Archivi categoria: Networking

Come monitora le attività di rete nel cloud Azure con Traffic Analytics

Le reti nel mondo cloud presentano differenze sostanziali rispetto a quelle presenti in ambiente on-premises, ma sono accomunate dalla necessità di essere costantemente monitorate, gestite e analizzate. Tutto ciò è importante per poterle conoscere al meglio, al fine di proteggerle ed ottimizzarle. Microsoft ha introdotto in Azure la soluzione Traffic Analytics, totalmente cloud-based, che consente di avere una visibilità complessiva sulle attività di rete che vengono intraprese nell’ambiente cloud. Questo articolo analizza le caratteristiche della soluzione e spiega come è possibile attivarla.

Principi di funzionamento della soluzione

In Azure per poter consentire o negare la comunicazione di rete verso le risorse connesse alle Azure Virtual Networks (vNet) vengono utilizzati i Network Security Group (NSG), che contengono una lista di regole di accesso. I NSG vengono applicati alle interfacce di rete connesse alle macchine virtuali oppure direttamente alle subnet. La platform utilizza i NSG flow logs per mantenere la visibilità del traffico di rete in ingresso e in uscita dai Network Security Group. Traffic Analytics si basa sull’analisi dei NSG flow logs e dopo una opportuna aggregazione dei dati, inserendo l’intelligence necessaria relativamente a security, topologia e mappa geografica, è in grado di fornire informazioni dettagliate sul traffico di rete del proprio ambiente cloud Azure.

Figura 1 – Data flow di Traffic Analytics

Funzionalità della soluzione

Utilizzando Traffic Analytics si possono effettuare le seguenti operazioni:

Visualizzare le attività di rete cross Azure subscriptions e identificare hotspots.
Intercettare potenziali minacce di security lato network, per poi poter adottare le giuste operazioni correttive. Questo viene reso possibile grazie alle informazioni riportate dalla soluzione: quali porte sono aperte, quali applicazioni tentano di accedere verso Internet e quali macchine virtuali si connettono a reti non autorizzate.
Comprendere i flussi di rete presenti tra le varie region Azure e Internet, al fine di ottimizzare il proprio deployment di rete in termini di performance e capacità.
Individuare configurazioni di rete non corrette che portano ad avere tentativi di comunicazione errati.

Come abilitare la soluzione

Per poter analizzare il traffico di rete è necessario disporre di un Network Watcher in ogni region dove sono presenti i NSG per i quali si intente analizzare il traffico. Il Network Watcher è un servizio regionale grazie al quale è possibile monitorare e diagnosticare il networking di Azure. L’abilitazione del Network Watcher può essere fatta dal portale Azure, tramite Powershell oppure via REST API. Creandolo dal portale non è possibile stabilire il nome del Network Watcher e il relativo Resource Group, ma viene assegnato un nome di default a entrambe le entità.

Figura 2 – Abilitazione del Network Watcher dal portale

Figura 3 – Abilitazione del Network Watcher tramite PowerShell

Trattandosi di un servizio in preview per poterlo utilizzare è necessario effettuare nuovamente la registrazione del network resource provider sulla subscription Azure interessata. Inoltre è necessario registrare il provider Azure Insights.

Figura 4 – Registrazione dei provider tramite PowerShell

Per poter abilitare la raccolta degli NSG Flow Logs è necessario dotarsi di uno storage account sul quale memorizzarli. Inoltre è necessario disporre di un workspace OMS Log Analytics sul quale Traffic Analytics consoliderà i dati aggregati e indicizzati. Le informazioni presenti in Log Analytics verranno poi utilizzate per generare la relativa analisi.

Primo step di configurazione delle impostazioni dei NSG flow logs:

Figura 5 – Selezione dei NSG sui quali abilitare la raccolta dei flow logs

Scelta dello storage account e del workspace OMS Log Analytics per ogni NSG:

Figura 6 – Abilitazione della raccolta dei NSG flow logs e del consolidamento in OMS Log Analytics

Gli step precedentemente riportati dovranno essere ripetuti per ogni NSG per il quale si desidera abilitare Traffic Analytics.

Figura 7 – Lista dei NSGs con le impostazioni abilitate

Entro alcuni minuti dall’abilitazione, tempo necessario per avere un quantitativo di dati aggregati sufficientemente indicativo, viene popolata la relativa dashboard con le informazioni di Traffic Analytics.

Figura 8 – Dashboard di Traffic Analytics

Dalla dashboard di Traffic Analytics sono facilmente reperibili le informazioni quali: gli host con un livello elevato di comunicazione, i protocolli applicativi maggiormente utilizzati, le comunicazioni che avvengono in modo più frequente e i flussi relativi al traffico di rete nel cloud.

Selezionando la sezione di interesse viene mostrata la query di Log Analytics che estrapola i dati:

Figura 9 – Esempio di query Log Analytics che mostra il traffico malicious consentito

Per avere una panoramica completa dei possibili scenari di utilizzo di Traffic Analytics è possibile consultare questo documento Microsoft.

Conclusioni

Traffic Analytics è una nuova funzionalità, al momento in preview, introdotta in Azure. Si tratta di uno strumento efficace e di facile utilizzo che consente di tenere sotto controllo lo stato della rete in Azure riportando dati molto utili, come chi si sta collegando e dove, quali porte sono esposte verso internet, quale traffico di rete viene generato e molto altro. Si tratta di informazioni fondamentali per individuare eventuali anomalie e apportare le dovute azioni correttive. Tutte operazioni di difficile raggiungimento senza questo strumento totalmente integrato nella platform.

