導(dǎo)讀:“全方位”指的不僅是客戶端、企業(yè)私有云端,還包括公有云端,IoT,Windows客戶端,Mac客戶端,各種SaaS服務(wù)中信息訪問、身份訪問,以及安全運(yùn)營中心?!傲Ⅲw”是指通過安全中心和機(jī)器學(xué)習(xí)等技術(shù),將各種各樣的數(shù)據(jù)集成在一起,通過安全通信對數(shù)據(jù)進(jìn)行立體的防護(hù)。
當(dāng)今,全球數(shù)字化轉(zhuǎn)型加速,企業(yè)IT正處于變革中,企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型的目的無非是與客戶溝通更密切、更契合,且能賦能員工、優(yōu)化運(yùn)營,同時改良企業(yè)的產(chǎn)品和服務(wù),這就帶來了更多的SaaS應(yīng)用、移動互聯(lián)網(wǎng)應(yīng)用、物聯(lián)網(wǎng)的應(yīng)用、云上的應(yīng)用等,信息技術(shù)層出不窮,企業(yè)的邊緣大大拓寬,要保護(hù)的對象激增,數(shù)字化威脅變得越來越復(fù)雜。
去年以來,微軟頻繁被國內(nèi)網(wǎng)絡(luò)安全從業(yè)者關(guān)注。去年1月,微軟宣布在2020年的安全業(yè)務(wù)收入達(dá)到100億美元,年增長率超過40%;6月,微軟正式發(fā)布Windows 11,特別提到Windows 11提供了一個“零信任安全防護(hù)模式”的操作系統(tǒng),來保護(hù)數(shù)據(jù)和跨設(shè)備訪問;7月,微軟正式發(fā)布Windows 365,再次提及Windows 365服務(wù)遵從“零信任”原則,從設(shè)計源頭確保安全。
歷經(jīng)三個階段,微軟安全與時俱進(jìn)
事實上,微軟的安全業(yè)務(wù)從2003年發(fā)布Windows XP和Windows Server,使用威脅模型開始,微軟產(chǎn)品的安全性就大幅提升。
安全開發(fā)生命周期 (SDL)是微軟的計劃和強(qiáng)制施行政策,其核心理念就是將安全考慮集成在軟件開發(fā)的每一個階段:需求分析、設(shè)計、編碼、測試和維護(hù)。從需求、設(shè)計到發(fā)布產(chǎn)品的每一個階段每都增加了相應(yīng)的安全活動與規(guī)范,以減少軟件中漏洞的數(shù)量并將安全缺陷降低到最小程度。SDL是側(cè)重于軟件開發(fā)的安全保證過程,旨在開發(fā)出安全的軟件應(yīng)用。
STRIDE安全威脅模型是由微軟提出的一種系統(tǒng)化的威脅建模方法。STRIDE代表六種安全威脅:身份假冒(Spoofing)、篡改(Tampering)、抵賴(Repudiation)、信息泄露(Information Disclosure)、拒絕服務(wù)(Denial of Service)、特權(quán)提升(Elevation of Privilege)。STRIDE模型可以讓用戶洞察所需的抑制措施的本質(zhì),使用預(yù)構(gòu)建的威脅樹可以確保不會忽略已知的攻擊。
在近日舉辦的微軟安全媒體采訪活動上,微軟全渠道事業(yè)部首席技術(shù)官(CTO)徐明強(qiáng)博士對此進(jìn)行了詳細(xì)介紹。徐明強(qiáng)博士表示,微軟有一個安全審核部門,成員分布在每一個產(chǎn)品部門中,當(dāng)產(chǎn)品有安全問題時,安全審核部門的成員有一票否決權(quán)。因此可以說,微軟的產(chǎn)品從設(shè)計階段就是安全的,即Security by Design。
