從桌面計(jì)算到移動(dòng)互聯(lián)網(wǎng)，再到物聯(lián)網(wǎng)、云、AI的時(shí)代，安全風(fēng)險(xiǎn)成為擺在企業(yè)數(shù)字化轉(zhuǎn)型面前的攔路虎。去年末，Apache Java日志框架Log4j爆發(fā)了驚天漏洞——攻擊者可以利用此漏洞遠(yuǎn)程執(zhí)行代碼并獲得服務(wù)器的最高權(quán)限，受此影響的企業(yè)眾多。近年來(lái)，類(lèi)似的案例屢見(jiàn)不鮮，這意味著傳統(tǒng)的IT架構(gòu)已難以適應(yīng)伴隨技術(shù)演進(jìn)所帶來(lái)的新威脅，尤其是在后疫情時(shí)代，混合辦公的形態(tài)逐漸成為主流，打破了原有的安全邊界，使得企業(yè)也要具備相應(yīng)的“混合安全”能力。此時(shí)，現(xiàn)代化的安全戰(zhàn)略就成了企業(yè)的“必選項(xiàng)”。

根據(jù)Cybersecurity Insiders曾對(duì)413個(gè)行業(yè)CIO、ITC、CSO的調(diào)研結(jié)果顯示，企業(yè)所面臨的風(fēng)險(xiǎn)包括文件共享（文件被偷）、網(wǎng)頁(yè)應(yīng)用（網(wǎng)頁(yè)被攻擊）、視頻會(huì)議被入侵，最大的安全威脅來(lái)自惡意軟件、釣魚(yú)軟件以及未經(jīng)授權(quán)的訪問(wèn)。另?yè)?jù)DTEX Systems的報(bào)告顯示 ，近75%的企業(yè)擔(dān)心居家辦公的員工帶來(lái)的安全風(fēng)險(xiǎn)；70%的企業(yè)還沒(méi)有準(zhǔn)備好迎接遠(yuǎn)程辦公所帶來(lái)的安全問(wèn)題；員工使用工作筆記本電腦混合處理個(gè)人和公司業(yè)務(wù)，增加了通過(guò)移動(dòng)存儲(chǔ)設(shè)備下載的風(fēng)險(xiǎn)（25%），并且更容易受到家庭網(wǎng)絡(luò)釣魚(yú)的攻擊（15%），并且大多數(shù)遠(yuǎn)程辦公員工在公司網(wǎng)絡(luò)外運(yùn)營(yíng)，不再具有可見(jiàn)性（13%），安全在遠(yuǎn)程辦公場(chǎng)景中扮演的角色愈發(fā)重要。

從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)，到基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、互聯(lián)網(wǎng)、大數(shù)據(jù)中心、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)等，企業(yè)的應(yīng)用邊緣不斷拓寬，安全保護(hù)對(duì)象隨之增加，幾乎每一處都隱藏著安全風(fēng)險(xiǎn)。以微軟的數(shù)據(jù)庫(kù)管理軟件SQL Server為例，在微軟位于歐洲的數(shù)據(jù)中心，技術(shù)人員曾嘗試對(duì)外網(wǎng)打開(kāi)一個(gè)沒(méi)有數(shù)據(jù)、空白的Microsoft SQL Server端口進(jìn)行測(cè)試，僅僅一分鐘之內(nèi)，便出現(xiàn)了非常多的密碼攻擊。微軟全渠道事業(yè)部首席技術(shù)官（CTO）徐明強(qiáng)博士將這種現(xiàn)象形容為：仿佛一滴血掉進(jìn)了海洋里，僅是血腥味就能吸引無(wú)數(shù)的鯊魚(yú)。

要知道，2021年全球由勒索軟件造成的損失達(dá)到約200億美元，到2025年，網(wǎng)絡(luò)犯罪每年將造成全球10.5億美元的損失。早在2003年，微軟就開(kāi)始在操作系統(tǒng)產(chǎn)品和Windows Server 2003 上使用威脅模型（Treat Modeling），作為微軟安全開(kāi)發(fā)生命周期（SDL）的方法論，用于了解系統(tǒng)的安全威脅，明確威脅的風(fēng)險(xiǎn)，并建立適當(dāng)緩解措施。顧名思義，威脅模型是用來(lái)了解系統(tǒng)的安全威脅并對(duì)其進(jìn)行分類(lèi)和量化。同時(shí)，微軟還會(huì)構(gòu)建出信任邊界和授權(quán)。

