New general purpose and memory-optimized Azure Virtual Machines with Intel
New general purpose and memory-optimized Azure Virtual Machines based on the 2nd generation Intel Xeon Platinum 8272CL (Cascade Lake) are available.
With this announcement, Microsoft is introducing two new Azure Virtual Machines families, one of which represents a brand-new product category in the portfolio:
The Azure Ddv4 and Ddsv4and Edv4 and Edsv4 virtual machines, which include a local data temporary disk (now generally available)
The Azure Dv4 and Dsv4and Ev4 and Esv4 virtual machines, a new category of virtual machines, which rely on remote disks and do not provide temporary local storage (now in preview).
The new virtual machine (VM) sizes deliver up to roughly 20 percent CPU performance improvement compared to their predecessors, the Dv3 and Ev3 VM families.
Azure Virtual Machines DCsv2-series is now available in new regions
Confidential computing DCsv2-series virtual machines (VMs) are now available in East US, Canada Central, UK South, and West Europe.
Extended term reservation for the Azure HBv2 Virtual Machine
Announcing the availability of the 5-year reservation for the Azure HBv2 Virtual Machine. The extended term reservation provides significant cost discount compared to pay-as-you-go rates. The extended term reservation provides continuous access to HBv2 resources for all supported Azure regions.
Storage
Azure Storage account failover
Customer-initiated Storage account failover is now generally available, allowing you to determine when to initiate a failover instead of waiting for Microsoft to do so. When you perform a failover, the secondary replica of the Storage account becomes the new primary, and the DNS records for all Storage service endpoints—blob, file, queue, and table—are updated to point to this new primary. Once the failover is complete, clients will automatically begin reading from the Storage account and writing data to it in the new primary region, with no code changes. Customer initiated failover is available for GRS, RA-GRS, GZRS, and RA-GZRS accounts.
Azure geo-zone-redundant storage is now generally available
Geo-zone-redundant storage (GZRS) and read-access geo-zone-redundant storage (RA-GZRS) are now generally available, offering intra-regional and inter-regional high availability and disaster protection for your applications. GZRS writes three copies of your data synchronously across multiple Azure Availability zones, similar to zone-redundant storage (ZRS), providing you continued read and write access even if a datacenter or availability zone is unavailable. In addition, GZRS asynchronously replicates your data to the secondary geo-pair region to protect against regional unavailability. RA-GZRS exposes a read endpoint on this secondary replica allowing you to read data in the event of primary region unavailability.
Ephemeral OS disks for Azure Virtual Machines (VMs) now support additional VM sizes (preview)
You now have the ability to store ephemeral OS disks on the VM temp or resource disk in addition to the VM cache (in preview). This enables their use with VMs that don’t have a cache, or have insufficient cache, but do have a temp or resource disk to store the ephemeral OS disk such as Dav3, Dav4, Eav4, and Eav3.
Networking
Web Application Firewall for Azure Front Door service logging enhancements
Azure Web Application Firewall for Azure Front Door Service now has a match details field in the logs to provide insights on why a request triggered a Web Application Firewall rule. In addition, you can facilitate further analysis by embedding the unique reference string in a Web Application Firewall custom response message to link the request to a specific entry in the Azure Front Door Service and Web Application Firewall logs.
Rules Engine for Azure Front Door and Azure CDN
The Rules Engine feature on both Azure Front Door and Azure Content Delivery Network (CDN) is now generally available. Rules Engine places the specific routing needs of your customers at the forefront of Azure’s global application delivery services, giving you more control in how you define and enforce what content gets served from where.
New Azure Virtual Machines with high-performance local SSD are generally available
The new Dd v4-series and Ed v4-series series Azure Virtual Machines provide up to 64 vCPUs and are based on the Intel® Xeon® Platinum 8272CL processor. This custom processor runs at a base speed of 2.5 Ghz and can achieve up to 3.4 Ghz all core turbo frequency. The Dd v4-series and Dds v4 virtual machine (VM) sizes are well suited for applications that benefit from low latency, high-speed local storage (up to 2,400 GiB.) The Edv4-series and Edsv4-series VM sizes are ideal for various memory-intensive enterprise applications and feature up to 504 GiB of RAM, in addition to high-performance local SSD storage (up to 2,400 GiB.)
Azure Dedicated Hosts now support additional Azure Virtual Machines
Deploy M-series, NV v3-series and NV v4-series Azure Virtual Machines on Azure Dedicated Hosts. This will expand the range of workloads you can run on Dedicated Hosts to include memory-intensive and graphics-intensive applications.
Storage
Azure File Sync agent v10.1
The Azure File Sync agent v10.1 update is being flighted to servers which are configured to automatically update when a new version becomes available.
Improvements and issues that are fixed:
Azure private endpoint support
Sync traffic to the Storage Sync Service can now be sent to a private endpoint. This enables tunneling over an ExpressRoute or VPN connection. To learn more, see Configuring Azure File Sync network endpoints.
Files Synced metric will now display progress while a large sync is running, rather than at the end.
Miscellaneous reliability improvements for agent installation, cloud tiering, sync and telemetry.
To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.
More information about this update rollup:
This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
The agent version of this update rollup is 10.1.0.0.
A restart may be required if files are in use during the update rollup installation.
Installation instructions are documented in KB4522411.
Networking
Azure App Service regional virtual network integration for Linux apps is available
The regional virtual network integration feature of Azure App Service, which enables access to resources in your virtual network across service endpoints or ExpressRoute connections, is now available in public regions.
Azure DevTest Labs is now available in the Switzerland North and Switzerland West regions. The support includes full Azure DevTest Labs capabilities.
Azure DevTest Labs environments are now available in Azure Government.
Storage
Object replication public preview for Azure Blob storage
Object replication is a new capability for block blobs that lets you replicate your data from your blob container in one storage account to another anywhere in Azure. Object replication unblocks a new set of common replication scenarios:
Minimize latency – have your users consume the data locally rather than issuing cross-region read requests.
Increase efficiency – have your compute clusters process the same set of objects locally in different regions.
Optimize data distribution – have your data consolidated in a single location for processing/analytics and then distribute only resulting dashboards to your offices worldwide.