OMS e System Center: novità di Novembre 2017

Nel mese di novembre ci sono state diverse novità annunciate da Microsoft riguardanti Operations Management Suite (OMS) e System Center. In questo articolo verranno riepilogate in modo sintetico con i riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.

Operations Management Suite (OMS)

Log Analytics

Come già annunciato a partire dal 30 ottobre 2017 Microsoft ha avviato il processo di upgrade dei workspace OMS non ancora aggiornati manualmente. A questo proposito è stata rilasciato questo utile documento che riporta le differenze tra un workspace OMS legacy e un workspace OMS aggiornato, con i riferimenti per ottenere maggiori dettagli.

Solutions

Coloro che utilizzano circuit ExpressRoute saranno lieti di sapere che Microsoft ha annunciato la possibilità di effettuarne il monitor tramite Network Performance Monitor (NPM). Si tratta di una funzionalità al momento in preview che consente di monitorare la connettività e le performance tra l’ambiente on-premises e le vNet in Azure in presenza di circuit ExpressRoute. Per maggiori dettagli sulle funzionalità annunciate è possibile consultare l’articolo ufficiale.

Figura 1 – Network map che mostra i dettagli della connettività ExpressRoute

Agente

Come di consueto è stata rilasciata una nuova versione dell’agente OMS per sistemi Linux che ormai da tempo avviene con cadenza mensile. In questo rilascio sono stati risolti bug riguardanti la diagnostica durante la fase di onboarding degli agenti. Non sono stare introdotte ulteriori novità. Per ottenere la versione aggiornata è possibile consultare la pagina ufficiale GitHub OMS Agent for Linux Patch v1.4.2-124.

Protezione e Disaster Recovery

Azure Backup ha sempre protetto i backup effettuati dal mondo on-premises verso Azure tramite encryption che avviene utilizzando la passphrase definita in fase di configurazione della soluzione. Per la protezione delle macchine virtuali in Azure la raccomandazione per avere maggiore sicurezza nei backup era di utilizzare VM con disk-encrypted. Ora Azure Backup utilizza Storage Service Encryption (SSE) per fare l’encryption dei backup delle macchine virtuali su Azure, consentendo di avere in modo integrato nella soluzione un meccanismo per la messa in sicurezza dei backup. Questo avverrà anche per i backup esistenti in modo automatico e tramite attività in background.

Microsoft, al fine di far maggiore chiarezza in merito al pricing ed al licensing di Azure Site Recovery, ha aggiornato le FAQ che è possibile consultare nella pagina ufficiale del pricing della soluzione.

System Center

Come già avviene per il sistema operativo e per System Center Configuration Manager, anche gli altri prodotti System Center, in particolare Operations Manager, Virtual Machine Manager e Data Protection Manager seguiranno un rilascio di versioni aggiornate ogni 6 mesi (semi-annual channel). L’obiettivo è di fornire rapidamente nuove funzionalità e di garantire una pronta integrazione con il mondo cloud, il che diventa fondamentale vista la velocità con cui si evolve. Nel mese di novembre è stata annunciata la preview di System Center versione 1711 che è possibile scaricare a questo indirizzo.

Figura 2 – Sintesi delle novità introdotte nella preview di System Center versione 1711

Per conoscere i dettagli delle le novità introdotte in questo rilascio è possibile consultare l’annuncio ufficiale.

System Center Configuration Manager

Per System Center Configuration Manager current branch versione 1706 è stato rilasciato un importante update rollup che è consigliabile applicare in quanto risolve un numero considerevole di problematiche.

Rilasciata la versione 1710 per il Current Branch (CB) di System Center Configuration Manager che introduce nuove funzionalità e importanti miglioramenti nel prodotto. Tra le principali novità di questo aggiornamento emergono sicuramente le possibilità offerte dal Co-management che ampliano le possibilità di gestione dei device utilizzando sia System Center Configuration Manager che Microsoft Intune.

Figura 3 – Caratteristiche e benefici del Co-management

Per l’elenco completo delle nuove funzionalità introdotte in questa versione di Configuration Manager è possibile consultare l’annuncio ufficiale.

Rilasciata la versione 1711 per il branch Technical Preview di System Center Configuration Manager. Tra le novità introdotte in questo aggiornamento troviamo:

Miglioramenti nel nuovo Run Task Sequence step.
User interaction in fase di installazione di applicazioni nel contesto System anche durante l’esecuzione di una task sequence.
Nuove opzioni, nello scenario di utilizzo di Configuration Manager connesso con Microsoft Intune, per gestire policy di compliance per device Windows 10 in relazione a Firewall, User Account Control, Windows Defender Antivirus, e OS build versioning.

Vi ricordo che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Rilasciata una versione aggiornata del Configuration Manager Client Messaging SDK.

System Center Operations Manager

Rilasciata la nuova wave dei Management Pack di SQL Server (versione 7.0.0.0):

I Management Pack relativi a SQL Server 2017 possono essere utilizzati per il monitor di SQL Server 2017 e di release successive (version agnostic), questo consente di evitare di dover gestire differenti MP per ogni versione di SQL Server. I controlli per le versioni di SQL Server precedenti alla 2014 sono inclusi nel MP generico “Microsoft System Center Management Pack for SQL Server”.

System Center Service Manager

Microsoft ha pubblicato una serie di accorgimenti e di best practices da seguire in fase di Authoring di Management Pack di System Center Service Manager (SCSM).

Si ricorda che per testare e valutare in modo gratuito Operations Management Suite (OMS) è possibile accedere a questa pagina e selezionare la modalità che si ritiene più idonea per le proprie esigenze.

