Archivi categoria: Microsoft Azure

Azure IaaS and Azure Stack: announcements and updates (May 2020 – Weeks: 19 and 20)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.



New Azure VMware Solution in preview

Azure VMware Solution empowers customers to seamlessly extend or migrate their existing on-premises VMware applications to Azure without the cost, effort or risk of re-architecting applications or retooling operations. Preview of the new solution is initially available in US East and West Europe Azure regions. The new Azure VMware Solution is expected to be generally available in the second half of 2020 and at that time, availability will be extended across more regions.

The new Azure VMware Solution is:

  • First Party Microsoft Azure service, endorsed by VMware. The new release of Azure VMware Solution is built on Microsoft Azure without the use of a third-party technology. The solution is also cloud verified by VMware and leverages components of the VMware Cloud Foundation framework including vSphere, vCenter, NSX-T, vSAN and HCX.
  • Seamless integrated Azure experience. In the new solution Microsoft has rearchitected the Software Defined Datacenter (SDDC) layer that underpins the Private Cloud, ensuring a truly seamless Azure experience for customers.
  • VMware HCX Enterprise now available. The new Azure VMware Solution includes HCX Enterprise edition as an option. With additional features from HCX Enterprise, customers can further simplify their migration efforts to Azure including support for bulk live migrations.
  • Leverage pricing benefits for Microsoft workloads. Azure VMware Solutions supports the Azure Hybrid Benefit and Azure VMware Solution customers are also eligible for three years of free Extended Security Updates on 2008 versions of Windows Server and SQL Server.

New cloud regions in Italy, New Zealand and Poland

Microsoft announced plans for new cloud datacenter regions in three countries: Italy, New Zealand and Poland. In Italy, Microsoft is building a new datacenter region in Milan, which will provide access to Azure, Microsoft 365/Office 365 and Dynamics 365 and the Power Platform set of tools.

Virtual machine (VM)-level disk bursting

Virtual machine-level disk bursting is a new feature that allows your virtual machine to burst its disk IO and MiB/s throughput performance for a short time daily to handle unforeseen spikey disk traffic smoothly and process batched jobs with speed. The feature is now enabled on all Azure Lsv2-series virtual machines, with support for more virtual machine types and families to come soon. This feature doesn’t cost anything extra and comes enabled by default.

General availability of Azure Spot Virtual Machines

Azure Spot VMs provide access to unused Azure compute capacity at deep discounts. Spot pricing is available on single VMs in addition to VM scale sets (VMSS). This enables you to deploy a broader variety of workloads on Azure while enjoying access to discounted pricing compared to pay-as-you-go rates. Spot VMs offer the same characteristics as a pay-as-you-go virtual machine, the differences being pricing and evictions. Spot VMs can be evicted at any time if Azure needs capacity.


Azure Blob versioning public preview

Applications and users create, update, and delete data in Azure Blob storage continuously. A common requirement is the ability to manage and access both current and historical versions of the data. As the next step to enhance data management and protection, the Blob storage versioning preview is available. Azure Blob Versioning automatically maintains previous versions of an object and identifies them with version IDs. You can list both the current blob and previous versions using version ID timestamps. You can also access and restore previous versions as the most recent version of your data if it was erroneously modified or deleted by an application or other users.

Blob Index for Azure Storage in preview

Blob Index, a managed secondary index, allowing you to store multi-dimensional object attributes to describe your data objects for Azure Blob storage. It is now available in preview. Built on top of blob storage, Blob Index offers consistent reliability, availability, and performance for all your workloads. Blob Index provides native object management and filtering capabilities, which allows you to categorize and find data based on attribute tags set on the data.

General availability of geo-zone-redundant storage (GZRS)

GZRS helps achieve higher data resiliency by:

  • Synchronously writing three replicas of your data across multiple availability zones (like ZRS today) protecting from cluster, datacenter or entire zone failure.
  • Asynchronously replicating the data to another region within the same geo into a single zone (like LRS today) protecting from a regional outage.

When using GZRS, you can continue to read and write the data even if one of the availability zones in the primary region is unavailable. In the event of a regional failure you can also use read-access geo-zone-redundant storage (RA-GZRS) to continue having read access to your data or execute account failover to also restore write accessibility. GZRS provides a great balance of high performance, high availability and disaster recovery and is beneficial when building highly available applications/services in Azure.

Azure File Sync is removing support for TLS 1.0 and 1.1

Azure File Sync service will remove support for TLS 1.0 and 1.1 in August 2020.


Azure Virtual Network NAT in Azure Government and Azure China

Azure Virtual Network NAT (network address translation) is now generally available in the Azure Government and Azure China regions. NAT simplifies outbound-only internet connectivity for virtual networks and can be configured for one or more subnets of a virtual network.

Azure Firewall Updates

Two new key features in Azure Firewall are generally available:

Additionally, Microsoft is increasing the limit for multiple public IP addresses from 100 to 250 for both DNAT and SNAT.

Rules Engine for Azure Front Door Service is now in preview

Rules Engine on Azure Front Door Service brings your specific routing needs to the forefront of its application delivery experience, giving you more control over how you define and enforce what content gets served from where. Rules Engine empowers you to modify request and response headers, or dynamically override your existing route behavior based on incoming requests.

Private Link is now available on Event Grid

Azure Event Grid now has Private Link integration for custom topics and event domains, generally available in all Azure regions, allowing virtual network resources within their production workloads to communicate directly to their Event Grid topics without accessing the public internet. This enables enterprise workloads to take advantage of event-driven architectures securely for mission-critical workloads that require network isolation.

Azure Stack

Azure Stack Hub

Azure App Service and Azure Functions on Azure Stack Hub update available

A major update to Azure App Service on Azure Stack Hub is now available. The update build number is All fixes and updates are detailed in the release notes.