為了更好地闡明安全威脅因素，微軟提出了“STRIDE安全威脅模型”，用來(lái)代表六種安全威脅，即身份假冒（Spoofing）、篡改（Tampering）、抵賴(lài)（Repudiation）、信息泄露（Information Disclosure）、拒絕服務(wù)（Denial of Service）和特權(quán)提升（Elevation of Privilege）。借助威脅模型，2003年后，微軟發(fā)布的每一個(gè)產(chǎn)品都要通過(guò)微軟安全審核部門(mén)的安全模型檢查。換句話說(shuō)，微軟的產(chǎn)品從設(shè)計(jì)之初就已將安全因素考慮進(jìn)去。

“微軟有一個(gè)安全審核部門(mén)，分到每個(gè)產(chǎn)品組里面都有一個(gè)代表，在這個(gè)產(chǎn)品部門(mén)有一票否決權(quán)利。當(dāng)其審核員工的文檔，如果認(rèn)為安全沒(méi)有過(guò)關(guān)，就會(huì)行使一票否決權(quán)，可以讓軟件推遲發(fā)布，直到把安全審核做好。自2003年起，之后每一個(gè)產(chǎn)品組的首要任務(wù)就是先把安全模型過(guò)關(guān)。”徐明強(qiáng)說(shuō)。

2010年，移動(dòng)及云計(jì)算時(shí)代來(lái)臨，也是微軟安全第二個(gè)發(fā)展階段的開(kāi)始。經(jīng)過(guò)多年發(fā)展，微軟智能云已經(jīng)擁有覆蓋全球超過(guò)34個(gè)市場(chǎng)的200余個(gè)實(shí)體數(shù)據(jù)中心，為全球超過(guò) 10 億客戶和兩千萬(wàn)家公司提供服務(wù)。在中國(guó)，由世紀(jì)互聯(lián)運(yùn)營(yíng)的微軟智能云Microsoft Azure是中國(guó)市場(chǎng)上第一個(gè)合法合規(guī)商業(yè)運(yùn)營(yíng)的國(guó)際公有云；由世紀(jì)互聯(lián)在中國(guó)運(yùn)營(yíng)的第五個(gè)微軟智能云Azure數(shù)據(jù)中心區(qū)域也已于近日正式啟用。

與此同時(shí)，微軟也在云安全領(lǐng)域持續(xù)深耕，專(zhuān)門(mén)設(shè)立了網(wǎng)絡(luò)防御運(yùn)營(yíng)中心，由8500名全職安全專(zhuān)業(yè)人員為服務(wù)全球的平臺(tái)、工具、服務(wù)及終端設(shè)備提供不間斷的安全保護(hù)；微軟智能云每天處理和分析超過(guò)24萬(wàn)億的安全信號(hào)數(shù)據(jù)；每年在網(wǎng)絡(luò)安全投資10億美元，未來(lái)5年投資還將超過(guò)200億美元；微軟還于去年收購(gòu)了云基礎(chǔ)設(shè)施權(quán)限管理（CIEM）的領(lǐng)導(dǎo)廠商CloudKnox Security，用以提升幫助客戶管理多云環(huán)境中的權(quán)限，加強(qiáng)零信任安全態(tài)勢(shì)方面的能力。

從合規(guī)認(rèn)證的數(shù)據(jù)來(lái)看，微軟智能云在全球擁有100多項(xiàng)合規(guī)認(rèn)證，具備完善的合規(guī)認(rèn)證體系，提供可信賴(lài)的“安全感”。在中國(guó)，由世紀(jì)互聯(lián)運(yùn)營(yíng)的Microsoft Azure也獲得了諸多本地合規(guī)認(rèn)證，連續(xù)多年通過(guò)ISO/IEC 20000、ISO/IEC 27001、ISO/IEC 27018系列認(rèn)證；連續(xù)多年以優(yōu)異成績(jī)通過(guò)信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)評(píng)測(cè)，全面覆蓋IaaS、PaaS、SaaS云服務(wù)。

