Append blobs allow users to append data to the end of a blob or file quickly and existing content does not need to be modified. This makes append blobs great for applications such as logging that need to add information to existing files efficiently and continuously. Until now, only block blobs were supported in Azure Data Lake Storage accounts. With this preview, applications can use create append blobs in these accounts also and write to them using Append Block operations.
Ingest up to 10 files and blobs with the new Azure Data Explorer intuitive UX
You can now easily ingest blobs or files into Azure Data Explorer with the new ingestion intuitive wizard. This ingestion wizard also allows you to create a table automatically based on the source structure.
Microsoft ha recentemente rilasciato la nuova versione di Azure Stack HCI, la soluzione che permette di realizzare infrastrutture hyper-converged (HCI) per l’esecuzione di macchine virtuali in ambiente on-premises e che prevede una facile e strategica connessione ai servizi di Azure. I clienti che si trovano ora a dover affrontare una modernizzazione dei propri datacenter potrebbero porsi il quesito su quale prodotto utilizzare. Windows Server 2019 ed Azure Stack HCI sono destinati a scopi diversi e tra loro complementari. Questo articolo spiega le principali differenze tra i due prodotti e fornisce delle indicazioni sui differenti scenari d’uso.
Che cos’è Azure Stack HCI?
Con l’arrivo di Windows Server 2019, Microsoft ha introdotto la soluzione Azure Stack HCI, che consente l’esecuzione di macchine virtuali oppure virtual desktops in ambiente on-premises, potendo disporre di un’ampia connessione ai differenti servizi offerti da Azure.
Si tratta di una infrastruttura hyper-converged (HCI), dove vengono rimossi diversi componenti hardware, sostituti dal software, in grado di unire i layer di elaborazione, storage e rete in un’unica soluzione. In questo modo si ha un passaggio da una tradizionale infrastruttura “three tier”, composta da switch di rete, appliance, sistemi fisici con a bordo hypervisor, storage fabric e SAN, verso infrastrutture hyper-converged (HCI).
Figura 1 – “Three Tier” Infrastructure vs Hyper-Converged Infrastructure (HCI)
Nel mese di dicembre 2020, Microsoft ha rilasciato la nuova soluzione Azure Stack HCI, distribuita come servizio hybrid di Azure, denominata Azure Stack HCI versione 20H2 che introduce importanti cambiamenti.
Quando utilizzare Windows Server 2019?
Windows Server 2019 è un sistema operativo server multiuso ed altamente versatile che permette di attivare dozzine di ruoli e centinaia di funzionalità. Windows Server 2019 può essere utilizzato per:
L’attivazione di uno o più ruoli server inclusi nel sistema operativo, come ad esempio Active Directory, file server, DNS, DHCP oppure Internet Information Services (IIS).
Infrastrutture tradizionali che prevedono la presenza di sistemi bare-metal.
Figura 2 – Scenari d’uso di Windows Server 2019
Quando utilizzare Azure Stack HCI?
Azure Stack HCI si basa sui componenti essenziali di Windows Server ed è stato appositamente progettato ed ottimizzato per fornire una potente piattaforma Hyper-converged. La nuova versione di Azure Stack HCI adotta le tecnologie ormai consolidate di Windows Server, come Hyper-V, software-defined networking e Storages Spaces Direct, ed aggiunge nuove funzionalità specifiche per l’esecuzione di macchine virtuali on-premises.
L’utilizzo di Azure Stack HCI è idoneo se:
Si vuole modernizzare la propria infrastruttura, adottando un’architettura hyper-converged semplice e basata su tecnologie consolidate. Idonea sia per i workload esistenti nel datacenter principale che per scenari di branch office.
Si vuole prevedere un’estensione delle funzionalità della soluzione on-premises connettendosi ad Azure. Questo aspetto garantisce una innovazione costante, data dell’evoluzione dei servizi cloud e la possibilità di usufruire di un set strumenti comune, semplificando l’esperienza di utilizzo.
Figura 3 – Scenari d’uso di Azure Stack HCI
La soluzione Azure Stack HCI è possibile configurarla anche con Windows Server 2019, ma la nuova versione di Azure Stack HCI introduce importanti innovazioni che interessano i seguenti ambiti:
Sistema operativo dedicato e specifico per la soluzione
Funzionalità di disaster recovery e failover delle macchine virtuali intrinseche nella soluzione
Ottimizzazione il processo di Storage Spaces resync
Aggiornamenti di tutto lo stack contemplato nella soluzione (full-stack updates)
Integrazione nativa con i servizi Azure e con Azure Resource Manager (ARM)
Nonostante Azure Stack HCI sia in esecuzione on-premises è prevista una fatturazione basata su subscription Azure, esattamente come per qualsiasi altro servizio cloud di Azure. Il modello di billing è semplice e prevede un costo fisso giornaliero in base al numero complessivo dei core presenti nei processori fisici che costituiscono il cluster.
