Articoli

backup Azure

Copia offsite dei backup con Microsoft Azure integrato con Veeam Backup&Replication

La Best Practices 3-2-1 sulla politica dei dati aziendali, cioè avere almeno tre copie dei dati, conservare le copie su almeno due supporti diversi e conservare almeno una copia del backup off-site, è considerata la base di riferimento per tutte le aziende.

Come il Cloud può aiutare le aziende nella salvaguardia dei dati

Il Cloud può aiutare le aziende grazie ai servizi di Object Storage che possono sostituire o affiancare la classica soluzione di copia offsite dei backup basata su tape library.

Azure e Veeam Backup&Replication

Veeam Backup&Replication, software leader di mercato, ha introdotto con la tecnologia Scale Out Backup Repository (SOBR) la possibilità di copiare i backup direttamente su Object Storage Azure.

Scale Out Backup Repository

Grazie a questa tecnologia i backup sono copiati fuori dal perimetro aziendale su un repository sicuro, scalabile e a basso costo e privo di costi di manutenzione e gestione.

L’object storage supportato da Veeam Backup&Replication è, attualmente, Azure Blob Blob Storage Hot, consigliato per retention dei backup sino ad un mese, e Azure Block Blob Cool, consigliato per retention dei backup a lungo termine.

Azure Block Blob

Azure Block Blob garantisce la resilienza grazie alla triplice copia dei dati nativa, che può ulteriormente essere aumentata grazie alla replica geografica, e scalabilità poiché, un singolo Blob Storage ha come capienza massima 190 TB e storage account di 5 PB e, per ogni sottoscrizione Azure si possono creare 250 Storage Account per Region creando, nei fatti, uno spazio di archiviazione praticamente illimitato anche perché, se fosse necessario, su richiesta Microsoft può innalzare i limiti.

Azure Blob Storage è rendicontato a spazio occupato per cui l’azienda ha certezza di pagare solo ciò che usa e l’object Storage di Microsoft Azure, ha un costo GB/mese bassissimo, circa 0,02 €/GB/mese per Hot e 0,01 €/GB/mese per Cool.

Conclusioni

Grazie all’integrazione tra Azure e Veeam le soluzioni Cloud possono aiutare le aziende ad avere maggior sicurezza ad un minor costo riducendo i costi di infrastruttura e gestione con la copia in cloud dei backup

Riferimenti

https://docs.microsoft.com/en-us/azure/storage/solution-integration/validated-partners/backup-archive-disaster-recovery/veeam/veeam-solution-guide

https://helpcenter.veeam.com/docs/backup/vsphere/backup_copy.html?ver=110

https://helpcenter.veeam.com/docs/backup/vsphere/object_storage_repository.html?ver=110

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Team Leader

 

Microsoft Cloud Adoption Framework

L’adozione del cloud Azure è parte del processo di modernizzazione ed evoluzione digitale di molte aziende. Microsoft ha presentato un framework per guidarle in questo percorso ed ottenere risultati aziendali sostenibili a lungo termine.

Cosa è il Microsoft Cloud Adoption Framework (CAF)

Microsoft Cloud Adoption Framework (CAF) è una guida comprovata che Microsoft ha pensato per aiutare le aziende ed i professionisti dell’IT nell’adozione del Cloud Azure basata su processi ripetibili e coerenti.

Il CAF fornisce consigli su procedure, strumenti, documentazione, best practice e template da utilizzare per l’adozione del cloud. Piuttosto che fare ipotesi plausibili o attenersi a metodi obsoleti, questo framework stabilisce linee guida chiare per aiutare le aziende a raggiungere i loro obiettivi a breve e lungo termine.

Come funziona il Cloud Adoption Framework per Azure

Il CAF è un insieme di di strumenti, standard e documentazione che definisce il percorso di adozione del cloud. Definendo il complesso processo di adozione del cloud, tutti i team interessati ricevono un quadro chiaro e coerente su cui poter lavorare e prendere decisioni appropriate.

Il framework di adozione del cloud di Azure può essere inteso come un percorso suddiviso in sei passaggi. La natura sequenziale del processo di adozione è progettata per aiutare le aziende a sfruttare i vantaggi del cloud evitando le insidie.

  • Strategia: questa fase risponde alla domanda “perché?” adottare il cloud, definendo così quali sono gli obiettivi aziendali, le giustificazioni finanziarie ed i risultati previsti
  • Pianificazione: dopo aver formulato una strategia chiara, è importante sviluppare una pianificazione delle operazioni in base agli obiettivi aziendali, ai workload interessati dalla migrazione e all’attuale patrimonio digitale. In questa fase saranno definiti anche i team di lavoro
  • Preaparazione: in questa fase viene preparato l’ambiente Azure tramite le landing zone e preparato il personale per il passaggio al cloud.
  • Adozione: durante questa fase, inizia l’implementazione. I carichi di lavoro vengono migrati nel cloud in modo iterativo in base alla complessità e all’importanza.
  • Governance: durante questa fase, è necessario sviluppare un piano di governance basato sugli obiettivi aziendali e sui criteri IT. Sebbene sia importante attuare la strategia iniziale, è anche essenziale essere flessibili e agili per soddisfare gli standard del settore e gli obblighi legali.
    La fase di governance e di gestione accompagneranno tutti i processi di pianificazione, preparazione e adozione del cloud.
  • Gestione: Durante questa fase, verrà monitorato e ottimizzato l’ambiente cloud. Una gestione di successo dipende da un’analisi dettagliata e da meccanismi di reportistica accurati. Per ottenere risultati eccellenti è necessario un modello operativo sostenibile.

I vantaggi nell’adozione del Microsoft Cloud Adoption Framework

Ci sono molti vantaggi che si possono ottenere seguendo il CAF, ma i tre principali sono:

  1. Adozione di un framework supportato e testato: Il Cloud Adoption Framework per Azure è robusto e flessibile. Nel tentativo di rendere questo framework rilevante per tutti, Microsoft ha prodotto una documentazione sufficientemente astratta da essere sufficientemente intuitiva e pratica per il processo decisionale operativo. Il framework è già stato utilizzato da oltre 200 organizzazioni e Microsoft si impegna a fornire un supporto continuo negli anni a venire.
  2. Gestire in modo proattivo i costi e la conformità: durante la migrazione dei carichi di lavoro nel cloud, non è raro che le organizzazioni procedano troppo velocemente. Ciò può portare a problemi relativi alla sicurezza, ai costi ed alle conformità normative. Il CAF riduce drasticamente questo problema. Ciò è dovuto alle salvaguardie che il framework prevede in ogni fase per garantire che gli obiettivi aziendali, i costi, le conformità e la sicurezza siano sempre presi in considerazione prima di passare alla fase successiva o al carico di lavoro successivo.
  3. Identificazione degli obiettivi tecnici e di business: suddividendo il percorso di adozione di Azure in sei componenti, tutti ampiamente documentati e supportati da Microsoft, l’impostazione e il raggiungimento dei KPI è un processo molto più realistico.

Come iniziare ad adottare il CAF

Per iniziare ad adottare il CAF, si può eseguire il Cloud Journey Tracker per identificare quale sia il percorso di adozione del cloud che meglio di sposa con le esigenze aziendali.

Se hai bisogno di informazioni o semplicemente d’aiuto per adottare il CAF non esitare a contattarci! Var Prime ti seguirà passo per passo consentendo alla tua azienda di evolversi nel mondo della digitalizzazione.