OMS e System Center: novità di Agosto 2017

In questo articolo vengono riassunte le principali novità e vengono riportati gli aggiornamenti, riguardanti Operations Management Suite (OMS) e System Center, che sono stati annunciati durante il mese di agosto.

Operations Management Suite (OMS)

Log Analytics

Per Log Analytics è stato pubblicato quello che può essere definito il più importante aggiornamento dalla data del suo rilascio. Tra le principali novità introdotte da questo aggiornamento troviamo un nuovo e potente linguaggio per la creazione delle query, l’introduzione del nuovo portale Advanced Analytics e una maggiore integrazione con Power BI. Per maggiori dettagli vi invito a consultare l’articolo specifico Log Analytics: un importante aggiornamento evolve la soluzione.

Figura 1 – Upgrade di Log Analytics

Agente

L’agente OMS per sistemi Linux è in continua evoluzione ed è stata rilasciata una nuova versione che ha risolto alcuni bug e ha migliorato la gestione degli errori in fase di onboarding dell’agente per facilitare le operazioni di troubleshooting: OMS Agent for Linux GA v1.4.0-45

Figura 2 – Elenco Bug Fix e novità del nuovo agente OMS per Linux

Solutions

La solution OMS Network Performance Monitor è stata migliorata ed arricchita con le seguenti nuove funzionalità:
- Diagnostica dell’agent: la solution ora fornisce la possibilità di monitorare in una specifica view lo stato di salute dei vari agenti NPM distribuiti sulla rete e in caso di problemi riporta delle informazioni di diagnostica utili per la relativa risoluzione.
- Hop-by-hop latency breakdown: la topology map della rete è stata arricchita con i dettagli dei tempi di latenza riscontrati tra due punti specifici.
- Disponibilità sul portale Azure: oltre a continuare ad essere disponibile dal portale OMS può essere aggiunta dal Marketplace Azure e utilizzata direttamente dal portale Azure.
- Presenza in ulteriori region di Azure: la solution è ora disponibile anche per la region Azure West Central US.

Per maggiori dettagli a riguardo è possibile consultare l’annuncio Improvements to OMS Network Performance Monitor.

La tecnologia emergente Docker container è sempre più diffusa e il monitor diventa un componente essenziale. Per questo motivo il team di OMS ha annunciato la disponibilità della nuova solution Container Monitoring che consente di:
- Visualizzare in un’unica location le informazioni relative a tutti gli host container.
- Conoscere quali container sono in esecuzione, dove lo sono e con quale immagine.
- Vedere informazioni di audit riguardanti le azioni svolte sui container.
- Visualizzare e ricercare log a fini di troubleshooting senza dover accedere agli host Docker.
- Individuare i container che stanno consumando un quantitativo eccessivo di risorse sull’host.
- Visualizzare a livello centralizzato informazioni di performance relative ai container riguardanti l’utilizzo della CPU, della memoria, dello storage e della network.

Figura 3 – Schema di sintesi della solution Container Monitoring

Tutti i dettagli sulla solution Container Monitoring è possibile consultarli nel documento Container Monitoring solution in Log Analytics.

Rilasciata in preview la nuova solution per il monitoring delle Azure Logic Apps. La solution consente di visualizzare diverse informazioni relative allo stato delle logic app e di fare il drill down per consultare maggiori dettagli utili a fini di troubleshooting. Tutti gli aspetti di questa solution è possibile consultarli nella documentazione ufficiale Microsoft.

Security e Audit

La baseline assesment di OMS Security si arricchisce con la funzionalità Web security baseline assessment che è stata annunciata in public preview e consente di effettuare la scansione dei web server con Internet Information Service (IIS) per controllare la presenza di eventuali vulnerabilità di security e fornisce utili raccomandazioni relative alla corretta configurazione dell’ambiente. Il documento Web Baseline Assessment in Operations Management Suite Security and Audit Solution riporta ulteriori informazioni in merito.

Figura 4 – Dashboard dell’assessment della Web security baseline

System Center

System Center Configuration Manager

Lo scorso mese è stata rilasciata la versione 1706 per il Current Branch (CB) di System Center Configuration Manager come riportato nell’articolo OMS e System Center: novità di Luglio 2017. In data 8 agosto è stato pubblicato un package di update per correggere alcuni errori che sono stati riscontrati durante i primi deployment, ma tale package introduceva dei problemi pertanto in data 11 agosto è stato sostituito con una nuova versione. Per coloro che hanno aggiornato SCCM alla versione 1706 tra l’8 agosto e l’11 agosto è necessario che venga installato un ulteriore aggiornamento come documentato nella knowledge base Microsoft Update for System Center Configuration Manager version 1706, first wave. Tale aggiornamento è possibile installarlo accedendo al nodo “Updates and Servicing” della console di SCCM. Sarà inoltre rilasciato un ulteriore aggiornamento nelle prossime settimana per chi ha effettuato l’update di SCCM alla versione 1706 prima dell’8 agosto.
Rilasciata la versione 1708 per il branch Technical Preview di System Center Configuration Manager: Update 1708 for Configuration Manager Technical Preview Branch – Available Now!. Vi ricordo che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

System Center Operations Manager

In seguito le novità relative ai Management Pack di SCOM 2016:

Advanced Threat Analytics 1.7 Management Pack versione 1.7.1.1.
Service Map Management Pack in public preview: grazie a questo nuovo MP è possibile integrare le mappe create dinamicamente dalla soluzione Service Map di OMS con i diagrammi delle Distributed Application di Operations Manager per fare in modo che quest’ultimi vengano generati e mantenuti in modo dinamico.

