Archivi categoria: Security & Compliance

Azure management services e System Center: novità di Marzo 2020

Nel mese di marzo ci sono state diverse novità annunciate da parte di Microsoft riguardanti gli Azure management services e System Center. In questo riepilogo, che riportiamo con cadenza mensile, vengono elencati i principali annunci, accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.

Azure Monitor

Integrazione con Azure Security Center

In Azure Security Center (ASC) è stata introdotta l’integrazione con Azure Monitor. Infatti in ASC è stata messa a disposizione la possibilità di esportazione continua verso un workspace di Log Analytics. Grazie a questa funzionalità è possibile configurare alert rules di Azure Monitor a fronte di raccomandazioni ed alert esportati da Security Center. Ne consegue che sarà possibile attivare action group per ottenere scenari di automazione supportati da Azure Monitor.

Disponibilità del servizio Azure Monitor for VMs

In Azure monitor è stato rilasciato il servizio che consente di effettuare il monitor delle macchine virtuali, chiamato Azure Monitor for VMs. Questo servizio analizza i dati di performance e lo stato delle macchine virtuali, effettua il monitor dei processi installati e ne esamina le relative dipendenze.

Il servizio Azure Monitor for VMs è suddiviso secondo tre differenti prospettive:

  • Health: i componenti logici presenti a bordo delle macchine virtuali vengono valutati secondo specifici criteri pre-configurati, generando alert quando si verificano determinate condizioni.
  • Performance: vengono riportati i dati principali di performance, provenienti dal sistema operativo guest.
  • Map: viene generata una mappa con le interconnessioni presenti tra vari componenti che risiedono su sistemi differenti.

Tale soluzione può essere utilizzata su macchine virtuali Windows e Linux, indipendentemente dall’ambiente in cui esse risiedono (Azure, on-premises oppure presso altri cloud provider).

Nuova versione dell’agente per sistemi Windows e Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Windows e per sistemi Linux. In entrambi i casi vengono introdotti diversi miglioramenti e una maggiore stabilità.

SHA-2 signing per l’agente di Log Analytics

L’agente Log Analytics per Windows inizierà a imporre la firma SHA-2 a partire dal 18 maggio 2020. Questa modifica richiede un’azione nel caso si esegua l’agente su una versione del sistema operativo legacy (Windows 7, Windows Server 2008 R2 oppure Windows Server 2008) . I clienti che si trovano in questa condizione devono applicare gli aggiornamenti e le patch più recenti su questi sistemi operativi prima del 18 maggio 2020, altrimenti i loro agenti smetteranno di inviare dati verso i workspace di Log Analytics. Saranno interessati da questo cambiamento i seguenti servizi Azure: Azure Monitor, Azure Automation, Azure Update Management, Azure Change Tracking, Azure Security Center, Azure Sentinel, Windows Defender ATP.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 45 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Azure Backup

Azure Backup Report

In Azure Backup è stata annunciato il rilascio della soluzione Azure Backup Report. Si tratta di uno strumento disponibile nel portale Azure che mette a disposizione dei report per rispondere a molte domande sull’andamento dei backup, tra le quali: “Quali elementi di backup consumano più spazio di archiviazione?”, “Quali macchine hanno avuto costantemente comportamenti anomali di backup?”, “Quali sono le principali cause di errore del processo di backup?”. I report forniscono informazioni in modo trasversale tra tipologie di workload differenti, vaults, subscriptions, regions e tenants. Anche per questo strumento è garantito il supporto di Windows Server 2008, per facilitare le operazioni di migrazione dei sistemi on-premises basati su Windows Server 2008 verso Azure, processo grazie al quale è possibile continuare ad ottenere le patch di security.

Azure Automation

Disponibilità in nuove regions

Azure Automation è ora disponibile in preview nelle region di ” US Gov Arizona”.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Please follow and like us:

L’encryption dei dati in Azure

Uno degli ambiti relativi al miglioramento delle Security Posture del sistema informativo aziendale è certamente la crittografia del dato che, tramite l’adozione di tecniche specifiche, permette di rendere leggibili i dati solamente a chi possiede la soluzione per decifrarli. In questo articolo viene fornita una panoramica di come l’encryption viene adottata in Azure e vengono riportati i riferimenti per effettuare ulteriori approfondimenti.

Per proteggere i dati nel cloud, è necessario prima di tutto prendere in considerazione i possibili stati in cui i dati possono trovarsi e valutare di conseguenza i relativi controlli che è possibile attuare. Le procedure consigliate per la sicurezza e la crittografia dei dati, in particolare in Azure, riguardano i seguenti stati:

  • At rest: include tutte le informazioni che risiedono in modo statico sui supporti storage fisici, sia magnetici che ottici.
  • In transito: quando i dati vengono trasferiti tra componenti, location oppure servizi, vengono definiti in transito. Ad esempio, il trasferimento di dati attraverso la rete, tramite un service bus oppure durante processi di input / output.

Encryption at Rest

L’Encryption at Rest è una tecnica fortemente raccomandata ed è un requisito prioritario per molte organizzazioni per adempiere a politiche di governance e di conformità dei dati. Differenti regolamenti specifici del settore e di governo, impongono la presenza di misure obbligatorie in materia di protezione e di crittografia dei dati. L’Encryption at Rest prevede quindi la crittografia del dato quando è persistente e viene utilizzata, oltre che per soddisfare i requisiti di conformità e normativi, anche per avere un elevato livello di protezione dei propri dai. La piattaforma Azure prevede nativamente l’adozione di avanzati meccanismi di sicurezza fisica, di controllo dell’accesso ai dati e di audit. Tuttavia, è importante adottare misure di sicurezza sovrapposte per far fronte a potenziali fallimenti, e l’Encryption at Rest è un’ottima soluzione per garantire la riservatezza, la conformità e la sovranità dei dati.

Modelli di crittografia dei dati lato server

I modelli di crittografia dei dati lato server si riferiscono alla crittografia eseguita dai servizi Azure. In questo modello è l’Azure Resource Provider che esegue le operazioni di crittografia e decrittografia. In Azure sono disponibili diversi modelli di Encryption at Rest lato server, ciascuno dei quali con caratteristiche differenti nella gestione delle chiavi, che possono essere applicati alle differenti risorse Azure:

  • Crittografia lato server mediante chiavi gestite dal servizio. In questo scenario le chiavi di crittografia vengono gestire da Microsoft e risulta essere una buona combinazione tra controllo e praticità.
  • Crittografia lato server usando chiavi gestite dal cliente in Azure Key Vault. Con questa modalità le chiavi di crittografia vengono controllate dal cliente tramite Azure Key Vault, ed è incluso il supporto per utilizzare le proprie chiavi (BYOK).
  • Crittografia lato server che utilizza chiavi gestite dal cliente su hardware controllato dal cliente. Questa metodologia permette al cliente di controllare le chiavi che risiedono su un repository controllato dal cliente, al di fuori del controllo Microsoft. Questa caratteristica è chiamata Host Your Own Key (HYOK). Tuttavia, la configurazione è articolata e al momento la maggior parte dei servizi di Azure non supporta questo modello.

Figura 1 – Server-side encryption model

Modelli di crittografia dei dati lato client

Il modello di crittografia dei dati lato client si riferisce alla crittografia eseguita all’esterno di Azure e viene effettuata direttamente dal servizio o dall’applicazione chiamante. Quando si adotta questo modello di crittografia, il Resource Provider in Azure riceve i dati crittografati senza la possibilità di decifrarli o di accedere alle chiavi di crittografia. In questo modello, la gestione delle chiavi viene eseguita dal servizio o dall’applicazione chiamante ed è oscura per il servizio Azure.

Figura 2 – Client-side encryption model

Encryption at Rest per i principali servizi Azure

Azure Storage

Azure Storage provvede in automatico alla crittografa dei dati quando vengono resi persistenti nell’ambiente cloud. Infatti, tutti i servizi Azure Storage (Blob storage, Queue storage, Table storage, ed Azure Files) supportano la crittografia dei dati at rest lato server ed alcuni di questi supportano anche la crittografia dei dati lato client e le chiavi di encryption gestite dal cliente.