This release updates the resource provider and brings new key capabilities and fixes:

  • Updates to App Service Tenant, Admin, Azure Functions portals, and Kudu tools.
  • Updates Azure Functions runtime to v1.0.13021.
  • Updates to core service to improve reliability and error messaging will enable easier diagnosis of common issues.
  • Updates to the application frameworks and tools including .NET Framework, ASP.NET Core, PHP, NodeJS, and NPM.
  • Windows Server updates to underlying operating system of all roles.
  • Cumulative updates for Windows Server are now applied to controller roles as part of deployment and upgrade.
  • Updated default virtual machine and scale set SKUs for new deployments.

Please follow and like us:

Azure IaaS and Azure Stack: announcements and updates (May 2020 – Weeks: 17 and 18)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.



Maintenance control for platform updates

The maintenance control feature for Azure Virtual Machines platform updates is now generally available for Azure Dedicated Hosts and isolated virtual machines (VMs). This feature gives you more control over platform maintenance when dealing with highly sensitive workloads. Use this feature to control all host updates, including rebootless updates, within a 35-day window. The ability to control the maintenance window is particularly useful when you deploy workloads that are extremely sensitive to interruptions running on an Azure Dedicated Host or an isolated VM where the underlying physical server runs a single customer’s workload. This feature is not supported for VMs deployed in hosts shared with other customers.

New DCsv2-series virtual machines are available

You can develop confidential applications that protect data while it’s being processed in the CPU with new DCsv2-series virtual machines (VMs), powered by Intel SGX. Traditionally, applications are protected while at rest and in transit. Now, you can deliver applications that protect data while in use. This enables a new set of scenarios like multiparty sharing, where it’s possible to combine data from multiple companies to run machine learning models without the companies getting access to each other’s data.

Windows Server containers in AKS now generally available

Windows Server containers in Azure Kubernetes Service (AKS) are now generally available. You can take advantage of this new feature to run Linux and Windows workloads side-by-side in a single cluster using the same tools. Create/upgrade/scale Windows node pools in AKS through the standard tools (portal/CLI) and Azure will help manage the health of the cluster.

Azure Migrate now available in Azure Government

Microsoft’s service for datacenter migration, Azure Migrate, is now available in Azure Government, unlocking the whole range of functionality for government customers. Azure Migrate V2 for Azure Government includes a one-stop shop for discovery, assessment, and migration of largescale datacenters.


Enhanced features in Azure Archive Storage

Three new feature enhancements for Azure Block Blob storage and Azure Archive storage are now generally available, making the service faster, simpler, and more capable.

  • Priority retrieval from Azure Archive. High rehydrate-priority fulfills the need for emergency data rehydrate from archive, with retrievals for blobs of a few GB typically taking less than one hour.
  • Upload blob direct to access tier of your choice. The PutBlob or PutBlockList API allows you to upload your blob data directly to any access tier (hot, cool, or archive). This enables customers to write cold data directly to Azure Archive, realizing their cost savings immediately.
  • CopyBlob enhanced capabilities. The CopyBlob API supports the archive access tier, allowing you to copy data into and out of the archive access tier within the same storage account. It also includes support for the other two new features—priority retrieval and direct to access tier of your choice.


Azure Firewall: support for Windows Virtual Desktop

You can use Azure Firewall to protect Window Virtual Desktop deployments. In addition there are FQDN tags for Windows Virtual Desktop (WVD).

Azure Private Link for AKS is generally available

Azure Kubernetes Service (AKS) Private Link is generally available. You can use it to isolate your Kubernetes API server within your Azure virtual network, enabling fully private communication with the managed Kubernetes control plane hosted by AKS.

Please follow and like us:

Azure Management services: le novità di Aprile 2020

A partire da questo mese si rinnova la serie di articoli rilasciati dalla nostra community relativi alle novità degli Azure management services. Saranno articoli, pubblicati con cadenza mensile, dedicati esclusivamente a questi argomenti per aver un maggior livello di approfondimento.

Il management si riferisce alle attività e ai processi necessari per mantenere al meglio le applicazioni aziendali e le risorse che le supportano. Azure offre numerosi servizi e strumenti fortemente correlati tra di loro per fornire una esperienza di management completa. Questi servizi non sono dedicati esclusivamente alle risorse Azure, ma possono potenzialmente essere utilizzati anche per ambienti dislocati on-premises o presso altri cloud pubblici.

Il diagramma seguente mostra le diverse aree relative al management, che saranno contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure


Azure Monitor per containers: supporto del monitoring sull’utilizzo delle GPU su node pool GPU-enabled di AKS

Azure Monitor per containers ha introdotto la possibilità di effettuare il monitor sull’utilizzo delle GPU in ambienti Azure Kubernetes Service (AKS) con nodi che sfruttano le GPU. Al momento sono supportati come vendors NVIDIA e AMD.
Questa funzionalità di monitoring può essere utile per:

  • Controllare la disponibilità di GPU sui nodi, l’utilizzo della GPU memory e lo stato delle richieste di GPU da parte dei pods.
  • Visualizzare le informazioni raccolte tramite il workbook built-in disponibile nella workbook gallery.
  • Generare alert sullo stato dei pod

Export di alert e raccomandazioni verso altre soluzioni

In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. La funzionalità è chiamata Continuos Export e viene descritta in modo dettagliato in questo articolo.

Funzionalità di Workflow automation

Azure Security Center include la possibilità di disporre di workflow per la risposta agli incidenti di security. Tali processi potrebbero includere notifiche, l’avvio di un processo di change management e l’applicazione di specifiche operazioni di remediation. La raccomandazione è di automatizzare il maggior numero possibile di procedure in quanto l’automation può migliorare la sicurezza garantendo che le fasi del processo vengano eseguite in modo rapido, coerente e in base ai requisiti predefiniti. In Azure Security Center è stata resa disponibile la funzionalità di workflow automation. Può essere utilizzata per scatenare in modo automatico il trigger di Logic Apps sulla base di alerts di security e sulle raccomandazioni. Inoltre, l’esecuzione manuale di trigger è disponibile per gli alerts di security e per le raccomandazioni che hanno disponibile l’opzione di quick fix.