Per maggiori informazioni vi invito a consultare la relativa documentazione disponibile online.

Figura 5 – Integrazione tra le Service Map di OMS e le Distributed App di SCOM

Disponibile una hotfix per risolvere alcune problematiche relative al monitor WMI health.

Come connettere soluzioni di security di terze parti a OMS

Tra le varie funzionalità di Operations Management Suite (OMS) c’è la possibilità di collezionare eventi generati nel formato standard Common Event Format (CEF) ed eventi generati da device Cisco ASA. Molti vendor di soluzioni di security generano eventi e file di log rispettando la sintassi definita nello standard CEF per garantire l’interoperabilità con altre soluzioni. Configurando l’invio di dati in questo formato verso OMS e adottando la soluzione OMS Security and Audit è possibile mettere in correlazione le diverse informazioni raccolte, sfruttare il potente motore di ricerca di OMS per monitorare la propria infrastruttura, recuperare informazioni di audit, rilevare eventuali problemi e utilizzare la funzionalità di Threat Intelligence.

In questo articolo verranno approfonditi gli step necessari per integrare i log generati da Cisco Adaptive Security Appliance (ASA) all’interno di OMS. Per poter configurare questa integrazione è necessario disporre di una macchina Linux con installato l’agente di OMS (versione 1.2.0-25 o successiva) e configurarla per inoltrare i log ricevuti dagli apparati verso il workspace OMS. Per l’installazione e l’onboard dell’agente Linux vi rimando alla documentazione ufficiale Microsoft: Steps to install the OMS Agent for Linux.

Figura 1 – Architettura per la raccolta dei log da Cisco ASA in OMS

L’apparato Cisco ASA deve essere configurato per inoltrare gli eventi generati verso la macchina Linux definita come collector. Per farlo è possibile utilizzare gli strumenti di gestione del device Cisco ASA come ad esempio Cisco Adaptive Security Device Manager:

Figura 2 – Esempio di configurazione Syslog Server di Cisco ASA

Sulla macchina Linux deve essere in esecuzione il daemon syslog che si occuperà di inviare gli eventi verso la porta UDP 25226 locale. L’agente OMS è infatti in ascolto su questa porta per tutti gli eventi in ingresso.

Per fare questa configurazione è necessario creare il file security-config-omsagent.conf rispettando le specifiche seguenti a seconda della tipologia di Syslog in esecuzione sulla macchina Linux. Un possibile esempio di configurazione per inviare tutti gli eventi con facility local4 all’agente OMS è la seguente:

In caso di daemon rsyslog il file dovrà essere presente nella directory /etc/rsyslog.d/ con il seguente contenuto:

#OMS_facility = local4

local4.* @127.0.0.1:25226

In caso di daemon syslog-ng il file dovrà essere presente nella directory /etc/syslog-ng/ con il seguente contenuto:

#OMS_facility = local4  

filter f_local4_oms { facility(local4); };  

destination security_oms { tcp("127.0.0.1" port(25226)); };  

log { source(src); filter(f_local4_oms); destination(security_oms); };

Lo step successivo è la creazione del file di configurazione Fluentd denominato security_events.conf che consente di collezionare e di fare il parsing degli eventi ricevuti dall’agente OMS. Il file è possibile scaricarlo dal repository GitHub e dovrà essere copiato nella directory /etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/.

Figura 3 – File di configurazione Fluentd dell’agent OMS

Giunti a questo punto, per rendere effettive le modifiche apportate, è necessario riavviare il daemon syslog e l’agente OMS tramite i seguenti comandi:

Riavvio daemon Syslog:

sudo service rsyslog restart oppure sudo /etc/init.d/syslog-ng restart

Riavvio agente OMS:

sudo /opt/microsoft/omsagent/bin/service_control restart

Completate queste operazioni è opportuno visualizzare il log dell’agente OMS per verificare la presenza di eventuali errori utilizzando il comando:

tail /var/opt/microsoft/omsagent/<workspace id>/log/omsagent.log

Dopo aver concluso la configurazione dal portale OMS sarà possibile digitare in Log Search la query Type=CommonSecurityLog per analizzare i dati collezionati dall’apparato Cisco ASA:

Figura 4 – Query per visualizzare eventi del Cisco ASA raccolti in OMS

La raccolta di log di questo tipo è arricchita dalla funzionalità di Threat Intelligence presente nella solution Security & Compliance che grazie a una correlazione pressoché in tempo reale dei dati raccolti nel repository OMS con le informazioni provenienti dai principali vendor di soluzioni di Threat Intelligence e con i dati forniti dai centri di sicurezza Microsoft consente di individuare la natura e l’esito di eventuali attacchi che coinvolgono i nostri sistemi, compresi gli apparati di rete.

Accedendo alla solution Security And Audit dal portale OMS viene visualizzata la sezione Threat Intelligence:

Figura 5 – Informazioni di Threat Intelligence

Selezionando il tile Detected threat types è possibile consultare i dettagli relativi ai tentativi di intrusione che nel caso seguente coinvolgono l’apparato Cisco ASA:

Figura 5 – Detected threat su Cisco ASA

In questo articolo si è entrati nel dettagli della configurazione di Cisco ASA, ma configurazioni analoghe è possibile farle per tutte le soluzioni che supportano la generazione di eventi nel formato standard Common Event Format (CEF). Per configurare l’integrazione di Check Point Securtiy Gateway con OMS vi rimando al documento Configuring your Check Point Security Gateways to send logs to Microsoft OMS.