  • Server-side: tutti i servizi storage di Azure di default hanno abilitata l’encryption server-side mediante chiavi gestite dal servizio. Per gli Azure Blob storage e gli Azure Files è supportata anche la crittografia usando chiavi gestite dal cliente in Azure Key Vault. La tecnologia utilizzata è chiamata Azure Storage Service Encryption, in grado in automatico di crittografare i dati prima di essere memorizzati e di decodificarli quando vengono acceduti. Questo processo è completamente trasparente all’utente e prevede l’utilizzo della crittografia AES a 256 bit, una delle crittografie a blocchi più potenti attualmente disponibili. La crittografia di Azure Storage è simile alla crittografia BitLocker in ambiente Windows. L’ Azure Storage encryption è abilitata di default per tutti i nuovi storage account e non può essere disabilitata. Gli storage account sono crittografati indipendentemente dal livello di prestazioni (standard o premium) o dal modello di distribuzione (Azure Resource Manager o classico). Tutte le opzioni di ridondanza previste per gli storage account supportano la crittografia e tutte le copie di uno storage account sono sempre crittografate. La crittografia non influisce sulle prestazioni degli storage account e non prevede costi aggiuntivi.
  • Client-side: questa encryption è al momento supporta da Azure Blobs, Tables, e Queues. Quando utilizzata il dato viene crittografato dal cliente gestendo le proprie chiavi e ne viene fatto l’upload come blob criptato.

Macchine Virtuali

Tutti i Managed Disks, le Snapshots e le immagini delle macchine virtuali in Azure sono criptati utilizzando Storage Service Encryption tramite chiavi gestite dal servizio. Durante l’elaborazione dei dati su una macchina virtuale, i dati possono essere mantenuti nel file di paging di Windows o nel file di swap Linux, in un crash dump oppure in un application log. Per ottenere quindi una soluzione di Encryption at Rest più completa su macchine virtuali IaaS e per dischi virtuali, che garantisce che i dati non vengano mai mantenuti in forma non crittografata, è necessario utilizzare Azure Disk Encryption . Questa funzionalità consente di proteggere macchine virtuali Windows, utilizzando la tecnologia Windows BitLocker, e le macchine virtuali Linux tramite DM-Crypt. Affidandosi ad Azure Disk Encryption si ottiene una protezione completa dei dischi del sistema operativo e dei volumi dati. Le chiavi di Encryption e i secrets sono protette all’interno del proprio Azure Key Vault. La protezione di macchine virtuali encrypted è supportata dal servizio Azure Backup. Per maggiori informazioni in merito ad Azure Disk Encryption è possibile consultare la documentazione ufficiale Microsoft.

Azure SQL Database

Azure SQL Database attualmente supporta la crittografia at rest secondo le seguenti modalità:

  • Server-side: l’encryption lato server è garantita tramite una funzionalità di SQL chiamata Transparent Data Encryption (TDE) e può essere attivata sia a livello di server che di database. A partire da giugno 2017 questa funzionalità è attiva di default per tutti i nuovi database. TDE protegge i dati e i file di log di SQL, utilizzando algoritmi di crittografia AES e Triple Data Encryption Standard (3DES). La crittografia dei file dei database viene eseguita a livello di pagina, le quali vengono crittografate prima di essere scritte su disco e vengono de-crittografate quando vengono lette in memoria.
  • Client-side: la crittografia dei dati lato client per Azure SQL Database è supportata tramite la funzionalità Always Encrypted, che utilizza chiavi generate e memorizzate lato client. Adottando questa tecnologia è possibile crittografare i dati all’interno delle applicazioni client prima di archiviarli nell’Azure SQL database.

Così come per Azure Storage e per Azure SQL Database, anche per molti altri servizi Azure (Azure Cosmos DB, Azure Data Lake, etc.) l’encryption dei dati at rest avviene di default, ma per altri servizi può essere attivata opzionalmente.

Encryption in Transit in Azure

Anche la protezione dei dati in transito deve essere un elemento essenziale da tenere in considerazione nella propria strategia di protezione dei dati. In genere è consigliato proteggere lo spostamento e lo scambio dei dati utilizzando sempre i protocolli SSL / TLS. In determinate circostanze, potrebbe essere opportuno isolare l’intero canale di comunicazione tra l’ambiente on-premises e il cloud utilizzando una VPN. Microsoft utilizza il protocollo TLS (Transport Layer Security) per proteggere i dati quando viaggiano tra i servizi cloud e i clienti. Infatti, viene negoziata una connessione TLS tra i datacenter Microsoft e i sistemi client che si connettono ai servizi di Azure. Il protocollo TLS garantisce autenticazione avanzata, privacy dei messaggi e integrità (consente il rilevamento di manomissioni, intercettazione e falsificazione dei messaggi).

Conclusioni

Il tema della protezione tramite encryption dei dati archiviati in ambiente Azure è ritenuto di fondamentale importanza per coloro che decidono di affidarsi ai servizi nel cloud. Sapere che tutti i servizi Azure forniscono opzioni di crittografia at rest e che per i servizi di base la crittografia è abilitata di default, è sicuramente molto confortante. Alcuni servizi supportano anche il controllo delle chiavi di encryption da parte del cliente e la crittografia lato client per offrire un maggiore livello di controllo e flessibilità. Microsoft sta migliorando costantemente i propri servizi per garantire un maggiore controllo delle opzioni di crittografia at rest ed ha l’obiettivo di abilitare l’encryption at rest come impostazione predefinita per tutti i dati dei clienti.

Please follow and like us:

Sicurezza nel cloud con la soluzione Azure Sentinel

Microsoft ha recentemente annunciato una nuova soluzione cloud chiamata Azure Sentinel. Si tratta di un servizio che intende ampliare le capacità e le potenzialità dei prodotti SIEM (Security Information and Event Management) tradizionali, andando ad utilizzare le potenzialità del cloud e l’intelligenza artificiale per poter identificare rapidamente e gestire le minacce di security che interessano la propria infrastruttura. In questo articolo vengono riportate le caratteristiche principali della soluzione.

Azure Sentinel è una soluzione che permette in tempo reale di analizzare eventi e informazioni di security generati all’interno della propria infrastruttura ibrida, provenienti da server, applicazioni, dispositivi e utenti. Si tratta di un servizio totalmente cloud-based, ne consegue che si può facilmente scalare ed avere elevate velocità nell’elaborazione delle informazioni, senza la necessità di dover implementare e gestire un’infrastruttura dedicata, per intercettare potenziali minacce di sicurezza.

Il servizio Azure Sentinel può essere attivato direttamente dal portale Azure:

Figura 1 – Creazione del servizio Azure Sentinel

Principi di funzionamento di Azure Sentinel

Raccogliere i dati all’interno dell’infrastruttura

Azure Sentinel si appoggia ad Azure Monitor che, utilizzando l’ormai collaudato e scalabile repository di Log Analytics, è in grado di ospitare una elevata mole di dati, i quali è possibile elaborarli efficacemente grazie a un motore che garantisce elevate performance.

Figura 2 – Aggiunta di Azure Sentinel a un workspace Log Analytics esistente

Con Azure Sentinel è possibile aggregare differenti dati di sicurezza provenienti da numerose fonti, utilizzando degli appositi connettori incorporati nella soluzione. Azure Sentinel è in grado di connettersi, oltre a differenti soluzioni della platform, anche alle soluzioni di rete più diffuse e popolari di vendor di terze parti, tra cui Palo Alto Networks, F5, Symantec, Fortinet e Check Point. Azure Sentinel dispone anche di una integrazione nativa con i log che rispettano i formati standard, come common event e syslog.

Figura 3 – Data Connectors

Utilizzando questa soluzione si ha inoltre la possibilità di importare facilmente i dati provenienti da Microsoft Office 365 e combinarli con altri dati di sicurezza, al fine di ottenere un’analisi dettagliata del proprio ambiente e avere visibilità sull’intera sequenza di un attacco.

Figura 4 – Office 365 Connector

Azure Sentinel si integra inoltre con l’API di Microsoft Graph Security, che consente di importare i propri feed di threat intelligence e di personalizzare le regole di rilevamento di potenziali incidenti di sicurezza e di notifica.

Analizzare e individuare rapidamente le minacce utilizzando l’intelligenza artificiale

Azure Sentinel utilizza algoritmi scalabili di apprendimento automatico, in grado di correlare una elevata quantità di dati di sicurezza, per presentare all’analista solo potenziali incidenti di sicurezza, il tutto con un elevato livello di affidabilità. Grazie a questo meccanismo Azure Sentinel si differenzia dalle altre soluzioni SIEM, che adottano motori di correlazione tradizionali, riducendo drasticamente il rumore e di conseguenza l’effort per le valutazioni necessarie nella rilevazione delle minacce.

Figura 5 – Azure Sentinel Overview

In seguito all’abilitazione dei Data Collector necessari, si inizieranno a ricevere i dati nel workspace di Log Analytics e configurando delle Alert Rules, è possibile generare dei Cases per segnalare delle potenziali minacce di sicurezza. Per maggiori dettagli su come rilevare dei threats con Azure Sentinel si rimanda alla documentazione ufficiale Microsoft.

Indagare attività di security sospette

I dati elaborati dalla soluzione sono consultabili utilizzando delle dashboard, personalizzabili in base alle proprie esigenze. Le dashboard consentono di condurre le indagini riducendo i tempi necessari per comprendere la portata di un attacco e il suo impatto.

Figura 6 – Dashboard disponibili in Azure Sentinel

Figura 7 – Azure Network Watcher dashboard

Nel caso vengano rilevate delle minacce di sicurezza, a fronte delle Alert Rule impostate, viene generato un Case, per il quale è possibile impostare la severity, lo status e la relativa assegnazione.

Figura 8 – Cases

Tramite la console è possibile procedere con l’investigation del case:

Figura 9 – Case Investigation

Nelle stesse dashboard è anche possibile compiere azioni. Le attività di ricerca proattiva di operazioni sospette sono un aspetto fondamentale per gli analisti della sicurezza, che con Azure Sentinel possono essere effettuate tramite due funzionalità specifiche che consentono di automatizzare l’analisi: query di ricerca (hunting queries) e Azure Notebooks (basati sui notebook Jupyter), che vengono costantemente aggiornati.

Figura 10 – Hunting queries

Figura 11 – Esempio di un Azure Notebook

Automatizzare le attività comuni e la risposta alle minacce

Azure Sentinel fornisce la possibilità di automatizzare e orchestrare le risposta ai problemi più comuni, in modo da non dover compiere manualmente attività ripetitive. Tramite dei playbooks predefiniti e personalizzabili è possibile rispondere rapidamente alle minacce di sicurezza.

Figura 12 – Alert playbooks

Figura 13 – Logic Apps Designer

Microsoft ha inoltre annunciato che saranno aumentati gli strumenti di difesa e investigazione integrati nella soluzione.

Conclusioni

Azure Sentinel è una soluzione completa che fornisce un SIEM nativo nel cloud e introduce importanti benefici rispetto alle soluzioni SIEM tradizionali, le quali richiedono di sostenere costi elevati per la manutenzione dell’infrastruttura e per l’elaborazione dei dati. Azure Sentinel consente ai clienti di semplificare le attività necessarie per mantenere elevata la sicurezza dell’infrastruttura e di scalare gradualmente in base alle proprie esigenze, mettendo a disposizione un’ampia integrazione con soluzioni di terze parti.

Please follow and like us:

Azure Security Center: introduzione alla soluzione

Azure Security Center è una soluzione nel cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano le risorse Azure e workloads in ambienti ibridi. In questo articolo vengono riportate le caratteristiche principali e le diverse funzionalità, per indirizzare casi di utilizzo e per comprendere le potenzialità dello strumento.

Funzionalità e caratteristiche principali di Azure Security Center

  • Gestisce delle policy di sicurezza in modo centralizzato. Garantisce la conformità rispetto ai requisiti di sicurezza che si intende imporre a livello aziendale e normativo. Il tutto viene gestito in modo centralizzato tramite delle policy di sicurezza che si potranno applicare ai differenti workloads.

Figura 1 – Policy & compliance Overview

Figura 2 – Policy management

  • Effettua un Security Assessment. In modo continuativo viene monitorata la situazione in termini di sicurezza di macchine, reti, storage e applicazioni, al fine di individuare potenziali problemi security.
  • Fornisce delle raccomandazioni che è possibile attuare. Vengono riportate delle indicazioni che è consigliato attuare per risolvere delle vulnerabilità di sicurezza che interessano il proprio ambiente, prima che queste possano essere sfruttate in potenziali attacchi informatici.

Figura 3 – Elenco raccomandazioni

  • Assegna delle priorità agli avvisi e ad eventuali incidenti di sicurezza. Grazie a questa prioritarizzazione è possibile focalizzarsi prima sulle minacce di sicurezza che possono impattare maggiormente sulla propria infrastruttura.

Figura 4 – Assegnazione severity per ogni segnalazione

Figura 5 – Assegnazione severity per ogni potenziale incident di security rilevato

  • Consente di configurare l’ambiente cloud per proteggerlo efficacemente. Viene messo a disposizione un metodo semplice, rapido e sicuro per consentire l’accesso just in time alle porte di gestione dei sistemi e alle applicazioni in esecuzione sulle VM, applicando controlli adattivi.

Figura 6 – Abilitazione Just in time VM access

  • Fornisce una soluzione di sicurezza completamente integrata. Consente di collezionare, ricercare e analizzare i dati di security provenienti da sorgenti differenti, comprendendo la possibilità di integrazione con soluzione di terze parti.

Figura 7 – Integrazioni con altre soluzioni di security

 

Costo della soluzione

Security Center viene offerto in due possibili tiers:

  • Free tier. In questo tier Azure Security Center è totalmente gratuito e fornisce visibilità sullo stato di sicurezza delle sole risorse che risiedono in Azure. Tra le funzionalità offerte troviamo: basic security policy, raccomandazioni di sicurezza e integrazione con i prodotti e i servizi di sicurezza di terze parti.
  • Standard tier. Rispetto al tier free aggiunge funzionalità avanzate di rilevamento delle minacce (tra cui threat intelligence), analisi comportamentale, rilevamento delle anomalie e di incidenti di sicurezza e report di attribuzione delle minacce. Lo standard tier estende la visibilità sulla security delle risorse che risiedono on-premises e a workloads ibridi. Attraverso tecniche di machine learning e avendo la possibilità di creare delle whitelist consente di bloccare malware e applicazioni non desiderate.

Figura 8 – Confronto di funzionalità tra i pricing tiers disponibili

 

Il tier Standard è possibile provarlo gratuitamente per 60 giorni dopodiché, se si desidera continuare ad utilizzare la soluzione, si ha un costo mensile per singolo nodo. Per maggiori informazioni sui costi della soluzione è possibile accedere alla pagina ufficiale dei costi.

Figura 9 – Schermata di upgrade al tier Standard

Per poter usufruire di tutte le funzionalità di Security Center è necessario applicare il tier Standard alla sottoscrizione o al gruppo di risorse contenente le macchine virtuali. La configurazione del tier Standard non abilita automaticamente tutte le funzionalità, ma alcune di queste richiedono configurazioni specifiche, come ad esempio VM just in time, i controlli adattivi delle applicazioni e la network detection per le risorse Azure.

 

Principi fondamentali di funzionamento

La raccolta dei dati di security dai sistemi, indipendentemente dalla loro locazione, avviene tramite il Microsoft Monitoring Agent, che ne provvede al relativo invio verso un workspace di Log Analytics. Security Center necessita quindi sempre di un workspace sul quale sarà abilitata la seguente solution in base al tier scelto:

  • Free tier: il Security Center abilita la solution SecurityCenterFree.
  • Standard tier: il Security Center abilita la solution Security. Se nel workspace è già installata la solution Security & Auditviene utilizzata quella e non viene installato nulla di aggiuntivo.

Per salvare i dati collezionati dal Security Center è possibile utilizzarne un workspace di Log Analytics creato di default oppure selezionarne uno specifico associato alla relativa subscription Azure.

Figura 10 – Configurazione del workspace di Log Analytics dove collezionare i dati raccolti

Conclusioni

Azure Security Center risulta una soluzione idonea, matura e strutturata per far fronte alle esigenze di sicurezza per ambienti cloud, on-premises oppure ibridi. Grazie alle diverse funzionalità contemplate mette a disposizione la conoscenza che Microsoft ha maturato nella gestione dei propri servizi, coniugandola con nuove e potenti tecnologie, come machine learning e big data, per trattare e gestire in modo consapevole ed efficace il tema della sicurezza.

Please follow and like us:

Microsoft Azure: panoramica delle soluzioni di monitoring per la rete

In Microsoft Azure sono disponibili diverse soluzioni che consentono di monitorare le risorse di rete, non solo per ambienti cloud, ma anche in presenza di architetture ibride. Si tratta di funzionalità cloud-based, orientate a controllare lo stato di salute della rete e la connettività verso le proprie applicazioni. Inoltre, sono in grado di fornire informazioni dettagliate sulle performance di rete. In questo articolo verrà effettuata una panoramica delle diverse soluzioni riportandone le caratteristiche principali, necessarie per orientarsi nell’utilizzo degli strumenti di monitor della rete più opportuni per le proprie esigenze.

Network Performance Monitor (NPM) è una suite che comprende le seguenti soluzioni:

  • Performance Monitor
  • ExpressRoute Monitor
  • Service Endpoint Monitor

Oltre agli strumenti inclusi in Network Performance Monitor (NPM) è possibile utilizzare Traffic Analytics e DNS Analytics.

Performance Monitor

L’approccio sempre più frequentemente utilizzato è quello di avere ambienti ibridi con un networking eterogeneo, che consente di mettere in comunicazione la propria infrastruttura on-premises con l’ambiente implementato nel cloud pubblico. In alcuni casi si potrebbe disporre anche di differenti cloud provider, che rendono ancor più complicata l’infrastruttura di rete. Questi scenari richiedono pertanto l’utilizzo di strumenti di monitor flessibili e che possano lavorare in modo trasversale on-premises, in cloud (IaaS), e in ambienti ibridi. Performance Monitor ha tutte queste caratteristiche e grazie all’utilizzo di transazioni sintetiche, fornisce la possibilità di monitorare, pressoché in tempo reale, i parametri di rete per avere le informazioni relative alle performance, come la perdita di pacchetti e la latenza. Inoltre, questa soluzione consente di localizzare facilmente la sorgente di una problematica in uno specifico segmento di rete o identificando un determinato dispositivo. La soluzione richiede la presenza dell’agente di OMS e tenendo traccia dei pacchetti di retransmission e del tempo di roundtrip, è in grado di restituire un grafico di facile e immediata interpretazione.

Figura 1 – Diagramma Hop-by-hop fornito da Performance Monitor

Dove installare gli agenti

L’installazione dell’agente di Operations Management Suite (OMS) è necessario farla su almeno un nodo connesso a ogni sottorete dalla quale si intende monitorare la connettività verso altre sottoreti. Nel caso si intenda monitorare uno specifico link di rete è necessario installare gli agenti su entrambe gli endpoint del link. Nei casi dove non si è a conoscenza della topologia esatta di rete, un possibile approccio è quello di installare gli agenti su tutti i server che detengono workload particolarmente critici e per i quali è necessario monitorare le performance di rete.

Costo della soluzione

Il costo della funzionalità Performance Monitor in NPM è calcolato sulla base della combinazione di questi due elementi:

  • Subnet link monitorati. Per ottenere i costi per il monitoring di un singolo subnet link per un mese, è possibile consultare la sezione Ping Mesh.
  • Volume di dati.

Per maggiori dettagli a riguardo è possibile consultare la pagina ufficiale Microsoft.

ExpressRoute Monitor

Utilizzando ExpressRoute Monitor è possibile effettuare il monitor della connettività end-to-end e verificare le performance tra l’ambiente on-premises ed Azure, in presenza di connettività ExpressRoute con connessioni Azure Private peering e Microsoft peering. Le funzionalità chiave di questa soluzione sono:

  • Auto-detection dei circuit ExpressRoute associati alla propria subscription Azure.
  • Detection della topologia di rete.
  • Capacity planning e analisi dell’utilizzo di banda.
  • Monitoring e alerting sia per il primary che per il secondary path dei circuit ExpressRoute.
  • Monitoring sulla connettività verso i servizi Azure come Office 365, Dynamics 365 che utilizzano ExpressRoute come connettività.
  • Rilevamento di eventuali degradi della connettività verso le varie virtual network.

Figura 2 – Topology view di una VM su Azure (sinistra) connessa a una VM on-prem (destra), tramite connessione ExpressRoute

Figura 3 – Trend sull’utilizzo della banda e sulla latenza riscontrata sul circuit ExpressRoute

Dove installare gli agenti

Per poter utilizzare ExpressRoute Monitor è necessario installare almeno un agente di Operations Management Suite su un sistema che risiede sulla virtual network di Azure e almeno un agente su una macchina attestata sulla sottorete nell’ambiente on-premises, connessa tramite private peering di ExpressRoute.

Costo della soluzione

Il costo della soluzione ExpressRoute Monitor è calcolato in base al volume dei dati generato durante le operazioni di monitoring. Per maggiori dettagli è possibile consultare la sezione dedicata nella pagina dei costi di NPM.

Service Endpoint Monitor

Utilizzando questa soluzione si ha la possibilità di monitorare e testare la raggiungibilità dei propri servizi e delle proprie applicazioni, pressoché in tempo reale, simulando gli accessi degli utenti. Si ha inoltre la possibilità di rilevare problemi nelle prestazioni lato network e di individuare il segmento di rete problematico.

Si riportano le funzionalità principali della soluzione:

  • Effettua il monitor end-to-end delle connessioni di rete verso le proprie applicazioni. Il monitor può essere fatto di qualsiasi endpoint “TCP-capable” (HTTP, HTTPS, TCP, e ICMP), come websites, applicazioni SaaS, applicazioni PaaS, e database SQL.
  • Correla la disponibilità delle applicazioni con le performance della network, per localizzare con precisione il punto di degrado sulla rete, partendo dalla richiesta dell’utente fino al raggiungimento dell’applicativo.
  • Testa la raggiungibilità delle applicazioni da differenti location geografiche.
  • Determina le latenze di rete e i pacchetti persi per raggiungere le proprie applicazioni.
  • Rileva hot spots sulla rete che possono causare problemi di performance.
  • Effettua il monitor della raggiungibilità di applicazioni Office 365, tramite test built-in specifici per Microsoft Office 365, Dynamics 365, Skype for Business e altri servizi Microsoft.

Figura 4 – Creazione di un Service Connectivity Monitor test

Figura 5 – Diagramma che mostra la topology di rete, generata da diversi nodi, per raggiungere un Service Endpoint

Dove installare gli agenti

Per utilizzare Service Endpoint Monitor è necessario installare l’agente di Operations Management Suite su ogni nodo da cui si vuole monitorare la connettività di rete verso uno specifico service endpoint.

Costo della soluzione

Il costo per l’utilizzo di Service Endpoint Monitor è basato su questi due elementi:

  • Numero delle connessioni, dove la connessione è intesa come test di raggiungibilità di un singolo endpoint, da un singolo agente, per l’intero mese. A questo proposito è possibile consultare la sezione Connection Monitoring nella pagina dei costi.
  • Volume di dati generato dall’attività di monitor. Il costo lo si ricava dalla pagina dei costi di Log Analytics, nella sezione Data Ingestion.

Traffic Analytics

Traffic Analytics è una soluzione totalmente cloud-based, che consente di avere una visibilità complessiva sulle attività di rete che vengono intraprese nell’ambiente cloud. In Azure per poter consentire o negare la comunicazione di rete verso le risorse connesse alle Azure Virtual Networks (vNet) vengono utilizzati i Network Security Group (NSG), che contengono una lista di regole di accesso. I NSG vengono applicati alle interfacce di rete connesse alle macchine virtuali oppure direttamente alle subnet. La platform utilizza i NSG flow logs per mantenere la visibilità del traffico di rete in ingresso e in uscita dai Network Security Group. Traffic Analytics si basa sull’analisi dei NSG flow logs e dopo una opportuna aggregazione dei dati, inserendo l’intelligence necessaria relativamente a security, topologia e mappa geografica, è in grado di fornire informazioni dettagliate sul traffico di rete del proprio ambiente cloud Azure.

Utilizzando Traffic Analytics si possono effettuare le seguenti operazioni:

  • Visualizzare le attività di rete cross Azure subscriptions e identificare hotspots.
  • Intercettare potenziali minacce di security lato network, per poi poter adottare le giuste operazioni correttive. Questo viene reso possibile grazie alle informazioni riportate dalla soluzione: quali porte sono aperte, quali applicazioni tentano di accedere verso Internet e quali macchine virtuali si connettono a reti non autorizzate.
  • Comprendere i flussi di rete presenti tra le varie region Azure e Internet, al fine di ottimizzare il proprio deployment di rete in termini di performance e capacità.
  • Individuare configurazioni di rete non corrette che portano ad avere tentativi di comunicazione errati.
  • Analisi delle capacità dei gateway VPN o di altri servizi, per rilevare problemi generati da over-provisioning o sottoutilizzo.

Figura 6 – Traffic Analytics overview

Figura 7 – Map delle Region Azure attive sulla subscription

DNS Analytics

La soluzione DNS Analytics è in grado di collezionare, analizzare e correlare i log del servizio DNS e mette a disposizione degli amministratori le seguenti funzionalità:

  • Indentifica i client che tentano di risolvere domini ritenuti malevoli.
  • Rileva i record appartenenti a risorse obsolete.
  • Mette in evidenza nomi di dominio frequentemente interrogati.
  • Mostra il carico delle richieste ricevute dai server DNS.
  • Effettua il monitor delle registrazioni dinamiche sul DNS fallite.

Figura 8 – Overview della solution DNS Analytics

Dove installare gli agenti

La soluzione richiede la presenza dell’agente di OMS oppure di Operations Manager installato su ogni server DNS che si intende monitorare.

Conclusioni

All’aumentare della complessità delle architetture network in ambienti ibridi, aumenta di conseguenza la necessità di potersi avvalere di strumenti in grado di contemplare differenti topologie di rete. Azure mette a disposizione diversi strumenti cloud based e integrati nella fabric, come quelli descritti in questo articolo, che consentono di monitorare in modo completo ed efficace il networking di questi ambienti. Ricordo che per testare e valutare in modo gratuito Operations Management Suite (OMS) è possibile accedere a questa pagina e selezionare la modalità che si ritiene più idonea per le proprie esigenze.

Please follow and like us:

OMS e System Center: novità di Giugno 2018

Nel mese di giugno sono state annunciate, da parte di Microsoft, un numero considerevole di novità riguardanti Operations Management Suite (OMS) e System Center. La nostra community, tramite questi articoli rilasciati mensilmente, vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

Operations Management Suite (OMS)

Log Analytics

Recentemente è stato ufficialmente annunciato che il portale OMS sarà deprecato, a favore del portale Azure. In questo articolo vengono esaminati gli aspetti legati a questo cambiamento e cosa è bene sapere per non farsi cogliere impreparati.

Figura 1 – Notifiche presenti nel portale OMS

Azure Backup

Azure Backup si arricchisce con una nuova importante funzionalità che consente di proteggere in modo nativo i workload SQL, in esecuzione sulle macchine virtuali IaaS che risiedono su Azure. In questo articolo vengono riportati i benefici introdotti e le caratteristiche di questa nuova funzionalità.

Figura 2 – Protezione con Azure Backup di SQL Server su VMs Azure

Rilasciata una versione aggiornata dell’Azure Backup agent (MARS), la quale la si può ottenere accedendo a questo indirizzo.

Utilizzando Azure Backup c’è la possibilità di generare la reportistica necessaria per poter facilmente controllare lo stato di protezione delle risorse, i dettagli sui vari job di backup configurati, l’effettivo utilizzo dello storage e lo stato dei relativi alert. Il tutto è reso possibile grazie all’utilizzo di Power BI, che consente di avere un elevato grado di flessibilità nella generazione e nella personalizzazione della reportistica. In questo video, recentemente pubblicato, viene riportato come configurare un workspace Power BI per la condivisione dei reports di Azure Backup all’interno della propria organizzazione. Per analizzati gli step necessari per configurare la reportistica di Azure Backup è possibile consultare questo articolo.

Figura 3 – La condivisione di report PowerBI di Azure Backup

In Azure Backup è stata introdotta la possibilità di proteggere workloads in esecuzione in ambiente Azure Stack. I tenant che usufruiscono della soluzione Azure Stack possono quindi disporre di una protezione short term direttamente sull’ambiente Azure Stack e possono usufruire dei Recovery Service vault in Azure per la long term retention e per effettuare l’offsite. Per maggiori dettagli a riguardo è possibile consultare l’annuncio del rilascio.

Figura 4 – Azure Stack Tenant backup con Microsoft Azure Backup Server

Azure Site Recovery

In Azure Site Recovery (ASR) è stata annunciata in “general availability (GA)” la funzionalità che consente di configurare il Disaster Recovery (DR) di Azure Virtual Machines. Configurando la replica delle macchine virtuali in region differenti di Azure, si ha la possibilità di rendere le applicazioni resilienti ad eventuali guasti che interessano una specifica region di Azure. Questa funzionalità è disponibile in tutte le region Azure dove è possibile utilizzare ASR. Azure è il primo cloud pubblico a offrire una soluzione nativa di Disaster Recovery per le applicazioni in esecuzione in ambiente IaaS.

Durante il periodo di preview, Microsoft ha preso in considerazione i diversi feedback ricevuti dai client ed ha aggiunto alla soluzione le seguenti importati funzionalità:

Si segnalano questi utili riferimenti riguardanti questa soluzione:

Security e Audit

La solution Azure Network Security Group Analytics sarà sostituita da Traffic Analytics che è stato rilasciato in General availability (GA). Questa soluzione, totalmente cloud-based, consente di avere una visibilità complessiva sulle attività di rete che vengono intraprese nell’ambiente cloud. Per maggiori dettagli a riguardo è possibile consultare l’articolo “Come monitora le attività di rete nel cloud Azure con Traffic Analytics

System Center

System Center Data Protectrion Manager

In ambienti dove System Center Data Protection Manager (SCDPM) è connesso al servizio Azure Backup è stata introdotta la possibilità di visualizzare tutti gli items protetti, i dettagli sull’utilizzo dello storage e le informazioni sui recovery point, direttamente dal portale Azure, all’interno dei Recovery Service vault. Questa funzionalità è supportata per SCDPM 2012 R2, 2016 e per Azure Backup Server v1 e v2, purché sia installata l’ultima versione dell’Azure Backup Agent (MARS).

Figura 5 – Informazioni provenienti da DPM riportate nel Recovery Service vault

System Center Configuration Manager

Solitamente viene rilasciata una technical preview al mese di Configuration Manager, ma questo mese, visto il numero considerevole di novità, ne sono state rilasciate due.

La prima è la versione 1806 per il branch Technical Preview di System Center Configuration Manager. La principale novità introdotta da questo aggiornamento è l’aggiunta del supporto per il software update catalogs di terze parti. Dalla console di Configuration Manager si potrà facilmente effettuare la sottoscrizione al catalog degli update di partner software di terze parti, per poi pubblicare gli updates tramite il Software Update Point. Tali aggiornamenti potranno essere rilasciati ai client utilizzando il metodo classico di Configuration Manager per la distribuzione dei software update.

Figura 6 – Accesso al software update catalogs di terze parti dalla console di SCCM

Oltre a questa nuova funzionalità sono stati rilasciati aggiornamenti riguardanti:

  • Sync MDM policy from Microsoft Intune for a co-managed device
  • Office 365 workload transition in co-management
  • Configure Windows Defender SmartScreen settings for Microsoft Edge
  • Improvements to the Surface dashboard
  • Office Customization Tool integration with the Office 365 Installer
  • Content from cloud management gateway
  • Simplified client bootstrap command line
  • Software Center infrastructure improvements
  • Removed Network Access Account (NAA) requirement for OSD Boot Media
  • Removed Network Access Account (NAA) requirement for Task Sequences
  • Package Conversion Manager
  • Deploy updates without content
  • Currently logged on user information is shown in the console
  • Provision Windows app packages for all users on a device

La seconda è la versione 1806.2 per il branch Technical Preview di System Center Configuration Manager, che include principalmente le seguenti novità relative al Phased deployment:

  • Possibilità di monitorare lo stato in modo nativo, dal Deployments node.
  • Possibilità di creare Phased deployment di applications e non solo per le task sequences.
  • Possibilità di effettuare un rollout graduale durante la fase di deployment.

Inoltre questa preview contiene aggiornamenti riguardanti:

  • Management Insights for proactive maintenance
  • Mobile apps for co-managed devices
  • Support for new Windows app package formats
  • New boundary group options for optimized P2P behaviors
  • Third-party software updates support for custom catalogs
  • Compliance 9 – Overall health and compliance (Report)

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

System Center Operations Manager

Rilasciata una versione aggiornata del Management Pack per OS Windows Server 2016 e 1709 Plus che include diversi aggiornamenti e risoluzioni di problematiche. Per maggiori informazioni a riguardo è possibile consultare questo articolo.

Rilasciata la versione 8.2 del MP Author che include diversi miglioramenti. Per la lista delle novità incluse in questa nuova versione è possibile consultare l’annuncio ufficiale del rilascio.

Valutazione di OMS e System Center

Si ricorda che per testare e valutare in modo gratuito Operations Management Suite (OMS) è possibile accedere a questa pagina e selezionare la modalità che si ritiene più idonea per le proprie esigenze.

Per provare i vari componenti di System Center 2016 è possibile accedere all’Evaluation Center e dopo essersi registrati è possibile avviare il periodo di trial.

Please follow and like us:

OMS e System Center: novità di Maggio 2018

Rispetto a quanto siamo stati abituati a vedere nei mesi scorsi, nel mese di maggio, sono state annunciate da Microsoft un numero ridotto di novità riguardanti Operations Management Suite (OMS) e System Center. In questo articolo verranno riepilogate riportando i riferimenti necessari per effettuare ulteriori approfondimenti.

Operations Management Suite (OMS)

Log Analytics

Microsoft ha annunciato il ritiro, a partire dall’8 Giugno 2018, delle seguenti solution:

Questo significa che, a partire da questa data, non sarà più possibile aggiungerle nei workspaces di Log Analytics. Per coloro che le stanno attualmente utilizzando è opportuno tenere in considerazione che le solution continueranno a funzionare, ma verrà a mancare il relativo supporto e non saranno rilasciati nuovi aggiornamenti.

In questo articolo vengono riportate alcune importanti raccomandazioni che è opportuno seguire quando si utilizzano gli operatori “Summarize” e “Join” nelle query di Log Analytics e Application Insights. Si consiglia di adeguare la sintassi di eventuali query esistenti, che utilizzano questi operatori, per rispettare le specifiche riportate nell’articolo.

Security e Audit

Si segnala questo interessante articolo dove viene riportato come è possibile rilevare ed investigare attività anomale e potenzialmente malevole utilizzando Log Analytics ed Azure Security Center.

Azure Site Recovery

Microsoft ha annunciato che le seguenti versioni delle REST API di Azure Site Recovery saranno deprecate a partire dal 31 Luglio 2018:

  • 2014-10-27
  • 2015-02-10
  • 2015-04-10
  • 2015-06-10
  • 2015-08-10

Sarà quindi necessario utilizzare le API almeno della versione 2016-08-10 per interfacciarsi con Azure Site Recovery. Questo tipo di modifica non ha nessun impatto sul portale di Azure Site Recovery e sull’accesso alla soluzione tramite PowerShell.

System Center

System Center Orchestrator

Gli Integration Pack di Orchestrator, versione 7.3 per System Center 2016, sono stati rilasciati.
Il download può essere effettuato a questo indirizzo e include i seguenti componenti:

  • System Center 2016 Integration Pack per System Center 2016 Configuration Manager.
  • System Center 2016 Integration Pack per System Center 2016 Data Protection Manager.
  • System Center 2016 Integration Pack per System Center 2016 Operations Manager.
  • System Center 2016 Integration Pack per System Center 2016 Service Manager.
  • System Center 2016 Integration Pack per System Center 2016 Virtual Machine Manager.

Questi Integration Pack consentono di sviluppare delle automazioni, interfacciandosi direttamente anche con gli altri componenti di System Center. L’Integration Pack di System Center 2016 Operations Manager è stato rivisto per non richiedere più la presenza della console di Operations Manager per funzionare in modo corretto.

System Center Operations Manager

In seguito, si riportano gli aggiornamenti rilasciati per i Management Pack di Operations Manager:

  • Active Directory Federation Services versione 10.0.1.0
  • Active Directory Federation Services 2012 R2 versione 7.1.10100.1

System Center Service Management Automation

Service Management Automation vede il rilascio dell’Update Rollup 5. Tra le problematiche risolte troviamo:

  • Runbooks che, utilizzando cmdlets di System Center 2016 Service Manager, falliscono con l’errore “MissingMethodException”.
  • Runbooks che falliscono con l’exception “unauthorized access”.

Sono stati inoltre apportati miglioramenti nella parte di debug logging.

Per consultare l’elenco completo dei problemi risolti e i dettagli da seguire per effettuare l’aggiornamento è possibile accedere alla relativa knowledge base.

 

Valutazione di OMS e System Center

Si ricorda che per testare e valutare in modo gratuito Operations Management Suite (OMS) è possibile accedere a questa pagina e selezionare la modalità che si ritiene più idonea per le proprie esigenze.

Per provare i vari componenti di System Center 2016 è possibile accedere all’Evaluation Center e dopo essersi registrati è possibile avviare il periodo di trial.

Please follow and like us:

OMS e System Center: novità di Settembre 2017

Anche il mese di settembre è stato ricco di novità e diversi aggiornamenti hanno interessato Operations Management Suite (OMS) e System Center, complice anche Ignite 2017, la conferenza annuale Microsoft in scena questa settimana a Orlando. In questo articolo ci sarà un riepilogo accompagnato da riferimenti utili per effettuare ulteriori approfondimenti.

Operations Management Suite (OMS)

  • Ai clienti OMS che utilizzano la solution Security & Compliance gli viene fornita la possibilità di utilizzare le funzionalità presenti nell’Azure Security Center in modo da poter avere una gestione unificata della security e della protezione dei propri sistemi, il tutto senza costi aggiuntivi. Questo risulta particolarmente utile per poter gestire in modo trasversale ambienti ibridi, indipendentemente da dove risiedano i propri workload, su Azure, on-premises, oppure su altri cloud pubblici. All’interno dell’Azure Security Center verrà in automatico gestita la security dei sistemi già connessi alla solution OMS Security & Compliance e sarà possibile aggiungere ulteriori macchine semplicemente installando il Microsoft Monitoring Agent. Per consultare i dettagli delle funzionalità offerte vi invito a consultare la pubblicazione OMS customers can now use Azure Security Center to protect their hybrid cloud workloads. A tal proposito è bene precisare che per abilitare le funzionalità just in time VM access, dynamic application controls e network threat detection per le risorse Azure è necessario selezionare il pricing tier Security Center Standard per la Subscription o per il Resource Group che le contiene.

