從桌面計(jì)算到移動(dòng)互聯(lián)網(wǎng)，再到物聯(lián)網(wǎng)、云、AI的時(shí)代，安全風(fēng)險(xiǎn)成為擺在企業(yè)數(shù)字化轉(zhuǎn)型面前的攔路虎。去年末，Apache Java日志框架Log4j爆發(fā)了驚天漏洞——攻擊者可以利用此漏洞遠(yuǎn)程執(zhí)行代碼并獲得服務(wù)器的最高權(quán)限，受此影響的企業(yè)眾多。近年來，類似的案例屢見不鮮，這意味著傳統(tǒng)的IT架構(gòu)已難以適應(yīng)伴隨技術(shù)演進(jìn)所帶來的新威脅，尤其是在后疫情時(shí)代，混合辦公的形態(tài)逐漸成為主流，打破了原有的安全邊界，使得企業(yè)也要具備相應(yīng)的“混合安全”能力。此時(shí)，現(xiàn)代化的安全戰(zhàn)略就成了企業(yè)的“必選項(xiàng)”。

根據(jù)Cybersecurity Insiders曾對(duì)413個(gè)行業(yè)CIO、ITC、CSO的調(diào)研結(jié)果顯示，企業(yè)所面臨的風(fēng)險(xiǎn)包括文件共享（文件被偷）、網(wǎng)頁應(yīng)用（網(wǎng)頁被攻擊）、視頻會(huì)議被入侵，最大的安全威脅來自惡意軟件、釣魚軟件以及未經(jīng)授權(quán)的訪問。另據(jù)DTEX Systems的報(bào)告顯示 ，近75%的企業(yè)擔(dān)心居家辦公的員工帶來的安全風(fēng)險(xiǎn)；70%的企業(yè)還沒有準(zhǔn)備好迎接遠(yuǎn)程辦公所帶來的安全問題；員工使用工作筆記本電腦混合處理個(gè)人和公司業(yè)務(wù)，增加了通過移動(dòng)存儲(chǔ)設(shè)備下載的風(fēng)險(xiǎn)（25%），并且更容易受到家庭網(wǎng)絡(luò)釣魚的攻擊（15%），并且大多數(shù)遠(yuǎn)程辦公員工在公司網(wǎng)絡(luò)外運(yùn)營，不再具有可見性（13%），安全在遠(yuǎn)程辦公場景中扮演的角色愈發(fā)重要。

從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)，到基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、互聯(lián)網(wǎng)、大數(shù)據(jù)中心、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)等，企業(yè)的應(yīng)用邊緣不斷拓寬，安全保護(hù)對(duì)象隨之增加，幾乎每一處都隱藏著安全風(fēng)險(xiǎn)。以微軟的數(shù)據(jù)庫管理軟件SQL Server為例，在微軟位于歐洲的數(shù)據(jù)中心，技術(shù)人員曾嘗試對(duì)外網(wǎng)打開一個(gè)沒有數(shù)據(jù)、空白的Microsoft SQL Server端口進(jìn)行測試，僅僅一分鐘之內(nèi)，便出現(xiàn)了非常多的密碼攻擊。微軟全渠道事業(yè)部首席技術(shù)官（CTO）徐明強(qiáng)博士將這種現(xiàn)象形容為：仿佛一滴血掉進(jìn)了海洋里，僅是血腥味就能吸引無數(shù)的鯊魚。

要知道，2021年全球由勒索軟件造成的損失達(dá)到約200億美元，到2025年，網(wǎng)絡(luò)犯罪每年將造成全球10.5億美元的損失。早在2003年，微軟就開始在操作系統(tǒng)產(chǎn)品和Windows Server 2003 上使用威脅模型（Treat Modeling），作為微軟安全開發(fā)生命周期（SDL）的方法論，用于了解系統(tǒng)的安全威脅，明確威脅的風(fēng)險(xiǎn)，并建立適當(dāng)緩解措施。顧名思義，威脅模型是用來了解系統(tǒng)的安全威脅并對(duì)其進(jìn)行分類和量化。同時(shí)，微軟還會(huì)構(gòu)建出信任邊界和授權(quán)。

