Microsoft continua a migliorare la resilienza del suo sistema di autenticazione dell’identità dei carichi di lavoro. Scopriamo come.
Nell’attuale ambiente digitale, l’implementazione di un sistema di identità e gestione degli accessi (IAM) efficiente e sicuro è fondamentale per qualsiasi azienda. Microsoft Entra non solo funge da robusto sistema di identità per gli utenti, ma rappresenta anche l’IAM per i servizi basati su Microsoft Azure, tutte le infrastrutture interne di Microsoft e, soprattutto, per le identità dei carichi di lavoro dei clienti. Di conseguenza, la promessa di un livello di servizio del 99,99% si estende all’autenticazione dell’identità del carico di lavoro.
Nel 2021, abbiamo visto l’introduzione del sistema di autenticazione di backup, un’innovazione senza precedenti nel settore che gestisce automaticamente e in trasparenza le autenticazioni per i carichi di lavoro supportati quando il servizio primario di Microsoft Entra ID risulta degradato o non disponibile. Nessuna meraviglia quindi nel vedere che nel 2022 e 2023 Microsoft ha continuato ad ampliare la copertura del servizio di backup nei vari cloud e tipi di applicazioni.
Autenticazione dei carichi di lavoro: come funziona?
Uno degli esempi più comuni di autenticazione dell’identità del carico di lavoro si verifica quando una macchina virtuale Azure autentica la sua identità su Azure Storage. Altrettanto comune è l’autenticazione di uno dei carichi di lavoro dei clienti da parte delle API.
Per garantire la resilienza delle identità dei carichi di lavoro, Microsoft Entra si avvale di un doppio metodo: i punti finali di autenticazione isolati per regione e il sistema di autenticazione di backup. Entrambi questi metodi sono stati concepiti per adattarsi al meglio all’infrastruttura regionale-globale della società.
I punti finali di autenticazione isolati regionalmente: cosa sono?
I punti finali di autenticazione isolati regionalmente forniscono servizi di autenticazione isolati per ogni regione di Azure. In pratica, tutte le identità più comuni riusciranno ad autenticarsi con successo senza dover dipendere da altre regioni di Azure. In particolare, questi punti finali di autenticazione sono il principale punto di riferimento sia per i servizi di infrastruttura di Azure, sia per le identità gestite in Azure.
Questo livello di protezione e isolamento non richiede alcuna modifica alla configurazione da parte dei clienti di Azure. I principali servizi di infrastruttura di Azure lo hanno già adottato, ed è integrato con il servizio di identità gestite per proteggere i carichi di lavoro dei clienti che ne dipendono.
Come funzionano i punti finali di autenticazione isolati regionalmente?
Ogni regione Azure è assegnata a un punto finale unico per l’autenticazione dell’identità del carico di lavoro. Questo punto finale è servito da un’istanza regionale speciale di Microsoft Entra ID, la quale si basa sulla memorizzazione in cache dei metadati (come i dati della directory necessari per rilasciare token localmente) per rispondere in modo efficiente e resiliente alle richieste di autenticazione dell’identità del carico di lavoro. Il design leggero di questo metodo riduce le dipendenze da altri servizi e aumenta la resilienza, poiché consente di completare l’intera autenticazione all’interno di una singola regione. I dati in cache locale sono aggiornati proattivamente.
Se il servizio regionale riscontra un’interruzione, le richieste vengono servite in modo trasparente dal servizio globale di Microsoft Entra ID, rendendo l’interruzione del servizio regionale invisibile per i clienti.
Performant, resiliente e ampiamente disponibile
Dal 2020 ad oggi, il servizio si è dimostrato efficiente e gestisce ora ben sei miliardi di richieste al giorno in tutto il mondo. I punti finali regionali, lavorando insieme ai servizi globali, superano il 99,99% di SLA. La resilienza dell’infrastruttura di Azure è ulteriormente protetta da cache sul lato dei carichi di lavoro mantenute dagli SDK client di Azure. Insieme, i servizi regionali e globali sono riusciti a rendere la maggior parte delle degradazioni del servizio indetectable dai servizi di infrastruttura dipendenti. Il recupero post-incidente è gestito automaticamente. L’isolamento regionale è supportato da cloud pubblici e tutte le nuvole sovrane.
Le richieste di autenticazione dell’infrastruttura vengono elaborate dallo stesso datacenter di Azure che ospita i carichi di lavoro insieme alle loro dipendenze co-locate. Ciò significa che anche i punti finali isolati in una regione beneficiano di vantaggi prestazionali.
Sistema di autenticazione di backup per proteggere le identità dei carichi di lavoro per l’autenticazione dell’infrastruttura
Per l’autenticazione dell’identità del carico di lavoro che non dipende dalle identità gestite, ci si affida al sistema di autenticazione di backup per aggiungere resilienza tollerante ai guasti. In un nostro articolo del novembre 2021, abbiamo spiegato l’approccio per l’autenticazione dell’utente che è disponibile generalmente da qualche tempo. Il sistema funziona nel cloud di Microsoft ma su sistemi e percorsi di rete separati e non correlati dal sistema principale di Microsoft Entra ID. Ciò significa che può continuare a funzionare nel caso di problemi di servizio, di rete o di capacità in molti servizi di Microsoft Entra ID e Azure dipendenti. Ora Microsoft sta applicando questo approccio di successo alle identità dei carichi di lavoro.
La copertura di backup delle identità dei carichi di lavoro è attualmente in corso di implementazione in modo sistematico in Microsoft, iniziando dai più grandi servizi di infrastruttura interna di Microsoft 365 nella prima metà del 2024. La copertura delle identità dei carichi di lavoro dei clienti di Microsoft Entra ID seguirà nella seconda metà del 2025.
Protezione dei tuoi stessi carichi di lavoro
I vantaggi di entrambi i punti finali isolati regionalmente e del sistema di autenticazione di backup sono incorporati nativamente nella nostra piattaforma. Per ottimizzare ulteriormente i benefici degli attuali e futuri investimenti in resilienza e sicurezza, incoraggiamo gli sviluppatori a utilizzare la Microsoft Authentication Library (MSAL) e a sfruttare le identità gestite quando possibile.
Quali sono i prossimi passi?
Ai nostri clienti vogliamo assicurare che la nostra garanzia di uptime del 99,99% rimane in vigore, insieme ai nostri continui sforzi per espandere il nostro sistema di copertura di backup e aumentare la nostra copertura di backup automatica per includere tutta l’autenticazione dell’infrastruttura, anche per gli sviluppatori di terze parti, nel prossimo anno. Ci impegneremo a mantenervi aggiornati sui nostri progressi, compresi i miglioramenti previsti per la capacità, le prestazioni e la copertura del nostro sistema in tutti i cloud.
- Advancing Azure Active Directory availability | Azure Blog and Updates
- Managed identities for Azure resources – Microsoft Entra ID | Microsoft Learn
- Advancing service resilience in Azure Active Directory with its backup authentication service | Azure Blog and Updates
- Advances in Azure AD resilience | Microsoft Tech Community