后疫情时代,全球企业和组织都在全速重构,迸发出数字化转型的内生动力——从支撑企业内部的生产活动或流程,转向促进业务变革和业务创新,IT与数字化被赋予更高的使命和更大的作用。这个背景之下,业务更开放、更灵活、更分散,企业的安全边界也变得越来越模糊。数据显示,2021年全球由勒索软件造成的损失约达到200亿美元,到2025年,网络犯罪每年将造成全球10.5亿美元的损失,企业安全态势日渐严峻。
对于安全而言,一个绕不过去的核心概念是“信任”,没有信任,一切都无从谈起。中国通信院2020年发布的《网络安全先进技术与应用发展系列报告——零信任技术(Zero Trust)》中也指出:企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。在这样的行业共识下,零信任作为近些年来兴起的一种安全理念和思想,着力提升了信息化系统和网络安全的整体性,受到了广泛的关注。
构建零信任为企业数字化转型“保驾护航”,这与微软的安全战略不谋而合。多年来,微软一直致力于提高客户的安全性,通过身份和访问管理、威胁防护、云安全性和合规性等解决方案,保障数字安全的第一道防线。据统计,目前有90%的“财富100强”企业使用超过四项微软安全、合规、身份以及管理方面的安全服务;微软云应用安全服务(MCAS)保护全球超过1亿用户、微软智能云每天处理和分析超过24万亿的安全信号数据、微软合规工具每月对超过50亿份文档进行分类分级、Azure AD每天处理超过300亿个身份认证…… 微软打造的多重防护产品,正在帮助越来越多不同行业的客户在安全的前提下,实现业务的可持续发展。
为西门子打造覆盖全球业务的“零信任”战略
当世界上业务规模最大的公司之一准备制定面向未来的安全计划,它需要一个可扩展、灵活的解决方案来适应其复杂的IT环境。西门子就是一个很好的例子。
总部位于慕尼黑的西门子以创新为基础,其创造力覆盖了数字企业解决方案、交通运输、楼宇安全设备等多个范畴,业务足迹遍及全球 200 个国家和地区,是目前世界上最大的电气工程和电子公司之一。西门子的庞大规模,加之全球的合规性与安全性法规的不断更新,使其网络安全面临挑战,西门子渴望在零信任原则基础上建立更具前瞻性的安全战略,实现动态安全架构的实时响应。
西门子计划从身份管理(包括外部各方的访问)、数据和端点三方面启动其零信任战略。在微软的支持下,西门子通过其早先部署的Microsoft 365,实施了包括Azure AD、 Microsoft Endpoint Manager、Microsoft Defender for Identity 和 Microsoft Information Protection在内的一系列安全产品,打造了西门子的零信任态势的基础,为持续、动态的安全强化创建蓝图。
该团队首先使用 Azure AD 和本地 Active Directory 管理用户身份,借助 Microsoft Defender for Identity 保护对其本地身份的访问,并使用基于条件的访问控制策略来管理用户身份、数据和设备;Microsoft Defender for Identity提供的安全分析及洞察则为西门子的安全分析师提供参考,进而减少攻击面;作为建立零信任的关键技术之一,Microsoft Information Protection被视作西门子主要的数据分类工具,帮助这家企业发现、分类和保护敏感数据,之后通过Microsoft Cloud App Security扩展数据安全视图,以控制数据传输并管理对西门子资源和应用程序的访问;此外,西门子还通过部署Microsoft Defender for Endpoint实时定位配置问题和安全漏洞,并监控和阻止对端点的威胁;Microsoft Intune 中的免注册移动应用管理 (MAM-WE) 为高度机密的数据增加了一层额外保护,并将该保护扩展至西门子数据所在的任何地点。
对于微软为西门子提供的综合性安全解决方案,西门子表现出了高度认可与肯定。西门子数字身份服务负责人Mueller-Lynch表示:“能够针对西门子庞大、复杂的IT环境生成综合性洞察,在全球范围内,有能力打造这样一套解决方案的技术提供商屈指可数,这正是我们选择微软的原因所在。”
“在任何地方,使用任何设备与我的同事进行安全高效协作”
