Archivi categoria: Microsoft Azure

Azure Hybrid Cloud: panoramica del nuovo portfolio Azure Stack

Nelle realtà aziendali l’adozione di soluzioni totalmente basate nel cloud non sempre risulta essere una scelta percorribile o la migliore in assoluto, spesso si devono necessariamente adottare soluzioni ibride, che comunque contemplano la possibilità di utilizzo anche delle innovazioni introdotte dal cloud. Microsoft, consapevole di ciò, ha recentemente annunciato diverse novità nella proposizione delle sue soluzioni in ambito Hybryd Cloud estendendo il proprio portfolio per renderlo più completo e maggiorerete adattabile alle esigenze dei clienti. In questo articolo viene riportato come è stata ampliata e modificata la gamma delle soluzioni Microsoft in ambito Azure Stack.

Attualmente le soluzioni incluse nel portfolio Azure Stack sono le seguenti:

  • Azure Stack Hub (in precedenza chiamato solo “Azure Stack”)
  • Azure Stack Edge (in precedenza chiamato “Azure Data Box Edge”)
  • Azure Stack HCI

Figura 1 – Famiglia di prodotti Azure Stack

Azure Stack Hub

Azure Stack Hub che, prima di questa revisione del portfolio prodotti, era conosciuto con il nome Azure Stack continua ad essere l’offerta per le realtà enterprise e per i clienti dei settori pubblici, che necessitano di un ambiente cloud ma disconnesso da Internet oppure che devono soddisfare specifici requisiti normativi e di conformità. Azure Stack Hub permette di erogare i servizi Azure nelle location che si desidera. La soluzione continua ad evolversi per contemplare una gamma sempre più ampia di servizi, tra i quali:

  • Kubernetes con l’integrazione di Azure Kubernetes Service (AKS) per automatizzare la creazione, l’aggiornamento e lo scaling di ambienti cluster.
  • Supporto per machine virtuali N-Series che includono il supporto GPU.
  • Event Hubs (prevista la preview quest’anno)
  • Azure Stream Analytics (prevista la preview quest’anno)
  • Windows Virtual Desktop (WVD) (prevista la preview quest’anno)
  • Azure Data Services con Azure Arc (prevista la preview quest’anno)

Azure Stack Edge

Azure Stack Edge, in precedenza conosciuto come Azure Databox Edge, è una appliance gestita di Azure in grado di portare la potenza computazionale, lo storage e l’intelligenza del cloud in un edge remoto del cliente. Il cliente può effettuare l’ordine ed il provisioning di Azure Stack Edge direttamente dal portale Azure, per poi utilizzare gli strumenti classici di gestione di Azure per farne il monitoring ed eseguirne gli aggiornamenti. Non sono richiesti costi iniziali per ottenere questa appliance, ma sarà contemplata mensilmente nella fatturazione dei servizi Azure. La grande novità riguardante Azure Stack Edge è che saranno supportati nuove funzionalità, tra le principali troviamo:

  • Esecuzione di machine virtuali
  • Cluster Kubernetes
  • Supporto per GPU NVIDIA
  • Supporto per l’alta disponibilità

Azure Stack Edge sarà inoltre disponibile in una versione “rugged”, per resistere a condizioni ambientali estreme, e in una versione alimentata a batterie, per essere facilmente trasportata.

Azure Stack HCI

Con l’arrivo di Windows Server 2019, Microsoft ha introdotto la soluzione Azure Stack HCI, che consente l’esecuzione di macchine virtuali ed un’ampia connessione a differenti servizi offerti da Azure. Si tratta di una infrastruttura hyper-converged (HCI), dove vengono rimossi diversi componenti hardware, sostituti dal software, in grado di unire i layer di elaborazione, storage e rete in un’unica soluzione. Si tratta dell’evoluzione della soluzione Windows Server Software-Defined (WSSD) disponibile in passato con Windows Server 2016. Azure Stack HCI con Windows Server 2019, consente l’utilizzo di Hyper-V, un ormai solido e affidabile hypervisor, insieme alle soluzioni di Software Defined Storage e Software Defined Networking. A questo viene aggiunto Windows Admin Center, che consente di gestire totalmente e da interfaccia grafica l’ambiente hyper-converged.

Azure Stack HCI condivide le stesse tecnologie software-defined utilizzate anche da Azure Stack Hub ed è richiesta l’adozione di hardware testato e validato in modo specifico per la soluzione. Per poter ottenere la certificazione l’hardware è sottoposto infatti a rigorosi test di validazione, che garantiscono l’affidabilità e la stabilità della soluzione. Per consultare le differenti soluzioni Azure Stack HCI dei vari vendor hardware è possibile accedere a questa pagina. Azure Stack HCI può essere utilizzato per ambienti più piccoli con un minimo di due nodi e può scalare fino ad un massimo di 16 nodi. Questo la rende una soluzione adatta a differenti scenari di utilizzo.

Conclusioni

Per rispondere al meglio alle esigenze dei differenti client in questo ambito Microsoft ha rivisitato il proprio portfolio prodotti. Il portfolio Azure Stack combinato con Azure Arc, permette di ottenere un ambiente dove i servizi e la gestione di Azure vengono riportati su modelli di infrastruttura validati e integrati, il tutto in modo complementare.

