数字经济蓬勃发展,不断催生着新产业、新业态、新模式。与此同时,企业数字化转型的程度不断加深,业务更开放、更灵活、更分散、更具连接力,不断突破互联网边界,安全漏洞也不断显现,数字威胁的“潘多拉魔盒”随之被打开。IDC 预测,到 2025 年,全球网络安全相关硬件、软件、服务的总投资规模将会突破 2200 亿美元,安全市场将迎来巨大增量,侧面反映出了企业在数字安全方面的忧虑和关注。
微软认为,无论企业身处怎样的数字化进程,安全始终是企业发展的“生命线”——企业必须具备现代化的身份与访问安全的边界。这不仅要求企业具备技术层面的安全手段,更需要建立全局的安全思维与策略。
数字化转型带来了“云、网、边、5G、端”融合创新,也让企业开始在更多场景发挥想象,从“客户沟通、赋能员工、优化运营、转型产品”四个方面深化变革。此外,多云、混合云成为企业IT基础设施的主要形态,从传统企业数据中心到多种公有云、私有云、边缘计算的混合计算,也让企业面临着更大的安全挑战。
随着企业的应用边缘不断拓宽,安全保护对象也随之增加,从传统的网络和信息系统,到基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网等等,每一处都隐藏着安全风险。以微软的数据库管理软件 SQL Server 为例,在微软位于欧洲的数据中心,技术人员曾尝试对外网打开一个没有数据、空白的 Microsoft SQL Server 端口进行测试,仅仅一分钟之内,便出现了非常多的密码攻击。微软全渠道事业部首席技术官(CTO)徐明强博士将这种现象形容为,“仿佛一滴血掉进了海洋里,仅是血腥味就能吸引无数的鲨鱼”。由此可见,在虚拟信息世界中,企业每一秒都要绷紧“安全弦”,否则可能带来不可估量的损失。
而随着新冠疫情席卷全球,大量企业不得不随时切换到远程办公模式,加速了在线化进程,这带来了不小的安全顾虑。DTEX Systems 调查报告显示[1] ,近 75% 的企业担心居家办公的员工带来的安全风险;七成企业还没有准备好迎接远程办公所带来的安全问题;员工使用工作笔记本电脑混合处理个人和公司业务,增加了通过移动存储设备下载的风险(25%),并且更容易受到家庭网络钓鱼的攻击(15%),并且大多数远程办公员工在公司网络外运营,不再具有可见性(13%),安全在远程办公场景中扮演的角色愈发重要。
数字威胁比企业想象的更近、更多、更严重。面对不断演变且日益复杂的安全形势,微软致力于借助自身的技术、产品和平台,提高客户的安全性,助力企业筑牢现代化安全可信屏障。
数十年间,微软安全的一个重要目标,是帮助全球企业“打造现代化安全战略”,真正重塑现代化安全企业。具体来看,微软安全一共经历了三个发展阶段:
2003 年,微软便开始在操作系统产品和 Windows Server 2003 上使用威胁模型(Treat Modeling),作为微软安全开发生命周期(SDL)的方法论,用于了解系统的安全威胁,明确威胁的风险,并建立适当缓解措施。
为了更好地阐明安全威胁因素,微软提出了“STRIDE 安全威胁模型”,用来代表六种安全威胁,即身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)和特权提升(Elevation of Privilege)。借助威胁模型,2003 年后,微软发布的每一个产品都要通过微软安全审核部门的安全模型检查。换句话说,微软的产品从设计之初就已将安全因素考虑进去。
2010 年,移动及云计算时代来临,也是微软安全第二个发展阶段的开始。经过多年发展,微软智能云已经拥有覆盖全球超过 34 个市场的 200 余个实体数据中心,为全球超过 10 亿客户和两千万家公司提供服务。在中国,由世纪互联运营的微软智能云 Microsoft Azure 是中国市场上第一个合法合规商业运营的国际公有云;由世纪互联在中国运营的第五个微软智能云 Azure 数据中心区域也已于近日正式启用。
在云相关业务蓬勃发展的同时,微软在云安全领域也在同步深耕,多年来一直在网络安全研究与开发方面保持着大量投入,以确保产品和服务的安全,并为客户提供保护数据资产所需的能力。微软专门设立了网络防御运营中心,多达 8,500 名全职安全专业人员为服务全球的平台、工具、服务及终端设备提供不间断的安全保护;微软智能云每天处理和分析超过 24 万亿的安全信号数据;每年在网络安全投资 10 亿美元,未来 5 年投资还将超过 200 亿美元;微软还于去年收购了云基础设施权限管理(CIEM)的领导厂商 CloudKnox Security,用以提升帮助客户管理多云环境中的权限,加强零信任安全态势方面的能力。
从合规认证的数据来看,微软智能云在全球拥有 100 多项合规认证,具备完善的合规认证体系,提供可信赖的“安全感”。在中国,由世纪互联运营的 Microsoft Azure 也获得了诸多本地合规认证,连续多年通过 ISO/IEC 20000、ISO/IEC 27001、ISO/IEC 27018 系列认证;连续多年以优异成绩通过信息系统安全等级保护三级评测,全面覆盖 IaaS、PaaS、SaaS 云服务。