成立于1975年的桥水基金(Bridgewater),如今是全球最大对冲基金公司,服务全球最有影响力的投资者。通过对全球经济和市场的宏观经济趋势的不断研究,为其客户制定交易和投资组合构建策略。
过去,桥水基金的安全策略是将公司所有的文件内容置于企业边界网络防火墙之内,但这严格限制了员工远程协作的能力,让差旅员工或居家办公员工难以访问信息。与此同时,新常态下远程办公兴起、与合作伙伴和供应商之间共享数据,以及访问云上数据的需求,迫使桥水重新评估其安全边界。桥水生产力和端点工程主管 Anthony Golia 表示:“我们的安全愿景是‘提高生产力、强化协作,提供全面移动访问’,想要实现这一目标,就需要彻底改革技术。”
桥水选择与微软合作创建零信任安全框架,使用 Microsoft 365 为员工提供对文档、电子邮件和数据的无缝访问,同时仍保持严格的安全标准。通过零信任框架提供的安全远程访问,使桥水的员工能够在任何地方实现协作,提供满足客户对于业务敏捷性的高标准要求。有了更精细的安全控制,桥水可以为使用非信任网络(例如酒店、家庭办公室和机场)的员工开系统的访问权限,而不是将所有东西都放在防火墙后。
这一合作的成功为桥水的零信任之旅打开了局面。在此基础上,桥水还与微软从三个方面夯实了其零信任措施:
无密码认证进行身份验证——Azure AD 是桥水零信任措施的基础身份管理解决方案。它使员工能够对工作所需的所有微软应用程序和其他云服务使用单点登录 (SSO)。借助来自微软安全威胁情报流的信号,Azure AD中的Identity Protection 还可以识别异常登录尝试,例如位置、IP 地址和可能泄露的凭证,从而通知可以阻止用户、重置密码或需要 MFA 的条件访问策略。选择安全的硬件设备——在桥水的技术人员看来,Surface在设计之初就考虑到了安全性,是企业最为理想的办公设备。因此Surface也成为了桥水指定的、开放企业环境访问权限的设备之一。此外,桥水还借助Microsoft Endpoint Manager 对企业办公设备进行统一管理。对基础服务进行保护——作为桥水交易决策的数据和分析中心,Microsoft Office中的SharePoint和OneDrive不仅提供了安全的文件存储和共享功能,还能够充当可信网关,桥水可在其中对公司资产进行检查、标记、加密和监控,之后再开放给零信任环境中的设备进行访问。
一系列的合作让桥水基金建立了对微软的高度信任。桥水基金首席技术官Igor Tsyganskiy 表示:“对于桥水来说,微软最具价值的能力就是其端到端安全愿景。没有一家技术厂商可以像微软这样,从硬件、操作系统,到生产力工具、云服务和云安全情报,都能够提供相同级别的安全愿景和技术集成。”
秉承初心使命,持续加大投入
微软多云、多平台安全产品服务于全球71.5万客户,这背后依靠的是微软每年在安全产品和技术研发方面超过40亿美元的投入,未来5年投资还将超过200亿美元;强大而高效的微软安全解决方案与服务的背后,更有全球8,500位安全专家为服务全球的平台、工具、服务及终端设备提供不间断的安全保护。针对云、移动设备和边缘平台成为企业创新和强化韧性的选择,微软也推出了一系列针对多云的技术支持,助力客户全面拥抱多云环境:
通过将Microsoft Defender for Cloud的原生功能扩展,在不同的云系统上保护的客户。自此微软成为目前唯一一家为业界三大平台(Azure、AWS、GCP)提供原生多云保护的云服务提供商;去年收购云基础设施权限管理(CIEM)的领导厂商CloudKnox Security,用以提升帮助客户管理多云环境中的权限、加强零信任安全态势方面的能力;近期发布CloudKnox权限管理平台(CloudKnox Permissions Management)的公众预览版,为跨云的用户和工作负载身份提供了完整的可见性;通过Azure Active Directory(Azure AD)保护工作负载身份;使用Azure Payment HSM保护云上支付流程,可对加密密钥和客户PIN进行最高级别的保护,以实现安全支付交易。
“予力全球每一人、每一组织,成就不凡。”微软始终秉承这一使命,在全球数字化进程加速、数字化威胁的安全态势下提供安全可信的保障,让企业无后顾之忧地进行技术创新、业务发展,搭建通往零信任的数字安全桥梁。