Integrazione con Windows Admin Center

Risulta ora possibile includere direttamente da Windows Admin Center in Azure Security Center i sistemi Windows Server che risiedono on-premises.

Azure Monitor Application Insights: monitor di applicazioni Java codeless

Il monitor di applicazioni Java è ora reso possibile senza apportare modifiche al codice, grazie ad Azure Monitor Application Insights. In preview è infatti disponibile il nuovo agente codeless Java. Tra le librerie e i frameworks supportati dal nuovo agente Java troviamo:

  • gRPC.
  • Netty/Webflux.
  • JMS.
  • Cassandra.
  • MongoDB.

Ritiro della solution di Office 365

Per la solution “Azure Monitor Office 365 management (Preview)”, che consente di effettuare l’invio dei log di Office 365 verso Azure Monitor Log Analytics è previsto il ritiro il 30 Luglio 2020. Questa solution è stata sostituita dalla solution di Office 365 presente in Azure Sentinel e dalla solution “Azure AD reporting and monitoring”. La combinazione di queste due solution è in grado di offrire una miglior experience nella configurazione e nel relativo utilizzo.

Azure Monitor per Containers: supporto per Azure Red Hat OpenShift

Azure Monitor per Containers ora supporta in preview anche il monitor per cluster Kubernetes ospitati su Azure Red Hat OpenShift versione 4.x & OpenShift versione 4.x.

Azure Monitor Logs: limitazioni su query concorrenti

Per garantire un’esperienza coerente per tutti gli utenti nella consultazione dei Log di Azure Monitor, verranno gradualmente implementati nuovi limiti di concorrenza. Questo contribuirà a proteggersi dall’invio di un numero eccessivo di query contemporaneamente, che potrebbe potenzialmente sovraccaricare le risorse di sistema e compromettere la reattività. Questi limiti sono progettati per intervenire e limitare solo scenari di utilizzo estremi, ma non dovrebbero essere rilevanti per l’uso tipico della soluzione.


Azure Security Center

Disponibilità del Dynamic compliance packages

La regulatory compliance dashboard di Azure Security Center include ora il dynamic compliance packages per tracciare ulteriori standard di settore e normativi. I dynamic compliance packages possono essere aggiunti a livello di subscription oppure di management group dalla pagina delle policy di Security Center. Dopo aver inserito uno standard o un benchmark, questo viene visualizzato nella dashboard di conformità normativa con tutti i relativi dati. Sarà inoltre disponibile per il download un report di riepilogo per tutti gli standard che sono stati integrati.

Incluse le raccomandazioni di Identity nel tier free di Azure Security Center

Le raccomandazioni di security relative all’identity e all’accesso sono state incluse nel tier free di Azure Security Center. Questo aspetto consente di aumentare gratuitamente le funzionalità in ambito cloud security posture management (CSPM). Prima di questa moditifca, tali raccomandazioni erano disponibili solo nel tier Standard di Azure Security Center. Si riportano alcuni esempi di raccomandazioni relative all’identity e all’accesso:

  • “Multifactor authentication should be enabled on accounts with owner permissions on your subscription.”
  • “A maximum of three owners should be designated for your subscription.”
  • “Deprecated accounts should be removed from your subscription.”


Azure Backup

Cross Region Restore (CRR) per le macchine virtuali Azure

Grazie all’introduzione di questa nuova funzionalità in Azure Backup viene introdotta la possibilità di avviare a piacimento i ripristini in una regione secondaria, rendendoli completamente controllati dal cliente. Per farlo è necessario che il Recovery Service vault che detiene i backup sia impostato in ridondanza geografica; in questo modo i dati di backup nella region primaria sono replicati geograficamente nella regione secondaria associata ad Azure (paired region).

Azure Files share snapshot management

In Azure Backup è stata introdotta la possibilità di creare snapshots di Azure Files share, giornaliere, settimanali, mensili, e annuali e mantenerle fino a 10 anni.

Figura 2 – Azure Files share snapshot management

Supporto per la sostituzione dei dischi esistenti per le VM con immagini personalizzate

In Azure Backup è stato introdotto il supporto, durante le fasi del ripristino, per sostituire i dischi esistenti nelle macchine virtuali create con immagini personalizzate.

SAP HANA backup

In Azure Backup la protezione dei DB di SAP HANA presenti nelle macchine virtuali è disponibile in tutte le principali region di Azure. Tale funzionalità consente di avere in modo integrato e senza dover prevedere una infrastruttura di backup specifica la protezione dei database SAP HANA. Questa soluzione risulta ufficialmente certificata da SAP.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Please follow and like us:

Azure IaaS and Azure Stack: announcements and updates (April 2020 – Weeks: 15 and 16)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.



SQL Server 2019 IaaS images with Linux distribution support now available

Azure Marketplace pay-as-you-go images for SQL Server 2019 on RHEL 8.0, Ubuntu 18.04, and SLES 12 SP5 are now generally available.

Virtual machine scale sets: automatic image upgrades for custom images

Virtual machine scale sets now provide the ability to automatically deploy new versions of custom images to scale set virtual machines. Enabling automatic OS image upgrades on your scale set helps ease update management by safely and automatically upgrading the OS disk for all virtual machines in the scale set. This capability is now available in preview for custom images through Shared Image Gallery.

Automatic instance repairs for virtual machine scale sets

Virtual machine scale sets now provide the capability to automatically repair unhealthy instances based on application health status. Configure the scale set instances to emit application health by using either the application health extension or Azure Load Balancer health probes. After the automatic repairs policy is enabled, when an instance is found to be unhealthy, the scale set will automatically delete the unhealthy instance and create a new one to replace it.