Nel nuovo modello di billing non c’è un minimo o massimo di core da licenziare e tanto meno una durata minima di attivazione. Un aspetto importante da tenere in considerazione è che per le macchine virtuali guest Windows e per le versioni a pagamento di Linux, è opportuno contemplare separatamente queste licenze. Il costo basato su subscription è solo per il software e non contempla l’hardware di Azure Stack HCI.
Installare il software Azure Stack HCI, che prevede una versione di prova gratuita di 30 giorni, su hardware nuovo oppure già acquistato, purché presente all’interno del catalog delle soluzioni appositamente testate e validate dai vari vendor.
Supporto fornito per la soluzione
Azure Stack HCI, diventando a tutti gli effetti una soluzione Azure, è coperta dal supporto Azure con le seguenti caratteristiche:
Il supporto sarà fornito da un team di esperti dedicato a supportare la nuova soluzione Azure Stack HCI.
Si potrà richiedere facilmente supporto tecnico direttamente dal portale Azure.
Sarà possibile scegliere tra diversi piani di supporto, a seconda delle esigenze.
Conclusioni
Nonostante la nuova versione di Azure Stack HCI sia basata su tecnologie presenti anche in Windows Server 2019 è opportuno specificare che si tratta di due soluzioni destinate ora a scopi diversi e tra loro complementari. Nonostante anche Windows Server 2019 consenta di attivare soluzioni hyper-converged, se si sta facendo in questo momento un investimento per attivare una soluzione di questo tipo, è opportuno considerare l’adozione della nuova soluzione Azure Stack HCI. Infatti, grazie ai cambiamenti introdotti, è possibile ottenere una proposizione per scenari hyper-converged molto completa, maggiormente integrata e più performante. Un aspetto da valutare con attenzione è quello dei costi, in quanto hanno un’incidenza significativa.
New Azure Cloud Services deployment model (preview)
Both deployment models are now available in Azure Cloud Services:
Azure Cloud Services (extended support), in public preview, is a new Azure Resource Manager–based deployment model for Azure Cloud Services. As an existing user of Azure Cloud Services, with Azure Cloud Services (extended support) you can now increase regional resiliency while gaining access to new capabilities such as role-based access control (RBAC), tags, policy, and support for deployment templates.
The Azure Service Manager–based deployment model is now named Azure Cloud Services (classic). You can keep using the existing Azure Cloud Services (classic) deployment model for your Azure Service Manager–based applications.
Availability Zones in new regions
Availability Zones give users additional options for high availability for their most demanding applications and services as well as confidence and protection from potential hardware and software failures by providing three or more unique physical locations within an Azure region. Availability Zones are now generally available in South Central US and in Germany West Central. Availability Zones in this regions are made up of 3 unique physically separated locations or “zones” within a single region to bring higher availability and asynchronous replication across Azure regions for disaster recovery protection.
Since this is a major version upgrade this update will not be automatically applied. You will need to update manually.
Storage
Copy Blob support over private endpoints
Azure Storage now enables you to copy data between storage accounts where one or both the accounts are protected using private endpoints. This includes support for Copy Blob or utilities such as such as AzCopy over Private Endpoints. The feature also enables copying of data between storage accounts, where one account uses a private endpoint and another uses a service endpoint. Azure Storage validates that the client has access to both the source and the destination storage accounts before allowing the data to be copied.
Resource instance rules for access to Azure Storage (preview)
Some Azure resources cannot be isolated through a virtual network or an IP address rule. However, you’d still like to secure and restrict access to your storage account to only your application’s Azure resources. You can now configure your storage accounts to allow access to only specific resource instances of select Azure services by creating a resource instance rule. Resource instances must be in the same tenant as your storage account, but they may belong any resource group or subscription in the tenant. Resource instance rules for access to Azure Storage are now in public preview in all Azure public regions.
Prevent Shared Key authorization on Azure Storage accounts (preview)
Every secure request to an Azure Storage account must be authorized. By default, requests can be authorized with either Azure Active Directory (Azure AD) credentials, or by using the account access key for Shared Key authorization. Of these two types of authorization, Azure AD provides superior security and ease of use over Shared Key, and is recommended by Microsoft. To require clients to use Azure AD to authorize requests, you can disallow requests to the storage account that are authorized with Shared Key. Microsoft is announcing the public preview of the ability to disable Shared Key authorization for Azure Storage. Before you disable Shared Key authorization on existing storage accounts, Microsoft suggests checking existing access patterns via monitoring.
Il nuovo anno è iniziato con diversi annunci da parte di Microsoft riguardanti novità relative agli Azure management services. La Cloud Community rilascia mensilmente questo riepilogo, che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Query cross tra Azure Monitor ed Azure Data Explorer (preview)
Le possibilità di eseguire query tra Azure Monitor ed Azure Data Explorer permette di interrogare i dati esportati in Azure Data Explorer oppure in Azure blob storage e unirli con qualsiasi workspace di Azure Monitor Log Analytics.
