Windows 365 Cloud PC: security by design e zero trust per il lavoro ibrido e a distanza - Cyber Security 360

LA GUIDA PRATICA

Windows 365 Cloud PC: security by design e zero trust per il lavoro ibrido e a distanza

Si chiama Windows 365 Cloud PC la versione del sistema operativo Microsoft pensato per il lavoro ibrido e a distanza e per questo sviluppato secondo il principio della security by design e adottando l’approccio zero trust. Ecco tutte le funzioni e quello che c’è da sapere sul nuovo PC nel cloud

02 Ago 2021
A
Claudio Augusto

Chief Information Officer / IT Manager

È proprio il caso di dire che Microsoft sta proponendo una novità dietro l’altra: a giugno ha tolto i veli a Windows 11 e pochi giorni fa, durante l’evento annuale Microsoft Inspire 2021, ha annunciato ufficialmente la commercializzazione della versione cloud PC denominata Windows 365 Cloud PC, di cui già erano trapelate diverse indiscrezioni l’anno scorso e che è adesso disponibile a partire da oggi, 2 agosto 2021.

L’attenzione iniziale focalizzatasi sull’annuncio di Windows 11 si è quindi immediatamente spostata su Windows 365 Cloud PC ascoltando i roboanti proclami che, probabilmente a ragione, sono stati usati da Satya Nadella, Presidente e CEO di Microsoft: “Stiamo dando vita a una nuova famiglia di computer”, oppure dal Direttore Generale di Windows 365, Wangui McKelvey, secondo cui “una nuova era per l’informatica degli utenti finali”.

Un Windows ibrido per un mondo ibrido che viene definito sicuro by design e progettato secondo il principio Zero Trust, non può che affascinarci e spingerci a capirne i dettagli.

Cos’è Windows 365 Cloud PC

Il “nuovo” sistema operativo Microsoft è in realtà un PC nel cloud e, come quasi tutto quello che Microsoft fa di recente, ha il suffisso 365. Microsoft non fornirà più solo il sistema operativo Windows nelle forme commerciali che ben conosciamo, ma lo renderà disponibile come servizio su macchina virtuale in esecuzione sui suoi server nel cloud Azure.

Ci siamo già abituati all’utilizzo di Office come applicazione cloud erogata come Software as a Service (SaaS) e ora si potrà utilizzare non più solo Windows su un PC fisico ma anche come Desktop as a Service (DaaS).

Durante le presentazioni di Windows 365 è stato illustrato il suo funzionamento come una trasmissione streaming della sessione di lavoro di Windows 10 e Windows 11 (quando sarà disponibile) che consentirà, per il momento solo alle aziende, di accedere ai PC cloud in modo persistente da qualsiasi luogo via browser web da diversi tipi di device oltre ai PC (Android e iOS – MacOS – Linux) o tramite l’app Remote Desktop di Microsoft (va ricordato che è disponibile anche per iOS e Android).

Al momento, Microsoft non ha reso noto il prerequisito della velocità di connessione Internet necessaria per utilizzare Windows 365 e sappiamo solo quello che ha dichiarato Scott Manchester (Partner Director of PM – Windows 365) in una video intervista: “se puoi trasmettere un film in streaming, hai abbastanza larghezza di banda per una grande esperienza”.

Cosa dobbiamo aspettarci, la clessidra del buffering quando la connessione sarà inadeguata? Lo scopriremo, ma speriamo di no.

Microsoft ha definito Windows 365 come un prodotto progettato da zero e orientato ad un’esperienza di lavoro ibrida che permette, nonostante l’ubicazione del PC nel cloud, di accedere a risorse che si trovano nella rete locale aziendale, come file o cartelle condivisi, app Internet e via dicendo, in quanto collegabile direttamente alla rete di lavoro, superando gli attuali problemi di sicurezza riconducibili all’uso di dispositivi personali e di gestione VPN.

La sicurezza di Windows 365 Cloud PC

Il presupposto è affidarsi alla piattaforma di cloud computing di Microsoft per la sicurezza e la privacy delle informazioni aziendali critiche.

Di fatto, molte aziende hanno già delegato tutto questo a Microsoft (o a suoi competitor per i rispettivi prodotti – ad esempio Google Workspace), ricorrendo a Office365, Teams e Azure, per cui se questo è vero, dovrà esserlo anche per Windows 365.

Demandare a Microsoft la gestione dell’infrastruttura di base di Windows 365, dichiarata sicura by design e progettata secondo il principio Zero Trust, può corrispondere ad un ottimo livello di standardizzazione e gestione che diversamente non potrebbe essere raggiunto.

Ecco alcuni vantaggi:

  1. Un primo risultato di sicurezza è l’archiviazione e la protezione delle informazioni nel cloud e non sul dispositivo client.
  2. L’autenticazione multi fattori (MFA) per verificare qualsiasi accesso o tentativo di accesso a un PC Cloud tramite l’integrazione con Microsoft Azure Active Directory (Azure AD). All’interno di Microsoft Endpoint Manager, si può associare MFA a specifici criteri di accesso condizionale di Windows 365 per valutare nell’immediato il rischio di accesso per ogni sessione.
  3. Nel portale di amministrazione viene soddisfatto il principio dell’accesso con privilegi minimi, per cui, ad esempio, si possono delegare autorizzazioni specifiche, come le licenze, la gestione dei dispositivi e la gestione del PC cloud utilizzando ruoli specifici, evitando ruoli unici di amministratore globale.
  4. L’integrazione con Microsoft Defender for Endpoint per proteggere per proteggere anche i PC Cloud ricevendo anche consigli sulla sicurezza per ridurre i rischi aiutando a scoprire e indagare rapidamente su eventuali incidenti di sicurezza.
  5. Tutti i dischi gestiti che eseguono i Cloud PC sono crittografati, tutti i dati archiviati sono crittografati a riposo e anche tutto il traffico di rete da e verso i PC Cloud è crittografato.
  6. Possibilità di usare le security baseline per Windows 10, Microsoft Defender for Endpoint e Microsoft Edge, al pari dei dispositivi fisici ed inoltre Microsoft ha creato una baseline di sicurezza specifica per i PC Cloud.