為了更好地闡明安全威脅因素，微軟提出了“STRIDE安全威脅模型”，用來代表六種安全威脅，即身份假冒（Spoofing）、篡改（Tampering）、抵賴（Repudiation）、信息泄露（Information Disclosure）、拒絕服務(wù)（Denial of Service）和特權(quán)提升（Elevation of Privilege）。借助威脅模型，2003年后，微軟發(fā)布的每一個(gè)產(chǎn)品都要通過微軟安全審核部門的安全模型檢查。換句話說，微軟的產(chǎn)品從設(shè)計(jì)之初就已將安全因素考慮進(jìn)去。

“微軟有一個(gè)安全審核部門，分到每個(gè)產(chǎn)品組里面都有一個(gè)代表，在這個(gè)產(chǎn)品部門有一票否決權(quán)利。當(dāng)其審核員工的文檔，如果認(rèn)為安全沒有過關(guān)，就會(huì)行使一票否決權(quán)，可以讓軟件推遲發(fā)布，直到把安全審核做好。自2003年起，之后每一個(gè)產(chǎn)品組的首要任務(wù)就是先把安全模型過關(guān)。”徐明強(qiáng)說。

2010年，移動(dòng)及云計(jì)算時(shí)代來臨，也是微軟安全第二個(gè)發(fā)展階段的開始。經(jīng)過多年發(fā)展，微軟智能云已經(jīng)擁有覆蓋全球超過34個(gè)市場的200余個(gè)實(shí)體數(shù)據(jù)中心，為全球超過 10 億客戶和兩千萬家公司提供服務(wù)。在中國，由世紀(jì)互聯(lián)運(yùn)營的微軟智能云Microsoft Azure是中國市場上第一個(gè)合法合規(guī)商業(yè)運(yùn)營的國際公有云；由世紀(jì)互聯(lián)在中國運(yùn)營的第五個(gè)微軟智能云Azure數(shù)據(jù)中心區(qū)域也已于近日正式啟用。

與此同時(shí)，微軟也在云安全領(lǐng)域持續(xù)深耕，專門設(shè)立了網(wǎng)絡(luò)防御運(yùn)營中心，由8500名全職安全專業(yè)人員為服務(wù)全球的平臺(tái)、工具、服務(wù)及終端設(shè)備提供不間斷的安全保護(hù)；微軟智能云每天處理和分析超過24萬億的安全信號(hào)數(shù)據(jù)；每年在網(wǎng)絡(luò)安全投資10億美元，未來5年投資還將超過200億美元；微軟還于去年收購了云基礎(chǔ)設(shè)施權(quán)限管理（CIEM）的領(lǐng)導(dǎo)廠商CloudKnox Security，用以提升幫助客戶管理多云環(huán)境中的權(quán)限，加強(qiáng)零信任安全態(tài)勢方面的能力。

從合規(guī)認(rèn)證的數(shù)據(jù)來看，微軟智能云在全球擁有100多項(xiàng)合規(guī)認(rèn)證，具備完善的合規(guī)認(rèn)證體系，提供可信賴的“安全感”。在中國，由世紀(jì)互聯(lián)運(yùn)營的Microsoft Azure也獲得了諸多本地合規(guī)認(rèn)證，連續(xù)多年通過ISO/IEC 20000、ISO/IEC 27001、ISO/IEC 27018系列認(rèn)證；連續(xù)多年以優(yōu)異成績通過信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)評(píng)測，全面覆蓋IaaS、PaaS、SaaS云服務(wù)。