Tra le diverse funzionalità recentemente rilasciate troviamo la possibilità di eseguire query:
Tra servizi Azure Data Explorer ed Azure Monitor (Log Analytics / Application Insights) e viceversa
Sui log di Azure Monitor esportati da un Azure blob storage account utilizzando Azure Data Explorer
In Azure Monitor Log Analytics l’arco temporale massimo di conservazione dei dati è limitato a 2 anni. Questo aspetto in alcuni ambiti può risultare limitante, al punto da non permettere di rispettare determinati criteri di conformità. Per superare questa limitazione è possibile esportare i log in un Azure blob storage. Grazie a questa nuova funzionalità è possibile eseguire query incrociate includendo anche i dati esportati nell’Azure blob storage in modo integrato.
Monitoring di Cluster Azure Data Explorer con Azure Monitor (preview)
Azure Monitor amplia le sue capacità con Azure Monitor for Azure Data Explorer, che permette di effettuare un monitor completo dei cluster Azure Data Explorer, fornendo una visione unica delle performance, delle operations, e dell’effettivo utilizzo.
Integrazione tra i workbook di Azure Monitor ed Application Change Analysis (preview)
L’integrazione recentemente rilasciata tra i workbook di Azure Monitor ed Application Change consente di creare diverse tipologie di grafici, utilizzando come origine dati le informazioni riguardanti le modifiche che vengono apportate in ambiente Azure. Ad esempio, risulta possibile creare grafici per visualizzare quando sono avvenute modifiche importanti nelle ultime 24 ore oppure sfruttare la capacità di merge per visualizzare cosa è cambiato prima di un picco di memoria che si è verificato su una VM.
ITSM Connector per ServiceNow ITOM con Secure Export (preview)
Secure Export è la nuova versione (in preview) dell’IT Service Management Connector (ITSM) di Azure Monitor, che consente di creare automaticamente work items in uno strumento ITSM, nel momento in cui viene attivato un alert di Azure Monitor. Come parte dell’anteprima, è stata introdotta una nuova integrazione con ServiceNow IT Operations Management (ITOM) utilizzando Secure Export.
Azure Monitor Network Insights
Azure Monitor Network Insights è ora disponibile e permette , tramite una console centralizzata, di effettuare il monitoraggio dell’infrastruttura di rete di Azure. Le caratteristiche principali di Network Insights sono le seguenti:
Console unica per il monitor del network.
Non è richiesta la configurazione di agenti.
Accesso centralizzato degli strumenti di monitor del traffico e della connettività, che permettono di controllare health state, metriche, alerts, e dati.
Visualizzazione della topologia di rete, con la possibilità di visualizzare le dipendenze funzionali. In questo modo viene resa più semplice la risoluzione di eventuali problematiche.
Accesso alle metriche delle risorse per eseguire il debug quando necessario, senza dover scrivere query oppure creare workbook specifici.
Disponibilità in nuove region
Azure Monitor Log Analytics è ora disponibile nelle seguenti region di Azure: “Germany West Central”, “UAE North”, e “Switzerland West”. Inoltre, Azure Log Analytics è disponibile in preview in due nuove region: “UAE Central” e “Japan West”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.
Configure
Azure Automation
Disponibilità in nuove region
Azure Automation è ora disponibile nella region di “UAE North” e nella region di “Switzerland West”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.
Govern
Azure Policy
Supporto per i NSG Flow Logs
I NSG flow logs nella piattaforma Azure permettono di mantenere la visibilità del traffico di rete in ingresso e in uscita dai Network Security Group. Per semplificare l’esperienza di distribuzione dei NSG flow logs è stato introdotto nelle Azure Policy il supporto integrato, che consente di controllare lo stato di abilitazione e di forzare la raccolta dei NSG flow logs quando disabilitata, nello specifico utilizzando le seguenti policy:
Audit policy: Flag NSGs without Flow logs enabled
DeployIfNotExists policy: Enable Flow logs on NSGs where it is disabled
Azure Cost Management
Aggiornamenti relativi ad Azure Cost Management and Billing
Microsoft è costantemente alla ricerca di nuovi modi per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione, tra i quali:
Nuova visualizzazione dei costi per resource groups
Salvataggio dell’ultimo scope utilizzato
Novità di Cost Management Labs
Definizione di ruoli e responsabilità
Metodologie per risparmiare sui costi eseguendo app .NET su Azure
Nuovi metodi per risparmiare denaro
Nuovi video per approfondire queste tematiche
Aggiornamenti della documentazione
Secure
Azure Security Center
Vulnerability assessment per sistemi on-premise e in ambienti multi-cloud
La soluzione Azure Security Center è stata recentemente arricchita con la possibilità di effettuare in modo integrato un Vulnerability Assessment, non solo delle macchine virtuali in Azure, ma anche dei sistemi dislocati on-premises oppure in ambienti multi-cloud, purché sia stato abilitato Azure Arc.