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

modern security

In questo articolo forniamo alcuni spunti su come sia possibile utilizzare Microsoft Azure per gestire in modo efficace audit e monitoraggio degli accessi ai sistemi, un utile requisito per la conformità al GDPR.

Con l’applicazione del GDPR (General Data Protection Regulation) dal 25 Maggio 2018 nell’Unione Europea, molte organizzazioni si sono trovate a mettere in atto piani e decisioni per ottenere la conformità, migliorando la protezione dei dati personali. In questo articolo andremo a selezionare una particolare esigenza collegata all’adozione del GDPR (il controllo degli accessi), e la useremo come caso d’uso per mostrare come Microsoft Azure possa supportarci con diversi strumenti nell’ambito della Modern Security.

Il valore dei dati personali ha assunto una rilevanza sempre maggiore negli ultimi anni, con conseguente incremento dell’attività dei “cybercriminali” che espone a sempre maggiori rischi i dati degli utenti di tutto il mondo. Per far fronte a queste problematiche, nel contesto dei continui avanzamenti tecnologici e dei rischi derivanti da usi impropri dei dati personali da parte di governi e aziende, l’Unione Europea ha varato un’apposita legge per chiarire i diritti relativi ai dati dei cittadini europei e assicurandone un’adeguata protezione su tutto il territorio UE.

Stiamo parlando quindi del GDPR (General Data Protection Regulation), che da Maggio 2018 vincola tutte le organizzazioni (ovunque esse siano situate nel mondo) che trattano dati personali di cittadini residenti nel territorio UE, a rispettare un preciso regolamento, pena il pagamento di notevoli sanzioni.

Il GDPR garantisce ai cittadini UE il diritto di accedere, visualizzare, eliminare o spostare i propri dati personali nel momento in cui essi siano raccolti, salvati, usati o elaborati da un’organizzazione.

Microsoft Azure e la protezione dei dati: panoramica

La gestione dei dati in conformità al GDPR richiede alle organizzazioni uno stretto controllo su dove i dati personali vengono salvati e le relative modalità, di migliorare le proprie policies fornendo un accesso discrezionale ai soggetti previsti dalla legge, e di prevedere strumenti di data governance adatti a garantire trasparenza, mantenimento dei registri e reportistica.

Da questo punto di vista, Microsoft Azure offre una ricca serie di  servizi e strumenti per aiutare le aziende a gestire i dati personali migliorando il proprio livello di conformità al GDPR.

Microsoft ha sviluppato una metodologia articolata su 4 fasi per costruire un percorso verso la conformità al GDPR, prevedendo per ogni fase degli appositi servizi di Azure. La descrizione dei singoli servizi esula dall’obiettivo di questo articolo, ma mostreremo invece tra poco l’utilizzo di due servizi appositamente scelti per gestire un’esigenza tipica della vita reale:

  • Scoprire: ovvero identificare quali sono i dati personali presenti nella propria organizzazione e dove risiedono. Strumenti utili a questo scopo sono Azure Information Protection e Azure Data Catalog
  • Gestire: lo scopo è di mantenere un controllo su come i dati personali sono trattati e come viene effettuato l’accesso nell’organizzazione. Troviamo qui strumenti come Azure Active Directory e Azure RBAC che aiuta a definire una segregazione delle responsabilità.
  • Proteggere: obiettivo è impostare dei controlli per prevenire, rilevare e rispondere a vulnerabilità e violazioni dei dati. Abbiamo sicuramente Azure Security Center che fornisce una gestione unificata della sicurezza e della compliance e funzionalità di rilevazione minacce, e in generale tutti i servizi di crittografia dei dati, per esempio Azure Key Vault.
  • Segnalare: ovvero come gestire la reportistica. Lo scopo è mantenere la documentazione richiesta, gestire richieste relative ai dati e fornire all’occorrenza notifiche sulle violazioni dei dati. Il principale strumento a disposizione è senz’altro Azure Monitor che consente di raccogliere metriche e dati da diversi servizi e analizzare i registri delle attività con la funzionalità di Log Analytics.

Partiremo quindi da quest’ultima fase, che rientra nelle attività comunemente definite “audit”, per una dimostrazione pratica.

Microsoft Azure e la protezione dei dati: l’audit come esempio

Partiamo dal caso di un’azienda che si trovi a gestire su Azure un tipico workload come le macchine virtuali. Dal punto di vista dell’audit, per potere garantire trasparenza e tracciabilità nell’uso dei dati e potere fronteggiare per tempo le vulnerabilità, la prima cosa da fare è abilitare la raccolta dei registri eventi delle singole macchine virtuali, che contiene anche tutte le attività di accesso ai sistemi.

Per potere gestire in modo efficiente e centralizzato questa raccolta, possiamo sfruttare la versione gratuita del servizio Azure Security Center e scegliere tra le diverse opzioni di “Eventi di sicurezza di Windows” disponibili nella sezione Raccolta Dati.

Per avere un audit completo conforme a quanto richiesto dal GDPR; è consigliabile scegliere l’opzione “Comune”. Questa ci metterà a disposizione un insieme di dati contenente la tracciatura di tutte le operazioni di accesso ai sistemi (login e logout) e la registrazione di tutte le azioni come le modifiche agli account, ai gruppi e altre operazioni che possono impattare sulle policy di sicurezza.

I dati raccolti verranno poi salvati nel servizio Log Analytics workspace per potere essere all’occorrenza interrogati tramite apposite query.

A questo punto abbiamo le funzionalità di base per gestire i registri di accesso, ma per potere fornire rapidamente informazioni su richiesta relativamente agli accessi ai sistemi e ai dati, spesso i clienti esprimono esigenze più specifiche per gestire questa base di dati. Consideriamo infatti che si troverebbero a dovere interrogare manualmente dei grandi volumi di informazioni, il che non è sempre rapido o intuitivo.

Query con Log Analytics

Servirebbe in sintesi un’adeguata reportistica e in aggiunta anche un sistema di notifiche per potere essere avvisati in modo proattivo su attività anomale collegate a eventuali vulnerabilità.

Un’esigenza tipica potrebbe essere ottenere delle notifiche personalizzate che avvisano tramite mail se determinati utenti con permessi elevati hanno effettuato accesso ai sistemi in fasce orarie considerate inusuali (ad esempio la notte).

Mostriamo quindi come possiamo ottenere questo risultato con due diverse soluzioni basate entrambe sul metodo di raccolta dati descritto, ma implementate con dei servizi di Microsoft Azure completamente diversi tra loro, con livelli di costi e funzionalità differenti.

Azure Monitor: Alert

La soluzione più semplice si basa sul servizio Monitor che, come suggerisce il nome, ci consente di monitorare diversi servizi di Azure ed è nativamente integrato con il servizio Log Analytics che abbiamo appena descritto, utile per la raccolta e analisi dei dati.

Utilizzando la sua funzionalità Alerts, possiamo creare un’apposita regola dove andiamo a eseguire una query che interroga la tabella del registro eventi presente in Log Analytics, e che vada a intercettare un evento di connessione (logon) o disconnessione (logoff) ai sistemi all’interno di una determinata fascia oraria, effettuato da determinate utenze.

La query viene eseguita a intervalli regolari (es. 5 minuti) e solo nel caso venga restituito almeno un evento, viene generato un Alert. Gli alert possono poi essere visualizzati nell’apposita schermata che ne mostra i report e facendo click su ciascuno di essi si può accedere ai dettagli e lanciare una query in Log Analytics per visualizzare tutte le info per l’utente che ha provato a collegarsi.

ALERT

Usando gli Action Group di Azure Monitor, è molto semplice configurare poi delle notifiche scegliendo tra diversi metodi (mail, SMS, ecc.) e specificando gli utenti da avvisare. In questo modo possiamo essere avvisati non appena viene intercettato un accesso sospetto senza doverci ricordare di consultare i report.

Il vantaggio evidente di questa soluzione è la sua semplicità d’uso (si configura tutto in pochi minuti) e la sua economicità: l’unico costo è quello degli alert che è nell’ordine di pochi euro al mese.

La limitazione sta invece nel fatto che sia gli alert che le notifiche ricevute sono poco intuitivi e non contengono direttamente al loro interno i dettagli sull’attività rilevata, quindi nel momento in cui si desideri visualizzare al volo orari di accesso e nome dell’utente con postazione da cui si è collegato, è necessario arrivare fino a Log Analytics e eseguire comunque una query.

Azure Sentinel: Analytics e Automation

Azure Sentinel è il servizio SIEM (Security Information and Event Management) di Microsoft, uno strumento di gestione della security con funzionalità più avanzate rispetto ad Azure Security Center.

Possiamo intercettare gli stessi eventi che abbiamo appena descritto, usando sempre Log Analytics come sorgente dati, e utilizzando la funzionalità Analytic Rules: anche in questo caso andiamo a definire una regola con una logica personalizzata creando una query simile a quella usata in Azure Monitor.

A differenza della precedente soluzione però, la regola va a generare degli oggetti più complessi degli alert, gli Incident.

Gli incident consentono una gestione più strutturata rispetto a quanto visto finora, in quanto mostrano tutti i dettagli relativi all’evento intercettato, le correlazioni logiche tra le varie entità coinvolte, e hanno la possibilità di essere assegnati a determinati utenti o team che possono tracciarne lo stato.

SENTINEL INCIDENTS

Per implementare anche qui delle notifiche immediate, Sentinel offre i Playbook, in pratica delle raccolte di azioni automatizzate il cui flusso può essere disegnato con un apposito editor basato sulla tecnologia di Azure Logic App.

Possiamo quindi sviluppare un Playbook che la Analytic Rule può fare scattare, definendo al suo interno un flusso che consente di raggruppare secondo la logica desiderata, gli eventi intercettati (in modo da ottimizzare il volume di mail generate), e recapitare infine un messaggio ai destinatari corretti contenente tutte le informazioni degli eventi di accesso.

SENTINEL PLAYBOOK AND MAIL

I vantaggi di questa soluzione stanno sicuramente nella maggiore flessibilità di gestione delle informazioni e azioni di risposta e nell’alto livello di personalizzazione possibile: la stessa struttura della notifica mail viene costruita su misura.

I maggiori svantaggi stanno nella complessità di realizzazione in proporzione alla semplice esigenza da gestire, in quanto sia nella definizione della regola che del playbook è necessario scrivere del codice e rispetto alla precedente soluzione ci sono molte più opzioni da impostare. Inoltre, anche i costi sono molto maggiori in quanto al costo del servizio Log Analytics che è in proporzione ai dati raccolti, dobbiamo sommare anche una quota di costo specifica per l’elaborazione dei dati nel servizio Sentinel.

Conclusioni

I due esempi che abbiamo mostrato sono solo una semplice applicazione pratica circoscritta a una semplice e specifica esigenza, e le soluzioni descritte rappresentano una piccolissima parte del più complesso tema della gestione della privacy, della modern security e della conformità agli standard internazionali come il GDPR.

Ci auguriamo in ogni caso che mostrare due applicazioni basate su tecnologie molto diverse nell’ambito della stessa esigenza possa essere di utilità per dimostrare il livello di diversificazione sempre crescente dei servizi Azure, anche nell’ambito del monitoraggio e della security, venendo quindi incontro alle necessità di aziende di varie dimensioni.

Fonti e approfondimenti:

New capabilities to enable robust GDPR compliance | Blog e aggiornamenti di Azure | Microsoft Azure

https://azure.microsoft.com/en-us/services/security-center/

Azure Monitor overview – Azure Monitor | Microsoft Docs

Automate threat response with playbooks in Azure Sentinel | Microsoft Docs

Accelerate Your GDPR compliance with Microsoft Cloud | Developer Support

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

Azure AD: un caso studio reale

Autenticarsi mediante un’applicazione mobile e invocare un’API custom protetta con Azure AD

Quando si realizzano applicazioni software come quelle mobile, desktop, o Web, l’utilizzo di API è una caratteristica mainstream. Con Azure AD puoi proteggere le tue API in modo tale che, invocandole per esempio da un’applicazione mobile, tu ne possa impedire l’accesso a utenti esterni non autorizzati. Approfondiamo insieme tale caso studio.

Azure Active Directory (Azure AD) è il servizio cloud IAM (Identity and Access Management) di Microsoft, adibito alla gestione delle identità e degli accessi. Tale strumento consente di demandare l’annosa e delicata questione dell’autenticazione e della gestione delle credenziali alla solidità, sicurezza ed esperienza di Microsoft. Potrebbe bastare questo per far comprendere come l’impiego di un servizio del genere sia da considerarsi come una valida scelta qualora una soluzione software, com’è ragionevolmente ipotizzabile oggigiorno, necessiti di implementare funzionalità come quelle di login, autenticazione e gestione delle password.

Azure AD, però, è ben altro che un mero sostituto alla logica e al codice custom che gestisce l’autenticazione all’interno di un programma software. Oltre a queste funzionalità “base”, infatti, Azure AD offre molte altre possibilità, come quella di proteggere l’accesso alle proprie API. Questo sta a significare che l’uso di tali interfacce può essere controllato a piacimento, impedendo che utenti non autorizzati possano invocarle. Un esempio classico può essere quello di un’applicazione mobile, come una Android o iOS che, in seguito all’autenticazione da parte di un utente presso la piattaforma di identità Microsoft, riesce ad ottenere il consenso a invocare un’API custom “per conto dell’utente stesso” mediante l’acquisizione di un token. Azure AD rende semplice implementare l’infrastruttura necessaria per stabilire il legame tra le varie entità in gioco (è doveroso ricordare che l’autenticazione per invocare un’API non dev’essere obbligatoriamente effettuata presso Microsoft: l’identità dell’utente può essere confermata anche da servizi come Google, Facebook e Twitter).

Azure Function esposta come API

Esempio di configurazione dell’autenticazione di una Azure Function esposta come API

Alla base di Azure AD vi sono le cosiddette app registration, “entità” che svolgono un vero e proprio ruolo di “rappresentanza”: esse simbolizzano infatti i protagonisti della scena nel panorama client-server che si desidera implementare. Le app registration permettono, quindi, di disegnare l’ecosistema di entità  e permessi che insieme consentono, sfruttando gli opportuni parametri forniti dal portale Azure, di concretizzarlo in un caso d’uso reale. Nello scenario considerato si andrebbero a creare due app registration:

  1. Una per rappresentare l’applicazione mobile che si occupa di invocare l’API, processo che può però verificarsi solo dopo che un utente esegue il login e si autentica come utente Microsoft esistente e “certificato”.
  2. Una per rappresentare l’API stessa che dev’essere invocata.

