萬物互聯時代,現代企業如果僅依靠本地安全防護體系,從物理邊界部署安全策略,很難預見內部安全隱患。面對多終端安全漏洞,網路攻擊者會採取竊取身份憑證等手段,不斷威脅企業安全體系。當下,企業安全往往面臨如下痛點:
- 企業決策者如何兼顧安全防護與穩定服務;
- 如何在安全防護領域,實現降本增效;
- 雲時代,如何防護上雲企業的 IT 裝置、員工資訊;
- IT 部門重複性工作繁重,如何實現自動化運維。
進擊的零信任
當傳統以邊界為核心的安全防護體系遭遇瓶頸,零信任、原生雲安全等理念隨之興起,為企業建設新一代安全體系提供了指引。2021年可信雲大會上,“零信任”便被納入到中國信通院雲端計算與大資料研究所正式釋出的“2021雲端計算十大關鍵詞”之中。簡而言之,零信任(Zero-Trust)是一種理念而非具體技術。這種安全理念,不再區分內外網,而是需要在不可信網路中構建基於身份動態的可信訪問安全體系。
當下,零信任與原生雲安全正處於不斷融合態勢。在研發階段,越來越多的企業開始以零信任原則設計應用系統,雲服務或雲上應用來實現原生零信任,由此大幅提升安全能力;在運營階段,零信任作為雲安全產品不斷原生化,零信任從私有化部署向 SaaS 服務演進,能夠應對海量訪問請求,同時微隔離作為零信任關鍵技術,對雲內東西向流量進行訪問控制,彌補傳統安全防護機制在雲環境應用的不足。
整體而言,架構企業安全體系,從來不是獨角戲,無法依靠某一個專屬團隊完成。這需要商業/技術領導層、架構師和技術經理以及實施團隊的通力合作。以微軟為例,表現為以下三個方面:
- 微軟架構零信任模型時,自上而下的流程依次為確保數字化轉型、業務和安全整合、制定安全策略程式、部署架構和策略以及在技術層面上的規劃與實施;
- 微軟體系下的零信任架構元件:安全運營中心、雲服務保護、裝置管理、混合雲架構安全、loT 及 OT 安全架構、資訊保護、身份管理、人員安全;
- 微軟架構零信任模型四大階段:核對身份、核對裝置、核對訪問、核對服務。
微軟的硬實力
應對持續變化的網路安全風險,微軟長期關注零信任領域發展變革,並進行深入探索實踐。即將上線的微軟 IT 直播間,會針對微軟 IT 管理、微軟企業安全經驗下的優選實踐進行分享。整體而言,微軟在安全領域沉澱如下優勢:
- 基於網路安全參考架構(MCRA),微軟利用各類安全服務、安全產品與微軟智慧雲矩陣平臺,保障全球150多個國家、30多萬員工、64萬臺裝置每時每刻的安全訪問;微軟將90%+業務應用安全遷移上雲,將完整的本地體驗從微軟雲傳輸到個人任何裝置,隨時隨地進行高效辦公和團隊協作,讓 IT 部署更靈活,開展業務更便捷。
- 微軟目前已經將零信任安全模型踐行於公司內部,讓零信任安全戰略貫穿於組織的架構、技術選型、運營流程以及組織的整體文化和員工的思維方式。在持續零信任實踐過程中,微軟基於“永不信任,始終驗證”的理念,提出了自己零信任原則:進行顯式驗證、授予最小特權訪問、假定違規。
- 為保證企業短期安全需求與長期安全戰略間的統一性,微軟為有序推進“零信任”系統工程實踐,微軟提出零信任成熟度模型,將其劃分為傳統、中期、理想3重階段,並開發了零信任評估工具來助力客戶確定在零信任實施過程中所處的階段,並針對零信任的關鍵節點提供下一步實施計劃和部署指南。實施部署過程中,微軟建議企業從身份、裝置、應用程式、資料、基礎結構和網路這6要素進行推進完善,進而持續加固企業的安全防護體系。
- 微軟基於自身數字化轉型經驗,從理論到實踐提供 Azure 遷移支援,從人力、規劃和過程、技術3方面提出了整體實踐方案。組織人力層面上,宜自上而下推動文化變革、建立完備的遷移中心,確保利益相關者參與以及提供學習途徑與認證;規劃和過程中,設定規劃遷移策略,小處著手跟蹤遷移並優化雲支援;技術佈局上,將網路標識擴充套件至 Azure 以建立強大的安全基礎,並提供不斷髮展的工作負載管理方法以及遷移工具。
瞭解更多有關零信任及微軟 IT 優選實踐內容,即刻掃碼,鎖定直播。