La scansione delle vulnerabilità inclusa in Azure Defender for servers viene effettuata tramite la soluzione Qualys, il quale risulta essere riconosciuto come strumento leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi.
Grazie a questo aggiornamento, risulta possibile sfruttare la potenza di Azure Defender for server per consolidare il programma di gestione delle vulnerabilità su tutte le risorse del proprio ambiente (Azure e non). Tra le funzionalità principali troviamo:
Monitoring della scansione del VA (vulnerability assessment) sulle macchine Azure Arc
Provisioning del VA agent sulle macchine Azure Arc Windows e Linux (manualmente e su larga scala)
Ricezione ed analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
Esperienza unificata per le VMs di Azure e per le macchine Azure Arc
Ulteriori novità di Azure Security Center
Lo sviluppo di Azure Security Center è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Azure Backup offre la possibilità, al momento accedendo ad una preview limitata, di proteggere i dischi di tipologia managed. Il tutto avviene tramite la creazione periodica di snapshot che vengono conservati per una durata stabilita tramite policy di backup. La soluzione non prevede la presenza di agenti specifici e supporta il backup ed il ripristino sia dei dischi del sistema operativo che dei dischi dati (inclusi gli Shared Disk), indipendentemente dal fatto che siano collegati o meno ad una macchina virtuale in esecuzione in Azure.
Encryption at rest con chiavi “customer-managed”
In Azure Backup è stato introdotto il supporto per l’encryption at rest utilizzando chiavi gestite dal cliente. Questa funzionalità permette di crittografare i dati di backup nei Recovery Services vaults usando le proprie chiavi presenti in Azure Key Vault. I dati vengono protetti utilizzando una chiave di crittografia dei dati (DEK) basata su AES 256, che a sua volta è protetta utilizzando le chiavi archiviate nel Key Vault. Rispetto alla crittografia che utilizza le chiavi gestite dalla piattaforma Azure (disponibile di default), questo supporto permette un maggiore controllo sulla gestione delle chiavi di crittografia, permettendo di soddisfare al meglio le esigenze di conformità.
Azure Site Recovery
Nuovo Update Rollup
Per Azure Site Recovery è stato rilasciato l’Update Rollup 53 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Per ottenere un elevato livello di sicurezza del proprio ambiente dislocato nel cloud pubblico è necessario prevedere una protezione sulle singole risorse che vengono attivate, ma è anche opportuno monitorare il servizio che permette la distribuzione e la gestione delle risorse stesse. Nel cloud pubblico di Microsoft il servizio di deployment e management è definito Azure Resource Manager, un servizio cruciale connesso a tutte le risorse Azure, pertanto un potenziale ed ambizioso bersaglio per gli aggressori. Microsoft, consapevole di questo aspetto, ha recentemente annunciato Azure Defender for Resource Manager. In questo articolo vengono riportate le caratteristiche di questa soluzione che consente di svolgere un’analisi avanzata di sicurezza, al fine di rilevare potenziali minacce ed essere avvisati a fronte di attività sospette che interessano Azure Resource Manager.
In Azure Defender esistono protezioni pensate appositamente per i singoli servizi Azure, come ad esempio per Azure SQL DB, Azure Storage, Azure VMs, e protezioni che interessano in modo trasversale tutti quei componenti che possono essere utilizzati dalle varie risorse Azure. Tra questi troviamo Azure Defender per Azure Network, Key Vault ed è stata annunciata recentemente anche la disponibilità di Azure Defender per Azure DNS e per Azure Resource Manager. Questi strumenti permettono di ottenere un ulteriore livello di protezione e controllo nel proprio ambiente Azure.
Figura 1 – Azure Defender Threat Protection per Workloads Azure
Azure Resource Manager fornisce il layer di gestione che consente di creare, aggiornare ed eliminare risorse nell’ambiente Azure. Fornisce inoltre funzionalità specifiche per la governance dell’ambiente Azure, come il controllo degli accessi, i lock ed i tag, che consentono di proteggere ed organizzare le risorse dopo la loro distribuzione.
Azure Defender for Resource Manager effettua automaticamente il monitor delle operazioni di gestione delle risorse Azure dell’organizzazione, indipendentemente dal fatto che queste vengano eseguite tramite il portale di Azure, le REST API di Azure, l’interfaccia da riga di comando oppure con altri client di programmazione di Azure.
Figura 2 – Protezione di Azure Defender for Resource Manager
Per attivare questo tipo di protezione è sufficiente abilitare il piano specifico di Azure Defender nelle impostazioni di Azure Security Center:
Figura 3 – Attivazione di Azure Defender for Resource Manager
Azure Defender for Resource Manager è in grado di attivare una protezione al verificarsi delle seguenti condizioni:
Operazioni di gestione delle risorse classificate come sospette, come ad esempio operazioni da indirizzi IP dubbi, disabilitazione del componente antimalware e script ambigui in esecuzione tramite le VM extensions.