Minimize cost – tier down your data to Archive upon replication completion using lifecycle management policies to minimize the cost.
Azure File Sync: new version
Improvements and issues that are fixed:
Storage Sync Agent (FileSyncSvc) crashes frequently after installing the Azure File Sync v10 agent.
More information about this release:
This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
The agent version of this update rollup is 10.0.2.0.
A restart is required for servers that have an existing Azure File Sync agent installation.
Installation instructions are documented in KB4522412.
Azure Ultra Disk Storage available in more regions
Azure Ultra Disks offers high throughput, high IOPS, and consistent low latency disk storage for Azure Virtual Machines (VMs). Azure Ultra Disk Storage is now available in Central US, West US, South Central US, US Gov Virginia, France Central, and Japan East.
Azure server-side encryption with customer-managed keys available for Azure Ultra Disks
Azure Ultra Disk customers already benefit from server-side encription (SSE) with platform-managed keys for Azure Managed Disks enabled by default. SSE with customer-managed keys (CMK) improves on platform-managed keys by giving you control of the encryption keys to meet your compliance needs. SSE with CMK is integrated with Azure Key Vault, which provides highly available and scalable secure storage for your keys backed by hardware security modules (HSM). You can either bring your own keys (BYOK) to your key vault or generate new keys in the Key Vault.
Networking
Azure Firewall updates
New key features are now available in Azure Firewall:
Forced tunneling: configure a default route (0.0.0.0/0) on the AzureFirewallSubnet or publish a default route to the firewall over BGP, to send all traffic to on-premises or nearby NVA.
SQL FQDN filtering: filter outbound SQL traffic using application rules. Support is for SQL proxy mode only. Redirect mode support is tentatively planned for later in 2020.
The limit for Azure DevTest Labs from 100 to 250 for both DNAT and SNAT.
These features are included in the Azure Firewall standard SKU, so there is no change in the price.
Network service tiers with new Routing Preference option in preview Using the new “Routing Preference” option in Azure, customers can choose how their traffic is routed between Azure and the internet. Prior to making “routing preferences” customer selectable, Azure exclusively kept and optimized customer traffic over Azure’s global network. The introduction of this new competitive egress tier adds a secondary option for solutions that do not require the premium predictability and performance of Microsoft’s global network. Instead it will allow customers to further architect their traffic to their needs and allow routing to the public internet as quickly as possible. Customers will have the option to select routing preference while creating a public IP address for an IaaS resource such as a Virtual Machine, Virtual Machine Scale Set or internet-facing Load Balancer, and for their Azure storage account.
Azure Peering Service is generally available
Peering Service is a networking capability that enhances customer connectivity to Microsoft cloud services such as Office 365, Dynamics 365, software as a service (SaaS) services, Azure, or any Microsoft services accessible via the public internet. Microsoft has partnered with internet service providers (ISPs), internet exchange partners (IXPs), and software-defined cloud interconnect (SDCI) providers worldwide to provide reliable and high-performing public connectivity with optimal routing from the customer to the Microsoft network.
Enterprises looking for internet-first access to the cloud, or considering SD-WAN architecture, or with high usage of Microsoft SaaS services need robust and high-performing internet connectivity. Customers can work with their Telco/carrier to take advantage of Peering Service, which is now generally available.
Key customer features include:
Best public routing (optimum route hops/AS hops) over the internet to Microsoft cloud services for optimal performance and reliability.
Ability to select the preferred service provider to connect to the Microsoft cloud.
Traffic insights such as latency reporting and prefix monitoring.
Route analytics and statistics: Events for (BGP) route anomalies (leak or hijack detection) and suboptimal routing.
Azure Stack
Azure Stack expands solutions and partner ecosystem A host of new Azure Stack portfolio partners are accelerating time to value for hybrid customers today:
The Aware Group, which builds IoT Edge modules that use AI to detect anomalies and perform noise classification, is now delivering modules and solutions tailored to the industry.
Avanade is offering customers a fully managed Azure Stack Hub leveraging HPE’s Edgeline EL8000, a small form factor that does not require external cooling, making it ideal for locations like retail or manufacturing, where a datacenter may not be available on site.
CloudAssert is providing an enterprise cloud-based solution streamlining the management and operations of multiple Azure Stack Hub deployments, including resources located on-premises and public clouds, with a single pane of glass.
Microsoft is also launching the open-source Fast Healthcare Interoperability Resources (FHIR) server available now for Azure Stack Hub and Azure Stack Edge. Customers can now quickly connect existing data sources such as electronic health record systems or research databases at the edge while addressing compliance and regulatory requirements.
Finally, now available on GitHub, manufacturing customers can get started with an AI solution at the edge that combines the power of Azure Stack Hub and Azure Stack Edge with computer vision to modernize a factory floor.
Azure Stack Hub
Azure Stack Hub updates will simplify fleet and resource management and enable graphic-heavy scenarios New Azure Stack Hub updates will simplify fleet and resource management, and enable accelerated machine learning scenarios, virtual desktop infrastructure and other graphics-heavy scenarios with GPUs:
Azure Stack Hub Fleet Management (private preview): Azure Stack Hub fleet management gives customers a single view and management method from Azure for all their Azure Stack Hub deployments.
ManagedIQ (CloudForms) (public preview): ManagedIQ, formerly known as CloudForms, now allows cloud operators to manage their resources on Azure Stack Hub and use RedHat technical tooling to manage the Azure Stack Hub. ManagedIQ is a supported platform from IBM and RedHat.
AKS Resource Provider on Azure Stack (private preview): The Azure Kubernetes Service (AKS) Resource Provider (RP) on Azure Stack Hub is a fully managed service for easily managing containerized applications for customers to automatically create and manage Kubernetes clusters on Azure Stack Hub.
GPU Partitioning using AMD GPUs (private preview): Graphics processing unit (GPU) partitioning for visualization using AMD GPUs on Azure Stack Hub is now available, enabling virtual desktop infrastructure (VDI) and other graphics-heavy scenarios on Azure Stack Hub.