Azure Migrate is now available in Azure Government

Azure Migrate provides a hub of Microsoft and partner tools to help customers meet their migration needs. Azure Migrate also offers scenarios for database migration, VDI migration, and web application migration, in addition to at-scale migration of VMware, Hyper-V, and physical servers to Azure. All Azure Migrate features, including agentless discovery and assessment, application inventory, and migration, are now available in Azure Government.

Azure File Sync v10 released

The Azure File Sync agent v10 release is being released to servers which are configured to automatically update when a new version becomes available.

Improvements and issues that are fixed:

  • Improved sync progress in the portal
  • Improved cloud tiering portal experience
  • Support for moving the Storage Sync Service and/or storage account to a different Azure Active Directory (AAD) tenant
  • Evaluation tool now identifies files or directories that end with a period
  • Miscellaneous performance and reliability improvements

To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog by following the steps documented in KB4522409.


Azure Virtual Network supports reverse DNS lookup

Azure Virtual Network now supports reverse DNS lookup (PTR DNS queries) for virtual machine IP addresses by default. Use this to quickly look up name of the VM from its IP address. Previously, using DNS queries to look up the fully qualified domain name (FQDN) for a virtual machine from its IP address would result in an NXDOMAIN response. Now, instead of getting an NXDOMAIN, you’ll receive valid FQDN of the virtual machine to which the IP address belongs.

Please follow and like us:

Azure Monitor: la consultazione dei dati tramite Workbooks

Azure Monitor Log Analytics è in grado di collezionare grossi quantitativi di dati ed è fondamentale disporre di metodi efficaci per renderli facilmente consultabili e per analizzarli in modo semplice. Tra le varie possibilità offerte troviamo i Workbooks, documenti interattivi che consentono di interpretare al meglio i dati e di fare analisi approfondite, pensati anche per scenari di collaborazione. In questo articolo vengono riportate le caratteristiche principali dei Workbooks e le indicazioni per utilizzarli al meglio.

I Workbooks consentono di combinare testo, query di Log Analytics, metriche di Azure e parametri, costituendo così dei report interattivi. Un aspetto interessante è che possono essere accessibili e modificabili da tutti coloro che hanno accesso alle stesse risorse di Azure. Questo aspetto li rende un potente strumento di collaborazione tra i membri di un team di lavoro.

Possibili scenari di utilizzo

I Workbooks possono essere utilizzati in differenti scenari, come ad esempio:

  • Strumento guida per la risoluzione dei problemi e degli incident post mortem. Nono solo è possibile evidenziare l’impatto di un’interruzione di un applicativo oppure di una macchina virtuale, ma sarà anche possibile combinare i dati e fornire spiegazioni scritte. In questo modo può diventare uno strumento guida per discutere dei passaggi necessari per prevenire future interruzioni del servizio.
  • Esplorazione dell’utilizzo di una determinata applicazione o di una macchina virtuale quando non si conoscono in anticipo le metriche di interesse. Infatti, a differenza di altri strumenti di analisi, i Workbooks consentono di combinare più tipi di visualizzazioni e di analisi, rendendoli un ottimo strumento per un’esplorazione in forma libera.
  • Mostrare al proprio team le prestazioni di una nuova funzionalità applicativa oppure le performance di una nuova macchina virtuale, dando visibilità delle principali metriche di interesse.
  • Condivisione con altri membri del team dei risultati di un lavoro di sperimentazione su una applicazione. Si ha infatti la possibilità di dettagliare gli obiettivi della sperimentazione con il testo e di mostrare le metriche e le query di Log Analytics utilizzate per valutare gli elementi di interesse.

Vantaggi dei Workbooks

Tra i principali vantaggi dei Workbooks è possibile citare:

  • Supporto per metriche, log e dati di Azure Resource Graph.
  • Supporto di parametri che consentono di ottenere report interattivi, in cui ad esempio la selezione di un elemento in una tabella aggiornerà dinamicamente i grafici e le visualizzazioni associate.
  • Flusso simile a un documento.
  • Possibilità di avere Workbooks personali oppure condivisi.
  • Esperienza di creazione semplice e sempre in ottica di collaborazione.
  • Possibilità di attingere a una template gallery pubblica su GitHub che contiene svariati Workbooks pronti all’utilizzo.

Limiti dei Workbooks

I Workbooks presentano anche le seguenti limitazioni che è bene tenere in considerazione:

  • Non sono previsti meccanismi automatici di refresh.
  • Non sono progettati per avere un layout addensato come le dashboards e per avere un unico pannello di controllo centralizzato. Sono infatti stati progettati per ottenere approfondimenti tramite un percorso interattivo.

Deploy e utilizzo dei Workbooks

La sezione Workbooks è accessibile dal portale Azure sia da Azure Monitor Log Analytics che da Application Insights ed è disponibile una gallery con una serie di Workbooks predefiniti.

Figura 1 – Workbooks Gallery dal portale Azure

In questo repository GitHub è possibile visualizzare numerosi template di Workbooks. Si può ovviamente contribuire aggiungendone dei nuovi oppure elaborando quelli esistenti.

I Workbooks possono essere composti da sezioni differenti che riportano grafici, tabelle, testo e controlli di input, tutti modificabili in modo indipendente.

Figura 2 – Aggiunta di sezione a un Workbook

Per poter creare dei Workbooks personalizzati in base alle proprie esigenze è utile conoscere quali elementi sono supportati, si riportano a questo proposito i riferimenti alla documentazione ufficiale Microsoft:

Figura 3 – Esempio di Workbook che mostra le metriche chiave delle VMs

Figura 4 – Esempio di Workbook che mostra il più alto utilizzo di CPU delle VMs per region

Per effettuare il deployment di nuovi Workbooks tramite ARM templates è possibile fare riferimento alla documentazione ufficiale Microsoft.


