Archivi categoria: Microsoft Azure

Il nuovo metodo per mantenere aggiornate le macchine virtuali Windows in Azure

Le comuni pratiche in materia di sicurezza informatica aziendale prevedono l’applicazione tempestiva degli aggiornamenti software in grado di eliminare le vulnerabilità che consento l’attuazione di specifici attacchi informatici ai sistemi aziendali. Per facilitare l’applicazione delle patch alle macchine virtuali dislocate in Azure, Microsoft ha recentemente annunciato la disponibilità di una nuova funzionalità denominata “Automatic VM guest patching”. In questo articolo vengono riportate le caratteristiche e le peculiarità di questa soluzione che aiuta a semplificare la gestione degli aggiornamenti e a raggiungere la conformità in ambito sicurezza.

Le principali caratteristiche di Automatic VM guest patching sono le seguenti:

  • Vengono automaticamente scaricate ed applicate sulle macchine virtuali in Azure le patch classificate come critiche oppure di sicurezza.
  • Le patch vengono applicate durante le ore non di punta considerando il fuso orario impostato sulla macchina virtuale.
  • L’orchestrazione delle patch è gestita dalla piattaforma Azure e le patch vengono applicate tenendo in considerazione i principi della disponibilità nativi di Azure.
  • Lo stato di salute della macchina virtuale, determinata tramite segnali di health della piattaforma Azure, viene monitorato per rilevare eventuali errori nell’applicazione delle patch.
  • Funziona per tutte le macchine virtuali Windows, indipendentemente dal size configurato.

Modalità di installazione degli aggiornamenti sulle macchine virtuali Windows

Le macchine virtuali Windows di Azure, grazie all’introduzione di questa nuova funzionalità, supportano tre differenti modalità per l’installazione degli aggiornamenti:

  • Automatico gestito dal sistema operativo (Automatic Updates). Si tratta del metodo di default impostato per le macchine virtuali Windows.
  • Automatico gestito dalla piattaforma Azure. Si tratta della modalità recentemente introdotta e descritta in questo articolo. Questa modalità prevede la disabilitazione degli aggiornamenti automatici a bordo della macchina virtuale. Abilitando questa modalità nella macchina virtuale sarà installata l’extension CPlat.Core.WindowsPatchExtension, totalmente gestita dalla piattaforma Azure.
  • Manuale. Questa modalità, configurata quando vengono adottate soluzioni differenti per il patching dei sistemi, prevede la disabilitazione degli Automatic Updates.

Figura 1 – Scelte per l’installazione delle patch in fase di creazione di una nuova VM

Requisiti

L’abilitazione della funzionalità Automatic VM guest patching richiede che siano rispettati i seguenti requisiti sulla macchina virtuale:

  • Deve essere installato l’Azure VM Agent.
  • Il servizio Windows Update deve essere in esecuzione.
  • Devono essere raggiungibili gli endpoint di Windows Update oppure del server Windows Server Update Services (WSUS).
  • Le Compute API devono essere della versione 2020-06-01 oppure superiore.

Come funziona il meccanismo di aggiornamento automatico?

Abilitando la funzionalità Automatic VM guest patching vengono scaricate e applicate automaticamente sul sistema esclusivamente le patch classificate come critiche e di sicurezza. Questo processo di aggiornamento periodico inizia automaticamente ogni mese quando vengono rilasciate nuove patch tramite Windows Update. Il meccanismo di scansione garantisce che tutte le patch mancanti sul sistema vengano scoperte il prima possibile, mentre l’installazione degli aggiornamenti può avvenire in qualsiasi giorno durante le ore non di punta, ed avviene entro 30 giorni dal rilascio mensile degli aggiornamenti da parte di Microsoft. Questo aspetto implica che non si ha un controllo completo sul momento dell’installazione degli aggiornamenti. Il processo di aggiornamento prevede anche il riavvio della macchina virtuali qualora sia richiesto dall’applicazione delle patch.

Il processo di installazione della patch è orchestrato a livello globale da Azure per tutte le macchine virtuali sulle quali è abilitata la funzionalità Automatic VM guest patching e vengono contemplati i principi di disponibilità forniti da Azure.

Per un gruppo di macchine virtuali coinvolte dal processo di aggiornamento, la piattaforma Azure orchestrerà gli aggiornamenti tenendo in considerazione i seguenti principi.

Distribuzione trasversale degli aggiornamenti sulle regions:

  • Per evitare errori a livello globale nella distribuzione degli aggiornamenti, saranno rilasciati in modo graduale sulle differenti region.
  • Una fase di aggiornamento può interessare una o più region e si passa alle fasi successive solo se gli aggiornamenti si completano con esito positivo.
  • Le geo-paired regions non vengono mai aggiornate nella stessa fase per evitare la contemporaneità nell’installazione degli aggiornamenti.

Distribuzione degli aggiornamenti all’interno di una region:

  • Le VMs che risiedono in differenti Availability Zones non vengono aggiornate contemporaneamente.
  • Le VMs che non fanno parte di un Availability Zones vengono raggruppate cercando di evitare che gli aggiornamenti siano distribuiti simultaneamente su tutte le VMs appartenenti ad una specifica subscription.

Distribuzione degli aggiornamenti all’interno di una Availability Zone:

  • Le VMs appartenenti allo stesso Availability Zones non vengono aggiornate contemporaneamente e gli aggiornamenti saranno installati rispettando il principio degli Update Domain.

Conclusioni

Questo nuovo metodo fornito dalla piattaforma Azure permette di mantenere aggiornati i sistemi Windows in modo semplice, diretto e con un effort amministrativo molto ridotto. Spesso però si ha l’esigenza di avere un controllo molto maggiore per quanto riguarda la distribuzione degli aggiornamenti sui sistemi e in ambito Azure è possibile adottare la soluzione alternativa e più completa denominata Update Management. Questa soluzione, rispetto alla funzionalità Automatic VM guest patching, consente di avere una visibilità totale sulla compliance degli update sia per sistemi Windows che Linux e permette di schedulare i deployment per l’installazione degli update definendo delle specifiche finestre di manutenzione.

Azure IaaS and Azure Stack: announcements and updates (September 2020 – Weeks: 37 and 38)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Virtual Machines DCsv2-series are available in Southeast Asia

Confidential computing DCsv2-series virtual machines (VMs) are available in Southeast Asia in multiple availability zones.

Storage

Azure Blob storage object replication

Object replication is a new capability for block blobs that lets you replicate your data from your blob container in one storage account to another anywhere in Azure.

Object replication unblocks a new set of common replication scenarios:

  • Minimize latency: users consume the data locally rather than issuing cross-region read requests.
  • Increase efficiency: compute clusters process the same set of objects locally in different regions.
  • Optimize data distribution: data consolidated in a single location for processing/analytics and then distribute only resulting dashboards to your offices worldwide.
  • Minimize cost: tier down your data to Archive upon replication completion using lifecycle management policies to minimize the cost.

