Moderni laitehallinta – etätyön mahdollistaja

Alkuvuodesta iskenyt koronapandemia on kasvattanut dramaattisesti etätyöskentelyn määrää. Suuri enemmistö tietotyötä tekevistä on tehnyt töitä maaliskuusta lähtien ja työskentelee tälläkin hetkellä jossain muualla kuin organisaation omissa tiloissa. Kuinka ratkaista etäkäyttö niin, että työasemat pysyvät ajan tasalla, turvallisina ja työntekijät tuottavassa työssä? Kuinka nykyaikaistaa työasemien antiikkiset hallintakäytännöt?

Pitkään jatkunut etätyö on tuonut uusia haasteita organisaatioiden IT-järjestelmien toiminnalle: jo keväällä organisaatioissa otettiin laajasti käyttöön uusia järjestelmiä, joiden avulla työntekijät pystyivät kommunikoimaan keskenään sekä sidosryhmien kanssa. Lisäksi mahdollistettiin etäkäyttöä, jotta työntekijät pääsivät käsiksi tarvitsemiinsa sovelluksiin ja tietoon myös omien tilojen ulkopuolella.

Tilanne vaatii myös muutoksia työasemien hallinnalle: enää ei voi luottaa siihen, että työntekijät ja heidän mukanaan työasemat käyvät päivittäin tai edes viikoittain organisaation omissa tiloissa, oman sisäverkon piirissä. On päivänselvää, että nykytilanteessa kaikkien käyttäjien käyttämien sovellusten on toimittava etäyhteyksien varassa, ja samoin työasemien hallinnan on toimittava, kun käyttäjä ja työasema on etäyhteyden päässä.

Mitä tämä tarkoittaa? Sitä, että kaikkien työasemien hallintatoimien täytyy toimia riippumatta siitä, onko työasema organisaation omassa verkossa vai muualla. Aina työaseman käyttöönotosta kokoonpanomäärityksiin ja niiden muutoksiin sekä sovellusten ja päivitysten asentamiseen. Microsoft puhuu modernista laitehallinnasta, joka suurelta osalta tarkoittaa juuri tätä: kaikki työasemaan kohdistetut toimenpiteet pitää voida hoitaa ilman, että edellytetään yhteyttä tai etäyhteyttä organisaation omaan sisäverkkoon.

Pois antiikkisista hallintakäytänteistä

Toki moderniin laitehallintaan liittyy myös muuta kuin paikasta riippumaton hallinta – nyt on korkea aika nykyaikaistaa työasemien hallintakäytännöt! Windows-työasemia on vuosikaudet hallittu samojen antiikkisten käytäntöjen mukaan: käyttöjärjestelmä päivitetty kerran kolmessa vuodessa, kun työasemakin on vaihdettu, ja tärkeimmät sovellukset, ml. Office vähän samaan tahtiin.

Microsoft on jo vuosia jakanut sekä Windows-käyttöjärjestelmän että Office-sovellusten päivitykset jatkuvalla mallilla, jossa isompia päivityksiä tulee kuuden kuukauden välein, ja pienempiä, lähinnä tietoturvaan liittyviä kuukausittain. Nyt on korkea aika kaikissa organisaatioissa siirtyä tähän jatkuvan päivityksen sykliin.

Moderni laitehallinta on siis tärkeä osa etätyön mahdollistamista. Sen avulla varmistetaan, että työasemat säilyvät ajan tasalla ja määritettyinä myös silloin kun työntekijät ovat etätöissä. Tärkeää on samalla varmistaa, että työntekijöillä on pääsy kaikkiin niihin sovelluksiin ja tietoon, joita he jokapäiväisessä työssään tarvitsevat.

Syksyn aikana julkaistavassa blogi- ja webinaarisarjassamme keskitymme itse modernin laitehallinnan lisäksi myös etätyön mahdollistamiseen, olivat tarvittavat sovellukset ja tieto sitten paikallisessa ympäristössä tai pilvessä.

Lisää kuulet webinaarissa – ilmoittaudu mukaan:

Millaisia etuja moderni laitehallinta yrityksellesi voi tarjota? Tule Sulavan Chief Technology Officer Kimmo Bergiuksen maksuttomaan webinaariin 17.9.2020. Ilmoittaudu mukaan!


Varoitus – Käyttäjätietojen kalastelua Office 365:ssä!

Suomen Kyberturvallisuuskeskus julkaisi eilen 11.6. varoituksen Office 365 -palveluja käyttäville organisaatioille.

Varoituksen aiheena oli jälleen Office 365 -käyttäjätunnusten kalastelu sekä haltuun saaduilla tunnuksilla tehdyt tietomurrot. Kyberturvallisuuskeskus julkaisi lisäksi joukon ohjeita ongelmien havaitsemiseen ja estämiseen, ja Suomen Microsoft on myös julkaissut omat ohjeensa. Sekä Kyberturvallisuuskeskuksen että Microsoftin ohjeissa keskeisiä asioita ovat edelleenlähetysmääritysten tutkiminen, mahdollinen edelleenlähetyksen esto, sekä kaksivaiheisen tunnistautumisen käyttöönotto.  

Edelleenlähetysmääritysten tutkiminen on kohtuullisen helppo toimenpide, ohjeita siihen löytyy mm. täältä ja täältä 

Jälkimmäisen linkin takana on myös ohje siihen, miten sääntöjen ja postilaatikon määritysten avulla tapahtuva automaattinen edelleenlähetys voidaan kokonaan estää organisaation ulkopuolelle.  

Näiden ohjeiden avulla voidaan edelleenlähetysmäärityksiä manuaalisesti tutkia, mutta Office 365 -palveluissa on myös jatkuvan valvonnan mahdollisuus: kaikista käyttäjän postilaatikkoon tehtävistä muutoksista jää jälki Exchange Onlinen lokeihin, ja lokitoimintojen automaattisella seurannalla voidaan havaita myös postilaatikkoon tehtävä edelleenlähetysmääritys. Office 365 -palvelujen lokien seuranta ja hyödyntäminen on keskeinen toiminto palvelujen käytössä, ja jokaisen organisaation on panostettava siihen.  

Organisaation on päätettävä, mitä lokeja seurataan, kenen toimesta ja miten, ja sen jälkeen toteutettava seuranta. Lisäksi kannattaa huomata, että Office 365 -palvelut yleensä säilyttävät lokeja ainoastaan 30 – 90 päivää, joten useimmiten organisaation on myös kerättävä lokitiedot johonkin ulkoiseen palveluun, jotta ne ovat käytettävissä myös Microsoftin noudattaman säilytysajan jälkeen.  

Sekä Kyberturvallisuuskeskuksen että Microsoftin ohjeissa korostettiin myös kaksivaiheisen tunnistautumisen käyttöönottoa. Kaksivaiheinen tunnistautuminen on tehokas tapa estää hyökkääjää hyödyntämästä kalasteltua käyttäjätunnusta ja salasanaa. Office 365 -palveluja käyttävien organisaatioiden kannattaa kuitenkin myös kiinnittää huomiota sellaisten tunnistusmenetelmien poistamiseen käytöstä, jotka eivät tue kaksivaiheista tunnistautumista.  

Office 365 -palveluissa on monia eri menetelmiä, joilla käyttäjä voidaan tunnistaa, ja joilla eri palveluihin päästään käsiksi, ja osa näistä ei tue kaksivaiheista tunnistautumista. Näitä usein tarpeettomia tunnistusmenetelmiä voidaan kuitenkin postaa käytöstä ja estää, ja näin parantaa ympäristön tietoturvaa. Lisäksi voidaan hyödyntää ns. Conditional Access -määrityksiä, joiden avulla voidaan määrittää ehtoja ja sääntöjä, joiden täyttyessä käyttäjät pääsevät palveluihin käsiksi.  

Kaiken kaikkiaan tunnusten kalastelun aiheuttamaa riskiä voidaan tehokkaasti pienentää seuraavilla toimenpiteillä:  

  • Ota käyttöön kaksivaiheinen tunnistautuminen kaikille käyttäjille.  
  • Poista tarpeettomat tunnistusmenetelmät käytöstä ja hyödynnä Conditional Access -määrityksiä.  
  • Poista käytöstä mahdollisuus sähköpostien automaattiseen edelleenlähetykseen organisaation ulkopuolelle. 
  • Varmista, että tarpeelliset lokitiedot kerätään ja tallennetaan Office 365 -palveluista, ja että lokitietoja valvotaan aktiivisesti niin kirjautumisten, käyttäjätapahtumien kuin hallintatapahtumienkin osalta.  
  • Opasta käyttäjiä ja kerro heille avoimesti, miksi tällaisia toimenpiteitä tehdään.  

Hyödyntämällä Office 365- ja EMS-palveluihin kuuluvia toiminnallisuuksia voidaan pilviympäristön tietoturvaa parantaa – myös näiden kalasteluhyökkäysten osalta. Ja jos haluat lisätietoja, ole yhteydessä! 



Kimmo Bergius

Uusia ominaisuuksia tietoturvan parantamiseen

Uusia_ominaisuuksia_tietoturvan_parantamiseenTietoturva ja yksityisyyden suoja ovat IT-alan kestoaiheita, oli kysymys sitten paikallisista OnPremise-järjestelmistä tai pilvipalveluista, eivätkä Office 365 -palvelutkaan ole mikään poikkeus. Microsoft on parantanut ja monipuolistanut pilvipalvelujensa tietoturvaa jatkuvasti sekä kehittämällä palvelujensa rakennetta että tarjoamalla asiakkailleen uusia ominaisuuksia omien palvelujensa suojaamiseen.

Esimerkkejä palvelujen rakenteen kehittämisestä ovat salauksen hyödyntäminen sekä tallennettavien että siirrettävien tietojen suojaamisessa: kaikki Office 365 -palveluun tallennettavat tiedot salataan, kun tiedot tallennetaan Microsoftin konesaliin. Lisäksi tiedot salataan aina, kun niitä siirretään paikasta toiseen – oli kyse sitten konesalin sisällä tai asiakkaan järjestelmien ja Microsoftin konesalin tapahtuvasta tiedonsiirrosta. Lisäksi asiakkaat voivat hyödyntää RMS-palvelua tietojen salaamiseen, mistä Petri kirjoitti viime viikon blogiartikkelissaan.

Sähköpostin tietoturvaa voidaan parantaa Microsoftin vajaa vuosi sitten julkistaman Advanced Threat Protection -toiminnon (ATP) avulla. ATP tarjoaa pääkäyttäjälle kaksi uutta toimintoa, joista Safe Attachments tehostaa sähköpostiviestien liitetiedostojen skannausta. Safe Links-toiminto puolestaan tarjoaa lisää toiminnallisuutta sähköpostiviesteissä olevien linkkien tutkimiseen.

SafeAttach

Safe Attachments -toiminto tarjoaa liitetiedostojen skannaukseen toiminnallisuuden, jolla liitetiedostojen ”käyttäytymistä” voidaan tutkia. Lisäksi toiminto testaa liitetiedostojen toimintaa turvallisessa hiekkalaatikkoympäristössä ennen viestin välittämistä vastaanottajalleen. Näiden tutkimusten perusteella voidaan tarkemmin päätellä, tekeekö liitetiedosto jotain haitallista ja aiheuttaako se mahdollisesti tietoturvariskin vastaanottajalleen. Pääkäyttäjä voi lisäksi määrittää, mitä tutkinnan perusteella liitetiedostolle tehdään.

Safe Links -toiminto puolestaan muuttaa sähköpostiviestissä olevia linkkejä niin, että kun vastaanottaja klikkaa jotain viestissä olevaa linkkiä, ohjataan käyttäjä eteenpäin Microsoftin palvelimien kautta. Näin Microsoft voi tutkia varsinaista linkkiä ja käyttää erilaisista muista lähteistä, esimerkiksi Bing-hakukoneen indeksoinnista sekä haittaohjelmien torjunnasta kerättyjä tietoja tarkistaakseen, onko käyttäjä avaamassa sivua, joka saattaa sisältää haitallista sisältöä tai haitallisia toiminnallisuuksia. Toiminto kertoo käyttäjälle mahdollisesti haitallisesta osoitteesta ja pyrkii näin estämään käyttäjää päätymästä haitalliselle sivulle. Pääkäyttäjä voi lisäksi määrittää linkkien käsittelyyn liittyviä asetuksia. Advanced Threat Protection -toiminnallisuus on maksullinen toiminto, joka on hankittavissa erikseen. Lisäksi se kuuluu uuteen E5-lisenssiin.

E5-lisenssiin kuuluu myös Customer Lockbox -toiminto. Normaalitilanteessa Microsoftin pääkäyttäjillä ja ylläpitohenkilökunnalla ei ole mitään pääsyä asiakkaiden tietoihin. Heille voidaan kuitenkin määrittää pääsy erilaisiin tietoihin ylläpitotoimia tai ongelman selvitystä varten. Ylläpitohenkilökunnalle annetaan pääsy tietoihin ainoastaan tietyn tehtävän suorittamista varten ja vain tietyksi ajaksi. Pääsyn myöntämiseen on määritetty myös erillinen prosessi. Lockboxin tavoitteena on on ottaa asiakas mukaan tähän prosessiin, jolloin asiakas on tietoinen pääsyn myöntämisestä ja pystyy myös omalta osaltaan kontrolloimaan pääsyä. Lockbox kattaa tällä hetkellä sekä Exchange Onlinen että SharePoint Onlinen tallentamat tiedot.

SecCompl

Uutta Office 365:ssa on myös Security & Compliance -hallintasivusto, johon on kerätty paljon Office 365 -palvelun tietoturvaan liittyviä toiminnallisuuksia. Sivuston kautta voidaan määrittää tietoturvaan liittyviä käyttöoikeuksia sekä erilaisia tietoturvamäärityksiä. Esimerkiksi Data Loss Prevention -toimintoa voidaan käyttää SharePoint Online -palveluun tallennettavien tietojen suojaamiseen.

Security & Compliance -sivuston kautta pääkäyttäjä voi myös määrittää käyttöön eri Office 365 -toimintojen auditointilokeja, esimerkiksi SharePoint Online- tai Exchange Online -palveluun liittyviä lokeja sekä Azure AD:n tarjoamia lokeja. Tätä kautta pääkäyttäjä voi myös hakea tietoja näistä lokeista. Lisäksi pääkäyttäjä voi myös hakea eri Office 365 -palveluihin tallennettuja tietoja.

Eri tietoturvaan liittyvien toimintojen lisäksi Security & Compliance -sivustolle on myös kerätty raportteja Office 365:n tietoturvaan liittyistä sertifioinneista sekä muuta hyödyllistä tietoa tietoturvasta, yksityisyyden suojasta ja niiden määrittämisestä Office 365 -palveluissa. Kaiken kaikkiaan Security & Compliance -sivusto on tehokas työkalu tietoturvan parantamiseen Office 365 -palveluissa.

Näistä kaikista tietoturvaan liittyvistä aiheista lisää 10.5. pidettävässä seminaarissa

Tietoturvaa ja tiedon suojaamista Office 2016:lla

Sulavan uusi blogisarja käsittelee Officen 2016-version uusia ominaisuuksia. 
Aiemmat kirjoitukset:

Sulava ja Microsoft järjestävät lokakuussa myös seminaarin aiheesta, tervetuloa!

office-2016

Uusi Office-versio tuo mukanaan myös joukon tietoturvaan ja tiedon suojaamiseen liittyviä ominaisuuksia. Kuten on havaittavissa monien muidenkin tässä blogisarjassa käsiteltyjen ominaisuuksien osalta, myöskään tietoturvaan tai tiedon suojaamiseen liittyviä ominaisuuksia ei toteuteta yksin Office 2016:n avulla, vaan kyseessä on useimmiten yhdistelmä toisaalta Officen ja toisaalta Office 365:n toiminnallisuutta.

Monivaiheinen tunnistautuminen

Presentation
Ensimmäinen tietoturvaan liittyvistä ominaisuuksista on muutokset käyttäjän kirjautumisessa. Kirjautuminen Office 365 -palveluihin on perinteisesti toteutettu hieman eri tavoin palvelusta riippuen: selainpohjaisiin palveluihin on kirjauduttu yhdellä tavalla, Office-ohjelmien kautta toisella tavalla jne. Tämä aiheuttaa haasteita kirjautumiseen liittyvien asetusten määrittämisessä ja myös kirjautumisen laajentamisessa: monissa ympäristöissä halutaan laajentaa kirjautumista esimerkiksi käyttämällä toisen tason autentikointia (Multi-Factor Authentication) ja tunnistaa käyttäjä perinteisen käyttäjätunnus-salasanayhdistelmän lisäksi myös esimerkiksi mobiililaitteen välityksellä. Tämä on toki ollut – useimmissa tapauksissa – mahdollista myös aiemmin, mutta on vaatinut erikoismäärityksiä, kun sovellussalasanojen määrittämistä.

Jatkossa kaikki kirjautuminen Office 365 -palveluihin tulee noudattamaan samaa kaavaa ja hyödyntämään uutta ADAL-pohjaista kirjautumista (Active Directory Authentication Library). Näin kirjautumiskokemuksesta saadaan yhtenäinen, ja toisaalta myös pääkäyttäjän on helpompi määrittää ja laajentaa kirjautumista. Office-sovellukset Skype for Business -sovellusta lukuunottamatta tukevat uutta kirjautumismenetelmää jo nyt, sekä Windows-ympäristössä että mobiililaitteissa.

Säännöt mobiililaitteisiin

Toisena uutena ominaisuutena nostaisin esille ehdollistetun käytön, eli Conditional Access -toiminnallisuuden, jonka avulla pääkäyttäjä voi määrittää säännöt, joita mobiililaitteiden on noudatettava, kun käytetään Exchange Online- ja SharePoint Online -palveluja. Säännöissä määritetään ominaisuudet, jotka on oltava käytössä, ennenkuin palveluiden käyttö sallitaan. Näitä ominaisuuksia ovat esim. PIN-koodin käyttö, mobiililaitteen salaus ja varmistuminen siitä, että laitetta ei ole rootattu tai jailbreakattu.

CondAccess

Conditional Access voidaan määrittää jo Office 365:n perusominaisuuksilla, mutta sitä voidaan viedä vielä hieman pidemmälle Intune-hallintapalvelun avulla: Intune lisää Conditional Access -määrityksiin Mobile Application Management -policyt. Conditional Accessin avulla voidaan määrittää ehdot, joiden toteutuessa tietoon päästään käsiksi, ja MAM-policyjen avulla voidaan edelleen määrittää, mitä tiedolla saadaan tehdä mobiililaitteessa: pääkäyttäjä voi esimerkiksi määrittää, että organisation sähköpostin kautta Outlookin avulla vastaanotettua liitetiedostoa ei voi avata kuin mobiililaitteen Word-sovelluksella, dokumentista ei voi kopioida tietoa sovelluksiin, jotka ovat MAM-policyjen ulkopuolella, tai että dokumenttia ei voi tallentaa organisaation hallinnan ulkopuolella olevaan palveluun, esimerkiksi DropBoxiin.

Conditional Access on sikälikin mielenkiintoinen ominaisuus, että esim. Application Proxy tukee jo nyt Conditional Accessiä, jolloin samankaltaisia ehtoja voidaan määrittää myös Azure AD:n kautta julkaistaviin sovelluksiin ja niiden käyttöön.

Tiedon suojaaminen

Kolmas tiedon suojaamiseen liittyvä ominaisuus on DLP, eli Data Loss Prevention. DLP-ominaisuuksia on toki aiemminkin voinut hyödyntää mm. Exchangen (paikallisen sähköpostipalvelimen) ja Exchange Onlinen yhteydessä. Nyt ominaisuudet tulevat käyttöön myös SharePoint Onlinen kanssa: pääkäyttäjä voi määrittää sääntöjä, joilla tunnistetaan esim. luottamuksellisia tietoja, vaikkapa henkilötietoja, sisältäviä dokumentteja, ja sen jälkeen määrittää, mitä näille dokumenteille voidaan tai ei voida tehdä. Pääkäyttäjä voi esimerkiksi määrittää, että tällaisia dokumentteja, tai jossakin tietyssä sijaintipaikassa säilytettäviä dokumentteja, ei voi jakaa organisaation ulkopuolisille käyttäjille.

ComplianceCenter

Neljäs ominaisuus, Rights Management Services eli RMS, liittyy kiinteästi edelliseen: RMS:n avulla voidaan ensinnäkin varmistaa, että vain henkilöt, joille joku dokumentti on tarkoitettu, pystyvät tietoa käsittelemään. Lisäksi RMS:n avulla voidaan myös määrittää tarkemmin, mitä henkilö tiedolle saa tehdä: käyttäjää voidaan esimerkiksi estää muokkaamasta tietoa, kopioimasta tietoja johonkin muualle tai tulostamasta dokumenttia. RMS suojaa dokumentin tai sähköpostin salaamalla sen. Salauksen avaaminen edellyttää, että käyttäjällä on oikeus dokumenttiin. Lisäksi tietoihin tallennetaan, mitä käyttäjä voi dokumentille tehdä.

RMS on ollut käytettävissä jo monia vuosia, mutta vasta Office 365:n myötä sen käyttö on yleistynyt. Syy tähän on se, että aiemmin tietojen suojaaminen on ollut hankalaa RMS:n avulla, jos tietoja on pitänyt jakaa organisaation ulkopuolisille käyttäjille. Office 365:n myötä organisaatioiden välinen tiedonjako, myös sellaisen tiedon, joka on suojattu RMS:llä, helpottuu merkittävästi. Ja lisäksi RMS:n avulla voidaan jakaa tietoa suojattuna myös sellaisille käyttäjille, joilla ei ole Office 365 -tunnusta.

Turvaposti

Viides maininnan arvoinen ominaisuus on sähköpostin salaaminen: monilla organisaatioilla on tarvetta lähettää salattuja sähköpostiviestejä käyttäjille organisaation ulkopuolella. Exchange Onlinen Message Encryption -toiminnon avulla salaaminen on helppoa: käyttäjä merkitsee viestin aihe- tai sisältökenttään esimerkiksi *** SALATTAVA ***, ja pääkäyttäjän Exchange Onlineen määrittämä sääntö salaa ko. merkkijonolla varustetun viestin. Viestin vastaanottajan vastaanottama viesti sisältää tiedon viestin salaamisesta sekä itse viestin sisällön salattuna liitteenä. Kun hän haluaa purkaa liitteessä olevan viestin sisällön, välitetään liitetiedosto Office 365 -palveluun, jossa vastaanottaja joko tunnistetaan tai hän antaa kertakäyttöisen salasanan. Tämän jälkeen Office 365 purkaa viestin ja näyttää sen vastaanottajalle. Tämä toiminto on sikäli hyödyllinen, että sen käyttö ei vaadi tietoa siitä, missä tai minkälaisessa järjestelmässä vastaanottajan sähköposti sijaitsee.

MessageEncryption

Raportointi

Lopuksi tietoturvaan liittyvistä ominaisuuksista on syytä mainita auditointi ja raportointi. Tietojen käytön auditointiin ja raportointiin on tullut paljon uutta toiminnallisuutta, jota voidaan käyttää Office 365:n uuden Compliance Centerin kautta. Compliance Centeriin pääsee Office 365 -hallintakäyttöliittymän kautta, ja se sisältää paljon eri toimintoja, joiden avulla määritetään tiedon suojaamiseen liittyviä toimintoja, esimerkiksi DLP-toimintoja. Tätä kautta pääkäyttäjä voi myös luoda erilaisia auditointiraportteja, joilla seurataan Office 365:n ja sen sisältämien tietojen käyttöä ja hyödyntämistä.

Tätä listaa voisi toki jatkaa loputtomiin, ja puhua esimerkiksi Office 2016:n päivittämiseen ja tietoturvakorjausten asentamiseen liittyvistä ominaisuuksista. Näihin on kuitenkin otettu jo jonkun verran kantaa blogisarjan aiemmissa osissa, ja lisäksi kannattaa myös tsekata samaan aiheeseen liittyvät webinaarit, joiden tallenteet löytyvät mm. Sulavan Youtube-kanavalta.

 

Azure Active Directory – käyttäjätietojen hallintaa pilvessä

Järjestämme torstaina 23.4. webinaarin, jossa käydään läpi Azure AD:n ominaisuuksia ja ominaisuuksien hyödyntämistä – tule mukaan kuulemaan lisää!

Yksi modernin IT-ympäristön keskeisiä komponentteja on hakemisto, johon tallennetaan käyttäjätiedot ja jonka avulla käyttäjä myös tunnistetaan eli autentikoidaan. Perinteisessä paikallisessa Microsoft-ympäristössä tätä tehtävää on Windows 2000:sta lähtien hoitanut Active Directory –hakemisto. Active Directorystä eli AD:sta on muodostunut organisaation IT-infrastruktuurin keskeinen komponentti, ja se on käytössä useimmissa organisaatioissa.

Microsoftin pilvipalveluissa samat tehtävät, eli käyttäjätietojen (ja myös monien palvelujen kokoonpanoon liittyvien tietojen) tallentamisen ja käyttäjän tunnistamisen, hoitaa Azure Active Directory –hakemisto (Azure AD). Azure AD on Active Directoryn kaltainen, jaettu pilvihakemisto, johon Microsoftin antamien tietojen mukaan on tallennettu useita satoja miljoonia käyttäjäobjekteja ja joka hoitaa miljardeja yksittäisiä tunnistustapahtumia päivittäin.

Azure AD:hen on Microsoftin antamien tietojen mukaan on tallennettu useita satoja miljoonia käyttäjäobjekteja, ja se hoitaa miljardeja yksittäisiä tunnistustapahtumia päivittäin.

Azure AD:sta lohkaistaan kullekin asiakkaalle oma asiakaskohtainen hakemisto, jota kutsutaan Azure AD -tenantiksi. Tämä tenantti on varattu vain tämän asiakkaan käyttöön, ja kunkin tenantin käyttäjät näkevät vain samassa tenantissa olevat tiedot, ja tenantin pääkäyttäjä voi hallita vain oman tenanttinsa tietoja. Asiakkaalla voi myös olla useita Azure AD -tenantteja eri tarkoituksiin.

