Azure Hybrid Management & Security: novità e consigli dal campo – Settembre 2025

Francesco MolfeseAzure Hybrid & Migration - 2025-2026, Azure Hybrid Management & Security - 2025-2026, Azure Management, Azure Policy & Governance, Cloud, Datacenter Management, Microsoft Azure, What’s New and Insights from the Field

Anche questo mese torna la mia rubrica dedicata all’evoluzione dei servizi di management e security in ambito Azure, con uno sguardo attento agli scenari ibridi e multicloud abilitati da Azure Arc e potenziati dall’utilizzo dell’Intelligenza Artificiale.

Questa serie di articoli mensili si propone di:

  • offrire una panoramica delle novità più rilevanti introdotte da Microsoft;
  • condividere consigli operativi e best practice raccolti dal campo, per aiutare architect e responsabili IT a gestire con efficacia ambienti complessi e distribuiti;
  • seguire l’evoluzione verso un modello di gestione centralizzato, proattivo e basato sull’AI, in linea con la visione di Microsoft dell’AI-powered Management.

Gli ambiti principali affrontati in questa rubrica, accompagnati dagli strumenti e servizi di riferimento, sono descritti in questo articolo.

Gestione degli ambienti ibridi e multicloud

Azure Arc

Ritiro di Azure App Service su Azure Arc-enabled Kubernetes

A partire dal 30 settembre 2025, Azure App Service su Azure Arc-enabled Kubernetes verrà ritirato e non sarà più possibile installare l’estensione. Per continuare a ospitare i carichi applicativi, Microsoft invita a migrare verso soluzioni alternative come Azure Container Apps su Azure Arc-enabled Kubernetes, che consente anche di sfruttare Logic Apps Hybrid. È raccomandata una valutazione tempestiva e una pianificazione della migrazione per garantire il completamento entro le scadenze, minimizzando rischi e disservizi nei contesti ibridi e multicloud.

Security posture delle infrastrutture ibride e multicloud

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

  • Malware automated remediation in Defender for Storage (preview): la funzionalità di remediation automatica per lo malware scanning di Defender for Storage è ora disponibile in public preview. Quando la scansione on-upload o on-demand rileva blob malevoli, i contenuti possono essere soft-deleted automaticamente: questo garantisce isolamento immediato e, allo stesso tempo, recuperabilità ai fini di analisi forense. L’impostazione è attivabile/disattivabile a livello di sottoscrizione o di storage account dal pannello Microsoft Defender for Cloud nel portale Azure, oppure tramite API.
  • Attack paths perfezionati: i percorsi di attacco sono stati migliorati per riflettere rischi realistici che un avversario potrebbe utilizzare per compromettere l’organizzazione. La nuova esperienza mette l’accento sugli entry point esterni e sulla progressione dell’attaccante verso asset di business critici, offrendo maggiore chiarezza, focus e prioritizzazione. In questo modo i team di sicurezza possono intervenire più rapidamente e con maggiore confidenza sulle esposizioni più critiche.
  • Trusted IPs per l’analisi di esposizione a Internet: Defender for Cloud consente di definire intervalli di IP attendibili per ridurre i falsi positivi nell’analisi di esposizione a Internet. Le risorse accessibili solo da IP considerati trusted vengono classificate come affidabili e, di conseguenza, Defender for Cloud non genera percorsi di attacco per tali origini.
  • Exposure width per l’analisi di esposizione a Internet (GA): la metrica Exposure width è ora in General Availability in Microsoft Defender for Cloud. Questa capacità mostra come una risorsa sia esposta a Internet in base alle regole di rete, aiutando i team di sicurezza a identificare e correggere rapidamente i percorsi di attacco più critici.
  • Trivy dependency scanning per repository del codice (update): Defender for Cloud include ora lo scanning delle dipendenze open-source basato su Trivy in filesystem mode, per rilevare automaticamente vulnerabilità di sistema operativo e librerie su repository GitHub ed Azure DevOps.

Backup & Resilience

Azure Backup

Vaulted backup per Azure Files (Premium)

Con Azure Backup, la protezione “in vault” arriva anche alle condivisioni Premium, garantendo business continuity e compliance anche in caso di eliminazioni accidentali, attività malevole o ransomware. Il vaulted backup mantiene una copia sicura e off-site dei dati, indipendente dall’account di origine.

Funzionalità chiave del vaulted backup:

  • Protezione off-site: conserva nel vault una copia indipendente dei dati, abilitando il ripristino anche se l’account sorgente è perso o compromesso. Possibilità di ripristino sull’account originale o su un account alternativo.
  • Resilienza a eliminazioni e ad attacchi: backup isolati che proteggono da eliminazioni accidentali, minacce interne e ransomware, garantendo la continuità operativa.
  • Backup automatici e flessibili: possibilità di effettuare pianificazioni giornaliere/settimanali oppure di eseguire backup on-demand quando necessario.
  • Conservazione a lungo termine: possibilità di mantenere i dati di backup fino a 99 anni, soddisfacendo requisiti di compliance e archiviazione.
  • Sicurezza by design: tutele come soft-delete, immutabilità, crittografia e autorizzazione multi-utente proteggono i dati nel vault da manomissioni o usi impropri.

Azure Site Recovery

Supporto per macchine virtuali con dischi Premium SSD v2

È stata annunciata la disponibilità generale del supporto di Azure Site Recovery (ASR) per le macchine virtuali che utilizzano dischi Premium SSD v2. ASR consente di effettuare una replica tra region Azure e da on-premises verso Azure, failover automatizzato e test di disaster recovery non invasivi, contribuendo alla continuità operativa con sicurezza integrata, conformità e integrazione nativa con i servizi Azure. I Premium SSD v2 forniscono bassa latenza e prestazioni costanti, con la flessibilità di scalare in modo indipendente throughput e IOPS: una combinazione ideale per workload enterprise come SQL Server, Oracle, SAP e big data.

Monitoraggio

Azure Monitor

Azure Resource Manager: nuove metriche in Azure Monitor

Azure Resource Manager (ARM) introduce un’integrazione potenziata con Azure Monitor Metrics a livello di sottoscrizione, abilitando una visibilità più approfondita su traffico, latenza e throttling delle operazioni a livello di control plane. Le metriche sono accessibili tramite REST API, SDK o direttamente dal portale Azure, senza necessità di opt-in. Sono inoltre presenti nuove dimensioni per analisi e filtri avanzati: tipo di operazione (lettura/scrittura/eliminazione), area di richiesta ARM, metodo HTTP, codice di stato HTTP, classe del codice (2xx, 4xx, 5xx), tipo di risorsa e namespace del resource provider.
Queste novità potenziano il troubleshooting, il capacity planning e la governance, semplificando il monitoraggio granulare di ambienti complessi e distribuiti.

High Scale mode per Azure Monitor – Container Insights

Microsoft annuncia la disponibilità generale della modalità High Scale in Container Insights, la soluzione di Azure Monitor per la raccolta dei log dai cluster Azure Kubernetes Service (AKS). Abilitando High Scale, il servizio applica automaticamente una serie di ottimizzazioni di configurazione che aumentano in modo significativo il throughput di raccolta, senza richiedere interventi o parametri aggiuntivi da parte dei clienti. Questa modalità consente di sostenere carichi di telemetria più elevati nei cluster AKS, migliorando l’osservabilità e la rapidità d’analisi in ambienti su larga scala, inclusi scenari ibridi e multicloud integrati con Azure Arc.

Azure Managed Service for Prometheus: dashboard Grafana native nel portale di Azure (preview)

È disponibile in Public Preview l’integrazione delle dashboard Grafana, nativa e senza costi aggiuntivi, all’interno del portale di Azure per Azure Managed Service for Prometheus. Con questa novità è possibile utilizzare e personalizzare rapidamente dashboard Grafana direttamente dal portale, evitando di dover distribuire e mantenere istanze dedicate di Grafana o ulteriori risorse Azure. L’integrazione semplifica l’osservabilità e riduce l’overhead amministrativo, accelerando la creazione di visualizzazioni utili al monitoraggio e al troubleshooting di workload containerizzati e distribuiti.

Conclusioni

Le novità di questo mese, dal ritiro di App Service su Arc-enabled Kubernetes e la necessità di pianificarne per tempo la migrazione, ai miglioramenti di Defender for Cloud (remediation automatica, attack paths più realistici, trusted IPs ed Exposure width in GA), fino alle evoluzioni di resilienza con Azure Backup per Files Premium e ASR per Premium SSD v2 — convergono tutte verso lo stesso obiettivo: ridurre superficie di attacco, aumentare l’affidabilità dei carichi e semplificare le operazioni su larga scala. Sul fronte del monitoraggio, l’arricchimento delle metriche ARM, la High Scale mode di Container Insights e le dashboard Grafana “native” in Managed Prometheus alzano l’asticella di trasparenza e time-to-insight, senza aggiungere complessità. Il mio invito è di trasformare queste indicazioni in azioni concrete: valutare e avviare la migrazione dagli asset in ritiro, ricalibrare le policy di sicurezza sfruttando le nuove capacità di priorizzazione e remediation, estendere i criteri di backup “in vault” dove necessario, e standardizzare le pratiche di monitoring adottando le metriche e le dashboard più recenti.