Microsoft riorganizza e amplia l'offerta IAM pensando alle esigenze del multicloud e delle nuove identità digitali, portando al debutto la famiglia Entra
Microsoft Entra è il nuovo brand intorno al quale a Redmond hanno deciso di riorganizzare l'offerta IAM. A partire dall'immancabiìle Azure Active Directory, ovviamente, ma puntando anche verso una visione più evoluta della gestione delle identità digitali. La conststazione di fondo è che oggi non si parla più di gestire semplicemente gli accessi e le identità delle persone fisiche. Ci sono miriadi di entità e servizi digitali che, insieme alle persone, si connettono fra loro da/verso ovunque e con risorse critiche più o meno centralizzate. Così, spiega Microsoft, "l'identità non è più fatta solo di directory, l'accesso non riguarda solo la rete".
Si può proteggere uno scenario simile di digitalizzazione distribuita? Sì, con una certa fatica. Lo si può fare con una soluzione sola o con soluzioni perfettamente integrate fra loro? Al momento no, secondo Microsoft, così le aziende devono far funzionare insieme molti sistemi di IAM e cyber security che, a priori, non sono pensati per questa collaborazione forzata.
Da qui, per Microsoft, nasce l'idea di una nuova gamma di soluzioni. Microsoft Entra, appunto. Con sullo sfondo la visione - o l'obiettivo, dipende dai punti di vista - di una piattaforma di componenti integrate che permetta di gestire tutti i tipi di identità digitale e di accesso. Non un insieme di servizi, sottolineano da Redmond, ma una vera e propria "trust fabric" per qualsiasi ecosistema digitale.
Microsoft Entra ha come base una piattaforma già molto nota: Azure AD. Questa, insieme ad Azure AD External Identities, resta il cuore dell'approccio IAM. Che però deve evolvere per affrontare un problema già ben evidente: nell'era del multicloud, tutte le aziende hanno una proliferazione non sempre ben controllata di identità digitali, associate a persone ed a servizi digitali. Se i team IT non ne hanno la piena visibilità e il giusto controllo, come spesso accade, ognuno di questi account rappresenta oggi una potenziale vulnerabilità.
La risposta di Microsoft a questo problema è Microsoft Entra Permissions Management, che definisce come una soluzione CIEM, ossia di Cloud Infrastructure Entitlement Management. La piattaforma nasce grazie all'acquisizione di CloudKnox Security e ha l'obiettivo di dare una completa visibilità su tutti gli account, distribuiti sui vari cloud e localmente, e sui loro privilegi. Come anche di garantire l'applicazione coerente del principio dei privilegi minimi sui principali cloud: Azure, AWS, Google Cloud.
La gestione delle identità digitali è un tema che va ben oltre il multicloud. Avere una identità digitale propria, allo stesso tempo assolutamente privata e "aperta" (nel senso di standard e interoperabile con idealmente qualsiasi servizio), è sempre più critico man mano che la parte digitale della nostra vita aumenta di importanza. In questo senso Microsoft sposa il modello delle identità decentralizzate, offrendo ora una piattaforma che le abilita: Microsoft Entra Verified ID.
Il concetto delle "decentralized identity" è abbastanza consolidato. Tradizionalmente, una singola persona si trova in effetti ad avere diverse "identità" - come cliente di una banca, come cittadino, come assistito del Servizio Sanitario, come possessore di una patente di guida e così via - che sono gestite ciascuna in maniera distinta. Ciascun ente (la Banca, il Ministero degli Interni, il Servizio Sanitario, la Motorizzazione...) "certifica" l'identità di sua pertinenza e concretamente ne gestisce direttamente i dati.
Nel modello delle identità decentralizzate, a gestire tutto è la singola persona. Le certificazioni delle sue varie identità vengono conservate, di fatto, in un digital wallet personale che le contiene tutte. È la persona stessa, quando necessario e con il pieno controllo, che decide se, quando e in che misura fare accedere servizi di terzi ai dati (tecnicamente, le "credenziali verificabili") che attestano le proprie identità. Servono standard per realizzare tutto questo, al momento diverse organizzazioni ci stanno lavorando. Microsoft si allinea con i lavori della Decentralized Identity Foundation (DIF), di cui fa parte, e del W3C.
Un ultimo aspetto su cui Microsoft si è concentrata e che rappresenta un altro tassello della linea Entra è più specifico: la gestione delle identità dentro le imprese, più precisamente la gestione delle identità digitali dei dipendenti e degli account "ospite" per collaboratori e partner. Le prime sono relativamente stabili nel tempo ma vengono attivate, secondo Microsoft, ancora troppo lentamente. I secondi sono delle anomalie rispetto alla norma che possono introdurre problemi.
La gestione di un account è in effetti la gestione di un vero e proprio ciclo di vita. Un account viene creato, deve essere configurato con i giusti privilegi, aggiornato regolarmente in base ai ruoli e privilegi di chi lo detiene, cancellato il prima possibile quando non è più necessario. Più questo ciclo di vita viene gestito con un processo formalizzato e automatizzato, meglio è.
Per farlo Microsoft ha potenziato le funzioni di Azure AD Identity Governance, dotando questo modulo di elementi proprio di "identity lifecycle management". In sostanza, Identity Governance acquista una serie di workflow che automatizzano la gestione dei diritti di accesso associati a una identità digitale, tenendo poi traccia degli accessi che l'account esegue man mano che i suoi attributi cambiano.
Le novità di Microsoft Entra saranno disponibili a breve. A luglio arriveranno la versione preliminare dei nuovi workflow di Identity Governance e il debutto di Permissions Management. Ad agosto è previsto invece il lancio di Verified ID.