Utilizzo di exploitation toolkits come Microburst oppure PowerZure.
Spostamento laterale dall’Azure management layer all’Azure resources data plane.
Un elenco completo degli alert che Azure Defender for Resource Manager è in grado di generare, si trova in questo documento Microsoft.
Gli avvisi di sicurezza generati da Azure Defender for Resource Manager si basano su potenziali minacce che vengono rilevate monitorando le operazioni di Azure Resource Manager utilizzando le seguenti fonti:
Azure Activity Log, il log della piattaforma Azure che fornisce informazioni sugli eventi a livello di sottoscrizione.
Log interni di Azure Resource Manager, non accessibile dai clienti, ma solo dal personale Microsoft.
Al fine di ottenere un’esperienza di indagine migliore e più approfondita è consigliabile far confluire gli Azure Activity Log in Azure Sentinel, seguendo la procedura descritta in questo documento Microsoft.
Simulando un attacco al layer di Azure Resource Manager utilizzando l’exploitation toolkits PowerZure, Azure Defender for Resource Manager genera un alert con severity elevata, come mostrato nell’immagine seguente:
Figura 4 – Alert generato da Azure Defender for Resource Manager
A fronte di un alert di questo tipo è possibile ricevere anche una notifica impostando in modo opportuno un action group in Azure Monitor. Inoltre, nel caso sia stata attivata l’integrazione tra Azure Security Center ed Azure Sentinel, lo stesso alert sarebbe presente anche in Azure Sentinel, con le relative informazioni necessarie per avviare il processo di investigazione e fornire una pronta risposta ad una problematica di questo tipo.
Conclusioni
Proteggere in modo efficace le risorse nell’ambiente Azure significa anche adottare gli strumenti idonei per fronteggiare potenziali attacchi che possono sfruttare i meccanismi di distribuzione e di gestione delle risorse stesse. Grazie al nuovo strumento Azure Defender for Resource Manager è possibile usufruire in modo totalmente integrato nella piattaforma Azure di una efficace protezione, senza dover installare specifici software oppure abilitare agenti aggiuntivi.
Microsoft has announced plans for a new datacenter region in Chile, as part of a “Transforma Chile” initiative. A skilling program as well as an Advisory Board are also part of the initiative, targeted at reaching 180,00 Chileans.
NCas_T4_v3-Series VMs are now generally available
NCas_T4_v3Virtual Machines feature 4 NVIDIA T4 GPUs with 16 GB of memory each, up to 64 non-multithreaded AMD EPYC 7V12 (Rome) processor cores, and 448 GiB of system memory. These virtual machines are ideal to run ML and AI workloads utilizing Cuda, TensorFlow, Pytorch, Caffe, and other frameworks or the graphics workloads using NVIDIA GRID technology. NCas_T4_v3 VMs are now generally available in West US2, West Europe, and Korea Central regions.
Networking
Public IP SKU upgrade
Azure public IP addresses now support the ability to be upgraded from Basic to Standard SKU. Additionally, any Basic Public Load Balancer can now be upgraded to a Standard Public Load Balancer, while retaining the same public IP address. This is supported via PowerShell, CLI, templates, and API and available across all Azure regions.
Microsoft per rispondere al meglio alle esigenze di adottare soluzioni in grado di estendere il proprio ambiente, dal datacenter principale ai siti periferici, con i servizi innovativi di Azure, mette a disposizione dei propri clienti il portfolio Azure Stack. Si tratta di un insieme di soluzioni in ambito Hybryd Cloud, che consentono di distribuire ed eseguire i propri workload applicativi in modo coerente, senza vincoli imposti dalla locazione geografica. In questo articolo viene riportata una panoramica della piattaforma Azure Stack Edge (ASE) e delle sue caratteristiche, esaminando i casi d’uso e le principali funzionalità.
Prima di entrare nello specifico di Azure Stack Edge è bene precisare che le soluzioni incluse nel portfolio Azure Stack sono le seguenti:
Azure Stack Edge: l’appliance gestita di Azure in grado di portare la potenza computazionale, lo storage e l’intelligenza del cloud in un edge remoto del cliente.
Azure Stack HCI: la soluzione che consente l’esecuzione di macchine virtuali ed una facile connessione ad Azure grazie ad una infrastruttura hyper-converged (HCI).
Azure Stack Hub: l’offerta per le realtà enterprise e per i clienti dei settori pubblici, che necessitano di un ambiente cloud ma disconnesso da Internet oppure che devono soddisfare specifici requisiti normativi e di conformità.
Figura 1 – Famiglia di prodotti Azure Stack
Per avere una panoramica di queste soluzioni vi invito a leggere questo articolo.
Value proposition di Azure Stack Edge
I risultati che si possono trarre adottando la soluzione Azure Stack Edge sono i seguenti:
Possibilità di adottare on-premises un modello Infrastructure as a service (IaaS) per i carichi di lavoro nei siti periferici (edge), dove sia l’hardware che il software vengono forniti da Microsoft.
Capacità di eseguire le applicazioni presso i siti del cliente, in modo da mantenerle in prossimità delle fonti dati. Inoltre, consente di eseguire presso l’edge non solo le applicazioni proprietarie e di terze parti, ma anche di usufruire di diversi servizi Azure.
Disponibilità di acceleratori hardware built-in che consentono di eseguire scenari di machine learning e AI presso l’edge, proprio dove si trovano i dati, senza la necessità di dover inviare i dati nel cloud per svolgere ulteriori analisi.
Possibilità di disporre di un cloud storage gateway integrato che consente un facile trasferimento dei dati dall’edge verso l’ambiente cloud.
Scenari d’uso
I principali scenari d’uso di Azure Stack Edge sono i seguenti:
Machine learning presso i siti periferici: grazie alla presenza di acceleratori hardware integrati e le capacità di elaborazione offerte dalla soluzione, si ha la possibilità di far fronte a questi scenari proprio dove risiedono i dati, elaborandoli in tempo reale, senza doverli inviare verso Azure.
Capacità computazione presso gli edge: i clienti possono eseguire le proprie applicazioni aziendali e le soluzioni IoT presso i siti periferici, senza necessariamente dover fare affidamento su una connettività costante verso l’ambiente cloud.
Trasferimento di rete dei dati dall’edge al cloud: utilizzato negli scenari in cui si desidera trasferire periodicamente i dati dall’edge al cloud, per ulteriori analisi oppure per scopi di archiviazione.
Form factors
Per supportare i differenti scenari d’uso riportati, verticalmente tra i settori industriali, Azure Stack Edge è disponibile in tre form factor distinti:
Azure Stack Edge Pro, un server blade 1U con una o due GPU.
Azure Stack Edge Pro R, un server rugged con GPU, in una robusta custodia da trasporto, completa di UPS e batteria di backup.
Azure Stack Edge Mini R, una macchina con un form factor ridotto dotata di batteria e con un peso non elevato (meno di 3,5 Kg).
Figura 2 – Form factors di Azure Stack Edge
Le versioni Azure Stack Edge “rugged” permettono una resistenza a condizioni ambientali estreme, e le versioni alimentate a batterie consentono un facile trasporto.
Stack software di Azure Stack Edge
Il cliente può effettuare l’ordine ed il provisioning di Azure Stack Edge direttamente dal portale Azure, per poi utilizzare gli strumenti classici di gestione di Azure per farne il monitoring ed eseguirne gli aggiornamenti. Il supporto hardware viene fornito direttamente da Microsoft, che provvederà alla sostituzione dei componenti in caso di problematiche. Non sono previsti costi iniziali per ottenere questa appliance, ma il costo sarà contemplato mensilmente nella fatturazione dei servizi Azure. Dal momento che, una volta configurato, qualsiasi applicazione eseguita in Azure Stack Edge può essere configurata e distribuita dal portale di Azure, viene elimina la necessità di disporre di personale IT nell’edge location.
Capacità computazionale di Azure Stack Edge
La possibilità di offrire capacità computazionale preso gli edge è una delle funzionalità chiave di Azure Stack Edge, la quale può essere erogata secondo una delle seguenti modalità:
IoT Edge: l’esecuzione di carichi di lavoro containerizzati distribuiti tramite IoT hub è sempre stata supportata sin dal lancio di Azure Stack Edge e continua tuttora ad esserlo.
Kubernetes: recentemente è stato introdotto il supporto per l’esecuzione di workloads containerizzati in cluster Kubernetes in esecuzione su Azure Stack Edge.
Virtual machines: un ulteriore modo per l’esecuzione delle applicazioni è l’attivazione di workload a bordo di macchine virtuali.
Ambiente Kubernetes in Azure Stack Edge
Kubernetes sta diventando lo standard di fatto per l’esecuzione e l’orchestrazione di workloads containerizzati, ma chi conosce questi ambienti, ha la consapevolezza di alcune delle sfide operative che possono derivare dalla gestione di un cluster Kubernetes. In questo ambito l’obiettivo di Azure Stack Edge è quello di semplificare la distribuzione e la gestione dei cluster Kubernetes. Grazie a una semplice configurazione è possibile attivare un cluster Kubernetes su Azure Stack Edge.
Una volta configurato il cluster Kubernetes, è necessario eseguire ulteriori operazioni di gestione, che vengono semplificare in ASE con dei semplici componenti aggiuntivi. Tra queste operazioni troviamo:
La possibilità di abilitare in modo semplice gli acceleratori hardware.
Il provisioning del sistema storage per la creazione di volumi persistenti.
Lo stare al passo con le versioni di Kubernetes prendendo gli ultimi aggiornamenti disponibili.
La capacità di applicare meccanismi di sicurezza e di governance dalla propria infrastruttura.
