从个人PC到Azure，微软打造全方位、立体式安全防护

原创
作者： 赵立京 2022-03-22 18:00:54

云计算 “全方位”指的不仅是客户端、企业私有云端，还包括公有云端，IoT，Windows客户端，Mac客户端，各种SaaS服务中信息访问、身份访问，以及安全运营中心。“立体”是指通过安全中心和机器学习等技术，将各种各样的数据集成在一起，通过安全通信对数据进行立体的防护。

当今，全球数字化转型加速，企业IT正处于变革中，企业进行数字化转型的目的无非是与客户沟通更密切、更契合，且能赋能员工、优化运营，同时改良企业的产品和服务，这就带来了更多的SaaS应用、移动互联网应用、物联网的应用、云上的应用等，信息技术层出不穷，企业的边缘大大拓宽，要保护的对象激增，数字化威胁变得越来越复杂。

去年以来，微软频繁被国内网络安全从业者关注。去年1月，微软宣布在2020年的安全业务收入达到100亿美元，年增长率超过40%；6月，微软正式发布Windows 11，特别提到Windows 11提供了一个“零信任安全防护模式”的操作系统，来保护数据和跨设备访问；7月，微软正式发布Windows 365，再次提及Windows 365服务遵从“零信任”原则，从设计源头确保安全。

历经三个阶段，微软安全与时俱进

事实上，微软的安全业务从2003年发布Windows XP和Windows Server，使用威胁模型开始，微软产品的安全性就大幅提升。

安全开发生命周期 (SDL)是微软的计划和强制施行政策，其核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动与规范，以减少软件中漏洞的数量并将安全缺陷降低到最小程度。SDL是侧重于软件开发的安全保证过程，旨在开发出安全的软件应用。

STRIDE安全威胁模型是由微软提出的一种系统化的威胁建模方法。STRIDE代表六种安全威胁：身份假冒（Spoofing）、篡改（Tampering）、抵赖（Repudiation）、信息泄露（Information Disclosure）、拒绝服务（Denial of Service）、特权提升（Elevation of Privilege）。STRIDE模型可以让用户洞察所需的抑制措施的本质，使用预构建的威胁树可以确保不会忽略已知的攻击。

在近日举办的微软安全媒体采访活动上，微软全渠道事业部首席技术官（CTO）徐明强博士对此进行了详细介绍。徐明强博士表示，微软有一个安全审核部门，成员分布在每一个产品部门中，当产品有安全问题时，安全审核部门的成员有一票否决权。因此可以说，微软的产品从设计阶段就是安全的，即Security by Design。

到了移动时代，微软服务的地理足迹遍布60多个地区，微软安全首先要做的是“勤商”，积极应对每一次的安全法规更新。微软还专门设立了网络防御运营中心，拥有多达8500名的全职安全专业人员为平台、工具、服务及终端设备提供不间断的安全保护。微软智能云每天处理和分析超过 24 万亿的安全信号数据，每年在网络安全投资 10 亿美元，且在未来5年投资还将超过 200 亿美元。在合规认证数量方面，微软智能云在全球拥有100多项合规认证，具备完善的合规认证体系。在中国，由世纪互联运营的 Microsoft Azure 也获得了诸多本地合规认证，连续多年通过 ISO/IEC 20000、ISO/IEC 27001、ISO/IEC 27018 系列认证，连续多年通过信息系统安全等级保护三级评测，全面覆盖 IaaS、PaaS、SaaS云服务。

从2018年开始，“零信任”安全架构逐渐成为网络安全的主流框架，微软也关注到端到端集成防护对安全的价值，并开始构建全方位立体的微软安全战略架构。

徐明强博士将这个阶段的安防部署比喻为“家庭防盗系统”：首先要建立外围和室内房门隔离，即虚拟网络、VPN 网关、网络安全组、HubSpoke 架构。然后关闭窗户、只保留大门通道，即Azure Bastion。此外，还要加强大门防御，即WAF、Firewall、DDoS，将贵重物品放入室内，即Private Link，再放入保险箱，即Key Vault。之后建立智能安保监控，即Defender for Cloud+ Sentinel，和片警建立日常联系和巡逻，即Azure Monitor+ Backup，并加强主人身份、客人身份识别和保护，即Azure AD Premium。

微软本着“对威胁的防护、对身份的防护、对信息的保护”三个原则，整合了超过 40 种云安全服务，涵盖身份和访问管理、威胁保护、统一终端管理、信息保护、云安全管理五大部分，铸成了微软的“安全盾牌”。在 Garter 魔力象限五项评选——访问管理、云访问安全代理、企业信息归档、终端防护平台、统一终端管理工具中，微软的安全产品均处于领导者象限。

全方位、立体式的安全防护

云计算时代，微软构筑了全方位的、立体的、端到端的安全战略架构。“全方位”指的不仅是客户端、企业私有云端，还包括公有云端，IoT，Windows客户端，Mac客户端，各种SaaS服务中信息访问、身份访问，以及安全运营中心。“立体”是指通过安全中心和机器学习等技术，将各种各样的数据集成在一起，通过安全通信对数据进行立体的防护。

值得注意的是，微软正在稳步进入零散的安全技术市场，许多核心安全产品（如 Windows Defender）是嵌入或者紧密集成在核心应用套件当中的，因此客户购买微软的安全功能非常方便。微软也正在将“原生安全性”的概念扩展到云端，云计算和 AI/机器学习技术的长期发展，将推动微软成为更加先进的安全技术供应商。