Anche questo mese torna la mia rubrica dedicata all’evoluzione dei servizi di management e security in ambito Azure, con uno sguardo attento agli scenari ibridi e multicloud abilitati da Azure Arc e potenziati dall’utilizzo dell’Intelligenza Artificiale.
Questa serie di articoli mensili si propone di:
- offrire una panoramica delle novità più rilevanti introdotte da Microsoft;
- condividere consigli operativi e best practice raccolti dal campo, per aiutare architect e responsabili IT a gestire con efficacia ambienti complessi e distribuiti;
- seguire l’evoluzione verso un modello di gestione centralizzato, proattivo e basato sull’AI, in linea con la visione di Microsoft dell’AI-powered Management.
Gli ambiti principali affrontati in questa rubrica, accompagnati dagli strumenti e servizi di riferimento, sono descritti in questo articolo.
Security posture across hybrid and multicloud infrastructures
Microsoft Defender for Cloud
File Integrity Monitoring richiede l’agente MDE versione 10.8799 o superiore per i sistemi Windows legacy
Microsoft ha comunicato un aggiornamento importante relativo a File Integrity Monitoring (FIM): a seguito di una modifica nella pipeline di Microsoft Defender for Endpoint (MDE), il corretto funzionamento della funzionalità sui sistemi Windows legacy richiede ora l’utilizzo del Defender for Servers Windows client, cioè l’agente MDE, in versione 10.8799 o successiva. La modifica interessa in particolare i sistemi downlevel, come Windows Server 2016, Windows Server 2012 R2 e altri client legacy, sui quali le versioni precedenti dell’agente non garantiscono più il funzionamento corretto del monitoraggio dell’integrità dei file. Per le organizzazioni che utilizzano FIM come parte delle proprie strategie di controllo e rilevamento delle modifiche non autorizzate, diventa quindi essenziale verificare la versione distribuita dell’agente e pianificare l’aggiornamento dove necessario.
Supporto al Kubernetes gated deployment per AKS Automatic
Il supporto al Kubernetes gated deployment per i cluster AKS Automatic è ora disponibile in General Availability, ampliando le opzioni di protezione e controllo nei processi di rilascio su Kubernetes gestiti in Azure. Per utilizzare questa funzionalità è necessario installare il sensore di Defender for Containers tramite Helm nel namespace kube-system. Nei casi in cui il sensore sia stato installato in precedenza tramite l’add-on di AKS, lo script di installazione basato su Helm provvede a disabilitare l’add-on e a ridistribuire il sensore con la nuova modalità supportata. Microsoft ha inoltre aggiornato gli script Helm proprio per garantire il deployment corretto del sensore nel namespace richiesto sui cluster AKS Automatic. Questa disponibilità rafforza l’integrazione tra sicurezza e pipeline di rilascio, consentendo ai team di introdurre controlli più stringenti prima della promozione dei workload in produzione.
Assegnazione del rischio basata sulla severità per le raccomandazioni “Not evaluated”
Microsoft Defender for Cloud ha introdotto un cambiamento significativo nel modo in cui vengono trattate le raccomandazioni che in precedenza risultavano nello stato Not evaluated. Queste raccomandazioni ricevono ora un livello di rischio derivato dalla severità associata, e vengono quindi priorizzate nell’elenco complessivo in base al rischio assegnato. L’impatto di questa novità non è soltanto visivo o organizzativo, ma incide anche sullo stato generale delle raccomandazioni e sul calcolo del Secure Score, poiché elementi che prima non contribuivano alla valutazione del rischio vengono adesso inclusi. Per i clienti che non hanno abilitato Defender CSPM, lo stato Not evaluated viene eliminato e sostituito da una classificazione basata sulla severità. Per ottenere invece una valutazione del rischio pienamente contestualizzata e sensibile all’ambiente, Microsoft continua a raccomandare l’abilitazione di Defender CSPM a livello di sottoscrizione.
Arricchimento delle raccomandazioni dal codice al runtime (preview)
Microsoft Defender for Cloud introduce in anteprima la funzionalità di Code to runtime enrichment for recommendations, pensata per offrire una visibilità end-to-end lungo tutto il ciclo di vita dello sviluppo software. L’obiettivo è consentire ai team di sicurezza di collegare i problemi rilevati a runtime alla loro origine nel codice sorgente, comprendendo anche l’effettiva estensione dell’impatto generato da una vulnerabilità o da una modifica applicativa. Tra le capacità più rilevanti vi è la possibilità di seguire la catena SDLC dal codice sorgente alle pipeline, dai registry fino agli ambienti runtime, così da ricostruire il percorso completo di una criticità. La funzionalità consente inoltre di analizzare il cosiddetto blast radius, cioè il numero di asset potenzialmente influenzati da una singola modifica nel codice, e di risalire da una raccomandazione runtime alla sorgente originaria del problema. Questo approccio rende la remediation più efficace, perché permette di intervenire all’origine evitando che lo stesso problema si ripresenti nel tempo in ambienti diversi. Per i team che vogliono rafforzare la collaborazione tra sviluppo, operations e security, questa novità rappresenta un passo concreto verso una postura DevSecOps più matura.
Scansione antimalware on-demand di Azure Files in Microsoft Defender for Storage (preview)
Microsoft ha esteso in anteprima la funzionalità di scansione antimalware on-demand di Defender for Storage includendo anche Azure Files. Con questa novità è possibile eseguire la scansione di interi account di Azure Storage che contengono sia blob sia file, ampliando in modo significativo il perimetro di controllo rispetto agli scenari coperti in precedenza. Le scansioni possono essere avviate direttamente dal portale di Azure oppure tramite API REST, e possono essere integrate in processi automatizzati utilizzando Azure Logic Apps, runbook di Azure Automation o script PowerShell. La funzionalità si basa su Microsoft Defender Antivirus e utilizza, per ogni scansione, le definizioni antimalware più aggiornate disponibili. Un elemento particolarmente utile dal punto di vista operativo è la presenza di una stima preventiva dei costi nel portale Azure prima dell’avvio della scansione, caratteristica che aiuta i team IT a pianificare meglio l’utilizzo del servizio. Questa estensione rende Defender for Storage più adatto a scenari in cui è necessario aumentare il livello di verifica su dati condivisi e repository file-based, specialmente in contesti enterprise distribuiti.
Nuovo formato delle raccomandazioni individuali nel portale Azure (preview)
Microsoft Defender for Cloud sta introducendo in anteprima nel portale Azure un nuovo formato per le raccomandazioni, basato sulla visualizzazione individuale dei findings al posto del precedente modello aggregato. Il cambiamento comporta una trasformazione importante nell’esperienza utente: le vulnerabilità, i segreti esposti e le configurazioni errate che prima potevano essere raccolti sotto una raccomandazione padre vengono ora mostrati come elementi distinti. Di conseguenza, gli utenti potrebbero notare un numero maggiore di raccomandazioni nell’elenco complessivo, non perché siano emersi nuovi problemi, ma perché la rappresentazione è diventata più dettagliata e granulare. Per il momento, il nuovo formato convive con quello precedente, che verrà però deprecato nei prossimi mesi. Le nuove raccomandazioni individuali sono contrassegnate dai tag Preview e New version, che ne evidenziano lo stato iniziale e permettono anche di filtrarle più facilmente; inoltre, in questa fase, tali raccomandazioni non hanno ancora impatto sul Secure Score. Si tratta di un’evoluzione coerente con la volontà di rendere la governance della sicurezza più precisa, trasparente e orientata all’azione.
Governance and policy management
Azure Policy
Ritiro del workaround login/logout per l’enforcement rapido di Azure Policy
Microsoft ha migliorato la reattività delle Azure Policy, rendendo effettiva entro 5 minuti l’applicazione delle nuove assegnazioni e degli aggiornamenti delle policy in modalità Azure Resource Manager. Grazie a ottimizzazioni nel meccanismo di refresh della cache, è possibile ritirare il cosiddetto login/logout workaround, una procedura storicamente utilizzata da alcuni clienti per accelerare manualmente la propagazione delle modifiche alle policy. A partire dal 30 aprile 2026, questo workaround non sarà più disponibile: una scelta che rientra nel percorso di evoluzione del servizio e che punta a migliorare ulteriormente prestazioni complessive e affidabilità, offrendo a tutti i clienti un comportamento più prevedibile, coerente ed efficiente nella governance degli ambienti Azure.
Monitoring
Azure Monitor
Log Analytics Workspace: le summary rules supportano ora il “Retry bin” manuale (preview)
Microsoft ha introdotto una nuova funzionalità in anteprima per le summary rules di Log Analytics Workspace, pensata per semplificare la gestione degli errori che possono verificarsi durante i processi di aggregazione batch. Le summary rules consentono di eseguire aggregazioni periodiche sui dati presenti nel workspace e di reimportare i risultati sintetizzati all’interno di una tabella di destinazione personalizzata. Quando però un singolo intervallo temporale, o bin, non viene elaborato correttamente, si possono generare lacune nel dataset riepilogativo. Con la nuova funzionalità “Retry bin”, è possibile intervenire in modo mirato rieseguendo esclusivamente il bin che ha restituito un errore, senza dover ridefinire la regola esistente né ricostruire la tabella di destinazione. Per avviare il nuovo tentativo è sufficiente specificare il valore retryBinStartTime, mantenendo invariata tutta la configurazione già definita della regola, inclusi query, bin size e tabella di destinazione. Questa novità rende più agevole il ripristino della continuità dei dati aggregati e contribuisce a migliorare affidabilità e manutenibilità delle pipeline di sintesi in Log Analytics.
Metriche GPU gestite per AKS in Azure Monitor (preview)
Microsoft ha introdotto in anteprima pubblica il supporto alle metriche GPU gestite per Azure Kubernetes Service (AKS) all’interno di Azure Monitor, rispondendo a un’esigenza sempre più diffusa nei contesti che eseguono workload accelerati da GPU. In molti scenari, infatti, i team IT e DevOps faticano a ottenere una visibilità unificata sull’utilizzo delle GPU insieme alle metriche del cluster Kubernetes, soprattutto quando devono ricorrere a configurazioni manuali di exporter e strumenti dedicati. Con questa novità, i dati di performance e di utilizzo provenienti dai node pool abilitati con GPU NVIDIA vengono esposti automaticamente all’interno degli ambienti gestiti basati su Prometheus e Grafana. In questo modo, la telemetria delle GPU entra a far parte dello stesso stack di osservabilità già utilizzato per monitorare il cluster, semplificando le attività di capacity planning, ottimizzazione delle risorse e monitoraggio operativo. Si tratta di un’evoluzione particolarmente interessante per tutte le organizzazioni che stanno adottando modelli AI e machine learning su AKS e che necessitano di strumenti di controllo più integrati, coerenti e immediati.
Ingestione di dati OTLP in Azure Monitor con OpenTelemetry Collector (preview)
Microsoft ha annunciato in anteprima pubblica il supporto nativo all’ingestione dei segnali OpenTelemetry Protocol (OTLP) in Azure Monitor, rendendo più semplice l’invio diretto di metriche, log e trace da applicazioni e piattaforme instrumentate con OpenTelemetry. Grazie a questa funzionalità, è possibile configurare OpenTelemetry Collector affinché invii i dati direttamente agli endpoint cloud di ingestione di Azure Monitor, utilizzando Microsoft Entra per l’autenticazione. L’abilitazione può avvenire tramite Application Insights, approccio consigliato nella maggior parte dei casi perché automatizza la creazione delle risorse necessarie e mette a disposizione funzionalità integrate di application performance management, oppure attraverso una configurazione manuale basata su data collection endpoints, data collection rules e workspace dedicati. Le metriche OTLP acquisite vengono archiviate negli Azure Monitor Workspace e possono essere interrogate e utilizzate per alert tramite PromQL, mentre log e trace vengono salvati nei Log Analytics workspace secondo nuove tabelle e semantiche OpenTelemetry. Questa novità rafforza l’allineamento di Azure Monitor agli standard aperti dell’osservabilità moderna e rappresenta un passaggio importante per semplificare il monitoraggio di ambienti distribuiti, ibridi e multicloud.
Conclusioni
Le novità di marzo 2026 confermano in modo sempre più evidente la direzione intrapresa da Microsoft: costruire un modello di gestione e protezione degli ambienti ibridi e multicloud sempre più centralizzato, intelligente e integrato lungo tutto il ciclo di vita delle risorse e delle applicazioni. Da un lato, Microsoft Defender for Cloud evolve verso una sicurezza più contestualizzata, granulare e orientata alla priorità reale del rischio, con funzionalità che collegano in modo sempre più stretto codice, pipeline e runtime; dall’altro, servizi come Azure Policy e Azure Monitor continuano a migliorare in termini di rapidità, affidabilità e aderenza agli standard moderni di osservabilità. Per i team IT, questo significa la necessità di affiancare all’adozione delle nuove funzionalità anche una revisione operativa dei processi: verificare i prerequisiti tecnici degli agenti, prepararsi ai cambiamenti nell’esperienza del portale, sfruttare le nuove opzioni di automazione e investire in una maggiore convergenza tra governance, monitoring e security. In sintesi, il messaggio che emerge è chiaro: per gestire infrastrutture sempre più distribuite e complesse non basta più reagire agli eventi, ma diventa fondamentale adottare un approccio proattivo, continuo e supportato dall’intelligenza artificiale.