Azure Hybrid Management & Security: novità e consigli dal campo – Febbraio 2026

Francesco MolfeseAzure Hybrid & Migration - 2025-2026, Azure Hybrid Management & Security - 2025-2026, Azure Management, Azure Policy & Governance, Cloud, Datacenter Management, Microsoft Azure, What’s New and Insights from the Field

Anche questo mese torna la mia rubrica dedicata all’evoluzione dei servizi di management e security in ambito Azure, con uno sguardo attento agli scenari ibridi e multicloud abilitati da Azure Arc e potenziati dall’utilizzo dell’Intelligenza Artificiale.

Questa serie di articoli mensili si propone di:

  • offrire una panoramica delle novità più rilevanti introdotte da Microsoft;
  • condividere consigli operativi e best practice raccolti dal campo, per aiutare architect e responsabili IT a gestire con efficacia ambienti complessi e distribuiti;
  • seguire l’evoluzione verso un modello di gestione centralizzato, proattivo e basato sull’AI, in linea con la visione di Microsoft dell’AI-powered Management.

Gli ambiti principali affrontati in questa rubrica, accompagnati dagli strumenti e servizi di riferimento, sono descritti in questo articolo.

Hybrid and multicloud environment management

Microsoft Sovereign Cloud: più governance, produttività e AI anche in ambienti completamente disconnessi

Microsoft ha ampliato le funzionalità di Microsoft Sovereign Cloud per aiutare le organizzazioni a soddisfare i requisiti di sovranità digitale, mantenendo al tempo stesso governance, produttività e innovazione nell’intelligenza artificiale anche in scenari completamente disconnessi.

L’aggiornamento introduce lo stack “Sovereign Private Cloud”, che unifica Azure Local, Microsoft 365 Local e Foundry Local in ambienti connessi, con connettività intermittente e air-gapped (isolati), consentendo applicazione coerente delle policy e continuità operativa nel rispetto di rigorosi confini di sovranità.

Tra le principali novità:

  • Azure Local in modalità disconnessa: permette di eseguire e governare infrastrutture mission-critical senza connettività al cloud, garantendo controllo e conformità anche offline.
  • Microsoft 365 Local in modalità disconnessa: consente di mantenere i servizi di produttività essenziali—come Exchange Server, SharePoint Server e Skype for Business Server—interamente all’interno del perimetro del cliente, senza dipendenze esterne.
  • Miglioramenti a Foundry Local: aggiungono il supporto a infrastrutture moderne e abilitano l’esecuzione locale di modelli di intelligenza artificiale di grandi dimensioni e multimodali su hardware di proprietà del cliente (incluse piattaforme partner come NVIDIA), offrendo inferenza e API “in-boundary”, senza necessità di connessioni o servizi esterni.

Security posture across hybrid and multicloud infrastructures

Microsoft Defender for Cloud

Logica aggiornata per le raccomandazioni CIEM in Microsoft Defender for Cloud

Microsoft Defender for Cloud aggiorna la logica con cui vengono calcolate le raccomandazioni Cloud Infrastructure Entitlement Management (CIEM), ora disponibili come capacità nativa su Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). L’obiettivo dell’update è migliorare l’accuratezza delle raccomandazioni, con possibili impatti sui risultati già presenti a portale. In particolare, l’identificazione delle identità inattive non si basa più sull’attività di sign-in, ma sulla presenza di role assignment non utilizzati; inoltre, la finestra di osservazione passa a 90 giorni (in precedenza 45) e le identità create negli ultimi 90 giorni vengono escluse dalla valutazione di inattività. Viene anche ritirata la metrica Permissions Creep Index (PCI), che non comparirà più nelle raccomandazioni, mentre l’onboarding CIEM viene semplificato eliminando la necessità di permessi elevati considerati ad alto rischio. Nel complesso, il cambiamento rende più affidabile la lettura del rischio legato agli accessi, e più praticabile l’adozione CIEM in contesti enterprise e multicloud.

Simulazione degli alert per SQL servers on machines

La funzionalità di SQL simulated alerts in Microsoft Defender for Cloud è ora disponibile in General Availability. Questa novità permette ai team di sicurezza di validare in modo sicuro protezioni, rilevazioni e workflow di risposta automatizzata per SQL, senza introdurre rischi reali in produzione. Le simulazioni generano alert realistici, completi di contesto SQL e della macchina (sia su VM Azure sia su macchine connesse tramite Azure Arc), consentendo test end-to-end di playbook, procedure SOC e livelli di readiness operativa. Gli alert vengono prodotti localmente tramite una script extension sicura, senza payload esterni e senza impatti sulle risorse di produzione: un approccio particolarmente utile per esercitazioni periodiche, audit e attività di hardening continuo dei processi di incident response.