Grazie all’adozione dei Workbooks è possibile consultare i dati raccolti utilizzando report visivamente accattivanti, con funzionalità avanzate che consentono di arricchire notevolmente l’esperienza di analisi dal portale di Azure. L’interattività basate sugli input dell’utente, la personalizzazione e la condivisione sono elementi importanti che rendono molto utile l’adozione dei Workbooks in scenari specifici.

Please follow and like us:

Azure Security Center: l’export di alert e raccomandazioni verso altre soluzioni

In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. In questo articolo viene riportato come utilizzare questa funzionalità e vengono approfondite le sue caratteristiche.

Azure Security Center (ASC) effettua un assessment continuo dell’ambiente ed è in grado di fornire delle raccomandazioni relative alla sicurezza dell’ambiente. Come descritto in questo articolo è possibile personalizzare la soluzione per soddisfare i propri requisiti di sicurezza e le raccomandazioni che vengono generate. Nel tier standard queste raccomandazioni possono non essere limitate al solo ambiente Azure, ma sarà possibile contemplare anche ambienti ibridi e le risorse on-premises.

Security Center standard genera anche degli alert nel momento in cui vengono rilevate potenziali minacce di sicurezza sulle risorse presenti nel proprio ambiente. ASC stabilisce le priorità, elenca gli alert, fornisce le informazioni necessarie per esaminare rapidamente i problemi e riporta consigli su come risolvere eventuali attacchi.

Azure Event Hubs è una piattaforma di streaming di big data e un servizio per l’ingestion di eventi. Può ricevere ed elaborare milioni di eventi al secondo. I dati inviati a un Event Hub possono essere trasformati e archiviati utilizzando qualsiasi provider di analisi in tempo reale oppure adattatori batch o di archiviazione.

La nuova funzionalità che è stata introdotta in Azure Security Center si chiama Continuos Export, supporta scenari enterprise e consente di effettuare quanto segue:

  • Export verso Azure Event Hubs per ottenere una integrazione con SIEMs di terze parti ed Azure Data Explorer.
  • Export verso un workspace Log Analytics per avere una integrazione con Azure Monitor, utile per analizzare meglio i dati, utilizzare Alert rule, Microsoft Power BI e dashboards personalizzate.
  • Export in un file CSV, per singole esportazioni di dati (one shot).

La configurazione è semplice e la si può effettuare tramite la seguente procedura.

In Azure Security Center si seleziona la subscription per la quale si vuole configurare l’esportazione dei dati e nella sidebar delle impostazioni si seleziona Continuos Export:

Figura 1 – Continuous Export nei settings di ASC della subscription

In questo caso si è scelto di configurare l’esportazione verso un workspace di Log Analytics. Si possono selezionare quali raccomandazioni esportare ed il relativo livello di severity. Anche per gli alert di security si può scegliere per quale livello farne l’esportazione. L’export crea un oggetto, pertanto è opportuno specificare in quale resource group posizionarlo. Sarà infine necessario selezionare il workspace target di Log Analytics.

Figura 2 – Configurazione dei parametri per fare il Continuous Export

Selezionando il link per l’integrazione con Azure Monitor c’è la possibilità di creare in modo automatico delle Alert rule già preimpostate.

Figura 3 – Creazione automatica di alert rule in Azure Monitor

Di default queste alert rule non configurano degli Action Group, pertanto è consigliabile modificarle per scatenare un trigger in base alle proprie esigenze.

Queste le due alert rule create di default:

Figura 4 – Alert rule di Azure Monitor create di default

In alternativa, dopo aver fatto confluire le raccomandazioni e gli alert di ASC in un workspace, è possibile configurare in Azure Monitor delle Alert rule personalizzate basate su query di Log Analytics.

Gli alert di security e le raccomandazioni di ASC vengono memorizzate nelle tabelle SecurityAlert e SecurityRecommendations del workspace. Il nome della solution di Log Analytics contenente queste tabelle è in relazione al tier di ASC, che può essere quindi Security and Audit (tier standard) oppure SecurityCenterFree (tier free).

Figura 4 – Tabelle in Log Analytics

La configurazione di Continuos Export verso Event Hubs è del tutto simile e risulta essere la metodologia migliore per integrare le raccomandazioni e gli alerts di Azure Security Center con soluzioni SIEM di terze parti. In seguito, vengono riportati i connettori per le principali soluzioni SIEM di terze parti:

In Azure Sentinel è invece disponibile il Data connector nativo per contemplare gli alerts di Azure Security Center.

Per configurare l’export verso Azure Data Explorer è possibile usare la procedura riportata in questa documentazione Microsoft.


Grazie a questa nuova funzionalità introdotta in Azure Security Center è possibile consolidare tutti gli alert e le raccomandazioni generati dalla soluzione verso altri strumenti, aprendo così nuovi possibili scenari di integrazione anche con soluzioni di terze parti. Il tutto è reso possibile tramite un meccanismo facilmente configurabile, che consente di essere immediatamente notificati e di intraprendere rapidamente le azioni necessarie. Questi aspetti sono fondamentali quando si trattano informazioni relative alla sicurezza.

Please follow and like us:

Azure IaaS and Azure Stack: announcements and updates (April 2020 – Weeks: 13 and 14)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.



Azure Spot Virtual Machines are now generally available

Spot Virtual Machines provide scalability while reducing costs and they’re ideal for workloads that can be interrupted. Get unique Azure pricing and benefits when running Windows Server workloads on Spot Virtual Machines.