Completata la configurazione dell’ambiente cluster, vengono forniti dei meccanismi semplici per distribuire e gestire i carichi di lavoro sul cluster Kubernetes, tramite le seguenti modalità:
Azure Arc: ASE viene fornito con l’integrazione nativa con Azure Arc. Con pochi passaggi è possibile abilitare Azure Arc, permettendo la distribuzione delle applicazioni nel cluster Kubernetes direttamente dal portale Azure.
IoT Hub: abilitando il componente aggiuntivo dell’IoT hub è possibile utilizzarlo per la distribuzione dei conteiners.
Kubectl: risulta infine supportato il modo nativo kubectl, utilizzato tipicamente in ambienti disconnessi oppure se si dispone di un’infrastruttura esistente che si integra già con questa modalità.
Figura 3 – Kubernetes deployment in Azure Stack Edge
Macchine virtuali in Azure Stack Edge
Un’altra variante per offrire capacità computazionale presso gli edge è l’attivazione di macchine virtuali. Azure Stack Edge consente di ospitare macchine virtuali, sia Windows che Linux, offrendo la possibilità di distribuire e gestire queste macchine virtuali direttamente da Azure oppure agendo localmente.
Figura 4 – Macchine virtuali in Azure Stack Edge
Un aspetto da tenere in considerazione è che Azure Stack Edge consente di configurare delle topologie di rete più semplici rispetto ad Azure oppure ad Azure Stack Hub.
Per quanto riguarda le funzionalità di accelerazione hardware presenti in Azure Stack Edge, sono supportate queste due varianti:
GPU NVIDIA T4, completamente integrata con lo stack GPU
Intel Movidius Visual Processing Unit (VPU), per scenari di AI e ML
Servizi Azure che possono essere distribuiti in Azure Stack Edge
Il numero dei servizi che possono essere attivati in Azure Stack Edge è elevato, tra quelli recentemente introdotti troviamo:
Live Video Analytics: una piattaforma per la creazione di soluzioni e applicazioni video basate sull’intelligenza artificiale, per svolgere approfondimenti in tempo reale utilizzando i flussi video.
Spatial Analysis: un modulo di visione artificiale in tempo reale per analizzare i video e comprendere i movimenti delle persone negli spazi fisici. Ad esempio, durante il periodo Covid, molti negozi al dettaglio desiderano implementare politiche di distanziamento sociale e potrebbero utilizzare uno speciale modulo di analisi per comprendere un determinato comportamento sulla base dei video girati nel negozio.
Azure Monitor: che consente di aumentare le prestazioni e la disponibilità delle applicazioni raccogliendo i log dai containers ed analizzandoli.
Figura 5 – Soluzioni Azure in Azure Stack Edge
Conclusioni
Nelle realtà aziendali l’adozione di soluzioni totalmente basate nel cloud non sempre risulta essere una scelta percorribile oppure la migliore in assoluto, spesso si devono necessariamente adottare soluzioni ibride, che comunque contemplano la possibilità di utilizzo anche delle innovazioni introdotte dal cloud. Azure Stack Edge risulta essere una soluzione flessibile e moderna che permettere di rispondere alle esigenze, anche quelle più sfidanti, che emergono per i siti periferici, senza tralasciare le potenzialità offerte dal cloud pubblico.
In the last week of the year, there was little news, thanks to the holiday period.This series of blog posts will continue into 2021. I take this opportunity to wish you a Happy New Year!
Azure Application Consistent Snapshot tool (AzAcSnap) is in public preview. It is a command-line tool enables you to simplify data protection for third-party databases (SAP HANA) in Linux environments (for example, SUSE and RHEL).
Nel mese di dicembre sono state annunciate da parte di Microsoft diverse novità riguardanti gli Azure management services. La nostra community rilascia mensilmente questo riepilogo che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Nuovo agente di Azure Monitor e nuove funzionalità di Data Collection Rules (preview)
In Azure Monitor è stato introdotto (in preview) un nuovo agente unificato (Azure Monitor Agent – AMA) e un nuovo concetto per rendere più efficiente la raccolta dati (Data Collection Rules – DCR).
Tra le varie funzionalità chiave aggiunte in questo nuovo agente troviamo:
Supporto per Azure Arc server (Windows and Linux)
Supporto per Virtual Machine Scale Set (VMSS)
Installazione tramite template ARM
Per quanto riguarda la Data Collection sono state apportate queste novità:
Migliore controllo nella definizione dell’ambito della raccolta dei dati (ad es. possibilità di raccogliere da un sottoinsieme di VMs per un singolo workspace)
Raccolta unica ed invio sia a Log Analytics che ad Azure Monitor Metrics
Invio verso più workspace (multi-homing per Linux)
Possibilità di filtrare meglio gli eventi di Windows
Migliore gestione delle estensioni
Azure Monitor per Windows Virtual Desktop (preview)
Azure Monitor permette ora di effettuare le seguenti operazioni relative agli ambienti Windows Virtual Desktop:
Visualizzare un riepilogo sullo stato e sull’integrità degli host pool
Trovare e risolvere eventuali problemi nel deployment
Valutare l’utilizzo delle risorse e prendere decisioni sulla scalabilità e sulla gestione dei costi
Comprendere ed indirizzare i feedback degli utenti
Azure Monitor for containers: reports tab e log di deployment
In Azure Monitor for containers è stato reso disponibile un nuovo tab Reports che offre ai clienti un accesso completo a tutti i workbook di monitoring avanzati per Kubernetes, come ad esempio: Node-disk, Node-network, Workloads e monitoring dei Persistent Volume.