Come attivare un servizio SFTP in Azure basato su Container

Un protocollo di comunicazione che viene comunemente utilizzato per il trasferimento di file tra differenti realtà aziendali è certamente SFTP (SSH File Transfer Protocol oppure Secure File Transfer Protocol). Ad oggi, in Azure non è disponibile un servizio di piattaforma totalmente gestito che consenta di erogare un accesso tramite il protocollo SFTP. L’attivazione di una macchina virtuale in Azure che ospiti il servizio SFTP comporta costi di attivazione e un effort di gestione non trascurabili. In questo articolo viene riportata una soluzione che è possibile adottare per erogare in ambiente Azure il servizio SFTP, basata su Azure Container Instances (ACI) ed Azure File Shares.

La soluzione proposta si basa sui seguenti componenti:

  • Azure Container Instances (ACI), che in Azure è il metodo più semplice e rapido per l’esecuzione di containers on-demand in un ambiente serverless gestito. Il tutto viene reso possibile senza dover attivare macchine virtuali specifiche e la manutenzione necessaria è pressoché trascurabile. La soluzione Azure Container Instances è idonea in scenari che richiedono containers isolati, senza la necessità di adottare un sistema di orchestrazione. Il servizio Azure Container Instances comporta dei costi minimi che dipendono dal numero di vCPU e di GBs di memoria utilizzati dal container group. Per maggiori dettagli sui costi è possibile consultare la relativa pagina ufficiale Microsoft.
  • Azure File, il servizio Azure gestito che permette di accedere a file shares nel cloud tramite il protocollo Server Message Block (SMB).

Figura 1 – Architettura Azure

Sarà quindi attivato un container docker basato su Linux per erogare il servizio SFTP tramite Azure Container Instance (ACI). Per poter avere un accesso persistente allo storage dal container verrà fatto il mount di una Azure Files Shares. I file trasferiti tramite il servizio SFTP saranno pertanto anche accessibili tramite protocollo SMB, gestendo le opportune autorizzazioni, anche fermando l’esecuzione del container creato.

Per effettuare il deploy di questa soluzione è possibile utilizzare come base di partenza i template referenziati in questo documento Microsoft. Si tratta di due template, dove il primo prevede anche la creazione di uno storage account, ma di tipologia V1.

Figura 2 – Deployment tramite template custom

Al fine di ottenere una corretta integrazione con ambienti Azure esistenti e per garantire un accesso filtrato al servizio SFTP è necessario effettuare il deploy di container instances all’interno di una virtual network di Azure. Per fare ciò è necessario attivare una funzionalità in preview, che come tale ha alcune limitazioni, tra le quali non supporta scenari di Virtual Network tra di loro in peering. In questo scenario, qualora sia richiesta la pubblicazione del servizio SFTP verso internet, questa dovrà necessariamente avvenire tramite Azure Firewall, in quanto non è supportata l’assegnazione diretta di IP Pubblici agli Azure Container configurati in Virtual Network. Al fine di migliorare le security posture del vostro ambiente Azure è inoltre consigliabile:

  • Adottare un approccio legato alla micro-segmentazione e alla definizione di perimetri granulari nell’architettura di rete in Azure. Per fare ciò, oltre all’adozione di Azure Firewall, è necessario prevedere l’utilizzo dei Network Security Groups (NSGs), lo strumento utilizzato per segregare il traffico di rete internamente alla Virtual Network di Azure. Tramite delle regole di deny e permit è possibile filtrate le comunicazioni tra le differenti subnet dove sono attestati i differenti workload applicativi.
  • Prevedere l’utilizzo dei Virtual Network (VNet) service endpoints per aumentare il livello di sicurezza dello Storage Account, prevenendo accessi non autorizzati. I vNet Service Endpoints consentono di isolare maggiormente i servizi Azure, permettendo l’accesso ad essi solamente da una o più subnet definite nelle proprie Virtual Network. Questa funzionalità garantisce inoltre che tutto il traffico generato dalle proprie vNet verso i servizi Azure rimanga sempre all’interno della rete di backbone di Azure.

Per rendere completa questa soluzione è necessario prevedere anche una strategia di protezione dei dati che vengono posizionati sullo storage account tramite il servizio SFTP. Il backup dei contenuti trasferiti tramite servizio SFTP su Azure file shares potrà avvenire utilizzando Azure Backup. Anche in questo caso si tratta al momento di una funzionalità in preview, quindi si potrà avere una protezione con una frequenza giornaliera.

Ad oggi, in alternativa a questa soluzione è possibile adottare soluzioni di terze parti disponibili nel marketplace di Azure per erogare il servizio SFTP. Si tratta di soluzioni nettamente più costose che tipicamente richiedono un effort maggiore per il deployment e per la relativa gestione.

Conclusioni

In attesa che Microsoft rilasci un servizio SFTP totalmente gestito in Azure, questa soluzione proposta consente di erogare in modo semplice e veloce questo servizio, con costi ridotti e senza dover mantenere e gestire delle macchine virtuali. L’adozione di questa soluzione necessità l’integrazione con altri servizi della piattaforma Azure per realizzarla in modo efficace, senza tralasciare l’aspetto sicurezza. Al momento potrebbe essere necessario utilizzare servizi in preview, quindi non ufficialmente supportati in ambiente di produzione.

Azure IaaS and Azure Stack: announcements and updates (January 2020 – Weeks: 01 and 02)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Azure Lab Services updates

Azure DevTest Labs recently released different updates:

  • Enables multiple owners to manage a lab.
  • Added the ability to automatically shut down virtual machines when a users’ remote desktop (RDP) session is disconnected (Windows).
  • Integration with Azure Bastion, enabling you to connect to your lab virtual machines through a web browser.
  • It automatically installs the necessary GPU drivers for you when you create a lab with GPU machines. You no longer have to figure out which GPU driver to use on your own.

Azure File Sync agent version 5.x will expire on February 12th

To continuously improve Azure File Sync, Microsoft can only support old versions of the agent for a limited time. On February 12, 2020, Azure File Sync agent version 5.x will be expired and stop syncing. If you have servers with agent version 5.x, update to a supported agent version (6.x or later). If you don’t update your servers before February 12, 2020, they will stop syncing. To resume syncing, the agent must be updated to a supported version.

Azure IaaS and Azure Stack: announcements and updates (December 2019 – Weeks: 51 and 52)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Serial console for Azure Virual Machines available in US Government Cloud

Serial console is available in preview in the Azure US Government Cloud, allowing customers in the government-only clouds to access the serial console of their VMs or virtual machine scale set instances.

Azure Data Box Disk is available in the East Asia

Data Box Disk is an SSD-disk-based option for offline data transfer to Azure. It’s ideal for a recurring or one-time data migration of up to 40 TB to Azure and is especially well suited for data migration from multiple remote or branch offices. Azure Data Box Disk is now available in the East Asia (Hong Kong) region. This is in addition to the other Azure regions where Data Box Disk is already available: US, EU, Canada, Australia, Japan, Korea, Singapore, and Azure Government (US).

Azure Bastion generally available in East US 2 and West US 2

Azure Bastion is generally available in two more Azure public cloud regions, East US 2 and West US 2. Azure Bastion is a managed PaaS service that provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over SSL and without any public IPs on your virtual machines.

Azure management services e System Center: novità di Dicembre 2019

Nel mese di dicembre sono state annunciate, da parte di Microsoft, un numero importante di novità riguardanti gli Azure management services e System Center. La nostra community rilascia mensilmente questo riepilogo che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.

Azure Monitor

Miglioramenti in Azure Monitor per containers

Il nuovo agente di Azure Monitor per containers, introduce diversi miglioramenti nell’utilizzo delle risorse e nell’ottimizzazione del volumi dei dati, favorendo così una riduzione dei costi. Questo aggiornamento comporta anche la modifica ad alcune tabelle dove vengono consolidati i dati e potrebbero essere necessarie alcune modifiche alle query esistenti se fanno uso di questi campi: Name e Image nella tabella ContainerLog.

Nuove funzionalità in Azure Monitor Metrics Explorer

Per quanto riguarda Azure Monitor, la componente Metrics Explorer ha visto il rilascio delle seguenti nuove funzionalità:

  • Maggiore flessibilità nella generazione dei grafici.
  • Il selettore delle risorse supporta la possibilità di scegliere più risorse nello scoping.
  • Grafici più granulari come numero di punti dati.
  • Miglioramento nelle Legende dei grafici.

Per maggiori dettagli a riguardo è possibile consultare questo articolo.

Azure Backup

Azure Backup: gestione dei resource group per le macchine virtuali

In Azure Backup è stata introdotta la possibilità di personalizzare il nome del resource group creato dal servizio, agendo sulla policy di backup per la protezione delle macchine virtuali. Azure Backup crea infatti un resource group specifico dove vengono posizionate le collection dei restore point, che ospitano gli instant recovery points delle VMs gestite. Di dafault il naming di questo resource group è il seguente: AzureBackupRG_Geo_n, ma ora viene fornita la possibilità di personalizzarlo.

Supporto per le VMs encrypted di dimensioni superiori ai 4TB

La possibilità di fare il backup e il restore di macchine virtuali encrypted con dimensioni superiori ai 4 TB è stata estesa a tutte le region di Azure. In questo modo l’experience e le possibilità fornite da Azure Backup per la protezione di queste macchine è la medesima, indipendentemente dalla dimensione.

Microsoft Endpoint Manager

Nuovo Update per Microsoft Endpoint Configuration Manager (current branch)

Per Configuration Manager è stato ufficialmente rilasciato l’update 1910 che formalizza che Configuration Manager è ora parte di Microsoft Endpoint Manager. La nuova versione introduce inoltre diverse cambiamenti rivolti ad arricchire e migliorare diverse funzionalità della soluzione.

Per verificare i dettagli riguardanti le novità incluse in questo aggiornamento è possibile consultare questo documento.

Nuovo rilascio per il Technical Preview Branch

Per Configuration Manager è stato rilasciato nel Technical Preview Branch l’update 1912 che tra le principali novità permette di forzare a un device l’upload dei propri client logs verso il site server. Il tutto è possibile inviando una client notification action dalla console di Configuration Manager.

Per verificare i dettagli riguardanti le novità incluse in questi aggiornamenti è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di Configuration Manager ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure Arc: un nuovo approccio agli ambienti ibridi

L’impiego di architetture ibride nelle realtà aziendali è sempre più preponderante, in quanto consentono di continuare a trarre vantaggio dagli investimenti fatti nel proprio ambiente on-premises e, allo stesso tempo, utilizzare l’innovazione introdotta dal cloud. L’adozione di soluzioni ibride risulta vincente se tiene conto anche di una politica condivisa per la distribuzione, la gestione e la messa sicurezza dei componenti. Senza coerenza nella gestione dei differenti ambienti, i costi e la complessità rischiano di crescere in modo esponenziale. Microsoft ha deciso di rispondere a questa esigenza con la soluzione Azure Arc, che coinvolge una serie di tecnologie con l’obiettivo di sviluppare nuovi scenari ibridi, dove i servizi e i principi di gestione di Azure vengono estesi a qualsiasi infrastruttura. In questo articolo viene presentato l’approccio adottato da Azure Arc per gli ambienti ibridi.

La complessità degli ambienti IT è in continua espansione al punto da riscontrare realtà con applicazioni basate su diverse tecnologie, attive su infrastrutture eterogenee e magari che adottano soluzioni in differenti cloud pubblici. L’esigenza molto sentita dai clienti è di poter adottare una soluzione che in modo centralizzato consenta di inventariare, organizzare e applicare delle policy di controllo sulle proprie risorse IT ovunque si trovino.

Il principio che sta alla base di Azure Arc è quello di estendere le pratiche di gestione e di governance di Azure anche ad ambienti differenti e di adottare soluzioni tipicamente cloud, come tecniche DevOps (infrastructure as code), anche per gli ambienti on-premises.

Figura 1 – Panoramica di Azure Arc

Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi, facilitando in questo modo l’implementazione delle funzionalità di security presenti in Azure su tutti i componenti dell’infrastruttura.

Figura 2 – Azure Management per tutte le risorse

Azure Arc consiste in un insieme di differenti tecnologie e di componenti che permette di:

  • Gestire le applicazioni in ambienti Kubernetes: viene fornita la possibilità di effettuare il deploy e la configurazione delle applicazioni Kubernetes in modo omogeneo su tutti gli ambienti, adottando le moderne tecniche DevOps.
  • Consentire l’esecuzione degli Azure data services su qualsiasi infrastruttura: il tutto si basa sull’adozione di Kubernetes e permette di rispettare più facilmente i criteri di compliance, di migliorare la sicurezza dei dati e di avere una notevole flessibilità in fase di deploy. Al momento i servizi contemplati sono Azure SQL Database e Azure Database for PostgreSQL.
  • Organizzare, gestire e governare tutti i sistemi server: Azure Arc estende infatti le possibilità offerte in ambito governance e management da Azure anche alle macchine fisiche e ai sistemi virtuali presenti in ambienti differenti. Tale soluzione è chiamata nello specifico Azure Arc for servers.

Figura 3 – Tecnologie di Azure Arc

Azure Arc prevede l’utilizzo di Resource Provider specifici per Azure Resource Manager ed è necessaria l’installazione degli agenti di Azure Arc.

Accedendo al portale si può notare come Azure Arc for Servers sia già attualmente disponibile in preview pubblica, mentre è necessario effettuare una registrazione per gestire in preview gli ambienti Kubernetes e i data services.

Figura 4 – Azure Arc nel portale Azure

Grazie all’adozione di Azure Arc che introduce una visione complessiva, è possibile raggiungere, per le proprie architetture ibride, i seguenti obiettivi, difficilmente perseguibili diversamente:

  • Standardizzazione delle operazioni
  • Organizzazione delle risorse
  • Sicurezza
  • Controllo dei costi
  • Business Continuity
  • Rispetto delle normative e della compliance aziendale

Figura 5 – Cloud-native governance con Azure Arc

Conclusioni

Azure Arc è stato recentemente annunciato e nonostante si trovi ancora in una fase embrionale, ritengo che possa evolvere notevolmente al punto da rivoluzionare la gestione e lo sviluppo degli ambienti ibridi. Per mantenersi aggiornati su come si svilupperà questa soluzione è possibile registrarsi a questa pagina.

L’encryption dei dati in Azure

Uno degli ambiti relativi al miglioramento delle Security Posture del sistema informativo aziendale è certamente la crittografia del dato che, tramite l’adozione di tecniche specifiche, permette di rendere leggibili i dati solamente a chi possiede la soluzione per decifrarli. In questo articolo viene fornita una panoramica di come l’encryption viene adottata in Azure e vengono riportati i riferimenti per effettuare ulteriori approfondimenti.

Per proteggere i dati nel cloud, è necessario prima di tutto prendere in considerazione i possibili stati in cui i dati possono trovarsi e valutare di conseguenza i relativi controlli che è possibile attuare. Le procedure consigliate per la sicurezza e la crittografia dei dati, in particolare in Azure, riguardano i seguenti stati:

  • At rest: include tutte le informazioni che risiedono in modo statico sui supporti storage fisici, sia magnetici che ottici.
  • In transito: quando i dati vengono trasferiti tra componenti, location oppure servizi, vengono definiti in transito. Ad esempio, il trasferimento di dati attraverso la rete, tramite un service bus oppure durante processi di input / output.

Encryption at Rest

L’Encryption at Rest è una tecnica fortemente raccomandata ed è un requisito prioritario per molte organizzazioni per adempiere a politiche di governance e di conformità dei dati. Differenti regolamenti specifici del settore e di governo, impongono la presenza di misure obbligatorie in materia di protezione e di crittografia dei dati. L’Encryption at Rest prevede quindi la crittografia del dato quando è persistente e viene utilizzata, oltre che per soddisfare i requisiti di conformità e normativi, anche per avere un elevato livello di protezione dei propri dai. La piattaforma Azure prevede nativamente l’adozione di avanzati meccanismi di sicurezza fisica, di controllo dell’accesso ai dati e di audit. Tuttavia, è importante adottare misure di sicurezza sovrapposte per far fronte a potenziali fallimenti, e l’Encryption at Rest è un’ottima soluzione per garantire la riservatezza, la conformità e la sovranità dei dati.

Modelli di crittografia dei dati lato server

I modelli di crittografia dei dati lato server si riferiscono alla crittografia eseguita dai servizi Azure. In questo modello è l’Azure Resource Provider che esegue le operazioni di crittografia e decrittografia. In Azure sono disponibili diversi modelli di Encryption at Rest lato server, ciascuno dei quali con caratteristiche differenti nella gestione delle chiavi, che possono essere applicati alle differenti risorse Azure:

  • Crittografia lato server mediante chiavi gestite dal servizio. In questo scenario le chiavi di crittografia vengono gestire da Microsoft e risulta essere una buona combinazione tra controllo e praticità.
  • Crittografia lato server usando chiavi gestite dal cliente in Azure Key Vault. Con questa modalità le chiavi di crittografia vengono controllate dal cliente tramite Azure Key Vault, ed è incluso il supporto per utilizzare le proprie chiavi (BYOK).
  • Crittografia lato server che utilizza chiavi gestite dal cliente su hardware controllato dal cliente. Questa metodologia permette al cliente di controllare le chiavi che risiedono su un repository controllato dal cliente, al di fuori del controllo Microsoft. Questa caratteristica è chiamata Host Your Own Key (HYOK). Tuttavia, la configurazione è articolata e al momento la maggior parte dei servizi di Azure non supporta questo modello.

Figura 1 – Server-side encryption model

Modelli di crittografia dei dati lato client

Il modello di crittografia dei dati lato client si riferisce alla crittografia eseguita all’esterno di Azure e viene effettuata direttamente dal servizio o dall’applicazione chiamante. Quando si adotta questo modello di crittografia, il Resource Provider in Azure riceve i dati crittografati senza la possibilità di decifrarli o di accedere alle chiavi di crittografia. In questo modello, la gestione delle chiavi viene eseguita dal servizio o dall’applicazione chiamante ed è oscura per il servizio Azure.

Figura 2 – Client-side encryption model

Encryption at Rest per i principali servizi Azure

Azure Storage

Azure Storage provvede in automatico alla crittografa dei dati quando vengono resi persistenti nell’ambiente cloud. Infatti, tutti i servizi Azure Storage (Blob storage, Queue storage, Table storage, ed Azure Files) supportano la crittografia dei dati at rest lato server ed alcuni di questi supportano anche la crittografia dei dati lato client e le chiavi di encryption gestite dal cliente.

  • Server-side: tutti i servizi storage di Azure di default hanno abilitata l’encryption server-side mediante chiavi gestite dal servizio. Per gli Azure Blob storage e gli Azure Files è supportata anche la crittografia usando chiavi gestite dal cliente in Azure Key Vault. La tecnologia utilizzata è chiamata Azure Storage Service Encryption, in grado in automatico di crittografare i dati prima di essere memorizzati e di decodificarli quando vengono acceduti. Questo processo è completamente trasparente all’utente e prevede l’utilizzo della crittografia AES a 256 bit, una delle crittografie a blocchi più potenti attualmente disponibili. La crittografia di Azure Storage è simile alla crittografia BitLocker in ambiente Windows. L’ Azure Storage encryption è abilitata di default per tutti i nuovi storage account e non può essere disabilitata. Gli storage account sono crittografati indipendentemente dal livello di prestazioni (standard o premium) o dal modello di distribuzione (Azure Resource Manager o classico). Tutte le opzioni di ridondanza previste per gli storage account supportano la crittografia e tutte le copie di uno storage account sono sempre crittografate. La crittografia non influisce sulle prestazioni degli storage account e non prevede costi aggiuntivi.
  • Client-side: questa encryption è al momento supporta da Azure Blobs, Tables, e Queues. Quando utilizzata il dato viene crittografato dal cliente gestendo le proprie chiavi e ne viene fatto l’upload come blob criptato.

Macchine Virtuali

Tutti i Managed Disks, le Snapshots e le immagini delle macchine virtuali in Azure sono criptati utilizzando Storage Service Encryption tramite chiavi gestite dal servizio. Durante l’elaborazione dei dati su una macchina virtuale, i dati possono essere mantenuti nel file di paging di Windows o nel file di swap Linux, in un crash dump oppure in un application log. Per ottenere quindi una soluzione di Encryption at Rest più completa su macchine virtuali IaaS e per dischi virtuali, che garantisce che i dati non vengano mai mantenuti in forma non crittografata, è necessario utilizzare Azure Disk Encryption . Questa funzionalità consente di proteggere macchine virtuali Windows, utilizzando la tecnologia Windows BitLocker, e le macchine virtuali Linux tramite DM-Crypt. Affidandosi ad Azure Disk Encryption si ottiene una protezione completa dei dischi del sistema operativo e dei volumi dati. Le chiavi di Encryption e i secrets sono protette all’interno del proprio Azure Key Vault. La protezione di macchine virtuali encrypted è supportata dal servizio Azure Backup. Per maggiori informazioni in merito ad Azure Disk Encryption è possibile consultare la documentazione ufficiale Microsoft.

Azure SQL Database

Azure SQL Database attualmente supporta la crittografia at rest secondo le seguenti modalità:

  • Server-side: l’encryption lato server è garantita tramite una funzionalità di SQL chiamata Transparent Data Encryption (TDE) e può essere attivata sia a livello di server che di database. A partire da giugno 2017 questa funzionalità è attiva di default per tutti i nuovi database. TDE protegge i dati e i file di log di SQL, utilizzando algoritmi di crittografia AES e Triple Data Encryption Standard (3DES). La crittografia dei file dei database viene eseguita a livello di pagina, le quali vengono crittografate prima di essere scritte su disco e vengono de-crittografate quando vengono lette in memoria.
  • Client-side: la crittografia dei dati lato client per Azure SQL Database è supportata tramite la funzionalità Always Encrypted, che utilizza chiavi generate e memorizzate lato client. Adottando questa tecnologia è possibile crittografare i dati all’interno delle applicazioni client prima di archiviarli nell’Azure SQL database.

Così come per Azure Storage e per Azure SQL Database, anche per molti altri servizi Azure (Azure Cosmos DB, Azure Data Lake, etc.) l’encryption dei dati at rest avviene di default, ma per altri servizi può essere attivata opzionalmente.

Encryption in Transit in Azure

Anche la protezione dei dati in transito deve essere un elemento essenziale da tenere in considerazione nella propria strategia di protezione dei dati. In genere è consigliato proteggere lo spostamento e lo scambio dei dati utilizzando sempre i protocolli SSL / TLS. In determinate circostanze, potrebbe essere opportuno isolare l’intero canale di comunicazione tra l’ambiente on-premises e il cloud utilizzando una VPN. Microsoft utilizza il protocollo TLS (Transport Layer Security) per proteggere i dati quando viaggiano tra i servizi cloud e i clienti. Infatti, viene negoziata una connessione TLS tra i datacenter Microsoft e i sistemi client che si connettono ai servizi di Azure. Il protocollo TLS garantisce autenticazione avanzata, privacy dei messaggi e integrità (consente il rilevamento di manomissioni, intercettazione e falsificazione dei messaggi).

Conclusioni

Il tema della protezione tramite encryption dei dati archiviati in ambiente Azure è ritenuto di fondamentale importanza per coloro che decidono di affidarsi ai servizi nel cloud. Sapere che tutti i servizi Azure forniscono opzioni di crittografia at rest e che per i servizi di base la crittografia è abilitata di default, è sicuramente molto confortante. Alcuni servizi supportano anche il controllo delle chiavi di encryption da parte del cliente e la crittografia lato client per offrire un maggiore livello di controllo e flessibilità. Microsoft sta migliorando costantemente i propri servizi per garantire un maggiore controllo delle opzioni di crittografia at rest ed ha l’obiettivo di abilitare l’encryption at rest come impostazione predefinita per tutti i dati dei clienti.

Azure IaaS and Azure Stack: announcements and updates (December 2019 – Weeks: 49 and 50)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Azure Dedicated Hosts now generally available

Azure Dedicated Host provides a single-tenant physical server to host your Azure virtual machines for Windows and Linux. The server capacity is not shared with other customers. As a result, you can run general purpose, memory intensive or compute intensive workloads in a hardware-isolated and virtualized server environment dedicated to your organization. With Azure Dedicated Host, you can address specific compliance requirements while increasing visibility and control over your underlying infrastructure.

General Availability of Proximity Placement Groups

Azure proximity placement groups, now in General Availability,  enable customers to achieve co-location of Azure Infrastructure as a Service (IaaS) resources with low network latency.

Azure Spot VMs in Preview

Azure Spot VMs let you access unused Azure compute capacity at deep discounts compared to pay-as-you-go VM prices. Spot VMs are ideal for workloads that can be interrupted, providing scalability while reducing costs. You get unique Azure pricing and benefits when running Windows Server workloads on Spot VMs.
You can take advantage of Spot VM pricing for Azure VMs or VM scale sets (VMSS). Select the right deployment model based on your preferences and the characteristics of your application. Like their low-priority VMs predecessors, Spot VMs are engineered to run workloads that don’t need to be completed within a specific timeframe.

New bot protection rule in preview for Web Application Firewall with Azure Front Door service

A new bot protection ruleset is in preview for Azure Web Application Firewall with Azure Front Door service. Adding to this updated ruleset are three bot categories: good, bad, and unknown. There are multiple bot groups within each category. Bot signatures are managed and dynamically updated by Web Application Firewall service. The default action for bad bot groups is set to Block, for the verified search engine crawlers group it’s set to Allow, and for the unknown bot category it’s set to Log. Customers may overwrite the default action with Allow, Block, Log, or Redirect for any type of bot groups. 

Maintenance control for platform updates in preview

The preview of a maintenance control feature for Azure Virtual Machines gives more control to customers with highly sensitive workloads for platform maintenance, running on an Azure Dedicated Host or an Isolated VM, where the underlying physical server runs a single customer’s workload. This feature is not supported for VMs deployed in hosts shared with other customers. Using this feature, customers can control all impactful host updates, including rebootless updates, for up to 35 days.

Azure Private Link support in AKS is in preview

AKS now supports Azure Private Link in public preview. With Azure Private Link in AKS, customers can interact with the Kubernetes API server as a private endpoint in their virtual network, ensuring that all Kubernetes management operations remain completely isolated. Because Private Link provides private connectivity from the customer’s virtual network to the Azure-managed Kubernetes control plane, customers can still get all the benefits of AKS but in an even more secure configuration.

Application Gateway Ingress Controller for Azure Kubernetes Service

A new solution to bind Azure Kubernetes Service (AKS) and Application Gateway. This new solution provides an open source Application Gateway Ingress Controller (AGIC) for Kubernetes, which makes it possible for AKS customers to leverage Application Gateway to expose their cloud software to the Internet. Bringing together the benefits of the Azure Kubernetes Service, our managed Kubernetes service, which makes it easy to operate advanced Kubernetes environments and Azure Application Gateway, our native, scalable, and highly available, L7 load balancer has been highly requested by our customers.

HC-Series VMs are now available in South Central US

HC-Series Hi Performance Computing VMs now available in South Central US

Azure Cost Management updates

New updates to Azure Cost Management help you manage costs for cloud solution provider (CSP) subscriptions, build better dashboards by customizing tile names, save money with Azure reservations for 16 different services, along with additional enhancements.

Azure Migrate: Agentless dependency analysis is now available in preview

Azure Migrate now supports agentless dependency analysis in a limited preview. The dependency data is discovered remotely by the Azure Migrate appliance without the installation of any agent or script on virtual machines. This feature is currently available only for VMware servers.

Microsoft plans to establish new cloud datacenter region in Qatar

Microsoft recently announced plans to establish a new cloud datacenter region in Qatar to deliver its intelligent, trusted cloud services and expand the Microsoft global cloud infrastructure to 55 cloud regions in 20 countries. he new region is anticipated to be available starting with Microsoft Azure in 2021, and Office 365, Dynamics 365 and Power Platform to follow.

Azure File Sync agent v9.1

Improvements and issues that are fixed:

  • Self-service restore support: users can now restore their files by using the previous version feature. Prior to the v9 release, the previous version feature was not supported on volumes that had cloud tiering enabled. This feature must be enabled for each volume separately, on which an endpoint with cloud tiering enabled exists. 
  • Support for larger file share sizes: Azure File Sync now supports up to 64TiB and 100 million files in a single, syncing namespace.
  • Data Deduplication support on Server 2019: Data Deduplication is now supported with cloud tiering enabled on Windows Server 2019. To support Data Deduplication on volumes with cloud tiering, Windows update KB4520062 must be installed.
  • Improved minimum file size for a file to tier: The minimum file size for a file to tier is now based on the file system cluster size (double the file system cluster size). For example, by default, the NTFS file system cluster size is 4KB, the resulting minimum file size for a file to tier is 8KB.
  • Network connectivity test cmdlet: As part of Azure File Sync configuration, multiple service endpoints must be contacted. They each have their own DNS name that needs to be accessible to the server. These URLs are also specific to the region a server is registered to. Once a server is registered, the connectivity test cmdlet (PowerShell and Server Registration Utility) can be used to test communications with all URLs specific to this server. This cmdlet can help troubleshoot when incomplete communication prevents the server from fully working with Azure File Sync and it can be used to fine tune proxy and firewall configurations.
    • To run the network connectivity test, run the following PowerShell commands:
      • Import-Module “<SyncAgentInstallPath>\StorageSync.Management.ServerCmdlets.dll”
      • Test-StorageSyncNetworkConnectivity
  • Remove server endpoint improvement when cloud tiering is enabled: As before, removing a server endpoint does not result in removing files in the Azure file share. However, behavior for reparse points on the local server has changed. Reparse points (pointers to files that are not local on the server) are now deleted when removing a server endpoint. The fully cached files will remain on the server. This improvement was made to prevent orphaned tiered files when removing a server endpoint. If the server endpoint is recreated, the reparse points for the tiered files will be recreated on the server.
  • Performance and reliability improvements
    • Reduced recall failures. Recall size is now automatically adjusted based on network bandwidth.
    • Improved download performance when adding a new server to a sync group.
    • Reduced files not syncing due to constraint conflicts.

Installation instructions are documented in KB4522360.

Azure Stack

Microsoft has validated the Lenovo ThinkSystem SE350 edge server for Azure Stack HCI

Microsoft and Lenovo have teamed up to validate the Lenovo ThinkSystem SE350 for Microsoft’s Azure Stack HCI program. The ThinkSystem SE350 was designed and built with the unique requirements of edge servers in mind. It is versatile enough to stretch the limitations of server locations, providing a variety of connectivity and security options and can be easily managed with Lenovo XClarity Controller. The ThinkSystem SE350 solution has a focus on smart connectivity, business security, and manageability for the harsh environment.

Azure Networking: gestione di micro-perimetri con Azure Firewall Manager

Nel cloud pubblico di Microsoft è stato introdotto il nuovo servizio di management Azure Firewall Manager che consente di gestire in modo centralizzato le policy di security e le regole di routing. Grazie a questa soluzione è possibile governare al meglio i perimetri di sicurezza dei propri ambienti cloud ottenendo una protezione ottimale del proprio ecosistema aziendale. In questo articolo vengono riportate le caratteristiche principali del nuovo servizio evidenziando i vantaggi che si possono ottenere grazie al suo utilizzo.

Il modello di sicurezza, definito Zero trust dagli analisti di Forrester Research, e in contrasto con i modelli convenzionali basati sulla sicurezza perimetrale, ci indirizza nell’adozione di un approccio legato alla micro-segmentazione e alla definizione di perimetri granulari nella propria architettura di rete. Per agevolare questo approccio Microsoft ha rilasciato questo strumento che, mettendo a disposizione un unico pannello di controllo centralizzato, è in grado di semplificare la configurazione e la gestione delle network security policy, le quali spesso devono essere distribuite su più istanze di Azure Firewall.

Azure Firewall Manager al momento si integra con Azure Virtual WAN, il servizio che consente di implementare architetture di rete gestite secondo il modello hub and spoke. Azure Firewall ora può essere attivato nelle reti di Hub di Virtual WAN e nel momento in cui policy di security e di routing vengono associate da Azure Firewall Manager ad una rete di Hub questa viene definita come Secured Virtual Hub.

Figura 1 – Panoramica di Azure Firewall Manager

Adottando Azure Firewall Manager è possibile ottenere i seguenti benefici:

  • Configurazioni e deployment centralizzati: il deployment e la configurazione di più istanze di Azure Firewall, in reti di Hub di Virtual WAN, può essere fatta in modo centralizzato. Queste istanze di Azure Firewall possono risiedere in differenti region di Azure e su diverse subscription. Inoltre, è possibile organizzare una gerarchia di policy di Azure Firewall ottimizzate per DevOps, dove le Global firewall policy vengono gestite dall’IT centrale e le firewall policy locali vengono delegate ai DevOps per favorire una migliore agilità nei processi.
  • Routing automatizzato: viene fornita la possibilità di ridirigere facilmente e in modo centralizzato il traffico dalle reti di spoke verso il Secure Virtual Hub, il tutto senza dover manipolare le User Defined Routes delle reti di spoke.
  • Integrazione con partner Security as a Service (SECaaS) di terze parti: per arricchire ulteriormente le funzionalità di sicurezza è prevista l’integrazione con SECaaS partners, attualmente Zscaler e iBoss, ma presto sarà possibile anche con CheckPoint.

