從桌面計算到移動互聯(lián)網(wǎng)，再到物聯(lián)網(wǎng)、云、AI的時代，安全風險成為擺在企業(yè)數(shù)字化轉型面前的攔路虎。去年末，Apache Java日志框架Log4j爆發(fā)了驚天漏洞——攻擊者可以利用此漏洞遠程執(zhí)行代碼并獲得服務器的最高權限，受此影響的企業(yè)眾多。近年來，類似的案例屢見不鮮，這意味著傳統(tǒng)的IT架構已難以適應伴隨技術演進所帶來的新威脅，尤其是在后疫情時代，混合辦公的形態(tài)逐漸成為主流，打破了原有的安全邊界，使得企業(yè)也要具備相應的“混合安全”能力。此時，現(xiàn)代化的安全戰(zhàn)略就成了企業(yè)的“必選項”。

根據(jù)Cybersecurity Insiders曾對413個行業(yè)CIO、ITC、CSO的調研結果顯示，企業(yè)所面臨的風險包括文件共享（文件被偷）、網(wǎng)頁應用（網(wǎng)頁被攻擊）、視頻會議被入侵，最大的安全威脅來自惡意軟件、釣魚軟件以及未經(jīng)授權的訪問。另據(jù)DTEX Systems的報告顯示 ，近75%的企業(yè)擔心居家辦公的員工帶來的安全風險；70%的企業(yè)還沒有準備好迎接遠程辦公所帶來的安全問題；員工使用工作筆記本電腦混合處理個人和公司業(yè)務，增加了通過移動存儲設備下載的風險（25%），并且更容易受到家庭網(wǎng)絡釣魚的攻擊（15%），并且大多數(shù)遠程辦公員工在公司網(wǎng)絡外運營，不再具有可見性（13%），安全在遠程辦公場景中扮演的角色愈發(fā)重要。

從傳統(tǒng)的網(wǎng)絡和信息系統(tǒng)，到基礎網(wǎng)絡、重要信息系統(tǒng)、互聯(lián)網(wǎng)、大數(shù)據(jù)中心、云計算平臺、物聯(lián)網(wǎng)系統(tǒng)、移動互聯(lián)網(wǎng)等，企業(yè)的應用邊緣不斷拓寬，安全保護對象隨之增加，幾乎每一處都隱藏著安全風險。以微軟的數(shù)據(jù)庫管理軟件SQL Server為例，在微軟位于歐洲的數(shù)據(jù)中心，技術人員曾嘗試對外網(wǎng)打開一個沒有數(shù)據(jù)、空白的Microsoft SQL Server端口進行測試，僅僅一分鐘之內，便出現(xiàn)了非常多的密碼攻擊。微軟全渠道事業(yè)部首席技術官（CTO）徐明強博士將這種現(xiàn)象形容為：仿佛一滴血掉進了海洋里，僅是血腥味就能吸引無數(shù)的鯊魚。

要知道，2021年全球由勒索軟件造成的損失達到約200億美元，到2025年，網(wǎng)絡犯罪每年將造成全球10.5億美元的損失。早在2003年，微軟就開始在操作系統(tǒng)產(chǎn)品和Windows Server 2003 上使用威脅模型（Treat Modeling），作為微軟安全開發(fā)生命周期（SDL）的方法論，用于了解系統(tǒng)的安全威脅，明確威脅的風險，并建立適當緩解措施。顧名思義，威脅模型是用來了解系統(tǒng)的安全威脅并對其進行分類和量化。同時，微軟還會構建出信任邊界和授權。

為了更好地闡明安全威脅因素，微軟提出了“STRIDE安全威脅模型”，用來代表六種安全威脅，即身份假冒（Spoofing）、篡改（Tampering）、抵賴（Repudiation）、信息泄露（Information Disclosure）、拒絕服務（Denial of Service）和特權提升（Elevation of Privilege）。借助威脅模型，2003年后，微軟發(fā)布的每一個產(chǎn)品都要通過微軟安全審核部門的安全模型檢查。換句話說，微軟的產(chǎn)品從設計之初就已將安全因素考慮進去。

“微軟有一個安全審核部門，分到每個產(chǎn)品組里面都有一個代表，在這個產(chǎn)品部門有一票否決權利。當其審核員工的文檔，如果認為安全沒有過關，就會行使一票否決權，可以讓軟件推遲發(fā)布，直到把安全審核做好。自2003年起，之后每一個產(chǎn)品組的首要任務就是先把安全模型過關?！毙烀鲝娬f。

2010年，移動及云計算時代來臨，也是微軟安全第二個發(fā)展階段的開始。經(jīng)過多年發(fā)展，微軟智能云已經(jīng)擁有覆蓋全球超過34個市場的200余個實體數(shù)據(jù)中心，為全球超過 10 億客戶和兩千萬家公司提供服務。在中國，由世紀互聯(lián)運營的微軟智能云Microsoft Azure是中國市場上第一個合法合規(guī)商業(yè)運營的國際公有云；由世紀互聯(lián)在中國運營的第五個微軟智能云Azure數(shù)據(jù)中心區(qū)域也已于近日正式啟用。

與此同時，微軟也在云安全領域持續(xù)深耕，專門設立了網(wǎng)絡防御運營中心，由8500名全職安全專業(yè)人員為服務全球的平臺、工具、服務及終端設備提供不間斷的安全保護；微軟智能云每天處理和分析超過24萬億的安全信號數(shù)據(jù)；每年在網(wǎng)絡安全投資10億美元，未來5年投資還將超過200億美元；微軟還于去年收購了云基礎設施權限管理（CIEM）的領導廠商CloudKnox Security，用以提升幫助客戶管理多云環(huán)境中的權限，加強零信任安全態(tài)勢方面的能力。

從合規(guī)認證的數(shù)據(jù)來看，微軟智能云在全球擁有100多項合規(guī)認證，具備完善的合規(guī)認證體系，提供可信賴的“安全感”。在中國，由世紀互聯(lián)運營的Microsoft Azure也獲得了諸多本地合規(guī)認證，連續(xù)多年通過ISO/IEC 20000、ISO/IEC 27001、ISO/IEC 27018系列認證；連續(xù)多年以優(yōu)異成績通過信息系統(tǒng)安全等級保護三級評測，全面覆蓋IaaS、PaaS、SaaS云服務。

廣泛而深入的安全策略也讓微軟收獲了一系列佳績：2021年，微軟安全業(yè)務收入超過150億美元，增長超過45%；企業(yè)移動和安全套件（EMS）用戶數(shù)增長28%，超過2.09億；微軟云原生SIEM平臺Microsoft Sentinel現(xiàn)有超過15000家客戶；合規(guī)業(yè)務方面，微軟的客戶基數(shù)同比增長90%；管理服務方面，微軟Intune管理的設備數(shù)量實現(xiàn)三位數(shù)增長……

第三個發(fā)展階段始于2018年，隨著“零信任”安全架構成為網(wǎng)絡安全的主流框架，微軟也關注到端到端集成防護對安全的價值，并開始構建全方位立體的微軟安全戰(zhàn)略架構。這個階段的安防部署特點，可比喻為現(xiàn)實中的“家庭防盜系統(tǒng)”。首先，“門窗”外圍要堅固，建立外圍和室內房門隔離（虛擬網(wǎng)絡、VPN網(wǎng)關、網(wǎng)絡安全組、HubSpoke架構），關閉窗戶、只保留大門通道（Azure Bastion）。但這些遠遠不夠，還要加強大門防御（WAF、Firewall、DDoS），將貴重物品放入室內（Private Link），再放入保險箱（Key Vault），建立智能安保監(jiān)控（Defender for Cloud+ Sentinel），和片警建立日常聯(lián)系和巡邏（Azure Monitor+ Backup），并加強主人身份、客人身份識別和保護（Azure AD Premium）。