廣泛而深入的安全策略也讓微軟收獲了一系列佳績：2021年，微軟安全業(yè)務(wù)收入超過150億美元，增長超過45%；企業(yè)移動(dòng)和安全套件（EMS）用戶數(shù)增長28%，超過2.09億；微軟云原生SIEM平臺(tái)Microsoft Sentinel現(xiàn)有超過15000家客戶；合規(guī)業(yè)務(wù)方面，微軟的客戶基數(shù)同比增長90%；管理服務(wù)方面，微軟Intune管理的設(shè)備數(shù)量實(shí)現(xiàn)三位數(shù)增長……

第三個(gè)發(fā)展階段始于2018年，隨著“零信任”安全架構(gòu)成為網(wǎng)絡(luò)安全的主流框架，微軟也關(guān)注到端到端集成防護(hù)對(duì)安全的價(jià)值，并開始構(gòu)建全方位立體的微軟安全戰(zhàn)略架構(gòu)。這個(gè)階段的安防部署特點(diǎn)，可比喻為現(xiàn)實(shí)中的“家庭防盜系統(tǒng)”。首先，“門窗”外圍要堅(jiān)固，建立外圍和室內(nèi)房門隔離（虛擬網(wǎng)絡(luò)、VPN網(wǎng)關(guān)、網(wǎng)絡(luò)安全組、HubSpoke架構(gòu)），關(guān)閉窗戶、只保留大門通道（Azure Bastion）。但這些遠(yuǎn)遠(yuǎn)不夠，還要加強(qiáng)大門防御（WAF、Firewall、DDoS），將貴重物品放入室內(nèi)（Private Link），再放入保險(xiǎn)箱（Key Vault），建立智能安保監(jiān)控（Defender for Cloud+ Sentinel），和片警建立日常聯(lián)系和巡邏（Azure Monitor+ Backup），并加強(qiáng)主人身份、客人身份識(shí)別和保護(hù)（Azure AD Premium）。

針對(duì)上述特點(diǎn)，微軟安全產(chǎn)品整合了超過40種云安全服務(wù)，涵蓋身份和訪問管理、威脅保護(hù)、統(tǒng)一終端管理、信息保護(hù)、云安全管理五大部分，鑄成了微軟的“安全盾牌”，抵御日益復(fù)雜威脅與攻擊，予力用戶構(gòu)建更為安全易用的業(yè)務(wù)環(huán)境。在Garter魔力象限五項(xiàng)評(píng)選——訪問管理、云訪問安全代理、企業(yè)信息歸檔、終端防護(hù)平臺(tái)、統(tǒng)一終端管理工具中，微軟的安全產(chǎn)品均處于領(lǐng)導(dǎo)者象限。

徐明強(qiáng)認(rèn)為，混合的業(yè)務(wù)環(huán)境加大了防御的成本，原有的安全邊界早已被打破，同時(shí)，企業(yè)在使用新的安全工具時(shí)往往會(huì)遇到隱性成本，“比如說，每次使用安全設(shè)備時(shí)，防火墻里面會(huì)產(chǎn)生很多的告警，但是真正使用起來會(huì)發(fā)現(xiàn)，告警信號(hào)往往是超載的，太多的信號(hào)幾乎是雜音，要想在很多雜音中找到真正的信號(hào)，就像是在稻草叢里面找一根針一樣難，并且缺乏可見性和洞察?！?/p>

因此，圍繞云、邊緣、客戶端、SaaS服務(wù)等構(gòu)建的全方位防護(hù)就變得更加重要。徐明強(qiáng)稱：“微軟在客戶端、移動(dòng)端、IoT端都會(huì)有agent，統(tǒng)一的預(yù)警和日志信息都被集中在微軟的Sentinel工具中。”Sentinel支持威脅管理、CyberOps Service、 Defender for Cloud Apps等功能，可以滿足對(duì)身份、IoT、Office 365及其他SaaS服務(wù)的防護(hù)，以及安全合規(guī)要求。此外，還會(huì)有微軟提供的AI/ML、技術(shù)專家等資源，幫助幫助企業(yè)的安全中心實(shí)現(xiàn)高效運(yùn)營。