Supporto di scansione per immagini container Minimus e Photon OS

Lo scanner di vulnerabilità di Microsoft Defender for Cloud, basato su Microsoft Defender Vulnerability Management, estende la copertura includendo anche le immagini container Minimus e Photon OS. L’obiettivo è identificare vulnerabilità anche su queste distribuzioni e aiutare i team a verificare che le immagini rilasciate rispettino standard di sicurezza adeguati, soprattutto in pipeline CI/CD e ambienti containerizzati ad alta rotazione. Con l’aumento delle tipologie di immagini analizzate, la quantità di scanning può crescere e, di conseguenza, potrebbe verificarsi un incremento dei costi legati alla valutazione delle vulnerabilità. In ottica operativa, l’estensione della coverage è un passo importante per ridurre i “buchi” di visibilità nella supply chain container, soprattutto quando si adottano distribuzioni minimaliste per ridurre la superficie d’attacco.

Threat protection per AI agents in Foundry con Microsoft Defender for Cloud (preview)

Microsoft Defender for Cloud introduce in Preview una nuova funzionalità di threat protection per AI agent sviluppati con Foundry, inclusa nel piano Defender for AI Services. La protezione è pensata per coprire l’intero ciclo di vita, dallo sviluppo al runtime, con l’obiettivo di individuare e mitigare minacce ad alto impatto e realmente azionabili, in linea con le indicazioni OWASP dedicate ai sistemi basati su Large Language Model (LLM) e alle architetture agentiche. Con questo aggiornamento, Microsoft amplia ulteriormente la copertura della security per l’AI all’interno di Defender, aiutando le organizzazioni a proteggere un numero crescente di piattaforme e implementazioni AI, mantenendo un approccio coerente tra controlli applicativi, posture e rilevazioni in esercizio.

Esperienza di raccomandazioni a livello database per SQL Vulnerability Assessment (preview)

Microsoft Defender for SQL introduce in Preview una nuova modalità di fruizione delle raccomandazioni di SQL Vulnerability Assessment (SQL VA), basata su valutazioni a livello di singolo database. L’aggiornamento riguarda SQL VA su tutte le tipologie supportate (sia PaaS sia IaaS), incluse configurazioni classic ed express, ed è disponibile sia in Azure portal sia nel Defender portal. Nel nuovo modello, ogni regola di SQL VA genera una valutazione distinta per ciascun database impattato, e queste valutazioni vengono esposte e gestite come vere e proprie recommendations nella pagina Recommendations di Defender for Cloud. In precedenza, i risultati erano aggregati a livello di server o istanza e presentati sotto raccomandazioni “ombrello” (ad esempio quelle relative alla risoluzione dei findings per SQL databases o per SQL servers on machines). La nuova esperienza non modifica logica di scansione, regole, query, schedule, API o pricing: cambia invece il modo in cui i risultati vengono consumati e gestiti, allineandoli al modello uniforme delle recommendations di Defender. Durante la preview, queste nuove valutazioni non influenzano il Secure Score nell’Azure portal, ma contribuiscono al Secure Score nel Defender portal, mentre l’esperienza aggregata a livello server rimane disponibile in parallelo.

Binary drift con supporto al blocco (preview)

La funzionalità di binary drift evolve e, in Preview, consente non solo di rilevare variazioni non autorizzate, ma anche di bloccarle. In pratica, è possibile configurare policy che impediscono l’esecuzione di binari all’interno dei container quando risultano manomessi o presentano modifiche inattese rispetto all’immagine attesa. Questo tipo di enforcement aggiunge un livello di protezione particolarmente efficace contro tecniche di compromissione runtime e post-deploy, aiutando a contenere incidenti che derivano da alterazioni sul filesystem del container o da inserimento di componenti non autorizzati. Per i team che gestiscono workload containerizzati su larga scala, il passaggio da “detect” a “detect + prevent” rappresenta un’evoluzione concreta verso controlli più proattivi.

Anti-malware runtime per container: rilevazione e blocco (preview)

Microsoft Defender for Cloud introduce in Preview la rilevazione e prevenzione anti-malware a runtime per workload containerizzati, con supporto per ambienti Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) e Google Kubernetes Engine (GKE). La funzionalità opera in tempo reale e permette di definire regole anti-malware che stabiliscono condizioni per generare alert e, quando opportuno, bloccare il malware, rafforzando la protezione dei cluster senza dipendere esclusivamente da controlli a monte (come scanning delle immagini). L’impostazione tramite regole aiuta anche a ridurre i falsi positivi, bilanciando sicurezza e operatività, soprattutto in contesti multicloud dove la coerenza delle policy e delle azioni di risposta è spesso un requisito chiave per i team di security e platform engineering.

Backup & Resilience

Azure Backup

Backup su Vault per Azure Disk (preview)

Con Azure Disk Backup, oggi i dati vengono protetti tramite snapshot regolari crash-consistent dei dischi Azure, archiviati all’interno della subscription e del tenant in un resource group, noto come Operational Tier di Azure Backup. Questo approccio abilita ripristini rapidi “operativi” in casi comuni come cancellazioni accidentali o corruzione dei dati, ed è spesso affiancato a Azure VM Backup, che offre una protezione application-aware per le macchine virtuali. In linea con le best practice di backup (strategia 3-2-1), Microsoft introduce nella Private Preview i Vault Tier backups, estendendo la protezione a livello disco con isolamento su vault (offsite), controlli di accesso indipendenti e immutabilità: elementi chiave per aumentare la resilienza a ransomware e compromissioni a livello tenant e per allineare la sicurezza dei backup disco a una postura di cyber-recovery paragonabile a quella già adottata per i backup delle VM. La preview abilita due funzionalità principali: Vault Tier Backup, per conservare copie isolate nel vault a supporto di requisiti di compliance e resilienza; e Regional Disaster Recovery, che permette di ripristinare i backup dei dischi in una regione Azure “paired”, aprendo nuovi scenari di disaster recovery in combinazione con Azure VM Backup e Azure Site Recovery.

Monitoring

Azure Monitor

Trasformazioni dei dati nella pipeline di Azure Monitor (preview)

Le Azure Monitor pipeline data transformations sono disponibili in Public Preview e consentono di modellare la telemetria prima dell’ingestione in Azure Monitor, con l’obiettivo di migliorare la qualità dei dati, semplificare l’analisi e contenere i volumi (e quindi l’impatto) dell’ingestion su larga scala. Integrate nella pipeline di Azure Monitor per scenari edge e multi-cloud, le trasformazioni permettono di filtrare, aggregare, standardizzare e rimappare dati come Syslog e Common Event Format (CEF), riducendo rumore e ridondanza già “a monte”. La presenza di meccanismi di standardizzazione automatica dello schema e di guardrail di validazione aiuta a mantenere la compatibilità con le tabelle standard, evitando interruzioni del flusso dati quando si applicano trasformazioni. Inoltre, la preview include template predefiniti in Kusto Query Language (KQL) per casi d’uso ricorrenti e funzioni avanzate di filtro e aggregazione che permettono, ad esempio, di comprimere eventi ad alta frequenza in finestre temporali significative. In sintesi, avvicinando l’ottimizzazione dei dati alla sorgente, questa funzionalità punta a generare dataset più puliti e insight più rapidi anche in ambienti complessi e ad alto volume.

Secure ingestion e pod placement per Azure Monitor pipeline (preview)

Microsoft ha annunciato in Public Preview nuove funzionalità per Azure Monitor pipeline che puntano a migliorare sia la sicurezza dell’ingestion dei dati sia la gestione operativa dei componenti in ambiente Kubernetes. Sul fronte secure ingress, la pipeline può ora ricevere traffico da endpoint esterni utilizzando TLS e mutual TLS (mTLS) per receiver basati su TCP, introducendo il supporto al modello Bring Your Own Certificates (BYOC): questo consente alle organizzazioni di mantenere pieno controllo sul ciclo di vita dei certificati, soddisfare requisiti normativi e integrare la configurazione con la propria infrastruttura PKI esistente. In pratica, è possibile configurare mTLS con certificati propri per l’autenticazione reciproca client/server oppure adottare TLS con un certificato server personalizzato e una CA client dedicata. In parallelo, arriva anche la funzionalità di pod placement, che fornisce controlli nativi per determinare come le istanze della pipeline vengono pianificate sui nodi del cluster: tramite la configurazione di execution placement si possono indirizzare i pod su nodi con specifiche capacità (ad esempio nodi ad alte risorse o in determinate zone), controllare la distribuzione delle istanze per ridurre la contesa delle risorse e applicare criteri di isolamento utili nelle distribuzioni ad alta scala.

Conclusioni

Le novità di questo mese confermano una direzione molto chiara: Microsoft sta spingendo verso un modello di gestione e protezione sempre più uniforme, proattivo e “AI-ready”, capace di funzionare con coerenza non solo in Azure, ma anche in scenari ibridi, multicloud e persino disconnessi. L’evoluzione di Microsoft Sovereign Cloud e dello stack “Sovereign Private Cloud” mostra come governance e produttività possano estendersi anche in contesti air-gapped, mentre sul fronte sicurezza Defender for Cloud continua ad aumentare copertura e profondità: CIEM più affidabile e adottabile, simulazioni di alert per validare i processi SOC, protezioni runtime più incisive per i container e un’attenzione crescente alla protezione di workload AI e agenti. In parallelo, Azure Backup rafforza la resilienza con l’approccio “vault tier” per i dischi, allineando la protezione a requisiti di cyber-recovery più moderni, e Azure Monitor porta l’ottimizzazione più vicino alla sorgente con trasformazioni dei dati e opzioni di ingestion sicura (TLS/mTLS) pensate per ambienti distribuiti.