Microsoft Advanced Thread Analytics (ATA)
Muitos clientes que visito não fazem ideia do que é o ATA, mesmo possuindo ele no licenciamento EMS (Enterprise Mobility + Security). https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics
Entendendo o ATA
Para entender melhor o que é o ATA precisamos relembrar o que são produtos de segurança comportamentais (http://www.marcelosincic.com.br/post/Windows-Defender-ATP-Entenda-o-Novo-Produto.aspx).
Esse tipo de produto não se baseia em um código malicioso que é baixado a partir de um DAT com informações do código que será executado (assinatura de virus).
Nos serviços de segurança comportamental você analisa tendencias, usos comuns e atividades suspeitas, como por exemplo um usuário que nunca se logou em um servidor agora é administrador e acessa diversas maquinas.
O ATA conta com o expertise da Microsoft, empresa que criou o Active Directory, e baseia sua IA base nas informações de comportamento de bilhões de usuários ativos globalmente em seus sistemas.
Essa base de conhecimento aplicada ao ambiente corporativo é capaz de detectar tendências incomuns de usuários e proteger contra ameaças antes delas ocorrerem.
Instalando o ATA
A instalação é muito simples, pois a comunicação online é realizada diretamente com uma URL do Azure que recebe e processa com Machine Learning os dados de logs de segurança recebidos.
Para instalar basta executar o instalador que é bem simples e intuitivo. Após instalar o servidor, podemos instalar o Gateway que é o servidor Domain Controller que será analisado coletando os logs de segurança.
Uma vez instalado a administração é bem simples e é possivel avançar nas configurações informando por exemplo o SID de um usuário para servir de diagnostico de invasão, um range de IP de maquinas vulneráveis (em DMZ por exemplo) e outros recursos.
Uma vez instalado a manutenção dele é automática tanto do servidor quando dos gateways que são monitorados.
Verificando Issues de Segurança do AD
Após alguns dias já é possivel ver no painel alguns alertas, por exemplo abaixo o aviso de que alguns computadores estão usando nivel de criptografia vulnerável:
Esse outro exemplo um caso de execução remota de comandos e scripts por parte de um servidor remoto. Claro que nesse caso eu irei encerrar o aviso, uma vez que é uma atitude esperada pois tenho o projeto Honolulu na mesma maquina que executa comandos WMI:
Veja que nos dois casos eu consigo saber o que aconteceu, quem foi o usuário e em que servidor/desktop a atividade suspeita ocorreu.
Alem disso, o histórico de detecções nos ajuda a entender se este é um chamado real ou apenas uma atividade especifica.
Recebendo Alertas e Relatórios
O ATA permite que configure o recebimento dos alertas e dos reports com os dados.
Posso executar reports standalone:
Ou agendar para receber por email todos os dias, assim como os alertas:
Como adquirir o ATA
Essa é a pergunta que muitos fazem, mas é importante lembrar que como um produto online, ele pode ser adquirido por quem tem o Microsoft 365 com Security (novo EMS, o antigo EMS ou então adquirido individual.
Lembrando que como se trata de um produto vinculado ao O365, a aquisição é por usuário, mesmo que standalone.
Introdução ao Azure Stack em Video aula
Segue a apresentação em video aula criada para o Business Partner, agora disponivel público:
Vamos Falar do Projeto Microsoft Honolulu?
O projeto Honolulu foi muito comentado a algum tempo atrás e linkado a uma nova interface gráfica do Windows ou funcionalidade.
Agora em 01/Dezembro saiu uma nova versão Preview e documentação do Honolulu e já está bem maduro e com arquitetura final definida.
O que é o projeto Honolulu?
É uma nova interface de GERENCIAMENTO para Windows Server.
Não se trata de uma substituição do Server Manager do Windows 2012/2016 e sim uma interface baseada em novos protocolos para acesso e facilidade de uso, alem da capilaridade no gerenciamento.
Quais as vantagens do Honolulu sobre o Server Manager?
O Server Manager é uma ferramenta muito boa, mas é baseada em protocolos locais (RPC, WinRM e outros) alem de ser baseada em uma GUI que precisa ser instalada.
O Honolulu é 100% baseado em web para acesso aos dados e utiliza WinRM, WMI e PowerShell para administração dos servidores.
Com o Honolulu é possivel fazer coisas que o Server Manager não faz, como executar scripts, Windows Update, administrar e monitorar VMs, etc.
Por outro lado, o Honolulu não administra tantos serviços como o Server Manager, como por exemplo File Server, DHCP, DNS, etc que continuam a ser administrados pelas ferramentas MMC.
Como instalar o Honolulu?