Change feed support is generally available for Azure Blob Storage

Change feed provides a guaranteed, ordered, durable, read-only log of all the creation, modification, and deletion change events that occur to the blobs in your storage account. Change feed is the ideal solution for bulk handling of large volumes of blob changes in your storage account, as opposed to periodically listing and manually comparing for changes. It enables cost-efficient recording and processing by providing programmatic access such that event-driven applications can simply consume the change feed log and process change events from the last checkpoint.

Azure Blob storage lifecycle management now supports append blobs

Azure Blob storage lifecycle management offers a rich, rule-based policy for Azure storage accounts. You can use the policy to transition your data to the appropriate access tiers or expire at the end of the data’s lifecycle. Azure Blob storage lifecycle management now supports expiration of append blobs.

Azure Blob access time tracking and access time-based lifecycle management (preview)

Once access time tracking is enabled, each blob has a new property called last access time which is updated when the blob is read. Azure Blob lifecycle management supports using last access time as a filter to transition data between access tiers and manage data retention. You can minimize your storage cost automatically by setting up a policy based on last access time to:

  • Transition your data from a hotter access tier to a cooler access tier (hot to cool, cool to archive, or hot to archive) if there is no access for a period.
  • Transition your data from the cool tier to the hot tier immediately if there is an access on the data.
  • Delete your data if there is no access for an extended period.

NFS 4.1 support for Azure Files (preview)

NFS file system is very popular choice for Linux applications and end users for their shared storage needs. Having a fully managed NFS file system in Azure will enable customers to easily lift-and-shift their enterprise workloads and leverage the elasticity, scale and cost savings of cloud. Azure Files is built on Azure Storage platform which by nature is highly durable, highly available and highly secure. It is backed by same Azure Storage SLA. NFS on Azure Files is being offered first on the highly performant SSD backed Premium Files tier enabling customers to run their most demanding enterprise applications. The NFS file system can grow and shrink to meet your scale and performance requirement from 100 GiB to 100 TiB per volume. Azure Files NFS can be accessed from a variety of clients like Azure VM Linux distros like Ubuntu, RHEL, SUSE etc., Azure Kubernetes Service(AKS), Azure Container Instances (ACI), Azure VMWare Service (AVS), VMSS, etc. NFS has a broad range of use cases. 

Azure NetApp Files: cross region replication (preview)

With this new disaster recovery capability, you can replicate your Azure NetApp Files volumes from one Azure region to another in a fast and cost-effective way, protecting your data from unforeseeable regional failures.

La nuova soluzione Microsoft per scenari hyper-converged

Molto frequentemente alla forte tendenza di spostare workloads nel cloud pubblico per ottenere benefici in termini di costi, efficienza ed innovazione, si affianca la necessità di mantenere on-premises specifici ambienti applicativi. Le ragioni possono essere differenti e spaziano da motivi di conformità, esigenze specifiche in termini di latenza oppure per determinate ragioni aziendali. Microsoft, consapevole di queste esigenze, ha recentemente annunciato il rilascio di una nuova versione di Azure Stack HCI, la soluzione che permette di realizzare una infrastruttura hyper-converged (HCI) per l’esecuzione di macchine virtuali in ambiente on-premises e che prevede una facile e strategica connessione ai servizi di Azure. In questo articolo vengono riportate le principali caratteristiche che saranno introdotte nella nuova versione di Azure Stack HCI.

Che cos’è Azure Stack HCI?

Con l’arrivo di Windows Server 2019, Microsoft ha introdotto la soluzione Azure Stack HCI, che consente l’esecuzione di macchine virtuali ed un’ampia connessione a differenti servizi offerti da Azure.

Si tratta di una infrastruttura hyper-converged (HCI), dove vengono rimossi diversi componenti hardware, sostituti dal software, in grado di unire i layer di elaborazione, storage e rete in un’unica soluzione. In questo modo si ha un passaggio da una tradizionale infrastruttura “three tier”, composta da switch di rete, appliance, sistemi fisici con a bordo hypervisor, storage fabric e SAN, verso infrastrutture hyper-converged (HCI).

Figura 1 – “Three Tier” Infrastructure vs Hyper-Converged Infrastructure (HCI)

Azure Stack HCI appartiene alla famiglia Azure Stack, che comprende una gamma completa e flessibile di soluzioni per rispondere alle diverse esigenze per l’implementazione di infrastrutture. Il portfolio Azure Stack spazia da Azure Stack Hub, che è un’estensione di Azure in grado di portare l’agilità e l’innovazione del cloud computing nell’ambiente on-premises, ad Azure Stack Edge, una appliance gestita di Azure in grado di portare la potenza computazionale, lo storage e l’intelligenza del cloud in un edge remoto del cliente. Per maggiori informazioni sul portfolio Azure Stack è possibile consultare questo articolo.

Figura 2 – Portfolio Azure Stack

La nuova soluzione Azure Stack HCI, distribuita come servizio hybrid di Azure viene denominata Azure Stack HCI versione 20H2 e comprende importanti novità.

Figura 3 – Panoramica dei componenti Azure Stack HCI versione 20H2

Stack completo per una infrastruttura Hyper-Converged

Il sistema operativo della nuova soluzione Azure Stack HCI si basa sui componenti principali di Windows Server ed è stato appositamente progettato ed ottimizzato per fornire una potente piattaforma Hyper-converged. La nuova versione di Azure Stack HCI adotta le tecnologie ormai consolidate di Windows Server come Hyper-V, software-defined networking e Storages Spaces Direct, ed aggiunge nuove funzionalità specifiche. In seguito, si riportano gli ambiti di innovazione di questa soluzione.

Sistema operativo dedicato e specifico per la soluzione

Il sistema operativo della nuova soluzione Azure Stack HCI è un sistema operativo specifico con una composizione semplificata e componenti più recenti rispetto a Windows Server 2019.

In questo sistema operativo non sono inclusi i ruoli non necessari alla soluzione come ad esempio il server di stampa, il ruolo DNS, il server DHCP, i servizi di dominio Active Directory, i servizi relativi ai certificati ed ai servizi federati.

Inoltre, è presente il più recente hypervisor utilizzato anche in ambiente Azure, con tecnologie storage e di rete software-defined ottimizzate per la virtualizzazione.

L’interfaccia utente locale è minima ed è progettato per essere gestito da remoto.