Conclusioni

Utilizzando Operations Management Suite c’è la possibilità di consolidare e di mettere in correlazione eventi provenienti da diversi prodotti che forniscono soluzioni di security consentendo di avere una panoramica completa della propria infrastruttura e di rispondere in modo rapido e preciso ad eventuali incident di security.

Monitorare le performance di rete con la nuova solution di OMS

In questo articolo vedremo come funziona e quali sono le caratteristiche principali della nuova solution di OMS chiamata Network Performance Monitor (NPM). Si tratta di una soluzione in grado di controllare lo stato della rete anche in presenza di architetture ibride consentendo di identificare rapidamente l’eventuale segmento o device di rete che in un determinato momento sta causando oppure ha causato disservizi o problemi di performance lato network. Questo nuovo servizio effettua il monitor della rete in modalità application centric e tale caratteristica la rende differente rispetto alle tradizionali soluzioni di monitor presenti sul mercato che tendenzialmente hanno un focus particolare sul controllo degli apparati di rete.

Figura 1 – Overview della solution NPM

Utilizzando la solution Network Performance Monitor di OMS è possibile avere una visibilità totale per quanto riguarda la disponibilità, le latenze e le performance della propria infrastruttura di rete. Il processo di attivazione e di funzionamento è il seguente:

Accedendo al portale OMS si aggiunge la solution “Network Performance Monitor (NPM)” presente nella gallery delle solution di OMS. Per farlo è possibile seguire gli step che trovate documentati nel seguente articolo: Aggiungere soluzioni di gestione di Operations Management Suite (OMS)
La solution richiede l’agente OMS installato sulle macchine presenti in ogni subnet che si desidera monitorare. Si tratta dell’agente OMS tradizionale e non è richiesta l’installazione di nessun ulteriore componente.
Le macchine con a bordo l’agente OMS effettueranno il download da OMS del Network Monitoring Intelligence Pack il quale consente di effettuare il detect della subnet su cui è attestata la macchina e di fare l’upload di queste informazioni verso il workspace OMS.
L’agente recupera a sua volta le configurazioni della rete da OMS e vengono effettuati dei probe per individuare eventuali perdite di pacchetti e le performance di rete. Network Performance Monitor (NPM) fa uso di transazioni sintetiche per calcolare quanti pacchetti vengono persi e la latenza presente per i vari link di rete. I pacchetti di probe che vengono inviati tra i vari agenti OMS per effettuare l’assessment e per monitorare lo stato della rete possono essere TCP (pacchetti TCP SYN seguiti da un TCP handshake) oppure ICMP (messaggi ICMP ECHO come quelli generati dall’utility tradizionale Ping). L’utilizzo del protocollo ICMP per effettuare i probe è utile in ambienti dove a causa di determinate restrizioni gli apparati di rete non sono in grado di rispondere a dei probe di tipologia TCP.
Tutti i dati vengono inviati verso il workspace OMS e vengono aggregati per visualizzare in modo chiaro e comprensibile lo stato della rete. Grazie infatti al Topology Map si ha a disposizione una visualizzazione grafica di tutti i percorsi di rete presenti tra i vari endpoint che aiuta a localizzare rapidamente eventuali problemi di rete. Le topology map sono interattive e consentono di fare il drill down sui vari collegamenti di rete per visualizzare hop-by-hop i dettagli della topologia. Inoltre è possibile impostare dei filtri in base allo stato di salute dei link, effettuare lo zoom sui segmenti di rete e personalizzare la topologia.

Figura 2 – Network Topology

Le principali caratteristiche della soluzione sono le seguenti:

La soluzione è agnostica dal punto di vista dei dispositivi di rete e dei relativi vendor ed è in grado di monitorare qualsiasi rete IP.
La solution è in grado di effettuare il monitor della connettività tra:
- Data-center dislocati in site differenti e connessi tramite rete pubblica o privata.
- Cloud pubblici quali Azure e AWS, reti on-premises e postazioni utente.
- Reti virtuali presenti presso cloud pubblici e on-premises.
  Figura 3 – Componenti monitorati dalla solution NPM
NPM consente di identificare in modo preciso e dettagliato il path di rete che sta causando un disservizio o un degrado di performance, a prescindere dalla complessità della rete, grazie al modello di monitoring adottato:
Figura 4 – Modello di monitoring
Grazie alla funzionalità definita Network State Recorder è possibile non solo vedere lo stato di salute attuale della rete, ma di valutarlo anche in un determinato momento del passato, utile per investigare segnalazioni di problematiche transitorie.
Figura 5 – Network State Recorder
Utilizzando la funzionalità di alerting inclusa in OMS è possibile configurare l’invio di segnalazioni tramite posta elettronica a fronte di problematiche riscontrate dalla solution NPM. Inoltre è possibile scatenare azioni di remediation tramite runbook oppure configurare webhooks per integrarsi con una soluzione esistente di service management.
Figura 6 – NPM alerting
La soluzione supporta non solo sistemi Windows Server ma l’agente funziona anche per sistemi operativi client (Windows 10, Windows 8.1, Windows 8 e Windows 7) ed è presente anche il supporto per sistemi operativi Linux (server e workstation).

Per quanto riguarda il costo ed il modello di licensing la solution Network Performance Monitor (NPM) è parte di OMS Insight & Analytics. Nella pagina Prezzi di Microsoft Operations Management Suite trovate tutti i dettagli inerenti al pricing di OMS.