Il linea generale, la creazione dell’infrastruttura necessaria per implementare questo scenario di snoda lungo le seguenti fasi:

  1. Creazione delle due app registration in gioco.
  2. Attivazione dell’autenticazione per l’accesso all’API custom, specificando l’app registration relativa all’API (un esempio è fornito dall’immagine precedente).
  3. Esposizione dell’API mediante la relativa app registration, con la creazione di ciò che viene chiamato “scope”. Gli scope rappresentano “punti d’ingresso” verso le API, tramite cui bisogna passare per raggiungerle.
  4. Abilitazione dell’app registration relativa all’applicazione mobile affinché questa possa accedere allo scope definito precedentemente. In questo modo, l’applicazione mobile è dotata di un punto d’ingresso per accedere all’API.

Il processo di configurazione delle app registration e degli scope è immediato e può avvenire comodamente dal portale Azure.

app registration creata nel portale Azure

Esempio di un’app registration creata nel portale Azure

Al termine di questo processo di configurazione, Azure AD fornisce tutti i parametri che devono essere inseriti nel codice per far sì che sia possibile referenziare le diverse app registration che sono state precedentemente create. In questo caso, la nostra applicazione mobile andrà ad utilizzare la libreria MSAL (Microsoft Authentication Library) fornita ufficialmente da Microsoft, assieme ai parametri forniti dal portale, per dimostrare di essere la “concretizzazione” di quell’app registration astratta creata precedentemente per l’applicazione stessa. L’apposita documentazione relativa alla Microsoft Identity Platform fornisce tutte le spiegazioni e i dettagli necessari.

Sfruttando la MSAL, si riesce ad implementare lo scenario lato client di cui abbiamo parlato, cosa che permette di realizzare la seguente situazione esemplificativa:

  1. L’utente Mario Rossi installa e apre l’applicazione mobile sul suo device Android o iOS.
  2. All’avvio, egli è accolto da una schermata custom provvista di un pulsante di login, che rappresenta il punto di partenza per avviare il processo di autenticazione con Azure AD e Microsoft.
  3. La pressione sul tasto esegue il codice necessario per Azure AD utilizzando i parametri forniti appositamente dal servizio cloud e integrati manualmente nel codice.
  4. L’utente Mario Rossi viene indirizzato a una form di login, non implementata dagli sviluppatori dell’applicazione, bensì fornita da Microsot. Si tratta di un vero e proprio browser che viene aperto automaticamente sopra l’applicazione e che consente all’utente di autenticarsi con Microsoft utilizzando le sue credenziali (sia aziendali che personali, in base al livello di multi-tenancy che è stato previsto per il contesto in esame).
  5. In seguito all’autenticazione, l’applicazione ottiene un token che le consente di invocare l’API custom protetta per conto dell’utente che si è loggato.

In conclusione di questo articolo, ricordiamo che la sezione relativa ad Azure AD fornita all’interno del portale online di Azure offre una suite completa di settaggi e impostazioni per utilizzare questo servizio secondo le proprie esigenze:

  • Permette di configurare le app registration in maniera semplice ed immediata, mediante pochi click del mouse.
  • Permette di definire in maniera altrettanto semplice quali scope devono esposti e da quali API.
  • Permette di specificare il livello di multi-tenancy, ossia a quali tenant l’utente che si autentica può appartenere per far sì che l’applicazione possa ottenere il token per invocare l’API custom.
  • Permette di sfruttare la MFA (Multi-Factor Authentication) per godere di un notevole miglioramento in termini di sicurezza.
  • Permette di integrare le applicazioni in modo tale da sfruttare l’SSO (Single Sign-On), in modo tale da non dover eseguire il login più volte.

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Azure Developer presso NEBULA

 

Dati fantastici e dove trovarli (ma soprattutto cosa farsene).

Fra i meriti del mondo moderno, per quanto pochi a detta di qualcuno, senza alcun dubbio c’è quello di aver realizzato il sogno di un uomo vissuto a cavallo fra il 1500 e il 1600: Galileo Galiei. Il grande fisico, infatti, ha lasciato al mondo grandi scoperte e grandi intuizioni ma anche piccoli pensieri fra cui “misura ciò che è misurabile e rendi misurabile ciò che non lo è”.

Se fino a poco tempo fa eseguire delle misurazioni costituiva un grosso problema, che per essere risolto necessitava di progettare e realizzare complessi impianti e infrastrutture, oggi ci troviamo in uno scenario completamente opposto; la sovrabbondanza di dispositivi connessi a reti sempre più presenti e performanti, infatti, genera una sovrabbondanza di dati.

Ci troviamo, inoltre, in una situazione in cui non abbiamo più dati concentrati ai punti di misurazione, come poteva avvenire in un impianto industriale lungo una linea, ma abbiamo dati diffusi facilmente integrabili (complice anche un’evoluzione significativa nella sensoristica e sistemi di prototipazione rapida) e diffusi.

Le reti e quindi la presenza del cloud hanno anche amplificato esponenzialmente la potenza di calcolo a disposizione, che non è più legata alla propria infrastruttura ma può basarsi su servizi appositamente concepiti, attivabili all’occorrenza senza dover programmare un investimento infrastrutturale e la sua manutenzione e aggiornamento.

Non sappiamo esattamente cosa avrebbe fatto Galileo con tutto questo a disposizione, sapendo la sua propensione a dialogare sui massimi sistemi è probabile che non avrebbe investito molto tempo a cercare metodi per spingere le persone a fare micro-transazioni su “Pokemon go”, tuttavia molti si pongono questo interrogativo: cosa ci faccio con questi dati? In che modo possono tornarmi utili?

Rispondere a queste domande è molto complesso e gli scenari sono talmente vari da non permettere una risposta univoca quindi non ci avventureremo in questa landa desolata, ci sono anche spinte e motivazioni derivanti dalla propria visione del mondo, dal proprio mercato, modelli di vendita e modelli aziendali; ma proveremo a tracciare una linea per indicare un percorso per chiunque voglia avventurarsi, qualunque sia la motivazione che vi spinge a farlo.

Che si voglia aumentare la produzione individuando le inefficienze, abbattere gli sprechi per salvare il pianeta o capire se il cliente all’interno del vostro negozio sia soddisfatto o meno, è necessario passare da punti obbligati: raccolta dei dati, lo spostamento, l’elaborazione, la visualizzazione dei risultati e le azioni.

Tutti i gestori di servizi cloud mettono a disposizione una suite di prodotti e servizi per la gestione del dato e Microsoft non fa accezione dotando Microsoft Azure di un portafoglio molto vario che ci permette di gestire ogni punto obbligato del percorso, dal sensore al nostro obiettivo:

Ognuno di questi servizi e le loro potenzialità richiederebbero un approfondimento , quindi rimanderemo i dettagli ai prossimi articoli per restare qui nell’ambito generale.