“在混合云的環(huán)境中，可以說是一個(gè)非常多維度的責(zé)任共擔(dān)的模型，責(zé)任共擔(dān)在哪些方面呢？首先參與方會(huì)有云的運(yùn)營商、服務(wù)提供商，還有企業(yè)的應(yīng)用供應(yīng)商，可能還包括微軟的合作伙伴。同時(shí)，員工的安全意識(shí)也要提高。本地運(yùn)行中，機(jī)器很多都是客戶自己去保護(hù)的，這時(shí)候，微軟會(huì)有很多安全合作伙伴可以幫助客戶分析本地和云上遇到的挑戰(zhàn)?！毙烀鲝?qiáng)談到，“對(duì)于IaaS、物理機(jī)、物理網(wǎng)絡(luò)、物理數(shù)據(jù)中心的安全，我們的防護(hù)都是非常堅(jiān)固的。到了PaaS、SaaS層面，越來越多的保護(hù)是面向云廠商，我們的建議是做數(shù)據(jù)治理和權(quán)限維護(hù)，由客戶來負(fù)責(zé)客戶端的端點(diǎn)管理和賬號(hào)防控管理。當(dāng)然，微軟也有很多咨詢類的伙伴可以幫助客戶?！?/p>

微軟與合作伙伴聯(lián)手打造了Cyber Accelerator Program項(xiàng)目，可以根據(jù)客戶要求，量身定制安全主題Workshop，提供上云遷移課程，以及各個(gè)端點(diǎn)（如PC端、移動(dòng)端、客戶端）安全防護(hù)、云原生SOC建設(shè)、多云安全防護(hù)、數(shù)據(jù)防泄露、敏感數(shù)據(jù)治理、內(nèi)部風(fēng)險(xiǎn)管理、統(tǒng)一綜合管理、防釣魚病毒、防勒索等課程。此外，微軟按照不同安全合作伙伴類型，也分了安全托管MSP類、咨詢類等伙伴，針對(duì)不同行業(yè)的屬性，提供了多樣的服務(wù)，例如面向汽車行業(yè)的數(shù)據(jù)防泄露、面向醫(yī)療行業(yè)的隱私計(jì)算等。

如今，微軟運(yùn)營著龐大的安全情報(bào)網(wǎng)絡(luò)，每天處理達(dá)24萬億的安全分析情報(bào)和信號(hào)，這些信號(hào)均自于微軟的產(chǎn)品，包括Windows、Outlook、Microsoft 365、必應(yīng)等。以必應(yīng)搜索引擎為例，每月掃描頁面數(shù)量達(dá)180億，微軟可針對(duì)這些網(wǎng)頁搜索內(nèi)容進(jìn)行分析，使人們對(duì)黑客在攻擊和釣魚行動(dòng)中使用網(wǎng)絡(luò)腳本技術(shù)的情況有了深入的認(rèn)識(shí)，從而提供有效的、有針對(duì)性的安全保障。借助龐大而實(shí)時(shí)更新的情報(bào)網(wǎng)絡(luò)，微軟能夠在很多漏洞未發(fā)生之前，通過數(shù)字化情報(bào)實(shí)現(xiàn)預(yù)警。

當(dāng)然，考慮到安全風(fēng)險(xiǎn)與日俱增，越來越多的企業(yè)引入了零信任的概念。微軟認(rèn)為，零信任策略需要在所有基礎(chǔ)要素上實(shí)施管控，例如:身份、設(shè)備、應(yīng)用、數(shù)據(jù)、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)。具體措施包括：當(dāng)任何身份試圖訪問任何資源時(shí)，安全防護(hù)機(jī)制應(yīng)通過強(qiáng)身份驗(yàn)證來驗(yàn)證身份，確保訪問請求符合典型的身份行為，并確認(rèn)該身份遵循最小權(quán)限訪問原則；將多因素認(rèn)證或持續(xù)認(rèn)證納入身份管理策略；納入無密碼認(rèn)證無密碼認(rèn)證用兩個(gè)或兩個(gè)以上的驗(yàn)證因素取代傳統(tǒng)密碼，并以一對(duì)加密密鑰來保證安全性；提升網(wǎng)絡(luò)可見性，防止惡意攻擊者在網(wǎng)絡(luò)中橫向移動(dòng)；為訪問企業(yè)數(shù)據(jù)的各類終端采用相同的安全策略；通過對(duì)應(yīng)用的管控發(fā)現(xiàn)影子IT，確保適當(dāng)?shù)膽?yīng)用內(nèi)的權(quán)限，根據(jù)實(shí)時(shí)分析結(jié)果對(duì)訪問來進(jìn)行把關(guān)，監(jiān)控異常行為，限制用戶的非常規(guī)操作，并驗(yàn)證安全配置選項(xiàng)；有選擇的將員工在企業(yè)數(shù)字資產(chǎn)中需要進(jìn)行的操作進(jìn)行角色化定義，并與策略聯(lián)系起來，作為授權(quán)、單點(diǎn)登錄、 無密碼訪問的一部分。

事實(shí)上，已有很多信息安全官認(rèn)為，制定施行零信任策略的整體戰(zhàn)略至關(guān)重要，在整個(gè)企業(yè)中大面積推廣零信任之前，應(yīng)該從小處著手，建立信心。這通常意味著需要采取分階段的方法，根據(jù)企業(yè)“零信任”的成熟度、可用資源和優(yōu)先級(jí)，針對(duì)特定領(lǐng)域來進(jìn)行。例如，可以從云中的新項(xiàng)目開始，或在開發(fā)人員和測試環(huán)中進(jìn)行前期試驗(yàn)。一旦建立了信心，微軟就建議將零信任策略覆蓋到整個(gè)企業(yè)數(shù)字財(cái)產(chǎn)，同時(shí)將其作為一種集成的安全理念和端到端的戰(zhàn)略推進(jìn)。

據(jù)統(tǒng)計(jì)，目前有90%的“財(cái)富100強(qiáng)”企業(yè)使用超過四項(xiàng)微軟安全、合規(guī)、身份以及管理方面的安全服務(wù)；微軟云應(yīng)用安全服務(wù)（MCAS）保護(hù)全球超過1億用戶、微軟智能云每天處理和分析超過24萬億的安全信號(hào)數(shù)據(jù)、微軟合規(guī)工具每月對(duì)超過50億份文檔進(jìn)行分類分級(jí)、Azure AD每天處理超過300億個(gè)身份認(rèn)證……微軟打造的多重防護(hù)產(chǎn)品，正在幫助越來越多不同行業(yè)的客戶在安全的前提下，實(shí)現(xiàn)業(yè)務(wù)的可持續(xù)發(fā)展?！拔④浀氖姑怯枇θ蛎恳蝗?、每一組織，成就不凡。無論用戶是否使用了我們的軟件，他們的信息資產(chǎn)的安全，始終是我們的責(zé)任。”徐明強(qiáng)說。

Intel 酷睿 i7 12700K

領(lǐng)券滿149減15

[經(jīng)銷商]京東商城

[產(chǎn)品售價(jià)]3159元

進(jìn)入購買

TP-LINK AX3000滿血WiFi6千兆無線路由器 5G雙頻游戲路由 Mesh 3000M無線速率 支持雙寬帶接入 XDR3010易展版

[經(jīng)銷商]京東商城

[產(chǎn)品售價(jià)]299元

進(jìn)入購買

西部數(shù)據(jù)（Western Digital）8TB HC320 SATA6Gb/s 7200轉(zhuǎn)256M 企業(yè)級(jí)硬盤(HUS728T8TALE6L4)

[經(jīng)銷商]京東商城

[產(chǎn)品售價(jià)]1359元

進(jìn)入購買

關(guān)鍵詞： 微軟安全