Conclusioni

In ambienti IT che vedono architetture sempre più complesse è utile disporre di uno strumento per monitorare in modo efficace lo stato della rete e che permette di isolare con precisione la sorgente di eventuali problemi. Utilizzando la solution Network Performance Monitor (NPM) di OMS si ha una visibilità completa della rete anche in architettura ibride e si può agire in modo proattivo nell’identificazione di potenziali problemi. NPM è inoltre uno strumento adatto non solo per gli amministratori di rete, ma grazie alle sue caratteristiche può essere molto utile e facilmente utilizzabile anche da chi gestisce l’infrastruttura e gli applicativi. Per chi è interessato ad approfondire ulteriormente questa e altre funzionalità di OMS ricordo che è possibile provare la soluzione OMS gratuitamente. Per maggiori informazioni relative alla solution Network Performance Monitor (NPM) è possibile consultare la documentazione ufficiale.

Windows Server 2016: Networking What’s New

In Windows Server 2016 sono molte le novità introdotte in ambito networking che ci consentono di realizzare una infrastruttura funzionale, denominata Software Defined Networking (SDN), che è alla base del Software Defined Datacenter (SDDC). Se volete saperne di più non perdetevi questo articolo sulla community WindowServer.it.

Windows Server 2016: Introduzione al Network Controller

Le caratteristiche principali dell’architettura Software Defined Networking (SDN) sono l’adattabilità, la dinamicità e la facilità di gestione. Tutti questi aspetti possono essere contemplati al meglio grazie all’introduzione in Windows Server 2016 delle funzionalità che andremo ad approfondire in questo articolo.

Network Controller

Si tratta di un nuovo ruolo introdotto in Windows Server 2016 che può essere facilmente installato tramite Server Manager oppure utilizzando PowerShell e che consente di gestire, configurare e monitorare l’infrastruttura di rete virtuale e fisica del proprio datacenter. Grazie al Network Controller è anche possibile automatizzare la configurazione della propria infrastruttura di rete anziché dover configurare manualmente device e servizi. Questo ruolo può essere installato anche su macchine virtuali, prevede di essere messo in alta disponibilità e può scalare facilmente. Il deploy del Network Controller può essere fatto sia in ambiente di dominio, in questo caso l’autenticazione degli utenti e dei device di rete avviene tramite Kerberos, che in un ambiente non di dominio richiedendo l’autenticazione basata su certificati.

La comunicazione tra il Network Controller e i componenti di rete avviene utilizzando l’interfaccia Southbound API, figura 1, grazie alla quale viene fatto il discovery degli apparati di rete e rilevata la configurazione dei servizi. Inoltre tramite la stessa interfaccia vengono raccolte le informazioni di rete necessarie e trasmesse agli apparati le modifiche effettuate.

Tramite l’interfaccia Northbound API è possibile comunicare con il Network Controller per consultare le informazioni di rete ed utilizzarle per fare monitoring e troubleshooting. La stessa API viene utilizzata per apportare modifiche alla configurazione di rete e per fare il deploy di nuovi device.

Figura 1 – Schema Comunicazione

La gestione e il monitor della rete tramite Network Controller, figura 2, può avvenire direttamente tramite PowerShell (Network Controller Cmdlets) oppure utilizzando applicazioni di management come ad esempio System Center Virtual Machine Manager (SCVMM) e System Center Operations Manager (SCOM).

Figura 2 – Gestione Network Controller

Tramite il Network Controller è possibile gestire i seguenti componenti dell’infrastruttura di rete fisica e virtuale:

Hyper-V VMs e virtual switch
Switch
Router
Firewall software
VPN Gateway (compreso RRAS Multitenant Gateway)
Load Balancer

Funzioni Network Virtualizzate

La diffusione della virtualizzazione ha coinvolto anche il settore network e c’è sempre più interesse nelle appliance virtuali e nei servizi cloud che erogano servizi di rete con un mercato emergente in forte crescita. Nei software defined datacenter vediamo infatti sempre più frequentemente l’utilizzo di appliance virtuali per erogare funzionalità di rete che tipicamente venivano erogate esclusivamente da apparati fisici (come ad esempio bilanciatori, firewall, router, switch, etc.).

In Windows Server 2016 Technical Preview sono disponibili le seguenti virtual appliance:

Software Load Balancer

Si tratta di un bilanciatore software layer-4, con caratteristiche analoghe al load balancer già ampliamente utilizzato sulla piattaforma Azure. Per maggiori informazioni su Microsoft Azure Load Balancing Services vi invito a consultare Microsoft Azure Load Balancing Services.

Firewall Multi-Tenant

Il Datacenter Firewall, figura 3, è un nuovo servizio introdotto in Windows Server 2016. Questo firewall è in grado di proteggere il layer network delle reti virtuali ed è pensato per essere multitenant. Quando viene implementato può essere offerto come servizio dal service provider e l’amministratore del tenant può installare e configurare delle firewall policy per proteggere le proprie reti virtuali da potenziali attacchi che provengono da internet o dalle reti interne.