Figura 4 – Interfaccia del SO di Azure Stack HCI

Funzionalità di disaster recovery e failover delle macchine virtuali intrinseche nella soluzione

Nella nuova versione di Azure Stack HCI viene inclusa la possibilità di creare stretched cluster per estendere un cluster Azure Stack HCI in due location differenti (stanze, edifici o anche due città). Questa funzionalità fornisce una replica dello storage (sincrona oppure asincrona) e contempla la crittografia, la resilienza locale del sito e il failover automatico delle macchine virtuali.

Figura 5 – Stretched cluster in una architettura hyper-converged di Azure Stack HCI

Nella fase di creazione di un nuovo cluster è possibile selezionare se si tratta di una implementazione in un single site oppure stretched su due site differenti.

Figura 6 – Opzioni nella creazione di un cluster Azure Stack HCI

Nel caso sia presente uno stretched cluster, in fase di creazione di un volume è possibile configurare la replica dello storage tra i due site.

Figura 7 – Opzioni di replica di un volume in presenza di stretched cluster

Ottimizzato il processo di Storage Spaces resync

In Azure Stack HCI versione 20H2 è stato completamente reingegnerizzato il meccanismo di Storage Spaces Resync, utilizzato per la riparazione degli spazi di archiviazione, al punto da ridurre in modo considerevole la durata del processo (fino a 4-5 volte). Questo miglioramento permette di velocizzare il riavvio dei vari sistemi in seguito all’applicazione degli aggiornamenti.

Figura 8 – Confronto dei tempi per l’applicazione mensile delle patch del sistema operativo

Aggiornamenti di tutto lo stack contemplato nella soluzione (full-stack updates)

Al fine di ridurre la complessità ed i costi operativi dati dal processo di aggiornamento dell’intera soluzione, nella nuova versione di Azure Stack HCI viene contemplato un processo che prevede l’aggiornamento full-stack (firmware / driver insieme al sistema operativo) per determinati partner selezionati.

Figura 9 – Solution updates di una soluzione Azure Stack HCI marchiata Dell EMC

Servizio ibrido di Azure

Questa nuova versione di Azure Stack HCI viene fornita come servizio di Azure, applicando un modello di licenza basato su subscription e offrendo funzionalità ibride integrate.

Per ampliare le funzionalità della soluzione è possibile adottare soluzioni di Azure per effettuare il monitor, attivare scenari di disaster recovery, gestire la protezione dei backup, nonché una visualizzazione centralizzata delle varie implementazioni di Azure Stack HCI direttamente dal portale Azure. In seguito, vengono riportarti i dettagli relativi a questo sevizio ibrido di Azure.

Integrazione nativa in Azure

Il nuovo Azure Stack HCI si integra in modo nativo con i servizi Azure e con Azure Resource Manager (ARM). Per questa integrazione non è richiesto alcun agente, ma Azure Arc è integrato direttamente nel sistema operativo. Questa permette di visualizzare, direttamente dal portale Azure, il cluster Azure Stack HCI presente on-premises esattamente come una risorsa di Azure.

Figura 10 – Schema di integrazione di Azure Stack HCI in Azure

Grazie all’integrazione con Azure Resource Manager è possibile sfruttare i seguenti vantaggi dati della gestione basata su Azure:

  • Adozione dei costrutti standard basati su Azure Resource Manager (ARM)
  • Classificazione dei cluster con i Tags
  • Organizzazione dei cluster in Resource Groups
  • Visualizzazione di tutti i cluster di Azure Stack HCI in un’unica vista centralizzata
  • Gestione degli accessi tramite Azure Identity Access Management (IAM)

Billing basato su un modello a subscription

Nonostante sia in esecuzione on-premises, Azure Stack HCI prevede una fatturazione basata su subscription Azure, esattamente come per qualsiasi altro servizio cloud di Azure. Il modello è semplice e prevede un costo di 10$ / core / mese, che dipende dai core del processore fisico. Nel nuovo modello di prezzo non esiste un minimo o un massimo sul numero di core licenziati e tanto meno nella durata di attivazione.

Figura 11 – Nuovo modello di licensing applicato per Azure Stack HCI

Team di supporto Azure dedicato

Azure Stack HCI diventa a tutti gli effetti una soluzione Azure, pertanto sarà coperta dal supporto Azure con le seguenti caratteristiche:

  • Si potrà richiedere facilmente supporto tecnico direttamente dal portale Azure.
  • Il supporto sarà fornito da un nuovo team di esperti dedicato a supportare la nuova soluzione Azure Stack HCI.
  • Sarà possibile scegliere tra diversi piani di supporto, a seconda delle esigenze.

Per maggiori informazioni è possibile accedere a questa pagina.

Familiarità nella gestione e nel funzionamento

La soluzione Azure Stack HCI può essere attivata su differenti modelli hardware a scelta e per essere amministrata non richiede strumenti software specifici.

Scelta e personalizzazione dell’hardware

Sono diversi i fornitori hardware che offrono soluzioni idonee per eseguire Azure Stack HCI e possono essere consultate accedendo a questo indirizzo. La scelta è ampia e ricade su oltre 200 soluzioni di oltre 20 partner differenti. Azure Stack HCI richiede hardware appositamente testato e validato dai vari vendor.

Le soluzioni Azure Stack HCI comprese nel catalog sono composte da:

  • Un sistema server
  • Un host bus adapter
  • Una famiglia di schede di rete

Inoltre, è possibile personalizzare la soluzione hardware in base alle proprie esigenze, andando a configurare il processore, la memoria, lo storage e le caratteristiche delle schede di rete, sempre rispettando le matrici di compatibilità del fornitore.

Figura 12 – Composizione hardware per soluzioni Azure Stack HCI

Strumenti di gestione ed integrazione

La gestione amministrativa di Azure Stack HCI non richiede software specifici, ma è possibile adottare gli strumenti di gestione esistenti come Admin Center, PowerShell, System Center Virtual Machine Manager e persino strumenti di terze parti.

Utilizzando Windows Admin Center è possibile installare e configurare nuove architetture Azure Stack HCI e attivare sistemi virtuali. Inoltre, grazie ad una integrazione nativa di Windows Admin Center con Azure è possibile estendere le funzionalità con differenti servizi Azure, tra i quali:

  • Azure Site Recovery per implementare scenari di disaster recovery.
  • Azure Monitor per tenere sotto controllo, in modo centralizzato, quello che avviene a livello applicativo, sulla rete e nella propria infrastruttura hyper-converged, con l’esecuzione di analisi avanzate tramite l’intelligenza artificiale.
  • Azure Backup per una protezione offsite della propria infrastruttura.
  • Azure Security Center per il monitoraggio e il rilevamento sulle macchine virtuali delle minacce di security
  • Azure Update Management per fare un assessment degli aggiornamenti mancanti e procedere con la relativa distribuzione, sia per macchine Windows che per sistemi Linux, indipendentemente dalla loro location, Azure oppure on-premises.
  • Cloud Witness per utilizzare lo storage account di Azure come quorum del cluster.