Inoltre, è ora possibile visualizzare i log in tempo reale dei deployment di Azure Kubernetes Service (AKS), accedendo direttamente ai Live Logs dei pod. In Log Analytics sarà consentito fare delle ricerche applicando dei filtri per visualizzare i log storici dei deployment dei pod, utile per diagnosticare eventuali problematiche.
Azure Monitor for containers:supporto per i live log dei Private Cluster (preview)
In Azure Monitor for containers è stato introdotto il supporto per i live log dei cluster privati, che consente di visualizzare in tempo reale i log dei container, gli eventi e le metriche dei pod. Per maggiori dettagli a riguardo è possibile consultare la documentazione specifica di Microsoft.
Infrastructure Encryption per i dati di Azure Monitor
A partire dal 1 novembre 2020 i dati che confluiscono in Azure Monitor vengono crittografati due volte: a livello di servizio e ora anche a livello di infrastruttura, grazie alla double encryption disponibile per Azure storage.
Configure
Azure Automation
Disponibile il supporto per Azure Private Link
Microsoft ha introdotto il supporto per gli Azure Private Link, necessari per connettere in modo sicuro le reti virtuali ad Azure Automation tramite l’utilizzo di endpoint privati. Questa funzionalità risulta utile per:
Stabilire una connessione privata con Azure Automation, senza aprire l’accesso dalla rete pubblica.
Assicurare che i dati di Azure Automation siano accessibili solo attraverso reti private autorizzate.
Proteggersi dall’estrazione dei dati permettendo un accesso granulare a specifiche risorse.
Mantenere tutto il traffico all’interno della rete backbone di Microsoft Azure.
Disponibilità in nuove region
Azure Automation è ora disponibile nelle region di “Norway East” e “Germany West Central”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.
Supporto per i runbook Python3 (preview)
In Azure Automation è ora possibile importare, creare ed eseguire runbook Python 3 in Azure oppure in un Hybrid Runbook Worker.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Azure VMware Solution: now available in UK South and Japan East Azure regions
The new Azure VMware Solution empowers customers to seamlessly extend or migrate their existing on-premises VMware applications to Azure without the cost, effort or risk of re-architecting applications or retooling operations. General Availability of the new Azure VMware Solution was announced at Microsoft Ignite, Sept 2020, with initial availability in US East, US West, West Europe and Australia. Microsoft has now expanded availability to two more Azure regions Japan East and UK South. For updates on more upcoming region availability please visit the product by region page here.
HBv2-series VMs for HPC now available in the UAE North region
HBv2 VMs are now Generally Available in the Azure UAE North region.
Storage
Azure File Sync agent v11.1
Azure File Sync agent v11.1 is now on Microsoft Update and Microsoft Download Center.
Improvements and issues that are fixed:
New cloud tiering modes to control initial download and proactive recall
Initial download mode: you can now choose how you want your files to be initially downloaded onto your new server endpoint. Want all your files tiered or as many files as possible downloaded onto your server by last modified timestamp? You can do that! Can’t use cloud tiering? You can now opt to avoid tiered files on your system. To learn more, see Create a server endpoint section in the Deploy Azure File Sync documentation.
Proactive recall mode: whenever a file is created or modified, you can proactively recall it to servers that you specify within the same sync group. This makes the file readily available for consumption in each server you specified. Have teams across the globe working on the same data? Enable proactive recalling so that when the team arrives the next morning, all the files updated by a team in a different time zone are downloaded and ready to go! To learn more, see Proactively recall new and changed files from an Azure file share section in the Deploy Azure File Sync documentation.
Exclude applications from cloud tiering last access time tracking
You can now exclude applications from last access time tracking. When an application accesses a file, the last access time for the file is updated in the cloud tiering database. Applications that scan the file system like anti-virus cause all files to have the same last access time which impacts when files are tiered. For more details, see the release notes.
Miscellaneous performance and reliability improvements
Improved change detection performance to detect files that have changed in the Azure file share.
Improved sync upload performance.
Initial upload is now performed from a VSS snapshot which reduces per-item errors and sync session failures.
Sync reliability improvements for certain I/O patterns.
Fixed a bug to prevent the sync database from going back-in-time on failover clusters when a failover occurs.
Improved recall performance when accessing a tiered file.
More information about this release:
This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
The agent version for this release is 11.1.0.0.
A restart may be required if files are in use during the agent installation.
Installation instructions are documented in KB4539951.