Figura 3 – Firewall Policy

La gestione del Datacenter Firewall può essere fatta utilizzando il network controller. Il Datacenter Firewall offre i seguenti vantaggi per il cloud service provider:

Un servizio firewall software scalabile e gestibile che può essere offerto come servizio ai propri tenant
Offre protezione ai tenant indipendentemente dal sistema operativo in esecuzione sulla macchina virtuale
Libertà di spostare le macchine virtuali dei tenant su host della fabric differenti senza interrompere le funzionalità firewall erogate in quanto:
L’agente firewall viene deployato come porta vSwitch;
Le macchine virtuali del tenant prendono le policy assegnate al loro vSwitch;
Le regole del firewall vengono configurate in ogni porta del vSwitch, indipendentemente dall’host fisico che detiene la macchina virtuale

Per quanto riguarda i tenant invece il Datacenter Firewall offre i seguenti vantaggi:

Possibilità di definire regole sul firewall per aumentare la protezione dei workload esposti nelle virtual network verso Internet
Possibilità di creare delle regole sul firewall per la protezione tra macchine virtuali presenti sulla stessa subnet layer 2 oppure su subnet L2 differenti
Possibilità di definire delle regole firewall per aumentare la protezione e isolare il traffico di rete tra la rete tenant on premise e la propria virtual network presente presso il service provider

RAS Gateway

RAS Gateway viene utilizzato per fare routing del traffico di rete tra le reti virtuali e le reti fisiche. Diversi sono gli ambiti di utilizzo:

Site-to-Site Gateway

Soluzione gateway multi-tenant, figura 4, che consente ai tenant di accedere alle loro risorse e di gestirle utilizzando una connessione VPN site-to-site. Grazie a questo gateway è possibile mettere in comunicazione risorse virtuali nel cloud con la rete fisica del tenant.

Figura 4 – S2S Gateway

Forwarding Gateway

Utilizzato per fare routing del traffico di rete tra le reti virtuali e la rete fisica del provider di hosting (nella stessa location geografica) – figura 5.

Figura 5 – Forwarding Gateway

GRE Tunnel Gateway

I gateway sono in grado di creare tunnel basati sul protocollo GRE che forniscono connettività tra le virtual network dei tenant e le reti esterne. Il protocollo GRE è supportato in molti apparati di rete, pertanto è una scelta ideale quando non viene richiesta l’encryption del canale. Per maggiori dettagli sul tunnel GRE vi invito a consultare GRE Tunneling in Windows Server Technical Preview.

Hyper-V Network Virtualization

La Network Virtualization di Hyper-V (HNV) è un componente fondamentale della soluzione Software Defined Networking (SDN) di Microsoft e come tale sono molte le novità introdotte in Windows Server 2016 per renderlo sempre più funzionale e integrato nello stack SDN.

Un aspetto importante da tenere in considerazione quando si parla di SDN è che lo stesso stack è consistente con Microsoft Azure e ci consente quindi di portare le stesse potenzialità utilizzate nel public cloud di Azure presso la propria realtà.

Programmable Hyper-V Switch

Tramite il componente Network Controller è possibile fare la push delle policy HNV, figura 6, verso l’agent in esecuzione su ogni host che utilizza l’Open vSwitch Database Management Protocol (OVSDB – RFC 7047). L’Host Agent memorizza queste policy utilizzando una customizzazione dello schema VTEP ed è in grado di programmare regole anche complesse all’interno del performante motore dell’Hyper-V virtual switch.

Figura 6 – Push Policies

Supporto a VXLAN Encapsulation

Il protocollo Virtual eXtensible Local Area Network (VXLAN – RFC 7348) è stato ampliamente adottato sul mercato con il supporto di importanti vendor come Cisco, Brocade, Dell, HP e altri. L’HNV ora supporta questo schema di incapsulamento utilizzando la modalità di distribuzione MAC attraverso il Microsoft Network Controller, il quale consente di programmare l’associazione tra gli indirizzi IP del tenant (Customer Address – CA) e gli indirizzi IP della rete fisica (Provider Address – PA). Il protocollo di incapsulamento Network Virtualization Generic Routing Encapsulation (NVGRE) continua ad essere supportato anche in Windows Server 2016.

Interoperabilità con il Software Load Balancer (SLB)

Il software load balancer (SLB) presentato in precedenza è pienamente supportato in ambito reti virtuali. Il SLB avviene attraverso il performante motore del virtual switch e controllato dal network controller per quanto riguarda il mapping Virtual IP (VIP) – Dynamic IP (DIP).

IEEE Compliant

Per garantire la piena interoperabilità con apparati di rete fisici e virtuali Microsoft garantisce che tutti i pacchetti trasmessi quando si utilizza HNV sono in tutti i suoi campi compliant con gli standard dettati da IEEE. Questo aspetto è stato fortemente curato e ulteriormente migliorato in Windows Server 2016.

Nuovi Elementi Introdotti (Cloud Scale Fundamentals)

In Windows Server 2016 sono state introdotte le seguenti funzionalità per avere la possibilità di configurare il proprio ambiente in modo più efficace, sfruttando al meglio le risorse hardware a disposizione:

Converged Network Interface Card (NIC): Questa funzionalità consente di utilizzare una singola scheda di rete per gestire tipologie differenti di traffico: il management, l’accesso allo storage (RDMA) e il traffico dei tenant. In questo modo è possibile diminuire il numero di schede di rete necessarie per ogni host fisico.

Switch Embedded Teaming (SET): SET è una nuova soluzione di NIC Teaming integrata nei Virtual Switch di Hyper-V. SET consente di avere teaming composti fino ad un massimo di otto schede di rete fisiche in un unico SET team. Questa modalità di teaming, essendo integrata nei virtual switch, può essere utilizzata solo sugli host fisici e non all’interno delle macchine virtuali, dove sarà comunque possibile configurare teaming in modo tradizionale (NIC Teaming in Virtual Machines). Questa modalità di teaming non espone interfacce di team, ma le configurazioni vanno apportate tramite Virtual Switch port.