廣泛而深入的安全策略也讓微軟收獲了一系列佳績(jī)：2021年，微軟安全業(yè)務(wù)收入超過(guò)150億美元，增長(zhǎng)超過(guò)45%；企業(yè)移動(dòng)和安全套件（EMS）用戶數(shù)增長(zhǎng)28%，超過(guò)2.09億；微軟云原生SIEM平臺(tái)Microsoft Sentinel現(xiàn)有超過(guò)15000家客戶；合規(guī)業(yè)務(wù)方面，微軟的客戶基數(shù)同比增長(zhǎng)90%；管理服務(wù)方面，微軟Intune管理的設(shè)備數(shù)量實(shí)現(xiàn)三位數(shù)增長(zhǎng)……

第三個(gè)發(fā)展階段始于2018年，隨著“零信任”安全架構(gòu)成為網(wǎng)絡(luò)安全的主流框架，微軟也關(guān)注到端到端集成防護(hù)對(duì)安全的價(jià)值，并開(kāi)始構(gòu)建全方位立體的微軟安全戰(zhàn)略架構(gòu)。這個(gè)階段的安防部署特點(diǎn)，可比喻為現(xiàn)實(shí)中的“家庭防盜系統(tǒng)”。首先，“門(mén)窗”外圍要堅(jiān)固，建立外圍和室內(nèi)房門(mén)隔離（虛擬網(wǎng)絡(luò)、VPN網(wǎng)關(guān)、網(wǎng)絡(luò)安全組、HubSpoke架構(gòu)），關(guān)閉窗戶、只保留大門(mén)通道（Azure Bastion）。但這些遠(yuǎn)遠(yuǎn)不夠，還要加強(qiáng)大門(mén)防御（WAF、Firewall、DDoS），將貴重物品放入室內(nèi)（Private Link），再放入保險(xiǎn)箱（Key Vault），建立智能安保監(jiān)控（Defender for Cloud+ Sentinel），和片警建立日常聯(lián)系和巡邏（Azure Monitor+ Backup），并加強(qiáng)主人身份、客人身份識(shí)別和保護(hù)（Azure AD Premium）。

針對(duì)上述特點(diǎn)，微軟安全產(chǎn)品整合了超過(guò)40種云安全服務(wù)，涵蓋身份和訪問(wèn)管理、威脅保護(hù)、統(tǒng)一終端管理、信息保護(hù)、云安全管理五大部分，鑄成了微軟的“安全盾牌”，抵御日益復(fù)雜威脅與攻擊，予力用戶構(gòu)建更為安全易用的業(yè)務(wù)環(huán)境。在Garter魔力象限五項(xiàng)評(píng)選——訪問(wèn)管理、云訪問(wèn)安全代理、企業(yè)信息歸檔、終端防護(hù)平臺(tái)、統(tǒng)一終端管理工具中，微軟的安全產(chǎn)品均處于領(lǐng)導(dǎo)者象限。

徐明強(qiáng)認(rèn)為，混合的業(yè)務(wù)環(huán)境加大了防御的成本，原有的安全邊界早已被打破，同時(shí)，企業(yè)在使用新的安全工具時(shí)往往會(huì)遇到隱性成本，“比如說(shuō)，每次使用安全設(shè)備時(shí)，防火墻里面會(huì)產(chǎn)生很多的告警，但是真正使用起來(lái)會(huì)發(fā)現(xiàn)，告警信號(hào)往往是超載的，太多的信號(hào)幾乎是雜音，要想在很多雜音中找到真正的信號(hào)，就像是在稻草叢里面找一根針一樣難，并且缺乏可見(jiàn)性和洞察。”

因此，圍繞云、邊緣、客戶端、SaaS服務(wù)等構(gòu)建的全方位防護(hù)就變得更加重要。徐明強(qiáng)稱(chēng)：“微軟在客戶端、移動(dòng)端、IoT端都會(huì)有agent，統(tǒng)一的預(yù)警和日志信息都被集中在微軟的Sentinel工具中。”Sentinel支持威脅管理、CyberOps Service、 Defender for Cloud Apps等功能，可以滿足對(duì)身份、IoT、Office 365及其他SaaS服務(wù)的防護(hù)，以及安全合規(guī)要求。此外，還會(huì)有微軟提供的AI/ML、技術(shù)專(zhuān)家等資源，幫助幫助企業(yè)的安全中心實(shí)現(xiàn)高效運(yùn)營(yíng)。