Monet asiakkaat hyödyntävät jo Azure AD -hakemistoa: jokainen Office 365-, CRM Online- tai Intune-ympäristö rakentaa käyttäjähallintansa Azure AD:n varaan, ja lisäksi palvelut tallentavat Azure AD:hen myös erilaisia kokoonpanotietoja. Useimmissa ympäristöissä Azure AD ja paikallinen Active Directory yhdistetään toisiinsa, vähintäänkin hakemistosynkronoinnin kautta, eli synkronoimalla paikalliseen AD:hen määritetyt käyttäjätiedot Azure AD:hen. Tämän lisäksi hakemistojen välille voidaan määrittää myös federointi käyttämällä Windows-palvelimen ADFS-palvelua (Active Directory Federation Service), jolloin käyttäjätiedot tarkistetaan ja käyttäjä tunnistetaan paikallisesta AD-hakemistosta.

Näitä perustoimintoja laajentamaan Azure AD:hen on viimeisen puolen vuoden aikana tuotu runsaasti lisätoiminnallisuutta. Nämä lisätoiminnot voidaan karkeasti jakaa kolmeen eri ryhmään:

  • Käyttäjän itsepalvelutoiminnot – jos käyttäjä unohtaa salasanansa, voi hän itse resetoida sen käyttämällä Azure AD:n resetointipalvelua. Ja käyttäjän itselleen määrittämä uusi salasana voidaan myös synkronoida takaisin paikalliseen AD:hen. Kirjoitin salasanan resetoinnista erillisen blogiartikkelin viime vuoden lopulla. Käyttäjän itsepalvelutoimintoihin kuuluu myös ryhmien hallinta, jonka avulla käyttäjä voi itse luoda uusia käyttäjäryhmiä ja hallita niitä.
  • Käyttäjän tunnistustoiminnot – käyttäjän tunnistustoimintoa voidaan laajentaa käyttämällä MFA-tunnistusta (Multi-Factor Authentication), jonka avulla perinteiseen käyttäjätunnukseen ja salasanaan perustuvaan tunnistukseen voidaan liittää esimerkiksi tekstiviestiin tai mobiilisovellukseen perustuva lisätunnistus. MFA-tunnistusta voidaan hyödyntää sekä pilvisovellusten, kuten Office 365:n yhteydessä, että paikallisten sovellusten, kuten SSL-VPN-yhteyksien kanssa. Azure AD –hakemistoon voidaan myös määrittää sovelluksia, joiden käyttäjätunnistus tehdään Azure AD:n avulla. Nämä sovellukset voivat olla pilvisovelluksia (kuten Office 365, ServiceNow tai SalesForce) tai asiakkaan omia liiketoimintasovelluksia.
  • Raportointitoiminnot – pääkäyttäjä voi hakea Azure AD:n käytöstä monenlaisia raportteja. Näiden raporttien avulla voidaan myös tunnistaa erilaisia käyttäjätunnusten käyttöön liittyviä tietoturvariskejä.

Azure AD –hakemistoon voidaan myös liittää laitteita, esimerkiksi erilaisia mobiililaitteita. Microsoftin Intune-mobiilihallintapalvelu hyödyntää tätä ominaisuutta mobiililaitteiden rekisteröintiin ja laitteisiin kokoonpanotietojen tallentamiseen. Laitteeseen voidaan Intunen kautta kohdistaa erilaisia määrittelytiedostoja eli policyjä. Laitetietoja voidaan käyttää yhdessä käyttäjän tunnistuksen kanssa määrittämään, pääseekö käyttäjä laitteella käyttämään jotain tiettyä palvelua. Tätä kutsutaan ehdollistetuksi käytöksi, eli Conditional Accessiksi, ja sen avulla voidaan esimerkiksi määrittää, että Office 365:n Exchange-sähköpostiin tai SharePoint-palveluita voi käyttää ainoastaan laitteella, johon on määritetty nelinumeroinen PIN-koodi ja jossa laitteen tallennustila on salattu. Ja Windows 10:n myötä uudella Windowsilla varustettuun työasemaan voidaan myös kirjautua käyttämällä Azure AD –käyttäjätunnusta.

Azure AD -hakemisto ei myöskään ole rajattu vain yksittäisen organisaation käyttöön. Hakemistoon voidaan tallentaa myös organisaation ulkopuolisille käyttäjille tarjottavan sovelluksen käyttäjätietoja. Lähitulevaisuudessa Azure AD:sta tulee erityisesti tähän tarkoitukseen suunnattu versio, Azure AD B2C (Business to Consumer), mutta B2C-toiminnoista lisää myöhemmin.

Azure AD:sta on olemassa useita eri versiota, ja näiden versioiden välillä on eroja niin kustannuksissa kuin toiminnallisuudessakin. Lisätietoja eri versioista ja niiden tarjoamasta toiminnallisuudesta löydät täältä.

Azure AD tarjoaa monipuoliset mahdollisuudet käyttäjä-, laite- ja kokoonpanotietojen tallentamiseen ja hyödyntämiseen pilviympäristöissä. Järjestämme torstaina 23.4. webinaarin, jossa käydään läpi Azure AD:n ominaisuuksia ja ominaisuuksien hyödyntämistä – tule mukaan kuulemaan lisää! Jos et kerkiä torstain webinaariin tai haluat muuten lisää tietoa Azure AD.n tarjoamista mahdollisuuksista, ota yhteytttä – kerromme mielellämme lisää!


Laajenna paikallista tallennustilaa pilveen StorSimplen avulla

Tallennettavan tiedon määrä kasvaa jatkuvasti – IDC:n tutkimuksen mukaan maailmassa tallennettavan digitaalisen tiedon määrä tuplaantuu joka toinen vuosi vuoteen 2020 asti. Organisaatioissa tallennettavan tiedon määrä lisääntyy 50 prosentilla vuosittain. Toisaalta Forresterin tekemän tutkimuksen mukaan paikallisen tallennuskapasiteetin kustannus on noin nelinkertainen verrattuna julkisesta pilvipalvelusta hankittavaan tallennuskapasiteettiin. Kysymys kuuluukin, miten paikallista tallennuskapasiteettia voisi helposti jatkaa pilveen ja tallentaa julkiseen pilveen esimerkiksi tietoa, jota ei käytetä kovin usein, mutta joka kuitenkin pitää jossakin säilyttää?

StorSimple2

Vastaus tähän ongelmaan löytyy Microsoftin StorSimple-konseptista. StorSimple on tallennuslaite, jonka paikallista tallennustilaa ”jatketaan” käyttämällä Azure-pilvipalvelun tarjoamaa tallennuskapasiteettia. StorSimple-laite asennetaan paikalliseen verkkoon ja laitteeseen määritetään yksi tai useita levyalueita, jotka määritetään palvelimien käyttöön iSCSI-yhteyden ja verkon välityksellä.

Miten StorSimple toimii?

StorSimple-laitteessa on joitakin teratavuja paikallista tallennustilaa, joka jakautuu nopeisiin SSD-levyihin (ensimmäinen tallennustaso) ja perinteisiin SAS-levyihin (toinen tallennustaso). Kun joku palvelin tallentaa tietoa iSCSI-yhteyden välityksellä StorSimpleen määritettyyn levyalueeseen, StorSimple pilkkoo tiedon vakiokokoisiin lohkoihin ja sen jälkeen tekee lohkoille deduplikoinnin. Deduplikointi tarkoittaa sitä, että samansisältöiset lohkot tallennetaan vain kerran, ja muista samansisältöisistä lohkoista tehdään viittaus tähän yhteen tallennettuun lohkoon. Kun tallennettavat tiedot on deduplikoitu, ne tallennetaan ensimmäiselle tallennustasolle, eli SSD-levyille.

Kun SSD-levyjen kapasiteetti on tulossa täyteen, StorSimple automaattisesti siirtää vähiten käytettyjä (eli vanhimpia) lohkoja SSD-tasolta toiselle tallennustasolle eli SAS-levyille. Tässä yhteydessä lohkot myös pakataan, jolloin ne vievät entistäkin vähemmän tilaa.

StorSimplen erikoisuus on kuitenkin hybriditallennuksessa eli siinä, että laite yhdistää paikallisen ja julkisen pilvipalvelun tarjoaman tallennuskapasiteetin. StorSimple-tallennuslaitteelle määritetään alkuvaiheessa myös Azure-tallennustilaa, jota sitten käytetään määritettyjen levyalueiden kolmantena tallennustasona. Kun myös laitteen toinen tallennustaso, eli SAS-levyt, on tulossa täyteen, StorSimple-laite automaattisesti valitsee SAS-levyiltä jälleen vähiten käytetyt (eli vanhimmat) lohkot, ja siirtää ne määritettyyn Azure-tallennustilaan. Ja koska tietoja siirretään julkiseen pilvipalveluun, lohkot kryptataan eli salataan ennen niiden siirtoa Azureen.