A instalação é muito simples, mas é preciso definir a arquitetura.
Basicamente podemos utilizar instalado em um unico servidor e vincular os outros na administração como nós, ou então instalar um servidor como Gateway para acessar os outros e facilitar o trafego quando temos muitos servidores em um farm:
Em geral para estas ferramentas o ideal é criar um servidor com pouca memoria e poder de processamento (na figura o segundo modelo) para não onerar servidores com outras funções, já que ele cria um serviço para o Honolulu:
Para baixar o Honolulu, como ainda é um Preview é necessário usar a página de avaliaçoes de produtos Windows Server em https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-honolulu
Como administrar um servidor com o Honolulu?
Vamos as telas básicas. Primeiro inserimos um servidor na lista e a partir dai é possivel por qualquer navegador ver os gráficos de uso, configurar itens, fazer conexão remota, executar comandos PowerShell, etc.
Primeiro, vamos adicionar novos servidores, clusters ou até Windows 10 Client:
Na sequencia basta indicar o usuário e escolher o servidor/cluster que deseja visualizar:
O nivel de detalhes aborda desde os itens de HW até gráficos detalhados para cada um dos itens vituais do servidor/cliente que está sendo monitorado:
Mesmo alguns itens como discos fisicos, volumes e Storage Space já podem ser administrados no Honolulu:
Uma feature interessante é poder administrar o Windows Update remotamente:
O gerenciamento de VMs em um Hyper-V tambem é um dos destaques pelo nivel de detalhamento e a interface intuitiva:
Finalizando, segue o link da documentação técnica do Honolulu: https://docs.microsoft.com/en-us/windows-server/manage/honolulu/honolulu
Azure Stack 1-Entenda a solução
Agora já disponivel na maior parte dos paises do mundo onde a Microsoft possui Datacenters, o Azure Stack passou a ser um tema constante.
Mas primeiro é preciso entender o foco e composição da solução.
Como é composto?
O Azure Stack é um rack de servidores com tamanhos e configuraçoes pre-determinados, hoje disponivel pela Dell, HP, Lenovo e Cisco.
O HW de cada fabricante foi homologado e padronizado, o que garante updates diretamente do Azure Stack tanto para o software quanto para hardware.
Isso quer dizer que não posso utilizar minhas próprias configurações? Exatamente, para garantir que o sistema fique atualizado e a hiperconvergencia funcione os drivers tem que ser homologados e testados.
É importante entender que todo o Azure Stack é baseado no modelo de hiperconvergencia, ou seja são utilizadas as tecnologias de SDN (Software Defined Network) e SDS (Software Defined Storage) ou SDx em geral como são chamadas.
Ou seja, não existe um storage dedicado. Cada servidor possui uma parte de discos SAS de 15k e discos SSD, com o Storage Space Direct (S2D) habilitado. Isso permite que os servidores tenham seus armazenamentos somados ao compartilhar os volumes entre sí.
A garantia de dados com o S2D é garantida pela distribuição de dados entre os servidores, como já faz o vSAM da VMWare ou o Nutanix.
Para quem se destina?
Diferente do que muitos pensam, o Azure Stack não visa o cliente que acha o Microsoft Azure caro e sim os que tem limitações em relação a nuvens públicas.
Por exemplo, alguns cases no Ignite foram da Swisscom e a KPMG da Suécia.
A KPMG o cenário foi a legislação e a exigencia de alguns clientes que não queriam seus dados de auditoria disponiveis em nuvem pública por mais que tente se justificar a segurança do dado. A solução foi o Azure Stack onde a KPMG teria os mesmos serviços utilizados por outras filiais no mundo, mas on-premisse.
Já o case da Swisscom foi o de ser um Datacenter local, já que o Azure não tem um DC no pais. Assim, aqueles clientes que querem utilizar serviços de nuvem pública podem utilizar a nuvem privada do Azure Stack para hospedar seus serviços localmente.
Ou seja, os principais clientes são, entre outros:
- Paises onde existem restrições legais quanto a armazenar dados em outros paises
- Datacenters interessados em fornecer serviços a seu usuário a mesma interface do Azure, mas localmente, por exemplo no Brasil só temos um DC Microsoft Azure e um provedor tradicional poderia usar o Azure Stack como ponto de Avaliability Group
- Empresas com alto uso de recursos computacionais baseados em IaaS e que possuem Datacenter próprios
- Empresas com tradição on-premisse que não querem ver seus dados fora do ambiente, mas desejam utilizar o modelo de Cloud Publica “in-loco” com facil manutenção e suporte de alto nivel
E aquele cliente que acha o Azure caro, vale a pena usar o Stack? Na ponta do lapis não, pois precisamos lembrar que é um rack e precisa de refrigeração, energia, piso elevado e todos os outros custos envolvidos em um DC fisico.
Quanto custa o Azure Stack?
Primeiro é necessário ver o custo do Hardware que pode ser vendido diferente por cada um dos atuais 4 fabricantes.
Por exemplo no caso da Dell as configuraçoes começam em 4 servidores de 20 CORE e 4.1TB, podendo chegar a doze servidores por rack, sendo a capacidade máxima de 4 Racks com 12 servidores cada um.
Alem disso, temos os servidores Low, Mid e High profille, onde um rack com os 12 servidores High Profile a capacidade é 336 Core, 6.1TB RAM, 138TB cache, 1.2PB de disco!!!!
Agora vamos falar do custo de Software. É importante lembrar que o Azure Stack não tem custo de software, ou seja ele é bilhetado como um serviço, que inclui:
- Atualizações do Software Stack
- Atualizaçoes de Drivers e componentes lógicos
- Disponibilização e pré-configuração dos componentes e templates
- Suporte Microsoft do Azure é o mesmo que atende Azure Stack
Ou seja, o Azure Stack tem um custo pelo consumo, não com licenciamento, na modalidade “Pay-As-You-Use”, baseado na tabela abaixo:
Referencia: https://azure.microsoft.com/pt-br/overview/azure-stack/how-to-buy/
Baseado nisso, temos como exemplo uma VM A2 que custa U$ 130/mês no Microsoft Azure, no Azure Stack sai por U$ 40/mês.
Claro que deve-se incluir no TCO a infra do Datacenter, garantia e suporte do HW, administração e energia elétrica que no Microsoft Azure não temos.
Mesmo assim, grandes ambientes que já contam com Datacenter a opção passa a ser vantajosa por já incluir muitos destes custos embutidos.
E se o cliente não quiser pagar por consumo?
Tambem é possivel adquirir o custo por CORE, mas pessoalmente não vejo vantagem pois o custo aumenta pelos seguintes motivos:
- No modelo variável “Pay-As-You-Use” a escalabilidade tambem reflete no preço quando diminuir a carga
- No modelo desconectado é necessário pagar em separado o licenciamento de Windows e SQL que no modelo “Pay-As-You-Use” está embutido
- No modelo desconectado o pagamento é anual e upfront
Todos os Serviços do Azure Estão Disponiveis no Azure Stack?
Ainda não. Como pode-se ver na tabela de preços os mais importantes sim.
Por exemplo, alguns tipos de VMs como G não poderiam rodar no Stack e o mesmo com alguns serviços de alta capacidade como Machine Learning e Cognitive Services.
É possivel criar planos e juntar diferentes soluções para criar workloads complexos, como documentado em https://docs.microsoft.com/en-us/azure/azure-stack/azure-stack-offer-services-overview
Conclusão
Azure se tornou o principal produto da Microsoft e com o Stack a integração entre as nuvens pública e privada realmente se torna uma experiencia unica!
Acesse o link da documentação e saiba detalhes do produto: https://docs.microsoft.com/en-us/azure/azure-stack/
Disponivel para Compra o Azure Reserved Instance
Em um post no inicio do mês comentamos sobre o Azure Reserved Instance em http://www.marcelosincic.com.br/post/Reducao-de-Custos-com-Azure-Reserved-Instance.aspx
Agora já está disponivel para compra e tambem na calculadora do Azure (Azure Pricing Calculator) para estimar a economia tanto apenas a VM quanto com o AHUB.
Para relembrar, o AHUB é o recurso que permite economia por utilizar as licenças já adquiridas que tenha Software Assurance http://www.marcelosincic.com.br/post/Software-Asset-Management-(SAM)-Convertendo-Licenciamento-para-Azure.aspx
Utilizando a Calculadora
Acesse a calculadora de custos do Azure e ao acrescentar uma VM verá a opção de incluir o AHUB e tambem o RI de 1 ou 3 anos.
Abaixo seguem as imagens demonstrando como escolher e a redução possivel onde de $102 para uma VM normal, caimos para $58 em uma VM RI de 3 anos e juntando o AHUB para U$ 24!!!!!
E por ultimo com a opção de AHUB:
Comprando Reserved Instance no Portal do Azure
A compra do RI pelo portal exige que primeiro seja ativada a oferta na assinatura.
É importante que assinaturas de beneficio MSDN ou EA Dev/test não possuem o RI pois já tem um custo de 40 a 60% menor nas VMs.
Resumindo: Agora podemos ter uma VM com mais de 80% de desconto juntando as ofertas de RI e AHUB!!!