導讀:“全方位”指的不僅是客戶端、企業(yè)私有云端,還包括公有云端,IoT,Windows客戶端,Mac客戶端,各種SaaS服務中信息訪問、身份訪問,以及安全運營中心。“立體”是指通過安全中心和機器學習等技術,將各種各樣的數(shù)據(jù)集成在一起,通過安全通信對數(shù)據(jù)進行立體的防護。
當今,全球數(shù)字化轉型加速,企業(yè)IT正處于變革中,企業(yè)進行數(shù)字化轉型的目的無非是與客戶溝通更密切、更契合,且能賦能員工、優(yōu)化運營,同時改良企業(yè)的產品和服務,這就帶來了更多的SaaS應用、移動互聯(lián)網(wǎng)應用、物聯(lián)網(wǎng)的應用、云上的應用等,信息技術層出不窮,企業(yè)的邊緣大大拓寬,要保護的對象激增,數(shù)字化威脅變得越來越復雜。
去年以來,微軟頻繁被國內網(wǎng)絡安全從業(yè)者關注。去年1月,微軟宣布在2020年的安全業(yè)務收入達到100億美元,年增長率超過40%;6月,微軟正式發(fā)布Windows 11,特別提到Windows 11提供了一個“零信任安全防護模式”的操作系統(tǒng),來保護數(shù)據(jù)和跨設備訪問;7月,微軟正式發(fā)布Windows 365,再次提及Windows 365服務遵從“零信任”原則,從設計源頭確保安全。
歷經三個階段,微軟安全與時俱進
事實上,微軟的安全業(yè)務從2003年發(fā)布Windows XP和Windows Server,使用威脅模型開始,微軟產品的安全性就大幅提升。
安全開發(fā)生命周期 (SDL)是微軟的計劃和強制施行政策,其核心理念就是將安全考慮集成在軟件開發(fā)的每一個階段:需求分析、設計、編碼、測試和維護。從需求、設計到發(fā)布產品的每一個階段每都增加了相應的安全活動與規(guī)范,以減少軟件中漏洞的數(shù)量并將安全缺陷降低到最小程度。SDL是側重于軟件開發(fā)的安全保證過程,旨在開發(fā)出安全的軟件應用。
STRIDE安全威脅模型是由微軟提出的一種系統(tǒng)化的威脅建模方法。STRIDE代表六種安全威脅:身份假冒(Spoofing)、篡改(Tampering)、抵賴(Repudiation)、信息泄露(Information Disclosure)、拒絕服務(Denial of Service)、特權提升(Elevation of Privilege)。STRIDE模型可以讓用戶洞察所需的抑制措施的本質,使用預構建的威脅樹可以確保不會忽略已知的攻擊。
在近日舉辦的微軟安全媒體采訪活動上,微軟全渠道事業(yè)部首席技術官(CTO)徐明強博士對此進行了詳細介紹。徐明強博士表示,微軟有一個安全審核部門,成員分布在每一個產品部門中,當產品有安全問題時,安全審核部門的成員有一票否決權。因此可以說,微軟的產品從設計階段就是安全的,即Security by Design。
到了移動時代,微軟服務的地理足跡遍布60多個地區(qū),微軟安全首先要做的是“勤商”,積極應對每一次的安全法規(guī)更新。微軟還專門設立了網(wǎng)絡防御運營中心,擁有多達8500名的全職安全專業(yè)人員為平臺、工具、服務及終端設備提供不間斷的安全保護。微軟智能云每天處理和分析超過 24 萬億的安全信號數(shù)據(jù),每年在網(wǎng)絡安全投資 10 億美元,且在未來5年投資還將超過 200 億美元。在合規(guī)認證數(shù)量方面,微軟智能云在全球擁有100多項合規(guī)認證,具備完善的合規(guī)認證體系。在中國,由世紀互聯(lián)運營的 Microsoft Azure 也獲得了諸多本地合規(guī)認證,連續(xù)多年通過 ISO/IEC 20000、ISO/IEC 27001、ISO/IEC 27018 系列認證,連續(xù)多年通過信息系統(tǒng)安全等級保護三級評測,全面覆蓋 IaaS、PaaS、SaaS云服務。
從2018年開始,“零信任”安全架構逐漸成為網(wǎng)絡安全的主流框架,微軟也關注到端到端集成防護對安全的價值,并開始構建全方位立體的微軟安全戰(zhàn)略架構。
徐明強博士將這個階段的安防部署比喻為“家庭防盜系統(tǒng)”:首先要建立外圍和室內房門隔離,即虛擬網(wǎng)絡、VPN 網(wǎng)關、網(wǎng)絡安全組、HubSpoke 架構。然后關閉窗戶、只保留大門通道,即Azure Bastion。此外,還要加強大門防御,即WAF、Firewall、DDoS,將貴重物品放入室內,即Private Link,再放入保險箱,即Key Vault。之后建立智能安保監(jiān)控,即Defender for Cloud+ Sentinel,和片警建立日常聯(lián)系和巡邏,即Azure Monitor+ Backup,并加強主人身份、客人身份識別和保護,即Azure AD Premium。
微軟本著“對威脅的防護、對身份的防護、對信息的保護”三個原則,整合了超過 40 種云安全服務,涵蓋身份和訪問管理、威脅保護、統(tǒng)一終端管理、信息保護、云安全管理五大部分,鑄成了微軟的“安全盾牌”。在 Garter 魔力象限五項評選——訪問管理、云訪問安全代理、企業(yè)信息歸檔、終端防護平臺、統(tǒng)一終端管理工具中,微軟的安全產品均處于領導者象限。
全方位、立體式的安全防護
云計算時代,微軟構筑了全方位的、立體的、端到端的安全戰(zhàn)略架構?!叭轿弧敝傅牟粌H是客戶端、企業(yè)私有云端,還包括公有云端,IoT,Windows客戶端,Mac客戶端,各種SaaS服務中信息訪問、身份訪問,以及安全運營中心?!傲Ⅲw”是指通過安全中心和機器學習等技術,將各種各樣的數(shù)據(jù)集成在一起,通過安全通信對數(shù)據(jù)進行立體的防護。
值得注意的是,微軟正在穩(wěn)步進入零散的安全技術市場,許多核心安全產品(如 Windows Defender)是嵌入或者緊密集成在核心應用套件當中的,因此客戶購買微軟的安全功能非常方便。微軟也正在將“原生安全性”的概念擴展到云端,云計算和 AI/機器學習技術的長期發(fā)展,將推動微軟成為更加先進的安全技術供應商。