StorSimple1

StorSimplen avulla siis paikallista tallennuskapasiteettia, eli laitteessa olevien SSD- ja SAS-levyjen kapasiteettia, voidaan jatkaa Azure-tallennustilalla. StorSimple hoitaa tietojen siirron automaattisesti tallennustasolta toiselle, SSD-levyltä SAS-levyille ja SAS-levyiltä Azure-tallennustilaan, ja samalla hoitaa myös tietojen deduplikoinnin, pakkaamisen sekä salauksen. Ja StorSimple luonnollisesti siirtää myös tiedot takaisinpäin, kun niitä taas tarvitaan. Eli kun käyttäjä avaa esimerkiksi tiedostopalvelimella olevan pitkään käyttämättömänä olleen tiedoston, joka on tallennettu StorSimpleen määritettyn levyalueeseen, ja tiedoston lohkot on todellisuudessa siirretty Azure-tallennustilaan, StorSimple siirtää lohkot automaattisesti Azuresta takaisin laitteeseen, avaa salauksen ja pakkauksen, tallentaa tiedot ensimmäiselle tallennustasolle, ja antaa tiedoston käyttäjän käyttöön. Kaikki tämä tapahtuu automaattisesti, ilman että pääkäyttäjän tai käyttäjän tarvitsee erityisesti tehdä mitään.

Myös varmistukset pilveen

Luonnollisesti StorSimple-laitteeseen sisältyy myös varmistuksien ottaminen: laitteen toimintojen avulla varmistuksia voidaan ottaa virtuaalilevykohtaisesti joko paikalliseen tallennustilaan tai Azure-pilvipalveluun. Hätätilanteissa varmistukset voidaan nopeasti palauttaa joko samaan tai toiseen fyysiseen StorSimple-laitteeseen tai Azureen määritettävään StorSimple-virtuaalilaitteeseen (virtuaalilaitteet ovat käytettävissä ainoastaan 8000-sarjan laitteille).

StorSimple-laitteita on pariakin eri kokoa; pienemmässä laitteessa on paikallista tallennustilaa 15 teratavua (josta 800 gigatavua on SSD-levyä). Laitteen kokonaiskapasiteetti pilvitallennustila mukaan luettuna on kuitenkin jopa 200 teratavua. Isomman 8000-sarjan laitteen avulla saadaan käyttöön jopa 500 teratavua tallennustilaa. 8000-sarjan speksit löytyvät täältä  ja muita teknisiä tietoja täältä.

StorSimple on parhaimmillaan esimerkiksi tiedostopohjaisen tiedon tallentamisessa, josta suuri osa on staattista tietoa, jota ei juurikaan käytetä, ja vain pieni osa on aktiivisessa käytössä olevia tietoja. Laitetta voidaan kuitenkin käyttää myös muunlaisen tiedon tallentamiseen, erilaisia käyttöskenaarioita on paljon.

Mitä hyötyä asiakkaalle on StorSimplestä

Ensinnäkin mieleen tulee skaalautuvuus; StorSimplen kautta käyttöön saadaan hyvin suuri määrä tallennustilaa, kun tallennus laajennetaan Azureen – kapasiteetti ei ihan heti lopu kesken. Toisekseen StorSimplen avulla saadaan – kuten tavallista pilvipalveluille – kustannushyötyä; pilvitallennustilan kustannus on yleensä vain osa paikallisen tallennustilan aiheuttamasta kustannuksesta. Kustannusten osalta kannattaa myös muistaa se, että pilvitallennustila on halventunut pariinkin otteeseen aika paljon, ja hinnanalennusten myötä halvempi hinta koskee myös jo käytössä olevaa tallennuskapasiteettia: hankituissa järjestelmissä hinnan alentuminen harvoin vaikuttaa takautuvasti.

Kolmas hyöty on selkeästi joustavuus; skaalautuvaa tallennustilaa voidaan käyttää joustavasti ja tehokkaasti ilman, että erilaisten käyttöprofiileilla varustetuille tiedoille pitää hankkia erilaista tallennustilaa. Neljäs hyöty on automaatio ja hallinta; koko laitteen ja tallennustilan hallinta voidaan automatisoida, varmistuksia myöten, ja varmistukset voidaan palauttaa nopeasti ja joustavasti eri kohteisiin tarpeen mukaan.

Ja lopuksi viidennen hyödyn eteen pitää sitten tehdä hieman töitä: Microsoftilla on hyviä kampanjatarjouksia liittyen StorSimple-tallennuslaitteisiin; kannattaa selvittää tarjoukset ja hyödyntää niiden tarjoamat edut ennen kesäkuun loppua 2015.

Kiinnostaako hybriditallennus? Ota yhteyttä – kerromme mielellämme lisää.

Lisätietoja StorSimplen hybriditallennuskonseptista löytyy Microsoftin sivuilta.

Azure App Services – uusia mahdollisuuksia sovelluskehitykseen

Cloud ServersAzuren julkistusuutiset ovat viimeisten kuukausien aikana painottuneet enemmänkin infrapuolelle – IaaS-palveluihin sekä infrapalveluita tukeviin komponentteihin. Eilen palattiin taas sovelluskehityspuolelle, kun Microsoft julkisti Scott Guthrien isännöimässä webbilähetyksessä Azure App Services -alustan. App Services on kehittäjille tarkoitettu kokoelma palveluita, joiden avulla kehittäjät voivat rakentaa neljänlaisia sovelluksia joko itsenäisinä sovelluksina tai yhdistää eri sovellustyyppejä laajemmiksi kokonaisuuksiksi.

Azure on jo pitkään tarjonnut monipuolisen alustan ja toiminnallisuutta näistä sovellustyypeistä kahdelle, eli web-sovelluksille ja mobiilisovelluksille. Web-sovellusten alusta on kulkenut nimellä Web Sites, ja Mobile-sovellusten alustasta on käytetty nimeä Mobile Services. Web Sites -palvelun avulla kehittäjä on voinut rakentaa monipuolisia Web-sovelluksia, joihin on voinut yhdistää muita Azuren tarjoamia palveluja, ja lisäksi kytkeä sovellukset myös asiakkaan omassa verkossa toimiviin sovelluksiin. Mobile Services on taas tarjonnut toiminnallisuutta mobiilisovelluksille: sen avulla kehittäjä on voinut tehdä mobiilisovelluksia erilaisille mobiilialustoille (esimerkiksi iOS, Android, Windows Phone) ja käyttää sovelluksen tekemiseen erilaisia kehitysympäristojä ja ohjelmointikieliä. Samalla kehittäjä on voinut kuitenkin hyödyntää erilaisia taustapalveluja, esimerkiksi käyttäjän tunnistuspalveluja, tietokantayhteyksiä ja Notification-palveluja yhtenäisellä tavalla huolimatta siitä, että sovellukset on toteutettu hyvinkin erilaisilla menetelmillä erilaisille mobiilialustoille.

Nämä kaksi palvelua – Web Sites ja Mobile Services – toimivat App Services -alustan kulmakivinä. Niiden rinnalle tuodaan kaksi hieman tuoreempaa sovellustyyppiä, eli Logic-sovellukset ja API-sovellukset. Logic-sovellus on nimensä mukaisesti bisneslogiikkaan liittyvä määritys, jossa kehittäjä voi yhdistää toisiinsa toiminnallisuutta hyvin erilaisista pilvisovelluksista. Eilisessä julkistustilaisuudessa Scott Hanselman esitteli sovellusta, jossa käyttäjä lisäsi huoltovarauksen autolleen olemassa olevan web-sovelluksen kautta. Tämän jälkeen hän teki Logic-sovelluksen, jossa tietokantaan lisätyn huoltovarauksen tiedot poimittiin kannasta, varauksen tehneen asiakkaan tiedot päivitettiin SalesForce-asiakkuudenhallintaan, varauksen perusteella tehtiin kalenterivaraus huoltomiehen kalenteriin Office 365:ssä, ja lopuksi käyttäjälle lähetettiin vahvistustekstiviesti huoltotapahtumasta. Ja tämän Scott rakensi kirjoittamatta riviäkään koodia, yhdistelemällä Microsoftin ja kumppaneiden valmiiksi tekemiä sovellusconnectoreita peräkkäin.

Kehittäjät voivat hyödyntää esimerkiksi Office 365:lle, SalesForcelle, Twitterille tai DropBoxille tehtyjä valmiita connectoreita, tai rakentaa omiaan ja tuoda Logic-sovellusten käyttöön esimerkiksi organisaation omien, olemassa olevien liiketoimintajärjestelmien toiminnallisuutta ja tietoja. Logic-sovelluksissa voidaan myös hyödyntää BizTalk Services -palvelua tietojen hakemiseen erilaisista järjestelmistä, muuntamiseen muodosta toiseen ja kirjoittamiseen takaisin erilaisiin järjestelmiin. Kun tarvittavat komponentit on tehty ja käytössä, ”ohjelmointi” tapahtuu Azuren hallintakäyttöliittymällä, joten bisneslogiikan rakentaminen voidaan tehdä muuttuvien tarpeiden mukaan hyvinkin helposti ja nopeasti.

Viimeisenä sovellustyyppinä uuteen alustaan kuuluvat API-sovellukset, joiden avulla kehittäjä voi esimerkiksi julkaista jonkin olemassa olevan sovelluksen API-rajapintoja muiden sovelluskehittäjien käyttöön helposti, joko organisaation sisällä tai jopa maailmanlaajuisesti yleiseen käyttöön. Azuren toimintojen avulla sovelluksen API-rajapintaa voidaan hyödyntää hyvin monenlaisissa ohjelmointiympäristöissä ja sovelluksissa, ja lisäksi Azure tarjoaa mahdollisuuden rajapintojen käytön seuraamiseen ja esimerkiksi laskutustietojen keräämiseen.

Azure App Services on siis kokoelma Azuressa jo olemassa olevaa toiminnallisuutta ja kokonaan uutta toiminnallisuutta. Toki sovellukset, jotka on aiemmin kehitetty Web Sites- tai Mobile Services -palveluja hyödyntäen, toimivat edelleen muuttumattomina, mutta nyt niissä voidaan hyödyntää myös muita App Services -alustan sovellustyyppejä. Kaiken kaikkiaan App Services -alusta tarjoaakin kehittäjälle pussillisen uusia työkaluja joustavaan sovelluskehitykseen ja järjestelmien yhdistämiseen.

Kiinnostaako Azuren ominaisuuksien hyödyntäminen omassa sovelluskehityksessäsi? Ota ihmeessä yhteyttä, niin voimme kertoa lisää.

Lisää infoa Azure App Services -alustasta mm. Scott Guthrien blogissa.

Mikä se Azure oikein on?

Microsoftilla on vakiovastaus kysymykseen ”Mikä Azure on?” – vastaus kuuluu seuraavasti: ”Azure on Microsoftin konesali pilvessä”. No joo, vastaus on varmasti ihan oikea, mutta ei kuitenkaan kerro juuri mitään siitä, mikä se Azure ihan aikuisten oikeasti on. Tämän blogikirjoituksen tavoitteena on hieman laventaa vastausta kysymykseen.

Microsoftilla on joukko organisaatioille suunnattuja SaaS-pilvipalveluja (Software as a Service), jotka on suunniteltu johonkin tiettyyn käyttötarkoitukseen. Tällaisia ovat esimerkiksi Office 365 (tietotyöläisen työkalut), CRM Online (asiakkuudenhallinta) ja Intune (laitehallinta). Näistä poiketen Azure on enemmänkin alustapalvelu, jonka tavoitteena on toimia kaikenlaisten sovellusten, palvelujen ja palvelimien alustana. Azure on siis yleiskäyttöinen alustapalvelu, joka tarjoaa sekä IaaS- (Infrastructure as a Service) että PaaS-tyyppistä (Platform as a Service) palvelua sovellusten alustaksi, ja lisäksi vielä erilaisia lisäkomponentteja, joita voidaan hyödyntää laajentamaan Azuressa hostattavien sovellusten toimintaa.

Azuren komponentit voidaan jakaa karkeasti kolmeen eri ryhmään: 1) varsinaiset alustapalvelut (eli palvelinkapasiteetti), 2) tallennuspalvelut ja 3) lisäpalvelut. Varsinaisiin alustapalveluihin kuuluu kolme eri palvelua – Web Sites, Cloud Services ja Virtual Machines.

Web Sites –palvelu on nimensä mukaisesti tarkoitettu web-sivustojen hostaukseen. Palveluun voidaan toteuttaa web-sivusto hyvin monella eri ohjelmointitekniikalla, sovelluksen taustalla voi olla erilaisia tietokantoja, ja lisäksi palvelua voidaan skaalata tarpeen mukaan useammalle eri palvelimelle. Lisäksi palvelussa voidaan hyödyntää tuttuja, webissä yleisesti käytettyjä palvelimia, kuten WordPress- tai Drupal-palvelinta. Keijo kirjoitti blogissa aiemmin Web Sites -palvelusta.

Cloud Services –palvelua voidaan hyödyntää myös webbisovellusten alustana, mutta Web Sites –palvelusta poiketen Cloud Services –palvelu on tarkoitettu sovelluksille, joissa käyttöliittymä ja sovelluksen logiikka on erotettu toisistaan. Kumpikin niistä sijoitetaan omille omille palvelimilleen, ja kumpaakin palvelinryhmää voidaan skaalata tarpeen mukaan itsenäisesti. Kuten Web Sites –palvelussakin, myös Cloud Services –palveluun perustuva sovellus voidaan toteuttaa käyttämällä erilaisia ohjelmointikieliä ja –ympäristöjä, sovelluksessa voidaan hyödyntää taustalla erilaisia tietokantoja ja Azuren tarjoamia lisäpalveluja ja lisäksi sovelluksesta voi olla yhteyksiä organisaation muihin liiketoimintasovelluksiin.

Nämä molemmat edellämainitut palvelut ovat PaaS-tyyppisiä, mikä tarkoittaa sitä, että Microsoftin tehtävänä on pitää huolta alustasta (käyttöjärjestelmä ja siihen kuuluvat komponentit), ja asiakkaan vastuulla on ainoastaan sovelluksen ja siihen liittyvien komponenttien ylläpito. Sekä Web Sites- että Cloud Services –palveluita pyöritetään Windows-alustalla, mutta siitä huolimatta palveluissa voidaan käyttää monia Microsoftista riippumattomia ohjelmointikieliä, ohjelmointiympäristöjä ja lisäpalveluja.

Kolmas Azuren tarjoama alustapalvelu on Virtual Machines –palvelu, joka mahdollistaa virtuaalikoneiden pyörittämisen Azure-palvelussa. Virtuaalikonetta luotaessa valitaan jokin valmiiksi määritetyistä kapasiteettikokonaisuuksista (CPUiden ja keskusmuistin määrä), ja virtuaalikoneille voidaan määrittää haluttu määrä joko perinteisiä tai SSD-levyjä, joihin varsinainen data tallennetaan. Virtuaalikoneissa voidaan käyttää sekä Windows-palvelinkäyttöjärjestelmää että Linuxin eri variaatioita, ja lisäksi virtuaalikoneisiin on saatavilla erilaisia palvelinsovelluksia valmiina paketteina.

Alustapalveluihin voidaan lukea myös Mobile Services –palvelu, jonka helpottaa mobiilisovelluksien (Windows tai Windows Phone, Android, iOS) kehittäjää. Palvelu mahdollistaa ja helpottaa mobiilisovelluksen palvelinpään toiminnallisuuden toteuttamista, ja tarjoaa lisäksi erilaisia lisäpalveluja, kuten käyttäjätunnistuksen sekä ilmoitusten lähettämisen erilaisiin mobiilisovelluksiin.

Azuren toiseen palveluryhmään eli tallennuspalveluihin kuuluu joukko tietojen tallentamiseen tarkoitettuja palveluja, kuten SQL Database- ja DocumentDB-tietokantapalvelut SQL-tyyppisen datan ja muun kuin SQL-datan tallentamiseen, sekä erilaisia levytallennukseen tarkoitettuja palveluja. Lisäksi Azurea voidaan käyttää myös tiedon varmistukseen, mihin on olemassa oma palvelunsa.

Konekapasiteetti ja tallennus ovat pilvipalvelujen perusta, ja niiden rinnalle Azure tarjoaa joukon erilaisia lisäpalveluja, joiden avulla asiakkaan palveluja ja sovelluksia voidaan laajentaa. Näihin lisäpalveluihin kuuluvat mm. seuraavat:

  • Verkkopalvelut, joiden avulla asiakkaan oma ympäristö tai konesali ja Azuressa olevat palvelimet voidaan yhdistää toisiinsa.
  • Hakemistopalvelu (Azure Active Directory), joka tarjoaa käyttäjä- ja ryhmätunnusten määrittämiseen ja käyttäjän tunnistamiseen liittyvää toiminnallisuutta. Asiakkaan paikallinen Active Directory voidaan yhdistää Azuren AD:hen, ja näin luoda sekä paikalliseen käyttöön että pilvikäyttöön tarkoitettu kokonaisuus, jossa käyttäjällä on sama käyttäjätunnus ja salasana molemmissa.
  • Mediapalvelut, jonka avulla videotiedostoja voidaan muuntaa muodosta toiseen ja streamata käyttäjille käyttäjän päätelaitteelle sopivassa muodossa.
  • Integraatiopalvelut, joiden avulla voidaan integroida toisiinsa Azuressa pyöriviä sovelluksia tai sovelluksia, joista osa on Azuressa ja osa jossakin muualla, esimerkiksi asiakkaan omassa konesalissa tai jollakin toisella palveluntarjoajalla.
  • Analytiikkapalvelut, joiden avulla voidaan analysoida suuria määriä dataa ja esittää analyysin tulokset.
  • Hallintapalvelut, joiden avulla hallitaan ja automatisoidaan Azuressa pyöriviä palvelukokonaisuuksia.

Tulemme tämän blogisarjan aikana pureutumaan jokaiseen näistä osa-alueista tarkemmin. Azuressa palvelut myös kehittyvät hurjaa vauhtia: palveluita tulee koko ajan lisää ja olemassa oleviin tulee uusia ominaisuuksia, joten käsiteltävää riittää jatkossakin.

Kaikki Azuren palvelut ovat käytettävissä kaikissa Microsoftin Azure-konesaleissa, joita on tällä hetkellä vajaassa parissakymmenessä eri paikassa ympäri maapalloa. Asiakkaat voivat päättää, sijoitetaanko palvelut johonkin yhteen tiettyyn konesaliin, vai hajautetaanko ne ympäri maapalloa useampaan eri sijaintiin. Hieman palvelusta riippuen useampaan eri konesaliin sijoitettuja palveluja voidaan myös yhdistää yhdeksi kokonaisuudeksi tarvittaessa.

Tiivistettynä Azure on siis joukko palveluja, joista osa toimii asiakkaan sovellusten, palvelujen ja palvelimien alustana, ja osaa voidaan sitten käyttää näiden sovellusten tai palvelujen laajentamiseen. Yhdistettynä Microsoftin muihin pilvipalveluihin Azure antaa mahdollisuuden siirtää vaikka kaikki palvelut pilveen!

Tämä kirjoitus on osa Sulavan Azure-blogikirjoitusten sarjaa. Lue myös nämä:


Apua, unohdin salasanani!

Helsingin Sanomissa uutisoitiin viime viikolla Espoon kaupungin salasanoihin liittyvästä ongelmasta, joka on noussut jo kaupunginvaltuustonkin agendalle (Helsingin SanomatTietoviikko). Monien organisaatioiden IT-osastoilla on samankaltaisia ongelmia: salasanojen resetointi aiheuttaa paljon työtä ja kustannuksia; erityisesti loma-aikojen jälkeen käyttäjät ovat unohtaneet salasanansa, ja helppari joutuu salasanoja resetoimaan käyttäjille. Löytyisiköhän tähän apuja pilvipalveluista?

Yksi Azure-pilvialustan tarjoamista palveluista on Azure Active Directory, vähän perinteistä paikallista Active Directoryä vastaava jaettu hakemisto, jossa viimeisen tiedon mukaan on jo n. 350 miljoonaa käyttäjätunnusta. Ja tästä jaetusta hakemistosta sitten kutakin asiakasympäristöä varten lohkaistaan oma pieni osa, jonka käyttäjät ja muut tiedot ovat näkyvissä vain ko. ympäristön käyttäjille. Kaikki Office 365 –asiakkaat hyödyntävät jo Azure AD:ta, koska jokaisen Office 365 –tenantin ”alla” on tuollainen asiakaskohtainen Azure AD:n osa, johon kaikki Office 365:n käyttäjä- ja kokoonpanotiedot tallennetaan.

Jokin aika sitten Azure AD:sta julkaistiin kaksi uutta versiota perinteisen Azure AD:n ilmaisen version lisäksi – eli Azure AD Basic ja Azure AD Premium. Molemmat ovat maksullisia, erikseen hankittavia versioita, ja aiemmin pystytetyn ilmaisen Azure AD –hakemiston (esimerkiksi Office 365:n myötä pystytetyn hakemiston) voi ”päivittää” joko Basic- tai Premium-tasolle.

Sekä Azure AD Basicissä että Premiumissa on Self-Service Password Reset –ominaisuus. Basicissa ominaisuus mahdollistaa sen, että pilvikäyttäjä voi resetoida salasanansa. Tästä on hyötyä silloin, jos Azure AD:hen tallennettua tunnusta käytetään vain pilvessä, eikä sitä synkronoida paikallisen AD:n kanssa. Azure AD Premium laajentaa Basicin toiminnallisuutta niin, että käyttäjä voi resetoida salasanansa pilvessä ja muutos voidaan myös synkronoida paikalliseen AD:hen. Siis AD-käyttäjä voi resetoida salasanansa itse verkossa. Näppärää ja kustannustehokasta.

 

Salasanan resetoiminen

Salasanan resetoimiseen tarvitaan luonnollisesti jokin keino, jolla tarkistetaan että käyttäjä on sen käyttäjätunnuksen haltija, jonka salasanaa hän on muuttamassa. Azure Password Reset –toiminnossa nämä keinot ovat a) vaihtoehtoinen sähköpostitili tai b) käyttäjän puhelinnumero. Puhelinnumeroksi voidaan joko määrittää työ- tai mobiilipuhelinnumero, ja puhelimen kautta tarkistus voidaan tehdä joko tekstiviestillä (toki vain mobiilinumeroissa) tai soittamalla. IT voi määrittää nämä tiedot keskitetysti kaikille käyttäjille, tai pyytää että käyttäjät määrittävät tiedot itse tätä varten tarkoitetun rekisteröitymissivuston kautta:

Kun tiedot on määritetty, käyttäjä voi resetoida salasanansa resetointisivulla (tai valita Can’t access your account –linkin sisäänkirjautumissivulla):

Käyttäjä päätyy sivulle, jossa Captcha-vahvistuksen pääsee valitsemaan keinon, jolla käyttäjän identiteetti vahvistetaan:

 

Mitä tähän vaaditaan?
Jotta salasanan resetoinnin voi ottaa käyttöön, pitää Azure AD:sta olla käytössä joko Basic- tai Premium-versio. Tällä hetkellä näitä Azure AD:n versioita ei saa hankittua muuta kuin Enterprise Agreementin kautta, mutta jos toiminnallisuutta haluaa testata, voi Azuren hallintakäyttöliittymän kautta mihin tahansa Azure AD:hen hakea Premium-koetilausta, joka on voimassa 90 päivää.
Resetoinnin asetukset tehdään Azure-hallintakäyttöliittymän kautta. Hallintakäyttöliittymässä voidaan määrittää mm. käyttäjän tunnistusmenetelmät sekä tapa, jolla käyttäjä voi itse rekisteröidä omat tietonsa:

Jos käyttäjän salasana halutaan synkronoida paikalliseen AD-hakemistoon, pitää hakemistosynkronointi erikseen määrittää tätä varten. Käytössä olevan hakemistosynkronointikomponentin on oltava vähintään versiota 1.0.6862.0000. Kun tarvittava versio on asennettu tai päivitetty käyttöön, on salasanojen synkronointi Azure AD-hakemistosta paikalliseen hakemistoon otettava erikseen käyttöön täältä löytyvien ohjeiden mukaisesti.

Salasanojen resetointi on vain yksi hyödyllinen Azure AD:n lisäominaisuus, ja jatkossa tarinoimme lisää myös muista ominaisuuksista. Sulava voi auttaa Azure AD:n evaluoinnissa, testaamisessa ja määrittämisessä tuotantokäyttöön. Kerromme myös mielellämme lisää sekä paikalliseen AD-hakemistoon että Azure AD -hakemistoon liittyvistä ominaisuuksista – ole yhteydessä!

Tämä kirjoitus on osa Sulavan Azure-blogikirjoitusten sarjaa. Lue myös nämä:


Microsoft julkaisi Azure-uutuuksia – Still early days!

cloudplugMicrosoftin Satya Nadella ja Scott Guthrie isännöivät vajaan tunnin mittaista tilaisuutta myöhään eilen illalla Suomen aikaa San Franciscossa, ja tilaisuus välitettiin myös webcastina. Nadella ja Guthrie kävivät läpi Microsoftin pilvistrategiaa ja ehtivät siinä strategian lomassa myös julkistaa muutaman uuden ominaisuuden Azureen. Nadella totesi puheessaan, että olemme vasta pilvipalvelujen kehityksen ja hyödyntämisen alkutaipaleella – aika häkellyttävää miettiä, mitä pilvi vielä tuo tullessaan, kun nykyisetkin pilvessä tehtävät jutut ovat amerikkalaisittain aika amazing – tästä osoituksena joukko asiakaskeissejä, joihin tilaisuudessa viitattiin. Eipä tule ainakaan aika pitkäksi ja töitä riittää tulevaisuudessakin.
Kuten sanottu, tilaisuudessa julkistettiin muutama uusi ominaisuus Azureen:

  • Vanhat A-virtuaalikonemallit ja hiljattain julkistetut D-mallit saivat rinnalleen uudet G-mallit. G-virtuaalikoneet on tarkoitettu erityisesti tietokantojen ja muiden dataintensiivisten sovellusten pyörittämiseen. Virtuaalikoneet tarjoavat sovellusten käyttöön enimmillään 32 ydintä, 448 GB muistia ja 6,5 teratavua SSD-pohjaista paikallista tallennustilaa. G-virtuaalikoneita on tarjolla viittä eri kokoa, ja ne tulevat saataville myöhemmin tänä vuonna.
  • Premium Storage tarjoaa virtuaalikoneiden käyttöön perinteisten kovalevyjen sijaan SSD-levyillä toteutettua tallennustilaa. Yhden virtuaalikoneen käyttöön voidaan määrittää enimmillään 32 teratavua tallennustilaa, joka tarjoaa 50 000 IOPSin suorituskyvyn alle yhden millisekunnin hakuajoilla lukuoperaatioissa. G-virtuaalikoneet ja Premium Storage yhdessä tarjoavat riittävän suorituskyvyn melkeinpä mille tahansa tietokantasovellukselle.
  • Azure Marketplace uudistuu kokonaan, ominaisuus, josta on saatu jo esimakua Azuren uuden hallintakäyttöliittymän myötä. Uuden Marketplacen tavoitteena on tarjota asiakkaille helppo tapa löytää oikeat ratkaisut Azuressa pyöritettävien sovellusten ja palvelujen toteuttamiseen, ja toisaalta tarjota ISV-kumppaneille alusta, jonka kautta he saavat omat sovelluksensa ja ratkaisunsa tehokkaasti ja nopeasti asiakkaiden käyttöön. Samassa yhteydessä Microsoft ilmoitti myös lisäävänsä CoreOS:n viidenneksi tuotuksi distroksi Azuren Linux-valikoimaan. Guthrie totesikin, notta ”Microsoft loves Linux” – hänen mukaansa jo 20 % Azure-kapasiteetista on Linux-virtuaalikoneiden käytössä.

Lisätietoja uusista ominaisuuksista löytyy Azuren blogista.

Cloud-in-a-box

Scott Guthrie julkisti tilaisuudessa myös Cloud Platform System -konseptin. CPS on yhdistelmä rautaa ja softaa, eli Dellin tuottama palvelinalusta, johon on asennettu valmiiksi Windows Server 2012 R2, System Center –hallintasoftaa sekä Windows Azure Pack. Asiakkaat ja palvelukumppanit voivat hyödyntää CPS-palvelimia IaaS- (Windows ja Linux) sekä PaaS-alustojen toteuttamiseen.
CPS-palvelimet toimitetaan valmiiksi määritetyissä palvelinräkeissä (32 x 16-ytimisiä palvelimia per räkki), joista voidaan rakentaa 1 – 4 räkin kokonaisuuksia. Yksi räkki tukee enimmillään n. 2000 pienikokoisen virtuaalikoneen pyörittämistä.

Most Complete Cloud Offering

Nadella korosti omassa puheenvuorossaan Microsoftin tavoitetta rakentaa markkinoiden monipuolisin pilviratkaisu. Microsoftille tämä tarkoittaa yhtäältä palveluja, kuten Office 365:ttä ja CRM Onlineä, jotka ovat Microsoftin pilven ytimessä, ja toisaalta monipuolista alustaa muille sovelluksille ja ratkaisuille, ja Azuren tehtävänä on täyttää tämä alustavaatimus. Monipuolisuus saavutetaan tukemalla monia eri käyttöjärjestelmiä sekä tallennus- ja tietokantaratkaisuja, tarjoamalla sovelluskehittäjille mahdollisuus käyttää monia eri ohjelmointikieliä ja –ympäristöjä, tarjota integraatiota muiden julkisten pilvipalvelujen tarjoamaan toiminnallisuuteen sekä mahdollistamalla hybridiratkaisut, joiden avulla asiakkaat voivat toteuttaa osan ympäristöstään julkisessa pilvessä ja osan paikallisesti omassa konesalissaan tai palveluntarjoajan konesalissa.

Jo noin 40 % Azure-liikevaihdosta tulee sovellustoimittajilta, ISV:iltä ja erilaisilta Startupeilta. Tavoitteena on Nadellan mukaan monipuolisten asiakasratkaisujen lisäksi tarjota näille kumppaneille alusta, jolla he tavoittavat asiakkaansa tehokkaimmin – ”Azure is the best route to Enterprise Customers”.

Guthrie puhui omassa puheenvuorossaan kolmesta perusteemasta, jotka erottavat Microsoftin muista pilvialustan tarjoajista:

  1. Hyper-Scale – Azure skaalautuu uusien julkistusten myötä paitsi yhä suurempiin yksittäisiin koneisiin, myös usean järjestelmän ja usean datakeskuksen ratkaisuihin. Guthrie ilmoitti, että kaksi uutta datakeskusta Australiassa ovat nyt tuotannossa, ja uudet datakeskukset nostavat palvelualueiden (Microsoft käyttää näistä termiä Region) kokonaismäärän 19:ään.
  2. Enterprise-Grade – Azure tarjoaa palveluja ja tukea palveluille kaiken kokoisille organisaatioille pienistä suuriin, riippumatta toimialasta.
  3. Hybrid – Microsoftin pilviratkaisussa asiakkaat voivat valita, pyörittävätkö sovelluksiaan ja palvelujaan Microsoftin julkisessa palvelussa vai paikallisesti omassa tai palveluntarjoajan konesalissa. Eri pilvimallit tarjoavat sekä integraatiota että yhtenäistä hallintaa yli pilvimallien rajojen.

Kaiken kaikkiaan mielenkiintoinen tilaisuus – kannattaa katsoa tallenne.

Tarjoaako Windows Azure hyötyjä organisaatiolleni?

cloudplugMicrosoftin Windows Azure -pilvipalvelu on kehittynyt melkoisesti viimeisten parin vuoden aikana. Kun Azure julkaistiin muutama vuosi sitten, painopiste oli sovellusalustapalveluissa (PaaS). Organisaatiot pystyivät hyödyntämään näitä palveluja esimerkiksi erilaisten Web-sovellusten toteuttamiseen. Sovellusalustapalveluiden rinnalle tuotiin viime vuonna virtuaalipalvelintoiminnot (IaaS), joiden avulla organisaatiot pystyivät siirtämään kokonaisia virtuaalipalvelimia pyörimään pilvessä. Kaikki Azureen liittyvät palvelut muodostavat yhtenäisen kokonaisuuden, palvelut voidaan liittää osaksi organisaation verkkoa ja muita käytössä olevia palveluja, ja niitä voidaan käyttää ja hallita saumattomasti organisaation muiden palvelujen kanssa.

Mitä hyötyjä Azure tarjoaa?

Avainsanat Azuressa ovat kustannustehokkuus ja joustavuus: asiakas maksaa ainoastaan kapasiteetista ja palveluista, joita kulloinkin tarvitaan. Kapasiteettia voidaan joustavasti ja hyvin lyhyellä varoitusajalla kasvattaa ja pienentää tarpeen mukaan, eikä asiakkaan tarvitse tehdä suuria investointeja palvelinlaitteistoihin.

Azuressa voidaan toteuttaa paljon erilaisia käyttöskenaarioita: jotkut asiakkaat ovat lähteneet liikkeelle testaus- ja kehitysympäristön toteuttamisella, ja laajentaneet sitä kattamaan myös muita palveluja. Toiset taas ovat siirtäneet koko käytössä olevan palveluportfolionsa Azureen. Vaihtoehtoja on paljon!

Palvelu Azuren käyttöönottoon

Meillä Sulavassa on selvät sävelet Azuren hyödyntämiseen. Olemme rakentaneet palvelun, jonka avulla voimme auttaa asiakkaitamme hyötymään Azure-palvelusta.

Työ lähtee liikkeelle esiselvityksestä, jossa kartoitetaan asiakkaan tavoitteet ja tarpeet, käytössä olevat sovellukset ja palvelut sekä asiakkaan käytössä oleva ympäristö. Tämän työn perusteella muodostuu korkean tason suunnitelma ja tiekartta, joiden perusteella asiakas saa käsityksen kehitysvaiheista ja saatavista hyödyistä, ja voi tehdä päätöksen etenemismallista.

Esiselvityksestä edetään suunnitteluvaiheeseen, joka kattaa neljä osa-aluetta:

  • Sovellusten elinkaaren suunnittelu – suunnitelma kunkin asiakkaan käytössä olevan sovelluksen tai palvelun tulevaisuudesta; mitkä sovellukset jätetään käyttöön sellaisenaan, mitkä siirretään ja mitkä mahdollisesti toteutetaan kokonaan uudelleen hyödyntämällä Azuren toiminnallisuuksia.
  • Azure-ympäristön suunnittelu – miten Azurea hyödynnetään ja miten se liitetään osaksi asiakkaan olemassa olevaa ympäristöä.
  • Ympäristön operoinnin ja hallinnan suunnittelu – miten ja kenen toimesta tapahtuu toteutettavan Azure-ympäristön operointi, hallinta ja valvonta, sekä miten tarvittava tuki on järjestetty.
  • Sovellusarkkitehtuurin dokumentointi – vaatimukset ja määritykset, jotka muodostavat asiakkaan perussovellusarkkitehtuurin. Tätä arkkitehtuuria voidaan jatkossa hyödyntää esimerkiksi uusien sovellusten hankinnassa.

Kolmannessa vaiheessa tehdään varsinainen toteutustyö, eli rakennetaan suunniteltu Azure-ympäristö sekä siirretään sovellukset ja palvelut. Varsinaisessa toteutusvaiheessa Sulava tekee osan työstä, ja etsii tarvittaessa asiakkaalle sopivat kumppanit, jotka voivat lähteä toteuttamaan sovelluksia uudelleen hyödyntämällä Azuren tarjoamia mahdollisuuksia.

Oletko miettinyt, mitä hyötyjä organisaatiosi voi saavuttaa Azuren avulla?

Ota yhteyttä – tulemme mielellämme kertomaan lisää ja keskustelemaan kanssasi, miten sinä ja organisaatiosi voisitte hyötyä Azuren käytöstä.