Support for Windows containers Azure Container Networking Interface on Azure Stack Hub coming soon
Windows containers and Azure Container Networking Interface in Azure Kubernetes Service (AKS) engine deployed Kubernetes clusters will soon be in private preview. The Azure Container Networking Interface plug-in lets you deploy and manage your own Kubernetes clusters with native Azure networking capability by default. This release, which will come as an update to the Azure Kubernetes Service engine, expands the capabilities of Kubernetes clusters on Azure Stack Hub.
Azure Stack Hub supports cross-platform compatibility on PowerShell
Azure Stack Hub now supports cross-platform compatibility on PowerShell and ensures hybrid consistency with Azure. Azure Stack Hub will utilize Az modules with new resource providers from Azure IoT Hub, Azure Stack Edge, and EventHub. This enables full cross-compatibility with Azure and Azure Stack Hub using PowerShell and PowerShell Core. Install PowerShell and connect to Azure Stack Hub on MacOs. This is available through the Az PowerShell installer.
Per rimanere costantemente aggiornati sulle novità riguardanti gli Azure management services, la nostra community rilascia mensilmente questo riepilogo, che consente di avere una panoramica delle principali novità del mese. In questo articolo troverete le novità, riportate in modo sintetico e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Nuova versione dell’agente per sistemi Linux
Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Linux. Le principali novità introdotte sono:
Miglioramenti di stabilità e affidabilità.
Migliore supporto per Azure Arc for Server.
Conformità FIPS.
Supporto per RHEL 8.
SHA-2 signing per l’agente di Log Analytics
L’agente Log Analytics per Windows inizierà a imporre la firma SHA-2 a partire dal 17 agosto 2020, posticipando la data precedentemente fissata al 18 maggio 2020. Questa modifica richiede un’azione nel caso si esegua l’agente su una versione del sistema operativo legacy (Windows 7, Windows Server 2008 R2 oppure Windows Server 2008) . I clienti che si trovano in questa condizione devono applicare gli aggiornamenti e le patch più recenti su questi sistemi operativi prima del 17 agosto 2020, altrimenti i loro agenti smetteranno di inviare dati verso i workspace di Log Analytics. Saranno interessati da questo cambiamento i seguenti servizi Azure: Azure Monitor, Azure Automation, Azure Update Management, Azure Change Tracking, Azure Security Center, Azure Sentinel, Windows Defender ATP.
Estensioni delle funzionalitàdi Azure Monitor
In Azure Monitor sono stati apportati i seguenti miglioramenti che ne espandono le funzionalità e la rendono una soluzione sempre più completa:
Disponibilità di Azure Monitor per Azure Storage e di Azure Monitor per Azure Cosmos DB.
Preview di Azure Monitor per Azure Key Vault e di Azure Monitor for Redis Cache.
Preview di Azure Monitor Application Insights nei workspaces di Azure Monitor Logs.
Capacity reservation e CMK encryption con Azure Monitor Logs clusters dedicati per deployments su larga scala.
Disponibilità di Azure Private Link per Azure Monitor La funzionalità di Azure Private Link è ora disponibile anche per Azure Monitor e permette di avere le seguenti caratteristiche:
Connettività privata verso workspace di Azure Monitor Logs e verso Azure Application Insights.
Protezione da data exfiltration con accesso granulare verso specifiche risorse.
Protezione delle risorse dall’accesso dalla rete pubblica.
Al momento per accesso a queste funzionalità è necessario fare una richiesta in modo esplicito.
Migliorate l’esperienza in fase di cancellazione e ripristino di workspace di Azure Monitor Logs
Microsoft ha aggiunto la funzionalità di soft-delete dei workspace per facilitare se necessario le operazioni di ripristino. A fronte di una cancellazione il workspace passerà infatti in uno stato di soft-delete per consentirne eventualmente il ripristino, includendo dati e agenti connessi, entro 14 giorni. Questo comportamento è possibile aggirarlo ed eliminare definitivamente il workspace. Per evitare l’errata eliminazione dei workspace dal portale Azure è stata aggiunta una sezione specifica dove è possibile consultare quante soluzioni sono installate ed il relativo volume di dati giornaliero ricevuto negli ultimi 7 giorni per tipologia di dato. Il ripristino del workspace, può ora avvenire direttamente dal portale Azure.
Azure Advisor recommendation digests
Azure Advisor introduce la possibilità di ricevere un riepilogo periodico dei consigli sulle best practice disponibili elaborate dalla soluzione. I recommendation digest di Advisor consentono di rimanere aggiornati sulle opportunità di ottimizzazione di Azure al di fuori del portale di Azure. Le notifiche sono personalizzabili e vengono gestite tramite Action Group di Azure Monitor.
Azure Service Health include anche i problemi emergenti
In Azure Service Health vengono ora riportati anche i problemi emergenti nel portale di Azure. Un problema emergente è una situazione in cui Azure è a conoscenza di un’interruzione diffusa ma potrebbe non essere ancora completamente a conoscenza della portata e dell’ampiezza. In precedenza, i problemi emergenti erano disponibili solo nella pagina Stato di Azure.
Configure
Azure Automation
TLS 1.2 enforcement
A partire dal 1° settembre 2020, Azure Automation imporrà la presenza del Transport Layer Security (TLS) versione 1.2 o successive, per tutti gli endpoint HTTPS esterni.
Secure
Azure Security Center
Modifiche al servizio just-in-time (JIT) virtual machine (VM) access
Nel servizio just-in-time (JIT) virtual machine (VM) access sono state apportate le seguenti modifiche:
La raccomandazione che avvisa di abilitare JIT su una VM è stata rinominata da “Just-in-time network access control should be applied on virtual machines” in “Management ports of virtual machines should be protected with just-in-time network access control”.
La recommendation viene ora attivata solo se vengono rilevate porte di management aperte.
Custom recommendations posizionate in un pannello separato
Tutte le custom recommendations create per le proprie subscriptions sono ora posizionate nella sezione dedicata “Custom recommendations”.
Account security recommendations spostate nella sezione “Security best practices”
Le seguenti recommendations sono state incluse nella sezione “Security best practices” e non impattano quindi sul secure score:
MFA should be enabled on accounts with read permissions on your subscription (originally in the “Enable MFA” control)
External accounts with read permissions should be removed from your subscription (originally in the “Manage access and permissions” control)
A maximum of 3 owners should be designated for your subscription (originally in the “Manage access and permissions” control)
Microsoft ha deciso di applicare questo cambiamento in quanto ha stabilito che il rischio di queste tre raccomandazioni è inferiore a quanto inizialmente pensato.
Protect
Azure Backup
SAP HANA backup per VM Red Hat Enterprise Linux
In Azure Backup è stata inclusa la protezione dei database SAP HANA su macchine virtuali Red Hat Enterprise Linux (RHEL). Tale funzionalità consente di avere in modo integrato e senza dover prevedere una infrastruttura di backup specifica la protezione dei database SAP HANA su RHEL, uno dei sistemi operativi più comunemente utilizzati in questi scenari.
Protezione dalla cancellazione accidentale delle Azure file shares
Per fornire una maggiore protezione contro gli attacchi informatici e per la cancellazione accidentale, Azure Backup ha aggiunto un ulteriore livello di sicurezza alla soluzione di gestione delle snapshot di Azure file shares. Nel caso vengano eliminate le File Share, i contenuti e i relativi punti di ripristino (snapshots) vengono conservati per un periodo di tempo configurabile, consentendone il ripristino completo senza perdita di dati. Quando si configura la protezione per una file share, Azure Backup abilita la funzionalità di soft-delete a livello di storage account con un periodo di conservazione di 14 giorni, il quale è configurabile in base alle proprie esigenze. Questa impostazione determina la finestra temporale in cui è possibile ripristinare i contenuti e le snapshot delle file share dopo qualsiasi operazione di eliminazione accidentale. Una volta ripristinata la file share, i backup riprendono a funzionare senza la necessità di effettuare ulteriori configurazioni.
Azure Site Recovery
Zone-to-zone disaster recovery disponibile in nuove regions
La funzionalità Zone-to-zone DR è ora disponibile anche nelle region Southeast Asia e UK South. Grazie a questa funzionalità di Azure Site Recovery, chiamata zone-to-zone DR, c’è la possibilità di creare piani di disaster recovery (DR) per macchine virtuali (VM), replicandole tra differenti Availability Zones di Azure. Nel caso una singola Availability Zone di Azure venga compromessa, sarà possibile eseguire il failover delle macchine virtuali in una zona diversa all’interno della stessa area e accedervi dalla Availability Zone secondaria.
Introdotto il supporto per i proximity placement groups
Azure Site Recovery ha introdotto il supporto per i proximity placement groups (PPGs). Grazie a questa funzionalità, qualsiasi virtual machine (VM) ospitata all’interno di un PPG può essere protetta utilizzando Azure Site Recovery. Abilitando la replica di tale VM, è possibile fornire come parametro aggiuntivo un PPG nella regione secondaria. All’attivazione di un processo di failover, Site Recovery inserirà la VM nel PPG di destinazione fornito dall’utente.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Azure VMware Solution empowers customers to seamlessly extend or migrate their existing on-premises VMware applications to Azure without the cost, effort or risk of re-architecting applications or retooling operations. Preview of the new solution is initially available in US East and West Europe Azure regions. The new Azure VMware Solution is expected to be generally available in the second half of 2020 and at that time, availability will be extended across more regions.
The new Azure VMware Solution is:
First Party Microsoft Azure service, endorsed by VMware. The new release of Azure VMware Solution is built on Microsoft Azure without the use of a third-party technology. The solution is also cloud verified by VMware and leverages components of the VMware Cloud Foundation framework including vSphere, vCenter, NSX-T, vSAN and HCX.
Seamless integrated Azure experience. In the new solution Microsoft has rearchitected the Software Defined Datacenter (SDDC) layer that underpins the Private Cloud, ensuring a truly seamless Azure experience for customers.
VMware HCX Enterprise now available. The new Azure VMware Solution includes HCX Enterprise edition as an option. With additional features from HCX Enterprise, customers can further simplify their migration efforts to Azure including support for bulk live migrations.
Leverage pricing benefits for Microsoft workloads. Azure VMware Solutions supports the Azure Hybrid Benefit and Azure VMware Solution customers are also eligible for three years of free Extended Security Updates on 2008 versions of Windows Server and SQL Server.
New cloud regions in Italy, New Zealand and Poland
Microsoft announced plans for new cloud datacenter regions in three countries: Italy, New Zealand and Poland. In Italy, Microsoft is building a new datacenter region in Milan, which will provide access to Azure, Microsoft 365/Office 365 and Dynamics 365 and the Power Platform set of tools.
Virtual machine (VM)-level disk bursting
Virtual machine-level disk bursting is a new feature that allows your virtual machine to burst its disk IO and MiB/s throughput performance for a short time daily to handle unforeseen spikey disk traffic smoothly and process batched jobs with speed. The feature is now enabled on all Azure Lsv2-series virtual machines, with support for more virtual machine types and families to come soon. This feature doesn’t cost anything extra and comes enabled by default.
General availability of Azure Spot Virtual Machines
Azure Spot VMs provide access to unused Azure compute capacity at deep discounts. Spot pricing is available on single VMs in addition to VM scale sets (VMSS). This enables you to deploy a broader variety of workloads on Azure while enjoying access to discounted pricing compared to pay-as-you-go rates. Spot VMs offer the same characteristics as a pay-as-you-go virtual machine, the differences being pricing and evictions. Spot VMs can be evicted at any time if Azure needs capacity.
Storage
Azure Blob versioning public preview
Applications and users create, update, and delete data in Azure Blob storage continuously. A common requirement is the ability to manage and access both current and historical versions of the data. As the next step to enhance data management and protection, the Blob storage versioning preview is available. Azure Blob Versioning automatically maintains previous versions of an object and identifies them with version IDs. You can list both the current blob and previous versions using version ID timestamps. You can also access and restore previous versions as the most recent version of your data if it was erroneously modified or deleted by an application or other users.
Blob Index for Azure Storage in preview
Blob Index, a managed secondary index, allowing you to store multi-dimensional object attributes to describe your data objects for Azure Blob storage. It is now available in preview. Built on top of blob storage, Blob Index offers consistent reliability, availability, and performance for all your workloads. Blob Index provides native object management and filtering capabilities, which allows you to categorize and find data based on attribute tags set on the data.
General availability of geo-zone-redundant storage (GZRS)
GZRS helps achieve higher data resiliency by:
Synchronously writing three replicas of your data across multiple availability zones (like ZRS today) protecting from cluster, datacenter or entire zone failure.
Asynchronously replicating the data to another region within the same geo into a single zone (like LRS today) protecting from a regional outage.
When using GZRS, you can continue to read and write the data even if one of the availability zones in the primary region is unavailable. In the event of a regional failure you can also use read-access geo-zone-redundant storage (RA-GZRS) to continue having read access to your data or execute account failover to also restore write accessibility. GZRS provides a great balance of high performance, high availability and disaster recovery and is beneficial when building highly available applications/services in Azure.
Azure File Sync is removing support for TLS 1.0 and 1.1
Azure File Sync service will remove support for TLS 1.0 and 1.1 in August 2020.
Networking
Azure Virtual Network NAT in Azure Government and Azure China
Azure Virtual Network NAT (network address translation) is now generally available in the Azure Government and Azure China regions. NAT simplifies outbound-only internet connectivity for virtual networks and can be configured for one or more subnets of a virtual network.
Azure Firewall Updates
Two new key features in Azure Firewall are generally available:
Additionally, Microsoft is increasing the limit for multiple public IP addresses from 100 to 250 for both DNAT and SNAT.
Rules Engine for Azure Front Door Service is now in preview
Rules Engine on Azure Front Door Service brings your specific routing needs to the forefront of its application delivery experience, giving you more control over how you define and enforce what content gets served from where. Rules Engine empowers you to modify request and response headers, or dynamically override your existing route behavior based on incoming requests.
Private Link is now available on Event Grid
Azure Event Grid now has Private Link integration for custom topics and event domains, generally available in all Azure regions, allowing virtual network resources within their production workloads to communicate directly to their Event Grid topics without accessing the public internet. This enables enterprise workloads to take advantage of event-driven architectures securely for mission-critical workloads that require network isolation.
Azure Stack
Azure Stack Hub
Azure App Service and Azure Functions on Azure Stack Hub update available
A major update to Azure App Service on Azure Stack Hub is now available. The update build number is 87.0.2.10. All fixes and updates are detailed in the release notes.
This release updates the resource provider and brings new key capabilities and fixes:
Updates to App Service Tenant, Admin, Azure Functions portals, and Kudu tools.
Updates Azure Functions runtime to v1.0.13021.
Updates to core service to improve reliability and error messaging will enable easier diagnosis of common issues.
Updates to the application frameworks and tools including .NET Framework, ASP.NET Core, PHP, NodeJS, and NPM.
Windows Server updates to underlying operating system of all roles.
Cumulative updates for Windows Server are now applied to controller roles as part of deployment and upgrade.
Updated default virtual machine and scale set SKUs for new deployments.
The maintenance control feature for Azure Virtual Machines platform updates is now generally available for Azure Dedicated Hosts and isolated virtual machines (VMs). This feature gives you more control over platform maintenance when dealing with highly sensitive workloads. Use this feature to control all host updates, including rebootless updates, within a 35-day window. The ability to control the maintenance window is particularly useful when you deploy workloads that are extremely sensitive to interruptions running on an Azure Dedicated Host or an isolated VM where the underlying physical server runs a single customer’s workload. This feature is not supported for VMs deployed in hosts shared with other customers.
New DCsv2-series virtual machines are available
You can develop confidential applications that protect data while it’s being processed in the CPU with new DCsv2-series virtual machines (VMs), powered by Intel SGX. Traditionally, applications are protected while at rest and in transit. Now, you can deliver applications that protect data while in use. This enables a new set of scenarios like multiparty sharing, where it’s possible to combine data from multiple companies to run machine learning models without the companies getting access to each other’s data.
Windows Server containers in AKS now generally available
Windows Server containers in Azure Kubernetes Service (AKS) are now generally available. You can take advantage of this new feature to run Linux and Windows workloads side-by-side in a single cluster using the same tools. Create/upgrade/scale Windows node pools in AKS through the standard tools (portal/CLI) and Azure will help manage the health of the cluster.
Azure Migrate now available in Azure Government
Microsoft’s service for datacenter migration, Azure Migrate, is now available in Azure Government, unlocking the whole range of functionality for government customers. Azure Migrate V2 for Azure Government includes a one-stop shop for discovery, assessment, and migration of largescale datacenters.
Storage
Enhanced features in Azure Archive Storage
Three new feature enhancements for Azure Block Blob storage and Azure Archive storage are now generally available, making the service faster, simpler, and more capable.
Priority retrieval from Azure Archive. High rehydrate-priority fulfills the need for emergency data rehydrate from archive, with retrievals for blobs of a few GB typically taking less than one hour.
Upload blob direct to access tier of your choice. The PutBlob or PutBlockList API allows you to upload your blob data directly to any access tier (hot, cool, or archive). This enables customers to write cold data directly to Azure Archive, realizing their cost savings immediately.
CopyBlob enhanced capabilities. The CopyBlob API supports the archive access tier, allowing you to copy data into and out of the archive access tier within the same storage account. It also includes support for the other two new features—priority retrieval and direct to access tier of your choice.
Networking
Azure Firewall: support for Windows Virtual Desktop
Azure Kubernetes Service (AKS) Private Link is generally available. You can use it to isolate your Kubernetes API server within your Azure virtual network, enabling fully private communication with the managed Kubernetes control plane hosted by AKS.
A partire da questo mese si rinnova la serie di articoli rilasciati dalla nostra community relativi alle novità degli Azure management services. Saranno articoli, pubblicati con cadenza mensile, dedicati esclusivamente a questi argomenti per aver un maggior livello di approfondimento.
Il management si riferisce alle attività e ai processi necessari per mantenere al meglio le applicazioni aziendali e le risorse che le supportano. Azure offre numerosi servizi e strumenti fortemente correlati tra di loro per fornire una esperienza di management completa. Questi servizi non sono dedicati esclusivamente alle risorse Azure, ma possono potenzialmente essere utilizzati anche per ambienti dislocati on-premises o presso altri cloud pubblici.
Il diagramma seguente mostra le diverse aree relative al management, che saranno contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor per containers: supporto del monitoring sull’utilizzo delle GPU su node pool GPU-enabled di AKS
Azure Monitor per containers ha introdotto la possibilità di effettuare il monitor sull’utilizzo delle GPU in ambienti Azure Kubernetes Service (AKS) con nodi che sfruttano le GPU. Al momento sono supportati come vendors NVIDIA e AMD. Questa funzionalità di monitoring può essere utile per:
Controllare la disponibilità di GPU sui nodi, l’utilizzo della GPU memory e lo stato delle richieste di GPU da parte dei pods.
Visualizzare le informazioni raccolte tramite il workbook built-in disponibile nella workbook gallery.
Generare alert sullo stato dei pod
Export di alert e raccomandazioni verso altre soluzioni
In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. La funzionalità è chiamata Continuos Export e viene descritta in modo dettagliato in questo articolo.
Funzionalità di Workflow automation
Azure Security Center include la possibilità di disporre di workflow per la risposta agli incidenti di security. Tali processi potrebbero includere notifiche, l’avvio di un processo di change management e l’applicazione di specifiche operazioni di remediation. La raccomandazione è di automatizzare il maggior numero possibile di procedure in quanto l’automation può migliorare la sicurezza garantendo che le fasi del processo vengano eseguite in modo rapido, coerente e in base ai requisiti predefiniti. In Azure Security Center è stata resa disponibile la funzionalità di workflow automation. Può essere utilizzata per scatenare in modo automatico il trigger di Logic Apps sulla base di alerts di security e sulle raccomandazioni. Inoltre, l’esecuzione manuale di trigger è disponibile per gli alerts di security e per le raccomandazioni che hanno disponibile l’opzione di quick fix.
Integrazione con Windows Admin Center
Risulta ora possibile includere direttamente da Windows Admin Center in Azure Security Center i sistemi Windows Server che risiedono on-premises.
Azure Monitor Application Insights: monitor di applicazioni Java codeless
Il monitor di applicazioni Java è ora reso possibile senza apportare modifiche al codice, grazie ad Azure Monitor Application Insights. In preview è infatti disponibile il nuovo agente codeless Java. Tra le librerie e i frameworks supportati dal nuovo agente Java troviamo:
gRPC.
Netty/Webflux.
JMS.
Cassandra.
MongoDB.
Ritiro della solution di Office 365
Per la solution “Azure Monitor Office 365 management (Preview)”, che consente di effettuare l’invio dei log di Office 365 verso Azure Monitor Log Analytics è previsto il ritiro il 30 Luglio 2020. Questa solution è stata sostituita dalla solution di Office 365 presente in Azure Sentinel e dalla solution “Azure AD reporting and monitoring”. La combinazione di queste due solution è in grado di offrire una miglior experience nella configurazione e nel relativo utilizzo.
Azure Monitor per Containers: supporto per Azure Red Hat OpenShift
Azure Monitor per Containers ora supporta in preview anche il monitor per cluster Kubernetes ospitati su Azure Red Hat OpenShift versione 4.x & OpenShift versione 4.x.
Azure Monitor Logs: limitazioni su query concorrenti
Per garantire un’esperienza coerente per tutti gli utenti nella consultazione dei Log di Azure Monitor, verranno gradualmente implementati nuovi limiti di concorrenza. Questo contribuirà a proteggersi dall’invio di un numero eccessivo di query contemporaneamente, che potrebbe potenzialmente sovraccaricare le risorse di sistema e compromettere la reattività. Questi limiti sono progettati per intervenire e limitare solo scenari di utilizzo estremi, ma non dovrebbero essere rilevanti per l’uso tipico della soluzione.
Secure
Azure Security Center
Disponibilità del Dynamic compliance packages
La regulatory compliance dashboard di Azure Security Center include ora il dynamic compliance packages per tracciare ulteriori standard di settore e normativi. I dynamic compliance packages possono essere aggiunti a livello di subscription oppure di management group dalla pagina delle policy di Security Center. Dopo aver inserito uno standard o un benchmark, questo viene visualizzato nella dashboard di conformità normativa con tutti i relativi dati. Sarà inoltre disponibile per il download un report di riepilogo per tutti gli standard che sono stati integrati.
Incluse le raccomandazioni di Identity nel tier free di Azure Security Center
Le raccomandazioni di security relative all’identity e all’accesso sono state incluse nel tier free di Azure Security Center. Questo aspetto consente di aumentare gratuitamente le funzionalità in ambito cloud security posture management (CSPM). Prima di questa moditifca, tali raccomandazioni erano disponibili solo nel tier Standard di Azure Security Center. Si riportano alcuni esempi di raccomandazioni relative all’identity e all’accesso:
“Multifactor authentication should be enabled on accounts with owner permissions on your subscription.”
“A maximum of three owners should be designated for your subscription.”
“Deprecated accounts should be removed from your subscription.”
Protect
Azure Backup
Cross Region Restore (CRR) per le macchine virtuali Azure
Grazie all’introduzione di questa nuova funzionalità in Azure Backup viene introdotta la possibilità di avviare a piacimento i ripristini in una regione secondaria, rendendoli completamente controllati dal cliente. Per farlo è necessario che il Recovery Service vault che detiene i backup sia impostato in ridondanza geografica; in questo modo i dati di backup nella region primaria sono replicati geograficamente nella regione secondaria associata ad Azure (paired region).
Figura 1 – Nuovi possibili scenari dati dal Cross Region Restore (CRR)
Azure Files share snapshot management
In Azure Backup è stata introdotta la possibilità di creare snapshots di Azure Files share, giornaliere, settimanali, mensili, e annuali e mantenerle fino a 10 anni.
Figura 2 – Azure Files share snapshot management
Supporto per la sostituzione dei dischi esistenti per le VM con immagini personalizzate
In Azure Backup è stato introdotto il supporto, durante le fasi del ripristino, per sostituire i dischi esistenti nelle macchine virtuali create con immagini personalizzate.
SAP HANA backup
In Azure Backup la protezione dei DB di SAP HANA presenti nelle macchine virtuali è disponibile in tutte le principali region di Azure. Tale funzionalità consente di avere in modo integrato e senza dover prevedere una infrastruttura di backup specifica la protezione dei database SAP HANA. Questa soluzione risulta ufficialmente certificata da SAP.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
SQL Server 2019 IaaS images with Linux distribution support now available
Azure Marketplace pay-as-you-go images for SQL Server 2019 on RHEL 8.0, Ubuntu 18.04, and SLES 12 SP5 are now generally available.
Virtual machine scale sets: automatic image upgrades for custom images
Virtual machine scale sets now provide the ability to automatically deploy new versions of custom images to scale set virtual machines. Enabling automatic OS image upgrades on your scale set helps ease update management by safely and automatically upgrading the OS disk for all virtual machines in the scale set. This capability is now available in preview for custom images through Shared Image Gallery.
Automatic instance repairs for virtual machine scale sets
Virtual machine scale sets now provide the capability to automatically repair unhealthy instances based on application health status. Configure the scale set instances to emit application health by using either the application health extension or Azure Load Balancer health probes. After the automatic repairs policy is enabled, when an instance is found to be unhealthy, the scale set will automatically delete the unhealthy instance and create a new one to replace it.
Azure Migrate is now available in Azure Government
Azure Migrate provides a hub of Microsoft and partner tools to help customers meet their migration needs. Azure Migrate also offers scenarios for database migration, VDI migration, and web application migration, in addition to at-scale migration of VMware, Hyper-V, and physical servers to Azure. All Azure Migrate features, including agentless discovery and assessment, application inventory, and migration, are now available in Azure Government.
Azure File Sync v10 released
The Azure File Sync agent v10 release is being released to servers which are configured to automatically update when a new version becomes available.
Improvements and issues that are fixed:
Improved sync progress in the portal
Improved cloud tiering portal experience
Support for moving the Storage Sync Service and/or storage account to a different Azure Active Directory (AAD) tenant
Evaluation tool now identifies files or directories that end with a period
Miscellaneous performance and reliability improvements
To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog by following the steps documented in KB4522409.
Networking
Azure Virtual Network supports reverse DNS lookup
Azure Virtual Network now supports reverse DNS lookup (PTR DNS queries) for virtual machine IP addresses by default. Use this to quickly look up name of the VM from its IP address. Previously, using DNS queries to look up the fully qualified domain name (FQDN) for a virtual machine from its IP address would result in an NXDOMAIN response. Now, instead of getting an NXDOMAIN, you’ll receive valid FQDN of the virtual machine to which the IP address belongs.
Azure Monitor Log Analytics è in grado di collezionare grossi quantitativi di dati ed è fondamentale disporre di metodi efficaci per renderli facilmente consultabili e per analizzarli in modo semplice. Tra le varie possibilità offerte troviamo i Workbooks, documenti interattivi che consentono di interpretare al meglio i dati e di fare analisi approfondite, pensati anche per scenari di collaborazione. In questo articolo vengono riportate le caratteristiche principali dei Workbooks e le indicazioni per utilizzarli al meglio.
I Workbooks consentono di combinare testo, query di Log Analytics, metriche di Azure e parametri, costituendo così dei report interattivi. Un aspetto interessante è che possono essere accessibili e modificabili da tutti coloro che hanno accesso alle stesse risorse di Azure. Questo aspetto li rende un potente strumento di collaborazione tra i membri di un team di lavoro.
Possibili scenari di utilizzo
I Workbooks possono essere utilizzati in differenti scenari, come ad esempio:
Strumento guida per la risoluzione dei problemi e degli incident post mortem. Nono solo è possibile evidenziare l’impatto di un’interruzione di un applicativo oppure di una macchina virtuale, ma sarà anche possibile combinare i dati e fornire spiegazioni scritte. In questo modo può diventare uno strumento guida per discutere dei passaggi necessari per prevenire future interruzioni del servizio.
Esplorazione dell’utilizzo di una determinata applicazione o di una macchina virtuale quando non si conoscono in anticipo le metriche di interesse. Infatti, a differenza di altri strumenti di analisi, i Workbooks consentono di combinare più tipi di visualizzazioni e di analisi, rendendoli un ottimo strumento per un’esplorazione in forma libera.
Mostrare al proprio team le prestazioni di una nuova funzionalità applicativa oppure le performance di una nuova macchina virtuale, dando visibilità delle principali metriche di interesse.
Condivisione con altri membri del team dei risultati di un lavoro di sperimentazione su una applicazione. Si ha infatti la possibilità di dettagliare gli obiettivi della sperimentazione con il testo e di mostrare le metriche e le query di Log Analytics utilizzate per valutare gli elementi di interesse.
Vantaggi dei Workbooks
Tra i principali vantaggi dei Workbooks è possibile citare:
Supporto per metriche, log e dati di Azure Resource Graph.
Supporto di parametri che consentono di ottenere report interattivi, in cui ad esempio la selezione di un elemento in una tabella aggiornerà dinamicamente i grafici e le visualizzazioni associate.
Flusso simile a un documento.
Possibilità di avere Workbooks personali oppure condivisi.
Esperienza di creazione semplice e sempre in ottica di collaborazione.
Possibilità di attingere a una template gallery pubblica su GitHub che contiene svariati Workbooks pronti all’utilizzo.
Limiti dei Workbooks
I Workbooks presentano anche le seguenti limitazioni che è bene tenere in considerazione:
Non sono previsti meccanismi automatici di refresh.
Non sono progettati per avere un layout addensato come le dashboards e per avere un unico pannello di controllo centralizzato. Sono infatti stati progettati per ottenere approfondimenti tramite un percorso interattivo.
Deploy e utilizzo dei Workbooks
La sezione Workbooks è accessibile dal portale Azure sia da Azure Monitor Log Analytics che da Application Insights ed è disponibile una gallery con una serie di Workbooks predefiniti.
Figura 1 – Workbooks Gallery dal portale Azure
In questo repository GitHub è possibile visualizzare numerosi template di Workbooks. Si può ovviamente contribuire aggiungendone dei nuovi oppure elaborando quelli esistenti.
I Workbooks possono essere composti da sezioni differenti che riportano grafici, tabelle, testo e controlli di input, tutti modificabili in modo indipendente.
Figura 2 – Aggiunta di sezione a un Workbook
Per poter creare dei Workbooks personalizzati in base alle proprie esigenze è utile conoscere quali elementi sono supportati, si riportano a questo proposito i riferimenti alla documentazione ufficiale Microsoft:
Figura 3 – Esempio di Workbook che mostra le metriche chiave delle VMs
Figura 4 – Esempio di Workbook che mostra il più alto utilizzo di CPU delle VMs per region
Per effettuare il deployment di nuovi Workbooks tramite ARM templates è possibile fare riferimento alla documentazione ufficiale Microsoft.
Conclusioni
Grazie all’adozione dei Workbooks è possibile consultare i dati raccolti utilizzando report visivamente accattivanti, con funzionalità avanzate che consentono di arricchire notevolmente l’esperienza di analisi dal portale di Azure. L’interattività basate sugli input dell’utente, la personalizzazione e la condivisione sono elementi importanti che rendono molto utile l’adozione dei Workbooks in scenari specifici.
In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. In questo articolo viene riportato come utilizzare questa funzionalità e vengono approfondite le sue caratteristiche.
Azure Security Center (ASC) effettua un assessment continuo dell’ambiente ed è in grado di fornire delle raccomandazioni relative alla sicurezza dell’ambiente. Come descritto in questo articolo è possibile personalizzare la soluzione per soddisfare i propri requisiti di sicurezza e le raccomandazioni che vengono generate. Nel tier standard queste raccomandazioni possono non essere limitate al solo ambiente Azure, ma sarà possibile contemplare anche ambienti ibridi e le risorse on-premises.
Security Center standard genera anche degli alert nel momento in cui vengono rilevate potenziali minacce di sicurezza sulle risorse presenti nel proprio ambiente. ASC stabilisce le priorità, elenca gli alert, fornisce le informazioni necessarie per esaminare rapidamente i problemi e riporta consigli su come risolvere eventuali attacchi.
Azure Event Hubs è una piattaforma di streaming di big data e un servizio per l’ingestion di eventi. Può ricevere ed elaborare milioni di eventi al secondo. I dati inviati a un Event Hub possono essere trasformati e archiviati utilizzando qualsiasi provider di analisi in tempo reale oppure adattatori batch o di archiviazione.
La nuova funzionalità che è stata introdotta in Azure Security Center si chiama Continuos Export, supporta scenari enterprise e consente di effettuare quanto segue:
Export verso Azure Event Hubs per ottenere una integrazione con SIEMs di terze parti ed Azure Data Explorer.
Export verso un workspace Log Analytics per avere una integrazione con Azure Monitor, utile per analizzare meglio i dati, utilizzare Alert rule, Microsoft Power BI e dashboards personalizzate.
Export in un file CSV, per singole esportazioni di dati (one shot).
La configurazione è semplice e la si può effettuare tramite la seguente procedura.
In Azure Security Center si seleziona la subscription per la quale si vuole configurare l’esportazione dei dati e nella sidebar delle impostazioni si seleziona Continuos Export:
Figura 1 – Continuous Export nei settings di ASC della subscription
In questo caso si è scelto di configurare l’esportazione verso un workspace di Log Analytics. Si possono selezionare quali raccomandazioni esportare ed il relativo livello di severity. Anche per gli alert di security si può scegliere per quale livello farne l’esportazione. L’export crea un oggetto, pertanto è opportuno specificare in quale resource group posizionarlo. Sarà infine necessario selezionare il workspace target di Log Analytics.
Figura 2 – Configurazione dei parametri per fare il Continuous Export
Selezionando il link per l’integrazione con Azure Monitor c’è la possibilità di creare in modo automatico delle Alert rule già preimpostate.
Figura 3 – Creazione automatica di alert rule in Azure Monitor
Di default queste alert rule non configurano degli Action Group, pertanto è consigliabile modificarle per scatenare un trigger in base alle proprie esigenze.
Queste le due alert rule create di default:
Figura 4 – Alert rule di Azure Monitor create di default
In alternativa, dopo aver fatto confluire le raccomandazioni e gli alert di ASC in un workspace, è possibile configurare in Azure Monitor delle Alert rule personalizzate basate su query di Log Analytics.
Gli alert di security e le raccomandazioni di ASC vengono memorizzate nelle tabelle SecurityAlert e SecurityRecommendations del workspace. Il nome della solution di Log Analytics contenente queste tabelle è in relazione al tier di ASC, che può essere quindi Security and Audit (tier standard) oppure SecurityCenterFree (tier free).
Figura 4 – Tabelle in Log Analytics
La configurazione di Continuos Export verso Event Hubs è del tutto simile e risulta essere la metodologia migliore per integrare le raccomandazioni e gli alerts di Azure Security Center con soluzioni SIEM di terze parti. In seguito, vengono riportati i connettori per le principali soluzioni SIEM di terze parti:
In Azure Sentinel è invece disponibile il Data connector nativo per contemplare gli alerts di Azure Security Center.
Per configurare l’export verso Azure Data Explorer è possibile usare la procedura riportata in questa documentazione Microsoft.
Conclusioni
Grazie a questa nuova funzionalità introdotta in Azure Security Center è possibile consolidare tutti gli alert e le raccomandazioni generati dalla soluzione verso altri strumenti, aprendo così nuovi possibili scenari di integrazione anche con soluzioni di terze parti. Il tutto è reso possibile tramite un meccanismo facilmente configurabile, che consente di essere immediatamente notificati e di intraprendere rapidamente le azioni necessarie. Questi aspetti sono fondamentali quando si trattano informazioni relative alla sicurezza.