針對上述特點，微軟安全產(chǎn)品整合了超過40種云安全服務，涵蓋身份和訪問管理、威脅保護、統(tǒng)一終端管理、信息保護、云安全管理五大部分，鑄成了微軟的“安全盾牌”，抵御日益復雜威脅與攻擊，予力用戶構建更為安全易用的業(yè)務環(huán)境。在Garter魔力象限五項評選——訪問管理、云訪問安全代理、企業(yè)信息歸檔、終端防護平臺、統(tǒng)一終端管理工具中，微軟的安全產(chǎn)品均處于領導者象限。

徐明強認為，混合的業(yè)務環(huán)境加大了防御的成本，原有的安全邊界早已被打破，同時，企業(yè)在使用新的安全工具時往往會遇到隱性成本，“比如說，每次使用安全設備時，防火墻里面會產(chǎn)生很多的告警，但是真正使用起來會發(fā)現(xiàn)，告警信號往往是超載的，太多的信號幾乎是雜音，要想在很多雜音中找到真正的信號，就像是在稻草叢里面找一根針一樣難，并且缺乏可見性和洞察?！?/p>

因此，圍繞云、邊緣、客戶端、SaaS服務等構建的全方位防護就變得更加重要。徐明強稱：“微軟在客戶端、移動端、IoT端都會有agent，統(tǒng)一的預警和日志信息都被集中在微軟的Sentinel工具中?！盨entinel支持威脅管理、CyberOps Service、 Defender for Cloud Apps等功能，可以滿足對身份、IoT、Office 365及其他SaaS服務的防護，以及安全合規(guī)要求。此外，還會有微軟提供的AI/ML、技術專家等資源，幫助幫助企業(yè)的安全中心實現(xiàn)高效運營。

“在混合云的環(huán)境中，可以說是一個非常多維度的責任共擔的模型，責任共擔在哪些方面呢？首先參與方會有云的運營商、服務提供商，還有企業(yè)的應用供應商，可能還包括微軟的合作伙伴。同時，員工的安全意識也要提高。本地運行中，機器很多都是客戶自己去保護的，這時候，微軟會有很多安全合作伙伴可以幫助客戶分析本地和云上遇到的挑戰(zhàn)?！毙烀鲝娬劦剑皩τ贗aaS、物理機、物理網(wǎng)絡、物理數(shù)據(jù)中心的安全，我們的防護都是非常堅固的。到了PaaS、SaaS層面，越來越多的保護是面向云廠商，我們的建議是做數(shù)據(jù)治理和權限維護，由客戶來負責客戶端的端點管理和賬號防控管理。當然，微軟也有很多咨詢類的伙伴可以幫助客戶。”

微軟與合作伙伴聯(lián)手打造了Cyber Accelerator Program項目，可以根據(jù)客戶要求，量身定制安全主題Workshop，提供上云遷移課程，以及各個端點（如PC端、移動端、客戶端）安全防護、云原生SOC建設、多云安全防護、數(shù)據(jù)防泄露、敏感數(shù)據(jù)治理、內部風險管理、統(tǒng)一綜合管理、防釣魚病毒、防勒索等課程。此外，微軟按照不同安全合作伙伴類型，也分了安全托管MSP類、咨詢類等伙伴，針對不同行業(yè)的屬性，提供了多樣的服務，例如面向汽車行業(yè)的數(shù)據(jù)防泄露、面向醫(yī)療行業(yè)的隱私計算等。

如今，微軟運營著龐大的安全情報網(wǎng)絡，每天處理達24萬億的安全分析情報和信號，這些信號均自于微軟的產(chǎn)品，包括Windows、Outlook、Microsoft 365、必應等。以必應搜索引擎為例，每月掃描頁面數(shù)量達180億，微軟可針對這些網(wǎng)頁搜索內容進行分析，使人們對黑客在攻擊和釣魚行動中使用網(wǎng)絡腳本技術的情況有了深入的認識，從而提供有效的、有針對性的安全保障。借助龐大而實時更新的情報網(wǎng)絡，微軟能夠在很多漏洞未發(fā)生之前，通過數(shù)字化情報實現(xiàn)預警。