Direct Upload of Azure Managed Disks

Customers can bring an on-premises VHD to Azure as a managed disk in two ways: copy the VHD into a storage account before converting it into a managed disk, or attach an empty managed disk to a virtual machine and do a copy. Both of these have disadvantages. The first option requires maintaining storage accounts, while the second option has the additional cost of running virtual machines. Direct upload addresses both these issues and provides a simplified workflow by allowing you to copy an on-premises VHD directly into an empty managed disk. You can use it to upload to Standard HDD, Standard SSD, and Premium SSD managed disks of all the supported sizes.

New Azure Disk sizes and bursting support 

Azure Disks, block-level storage volumes managed by Azure and used with Azure Virtual Machines, now have new 4-GiB, 8-GiB, and 16-GiB sizes available on both premium and standard SSDs. The new disk sizes introduced on standard SSD disk provide the most cost-efficient SSD offering in the cloud, providing consistent disk performance at the lowest cost per GB. In addition, Microsoft now supports bursting on Azure premium SSD disks in all Azure regions in the public cloud. With bursting, even the smallest premium SSD disks at 4-GiB can now achieve up to 3,500 IOPS and 170 MiB/second, and better accommodate spiky workloads. It can be best used for OS disks to accelerate virtual machine (VM) boot or data disks to accommodate spiky traffic. To learn more about disk bursting, read the premium SSD bursting article.

Azure Ultra Disks: Shared disk capability in preview

Attach an Azure managed disk to multiple virtual machines (VMs) simultaneously using the new shared disks feature of Azure Managed Disks. Deploy new or migrate existing clustered applications to Azure by attaching a managed disk to multiple VMs. Shared disks also support SCSI persistent reservation protocol.

Server-side encryption with customer-managed keys for Azure Managed Disks in GA 

Azure customers already benefit from server-side encryption with platform-managed keys for Managed Disks enabled by default. Server-side encryption with customer-managed keys improves on platform-managed keys by giving you control of the encryption keys to meet your compliance need. Today, customers can also use Azure Disk Encryption which leverages the BitLocker feature of Windows and the DM-Crypt feature of Linux to encrypt Managed Disks with customer-managed keys within the guest VM. Server-side encryption with customer-managed keys improves on Azure Disk encryption by enabling you to use any OS types and images, including custom images, for your virtual machines by encrypting data in the Storage service.

General availability of incremental snapshots of Managed Disks

Incremental snapshots are a cost-effective, point-in-time backup of managed disks. Unlike current snapshots, which are billed for the full size, incremental snapshots are billed for the delta changes to disks since the last snapshot and are always stored on the most cost-effective storage, Standard HDD storage irrespective of the storage type of the parent disks. For additional reliability, incremental snapshots are stored on Zone Redundant Storage (ZRS) by default in regions that support ZRS. Incremental snapshots provide differential capability, enabling customers and independent solution vendors (ISVs) to build backup and disaster recovery solutions for Managed Disks. It allows you to get the changes between two snapshots of the same disk, thus copying only changed data between two snapshots across regions, reducing time and cost for backup and disaster recovery. Incremental snapshots are accessible instantaneously; you can read the underlying data of incremental snapshots or restore disks from them as soon as they are created. Azure Managed Disk inherit all the compelling capabilities of current snapshots and have a lifetime independent from their parent managed disks and independent of each other.

New additions to the Azure Archive Storage partner network

Azure Archive Storage is now integrated with new partners including IBM Spectrum Protect Plus, NetApp StorageGRID, Rubrik, and Veritas NetBackup, making the partner network even more comprehensive. Other Azure Archive Storage partners include Archive360, CloudBerry Lab, Cohesity, Commvault, HubStor, Igneous, NetApp, and Tiger Technology. 


IPv6 for Azure Virtual Network is generally available

IPv6 for Azure Virtual Network is now generally available worldwide. IPv6 support within the Azure Virtual Network and to the internet enables you to expand into the growing mobile and IoT markets with Azure-based applications and to address IPv4 depletion in your own corporate networks.

Azure Container Registry support for Private Link now in preview

Azure Container Registry now supports Private Link, a means to limit network traffic of resources within the virtual network.

Azure Edge Zones extends Azure services to the edge

Azure Edge Zones combines the power of Azure, 5G, carriers, and operators around the world to enable new scenarios for developers, customers and partners. These new offerings are coming to preview and will help local telecoms and carrier partners drive new solutions for business and society, including autonomous vehicles, smart cities, virtual reality, and other smart industry use cases. 

Azure Stack

Azure Stack Edge

Azure Stack Edge preview

Microsoft also announced the expansion of Azure Stack Edge preview with the NVIDIA T4 Tensor Core GPU. Azure Stack Edge is a cloud managed appliance that provides processing for fast local analysis and insights to the data. With the addition of an NVIDIA GPU, customers are able to build in the cloud then run at the edge.

Azure Stack Hub

Azure Stack Hub preview

Microsoft, in collaboration with NVIDIA, is announcing that Azure Stack Hub with Azure NC-Series Virtual Machine (VM) support is now in preview. GPU support in Azure Stack Hub unlocks a variety of new solution opportunities. With our Azure Stack Hub hardware partners, customers can choose the appropriate GPU for their workloads to enable Artificial Intelligence, training, inference, and visualization scenarios.

Event Hubs on Azure Stack Hub in preview

We are now announcing the availability of the preview version of Event Hubs on Azure Stack Hub. Event Hubs on Azure Stack Hub will allow you to realize cloud and on-premises scenarios that use streaming and event-based architectures.

Please follow and like us:

Azure management services e System Center: novità di Marzo 2020

Nel mese di marzo ci sono state diverse novità annunciate da parte di Microsoft riguardanti gli Azure management services e System Center. In questo riepilogo, che riportiamo con cadenza mensile, vengono elencati i principali annunci, accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.