Conclusioni

Le novità introdotte nella nuova soluzione hyper-converged di Microsoft sono molto interessanti e riguardano diversi ambiti. Azure Stack HCI si integra perfettamente all’ambiente on-premises esistente ed offre un importante valore aggiunto: la possibilità di connettere Azure Stack HCI con i servizi Azure per ottenere una soluzione hyper-converged ibrida. Questo aspetto in particolare la differenzia fortemente da altri competitor che offrono soluzioni in questo ambito. Grazie ai cambiamenti introdotti da questa nuova versione è possibile ottenere una proposizione per scenari hyper-converged completa e maggiormente integrata e performante.

Azure IaaS and Azure Stack: announcements and updates (September 2020 – Weeks: 35 and 36)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Dedicated Hosts now support new Azure Virtual Machines series

Azure Dedicated Host provides a single-tenant physical server to host your Azure Virtual Machines for Windows and Linux. The server capacity is not shared with other customers. Address specific organizational compliance requirements or plan your maintenance window by deploying your workloads on Azure Dedicated Hosts. You can now deploy Dsv4, Ddsv4, Esv4, and Edsv4 Azure Virtual Machines on Dedicated Hosts. New Azure Dedicated Host SKUs featuring new hardware types for the Dsv3 and Esv3 Azure VM series are now generally available as well. With this update, we continue to expand the range of general purpose and memory intensive workloads that you can run on Azure Dedicated Hosts while providing greater performance.

New Azure VMs for general purpose and memory intensive workloads

The new D v4 and E v4 series Azure Virtual Machines, now generally available, are based on the Intel Xeon Platinum 8272CL custom processor, which can achieve up to 3.4Ghz all core turbo frequency. These new Azure Virtual Machines do not provide any temporary storage. If you require temporary storage select the latest Dd v4 and Ed v4 Azure virtual machines, which are also generally available.

  • The D v4 / Ds v4 virtual machine sizes offer a combination of vCPUs and memory able to meet the requirements associated with most general-purpose workloads. You can attach Standard SSDs and Standard HDDs disk storage to the D v4 virtual machines. If you prefer to use Premium SSD or Ultra Disk storage, please select the Ds v4 virtual machines.
  • The E v4 / Es v4 virtual machines feature up to 504 GiB of RAM and are ideal for various memory-intensive enterprise applications. You can attach Standard SSDs and Standard HDDs disk storage to the E v4 VMs. If you prefer to use Premium SSD or Ultra Disk storage, please select the Es v4 virtual machines.

Automated deployment of Always On availability groups through the Azure portal (Public preview)

A new, automated way to deploy Always On availability groups is now in preview for SQL Server on Azure Virtual Machines (VMs) using the SQL VM resource provider. The VM resource provider simplifies configuring Always On availability groups by handling infrastructure and network configuration details. It offers a reliable deployment method with the correct resource dependency settings and internal re-try policies. Deploying automated Always On availability groups with SQL VM resource provider today will improve availability for SQL Server on Azure Virtual Machines. Learn more about Always On availability group deployments.

Storage

AzCopy: new version available

AzCopy v10.6 has released with support for:

  • Sync command now includes access control lists (ACLs) between supported resources (e.g. Windows and Azure Files) using persist-smb-permissions flag
  • Sync also includes SMB properties (Created Time, Last Write Time, and attributes such as Read Only) between supported resources (e.g. Windows and Azure Files) using the persist-smb-info flag
  • Support for higher block & blob size.  Blob block size up to 4,000 MiB supported.  This provides block blob sizes up to 190.7 TiB (4,000 MiB x 50,000 blocks)
  • Support for Blob Versioning using list-of-versions flag for both download and delete operations

Azure Data Lake Storage Gen2: access control list recursive update (public preview)

The ability to recursively propagate access control list (ACL) changes from a parent directory to its existing child items for Azure Data Lake Storage (ADLS) Gen2 is now available in public preview. This public preview is available globally in all Azure regions, through PowerShell, .NET SDK, and Python SDK.

Azure Blob versioning is now general available

Azure storage strives to protect your business critical data from any accident or attack. To support that goal, Microsoft is announcing the general availability of Azure Blob versioning. Azure Blob Versioning automatically maintains previous versions of an object and identifies them with version IDs. You can list both the current blob and previous versions using version ID timestamps. You can also access and restore previous versions as the most recent version of your data if it was erroneously modified or deleted by an application or other users.

Networking

Azure DNS: Introducing automatic child zone delegation

A new update released to general availability in all clouds that makes it easier for you to create Child Zones which are easily attached to Parent Zones. Prior to this release, when a customer was creating a new child zone, they would add their resource records to the newly created zone but often missed the step adding the complicated nameserver records back to the parent zone, causing name resolution failure when the customer would try to test the newly created zone.  This update creates an option for you to identify their new zone as a child (please see illustration) of an existing zone in Azure DNS. When this selection has been made, the name server records for the child zone will be automatically populated in the parent, saving you 4 additional steps. For a quick explanation on how to create child zones, please check out our tutorial guide.

Upcoming changes to Standard Public IPs and Standard Load Balancers

With Network API version 2020-08-01, zone behavior for Standard SKU resources (Azure Load Balancer and Public IP addresses) will be updated such that:

  • when no zone is specified, a non-zonal resource is created
  • when a single zone is specified, a zonal resource is created 
  • when multiple zones are specified in a region with Availability Zones, a zone-redundant resource is created

A zone-redundant resource can only be created in regions where Availability Zones are supported

Azure Stack

Azure Stack Hub

Stream Analytics can be run on Azure Stack Hub

Azure Stream Analytics now can be run on Azure Stack Hub as an IoT Edge module. Configurations have been added to the IoT Edge module which allows it to interact with blob storage, Event Hubs, and IoT Hubs running in an Azure Stack Hub subscription. Customers can build truly hybrid architectures for stream processing in your own private, autonomous cloud, which can be connected or disconnected with cloud-native apps using consistent Azure services on-premises.