Figura 2 – Central security e route policy management

Nel dettaglio gli step per adottare la soluzione sono i seguenti:

  1. Creazione dell’architettura di rete hub and spoke, utilizzando il servizio Azure Virtual WAN e attivazione di una istanza Azure Firewall nella rete di Hub. Per fare ciò è possibile procedere tramite due distinte modalità:
    1. Creazione di una nuova Secured Virtual Hub tramite Azure Firewall Manager e aggiunta delle virtual network connections;
    2. Trasformazione di un Virtual WAN Hub esistente, attivando sulla rete di Hub il servizio Azure Firewall.

Figura 3 – Avvio del processo tramite Azure Firewall Manager

  1. Selezione dei security provider (opzionale). Questo può essere fatto sia durante il processo di creazione di un Secure Virtual Hub oppure durante la conversione di un Virtual WAN Hub in un Secure Virtual Hub.

Figura 4 – Scelta del Trusted Security Partner

  1. Creazione di una firewall policy e associazione con la rete di Hub. Questo è possibile solo per le Azure Firewall Policy, mentre per le policy delle soluzioni di Security as a Service (SECaaS) fornite dai partner, è necessario utilizzare i loro strumenti di gestione.
  1. Configurazione delle impostazioni di routing sul secured hub per attrarre il traffico delle reti di spoke e renderlo filtrato secondo le policy definite.

Al momento Azure Firewall Manager è supportato solamente per la gestione di architetture Hub and Spoke create tramite il servizio Azure Virtual WAN. Il supporto per poter gestire anche le istanze di Azure Firewall attivate nelle Virtual Network è atteso per la prima metà del prossimo anno.

Conclusioni

Azure Firewall Manager è uno strumento che risulta molto utile per gestire ambienti complessi composti da differenti architetture di rete che adottano il modello Hub and Spoke tramite Azure Virtual WAN. Questo servizio di management aggiuntivo nonostante sia agli albori, e destinato ad arricchirsi presto con nuove funzionalità, risulta di fondamentale importanza per gestire in modo più semplice ed efficace la propria architettura di rete di Azure. Al momento il servizio è in Public Preview, quindi non sono garantiti SLA (Service-Level Agreement) e non dovrebbe essere utilizzato in ambienti di produzione.

Azure IaaS and Azure Stack: announcements and updates (December 2019 – Weeks: 47 and 48)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Microsoft cloud in Norway opens with availability of Microsoft Azure

Microsoft announces the availability of Microsoft Azure from the new cloud datacenter regions in Norway, marking a major milestone as the first global cloud provider to deliver enterprise-grade services in country. The new cloud regions in Norway are targeted to expand in 2020 with Office 365, one of the world’s leading cloud-based productivity solutions, and Dynamics 365 and Power Platform, the next generation of intelligent business applications and tools.

Azure Migrate now supports assessment of physical servers

Support to assess physical servers is now available in Azure preview, in addition to existing support for VMware and Hyper-V servers. The appliance for physical servers can be installed on an existing Windows server. This feature can be used to assess virtual machines where there is no access to the hypervisor, as well as virtual machines on any cloud.

Azure Migrate: assessment of imported servers is supported in preview

Azure Migrate now supports the assessment of server inventories imported using a CSV file. Import the servers into Azure Migrate server assessment by adding server details in a CSV file as per the available template, deploying an appliance isn’t required. This is useful if you’re looking for a quick assessment using CMDB inventory or if you’re waiting for approvals to deploy the Azure Migrate appliance. Performance-based assessments can be run as well by specifying utilization values in the CSV.

Azure DevTest Labs: Azure managed identities to deploy lab environments

Azure managed identities to deploy lab environments As a lab owner, you can now use a user assigned managed identity to deploy environments in a lab. This feature is helpful in scenarios where the environment contains or has references to Azure resources such as key vaults, shared image galleries, and networks that are external to the environment’s resource group. It enables creation of sandbox environments that aren’t limited to the resource group of that environment only.

Azure DevTest Labs: New Dashboard with Cost Estimator

Azure Lab Services added a dashboard view enabling instructors to view the summary of the lab. On the dashboard, you will be able to see cost estimate for the lab based on size of the virtual machine picked, number of students, quota hours and scheduled hours.

HPC Specialized VMs (GPU) – NVv4-Series in preview

NVv4 offers unprecedented GPU resourcing flexibility, giving customers more choice than ever before. Customers can select from VMs with a whole GPU all the way down to 1/8th of a GPU. This makes entry-level and low-intensity GPU workloads more cost-effective than ever before, while still giving customers the option to scale up to powerful full-GPU processing power. NVv4 Virtual Machines support up to 32 vCPUs, 112GB of RAM, and 16 GB of GPU memory.

Kubernetes cluster health with Azure Monitor for containers

Azure Monitor for containers can now monitor and report health status of Kubernetes cluster infrastructure components and all nodes running on any Kubernetes cluster.

Azure private endpoint support for Azure Cosmos DB in preview

Azure private endpoint for Azure Cosmos DB is a network interface that connects you privately and securely to a service powered by Azure Private Link. Private Endpoint uses a private IP address from your virtual network, effectively bringing the service into your virtual network.