當然，考慮到安全風險與日俱增，越來越多的企業(yè)引入了零信任的概念。微軟認為，零信任策略需要在所有基礎要素上實施管控，例如:身份、設備、應用、數(shù)據(jù)、基礎設施和網(wǎng)絡。具體措施包括：當任何身份試圖訪問任何資源時，安全防護機制應通過強身份驗證來驗證身份，確保訪問請求符合典型的身份行為，并確認該身份遵循最小權限訪問原則；將多因素認證或持續(xù)認證納入身份管理策略；納入無密碼認證無密碼認證用兩個或兩個以上的驗證因素取代傳統(tǒng)密碼，并以一對加密密鑰來保證安全性；提升網(wǎng)絡可見性，防止惡意攻擊者在網(wǎng)絡中橫向移動；為訪問企業(yè)數(shù)據(jù)的各類終端采用相同的安全策略；通過對應用的管控發(fā)現(xiàn)影子IT，確保適當?shù)膽脙鹊臋嘞?，根?jù)實時分析結果對訪問來進行把關，監(jiān)控異常行為，限制用戶的非常規(guī)操作，并驗證安全配置選項；有選擇的將員工在企業(yè)數(shù)字資產(chǎn)中需要進行的操作進行角色化定義，并與策略聯(lián)系起來，作為授權、單點登錄、 無密碼訪問的一部分。

事實上，已有很多信息安全官認為，制定施行零信任策略的整體戰(zhàn)略至關重要，在整個企業(yè)中大面積推廣零信任之前，應該從小處著手，建立信心。這通常意味著需要采取分階段的方法，根據(jù)企業(yè)“零信任”的成熟度、可用資源和優(yōu)先級，針對特定領域來進行。例如，可以從云中的新項目開始，或在開發(fā)人員和測試環(huán)中進行前期試驗。一旦建立了信心，微軟就建議將零信任策略覆蓋到整個企業(yè)數(shù)字財產(chǎn)，同時將其作為一種集成的安全理念和端到端的戰(zhàn)略推進。

據(jù)統(tǒng)計，目前有90%的“財富100強”企業(yè)使用超過四項微軟安全、合規(guī)、身份以及管理方面的安全服務；微軟云應用安全服務（MCAS）保護全球超過1億用戶、微軟智能云每天處理和分析超過24萬億的安全信號數(shù)據(jù)、微軟合規(guī)工具每月對超過50億份文檔進行分類分級、Azure AD每天處理超過300億個身份認證……微軟打造的多重防護產(chǎn)品，正在幫助越來越多不同行業(yè)的客戶在安全的前提下，實現(xiàn)業(yè)務的可持續(xù)發(fā)展。“微軟的使命是予力全球每一人、每一組織，成就不凡。無論用戶是否使用了我們的軟件，他們的信息資產(chǎn)的安全，始終是我們的責任?！毙烀鲝娬f。

Intel 酷睿 i7 12700K

領券滿149減15

[經(jīng)銷商]京東商城

[產(chǎn)品售價]3159元

進入購買

TP-LINK AX3000滿血WiFi6千兆無線路由器 5G雙頻游戲路由 Mesh 3000M無線速率 支持雙寬帶接入 XDR3010易展版

[經(jīng)銷商]京東商城

[產(chǎn)品售價]299元

進入購買

西部數(shù)據(jù)（Western Digital）8TB HC320 SATA6Gb/s 7200轉256M 企業(yè)級硬盤(HUS728T8TALE6L4)

[經(jīng)銷商]京東商城

[產(chǎn)品售價]1359元

進入購買

關鍵詞： 微軟安全