Azure Management services: le novità di Agosto 2020

Microsoft rilascia costantemente novità riguardanti gli Azure management services. La nostra community pubblica questo riepilogo con cadenza mensile per fornire una panoramica complessiva delle principali novità rilasciate nell’ultimo mese. Questo consente di rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuova versione dell’agente per sistemi Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Linux. Oltre alla risoluzione di diverse problematiche vengono introdotte alcune novità, tra le principali troviamo:

  • Supporto per Red Hat Enterprise Linux 8
  • Supporto per Azure Arc for servers
  • FIPS compliance
  • Limitazione dell’ingestion per evitare il degrado del servizio in caso di volume di dati estremamente elevati

Azure Monitor for containers: supporto per la visualizzazione delle risorse di ambienti Kubernetes (preview)

Grazie al monitor delle risorse Kubernetes dal portale Azure risulta ora possibile utilizzare la navigazione “point and click” per ottenere i dettagli in tempo reale dei carichi di lavoro ospitati nell’ambiente AKS. L’anteprima pubblica di questa funzionalità include il supporto per differenti di risorse (deployments, pods, e replica sets) e supporta le seguenti funzionalità:

  • Visualizzazione dei carichi di lavoro in esecuzione sul cluster, inclusa la possibilità di filtrare le risorse in base ai namespace
  • Trovare il nodo su cui è in esecuzione un’applicazione e il relativo indirizzo IP del pod
  • Visualizza i pod nel replica set, lo stato di ciascun pod e le immagini associate a ciascuno di essi
  • Eseguire il drill down per i singoli deployments per visualizzarne lo stato in tempo reale e i relativi dettagli
  • Eseguire le modifiche al volo su YAML per convalidare gli scenari di devtest

Audit Logs per le query di Azure Monitor (preview)

Il team di Azure Monitor ha annunciato in anteprima pubblica una delle funzionalità più richieste: la possibilità di controllare i log delle query di Azure Monitor. Quando è abilitato, tramite il meccanismo di diagnostica di Azure, è possibile raccogliere dati di telemetria su chi ha eseguito una query, quando è stata eseguita, quale strumento è stato usato per eseguirla, il relativo testo e le statistiche sulle prestazioni relative all’esecuzione della stessa. Questa telemetria, come qualsiasi altra telemetria basata su Azure Diagnostic, può essere inviata a un blob di archiviazione di Azure, ad Event Hub oppure ad Azure Monitor.

Nuovo blade dedicato per System Center

System Center ora dispone di un proprio blade dedicato in Log Analytics. Per visualizzare il nuovo pannello di System Center, è necessario accedere al workspace di Log Analytics e selezionare “System Center” dalla barra di navigazione a sinistra, nel gruppo “Workspace Data Sources”. Il nuovo blade di System Center consente di visualizzare e gestire le istanze SCOM connesse al proprio workspace di Log Analytics.

Nuovi limiti per l’ingestion dei dati in Log Analytics

Azure Monitor è un servizio su larga scala progettato per servire migliaia di clienti che inviano volumi elevati di dati ogni mese a un ritmo crescente. Come per qualsiasi piattaforma multi-tenancy, Microsoft si è resa conto che è necessario porre dei limiti per proteggere i clienti da improvvisi picchi di ingestion che possono influenzare i clienti che condividono l’ambiente e le risorse. Fino ad ora esisteva solamente un limite di velocità sul volume di importazione per i dati delle risorse Azure provenienti dai Diagnostic Settings. Ora è stato aggiunto il limite anche ad altre origini dati di Log Analytics tra le quali: Diagnostic Settings, agenti e API di raccolta dati. Il limite viene applicato ai dati compressi approssimati a 6 GB / min, dove questo limite può variare in base alle tipologie di dato e del suo rapporto di compressione. Questo limite per la velocità del volume di importazione in Log Analytics è possibile aumentarlo aprendo una richiesta di supporto.

Log Analytics REST APIs: rilasciata una nuova versione

La nuova versione (2020-08-01) delle REST API di Log Analytics per il provider di risorse OperationalInsights è stata rilasciata. Questa versione supporta nuove funzionalità come le customer-managed keys (CMK), Bring Your Own Storage (BYOS) e consolida le funzionalità di tutte le versioni precedenti.

Govern

Azure Policy

Azure Policy Compliance Scan Action per Workflows GitHub (preview)

Sono state rilasciate in preview le Azure Policy Compliance Scan Action per Workflows GitHub. Le nuove action GitHub renderanno più semplice l’attivazione dell’analisi di conformità rispetto alle Azure Policy su subscription, resource group o altre risorse e automatizzeranno i passaggi successivi nel workflow di GitHub in base allo stato di conformità delle risorse.

Protect

Azure Backup

Backup selettivo dei dischi per le macchine virtuali in Azure (preview)

Azure Backup ha introdotto la possibilità di effettuare il backup dei dischi delle macchine virtuali in modo selettivo. Questa funzionalità introduce principalmente i seguenti vantaggi:

  • Ottimizzazione dei costi
  • Operazioni di backup e ripristino più rapide

Configurazione dei backup di Azure file shares

Azure Backup ha semplificato l’esperienza di configurazione del backup per le Azure file shares, fornendo la possibilità di abilitare il backup direttamente dal pannello di gestione della condivisione file.

La configurazione del backup di Azure file shares prevede ora solamente i seguenti due passaggi:

  • Creazione o scelta del recovery services vault
  • Creazione o scelta della policy di backup

Miglioramenti nella protezione delle macchine virtuali

Azure Backup introduce i seguenti miglioramenti nella protezione delle VMs:

  • Viene introdotta la possibilità di effettuare il ripristino dei dischi unmanaged di una VM trasformandoli in dischi managed durante la fase di restore.
  • Supporta il backup e il ripristino dei Virtual Machine Scale Set nella modalità di orchestrazione descritta in questo documento.
  • Consente il replace dei dischi come opzione per le VMs che hanno assegnate Managed Service Identities (MSI).

Encryption dei backup utilizzando customer managed keys (preview)

Azure Backup introduce la possibilità, quando si esegue il backup delle macchine virtuali di Azure, di crittografare i dati usando chiavi di propria proprietà e gestite. Azure Backup consente infatti di usare le chiavi RSA archiviate negli Azure Key Vault per crittografare i backup. I dati saranno quindi protetti utilizzando una data encryption key (DEK) basata su AES 256, che a sua volta è protetta utilizzando le chiavi archiviate nei Key Vault. Questo fornisce il pieno controllo sulla protezione dei dati e sulle chiavi che vengono utilizzate per la crittografia.

SAP HANA backup per VM Red Hat Enterprise Linux

In Azure Backup è stata rilasciata la possibilità di proteggere i database SAP HANA su macchine virtuali Red Hat Enterprise Linux (RHEL). Tale funzionalità consente di avere in modo integrato e senza dover prevedere una infrastruttura di backup specifica la protezione dei database SAP HANA su RHEL, uno dei sistemi operativi più comunemente utilizzati in questi scenari.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 49 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Migrate

Azure Migrate

Assessment dei server fisici e dei server in AWS e GCP

In Azure Migrate è stato introdotto il supporto per effettuare l’assessment dei server fisici e dei sistemi che risiedono in Amazon Web Services (AWS), Google Cloud Platform (GCP) oppure presso qualsiasi cloud. Grazie a questa evoluzione nella soluzione risulta possibile effettuare l’assessment di qualsiasi macchina in cloud oppure on-premise anche quando non è possibile accedere all’hypervisor. L’assessment è in grado di fornire le seguenti informazioni:

  • Analisi dell’idoneità in ambiente Azure
  • Pianificazione dei costi di migrazione
  • Ridimensionamento basato sulle prestazioni
  • Supporto per l’analisi delle dipendenze applicative (basata su agenti)

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (August 2020 – Weeks: 33 and 34)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

New GPU NCas T4 v3 VMs (preview)

The NCas T4 v3 Series virtual machine is a new addition to the Azure GPU family specifically designed for the AI and machine learning workloads. The VMs feature 4 NVIDIA T4 GPUs with 16 GB of memory each, up to 64 non-multithreaded AMD EPYC 7V12(Rome) processor cores, and 448 GiB of system memory. These virtual machines are ideal to run ML and AI workloads utilizing Cuda, TensorFlow, Pytorch, Caffe, and other Frameworks or graphics workloads using NVIDIA GRID technology. 

Azure Virtual Machines DCsv2-series in West US 2

Confidential computing DCsv2-series virtual machines (VMs) are now available in two availability zones in West US 2.

Storage

Azure Blob storage: Network File System 3.0 protocol support region expansion (preview)

Azure Blob storage is the only storage platform that supports NFS 3.0 protocol over object storage natively (no gateway or data copying required), with crucial object storage economics. NFS 3.0 support to block blob storage accounts with premium performance public preview regions now include: US East, US Central, US West Central, Australia Southeast, North Europe, UK West, Korea Central, Korea South, and Canada Central. 

Azure Blob storage: Soft Delete for Containers (preview)

Soft delete for containers expands upon Azure Blob Storage’s existing capabilities such as soft delete for blobsaccount delete locking, and immutable blobs, making our data protection and restore capabilities even better. When container soft delete is enabled for a storage account, any deleted container and their contents are retained in Azure Storage for the period that you specify. During the retention period, you can restore previously deleted containers and any blobs within them. Container soft delete is available in preview in the following regions: France Central, Canada East, and Canada Central. There is no additional charge to enable container soft delete. Data in soft deleted containers is billed at the same rate as active data.

Azure Ultra Disk: generally available in more regions and Availability Zones

Azure Ultra Disks offer high throughput, high IOPS, and consistent low latency disk storage for Azure Virtual Machines (VMs). It is now available in Australia East, East Asia, Brazil South, and Canada Central. Moreover, Azure Ultra Disk support is now expanded to the 3 Availability Zones in US East 2 and Japan East.

Azure Data Box Disk is now available in South Africa and China

Data Box Disk is an SSD-disk-based option for offline data transfer to Azure. It’s ideal for a recurring or one-time data migration of up to 40 TB to Azure and is especially well-suited for data migration from multiple remote or branch offices. Azure Data Box Disk is now Generally Available in South Africa and China. This is in addition to the regions where Data Box Disk is now generally available

Cloud Governance: come controllare i costi del cloud tramite i budget

Nel cloud pubblico la semplicità di delega e il modello di costi legato al consumo espone le aziende ad un rischio di perdita di controllo sugli stessi. Avere sempre una supervisione sulle spese da sostenere per le risorse create in ambiente cloud diventa quindi un aspetto di fondamentale importanza per attuare un processo di governance efficace. La soluzione Azure Cost Management offre un set completo di funzionalità per la gestione dei costi del cloud, tra le quali la possibilità di impostare budget ed avvisi di spesa. In questo articolo viene riportato come utilizzare al meglio i budget per controllare e gestire in modo proattivo i costi dei servizi cloud.

I budget sono delle soglie di spesa che è possibile impostare nella soluzione Azure Cost Management + Billing, in grado di generare delle notifiche quando vengono raggiunte. I dati sui costi e sull’utilizzo delle risorse sono generalmente disponibili entro 20 ore ed i budget vengono valutati rispetto a questi costi ogni 12-14 ore.

La procedura per impostare i budget dal portale Azure prevede i seguenti step.

Figura 1 – Aggiunta di un budget da Cost Management

Figura 2 – Parametri richiesti in fase di creazione del budget

Durante la fase di configurazione del budget è necessario per prima cosa assegnare lo scope. A seconda della tipologia di account Azure è possibile selezionare i seguenti scope:

  • Azure role-based access control (Azure RBAC)
    • Management groups
    • Subscription
  • Enterprise Agreement
    • Billing account
    • Department
    • Enrollment account
  • Individual agreements
    • Billing account
  • Microsoft Customer Agreement
    • Billing account
    • Billing profile
    • Invoice section
    • Customer
  • AWS scopes
    • External account
    • External subscription

Per maggiori informazioni in merito all’utilizzo degli scope è possibile consultare questo documento Microsoft.

Per creare un budget allineato al periodo di fatturazione si ha la possibilità di selezionare un periodo di reset relativo al mese, al trimestre oppure all’anno di fatturazione. Se invece si intende creare un budget allineato al mese di calendario è necessario selezionare un periodo di reset mensile, trimestrale o annuale.

Successivamente, è possibile impostare la data di scadenza a partire dalla quale il budget diventa non più valido e ne viene interrotta la relativa valutazione dei costi.

In base ai campi scelti in fase di definizione del budget, viene mostrato un grafico per fornire un aiuto nell’impostare la soglia di spesa da utilizzare. Di default il budget suggerito si basa sul costo previsto più elevato che si potrebbe sostenere nei periodi futuri, ma l’importo del budget può essere modificato in base alle proprie esigenze.

Dopo aver impostato il budget viene richiesto di configurare i relativi avvisi. I budget richiedono almeno una soglia di costo (% del budget) e un indirizzo e-mail da utilizzare per le notifiche.

Figura 3 – Configurazione degli alert e dell’indirizzo di posta elettronica da utilizzare per le notifiche

Per un singolo budget è possibile includere fino a cinque soglie e cinque indirizzi e-mail. Quando viene raggiunta una soglia di budget, le notifiche e-mail vengono normalmente inviate entro un’ora dalla valutazione.

In fase di creazione oppure di modifica di un budget, ma solo se lo scope definito per lo stesso è una subscription oppure un resource group, è possibile configurarlo per richiamare un Action Group. L’Action Group permette di personalizzare le notifiche in base alle proprie esigenze e può eseguire varie azioni quando viene raggiunta la soglia di budget, tra le quali:

  • Chiamata vocale oppure invio di SMS (per i paesi abilitati)
  • Invio di una mail
  • Chiamata a un webhook
  • Invio di dati verso ITSM
  • Richiamo di una Logic App
  • Invio di una notifica push sulla mobile app di Azure
  • Esecuzione di un runbook di Azure Automation

Figura 4 – Associazione di un Action Group al raggiungimento di una soglia

Dopo aver concluso la creazione di un budget è possibile visualizzarlo nella rispettiva sezione.