Figura 1 – Elenco delle funzionalità per la protezione di ambienti ibridi

  • All’interno del portale Azure vengono incluse due funzionalità relative a Operations Management Suite (OMS): Workspace Settings e View Designer. Dal portale Azure sarà infatti possibile accedere alle impostazioni del workspace OMS come mostrato dalla figura seguente:

    Figura 2 – Impostazioni del Workspace OMS accessibili dal portale Azure

Inoltre anche il View Designer, che consente di creare delle viste personalizzate, è ora accessibile direttamente dalla sezione Log Analytics del portale Azure:

Figura 3 – View Designer disponibile direttamente dal portale Azure

  • Come già annunciato in un articolo dedicato l’aggiornamento di Log Analytics ha introdotto un nuovo e potente linguaggio per la creazione delle query. In questo utile articolo vengono messe in evidenza le principali novità introdotte dal nuovo linguaggio.
  • Un’altra interessante novità è la possibilità di effettuare query non solo sul singolo workspace OMS, ma in modo trasversale su più workspace. Per approfondimenti in merito è possibile consultare l’articolo Query across resources.
  • L’articolo Monitoring Azure SQL Data Sync using OMS Log Analytics riporta la configurazione da effettuare per poter monitorare la soluzione Azure SQL Data Sync tramite una custom solution di OMS. Azure SQL Data Sync consente di sincronizzare i dati in modo bidirezionale oppure unidirezionale tra differenti Azure SQL database eo verso SQL database nel mondo on-premises. Grazie a questa procedura è possibile rilevare condizioni di errore o warning nel processo di sincronizzazione in modo semplice, grazie a OMS.
  • Per consentire di monitorare al meglio application Big Data che coinvolgono differenti tecnologie è stata annunciata in preview la possibilità di fare il monitor con Azure Log Analytics di cluster HDInsight. In questo video vengono riportati i dettagli di come i clienti HDInsight possano monitorare ed effettuare il debug di Hadoop, Spark, HBase, Kafka, Interactive Query e cluster Storm.

Solutions

  • In OMS è disponibile la nuova solution Virtual Machine Manager (VMM) Analytics che consente di centralizzare in Log Analytics i job di una o più istanze di Virtual Machine Manager per avere una visione globale dello stato di salute e delle performance dell’infrastruttura di virtualizzazione gestita da System Center Virtual Machine Manager.

Figura 4 – Overview della solution VMM Analytics

Agente

  • Rilasciata una nuova versione dell’agente OMS per sistemi Linux che principalmente ha risolto alcuni bug e ha introdotto una versione aggiornata di alcuni dei principali componenti. Per maggiori dettagli e per ottenere la versione aggiornata consultare la pagina ufficiale GitHub OMS Agent for Linux GA v1.4.1-45

Figura 5 – Elenco Bug Fix e novità del nuovo agente OMS per Linux

 

System Center

System Center Configuration Manager

  • Rilasciata la Cumulative Update 6 per il client UNIX e Linux di Configuration Manager. Si tratta di una nuova versione del client che risolve numerosi bug e introduce il supporto per nuove distribuzioni Linux. In questa versione è stato inoltre rimosso il supporto per distribuzioni obsolete di Unix e Linux non più supportate nemmeno dai vendor. I clienti che utilizzano il client SCCM con queste versioni possono continuare ad utilizzare il client aggiornato alla Cumulative Update 5. L’annuncio del rilascio e ulteriori dettagli sono disponibili in questo articolo.
  • Durante Ignite 2017 è stata annunciata una interessante funzionalità chiamata co-management che riguarda la gestione dei device utilizzando sia System Center Configuration Manager che Microsoft Intune. Con Windows 10 Fall Creators Update c’è la possibilità di fare il join del device contemporaneamente sia al dominio Active Directory (AD) on-premises che ad Azure AD nel cloud. Questo consente di ampliare le possibilità di management dei dispositivi utilizzando sia l’agente di Configuration Manager che il cliente MDM di Intune. Per approfondire questo argomento è possibile guardare nella sezione video del sito di Ignite le sessioni con i seguenti codici di riferimento: BRK3057, BRK3075, BRK3076 e BRK2079.

Figura 7 – Co-management dei dispositivi con SCCM e Intune

 

System Center Updates Publisher

Accedendo a questa pagina è possibile selezionare la modalità che si ritiene più idonea per testare e valutare in modo gratuito Operations Management Suite (OMS).

Please follow and like us:

OMS e System Center: novità di Agosto 2017

In questo articolo vengono riassunte le principali novità e vengono riportati gli aggiornamenti, riguardanti Operations Management Suite (OMS) e System Center, che sono stati annunciati durante il mese di agosto.

Operations Management Suite (OMS)

Log Analytics

  • Per Log Analytics è stato pubblicato quello che può essere definito il più importante aggiornamento dalla data del suo rilascio. Tra le principali novità introdotte da questo aggiornamento troviamo un nuovo e potente linguaggio per la creazione delle query, l’introduzione del nuovo portale Advanced Analytics e una maggiore integrazione con Power BI. Per maggiori dettagli vi invito a consultare l’articolo specifico Log Analytics: un importante aggiornamento evolve la soluzione.

Figura 1 – Upgrade di Log Analytics

Agente

  • L’agente OMS per sistemi Linux è in continua evoluzione ed è stata rilasciata una nuova versione che ha risolto alcuni bug e ha migliorato la gestione degli errori in fase di onboarding dell’agente per facilitare le operazioni di troubleshooting: OMS Agent for Linux GA v1.4.0-45

Figura 2 – Elenco Bug Fix e novità del nuovo agente OMS per Linux

Solutions

  • La solution OMS Network Performance Monitor è stata migliorata ed arricchita con le seguenti nuove funzionalità:
    • Diagnostica dell’agent: la solution ora fornisce la possibilità di monitorare in una specifica view lo stato di salute dei vari agenti NPM distribuiti sulla rete e in caso di problemi riporta delle informazioni di diagnostica utili per la relativa risoluzione.
    • Hop-by-hop latency breakdown: la topology map della rete è stata arricchita con i dettagli dei tempi di latenza riscontrati tra due punti specifici.
    • Disponibilità sul portale Azure: oltre a continuare ad essere disponibile dal portale OMS può essere aggiunta dal Marketplace Azure e utilizzata direttamente dal portale Azure.
    • Presenza in ulteriori region di Azure: la solution è ora disponibile anche per la region Azure West Central US.

Per maggiori dettagli a riguardo è possibile consultare l’annuncio Improvements to OMS Network Performance Monitor.

  • La tecnologia emergente Docker container è sempre più diffusa e il monitor diventa un componente essenziale. Per questo motivo il team di OMS ha annunciato la disponibilità della nuova solution Container Monitoring che consente di:
    • Visualizzare in un’unica location le informazioni relative a tutti gli host container.
    • Conoscere quali container sono in esecuzione, dove lo sono e con quale immagine.
    • Vedere informazioni di audit riguardanti le azioni svolte sui container.
    • Visualizzare e ricercare log a fini di troubleshooting senza dover accedere agli host Docker.
    • Individuare i container che stanno consumando un quantitativo eccessivo di risorse sull’host.
    • Visualizzare a livello centralizzato informazioni di performance relative ai container riguardanti l’utilizzo della CPU, della memoria, dello storage e della network.

Figura 3 – Schema di sintesi della solution Container Monitoring

Tutti i dettagli sulla solution Container Monitoring è possibile consultarli nel documento Container Monitoring solution in Log Analytics.

  • Rilasciata in preview la nuova solution per il monitoring delle Azure Logic Apps. La solution consente di visualizzare diverse informazioni relative allo stato delle logic app e di fare il drill down per consultare maggiori dettagli utili a fini di troubleshooting. Tutti gli aspetti di questa solution è possibile consultarli nella documentazione ufficiale Microsoft.

