关注云报
洞察深一度
”在微软内部,只有一个部门能阻止新产品的发布,那就是安全部门。“微软全渠道事业部首席技术官徐明强博士解释说,“世界上的每个公司都是我们的客户,他们的安全问题就是我们的责任,责无旁贷
微软一直对安全非常重视,其安全产品的设计亦是一个经典,无论服务器还是云服务,都是按照一套相同的方法论来执行的。你不好奇吗?微软的安全方法论是如何支撑从桌面到数据中心的众多经典IT产品的研发、部署和运行的?
01
怎一个“全”字了得?
在我们的印象中,微软是一家著名的软件厂商,也是一家业内领先的云服务商,可没有人会将“安全厂商”与微软联系起来。而实际上,与深耕终端安全、零信任、加密等众多安全细分领域的传统安全厂商相比,微软的安全产品在广度与深度方面都是屈指可数的。众所周知的微软智能云矩阵包括Azure、Power Platform、Microsoft 365等,而其最可信赖的底座则是智能云的安全、合规、身份和隐私管理等。


微软大中华区企业安全业务高级产品市场经理李亮
微软大中华区企业安全业务高级产品市场经理李亮表示,微软安全提供的是全场景、全平台、全生命周期的智能、集成的端到端安全在微软的整个生态中,安全被置于一个非常特殊的位置,是所有产品和业务的基石。安全已融入到微软各项云能力的开发当中。微软从第一行代码开始,安全就是一个必备项,它确保微软提供给客户的云服务和产品是安全、合规的,且具备极高的隐私保护能力。
如下图所示,这里罗列了60多种微软不同品类的安全能力。这些安全能力已经融入在微软最核心的产品和服务中,包括Azure、Microsoft 365、Dynamics 365、Power Platform等。李亮将微软安全的优势进行了归纳:首先,微软提供的是原生的安全;用户如果将业务迁移到微软智能云上,微软全面且内嵌的安全能力与功能,既能保证用户业务和数据的安全,同时也避免了用户在安全方面的重复投资,达到了“降本增效”的目的;微软安全是跨平台和第三方的,不仅自身可以提供60多种云安全能力,还能确保用户在使用第三方SaaS或者CRM、ERP等核心业务应用系统,甚至自研系统时,能够很好地集成在一起,并可将不同的系统、不同的平台纳入到微软统一的安全管控平台之下。


02
从“急救”到“养生” 企业安全的全面进阶
被钓鱼了、被勒索了、被加密了……现实世界中,来自各方面的安全攻击层出不穷。随着数字化转型的深入,加上疫情的影响,以及各种新的业态、应用方式不断涌现,安全这个问题变得越来越突出。这就要求用户7×24小时持续对外界保持警惕,企业的安全洞察和响应能力也要同步提升。
“以前,很多企业客户在面对安全挑战时,习惯了‘急救’或者‘亡羊补牢’思路,即在出了安全问题后再进行补救,但这时损失往往已经产生且无法弥补。”李亮建议,今天,企业最好采用“养生”的思路来考虑安全这件事情。”急救“更强调的是应急响应能力,而”养生“则是主动规划、主动建设,更好地应对未来可能发生的问题。
在企业的安全体系建设上,”急救“能力固然重要,但”养生“战略更加必要。它要求企业更多地从战术角度全盘思考,利用先进的思维、先进的方法、先进的理念构建现代化的安全运营体系。
”人们在对IT环境和物理环境的安全问题上,观念和认知差别很大。很多企业的决策者往往存在麻痹思想或错觉,认为IT系统遭攻击的可能性很小。”徐明强话锋一转,“事实却并非如此。以微软的数据库管理软件SQL Server为例,在微软位于欧洲的数据中心,技术人员曾尝试对外网打开一个没有数据、空白的Microsoft SQL Server端口进行测试,然而仅仅一分钟时间,便出现了大量密码攻击。仿佛一滴血掉进了海洋里,仅是血腥味就能吸引无数的鲨鱼。事实表明,企业如果没有很好的安全策略进行全面防护,是很容易被攻破的。企业的决策者拥有正确的安全认知是非常重要且必要的。”
站在微软的角度,微软本身的产品和设计就是要确保客户是安全的,其运营也是合法合规的。微软智能云在全球拥有100多项合规认证,且具备完善的合规认证体系。徐明强介绍说,微软Dynamics 365和Power Platform不仅拥有全球12个国家的100余项安全、可信云平台认证,还通过了众多国家不同行业的核心法规与资质认证,能够更好地助力企业在海外市场减少合规性风险。
李亮也举了一个例子,微软平台中有一个“合规管理器”组件,会显示用户在合规和法规遵从方面的分数,并提供GDPR、网安法、数安法等不同的模板,将这些具体的法律法规条文拆解到对应的技术控制点,通过技术化、产品化的方式呈现出来,帮助客户了解法规遵从方面规定的同时,还能执行对应的防护或配置。在微软的产品中有很多这样的安全设计细节,帮助用户实现安全场景化的可操作性。“以最低的成本、最可行的操作,满足客户端安全场景化的需求,这就是微软的安全原则。”李亮如是说。
随着应用场景越来越丰富,攻击面也变得越来越大。企业如果想更好地抵御安全风险和威胁,首先要围绕着移动终端、电脑、物联网设备、服务器等实现全方位的安全保护。其次,要善于借助AI手段和工具。在企业搭建了完整的安全架构以后,如果仅依靠人来判断和处理安全事件往往会捉襟见肘。因为很多时候,数据泄露不是通过数据库平台,而是通过邮件或终端,这时候就可以借助AI,更高效且综合地判断每个安全信号、每个安全事件,并将它们全部关联起来进行分析,最终找到攻击者的路径,这样可以大大减轻人为跨系统排查的压力,安全防护的效果也更佳。最后,建立自动化、智能化的安全运营。微软的研究显示,90%以上的安全信号会关联做分析,分析之后大约70%~80%会自动化地进行处理和修复,再剩下的会根据优先级进行处理,而人为干预的只有3%~5%。所谓现代化的安全运营一定是自动化、智能化的,让安全防护事半功倍。李亮特别强调说,微软有一套全面的安全运营逻辑,并具有跨领域、跨平台的运营能力
03
责任共担 云上安全更有保障
10月13日,微软年度技术大会Ignite 2022及Ignite China中国技术峰会同步在线上举行。会上,微软智能云矩阵发布了超过100项新服务和新功能。面对中国市场不断增长的客户需求,微软宣布多项Azure、Dynamics 365、Power Platform服务将落地中国北部三数据中心区域。其中,
由世纪互联运营的Office 365上的Teams服务,以及由世纪互联运营的Microsoft 365服务,将于2023年上半年正式推出。


当前,企业上云的步伐正在不断加快。云上的安全问题也日益凸显。企业上云之后,是不是就万事大吉,所有的安全问题都可以放心地交给云服务商承担。企业客户、云服务商以及云中的生态伙伴在安全方面是否需要安全共担?各自的责任又如何划分?
在多云成为新常态的情况下,安全重塑是最迫切的需求,这对安全厂商来说是非常重要的机遇。”徐明强认为,确保云上的安全,首先要通过自动化的监控、策略性的监控等,实现安全盲点的可见性和可控性;其次,通过自动化、集成化的工具,提高响应的速度、效率和有效性,确保敏捷高效的威胁防护;最后,在数据整个生命周期中实施一致性的数据保护。
企业在安全方面遇到的困难和挑战是工具不统一,技术也不相同,且每家的系统都有自己不同的虚拟层,日志也分散在不同地方。从微软的角度,它尊重用户在多云上的选择,其安全产品可以部署到不同的云上,实现统一的数据保护。
李亮表示,除了从技术架构、技术预案上实现安全责任共担以外,从安全本身来看,责任共担还有两个重要体现:第一,企业中的IT人员和非IT人员,应该拥有共同的安全意识,安全绝对不只是IT或者技术层面的问题;第二,技术路线的制定者以及最终被保护的人(包括员工、周边生态、上下游供应链)要实行安全责任共担,因为任何一个环境出现纰漏,都会给整个安全框架带来很大的影响。最关键的是,企业用户要接纳并严格执行这种安全责任共担。
安全是一项全面而复杂的系统性工程,仅靠微软一家是万万不行的。所以,在安全方面,微软一直强调整个生态的重要性。李亮介绍说:“从三四年前开始,我们就不断加强合作伙伴队伍建设,提升合作伙伴的安全能力,为其注入先进的安全思维。最近两年,我们特别鼓励合作伙伴为客户做安全检查,因为大多数的企业客户并不知道企业的安全已经出现了问题,而合作伙伴的安全检查可以帮助客户发现很多潜在的安全风险。”举例来说,微软通过与安永、普华永道这样的咨询公司合作,共同将先进的安全理念传递给客户,构建起既包括咨询服务能力,又有技术实施能力的“安全统一战线”。
你可能会咋舌,上一个财务年度,微软在安全上的营收达到150亿美元。更让人感觉震撼的是,微软计划未来5年在安全上的投入将超过200亿美元。安全绝对是微软业务的重中之重。  
往期回顾
微软智能云中国“铁三角”已成
戴尔科技集团+微软Azure Stack HCI:引领混合云上云新范式
世纪互联IBM CMS企业云:别拿我和亚马逊AWS和微软Azure比
继续阅读
阅读原文