Figura 5 – Budget creato e relativa percentuale di utilizzo

La visualizzazione del budget rispetto all’andamento della spesa è uno delle prime azioni che generalmente si prende in considerazione in fase di analisi dei costi.

Figura 6 – Visualizzazione del budget nell’analisi dei costi

Al raggiungimento di una determinata soglia impostata in un budget oltre alle notifiche impostate, viene anche generato un alert nel portale Azure.

Figura 7 – Alert generato a fronte del raggiungimento di una determinata soglia

Quando le soglie di budget create vengono superate si attivano le notifiche, ma nessuna delle risorse cloud viene modificata e di conseguenza il consumo non viene interrotto.

Grazie all’ integrazione con Amazon Web Services (AWS) Cost and Usage report (CUR) è possibile monitorare e controllare i costi di AWS in Azure Cost Management e definire dei budget anche per le risorse AWS.

Costo della soluzione

Azure Cost Management è possibile utilizzarlo gratuitamente, in tutte le sue funzionalità, per l’ambiente Azure. Per quanto riguarda la gestione dei costi di AWS è previsto, al rilascio definitivo, un addebito pari all’1% della spesa totale gestita per AWS. Per maggiori dettagli in merito al costo della soluzione è possibile consultare la pagina del pricing di Cost Management.

Conclusioni

Il controllo dei costi è una componente fondamentale per massimizzare il valore dell’investimento nel cloud. Grazie all’utilizzo dei budget è possibile attivare facilmente un efficace meccanismo per controllare e gestire in modo proattivo i costi dei servizi cloud dislocati sia in Microsoft Azure che in Amazon Web Services (AWS).

Azure IaaS and Azure Stack: announcements and updates (August 2020 – Weeks: 31 and 32)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

SQL Server FCI on Shared Disks for SQL Server on virtual machines

Azure Shared Disks for SQL Server Failover Cluster Instance (SQL FCI) on Azure IaaS is now in general availability. Azure Shared disks for SQL FCI enables lift and shift migrations for the most commonly used high availability configuration on-premises to Azure IaaS.

Storage

New regions for Azure Blob storage object replication (preview)

Object replication is a new capability for block blobs that lets you replicate your data from your blob container in one storage account to another anywhere in Azure. Microsoft has expanded the preview regions to include East US 2 and Central US.

Azure Blob storage: Network File System 3.0 protocol support (preview)

Network File System (NFS) 3.0 protocol support for Azure Blob storage is now in preview. Azure Blob storage is the only storage platform that supports NFS 3.0 protocol over object storage natively (no gateway or data copying required), with crucial object storage economics. This new level of support helps with large scale read-heavy sequential access workloads where data will be ingested once and minimally modified further including large scale analytic data, backup and archive, NFS apps for seismic and subsurface processing, media rendering, genomic sequencing, and line-of-business applications. NFS 3.0 is available to block blob storage accounts with premium performance in the following regions: US East, US Central, and Canada Central. Support for GPV2 accounts with standard tier performance will be announced soon. During the preview, test data stored in your NFS 3.0-enabled storage accounts will be billed at the same capacity rate (per GB per month) as Azure Blob storage. Pricing for transactions is subject to change and will be determined when generally available.

Azure File Sync agent v10.1

Azure File Sync agent v10.1 is available and it’s now on Microsoft Update and Microsoft Download Center.

Improvements and issues that are fixed:

  • Azure private endpoint support
  • Files Synced metric will now display progress while a large sync is running, rather than at the end.
  • Miscellaneous reliability improvements for agent installation, cloud tiering, sync and telemetry.

Installation instructions are documented in KB4522411.

Networking

Upcoming billing changes to Azure Bandwidth

On a rolling basis throughout September 2020, Microsoft will move Bandwidth to a source–destination billing model. Additionally, metering will be divided into inter-region meter IDs. As a result, Bandwidth charges for inter-region data transfers will either remain the same or decrease. First 5 GB of outbound data transfers will remain free of charge and the current data volume tiers will be replaced by one flat price.

Azure Management services: le novità di Luglio 2020

Microsoft annuncia in modo costante novità riguardanti gli Azure management services e come di consueto la nostra community rilascia questo riepilogo mensile. L’obiettivo è di fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Azure Monitor Logs connector

Il componente Azure Monitor Logs connector è stato rilasciato e consente di creare workflows automatizzati usando centinaia di azioni per una varietà di servizi con Azure Logic Apps e Power Automate.

Azure Monitor per soluzioni SAP (preview)

Azure Monitor per SAP è una nuova soluzione che consente di monitorare in modo nativo l’ambiente SAP in Azure. Questa soluzione permette di raccogliere e consolidare i dati di telemetria dall’infrastruttura Azure e dai database di SAP. Questi dati vengono utilizzati per ottenere una correlazione tra i diversi componenti che permette una risoluzione più rapida dei problemi. Tale funzionalità è presente al momento in anteprima pubblica nelle seguenti regions: US East, US East 2, US West 2, e West Europe.

Azure Monitor Community Repository

Il repository GitHub della community di Azure Monitor è stato reso disponibile e offre uno spazio collaborativo ai membri della community per condividere ed esplorare artifacts di Azure Monitor come query [KQL], workbooks e alerts. Questo repository è pubblico e accetta contributi da qualsiasi utente, a beneficio dell’intera community di Azure Monitor.

Le ricerche salvate di Azure Log Analytics si sta spostando in Query Explorer

La ricerche salvate di Azure Log Analytics sono ora disponibili in Query Explorer, che permette di utilizzare e gestire differenti query. Per gestirle, accedere ala sezione Logs nel workspace di Azure Monitor Log Analytics oppure da Application Insights e selezionare Query explorer dal menu principale.

Configure

Azure Automation

Introdotto il supporto per Azure Private Link (preview)

Microsoft ha introdotto il supporto per gli Azure Private Link, necessari per connettere in modo sicuro le reti virtuali ad Azure Automation tramite l’utilizzo di endpoint privati. Questa funzionalità risulta utile per:

  • Stabilire una connessione privata con Azure Automation, senza aprire l’accesso alla rete pubblica.
  • Assicurare che i dati di Azure Automation siano accessibili solo attraverso reti private autorizzate.
  • Proteggersi dall’estrazione dei dati permettendo un accesso granulare a specifiche risorse.
  • Proteggere le risorse dall’accesso dalla rete pubblica.

Govern

Azure Policy

Azure Policy per Azure Kubernetes Service (AKS) pods (preview)

Per migliorare la sicurezza dei cluster Azure Kubernetes Service (AKS) è ora possibile proteggere i pod utilizzando le Azure Policy. Questa integrazione consente di controllare le richieste dei pod e rilevare quelle che violano le politiche impostate. Al momento è possibile scegliere da un elenco di 16 policy integrate e due iniziative (che corrispondono agli standard stabiliti nella politica di sicurezza dei pod di Kubernetes) .

