关注云报

洞察深一度

”在微软内部，只有一个部门能阻止新产品的发布，那就是安全部门。“微软全渠道事业部首席技术官徐明强博士解释说，“世界上的每个公司都是我们的客户，他们的安全问题就是我们的责任，责无旁贷。”

微软一直对安全非常重视，其安全产品的设计亦是一个经典，无论服务器还是云服务，都是按照一套相同的方法论来执行的。你不好奇吗？微软的安全方法论是如何支撑从桌面到数据中心的众多经典IT产品的研发、部署和运行的？

01

怎一个“全”字了得？

在我们的印象中，微软是一家著名的软件厂商，也是一家业内领先的云服务商，可没有人会将“安全厂商”与微软联系起来。而实际上，与深耕终端安全、零信任、加密等众多安全细分领域的传统安全厂商相比，微软的安全产品在广度与深度方面都是屈指可数的。众所周知的微软智能云矩阵包括Azure、Power Platform、Microsoft 365等，而其最可信赖的底座则是智能云的安全、合规、身份和隐私管理等。

微软大中华区企业安全业务高级产品市场经理李亮

微软大中华区企业安全业务高级产品市场经理李亮表示，微软安全提供的是全场景、全平台、全生命周期的智能、集成的端到端安全。在微软的整个生态中，安全被置于一个非常特殊的位置，是所有产品和业务的基石。安全已融入到微软各项云能力的开发当中。微软从第一行代码开始，安全就是一个必备项，它确保微软提供给客户的云服务和产品是安全、合规的，且具备极高的隐私保护能力。

如下图所示，这里罗列了60多种微软不同品类的安全能力。这些安全能力已经融入在微软最核心的产品和服务中，包括Azure、Microsoft 365、Dynamics 365、Power Platform等。李亮将微软安全的优势进行了归纳：首先，微软提供的是原生的安全；用户如果将业务迁移到微软智能云上，微软全面且内嵌的安全能力与功能，既能保证用户业务和数据的安全，同时也避免了用户在安全方面的重复投资，达到了“降本增效”的目的；微软安全是跨平台和第三方的，不仅自身可以提供60多种云安全能力，还能确保用户在使用第三方SaaS或者CRM、ERP等核心业务应用系统，甚至自研系统时，能够很好地集成在一起，并可将不同的系统、不同的平台纳入到微软统一的安全管控平台之下。

02

从“急救”到“养生” 企业安全的全面进阶

被钓鱼了、被勒索了、被加密了……现实世界中，来自各方面的安全攻击层出不穷。随着数字化转型的深入，加上疫情的影响，以及各种新的业态、应用方式不断涌现，安全这个问题变得越来越突出。这就要求用户7×24小时持续对外界保持警惕，企业的安全洞察和响应能力也要同步提升。

“以前，很多企业客户在面对安全挑战时，习惯了‘急救’或者‘亡羊补牢’思路，即在出了安全问题后再进行补救，但这时损失往往已经产生且无法弥补。”李亮建议，今天，企业最好采用“养生”的思路来考虑安全这件事情。”急救“更强调的是应急响应能力，而”养生“则是主动规划、主动建设，更好地应对未来可能发生的问题。

在企业的安全体系建设上，”急救“能力固然重要，但”养生“战略更加必要。它要求企业更多地从战术角度全盘思考，利用先进的思维、先进的方法、先进的理念构建现代化的安全运营体系。

”人们在对IT环境和物理环境的安全问题上，观念和认知差别很大。很多企业的决策者往往存在麻痹思想或错觉，认为IT系统遭攻击的可能性很小。”徐明强话锋一转，“事实却并非如此。以微软的数据库管理软件SQL Server为例，在微软位于欧洲的数据中心，技术人员曾尝试对外网打开一个没有数据、空白的Microsoft SQL Server端口进行测试，然而仅仅一分钟时间，便出现了大量密码攻击。仿佛一滴血掉进了海洋里，仅是血腥味就能吸引无数的鲨鱼。事实表明，企业如果没有很好的安全策略进行全面防护，是很容易被攻破的。企业的决策者拥有正确的安全认知是非常重要且必要的。”

站在微软的角度，微软本身的产品和设计就是要确保客户是安全的，其运营也是合法合规的。微软智能云在全球拥有100多项合规认证，且具备完善的合规认证体系。徐明强介绍说，微软Dynamics 365和Power Platform不仅拥有全球12个国家的100余项安全、可信云平台认证，还通过了众多国家不同行业的核心法规与资质认证，能够更好地助力企业在海外市场减少合规性风险。

李亮也举了一个例子，微软平台中有一个“合规管理器”组件，会显示用户在合规和法规遵从方面的分数，并提供GDPR、网安法、数安法等不同的模板，将这些具体的法律法规条文拆解到对应的技术控制点，通过技术化、产品化的方式呈现出来，帮助客户了解法规遵从方面规定的同时，还能执行对应的防护或配置。在微软的产品中有很多这样的安全设计细节，帮助用户实现安全场景化的可操作性。“以最低的成本、最可行的操作，满足客户端安全场景化的需求，这就是微软的安全原则。”李亮如是说。

随着应用场景越来越丰富，攻击面也变得越来越大。企业如果想更好地抵御安全风险和威胁，首先要围绕着移动终端、电脑、物联网设备、服务器等实现全方位的安全保护。其次，要善于借助AI手段和工具。在企业搭建了完整的安全架构以后，如果仅依靠人来判断和处理安全事件往往会捉襟见肘。因为很多时候，数据泄露不是通过数据库平台，而是通过邮件或终端，这时候就可以借助AI，更高效且综合地判断每个安全信号、每个安全事件，并将它们全部关联起来进行分析，最终找到攻击者的路径，这样可以大大减轻人为跨系统排查的压力，安全防护的效果也更佳。最后，建立自动化、智能化的安全运营。微软的研究显示，90%以上的安全信号会关联做分析，分析之后大约70%～80%会自动化地进行处理和修复，再剩下的会根据优先级进行处理，而人为干预的只有3%～5%。所谓现代化的安全运营一定是自动化、智能化的，让安全防护事半功倍。李亮特别强调说，微软有一套全面的安全运营逻辑，并具有跨领域、跨平台的运营能力。

03

责任共担 云上安全更有保障

10月13日，微软年度技术大会Ignite 2022及Ignite China中国技术峰会同步在线上举行。会上，微软智能云矩阵发布了超过100项新服务和新功能。面对中国市场不断增长的客户需求，微软宣布多项Azure、Dynamics 365、Power Platform服务将落地中国北部三数据中心区域。其中，由世纪互联运营的Office 365上的Teams服务，以及由世纪互联运营的Microsoft 365服务，将于2023年上半年正式推出。

当前，企业上云的步伐正在不断加快。云上的安全问题也日益凸显。企业上云之后，是不是就万事大吉，所有的安全问题都可以放心地交给云服务商承担。企业客户、云服务商以及云中的生态伙伴在安全方面是否需要安全共担？各自的责任又如何划分？

“在多云成为新常态的情况下，安全重塑是最迫切的需求，这对安全厂商来说是非常重要的机遇。”徐明强认为，确保云上的安全，首先要通过自动化的监控、策略性的监控等，实现安全盲点的可见性和可控性；其次，通过自动化、集成化的工具，提高响应的速度、效率和有效性，确保敏捷高效的威胁防护；最后，在数据整个生命周期中实施一致性的数据保护。

企业在安全方面遇到的困难和挑战是工具不统一，技术也不相同，且每家的系统都有自己不同的虚拟层，日志也分散在不同地方。从微软的角度，它尊重用户在多云上的选择，其安全产品可以部署到不同的云上，实现统一的数据保护。

李亮表示，除了从技术架构、技术预案上实现安全责任共担以外，从安全本身来看，责任共担还有两个重要体现：第一，企业中的IT人员和非IT人员，应该拥有共同的安全意识，安全绝对不只是IT或者技术层面的问题；第二，技术路线的制定者以及最终被保护的人（包括员工、周边生态、上下游供应链）要实行安全责任共担，因为任何一个环境出现纰漏，都会给整个安全框架带来很大的影响。最关键的是，企业用户要接纳并严格执行这种安全责任共担。

安全是一项全面而复杂的系统性工程，仅靠微软一家是万万不行的。所以，在安全方面，微软一直强调整个生态的重要性。李亮介绍说：“从三四年前开始，我们就不断加强合作伙伴队伍建设，提升合作伙伴的安全能力，为其注入先进的安全思维。最近两年，我们特别鼓励合作伙伴为客户做安全检查，因为大多数的企业客户并不知道企业的安全已经出现了问题，而合作伙伴的安全检查可以帮助客户发现很多潜在的安全风险。”举例来说，微软通过与安永、普华永道这样的咨询公司合作，共同将先进的安全理念传递给客户，构建起既包括咨询服务能力，又有技术实施能力的“安全统一战线”。

你可能会咋舌，上一个财务年度，微软在安全上的营收达到150亿美元。更让人感觉震撼的是，微软计划未来5年在安全上的投入将超过200亿美元。安全绝对是微软业务的重中之重。  

往期回顾

◆微软智能云中国“铁三角”已成

◆戴尔科技集团+微软Azure Stack HCI：引领混合云上云新范式

◆世纪互联IBM CMS企业云：别拿我和亚马逊AWS和微软Azure比