到了移動時代,微軟服務(wù)的地理足跡遍布60多個地區(qū),微軟安全首先要做的是“勤商”,積極應(yīng)對每一次的安全法規(guī)更新。微軟還專門設(shè)立了網(wǎng)絡(luò)防御運(yùn)營中心,擁有多達(dá)8500名的全職安全專業(yè)人員為平臺、工具、服務(wù)及終端設(shè)備提供不間斷的安全保護(hù)。微軟智能云每天處理和分析超過 24 萬億的安全信號數(shù)據(jù),每年在網(wǎng)絡(luò)安全投資 10 億美元,且在未來5年投資還將超過 200 億美元。在合規(guī)認(rèn)證數(shù)量方面,微軟智能云在全球擁有100多項合規(guī)認(rèn)證,具備完善的合規(guī)認(rèn)證體系。在中國,由世紀(jì)互聯(lián)運(yùn)營的 Microsoft Azure 也獲得了諸多本地合規(guī)認(rèn)證,連續(xù)多年通過 ISO/IEC 20000、ISO/IEC 27001、ISO/IEC 27018 系列認(rèn)證,連續(xù)多年通過信息系統(tǒng)安全等級保護(hù)三級評測,全面覆蓋 IaaS、PaaS、SaaS云服務(wù)。
從2018年開始,“零信任”安全架構(gòu)逐漸成為網(wǎng)絡(luò)安全的主流框架,微軟也關(guān)注到端到端集成防護(hù)對安全的價值,并開始構(gòu)建全方位立體的微軟安全戰(zhàn)略架構(gòu)。
徐明強(qiáng)博士將這個階段的安防部署比喻為“家庭防盜系統(tǒng)”:首先要建立外圍和室內(nèi)房門隔離,即虛擬網(wǎng)絡(luò)、VPN 網(wǎng)關(guān)、網(wǎng)絡(luò)安全組、HubSpoke 架構(gòu)。然后關(guān)閉窗戶、只保留大門通道,即Azure Bastion。此外,還要加強(qiáng)大門防御,即WAF、Firewall、DDoS,將貴重物品放入室內(nèi),即Private Link,再放入保險箱,即Key Vault。之后建立智能安保監(jiān)控,即Defender for Cloud+ Sentinel,和片警建立日常聯(lián)系和巡邏,即Azure Monitor+ Backup,并加強(qiáng)主人身份、客人身份識別和保護(hù),即Azure AD Premium。
微軟本著“對威脅的防護(hù)、對身份的防護(hù)、對信息的保護(hù)”三個原則,整合了超過 40 種云安全服務(wù),涵蓋身份和訪問管理、威脅保護(hù)、統(tǒng)一終端管理、信息保護(hù)、云安全管理五大部分,鑄成了微軟的“安全盾牌”。在 Garter 魔力象限五項評選——訪問管理、云訪問安全代理、企業(yè)信息歸檔、終端防護(hù)平臺、統(tǒng)一終端管理工具中,微軟的安全產(chǎn)品均處于領(lǐng)導(dǎo)者象限。
全方位、立體式的安全防護(hù)
云計算時代,微軟構(gòu)筑了全方位的、立體的、端到端的安全戰(zhàn)略架構(gòu)?!叭轿弧敝傅牟粌H是客戶端、企業(yè)私有云端,還包括公有云端,IoT,Windows客戶端,Mac客戶端,各種SaaS服務(wù)中信息訪問、身份訪問,以及安全運(yùn)營中心?!傲Ⅲw”是指通過安全中心和機(jī)器學(xué)習(xí)等技術(shù),將各種各樣的數(shù)據(jù)集成在一起,通過安全通信對數(shù)據(jù)進(jìn)行立體的防護(hù)。
值得注意的是,微軟正在穩(wěn)步進(jìn)入零散的安全技術(shù)市場,許多核心安全產(chǎn)品(如 Windows Defender)是嵌入或者緊密集成在核心應(yīng)用套件當(dāng)中的,因此客戶購買微軟的安全功能非常方便。微軟也正在將“原生安全性”的概念擴(kuò)展到云端,云計算和 AI/機(jī)器學(xué)習(xí)技術(shù)的長期發(fā)展,將推動微軟成為更加先進(jìn)的安全技術(shù)供應(yīng)商。