Azure Monitor

Integrazione con Azure Security Center

In Azure Security Center (ASC) è stata introdotta l’integrazione con Azure Monitor. Infatti in ASC è stata messa a disposizione la possibilità di esportazione continua verso un workspace di Log Analytics. Grazie a questa funzionalità è possibile configurare alert rules di Azure Monitor a fronte di raccomandazioni ed alert esportati da Security Center. Ne consegue che sarà possibile attivare action group per ottenere scenari di automazione supportati da Azure Monitor.

Disponibilità del servizio Azure Monitor for VMs

In Azure monitor è stato rilasciato il servizio che consente di effettuare il monitor delle macchine virtuali, chiamato Azure Monitor for VMs. Questo servizio analizza i dati di performance e lo stato delle macchine virtuali, effettua il monitor dei processi installati e ne esamina le relative dipendenze.

Il servizio Azure Monitor for VMs è suddiviso secondo tre differenti prospettive:

  • Health: i componenti logici presenti a bordo delle macchine virtuali vengono valutati secondo specifici criteri pre-configurati, generando alert quando si verificano determinate condizioni.
  • Performance: vengono riportati i dati principali di performance, provenienti dal sistema operativo guest.
  • Map: viene generata una mappa con le interconnessioni presenti tra vari componenti che risiedono su sistemi differenti.

Tale soluzione può essere utilizzata su macchine virtuali Windows e Linux, indipendentemente dall’ambiente in cui esse risiedono (Azure, on-premises oppure presso altri cloud provider).

Nuova versione dell’agente per sistemi Windows e Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Windows e per sistemi Linux. In entrambi i casi vengono introdotti diversi miglioramenti e una maggiore stabilità.

SHA-2 signing per l’agente di Log Analytics

L’agente Log Analytics per Windows inizierà a imporre la firma SHA-2 a partire dal 18 maggio 2020. Questa modifica richiede un’azione nel caso si esegua l’agente su una versione del sistema operativo legacy (Windows 7, Windows Server 2008 R2 oppure Windows Server 2008) . I clienti che si trovano in questa condizione devono applicare gli aggiornamenti e le patch più recenti su questi sistemi operativi prima del 18 maggio 2020, altrimenti i loro agenti smetteranno di inviare dati verso i workspace di Log Analytics. Saranno interessati da questo cambiamento i seguenti servizi Azure: Azure Monitor, Azure Automation, Azure Update Management, Azure Change Tracking, Azure Security Center, Azure Sentinel, Windows Defender ATP.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 45 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Azure Backup

Azure Backup Report

In Azure Backup è stata annunciato il rilascio della soluzione Azure Backup Report. Si tratta di uno strumento disponibile nel portale Azure che mette a disposizione dei report per rispondere a molte domande sull’andamento dei backup, tra le quali: “Quali elementi di backup consumano più spazio di archiviazione?”, “Quali macchine hanno avuto costantemente comportamenti anomali di backup?”, “Quali sono le principali cause di errore del processo di backup?”. I report forniscono informazioni in modo trasversale tra tipologie di workload differenti, vaults, subscriptions, regions e tenants. Anche per questo strumento è garantito il supporto di Windows Server 2008, per facilitare le operazioni di migrazione dei sistemi on-premises basati su Windows Server 2008 verso Azure, processo grazie al quale è possibile continuare ad ottenere le patch di security.

Azure Automation

Disponibilità in nuove regions

Azure Automation è ora disponibile in preview nelle region di ” US Gov Arizona”.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Please follow and like us:

Azure IaaS and Azure Stack: announcements and updates (March 2020 – Weeks: 11 and 12)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.


Virtual Network NAT generally available

Azure Virtual Network NAT (Network Address Translation) simplifies outbound-only Internet connectivity for virtual networks. NAT can be configured for one or more subnets of a virtual network and provides on-demand connectivity for virtual machines.

Private Endpoints for Azure Storage are Generally Available

Private Endpoints provide secure connectivity to Azure Storage from a Azure virtual network (VNet). On-premises networks can also securely connect to a storage account using a private endpoint when that network is to a VNet using Express Route or VPN. Private Endpoints for Azure Storage are now generally available in all Azure public regions.

Azure Web Application Firewall integration with Azure Content Delivery Network service in preview

Azure Web Application Firewall service protects your web applications from malicious attacks. In addition to Azure Application Gateway and Azure Front Door service, Web Application Firewall is now natively integrated with Azure Content Delivery Network, protecting Content Delivery Network endpoints from common exploits such as SQL injection and cross site scripting (XSS) attacks.

Private Link for different Azure services is available

Azure Private Link is now generally available (GA) for the below services:

  • Azure Storage
  • Azure Data Lake Storage Gen 2
  • Azure SQL Database
  • Azure Cosmos DB
  • Azure Synapse Analytics (SQL Data Warehouse)
  • Azure Key Vault
  • Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Database for MariaDB
  • Azure Kubernetes Service -> Kubernetes API

In addition, Private Link is now available in preview for the following services:

  • App Service
  • Azure Cognitive Search
  • Event Hub
  • Service Bus
  • Azure Relay
  • Azure Backup
  • Azure Container Registry
  • Event Grid -> Topics
  • Event Grid -> Domains

App Service regional Virtual Network integration

The regional Virtual Network integration feature has now entered general availability (GA) and supports sending all outbound calls into your virtual network. Use features like network NSGs and UDRs against all outbound traffic from your web app.

Azure Shared Disks for clustered applications in preview

Azure Shared Disks is a shared block storage offering, enabling customers to run latency-sensitive workloads without compromising on well-known deployment patterns for fast failover and high availability.  Azure Shared Disks are best suited for clustered databases, parallel file systems, persistent containers, and machine learning applications. Azure Shared Disks provide a consistent experience for applications running on Windows or Linux based clusters today.

ACR built-in audit policies for Azure Policy in preview

Azure Container Registry now supports built-in audit policies for Azure Policy.

Preparing for TLS 1.2 in Microsoft Azure

Microsoft Azure recommends all customers complete migration towards solutions that support transport layer security (TLS) 1.2 and to make sure that TLS 1.2 is used by default.

Azure File Sync agent version 6.x will expire on April 21, 2020

On April 21, 2020, Azure File Sync agent version 6.x will be expired and stop syncing. If you have servers with agent version 6.x, update to a supported agent version (7.x or later).

Azure Storage: Append Blob immutability support is generally available

Store business-critical data objects in a non-erasable and non-modifiable state for a user-specified retention interval using immutable storage for Azure Blob storage. Append blobs allow the addition of new data blocks to the end of an object and are optimized for data append operations required by auditing and logging scenarios.

General availability of NVv4 and HBv2-Series virtual machines

General availability of NVv4 virtual machines in South Central US, East US, and West Europe regions. Additional regions are planned in the coming months. With NVv4, Azure is the first public cloud to offer GPU partitioning built on industry-standard SR-IOV technology. HBv2-series VMs for HPC are now available in the Azure West Europe region.


Please follow and like us:

Azure IaaS and Azure Stack: announcements and updates (March 2020 – Weeks: 09 and 10)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.


New datacenter region in Spain

Microsoft will open a datacenter region in Spain to help accelerate digital transformation of public and private entities of all sizes, helping them to innovate, scale and migrate their businesses to the cloud in a secure way.

Microsoft will retire classic IaaS VMs

Because Azure Resource Manager now has all the infrastructure as a service (IaaS) capabilities of Azure Service Management and new advancements, Microsoft will retire classic IaaS VMs on March 1, 2023. Beginning March 1, 2023, customers who are using classic IaaS VMs will no longer be able to start any classic IaaS VMs using ASM. Any remaining VMs in a running or stopped-allocated state will be moved to a stopped-deallocated state. The following Azure services and functionality will not be impacted by this retirement: Cloud Services, storage accounts not used by classic VMs, and virtual networks (VNets) not used by classic VMs.

Azure Virtual Network service endpoint policies feature 

Azure Virtual Network service endpoint policies enable you to prevent unauthorized access to Azure Storage accounts from your virtual network. It enables you to limit access to only specific whitelisted Azure Storage resources by applying endpoint policies over the service endpoint configuration.

Azure Load Balancer TCP resets on idle timeout is available

Azure Load Balancer now supports sending bidirectional TCP resets on idle timeout for load balancing rules, inbound NAT rules, and outbound rules. This is available in all regions. Use this ability to help applications gain visibility into when Standard Load Balancer terminates connections due to idle timeout. When enabled, Standard Load Balancer will generate a TCP reset packet to both the client and server side of a TCP connection on idle timeout. This allows applications to behave more predictably, as well as to detect the termination of a connection, remove expired connections, and initiate new connections.  CP resets can be enabled on standard load balancers using the Azure portal, Resource Manager templates, CLI, and PowerShell.

Web Application Firewall with Azure Front Door service supports exclusion lists

Web Application Firewall exclusion lists allow you to omit certain request attributes from a rule evaluation. You can use them to fine tune Web Application Firewall policies for your applications.

Azure StorSimple 8000/1200 series will no longer be supported starting December 31, 2022

Microsoft has been expanding the portfolio of Azure Hybrid storage capabilities with new services for data tiering and cloud ingestion, providing more options to customers for storing data in Azure in native formats. In conjunction with this, support for the following StorSimple versions will end December 31, 2022.

Active Directory for authentication on SMB access to Azure File in preview

Azure Files Active Directory (Azure AD) Authentication is in preview. You can use it to mount your Azure Files using Azure AD credentials with the exact same access control experience as on-premises.

HPC-optimized virtual machines are available

Azure HBv2-series Virtual Machines (VMs) are generally available in the South Central US region. HBv2 VMs will also be available in West Europe, East US, West US 2, North Central US, Japan East soon. HBv2 VMs deliver supercomputer-class performance, message passing interface (MPI) scalability, and cost efficiency for a variety of real-world high performance computing (HPC) workloads, such as CFD, explicit finite element analysis, seismic processing, reservoir modeling, rendering, and weather simulation.

A8 – A11 Azure Virtual Machine sizes will be retired on March 1, 2021

Microsoft is retiring A8 – A11 Azure Virtual Machine sizes on March 1, 2021. Starting today, customers with existing A8 – A11 size virtual machines will be able to deploy more of the same size, but new customers will no longer be able to create A8 – A11 VMs. After March 1, 2021, any remaining A8 – A11 size virtual machines remaining in your subscription will be set to a deallocated state. These virtual machines will be stopped and removed from the host. These virtual machines will no longer be billed in the deallocated state.

NDv2-Series VMs are Generally Available

NDv2 GPU VMs for high-end deep learning training and HPC workloads are going GA in East US, South Central US, and West Europe.

NVv4-Series VMs are Generally Available

Microsoft announced general availability of NVv4 Virtual Machines. NVv4 VMs are designed to provide you unprecedented GPU resourcing flexibility. You can now choose VMs with a whole GPU all the way down to 1/8th of a GPU.

Virtual machine scale sets now simpler to manage

Three new capabilities that simplify the overall management of virtual machine scale sets in Azure are now available. New custom scale-in policies for virtual machine scale sets let you specify the order in which virtual machines (VMs) within a scale set are deleted during a scale-in operation based on a set of criteria (such as the newest VM that was added to a scale set).  New instance protection policies enable you to protect one or more individual VMs in a scale set. Two new capabilities are provided:

  • Protect from scale-in  blocks instance deletion during scale-in operations.
  • Protect from scale set actions blocks all scale set operations including upgrades and reimage.

It’s also now possible to receive notifications about instance deletions and to set up a predefined delay timeout for the deletion operation. Notifications are sent through Azure Metadata Service Scheduled Events. Delay timeouts can range between 5 and 15 minutes.


Please follow and like us: