頻繁刷屏網安圈的微軟安全，這次給我們什麼啟示？

編者按

今年以來，微軟公司頻繁被國內網路安全從業者關注。引起最多討論的是三件事：

1、2021年1月，微軟CEO宣佈微軟在2020年的安全業務收入達到100億美元，年增長率超過40%。一時之間，安全行業紛紛熱議“原來微軟才是全球最大的網安廠商”！

2、2021年6月25日，微軟正式釋出Windows 11，特別提到Windows 11提供了一個“零信任安全防護模式”的作業系統，來保護資料和跨裝置訪問。

3、2021年7月14日，微軟正式釋出Windows 365，再次提及Windows 365服務遵從“零信任”原則，從設計源頭確保安全。

頻繁在網安圈刷屏的微軟安全給了國內廠商什麼啟發？此次釋出Windows 365對零信任市場有什麼影響？

本期產業安全TALK分享一篇來自“零信任產業標準工作組”的分析文章，從另一個角度分析微軟的舉措。

作者：黃超

編輯：罐子

原標題：《微軟釋出 Windows 365因零信任刷了屏，“原生”零信任時代加速到來》

微軟Windows365這兩天刷了屏，朋友圈裡也看到大家很興奮，“有了Win365 就不需要其他零信任產品了”、“微軟出顛覆性零信任方案了”、“零信任新玩法誕生”……好像沒有人太關心Win365本身的功能，反倒是對Win365用了零信任理念充滿興趣。

先摘錄微軟官方介紹：

大家的反應，我也很興奮和感慨。興奮的是微軟這樣的國際IT巨頭也在積極擁抱和實踐零信任，甚至是在產品釋出時也借用零信任概念傳播，說明零信任在業界已成為事實的安全新理念、新思潮、新趨勢；感慨的是，Win365的釋出，也說明各大廠商開始在自身的產品、服務的設計和研發過程就考慮和應用了零信任理念和原則，可以預見，後續市場上各種產品將“原生”整合零信任，這將為零信任的進一步普及和行業的整體安全水平提升有很大的貢獻。——微軟官方

Win365本質上是雲電腦

Win365本質上是Cloud PC（雲電腦），為使用者提供雲端的完整 PC 體驗，支援 Windows 10 及 Windows 11（當然是微軟自己的OS），優勢和其他雲電腦產品一樣，允許使用者裝置登入，讓 IT 人員能夠按需進行擴容或減容、簡化PC的部署、更新以及管理等。

雲電腦並不是什麼新產品，2018年華為就推出了雲電腦，支援除了華為M5平板、P20、Mate 10和Mate RS等手機訪問雲端PC，2019年Valve遊戲公司推出了Steam Link,可以串流Steam遊戲庫到安卓和iOS裝置,包括手機、平板以及電視等，2020年9月阿里雲推出“無影”雲電腦、2020年11月百度推出雲手機等等。各家都根據自己的特點，提供雲端的終端（電腦、平板、手機）系統託管服務，支援不同的OS執行在雲端，使用者可以用計算能力不需要很強的端側裝置訪問雲端PC的服務和資料。

微軟為什麼要用零信任理念？

回到零信任，為什麼微軟這次會用零信任理念來設計Win365. 這就要回顧下零信任的初衷和目標，提供端到端的安全防護能力，核心是保護資料和服務安全。零信任的原則之一就是要儘可能的收斂攻擊面。Win365是透過將使用者終端側的資料，透過雲電腦的模式，儲存在雲端，儘可能少的在使用者終端留存，從而減少因為惡意攻擊終端而造成的資料洩露或破壞。雲電腦的模式，天然的能夠減少終端上資料的暴露面，與零信任的理念直接契合。

但是終端資料在雲端儲存，就能解決所有的安全風險嗎，顯然也是不可能的。即使用了雲電腦，使用者還是需要透過某個終端去訪問雲端資源，對使用者身份的校驗、對使用者裝置身份的校驗、對使用者裝置的安全性評估、對使用者訪問請求報文的安全加密等等，在零信任的理念下，一樣也不能少。

想起了有一種終端側做零信任資料保護的思路，應用沙箱，透過沙箱來隔離終端上的APP和資料，做到終端側攻擊面的儘可能收斂（即使某個APP被攻破，不會影響其他APP和資料），與雲電腦的資料保護目標也有相似性。而且雲電腦在雲端仍然可以用沙箱來做防護，實現更高層級的攻擊面收斂。

Win365並非零信任的萬能藥

Win365並不是零信任的“萬能藥”，也不是雲電腦的“終極形態”，但是微軟用零信任來設計和實現自家產品的做法，勢必會為其他廠商重視零信任、“原生”整合零信任帶來示範作用。我也非常期待更多的產品提供原生的零信任安全能力，如此以來，使用者在使用零信任理念設計網路安全架構的時候，能夠與安全廠商提供的整體零信任解決方案更好的適配和協同，從而為使用者全面實踐零信任打下更好的基礎。

以上觀點僅代表零信任產業標準工作組專家個人，歡迎交流！