Azure Cost Management

Azure Cost Management + Billing updates

Durante il mese di Luglio sono state annunciate novità relative ai seguenti ambiti di Azure Cost Management e Billing:

Secure

Azure Security Center

Advanced threat protection per Azure Storage

La preview di Advanced threat protection per Azure Storage supporta Azure Files e Azure Data Lake Storage Gen2 API, aiutando i clienti a proteggere i dati archiviati in file shares e archivi di dati progettati per l’analisi dei big data aziendali. Questa protezione offre un ulteriore livello di informazioni sulla sicurezza fornendo avvisi quando vengono rilevati tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli storage account. Questi avvisi di sicurezza sono integrati con Security Center e vengono inoltre inviati tramite posta elettronica agli amministratori delle sottoscrizioni, con dettagli su attività sospette e consigli su come indagare e risolvere le minacce.

Protect

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 48 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Supporto per la replica tramite Private Link

Azure Site Recovery ha introdotto il supporto per i private link, che possono essere utilizzati per replicare macchine virtuali di Azure, sistemi VMware ed Hyper-V e macchine fisiche. L’utilizzo dei Private Link garantisce una connettività protetta verso gli URL del servizio di Azure Site Recovery. Sarà richiesto un endpoint privato nella rete per l’accesso al recovery services vault  e un secondo endpoint per la replica dei dati verso il cache storage account. Questa funzionalità sarà disponibile in quasi tutte le region pubbliche entro agosto 2020.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure Security Center: la protezione di Azure Storage

Azure Security Center, la soluzione cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano architetture ibride, permette di avere un livello di protezione avanzato anche per le risorse storage presenti in Azure. La soluzione consente di rilevare tentativi insoliti e potenzialmente dannosi di accedere oppure di utilizzare Azure Storage. In questo articolo viene riportato come proteggere in modo efficace lo storage in Azure con questa soluzione, esaminando le novità recentemente annunciate in questo ambito.

Azure Security Center (ASC) è possibile attivarlo in due tiers differenti:

  • Free tier. In questo tier ASC è totalmente gratuito ed effettua un assessment continuo, fornendo delle raccomandazioni relative alla sicurezza dell’ambiente Azure.
  • Standard tier. Rispetto al tier free aggiunge funzionalità avanzate di rilevamento delle minacce, utilizzando l’analisi comportamentale e l’apprendimento automatico per identificare attacchi ed exploit zero-day. Attraverso tecniche di machine learning e tramite la creazione di whitelist è possibile controllare l’esecuzione delle applicazioni per ridurre l’esposizione agli attacchi di rete e ai malware. Inoltre, il livello standard aggiunge la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. Lo standard Security Center Standard supporta diverse risorse Azure tra cui: VMs, Virtual machine scale sets, App Service, SQL servers, e Storage accounts.

Advanced Threat Protection (ATP) per Azure Storage rientra quindi tra le varie funzionalità di Azure Security Center Standard.

Figura 1 – Confronto tra le funzionalità dei differenti tiers di ASC

Per migliorare le security posture del proprio ambiente Azure è fortemente consigliata l’abilitazione del tier Standard di Security Center.

La funzionalità di Advanced Threat Protection (ATP) per Azure Storage è stata annunciata lo scorso anno, permettendo di rilevare minacce comuni come malware, accesso da fonti sospette (inclusi nodi TOR), attività di esfiltrazione dei dati e altro ancora, ma il tutto limitatamente ai blob containers. Recentemente è stata incluso il supporto anche per Azure Files e Azure Data Lake Storage Gen2. Questo permette ai clienti di proteggere anche i dati archiviati in file shares e gli archivi di dati progettati per l’analisi dei big data aziendali.

L’attivazione di questa funzionalità dal portale Azure è molto semplice ed è possibile farla a livello di subscription protetta da Security Center oppure in modo selettivo sui singoli storage account.

Per abilitare questa protezione su tutti gli storage account della subscription è necessario accedere alla sezione “Pricing & Settings” di Security Center e attivare la protezione degli Storage Accounts.

Figura 2 – Attivazione ATP per Azure Storage a livello di subscription

Se si preferisce abilitarla solo su determinati storage account è necessario attivarla nelle rispettive impostazioni di Advanced security.

Figura 3 – Attivazione ATP sul singolo storage account

Quando si verificano anomalie su uno storage account gli avvisi di sicurezza vengono inviati tramite posta elettronica agli amministratori delle subscription Azure, con i dettagli sulle attività sospette rilevate e i relativi consigli su come indagare e risolvere le minacce.

I dettagli inclusi nella notifica dell’evento includono:

  • La natura dell’anomalia
  • Il nome dello storage account
  • L’ora dell’evento
  • La tipologia dello storage
  • Le potenziali cause
  • I passi consigliati per indagare quanto riscontrato
  • Le azioni da intraprendere per rimediare da quanto accaduto

Figura 4 – Esempio di avviso di sicurezza inviato a fronte di una rilevazione di una minaccia

Per validare il corretto funzionamento della soluzione è stato in questo esempio utilizzato il test file EICAR. Si tratta di un file sviluppato dall’European Institute for Computer Anti-Virus Research (EICAR) che serve per validare in sicurezza le soluzioni di protezione.

Gli avvisi di sicurezza è possibile consultarli e gestirli direttamente da Azure Security Center, dove vengono visualizzati i relativi dettagli e le azioni per indagare le minacce attuali ed affrontare quelle future.

Figura 5 – Esempio di avviso di sicurezza presente nel Security alerts tile di ASC

Per ottenere la lista completa dei possibili avvisi generati da tentativi insoliti e potenzialmente dannosi di accedere oppure utilizzare gli storage account è possibile accedere alla sezione Threat protection for data services in Azure Security Center.

Questa protezione risulta molto utile anche in presenza di architettura che prevedono l’utilizzo del servizio Azure File Sync (AFS), che permette di centralizzare le cartelle di rete della propria infrastruttura in Azure Files.

Conclusioni

Sempre più frequentemente le realtà aziendali trasferiscono i loro dati nel cloud, alla ricerca di architettura distribuite, elevate prestazioni e una ottimizzazione dei costi. Tutte le funzionalità offerte dal cloud pubblico richiedono di rafforzare la sicurezza informatica, in particolare vista la crescente complessità e sofisticatezza degli attacchi informatici. Grazie all’adozione di Advanced Threat Protection (ATP) per Azure Storage è possibile aumentare il livello di sicurezza dello storage utilizzato in ambiente Azure in modo semplice ed efficace.