Quindi diciamo che sfruttando le soluzioni presenti su Microsoft Azure abbiamo incamerato e strutturato tutta una serie d’informazioni che provengono da fondi differenti: sensori (dati temperature, pressioni, vibrazioni, luminosità, movimenti, accelerazioni), telecamere (distribuzione nello spazio, parametri biometrici, lettura di informazioni), sistemi gestionali (fatture, vendite, allocazione di risorse, presenze, stoccaggi di magazzino), device (monitoraggi attività social, informazioni da diverse app) per ottenere le informazioni di cui si aveva bisogno, le quali possono riguardare qualsiasi cosa, è impossibile indicarle tutte in maniera esaustiva ma  elenco qui quelle più frequenti o comuni:

  • Clusterizzazione dei clienti utilizzando dati di acquisto e biometrie
  • Analisi dei comportamenti dei clienti
  • Previsioni approvvigionamento dei magazzini
  • Analisi dei fattori che influenzano i comportamenti della clientela in negozio
  • Manutenzione predittiva
  • Suggerimenti personalizzati per l’acquisto
  • Controllo qualità
  • Efficienza del personale
  • Efficienza dei sistemi
  • Campagne promozionali personalizzate
  • Automazione del customer service
  • Automazione dei flussi di back office
  • Individuazione di perdite e abbattimento degli sprechi.

Forse la parte in cui Galileo chiedeva di “rendere misurabile ciò che non lo è” lascia ancora grossi spazi per l’immaginazione e per cercare soluzioni nuove a problemi non sempre nuovi, ma che alcuni settori si portano dietro da tantissimo tempo; certamente con il miglioramento di tecnologie della miniaturizzazione dei componenti, delle batterie e le reti le soluzioni praticabili continueranno ad aumentare; tuttavia già oggi la mole di dati a disposizione è enorme e l’utilizzo che se ne fa non sempre adeguato.

È sempre un ottimo momento per iniziare a migliorare alcuni processi ma oggi si possono avere molti dati a sostegno delle analisi necessarie o per prendere delle decisioni che in un momento storico particolare come questo sono quanto mai critiche.

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Delivery Manager team Retail Nebula

Azure AD B2C

Autenticazione con credenziali personali alle applicazioni aziendali tramite Azure Active Directory B2C

Spesso la gestione delle identità e degli accessi è un problema e un costo significativo per le applicazioni aziendali.

Gestire le credenziali degli utenti finali, anche in ottica GDPR, è tutto tranne che una passeggiata, le credenziali vanno conservate in luoghi sicuri, i sistemi “backuppati”, tracciata la loro gestione, gli utenti hanno il diritto di poter cambiare password, gli utenti dimenticano le loro credenziali e quindi si spende tempo per gestione e manutenzione, difficilmente fatturabile.

La gestione e la manutenzione dell’autenticazione è solo un costo aziendale e un problema per la parte legale di cui però non si può fare a meno. Con il servizio Azure AD B2C il costo può essere azzerato.

Come Azure Active Directory B2C può aiutare le aziende

Le nuove applicazioni “consumer” che usiamo tutti i giorni ci permettono di autenticarci ai servizi usando la “nostra” identità pubblica legata ai servizi aziendali come Microsoft 365 o personali come Google, Facebook, Twitter o altro social.

È possibile utilizzare la stessa metodologia di autenticazione web based anche sulle applicazioni aziendali sia commerciali che sviluppate internamente grazie al supporto di Azure AD B2C.

Come funziona Azure Active Directory B2C

Azure AD B2C fa da connettore di autenticazione tra le applicazioni e le fonti di autenticazione.

Le fonti di autenticazione supportate (Identity Provider) sono Azure AD, Microsoft 365, Google, Facebook, Twitter, Linkedin, GitHub, Amazon, cioè i principali PLAYER mondiali.

Azure AD B2C comunica con l’applicazione tramite protocolli standard OAuth2, SAML, OIDC cioè gli standard di mercato, interponendosi tramite browser in fase di autenticazione quindi in modo totalmente trasparente all’utilizzatore a cui viene proposta una pagina di accesso personalizzabile.

Azure AD B2C non è in alcun modo vincolato all’infrastruttura su cui risiede l’applicazione poiché agisce a livello di servizio di autenticazione interna all’applicazione per cui gli è totalmente indifferente se si tratta di un’applicazione pubblicata su Internet tramite Cloud o on-premise.

Gli unici requisiti sono accesso tramite Internet del servizio da autenticare, utilizzo di protocolli standard e una sottoscrizione Microsoft Azure.

Azure Active Directory B2C: Pricing

Oltre a cancellare i costi legati alla manutenzione e gestione dell’infrastruttura di autenticazione Azure AD B2C è un servizio a costo zero sino a 50.000 accessi al mese.

Azure AD B2C start from 0 €

Oltre questo limite, già molto generoso per normali applicazioni aziendali, i prezzi sono calcolati per accesso utente e consultabili sul sito Microsoft: https://azure.microsoft.com/it-it/pricing/details/active-directory/external-identities/

Azure AD B2C gestisce l’autenticazione degli utenti che poi verranno autorizzati e profilati a livello applicativo con le logiche proprie dell’azienda e dell’applicazione.

Conclusioni

Grazie al servizio Azure AD B2C è possibile aiutare le aziende a proporre applicazioni con un miglior approccio utente che potrà utilizzare la propria identità digitale per accedere a più servizi e riducendo i costi di infrastruttura e gestione.

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Azure Team Leader

 

hybrid Cloud - Microsoft Azure

Un viaggio nel mondo dell’Hybrid Cloud

Il Mondo è cambiato.

Forse prima non lo comprendevamo chiaramente ma da ormai un anno è chiaro a tutti che c’è una forte connessione tra lavoro e vita privata: l’uno influenza l’altra, spesso senza soluzione di continuità. Adesso questo fenomeno è ancora più evidente dopo che la Pandemia ha cambiato le prospettive in tutti i settori sociali e lavorativi.

La percezione è che l’inter-dipendenza tra aziende e lavoratori, ma anche tra le stesse aziende nel mercato, sarà molto più forte e marcata.

Gli eco-sistemi che prima si sviluppavano tra privato e personale e tra aziende e mercati, sono diventati sempre più sovrapposti.

La velocità nel prendere scelte e riconfigurare servizi ed intere aziende è notevolmente aumentata e tutta l’infrastruttura informatica ed organizzativa ha subito una rivoluzione: scuola, lavoro, vita personale tutto ora è sovrapposto in giornate sempre più complesse da governare ed abilità che ancora dobbiamo in molti casi sviluppare.

La promessa del Cloud

La promessa del cloud è fondata su un concetto di grande elasticità di risorse, innovazione e risparmio nei costi di gestione. Nonostante questo la maggior parte delle società ha ancora solo una minima quantità delle proprie infrastrutture in cloud perché spesso l’adozione è difficoltosa e non è semplice capire in che direzione muoversi.

Questo è dovuto al fatto che per strutturare completamente i benefici del cloud vanno sviluppate strategie per modernizzare anche il proprio parco applicativo e la gestione dei propri asset di dati.

Il vero potenziale del cloud infatti si raggiunge quando si sono create le condizioni per un’evoluzione che non miri solo all’ottimizzazione di costi con risorse flessibili, ma anche all’innovazione dei propri modelli di business e la valorizzazione dei dati nel servizio alla clientela.

Quando le aziende investono in programmi di questo tipo, molte decidono di sviluppare strategie di cloud ibrido, bilanciando i propri workload tra cloud privati e pubblici.

I fattori di successo in una strategia di Hybrid Cloud

Il mondo è Ibrido; lo è nella continua contaminazione di razze e culture che convivono e contribuiscono alla comune crescita, e lo è quando si parla di cloud poiché la continua disponibilità di servizi innovativi offerti dai vendor impone un cambio di rotta nelle strategie delle aziende che sempre più spesso hanno sistemi ibridi da governare e più di un cloud con cui disegnare la propria evoluzione.

Un’infrastruttura disegnata per essere flessibile ed interconnessa è quella che oggi risponde meglio alle dinamiche del mercato dove le aziende operano e nel quale la capacità di reagire velocemente, integrando risorse e competenze, è diventata la chiave del successo ed un fattore abilitante della crescita.

Nello sviluppo di una strategia ibrida, ci sono 3 fattori di cui tenere conto:

1)   Scegliere un Hyper Scaler di riferimento di norma ripaga

I cloud provider internazionali che gestiscono infrastrutture estese e scalabili (Hyper scaler) sono di norma in grado di offrire ampissima capacità di scalare con risorse disponibili in molteplici piattaforme.

Il vero valore però di questi provider è relativo all’innovazione dei servizi offerti in modalità server-less e le soluzioni PaaS fornite che sono in grado di consentire molteplici evoluzioni, inclusa l’integrazione dell’AI a supporto dei processi.

2)   Il confine tra public e private cloud è sempre più labile

Mentre in passato c’era una netta distinzione ed il mondo era di fatto diviso tra chi proponeva cloud privati ed i public cloud provider, negli ultimi anni per supportare tematiche di performance, sistemi regolati e data sovereignty il confine si è quasi annullato e molti cloud provider hanno sviluppato servizi in grado di integrare i due mondi.

VMware on AWS ed Azure VMware Services sono solo alcuni esempi di soluzioni di gestione di workload applicativi cross cloud, mentre piattaforme come Red Hat Openshift sono di fatto soluzioni native-ibride in grado di connettere molteplici piattaforme cloud indipendentemente dall’hardware di riferimento.

3)   Il Cloud Ibrido offre il meglio dei due mondi

Se si pensa a società che operano in mercati complessi e regolamentati o anche solo a gruppi di aziende che sviluppano attività tramite filiere integrate, le stesse avranno sicuramente dei vantaggi nell’utilizzo di un public cloud che sia in grado di offrire servizi innovativi e scalabili on demand, ma in molti casi avranno anche applicazioni legacy che rendono la scelta di un private cloud più funzionale al loro obiettivo qualora non siano disposte a ridefinire il landscape applicativo o far evolvere le proprie soluzioni.

Creare un’architettura ibrida in grado di far evolvere i propri workload, bilanciando il cloud mix e gestendo al meglio i workload in base alla loro criticità e natura, è la vera sfida delle società con infrastrutture estese che spesso sono costrette a fare i conti anche con la latenza quando devono gestire grandi data set.

Quali ostacoli e quali prospettive di sviluppo nell’adozione del cloud da parte delle aziende italiane

Il principale ostacolo all’adozione delle tecnologie cloud rimane la disponibilità di banda e la velocità di connessione. Ad oggi l’Italia copre ancora posti di rincalzo nella classifica degli stati per velocità di connessione offerta mentre ancora un buon numero delle famiglie non dispone di un accesso ad internet veloce.

Queste limitazioni sono comunque destinate ad essere superate con l’avvento del 5G che di fatto consentirà di aumentare in maniera importante la disponibilità di banda per le applicazioni che grazie allo sviluppo costante delle tecnologie EDGE ed IOT, diverranno sempre di più hub distribuiti di raccolta di dati.

L’interconnessione di queste fonti dati al cloud consentirà un’analisi dei comportamenti sempre più puntuale ed in tempo reale che aprirà nuovi scenari e servizi a valore per tutte le aziende e consumatori.

L’accesso immediato a molteplici applicazioni daranno all’utente la possibilità di avere a disposizione servizi innovativi come bots ed assistenti virtuali in grado di rendere la loro esperienza di acquisto unica e personalizzata e talvolta anche anticipare le esigenze grazie all’adozione dell’AI.

Cosa può fare Var Group per te

Var Group ha dedicato una divisione – il Digital Cloud – a questo specifico ambito per supportare la strategia di crescita delle aziende e fornire loro i migliori strumenti e risorse del mercato.

Grazie a team dedicati per ogni vendor ed all’esperienza maturata nella gestione ed evoluzione di Data Center proprietari, aiutiamo i clienti a disegnare una strategia “Tailor Made” basata sulle loro esigenze specifiche e forniamo soluzioni innovative per estrarre valore dai dati in scenari Ibridi e Multi Cloud.

Insieme a Digital Cloud, in Var Group opera anche Digital Work che supporta l’estensione della tecnologia ai processi di governance dei team per massimizzare l’efficacia dello smart working e bilanciare al meglio il confine tra lavoro e vita privata grazie ai più moderni strumenti tecnologici ed una consulenza specializzata.

Come prepararsi al viaggio

Se dovessi pensare ad una metafora, io mi preparerei a gestire il cambiamento, proprio come mi preparerei a gestire un viaggio intorno al mondo… perché alla fine quello che succederà è che vincerà chi saprà integrare tutte le esperienze, adattandosi e gestendo un continuo spostamento verso nuove mete ed obiettivi, e sfruttando al meglio tutto ciò che ogni luogo/servizio offre, integrandolo nella sua esperienza.

Essere aperti e flessibili e condividere tutto in un diario per rendere l’esperienza conoscenza disponibile a tutti consentirà di avere compagni preparati ad ogni evenienza… e soprattutto il principale consiglio che mi sentirei di dare è quello di viaggiare leggeri, per non avere troppi vincoli e cogliere tutte le opportunità, tenendo sempre tutto quello che serve a portata di…cloud! 🙂

Buon viaggio a tutti!

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Head of Microsoft Competence Center & Hybrid Cloud | Managing Partner @VAR Group

VM_Azure

La vasta disponibilità di configurazioni di Virtual Machines su Azure non aiuta a capire immediatamente quale sia la migliore per le nostre esigenze. Conoscere le differenze delle diverse offerte agevolerà nell’identificare meglio quale dimensionamento potrà fare al caso nostro.

Tipologia e sizing delle VM

Microsoft ha suddiviso le tipologie di virtual machine per tipologia di utilizzo. Quindi, in base a quello che è il workload da configurare, possiamo avere un’idea di quale taglio di macchina andare ad utilizzare.

TypeSizesDescription
General purposeB, Dsv3, Dv3, Dasv4, Dav4, DSv2, Dv2, Av2, DC, DCv2, Dv4, Dsv4, Ddv4, Ddsv4Balanced CPU-to-memory ratio. Ideal for testing and development, small to medium databases, and low to medium traffic web servers.
Compute optimizedF, Fs, Fsv2High CPU-to-memory ratio. Good for medium traffic web servers, network appliances, batch processes, and application servers.
Memory optimizedEsv3, Ev3, Easv4, Eav4, Ev4, Esv4, Edv4, Edsv4, Mv2, M, DSv2, Dv2High memory-to-CPU ratio. Great for relational database servers, medium to large caches, and in-memory analytics.
Storage optimizedLsv2High disk throughput and IO ideal for Big Data, SQL, NoSQL databases, data warehousing and large transactional databases.
GPUNC, NCv2, NCv3, NCasT4_v3 (Preview), ND, NDv2 (Preview), NV, NVv3, NVv4Specialized virtual machines targeted for heavy graphic rendering and video editing, as well as model training and inferencing (ND) with deep learning. Available with single or multiple GPUs.
High performance computeHB, HBv2, HC, HOur fastest and most powerful CPU virtual machines with optional high-throughput network interfaces (RDMA).

Fonte: https://docs.microsoft.com/en-us/azure/virtual-machines/sizes

Il taglio delle VM identifica le “caratteristiche hardware” della macchina virtuale.
Dal nome del taglio della macchina è possibile risalire alle caratteristiche ed alle feature che caratterizzano la VM. Infatti, tutti I nomi utilizzano la seguente nomenclatura:
[Family] + [Sub-family]* + [# of vCPUs] + [Additive Features] + [Accelerator Type]* + [Version]

Dove:

Value Explanation
Family Indicates the VM Family Series
*Sub-family Used for specialized VM differentiations only
# of vCPUs Denotes the number of vCPUs of the VM
Additive Features One or more lower case letters denote additive features, such as:
a = AMD-based processor
d = disk (local temp disk is present); this is for newer Azure VMs, see Ddv4 and Ddsv4-series
h = hibernation capable
i = isolated size
l = low memory; a lower amount of memory than the memory intensive size
m = memory intensive; the most amount of memory in a particular size
t = tiny memory; the smallest amount of memory in a particular size
r = RDMA capable
s = Premium Storage capable, including possible use of Ultra SSD (Note: some newer sizes without the attribute of s can still support Premium Storage e.g. M128, M64, etc.)
*Accelerator Type Denotes the type of hardware accelerator in the specialized/GPU SKUs. Only the new specialized/GPU SKUs launched from Q3 2020 will have the hardware accelerator in the name.
Version Denotes the version of the VM Family Series

Differenze tra CORE e vCPU in Azure e Azure Compute UNIT (ACU)

Con la serie V3, Microsoft ha introdotto l’utilizzo dell’hyper-trading per la virtualizzazione delle VM andando così ad abbattere leggermente i costi (e un po’ anche le prestazioni). Dove è utilizzato l’hypertrading, c’è un rapporto 2:1 vCPU/CORE.
Per sapere su quali serie di VM è abilitato l’hyper-trading, è possibile andare su questo link ed identificare dove il valore nella colonna vCPU:Core è 2:1.
Un modo per valutare le performance di una virtual machine su Azure rispetto ad un’altra, è andare a vedere il valore ACU delle VM.
Microsoft ha introdotto il concetto di Azure Compute Unit (ACU) per poter compare le prestazioni di calcolo dei vari tagli delle VM in Azure. Il parametro è statao standardizzato su una VM Standard_A1 alla quale è stato assegnato il punteggio ACU 100. In base a questi valori è possibile capire approssimativamente la velocità di calcolo degli altri SKU. In questa pagina è possibile verificare le ACU dei vari SKU.

Conclusioni

Scegliere la VM giusta non è immediato, come hai visto. Fortunatamente lavorando con Azure si ha la possibilità di essere elastici in alcune scelte. Questo permette di rivedere le scelte fatte inizialmente. Si può così pensare di partire con taglio leggermente più basso rispetto a quello che si è pensato o a quello che si ha on-premise (nel caso si stia effettuando una migrazione), anche per ottimizzare i costi, ed effettuare uno scaling delle risorse in caso di necessità.

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

Mettere in sicurezza VM e applicazioni è possibile grazie a diversi servizi attivabili sulle Virtual Network di Microsoft Azure: mostriamo le loro possibili combinazioni e integrazioni attraverso una serie di architetture e scenari.

I servizi che possiamo attivare su Azure sono sempre di più e molti di essi sono connessi a Virtual Network o anche esposti pubblicamente su Internet. Sono quindi in aumento le tipologie di workload che necessitano di protezione, e dobbiamo proteggere tutte le relative risorse da attacchi che diventano sempre più sofisticati.

Per rispondere a questa sfida, possiamo però contare su diversi strumenti che Microsoft Azure ci mette a disposizione per difenderci: essendo però questi piuttosto eterogenei, non sempre è immediato orientarsi nella scelta di quelli più adatti.

In questa guida mostriamo diversi scenari che possiamo incontrare nel mondo reale andando a pubblicare applicazioni in cloud e quali servizi Azure o loro combinazioni possiamo adottare di volta in volta per avere una protezione efficace e “mirata” sulle nostre esigenze.

Scenario 1: Nessuna Applicazione Web

Nello scenario che stiamo per descrivere ci basterà implementare solo Azure Firewall. Questo servizio offre tutte le funzionalità di un firewall di ultima generazione, quindi è in grado di effettuare packet filtering sia sugli indirizzi IP che sulle porte dei protocolli TCP/UDP, ma anche di operare a un livello più alto, cioè sugli attributi delle applicazioni HTTPS o SQL.

Descrivendo il flusso: il client che stabilisce una connessione chiamerà l’IP pubblico di Azure Firewall come IP di destinazione. Azure Firewall effettua quindi un Destination Network Address Translation (DNAT) “traducendo” l’IP di destinazione con quello privato del server che esegue l’applicazione e un Source NAT traducendo l’IP sorgente del client con il proprio IP privato. Quando l’applicazione risponde, il flusso viene ripetuto con la logica inversa.

Scenario 2: Solo Applicazioni Web

In questo scenario è sufficiente la sola presenza di Application Gateway, servizio che offre le funzionalità di un web load balancer e che a differenza di Azure Firewall funziona come un vero e proprio Reverse Application Proxy. I bilanciatori tradizionali operano al livello 4 della pila OSI, ovvero di Transport, effettuando il bilanciamento in base a indirizzo IP sorgente e porta. Application Gateway può invece smistare il traffico effettuando decisioni di livello più avanzato, per es. in base agli attributi della richiesta http, in quanto opera a livello OSI 7 (Application)

AG non effettua nessun NAT (Network Address Translation), ma inoltra al server di backend anche l’indirizzo IP originale del client, aggiungendolo nell’http header. Questo può essere utile nel caso di applicazioni web che necessitano di conoscere l’indirizzo sorgente del client per fornire contenuto specifico in base alla geolocalizzazione: per questo motivo in questo scenario abbiamo preferito Application Gateway ad Azure Firewall.

Scenario 3: Mix di Applicazioni Web e Applicazioni non-web

Finora abbiamo visto Azure Firewall e Application Gateway come servizi complementari, ma a seconda del contesto possono anche essere usati assieme per incrementarne l’efficacia.

In questo nuovo scenario la soluzione migliore è l’utilizzo di Application Gateway e Azure Firewall in parallelo: è il caso in cui ad esempio vogliamo pubblicare sia applicazioni web che non-web, dunque può essere utile sfruttare i vantaggi di entrambi i servizi. Quindi Azure Firewall si occuperà di ispezionare il traffico in ingresso per le applicazioni non web, mentre Application Gateway proteggerà quello diretto alle applicazioni web.

Per ottenere lo stesso livello di protezione su entrambi i tipi di applicazioni, sull’Application Gateway oltre alle feature già descritte prima potremmo abilitare un ulteriore servizio: WAF (Web Application Firewall). Si tratta di un device con funzionalità da firewall, specializzato per le applicazioni web: consente di proteggere in maniera centralizzata le applicazioni dai più diffusi tipi di attacchi e vulnerabilità.

Scenario 4: Applicazioni che necessitano di gestione dell’IP sorgente o destinazione

A seconda delle esigenze sulla gestione dell’IP sorgente, possiamo ipotizzare due nuove architetture dove anzichè collocare Application Gateway e Azure Firewall in parallelo, li mettiamo in serie.

Nel primo caso andiamo a gestire quelle applicazioni che necessitano di conoscere l’IP sorgente del client, a prescindere che siano web based o no. Collocheremo quindi come primo servizio che il client contatterà l’Application Gateway con l’aggiunta di WAF, in modo che offra protezione per le web application e possa preservare anche l’IP originale del client, mentre Azure Firewall verrà messo a valle come secondo livello di ispezione e si occuperà di controllo centralizzato e raccolta log.

Nel secondo caso gestiamo quelle situazioni in cui non ci interessa preservare l’IP sorgente ma vogliamo che sia Azure Firewall, con i suoi filtri più avanzati, a bloccare il traffico malevolo prima che raggiunga Application Gateway. In tal caso invertiremo la configurazione mettendo Azure Firewall come primo punto di accesso e Application Gateway dopo di esso.

Scenario 5: Protezione a layer 3+4 con DDoS Protection Standard

Introduciamo ora un altro interessante servizio Azure per la security: il DDoS Protection Standard, creato appositamente per proteggere le risorse dagli attacchi di tipo “Distributed denial of service (DDoS)”. Le risorse Azure, quando sono esposte su internet, possono essere facilmente oggetto di questi attacchi che consistono nel saturare tutte le risorse dell’applicazione fino a renderla indisponibile. Attacchi di questo tipo sfruttano di solito vulnerabilità nei livelli 3 e 4 della pila OSI, e la protezione del servizio DDoS si concentra quindi su queste.

Mentre la rete globale di Azure è protetta di default attraverso la DDoS Protection livello Basic, offerta quindi gratuitamente, il servizio Standard offre una protezione aggiuntiva attraverso delle policies che possono essere adattate alle applicazioni specifiche del cliente, il tutto in maniera intelligente in quanto il servizio è in grado di analizzare il traffico tipico dell’applicazione in modo da profilarlo e potere così più facilmente riconoscere le attività anomale. In più offre una serie di report e alert sugli attacchi rilevati, e la possibilità di essere integrato con Azure Security Center per potenziare ulteriormente il monitoraggio.

Scenario 6: Protezione a layer 3+4+livello Application

Possiamo ipotizzare un’ulteriore combinazione di due servizi di Azure Security appena visti per ottenere un doppio livello di protezione: Azure DDos e WAF. Essendo quest’ultimo basato su Application Gateway come mostrato nei precedenti scenari, otterremmo quindi una protezione completa ai livelli 3, 4 e 7 della pila OSI aggregando le feature di questi servizi.

Come mostrato nello screenshot, questi 2 servizi potrebbero lavorare assieme proteggendo la rete centrale nell’ambito di una particolare architettura di rete denominata “hub and spoke”.

Descrivendo in breve questa topologia standard: distribuiamo delle risorse condivise in una virtual network centrale denominata “hub”, che potranno connettersi a specifiche applicazioni isolate in apposite virtual network grazie ai virtual network peering. In questa architettura quindi, Azure Firewall e Application Gateway insieme a DDoS Protection verranno attivati nella virtual network con ruolo hub, anche se i server di backend che pubblicheranno possono stare nelle reti spoke, ottenendo quindi un ulteriore livello di isolamento e quindi protezione.

Conclusioni

Abbiamo visto una serie di servizi che sono tra loro complementari e possono quindi essere usati da soli o integrati tra loro: gli scenari mostrati sono solo alcuni esempi possibili tra le varie combinazioni che possono essere ipotizzate sulla base delle peculiari esigenze del cliente.

Partendo dai primi due scenari più semplici e dal costo più ridotto in quanto adottiamo un solo tipo di servizio, arriviamo fino a quelli (5 e 6) con la presenza di servizi dal costo più elevato come la DDoS Protection Standard, di conseguenza più adatti per aziende con un volume più elevato di workload da proteggere.

Infine consideriamo che gli strumenti visti presentano potenziali integrazioni con ulteriori servizi. Un esempio può essere Azure Kubernetes, nel caso in cui vogliamo proteggere i workload contenuti negli AKS cluster, oppure Azure Front Door che è un servizio molto simile a Application Gateway ma che anziché essere collocato in una Virtual Network, è disponibile a livello globale e decentralizzato.

 

Fonti e approfondimenti:

Firewall and Application Gateway for virtual networks – Azure Example Scenarios | Microsoft Docs

Azure DDoS Protection Standard Overview | Microsoft Docs

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer

 

Azure Shared Disk

Azure Shared Disk è una nuova funzionalità che permette di usare lo stesso disco gestito da più Virtual Machines sia con sistema operativo Windows che con sistema operativo Linux.

Il grosso vantaggio è che è possibile migrare tutte quelle applicazioni ancora presenti sulle infrastrutture on premises che dipendono dai servizi cluster e che sono sensibili a livello di latenza, senza compromettere l’alta affidabilità e il fast failover.

Queste includono database in cluster, scale-out File Server, SAP Workload, containers persistenti e applicazioni di Machine Learning.

Fatta questa promessa, andremo ora a configurare Windows Failover Cluster usando gli Azure Shared Disk.

Prerequisiti:

  • Sottoscrizione attiva Azure
  • Un dominio Active Directory già creato in precedenza
  • Proximity Placement Group

La scelta del disco deve ricadere su uno di tipo Premium o Ultra SSD, gli unici subset attualmente disponibili e ogni tipo di disco ha le sue limitazioni che potete trovare sulle docs di Microsoft (Share an Azure managed disk across VMs – Azure Virtual Machines | Microsoft Docs)

Durante la creazione del disco, nelle opzioni avanzate, ci verrà chiesto se si tratta di uno shared disk.

inoltre, dobbiamo indicare anche il numero massimo di shares (in poche parole il numero delle Virtual Machines che condivideranno il disco) questo valore varia in base al tipo di disco: più il disco è prestante più è possibile condividerlo con più Virtual Machines.

Ora possiamo procedere con l’aggiunta del disco a due nodi (precedentemente creati), al momento dell’aggiunta i nodi devono essere spenti.

Una volta aggiunto il disco, possiamo procedere con la semplice formattazione dal disk management di Windows.

In questo momento abbiamo entrambe le VM con il disco condiviso, ma ognuna di esse non condivide nessuna informazione con l’altra.

Procediamo quindi con l’installazione del ruolo Failover Cluster in entrambi i nodi che comporranno il cluster.

Per fare questo lanciamo tramite PowerShell il seguente comando e successivamente procediamo con il riavvio di ogni singolo nodo:

Una volta ripartite le VM, procediamo con la creazione del cluster tramite questo comando PowerShell in cui verrà anche specificato l’indirizzo Ip assegnato al cluster stesso (nel mio caso ho creato un ILB Azure).

Collegandoci al Failover Cluster Manager, possiamo verificare che il cluster sia correttamente configurato, In particolare, nella sezione storage, possiamo vedere che il nostro Shared Disk precedentemente creato:

Per rendere il cluster più stabile, possiamo procedere con la configurazione del Quorum, configurandolo in uno storage account:

Quando richiesto, andremo ad impostare il nome dello storage account e la Key di autenticazione che possiamo trovare nei settings dello storage account.

Il cluster è ora online e disponibile per installazioni quali SQL Server Failover Cluster necessarie per installazioni di applicazioni legate al mondo delle SAN on premise che hanno necessità di bassissima latenza pur conservando tutti i dogmi dell’alta affidabilità.

 

Fonti e approfondimenti:

Share an Azure managed disk across VMs – Azure Virtual Machines | Microsoft DocsEnable

shared disks for Azure managed disks – Azure Virtual Machines | Microsoft Docs

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

 

Azure Engineer