我的位置：首页

微软每年豪砸安全研发 10 亿美元，聊聊背后的技术密码

新墨科技-AI 科技大本营 / 2021-04-13 18:43:42

从无序中寻找踪迹，从眼前事探索未来。

正值 IT 黄金十年新开端， CSDN 欲以中立技术社区专业、客观的角度，深度探讨中国前沿 IT 技术演进，现在推出年度重磅企划——「拟合」，通过对话企业高管大咖，跟踪报道企业前沿技术资讯，分享真知灼见，以点到面折射出中国 IT 技术最新动态，传播技术影响力，帮助开发者与企业捋清思路，共创数字经济新未来。

技术变革机遇和挑战并存，当下安全漏洞、攻击事故频出，如何保障企业的信息安全？

本期「拟合」将聚焦安全话题，追踪行业安全知名企业，打响“隐秘的角落”安全之战。

受访者 | 张美波

记者 | 伍杏玲

出品 | AI科技大本营（ID:rgznai100）

提到网络安全，不得不提到科技巨头微软。微软除了作为全球第一大软件厂商外，自身的业务横跨多个不同的领域，建立操作系统平台、Office 生产力套件、企业资源管理及数据库、软件开发语言、平台及工具、互联网服务、社交服务、人工智能、大数据分析等在内庞大的生态系统，同时也包含网络安全。

作为云厂商，微软 Azure 平台在全球有 60+个已提供服务或正在构建的云计算服务区域，向全球用户提供数百种不同的云计算服务。

如何确保如此庞大的业务安全和云计算服务平台安全性，成为了微软所面临的巨大挑战。因此微软在安全领域“大手笔”投入：每年在网络安全研发方面的投资超过 10 亿美元，汇集全球超 3500 名安全专家。

与此同时，微软过去一年在安全业务方面的收入超过 100 亿美元、位居全球第一，超 90% 全球财富 500 强企业正在使用微软提供的企业级安全产品与服务。2020 年5月，Gartner 发布《SolutionComparison for the Native Security Capabilities 》报告，首次全面评估全球 TOP 云厂商的整体安全能力，其中微软 Azure 获得全球云厂商最多的 High 评分，位列第一。

微软是如何做到的？对此，CSDN 专访微软顾问咨询服务大中华区 Cybersecurity 首席架构师张美波先生，揭开微软安全的技术密码。

张美波认为“实践是检验安全能力的唯一标准”。他虽然属于架构师，但是喜欢深入企业客户一线作战，直面全球安全威胁。因此是不折不扣的“实战型架构师”，人送外号“微软中国安全的头号打手”😉。

企业上云，四大安全痛点

去年微软 CEO 萨提亚·纳德拉曾表示，疫情下，数字技术比以往任何时候都更加重要，企业数字化转型迫在眉睫。在两个月内，我们见证了两年才能实现的数字转型进展。

拥抱云计算是企业数字化转型中的一个重要技术发展趋势，但是在企业上云的过程中也存在较多的安全痛点，张美波总结为以下四点：不信任云计算服务提供商、难以厘清安全责任关系、面临技术转型的调整与压力、以及难以实现有效的安全防护。

1、不信任云计算服务提供商

对于企业用户而言，以前的数据是放在自己的数据中心里，无论安全控制措施做的好坏与否，自己可直接控制。但是如果使用云计算服务，将数据放到公有云后，那这些数据是否会被云计算服务提供商访问或窃取？同时位于Internet 上的数据也为外部人员提供了访问途径。这必然是重要的安全顾虑。
云计算服务商存在系统故障和业务连续性的风险。由于云计算服务商集中存储数据、集中提供服务的原因，它的系统故障和业务连续性问题将导致更大范围的影响，例如 3 月 10 日，欧洲最大的云服务和网络托管服务运营商 OVH 位于法国斯特拉斯堡的一个数据中心发生火灾，导致约 360 万网站出现故障，近 1.5 万名用户的数据受到影响。
监管合规问题。一些特定行业的企业存在特殊的监管要求，目前可能还不鼓励甚至反对使用公有云的云计算业务。

谈到这，张美波举了一个例子“钱存银行”：

为什么我们能够放心的把钱存到银行呢？一是银行满足国家监管合规的要求，二是银行具有完善的安全防护措施，包括物理防护措施、技术防护措施和安保人员等等，从而能够让我们充分的信任它。

映射到云计算平台亦需如此。

2、难以厘清安全责任关系

这和技术转型有关，也和技术转型所带来的思维转型相关。

在云计算服务模式下的安全责任划分上，大家首先了解什么是“共享责任模型”。由于云计算服务的核心理念为“租用模式”，基于具体所使用的云计算服务类型的不同，您所拥有的安全控制和能力也不同，负责的安全责任也不同。

我们必须清楚的意识到，用户和云计算服务商是合作关系。因此为了实现有效和高效的安全防护，用户必须和云计算服务商进行充分和紧密的合作。所有安全团队甚至 IT 团队必须学习和理解这种“共享责任模型”，以适应云计算时代的新型安全技术和能力组合，从而避免无意中造成企业安全态势的缺口或重叠，导致出现安全风险或资源浪费。

3、面临技术转型的调整与压力。

技术转型是为企业数字化转型而服务的，安全转型也是为 IT 转型而服务的。

从技术层面来看，大多数企业应用系统经过多年积累而构建，迁移到云计算平台可能存在复杂的技术架构调整，同时在企业数字化转型和业务转型中也可能存在复杂的业务架构调整甚至发生颠覆性的重大变化，这将同样导致安全转型层面所面临的调整与压力。

如何在此转型过程中协调不同条线的利益关系，以企业数字化转型需求为目标，围绕业务生产力、可靠性和安全性等建立共同目标并制定安全战略，拥抱云计算、移动互联、大数据和人工智能等新技术，从而实现较为平滑和完美的整体转型，这对于企业而言是一个巨大的挑战。

4、难以实现有效的安全防护。

和前面三个难题不同的是，这一点主要在于技术与人员方面。云计算服务是 IT 世界针对传统企业 IT 场景的一场变革，对于安全而言也是一场变革。技术的变革必然带来使用场景的变革，以及所面对的安全风险的变革。在这个安全变革过程中，我们需要充分的认识到，我们不能完全使用传统企业 IT 环境的安全风险去映射到云计算的安全性，而是要刷新自己的思维，必须从云计算自身的技术架构和特性出发去评估潜在的安全风险。

但是这种变革往往是痛苦的，特别是在从传统企业安全转变到拥抱云计算安全的变革初期。这时，安全团队通常会沿用传统的企业安全思维去保护云计算服务和平台，便会遇到以下两个问题：

现有安全团队人员缺乏针对云计算安全相关的知识和技能，从而缺乏对于云计算服务相关的完善支持和防护能力，无法为企业有效的抵御和防范网络安全风险，从而无法对企业的业务转型和数字化转型提供有力的安全和决策支撑。
由于云计算服务的技术变革，我们所面临的安全架构也在进行变革。而传统的企业网络安全工具，往往缺乏针对云计算服务和平台的有效或者高效支持，以及针对云计算平台和服务的有效攻击防范和威胁检测，存在技术能力上的缺失。

上一篇：来了，不限速网盘PC客户端下一篇：首个中文医疗NLP挑战正式开榜啦！

开发方案