Packet Direct: Packet Direct consente di raggiungere un elevato throughput e una bassa latenza per il traffico di rete.

Novità Apportate ai Servizi Esistenti

DHCP
La funzionalità Network Access Protection (NAP) è già nello stato “deprecated” in Windows Server 2012 R2. In Windows Server 2016 il ruolo DHCP Server non supporterà più la funzionalità NAP e gli scope DHCP non potranno più essere NAP-enabled.

DNS Server
Approfondiamo ora quelle che sono in Windows Server 2016 le diverse novità introdotte sul servizio DNS Server per migliorare l’efficacia e la sicurezza:

DNS Policy: è possibile configurare delle policy DNS per definire come il server DNS risponde alle query DNS. Le risposte DNS possono essere in base a molti parametri, come ad esempio all’indirizzo IP del client (location) oppure all’ora del giorno. Le policy DNS aprono le porte a diversi scenari di configurazione come DNS location-aware, gestione del traffico, load balancing e split-brain DNS.

Response Rate Limiting (RRL): è possibile configurare sul server DNS dei limiti sul response rate. Questo tipo di configurazione ci consente di evitare l’utilizzo del sistema DNS da parte di sistemi malevoli per effettuare attacchi di tipo DOS (denial of service).

DNS-based Authentication of Named Entities (DANE): è possibile utilizzare i record TLSA (Transport Layer Security Authentication) per fornire informazioni ai DNS Client riguardanti quale CA è attesa per uno specifico domain name. Questo meccanismo risulta utile per poter prevenire attacchi ti tipologia man-in-the-middle.

Supporto degli Unknown Record: questa funzionalità consente di aggiungere record che non risultano supportati in modo esplicito dal Server DNS Windows.

IPv6 root hints: è possibile utilizzare gli IPV6 root server per effettuare la risoluzione dei nomi Internet.

Windows PowerShell Support: è stato migliorato il supporto PowerShell introducendo nuovi cmdlets per il DNS Server.

DNS e IPAM: miglior integrazione tra il servizio DNS e IPAM.

Vi invito ad approfondire e valutare direttamente sul campo le nuove funzionalità introdotte in ambito networking scaricando Windows Server 2016.

Virtual Machine Manager 2012 R2: Integrazione con IPAM

In questo articolo verrà mostrato come è possibile integrare l’infrastruttura IPAM con System Center Virtual Machine Manager 2012 R2 e quali sono i relativi vantaggi.

IP Address Management (IPAM) è una suite di strumenti, integrata nel sistema operativo a partire da Windows Server 2012, che consente di pianificare, gestire e monitorare l’infrastruttura degli indirizzamenti IP utilizzando una semplice ed intuitiva interfaccia di amministrazione centralizzata. Tutto questo è reso possibile grazie al fatto che IPAM è in grado di individuare e di comunicare direttamente con i server DNS e DHCP presenti nella rete.

La gestione flessibile della Fabric messa a disposizione da System Center Virtual Machine Manager (SCVMM) ci consente di modellare e gestire al meglio il networking del proprio datacenter virtuale. Per avere un controllo completo e globale degli indirizzamenti IP assegnati su tutta la rete è possibile integrare IPAM con SCVMM. Lo scopo principale dell’integrazione tra IPAM e SCVMM è garantire che anche le impostazioni degli indirizzamenti IP associate alle Logical Network e alle Virtual Machine Networks (VM networks) in SCVMM vengano sincronizzate con le informazioni mantenute a livello centralizzato dal server IPAM.

In realtà enterprise un singolo server IPAM può inoltre rilevare e prevenire conflitti IP e sovrapposizioni negli spazi di indirizzamenti IP anche per più istanze di SCVMM 2012 R2 (fabric stamps), come mostra la figura 1.

Figura 1 – Schema IPAM

Aggiungere un Server IPAM in SCVMM

Dalla console di SCVMM accedere al workspace Fabric ed espandere Networking. Nel ramo Network Service selezionare “Add Network Services”, figura 2.

Figura 2 – Aggiunta Nuovo Servizio

Specificare un nome ed una descrizione per il network service, figura 3.

Figura 3 – Aggiunta Nome

Come manufacturer è necessario selezionare Microsoft e come Model “Microsoft Windows Server IP Address Management”, figura 4.

Figura 4 – Provider

– Specificare quale Run As account utilizzare, il quale dovrà appartenere sul server IPAM ai seguenti gruppi, figura 5:

IPAM ASM Administrators: gruppo locale presente in tutti i server IPAM che fornisce le autorizzazioni per la gestione degli address space (Address Space Management, ASM).
Remote Management Users: built-in user group che consente di accedere alle risorse WMI tramite protocolli di gestione.

A tal proposito si consiglia di creare un account di dominio specifico per questo scopo.

Figura 5 – Run As Account

Nella connection string specificare il nome FQDN del server IPAM, figura 6.

Figura 6 – Server Name

Effettuare i test relativi al Configuration provider ed assicurarsi che si concludano con esito positivo, figura 7.

Figura 7 – Validazione IPAM

Associare il Network Service (IPAM in questo caso) agli opportuni host, figura 8.

Figura 8 – Selezione Host

Al termine di questa configurazione sul server IPAM saranno presenti tutte le Logical Network e le VM Network definite in VMM e sarà possibile gestirle direttamente dalla console di amministrazione di IPAM. L’integrazione è bidirezionale e consente agli amministratori di aver un maggior controllo anche degli indirizzamenti IP utilizzati dalla propria infrastruttura virtuale, come mostra la figura 9.

Figura 9 – Console IPAM