第三个发展阶段始于 2018 年,随着“零信任”安全架构成为网络安全的主流框架,微软也关注到端到端集成防护对安全的价值,并开始构建全方位立体的微软安全战略架构。
这个阶段的安防部署特点,可比喻为现实中的“家庭防盗系统”。首先,“门窗”外围要坚固,建立外围和室内房门隔离(虚拟网络、VPN 网关、网络安全组、HubSpoke 架构),关闭窗户、只保留大门通道(Azure Bastion)。但这些远远不够,还要加强大门防御(WAF、Firewall、DDoS),将贵重物品放入室内(Private Link),再放入保险箱(Key Vault),建立智能安保监控(Defender for Cloud+ Sentinel),和片警建立日常联系和巡逻(Azure Monitor+ Backup),并加强主人身份、客人身份识别和保护(Azure AD Premium)。
针对上述特点,微软安全产品整合了超过 40 种云安全服务,涵盖身份和访问管理、威胁保护、统一终端管理、信息保护、云安全管理五大部分,铸成了微软的“安全盾牌”,抵御日益复杂威胁与攻击,予力用户构建更为安全易用的业务环境。在 Garter 魔力象限五项评选——访问管理、云访问安全代理、企业信息归档、终端防护平台、统一终端管理工具中,微软的安全产品均处于领导者象限。
依托三个阶段不同的“安全方法论”,微软也正在不断校准方向,持续加大投入,尤其是在情报网络方面。微软拥有非常庞大的安全情报网络,每天处理达 24 万亿的安全分析情报和信号,这些信号均自于微软的产品,包括 Windows、Outlook、Microsoft 365、必应等。以必应搜索引擎为例,每月扫描页面数量达 180 亿,微软可针对这些网页搜索内容进行分析,使我们对黑客在攻击和钓鱼行动中使用网络脚本技术的情况有了深入的认识,从而提供有效的、有针对性的安全保障。借助庞大而实时更新的情报网络,微软能够在很多漏洞未发生之前,通过数字化情报实现预警,这也让微软成为唯一一家能够真正在从信息方面来提供安全保护的云厂商。
授人以鱼,不如授人以渔,在提供产品安全防护的同时,微软设立了 Cyber Accelerator Program,与合作伙伴实现共赢。Cyber Accelerator Program 根据客户要求,量身定制安全主题 Workshop,提供上云迁移课程,以及各个端点(如 PC 端、移动端、客户端)安全防护、云原生 SOC 建设、多云安全防护、数据防泄露、敏感数据治理、内部风险管理、统一综合管理、防钓鱼病毒、防勒索等课程;按照不同安全合作伙伴类型,也分了安全托管 MSP 类、咨询类等;针对行业的不同属性,提供汽车行业的数据防泄露课程、医疗行业的隐私计算课程等等。
安全需求日新月异,企业也必须步履不停。针对企业安全防御经常出现的误区,微软认为企业需要在三大方面持续强化,为自身的数字安全构建可靠保障。
第一,减少需要管理的供应商和产品。尤其是对于中小企业来说,应该尽量避免部署来自多个供应商和技术产品及服务,尽可能让自身的 IT 环境简化。企业也可以选择 Microsoft 365 获得云原生的安全能力,以及对运营环境的可见性和洞察力,从而简化管理和使用的复杂度。
第二,减少带给最终用户的影响。重复繁琐的安全登陆认证,无法兼顾卓越用户体验与安全性。微软提供的单点登录、多重身份验证、条件访问的身份和访问管理解决方案,在保证强安全的前提下,提供简单、快速的登录体验,减少管理密码的时间并提升用户体验。
第三,减少安全管理的盲区。客户面临着日益复杂的多云和混合环境,需要正确的策略来保护其 IaaS、PaaS 和 SaaS 服务。微软的 Microsoft Defender for Cloud 等产品,能够全方位监控并帮助保护多云和混合环境中的工作负载,保护整个应用开发、部署和运营生命周期的每一步。
微软公司董事长兼首席执行官萨提亚·纳德拉(Satya Nadella)曾说过:“安全是我们的首要任务,我们致力于与行业的其他参与者合作,保护我们的客户。”多年来,微软着眼网络安全基础研究,专注安全技术创新,服务了全球 71.5 万客户,不断打造深具竞争力的安全创新。这背后的驱动力,正是微软一直所强调的“予力全球每一人、每一组织,成就不凡”。微软也将秉承这一使命,以安全之名,助力更多企业走向创新世界。
[1]https://www.dtexsystems.com/press/dtexs-remote-workforce-security-study-identifies-corporate-security-concerns-data-leakage-via-endpoints-lack-of-user-activity-visibility-regulatory-compliance/
关注微信