L’adozione di Windows 365 per gli amministratori IT, che in questi mesi hanno dovuto fare i conti con le necessità dello smart working, di sicuro corrisponde all’abolizione di connessioni VPN e all’assenza di utilizzo di PC personali, che sono già di per sé notevoli vantaggi in termini di sicurezza.

Le versioni disponibili di Windows 365 Cloud PC

Windows 365 viene proposto in due versioni:

  • Enterprise (per le aziende)
  • Business (per le piccole imprese).

La versione Enterprise è rivolta alle organizzazioni che usano Microsoft Endpoint Manager per gestire i propri desktop Windows fisici e richiede una licenza Intune assegnata ad ogni utente. Ovviamente vi sono alcuni prerequisiti da soddisfare oltre al possesso della licenza Windows 365: abbonamento Azure, rete virtuale (vNET) attiva nella sottoscrizione di Azure e l’abilitazione di Azure Active Directory (AAD) ibrido.

Si dovrà quindi disporre: di un Active Directory locale o su Azure; della sincronizzazione dell’AD locale con Azure AD; connessione a una rete virtuale di Azure per collegare Windows 365 ad Active Directory, come qualsiasi PC fisico; della configurazione di Hybrid Azure AD Join; e dei connettori di supporto installati in locale.

In un blog Microsoft (qui) sono ben descritte le fasi per iniziare ad usare Windows 365 nella versione Enterprise.

La versione Business è rivolta alle piccole imprese che non hanno particolari necessità e che non dispongono di un reparto IT.

Non sono richieste licenze Intune né l’uso di Active Directory (anche se sono nativamente aggiunti ad Azure AD) ed ha una gestione paragonabile a quella di un PC fisico autonomo, considerando che questa versione di PC Cloud viene eseguita nell’abbonamento Azure di Microsoft e non dispone di un’interfaccia di amministrazione per gestirla come per l’alternativa Enterprise.

Viene richiesto solo di associare una licenza ad un utente nel portale di amministrazione di Windows 365.

Due versioni con dodici configurazioni disponibili

Per entrambe le versioni saranno disponibili 12 versioni di configurazione diverse, tutte dotate di connessione a Internet con velocità di 10Gbps in download e 4 Gbps in upload, che spaziano dal minimo di 1 CPU, 2 GB di RAM e 64 GB di spazio di archiviazione, fino a 8 CPU, 32 GB di RAM e 512 GB di spazio di archiviazione, con la possibilità di ridimensionare la potenza di elaborazione a piacimento anche successivamente all’attivazione, con la possibilità di monitorare le prestazioni (analytics è incluso nel servizio) in modo che gli utenti abbiano a disposizione quello che serve.

Cosa devono aspettarsi gli Amministratori IT

Sembra che Microsoft abbia pensato anche a loro. Gli “IT” non dovranno preoccuparsi dell’infrastruttura per configurare e gestire questa nuova modalità, non dovranno imparare nuovi strumenti e paradigmi di gestione.

Windows 365 risulta coerente con i metodi di gestione dei dispositivi fisici per i quali già è in uso Microsoft Endpoint Manager. In una delle sessioni di presentazione, è stato dimostrato che tutti i dispositivi in MEM, PC fisici e Cloud, risultano sullo stesso piano, potendo gestire senza distinzioni app e criteri come qualsiasi altro dispositivo Windows.

Windows 365 e Azure Virtual Desktop sono la stessa cosa?

Windows 365 e AVD (il cui nome precedente era Windows Virtual Desktop – tanto per confonderci ulteriormente) apparentemente possono sembrare la stessa cosa o due offerte comunque molto simili, ma non è così. Che vi siano delle sovrapposizioni è indubbio, dal momento che sono entrambe soluzioni di tipo Desktop-as-a-Service, ma ci sono diverse importanti differenze tra loro.

Fondamentalmente con Windows 365 si evita di farsi carico dell’infrastruttura principale e di parte della piattaforma, lasciando che sia Microsoft a preoccuparsene. Con questa affermazione, potremmo sollevare il dubbio di quanto Windows 365 sia veramente Desktop as a Service (DaaS) e non piuttosto una soluzione di tipo Software as a Service (Saas). Il quesito resta aperto.

Di certo, sia AVD sia Windows 365, sul piano tecnico sfruttano l’insieme simile di tecnologie cloud Microsoft e banalmente possiamo dire che Windows 365 è basato sui componenti AVD esistenti, ma differiscono totalmente per il modello commerciale: un costo fisso mensile (Windows 365), contro un costo basato sul consumo (AVD).

Conclusioni

In estrema sintesi, Windows 365 può essere accolto come una reale novità sia sul piano commerciale, considerando le differenze con analoghe soluzioni che da tempo sono già disponibili per la virtualizzazione di Windows nel cloud (ad esempio lo stesso Azure Virtual Desktop o Citrix), sia sul piano tecnico, vista la dichiarata facilità d’uso e la semplificazione della gestione IT con il superamento delle annose barriere dei costi troppo elevati, ambienti troppo complessi o assenza di competenze per gestirli.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5