Security e Audit

  • La baseline assesment di OMS Security si arricchisce con la funzionalità Web security baseline assessment che è stata annunciata in public preview e consente di effettuare la scansione dei web server con Internet Information Service (IIS) per controllare la presenza di eventuali vulnerabilità di security e fornisce utili raccomandazioni relative alla corretta configurazione dell’ambiente. Il documento Web Baseline Assessment in Operations Management Suite Security and Audit Solution riporta ulteriori informazioni in merito.

Figura 4 – Dashboard dell’assessment della Web security baseline

 

System Center

System Center Configuration Manager

  • Lo scorso mese è stata rilasciata la versione 1706 per il Current Branch (CB) di System Center Configuration Manager come riportato nell’articolo OMS e System Center: novità di Luglio 2017. In data 8 agosto è stato pubblicato un package di update per correggere alcuni errori che sono stati riscontrati durante i primi deployment, ma tale package introduceva dei problemi pertanto in data 11 agosto è stato sostituito con una nuova versione. Per coloro che hanno aggiornato SCCM alla versione 1706 tra l’8 agosto e l’11 agosto è necessario che venga installato un ulteriore aggiornamento come documentato nella knowledge base Microsoft Update for System Center Configuration Manager version 1706, first wave. Tale aggiornamento è possibile installarlo accedendo al nodo “Updates and Servicing” della console di SCCM. Sarà inoltre rilasciato un ulteriore aggiornamento nelle prossime settimana per chi ha effettuato l’update di SCCM alla versione 1706 prima dell’8 agosto.
  • Rilasciata la versione 1708 per il branch Technical Preview di System Center Configuration Manager: Update 1708 for Configuration Manager Technical Preview Branch – Available Now!. Vi ricordo che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

System Center Operations Manager

In seguito le novità relative ai Management Pack di SCOM 2016:

  • Advanced Threat Analytics 1.7 Management Pack versione 1.7.1.1.
  • Service Map Management Pack in public preview: grazie a questo nuovo MP è possibile integrare le mappe create dinamicamente dalla soluzione Service Map di OMS con i diagrammi delle Distributed Application di Operations Manager per fare in modo che quest’ultimi vengano generati e mantenuti in modo dinamico.

Per maggiori informazioni vi invito a consultare la relativa documentazione disponibile online.

Figura 5 – Integrazione tra le Service Map di OMS e le Distributed App di SCOM

  • Disponibile una hotfix per risolvere alcune problematiche relative al monitor WMI health.
Please follow and like us:

Come connettere soluzioni di security di terze parti a OMS

Tra le varie funzionalità di Operations Management Suite (OMS) c’è la possibilità di collezionare eventi generati nel formato standard Common Event Format (CEF) ed eventi generati da device Cisco ASA. Molti vendor di soluzioni di security generano eventi e file di log rispettando la sintassi definita nello standard CEF per garantire l’interoperabilità con altre soluzioni. Configurando l’invio di dati in questo formato verso OMS e adottando la soluzione OMS Security and Audit è possibile mettere in correlazione le diverse informazioni raccolte, sfruttare il potente motore di ricerca di OMS per monitorare la propria infrastruttura, recuperare informazioni di audit, rilevare eventuali problemi e utilizzare la funzionalità di Threat Intelligence.

In questo articolo verranno approfonditi gli step necessari per integrare i log generati da Cisco Adaptive Security Appliance (ASA) all’interno di OMS. Per poter configurare questa integrazione è necessario disporre di una macchina Linux con installato l’agente di OMS (versione 1.2.0-25 o successiva) e configurarla per inoltrare i log ricevuti dagli apparati verso il workspace OMS. Per l’installazione e l’onboard dell’agente Linux vi rimando alla documentazione ufficiale Microsoft: Steps to install the OMS Agent for Linux.

Figura 1 – Architettura per la raccolta dei log da Cisco ASA in OMS

L’apparato Cisco ASA deve essere configurato per inoltrare gli eventi generati verso la macchina Linux definita come collector. Per farlo è possibile utilizzare gli strumenti di gestione del device Cisco ASA come ad esempio Cisco Adaptive Security Device Manager:

Figura 2 – Esempio di configurazione Syslog Server di Cisco ASA

Sulla macchina Linux deve essere in esecuzione il daemon syslog che si occuperà di inviare gli eventi verso la porta UDP 25226 locale. L’agente OMS è infatti in ascolto su questa porta per tutti gli eventi in ingresso.

Per fare questa configurazione è necessario creare il file security-config-omsagent.conf rispettando le specifiche seguenti a seconda della tipologia di Syslog in esecuzione sulla macchina Linux. Un possibile esempio di configurazione per inviare tutti gli eventi con facility local4 all’agente OMS è la seguente:

  • In caso di daemon rsyslog il file dovrà essere presente nella directory /etc/rsyslog.d/ con il seguente contenuto:
#OMS_facility = local4

local4.* @127.0.0.1:25226
  • In caso di daemon syslog-ng il file dovrà essere presente nella directory /etc/syslog-ng/ con il seguente contenuto:
#OMS_facility = local4  

filter f_local4_oms { facility(local4); };  

destination security_oms { tcp("127.0.0.1" port(25226)); };  

log { source(src); filter(f_local4_oms); destination(security_oms); };  

Lo step successivo è la creazione del file di configurazione Fluentd denominato security_events.conf che consente di collezionare e di fare il parsing degli eventi ricevuti dall’agente OMS. Il file è possibile scaricarlo dal repository GitHub e dovrà essere copiato nella directory /etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/.

Figura 3 – File di configurazione Fluentd dell’agent OMS

Giunti a questo punto, per rendere effettive le modifiche apportate, è necessario riavviare il daemon syslog e l’agente OMS tramite i seguenti comandi:

  • Riavvio daemon Syslog:
sudo service rsyslog restart oppure sudo /etc/init.d/syslog-ng restart
  • Riavvio agente OMS:
sudo /opt/microsoft/omsagent/bin/service_control restart

Completate queste operazioni è opportuno visualizzare il log dell’agente OMS per verificare la presenza di eventuali errori utilizzando il comando:

tail /var/opt/microsoft/omsagent/<workspace id>/log/omsagent.log

Dopo aver concluso la configurazione dal portale OMS sarà possibile digitare in Log Search la query Type=CommonSecurityLog per analizzare i dati collezionati dall’apparato Cisco ASA:

Figura 4 – Query per visualizzare eventi del Cisco ASA raccolti in OMS

La raccolta di log di questo tipo è arricchita dalla funzionalità di Threat Intelligence presente nella solution Security & Compliance che grazie a una correlazione pressoché in tempo reale dei dati raccolti nel repository OMS con le informazioni provenienti dai principali vendor di soluzioni di Threat Intelligence e con i dati forniti dai centri di sicurezza Microsoft consente di individuare la natura e l’esito di eventuali attacchi che coinvolgono i nostri sistemi, compresi gli apparati di rete.

Accedendo alla solution Security And Audit dal portale OMS viene visualizzata la sezione Threat Intelligence:

Figura 5 – Informazioni di Threat Intelligence

Selezionando il tile Detected threat types è possibile consultare i dettagli relativi ai tentativi di intrusione che nel caso seguente coinvolgono l’apparato Cisco ASA:

Figura 5 – Detected threat su Cisco ASA

In questo articolo si è entrati nel dettagli della configurazione di Cisco ASA, ma configurazioni analoghe è possibile farle per tutte le soluzioni che supportano la generazione di eventi nel formato standard Common Event Format (CEF). Per configurare l’integrazione di Check Point Securtiy Gateway con OMS vi rimando al documento Configuring your Check Point Security Gateways to send logs to Microsoft OMS.

Conclusioni

Utilizzando Operations Management Suite c’è la possibilità di consolidare e di mettere in correlazione eventi provenienti da diversi prodotti che forniscono soluzioni di security consentendo di avere una panoramica completa della propria infrastruttura e di rispondere in modo rapido e preciso ad eventuali incident di security.

Please follow and like us: