Category Archives: Azure

Annunciata la preview di Microsoft Azure Bastion

Per molti clienti in tutto il mondo, connettersi in maniera sicura dall’esterno a workdload e macchine virtuali su un network privato, rappresenta una sfida.
Esporre le virtual machine ad IP pubblici per abilitare la connettività attraverso Remote Desktop Protocol (RDP) e Secure Shell (SSH), estende il perimetro di sicurezza rendendo network e macchine virtuali ancora più aperte e difficili da gestire.
Proteggere le macchine virtuali dagli attacchi non è facile, specialmente quando quest’ultime sono esposte verso l’esterno. Una VM presente su Microsoft Azure, così come qualsiasi server al di fuori del contesto aziendale, richiede molta attenzione per l’esposizione del servizio RDP o SSH.

RDP e SSH rappresentano il metodo più classico attraverso cui i clienti si connettono ai loro workload di Azure.
Per connettersi alle loro macchine virtuali, molti clienti espongono le loro virtual machine ad IP pubblici o implementano bastion host quali jump-server o jump-boxes.

Per questo, oggi siamo felici di annunciarvi la preview di Azure Bastion.
Azure Bastion è un nuovo servizio PaaS completamente gestito che permette di accedere ai servizi quali RDP ed SSH in maniera sicura ed affidabile direttamente dal portale di Azure. Il provisioning di Azure Bastion viene effettuato direttamente nella vostra rete virtuale e supporta tutte le macchine virtuali nella rete virtuale con SSL senza dover esporre indirizzi IP pubblici.
Tutto questo, può essere fatto in due semplici click e senza il bisogno di preoccuparsi della gestione delle policy di network security.

Come Microsoft è solita fare, nella strada che ha portato all’uscita della preview, si è confrontata con centinaia di clienti appartenenti a diversi settori industriali.
L’interesse dimostrato è stato davvero enorme e i feedback entusiasti: i clienti chiedevano un modo semplice ed integrato per implementare, eseguire e scalare jump-server o bastion hosts all’interno delle infrastrutture Azure.

Implementare un jump-server dedicato e stand-alone spesso comporta il deploying manuale e la gestione di soluzioni e workload IaaS based quali i gateway Remote Desktop Services (RDS), la configurazione e gestione delle autenticazioni, le security policy e le liste di controllo degli accessi (ACL) assieme alla gestione della disponibilità, ridondanza e scalabilità della soluzione. Inoltre, il monitoraggio e l’auditing assieme alla continua necessità di rimanere compliant con le corporate policy rende il setup e la gestione dei jump server un’attività costosa, impegnativa e sfiancante.

Azure Bastion viene invece implementato nel vostro network virtuale fornendo accesso RDP/SSH a tutte le macchine virtuali connesse al network.
Dietro le quinte troviamo un servizio dedicato all’interno di una Subnet della Azure Network, che offre un gateway capace di collegare le proprie VM attraverso una pagina HTML5. Questo significa che non sarà più necessario utilizzare RDP o SSH.

Annunciata la preview di Microsoft Azure Bastion

Funzionalità principali disponibili nella preview:

RDP e SSH dal portale di Azure: connettete le vostre sessioni RDP ed SSH direttamente nel portale di Azure con un singolo click.
Sessioni remote tramite SSL e firewall per RDP/SSH: i client Web basati su HTML5 vengono automaticamente portati al vostro dispositivo locale tramite SSL, porta 443. Ciò abilita una connettività RDP/SSH senza client che vi permette di connettervi da qualsiasi posizione, dispositivo e piattaforma, senza agenti aggiuntivi in esecuzione nelle macchine virtuali.
Nessuna necessità di IP pubblici sulle Azure Virtual Machines: Azure Bastion apre la connessione RDP/SSH alle vostre virtual machine di Azure utilizzando un IP privato e limitando l’esposizione della vostra infrastruttura ad IP pubblici.
Semplificazione nella gestione di sicurezza: vi basta una semplice ed unica configurazione a Network Security Groups (NSG) per abilitare RDP/SSH da Azure Bastion.
Riduzione dei rischi derivati dal port scanning: l’esposizione limitata delle macchine virtuali ad indirizzi IP pubblici vi aiuterà a proteggervi dalle minacce quali il port scanning.
Riduzione dei rischi derivati dagli zero-day exploit: Azure Bastion è un servizio gestito da Microsoft. Viene continuamente rafforzato da patching automatici ed aggiornato alle vulnerabilità note.

Azure Bastion: prossimi step
Azure Bastion è sicuramente il futuro della gestione remota dei server: questo perché aumenta la sicurezza e consente agli amministratori di non esporre i propri server, accedendo a quest’ultimi anche in caso di emergenza, anche senza avere un device aziendale, attraverso l’utilizzo della pagina web.
Come per tutti gli altri servizi di Azure networking, Microsoft è al lavoro per aggiungere nuove e più potenti funzionalità via via che procede verso la general availability.

In programma, c’è l’integrazione con Azure Active Directory, l’aggiunta di funzionalità di single-sign-on utilizzando le identità di Azure Active Directory e la Azure Multi-Factor Authentication, oltre alla volontà di estendere la two-factor authentication alle connessioni RDP/SSH.
Inoltre, c’è in previsione l’aggiunta del supporto per il client nativi RDP/SSH di modo che possiate utilizzare le vostre applicazioni client preferite per connettervi in maniera sicura alle vostre Azure Virtual Machines utilizzando Azure Bastion.


Le informazioni presenti in questo post, sono prese dall’articolo: Announcing the preview of Microsoft Azure Bastion.

Azure Cloud Shell supporta ora Exchange Online

Oggi siamo felicissimi di annunciarvi che il modulo PowerShell per Exchange Online è disponibile all’interno di Azure Cloud Shell!

Se siete un amministratore di Exchange e non avete mai utilizzato Azure Cloud Shell prima (o non avete idea di cosa sia), allora questo post fa per voi.
Sappiamo perfettamente che non è semplice rimanere sempre aggiornati con tutte le novità di Microsoft, per questo vogliamo mettervi al corrente di questa ingegnosa funzionalità rilasciata di recente.
In sostanza, Azure Cloud Shell è una shell experience autenticata, basata sul browser e ospitata da Microsoft.

Potete utilizzare qualsiasi browser per aprire in maniera sicura un ambiente shell ospitato su Azure, in seguito potete connettervi ad Exchange Online (e ovviamente a Azure) avendo la medesima esperienza di gestione che siete soliti vedere su Exchange Online senza i problemi derivanti dal dover installare componenti o sistemi operativi idonei.

Per iniziare, potete sia raggiungere shell.azure.com che lanciare Cloud Shell direttamente dal portale di Azure cliccando sull’icona di Cloud Shell e selezionando l’esperienza PowerShell.
Potete vedere l’icona di Cloud PowerShell nell’immagine qui sotto circondata da un quadratino azzurro nella barra superiore.
Se invece ci arrivate tramite indirizzo shell.azure.com, dovrete autenticarvi e completare la richiesta di MFA (ci auguriamo che la vostra sottoscrizione abbia abilitato la MFA per tutti gli account).

Azure Cloud Shell supporta ora Exchange Online

A questo punto, tutto quello che dovete fare è eseguire il comando Connect-EXOPSSession.
Dovete utilizzare un account con assegnato il ruolo di Role Based Access Control (RBAC) e con i permessi adeguati.
Microsoft ha abilitato il Single Sign On (SSO) quindi non dovrete fornire altre credenziali.

I comandi Exchange vengono automaticamente traslati all’ambiente Cloud Shell: questo vi permette di effettuare esattamente le stesse attività che fate normalmente utilizzando Exchange Online PowerShell.

Date un’occhiata a questo video proveniente dall’ultima conferenza Microsoft Ignite per scoprire come effettuare questo processo nel modo più semplice possibile.
Tutto quello di cui avete bisogno è un browser!

La sezione seguente risponde alle domande frequenti degli utenti.

Come funziona esattamente?
Quando iniziate una sessione Cloud Shell, siete connessi ad un container Linux eseguito da Microsoft.
Perchè ciò sia possibile, dobbiamo ri-fattorizzare il codice Exchange Online PowerShell perchè lavori correttamente con PowerShell Core.

Una volta che la sessione è aperta, potete usare uno qualsiasi tra gli strumenti disponibili in Azure Cloud Shell e Exchange Online PowerShell.

Quali sono i requisiti?
Per usare Cloud Shell, avete semplicemente bisogno di una sottoscrizione Azure e di un account Azure Storage.
Cloud Shell ha bisogno di uno Storage account in Azure per lo storage temporaneo dell’ambiente di lavoro cmdlet, per qualsiasi import/export che facciate e per salvare i vostri script o gli altri file. Lo storage è persistente per il vostro account quindi ogniqualvolta e dovunque usiate Cloud Shell, tutti i vostri file e script saranno sempre disponibili.

L’unico costo per l’esecuzione di Azure Cloud Shell deriva dall’utilizzo di un account Azure Storage che, solitamente, è molto basso.
I costi di Azure Storage sono basati su un modello di consumo, perciò pagate solo per quanto utilizzate.

Si tratta del set completo dei cmdlet di Exchange?
Sì, è la libreria completa dei cmdlet di Exchange Online. È stato tutto modificato per lavorare all’interno di PowerShell Core. Funziona tutto in modo analogo ad oggi, solo l’accesso è differente.

Microsoft sta deprecando l’attuale Exchange PowerShell module in favore di questo?
Attualmente, Microsoft non ha piani in merito.

Per quanto riguarda RBAC?
RBAC è totalmente rispettato e lavora come fa con Windows PowerShell.

Come importo ed esporto i dati?
Dal portale di Azure o da shell.azure.com, trovate una toolbar contenente l’icona di Upload/Download che può essere utilizzata per spostare i vostri script locali su Cloud Shell e viceversa. Potrete anche fare il drag and drop dei file locali al terminale e saranno caricati automaticamente al Cloud Shell.

I file che sono salvati sotto il clouddrive all’interno di Cloud Shell, saranno disponibili da ovunque possiate raggiungere il vostro storage account Azure come, ad esempio, Azure Storage Explorer.

Azure Cloud Shell supporta ora Exchange Online

Come mantengo Cloud Shell aggiornato?
Non è un vostro compito, Microsoft lo fa per voi.
È questo il bello di questo setup: è sempre aggiornato, sicuro ed accessibile da dovunque possiate raggiungerlo con un browser.

Ci sono altri modi per accedere a Cloud Shell?
Azure Cloud Shell è disponibile dal Portale di Azure, da shell.azure.com, Azure Mobile App, Azure Extension in Visual Studio Code, dal pulsante “Try it” all’interno di Microsoft Docs e da Microsoft Learn.

Quali altri vincoli vi sono?
L’unico, se vogliamo considerarlo tale, è il timeout: per evitare di avere sessioni costantemente in esecuzione senza senso, Microsoft ha creato un timeout delle sessioni con cui non vi è un utilizzo interattivo. In sostanza, se non toccate la macchina per più di 20 minuti, viene richiamata la sessione.
Vi anticipiamo che l’attuale timeout dovrebbe funzionare per la maggior parte degli scenari di gestione ad hoc ma se volete eseguire script a lungo termine, probabilmente Cloud Shell non è lo strumento migliore.

A questo link una guida Quickstart.


Le informazioni presenti in questo post, sono prese dall’articolo Azure Cloud Shell Now Supports Exchange Online.

Gestire le spese relative ai servizi cloud utilizzando Azure Cost Management

Accade spessissimo che le aziende eseguano dei workload su più di un provider cloud.
Adottare una strategia multi-cloud porta ad una serie di complicazioni quali la gestione di diversi modelli di costo, differenti cicli di fatturazione e diversi design di app cloud in cui può essere difficile navigare tra molteplici dashboard e viste.

Sono molte le organizzazioni che richiedono una soluzione di gestione di costi centralizzata che permetta loro di gestire le spese tra molteplici provider cloud, evitare il superamento del budget, mantenere il controllo e creare un contesto di affidabilità con i vostri clienti.

Oggi, Azure Cost Management offre un supporto cross-cloud.
Lo strumento è disponibile in preview e gioca un ruolo molto importante nell’aiutarvi a gestire in maniera efficiente i bisogni multi-cloud della vostra azienda.
Portate a bordo i vostri costi AWS attraverso un connettore di semplice utilizzo per ottenere una singola visuale delle vostre spese così che possiate analizzare e stabilire il budget futuro tutto da un’unica interfaccia.

Iniziate già da ora e create il vostro primo connettore AWS con la preview gratuita per esplorare queste ed altre funzionalità.

Per maggiori informazioni sulla gestione dei costi di AWS, vi rimandiamo alla documentazione Manage AWS costs and usage in Azure.

Cosa si può fare con questa preview

Analizzare le spese Azure ed AWS con l’analisi dei costi
Ottenere risultati approfonditi sulle vostre spese relative al cloud con le ricche funzionalità e la grafica relativa all’analisi dei costi.
Analizzate i vostri costi grazie a 18 aspetti disponibili quali provider, service name, usage location, availability zones, meter e tags.
L’analisi dei costi vi dà la flessibilità di visualizzare spese granulari per comprendere da cosa siano determinati i costi e se vi siano anomalie e visualizzazioni di alto livello per analizzare costi totali e per mese dei vostri provider cloud.
Per saperne di più: Explore and analyze costs with Cost analysis.

Gestire le spese del cloud utilizzando Azure Cost Management

Budget ed alert delle vostre spese di Azure e AWS
Le sezioni Budgets e alerts all’interno dell’area Cost Management vi aiutano a programmare e agire in maniera responsabile nei confronti dell’azienda permettendovi di impostare massimali di spesa e definire le soglie di allerta.
Potete impostare i budget e ricevere alert anche per AWS. I budget possono essere impostati per diversi ambiti: sottoscrizioni, gruppi di risorse o per le gerarchie di enterprise agreement se siete clienti enterprise.

Le notifiche relative al budget sono integrate con gli Azure Action Groups che abilitano mail, SMS oppure potete collegarvi ai vostri script automatici utilizzando le integrazioni Webhook e Functions.
Per saperne di più: Tutorial: Create and manage Azure budgets.

Gestire le spese del cloud utilizzando Azure Cost Management

Novità future
– Con Azure Cost Management, l’obiettivo di Microsoft è quello di supportarvi nel gestire ambienti multi-cloud. Microsoft continuerà a sviluppare funzionalità aggiuntive di Cost Management di modo che possiate beneficiare di un’unica user experience sia su Azure che AWS.

– Nei prossimi mesi, Microsoft si concentrerà nella creazioni di funzionalità quali la possibilità di salvare e schedulare report, funzionalità aggiuntive per l’analisi dei costi, budget, forecast, alert, export e show-back. E, ancora più avanti, intende ampliare il supporto multi-cloud anche ad altri prodotti cloud.


Le informazioni presenti in questo post, sono tratte dall’articolo: Manage your cross cloud spend using Azure Cost Management.

Intune: nuova esperienza full screen in arrivo

Microsoft sta distribuendo le esperienze aggiornate di creazione e modifica della UI su Intune all’interno del portale di Azure.
Questa nuova esperienza, semplificherà i workflow esistenti utilizzando un formato condensato all’interno di un’unica sezione.
L’aggiornamento abolirà le complessità o qualsiasi flow di creazione e modifica che richieda ai professionisti IT di dover andare nel dettaglio.
Anche l’esperienza di creazione workflow sarà aggiornata ad includere gli Assignments, ad eccezione delle App assignment.

L’esperienza full screen sarà distribuita ad Intune sia tramite portal.azure.com che tramite devicemanagement.microsoft.com nel corso dei prossimi mesi.

Qui sotto troviamo un esempio di un flow vecchio.

Intune: nuova esperienza full screen in arrivo

Con la distribuzione dell’aggiornamento 1905, le sezione qui sopra, sarà in full screen nella console.

Intune: nuova esperienza full screen in arrivo

Nell’esperienza full screen, potete creare profili o policy ed assegnarle agli utenti o gruppi nello stesso flow.
Le assegnazioni delle app, in ogni caso, sono escluse da questa distribuzione.

Dopo aver completato i passaggi indicati dal wizard ed aver creato le policy, vedrete un pagina di riepilogo.
Per tornare alla schermata precedente e modificare un profilo già creato, potete cliccare su profile name > Properties e modificare ognuna delle sezioni della schermata qui sopra.

Intune: nuova esperienza full screen in arrivo


Le informazioni presenti in questo post, sono prese dall’articolo: New Full screen experience coming to Intune.

Adaptive Network Hardening all’interno dell’Azure Security Center

Vediamo come configurare l’Adaptive Network Hardening in Azure Security Center.

Cos’è l’Adaptive Network Hardening?
Applicare i network security groups (NSG) per filtrare il traffico da e verso le risorse, migliora le vostre condizioni di sicurezza di rete. Tuttavia, esistono dei casi in cui l’attuale traffico che passa attraverso il gruppo di sicurezza NGS è un sottoinsieme di regole di sicurezza di rete definite. In questi casi, è possibile migliorare ulteriormente le condizioni di sicurezza irrigidendo le regole NSG basate sull’attuale comportamento del traffico.

La protezione avanzata di networkAdaptive Network Hardening) raccomanda di rafforzare ulteriormente le regole NSG.
Utilizza un algoritmo di machine learning che tenga conto effettivo del traffico, conosca le configurazioni fidate, la threat intelligence e altri indicatori di compromesso e poi fornisca raccomandazioni che permettano il traffico solo da specifici IP/porte.

Supponiamo, ad esempio, che la regola NSG esistente permetta il traffico da 140.20.30.10/24 alla porta 22.
Il consiglio di Adaptive Network Hardening, basato sulle analisi, sarebbe di limitare il range e permettere il traffico da 140.23.30.10/29. Quest’ultimo è infatti un range IP ristretto e non abilita il resto del traffico a quella porta.

Visualizzare alert e regole di Adaptive Network Hardening
1. All’interno del Security Center, selezionate Networking -> Adaptive Network Hardening.

Le macchine virtuali di rete sono elencate in tre tab separate:
a. Unhealthy resources – si tratta di macchine virtuali su cui attualmente sono stati innescati alert e raccomandazioni eseguendo l’algoritmo Adaptive Network Hardening.
b. Healthy resources – VM prive di alert e raccomandazioni.
c. Unscanned resources – macchine virtuali su cui non può essere eseguito l’algoritmo Adaptive Network Hardening per uno dei seguenti motivi:
Le VM sono VM classiche – sono supportate solo le Macchine Virtuali di Azure Resource Manager;
Non vi sono abbastanza dati disponibili – per poter generare raccomandazioni di potenziamento accurate, il Security Center ha bisogno di almeno 30 giorni di dati di traffico;
La VM non è protetta da un ASC standard – solo le macchine virtuali impostate su un pricing tier di tipo Security Center’s Standard sono idonee per questa funzionalità.

Adaptive Network Hardening all'interno dell'Azure Security Center

2. Dalla tab Unhealthy resources, selezionate una macchina virtuale per visualizzare alert le raccomandazioni relative alle regole di hardening da applicare.

Adaptive Network Hardening all'interno dell'Azure Security Center

Esaminare ed applicare le regole raccomandate di Adaptive Network Hardening
1. Dalla tab Unhealthy resources, selezionate una macchina virtuale. Troverete elencate regole e raccomandazioni di hardening.

Adaptive Network Hardening all'interno dell'Azure Security Center

Note: la tab Rules elenca le regole che l’Adaptive Network Hardening vi raccomanda di aggiungere. La tab Alert, invece, elenca gli alert che sono generati a causa del traffico, del flusso alle risorse che non si trova all’interno del range di IP permesso nelle regole raccomandate.

Adaptive Network Hardening all'interno dell'Azure Security Center

2. Se volete cambiare alcuni dei parametri di una regola, potete modificarli seguendo i passaggi indicati nel paragrafo Modificare una regola.
Potete anche eliminare o aggiungere una regola.

3. Selezionate la regola che volete applicare sul NSD e cliccate Enforce.

Modificare una regola
Potreste voler modificare i parametri di una regola che vi è stata raccomandata.
Per esempio, potreste modificare i range IP raccomandati.
Qui sotto elenchiamo alcune importanti linee guida per modificare una regola di Adaptive Network Hardening:
Potete modificare soltanto i parametri delle regole “allow”;
NON potete cambiare le regole “allow” e trasformarle in regole “deny”;

Note: potete creare e modificare regole di tipo “deny” direttamente dal NSG. Per maggiori dettagli vi rimandiamo al seguente articolo.

Una regola di tipo Deny all traffic è l’unico tipo di regola deny che troverete elencata e non può essere modificata. Potete invece eliminarla (indicazioni nel paragrafo Eliminare una regola).

Note: una regola di tipo deny all traffic è raccomandata quando, come risultato dell’esecuzione dell’algoritmo, il Security Center non identifica traffico che debba essere permesso, basato sulla configurazione NSG esistente. Perciò, la regola raccomandata è quella di negare tutto il traffico a quella specifica porta. Il nome di questo tipo di regola è indicata come “system generated”. Dopo aver forzato la regola, il suo nome all’interno di NSG sarà una riga costituita da un protocollo, direzione di traffico e numero casuale.

Modificare una regola di Adaptive Network Hardening:
1. Per modificare alcuni dei parametri di una regola, nella tab Rules, cliccate sui tre puntini (…) situati alla fine della riga della regola e cliccate su Edit rule.

Adaptive Network Hardening all'interno dell'Azure Security Center

2. Nella finestra Edit rule, aggiornate i dettagli che intendete modificare e cliccate Save.
3. Per applicare la regola aggiornata, dalla lista, selezionatela e cliccate Enforce.

Aggiungere una nuova regola
Potete aggiungere una regola di tipo “allow” che non vi è stata raccomandata dal Security Center.

Note: solo le regole di tipo “allow” possono essere aggiunte in questa sezione. Se volete aggiungerne una di tipo “deny”, dovete farlo direttamente sul NSG. Per maggiori dettagli: Network security group.

Aggiungere una regola di Adaptive Network Hardening:
1. Cliccate Add rule (trovate la voce in alto a sinistra).

Adaptive Network Hardening all'interno dell'Azure Security Center

2. Nella finestra Edit rule, inserite i dettagli e cliccate Save.

Note: dopo aver cliccato Save, avrete aggiunto con successo la regola e la troverete elencata assieme alle altre regole raccomandate. Non l’avete invece ancora applicata sul NSG: per farlo, dovete selezionare la regola all’interno della lista e cliccare Enforce.

3. Per applicare la nuova regola, dalla lista, selezionatela e cliccate Enforce.

Eliminare una regola
Se necessario, potete eliminare una regola raccomandata.
Ad esempio, potreste determinare che l’applicazione di una regola suggerita possa bloccare traffico legittimo.

Eliminare una regola di Adaptive Network Hardening:
1. Nella tab Rules, cliccate sui tre puntini (…) situati alla fine della regola corrispondente e cliccate su Delete rule.

Adaptive Network Hardening all'interno dell'Azure Security Center


Le informazioni presenti in questo post, sono prese dall’articolo: Adaptive Network Hardening in Azure Security Center.