“在混合云的環(huán)境中，可以說(shuō)是一個(gè)非常多維度的責(zé)任共擔(dān)的模型，責(zé)任共擔(dān)在哪些方面呢？首先參與方會(huì)有云的運(yùn)營(yíng)商、服務(wù)提供商，還有企業(yè)的應(yīng)用供應(yīng)商，可能還包括微軟的合作伙伴。同時(shí)，員工的安全意識(shí)也要提高。本地運(yùn)行中，機(jī)器很多都是客戶自己去保護(hù)的，這時(shí)候，微軟會(huì)有很多安全合作伙伴可以幫助客戶分析本地和云上遇到的挑戰(zhàn)。”徐明強(qiáng)談到，“對(duì)于IaaS、物理機(jī)、物理網(wǎng)絡(luò)、物理數(shù)據(jù)中心的安全，我們的防護(hù)都是非常堅(jiān)固的。到了PaaS、SaaS層面，越來(lái)越多的保護(hù)是面向云廠商，我們的建議是做數(shù)據(jù)治理和權(quán)限維護(hù)，由客戶來(lái)負(fù)責(zé)客戶端的端點(diǎn)管理和賬號(hào)防控管理。當(dāng)然，微軟也有很多咨詢類(lèi)的伙伴可以幫助客戶。”

微軟與合作伙伴聯(lián)手打造了Cyber Accelerator Program項(xiàng)目，可以根據(jù)客戶要求，量身定制安全主題Workshop，提供上云遷移課程，以及各個(gè)端點(diǎn)（如PC端、移動(dòng)端、客戶端）安全防護(hù)、云原生SOC建設(shè)、多云安全防護(hù)、數(shù)據(jù)防泄露、敏感數(shù)據(jù)治理、內(nèi)部風(fēng)險(xiǎn)管理、統(tǒng)一綜合管理、防釣魚(yú)病毒、防勒索等課程。此外，微軟按照不同安全合作伙伴類(lèi)型，也分了安全托管MSP類(lèi)、咨詢類(lèi)等伙伴，針對(duì)不同行業(yè)的屬性，提供了多樣的服務(wù)，例如面向汽車(chē)行業(yè)的數(shù)據(jù)防泄露、面向醫(yī)療行業(yè)的隱私計(jì)算等。

如今，微軟運(yùn)營(yíng)著龐大的安全情報(bào)網(wǎng)絡(luò)，每天處理達(dá)24萬(wàn)億的安全分析情報(bào)和信號(hào)，這些信號(hào)均自于微軟的產(chǎn)品，包括Windows、Outlook、Microsoft 365、必應(yīng)等。以必應(yīng)搜索引擎為例，每月掃描頁(yè)面數(shù)量達(dá)180億，微軟可針對(duì)這些網(wǎng)頁(yè)搜索內(nèi)容進(jìn)行分析，使人們對(duì)黑客在攻擊和釣魚(yú)行動(dòng)中使用網(wǎng)絡(luò)腳本技術(shù)的情況有了深入的認(rèn)識(shí)，從而提供有效的、有針對(duì)性的安全保障。借助龐大而實(shí)時(shí)更新的情報(bào)網(wǎng)絡(luò)，微軟能夠在很多漏洞未發(fā)生之前，通過(guò)數(shù)字化情報(bào)實(shí)現(xiàn)預(yù)警。

當(dāng)然，考慮到安全風(fēng)險(xiǎn)與日俱增，越來(lái)越多的企業(yè)引入了零信任的概念。微軟認(rèn)為，零信任策略需要在所有基礎(chǔ)要素上實(shí)施管控，例如:身份、設(shè)備、應(yīng)用、數(shù)據(jù)、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)。具體措施包括：當(dāng)任何身份試圖訪問(wèn)任何資源時(shí)，安全防護(hù)機(jī)制應(yīng)通過(guò)強(qiáng)身份驗(yàn)證來(lái)驗(yàn)證身份，確保訪問(wèn)請(qǐng)求符合典型的身份行為，并確認(rèn)該身份遵循最小權(quán)限訪問(wèn)原則；將多因素認(rèn)證或持續(xù)認(rèn)證納入身份管理策略；納入無(wú)密碼認(rèn)證無(wú)密碼認(rèn)證用兩個(gè)或兩個(gè)以上的驗(yàn)證因素取代傳統(tǒng)密碼，并以一對(duì)加密密鑰來(lái)保證安全性；提升網(wǎng)絡(luò)可見(jiàn)性，防止惡意攻擊者在網(wǎng)絡(luò)中橫向移動(dòng)；為訪問(wèn)企業(yè)數(shù)據(jù)的各類(lèi)終端采用相同的安全策略；通過(guò)對(duì)應(yīng)用的管控發(fā)現(xiàn)影子IT，確保適當(dāng)?shù)膽?yīng)用內(nèi)的權(quán)限，根據(jù)實(shí)時(shí)分析結(jié)果對(duì)訪問(wèn)來(lái)進(jìn)行把關(guān)，監(jiān)控異常行為，限制用戶的非常規(guī)操作，并驗(yàn)證安全配置選項(xiàng)；有選擇的將員工在企業(yè)數(shù)字資產(chǎn)中需要進(jìn)行的操作進(jìn)行角色化定義，并與策略聯(lián)系起來(lái)，作為授權(quán)、單點(diǎn)登錄、 無(wú)密碼訪問(wèn)的一部分。

事實(shí)上，已有很多信息安全官認(rèn)為，制定施行零信任策略的整體戰(zhàn)略至關(guān)重要，在整個(gè)企業(yè)中大面積推廣零信任之前，應(yīng)該從小處著手，建立信心。這通常意味著需要采取分階段的方法，根據(jù)企業(yè)“零信任”的成熟度、可用資源和優(yōu)先級(jí)，針對(duì)特定領(lǐng)域來(lái)進(jìn)行。例如，可以從云中的新項(xiàng)目開(kāi)始，或在開(kāi)發(fā)人員和測(cè)試環(huán)中進(jìn)行前期試驗(yàn)。一旦建立了信心，微軟就建議將零信任策略覆蓋到整個(gè)企業(yè)數(shù)字財(cái)產(chǎn)，同時(shí)將其作為一種集成的安全理念和端到端的戰(zhàn)略推進(jìn)。

據(jù)統(tǒng)計(jì)，目前有90%的“財(cái)富100強(qiáng)”企業(yè)使用超過(guò)四項(xiàng)微軟安全、合規(guī)、身份以及管理方面的安全服務(wù)；微軟云應(yīng)用安全服務(wù)（MCAS）保護(hù)全球超過(guò)1億用戶、微軟智能云每天處理和分析超過(guò)24萬(wàn)億的安全信號(hào)數(shù)據(jù)、微軟合規(guī)工具每月對(duì)超過(guò)50億份文檔進(jìn)行分類(lèi)分級(jí)、Azure AD每天處理超過(guò)300億個(gè)身份認(rèn)證……微軟打造的多重防護(hù)產(chǎn)品，正在幫助越來(lái)越多不同行業(yè)的客戶在安全的前提下，實(shí)現(xiàn)業(yè)務(wù)的可持續(xù)發(fā)展。“微軟的使命是予力全球每一人、每一組織，成就不凡。無(wú)論用戶是否使用了我們的軟件，他們的信息資產(chǎn)的安全，始終是我們的責(zé)任。”徐明強(qiáng)說(shuō)。

Intel 酷睿 i7 12700K

領(lǐng)券滿149減15

[經(jīng)銷(xiāo)商]京東商城

[產(chǎn)品售價(jià)]3159元

進(jìn)入購(gòu)買(mǎi)

TP-LINK AX3000滿血WiFi6千兆無(wú)線路由器 5G雙頻游戲路由 Mesh 3000M無(wú)線速率 支持雙寬帶接入 XDR3010易展版

[經(jīng)銷(xiāo)商]京東商城

[產(chǎn)品售價(jià)]299元

進(jìn)入購(gòu)買(mǎi)

西部數(shù)據(jù)（Western Digital）8TB HC320 SATA6Gb/s 7200轉(zhuǎn)256M 企業(yè)級(jí)硬盤(pán)(HUS728T8TALE6L4)

[經(jīng)銷(xiāo)商]京東商城

[產(chǎn)品售價(jià)]1359元

進(jìn)入購(gòu)買(mǎi)

關(guān)鍵詞： 微軟安全