10

从个人PC到Azure,微软打造全方位、立体式安全防护

 3 years ago
source link: https://www.51cto.com/article/704585.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client
从个人PC到Azure,微软打造全方位、立体式安全防护-51CTO.COM
从个人PC到Azure,微软打造全方位、立体式安全防护 原创
作者:赵立京 2022-03-22 18:00:54
“全方位”指的不仅是客户端、企业私有云端,还包括公有云端,IoT,Windows客户端,Mac客户端,各种SaaS服务中信息访问、身份访问,以及安全运营中心。“立体”是指通过安全中心和机器学习等技术,将各种各样的数据集成在一起,通过安全通信对数据进行立体的防护。

当今,全球数字化转型加速,企业IT正处于变革中,企业进行数字化转型的目的无非是与客户沟通更密切、更契合,且能赋能员工、优化运营,同时改良企业的产品和服务,这就带来了更多的SaaS应用、移动互联网应用、物联网的应用、云上的应用等,信息技术层出不穷,企业的边缘大大拓宽,要保护的对象激增,数字化威胁变得越来越复杂。

去年以来,微软频繁被国内网络安全从业者关注。去年1月,微软宣布在2020年的安全业务收入达到100亿美元,年增长率超过40%;6月,微软正式发布Windows 11,特别提到Windows 11提供了一个“零信任安全防护模式”的操作系统,来保护数据和跨设备访问;7月,微软正式发布Windows 365,再次提及Windows 365服务遵从“零信任”原则,从设计源头确保安全。

历经三个阶段,微软安全与时俱进

事实上,微软的安全业务从2003年发布Windows XP和Windows Server,使用威胁模型开始,微软产品的安全性就大幅提升。

安全开发生命周期 (SDL)是微软的计划和强制施行政策,其核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动与规范,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。SDL是侧重于软件开发的安全保证过程,旨在开发出安全的软件应用。

STRIDE安全威胁模型是由微软提出的一种系统化的威胁建模方法。STRIDE代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、特权提升(Elevation of Privilege)。STRIDE模型可以让用户洞察所需的抑制措施的本质,使用预构建的威胁树可以确保不会忽略已知的攻击。

在近日举办的微软安全媒体采访活动上,微软全渠道事业部首席技术官(CTO)徐明强博士对此进行了详细介绍。徐明强博士表示,微软有一个安全审核部门,成员分布在每一个产品部门中,当产品有安全问题时,安全审核部门的成员有一票否决权。因此可以说,微软的产品从设计阶段就是安全的,即Security by Design。

到了移动时代,微软服务的地理足迹遍布60多个地区,微软安全首先要做的是“勤商”,积极应对每一次的安全法规更新。微软还专门设立了网络防御运营中心,拥有多达8500名的全职安全专业人员为平台、工具、服务及终端设备提供不间断的安全保护。微软智能云每天处理和分析超过 24 万亿的安全信号数据,每年在网络安全投资 10 亿美元,且在未来5年投资还将超过 200 亿美元。在合规认证数量方面,微软智能云在全球拥有100多项合规认证,具备完善的合规认证体系。在中国,由世纪互联运营的 Microsoft Azure 也获得了诸多本地合规认证,连续多年通过 ISO/IEC 20000、ISO/IEC 27001、ISO/IEC 27018 系列认证,连续多年通过信息系统安全等级保护三级评测,全面覆盖 IaaS、PaaS、SaaS云服务。

26065ea780a41418893476563415d21240bde0.png

从2018年开始,“零信任”安全架构逐渐成为网络安全的主流框架,微软也关注到端到端集成防护对安全的价值,并开始构建全方位立体的微软安全战略架构。

86cc7a1043b62c1b6ea011ecacdd221f7e3997.png

徐明强博士将这个阶段的安防部署比喻为“家庭防盗系统”:首先要建立外围和室内房门隔离,即虚拟网络、VPN 网关、网络安全组、HubSpoke 架构。然后关闭窗户、只保留大门通道,即Azure Bastion。此外,还要加强大门防御,即WAF、Firewall、DDoS,将贵重物品放入室内,即Private Link,再放入保险箱,即Key Vault。之后建立智能安保监控,即Defender for Cloud+ Sentinel,和片警建立日常联系和巡逻,即Azure Monitor+ Backup,并加强主人身份、客人身份识别和保护,即Azure AD Premium。

微软本着“对威胁的防护、对身份的防护、对信息的保护”三个原则,整合了超过 40 种云安全服务,涵盖身份和访问管理、威胁保护、统一终端管理、信息保护、云安全管理五大部分,铸成了微软的“安全盾牌”。在 Garter 魔力象限五项评选——访问管理、云访问安全代理、企业信息归档、终端防护平台、统一终端管理工具中,微软的安全产品均处于领导者象限。

全方位、立体式的安全防护

45b2ab326af2c47d44f0487525f063937dcac2.png

云计算时代,微软构筑了全方位的、立体的、端到端的安全战略架构。“全方位”指的不仅是客户端、企业私有云端,还包括公有云端,IoT,Windows客户端,Mac客户端,各种SaaS服务中信息访问、身份访问,以及安全运营中心。“立体”是指通过安全中心和机器学习等技术,将各种各样的数据集成在一起,通过安全通信对数据进行立体的防护。

值得注意的是,微软正在稳步进入零散的安全技术市场,许多核心安全产品(如 Windows Defender)是嵌入或者紧密集成在核心应用套件当中的,因此客户购买微软的安全功能非常方便。微软也正在将“原生安全性”的概念扩展到云端,云计算和 AI/机器学习技术的长期发展,将推动微软成为更加先进的安全技术供应商。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK