對于安全而言，一個繞不過去的核心概念是“信任”，沒有信任，一切都無從談起。中國通信院2020年發(fā)布的《網(wǎng)絡(luò)安全先進技術(shù)與應(yīng)用發(fā)展系列報告——零信任技術(shù)（Zero Trust）》中也指出：企業(yè)內(nèi)外部的任何人、事、物均不可信，應(yīng)在授權(quán)前對任何試圖接入網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)資源的人、事、物進行驗證 [2]。在這樣的行業(yè)共識下，零信任作為近些年來興起的一種安全理念和思想，著力提升了信息化系統(tǒng)和網(wǎng)絡(luò)安全的整體性，受到了廣泛的關(guān)注。

　　構(gòu)建零信任為企業(yè)數(shù)字化轉(zhuǎn)型“保駕護航”，這與微軟的安全戰(zhàn)略不謀而合。多年來，微軟一直致力于提高客戶的安全性，通過身份和訪問管理、威脅防護、云安全性和合規(guī)性等解決方案，保障數(shù)字安全的第一道防線。據(jù)統(tǒng)計，目前有90%的“財富100強”企業(yè)使用超過四項微軟安全、合規(guī)、身份以及管理方面的安全服務(wù)；微軟云應(yīng)用安全服務(wù)（MCAS）保護全球超過1億用戶、微軟智能云每天處理和分析超過24萬億的安全信號數(shù)據(jù)、微軟合規(guī)工具每月對超過50億份文檔進行分類分級、Azure AD 每天處理超過300億個身份認證…… 微軟打造的多重防護產(chǎn)品，正在幫助越來越多不同行業(yè)的客戶在安全的前提下，實現(xiàn)業(yè)務(wù)的可持續(xù)發(fā)展。

　　當世界上業(yè)務(wù)規(guī)模最大的公司之一準備制定面向未來的安全計劃，它需要一個可擴展、靈活的解決方案來適應(yīng)其復(fù)雜的IT環(huán)境。西門子就是一個很好的例子。

　　總部位于慕尼黑的西門子以創(chuàng)新為基礎(chǔ)，其創(chuàng)造力覆蓋了數(shù)字企業(yè)解決方案、交通運輸、樓宇安全設(shè)備等多個范疇，業(yè)務(wù)足跡遍及全球 200 個國家和地區(qū)，是目前世界上最大的電氣工程和電子公司之一。西門子的龐大規(guī)模，加之全球的合規(guī)性與安全性法規(guī)的不斷更新，使其網(wǎng)絡(luò)安全面臨挑戰(zhàn)，西門子渴望在零信任原則基礎(chǔ)上建立更具前瞻性的安全戰(zhàn)略，實現(xiàn)動態(tài)安全架構(gòu)的實時響應(yīng)。

　　西門子計劃從身份管理（包括外部各方的訪問）、數(shù)據(jù)和端點三方面啟動其零信任戰(zhàn)略。在微軟的支持下，西門子通過其早先部署的 Microsoft 365，實施了包括Azure AD、 Microsoft Endpoint Manager、Microsoft Defender for Identity 和 Microsoft Information Protection 在內(nèi)的一系列安全產(chǎn)品，打造了西門子的零信任態(tài)勢的基礎(chǔ)，為持續(xù)、動態(tài)的安全強化創(chuàng)建藍圖。

　　該團隊首先使用 Azure AD 和本地 Active Directory 管理用戶身份，借助 Microsoft Defender for Identity 保護對其本地身份的訪問，并使用基于條件的訪問控制策略來管理用戶身份、數(shù)據(jù)和設(shè)備；Microsoft Defender for Identity 提供的安全分析及洞察則為西門子的安全分析師提供參考，進而減少攻擊面；作為建立零信任的關(guān)鍵技術(shù)之一，Microsoft Information Protection 被視作西門子主要的數(shù)據(jù)分類工具，幫助這家企業(yè)發(fā)現(xiàn)、分類和保護敏感數(shù)據(jù)，之后通過 Microsoft Cloud App Security 擴展數(shù)據(jù)安全視圖，以控制數(shù)據(jù)傳輸并管理對西門子資源和應(yīng)用程序的訪問；此外，西門子還通過部署 Microsoft Defender for Endpoint 實時定位配置問題和安全漏洞，并監(jiān)控和阻止對端點的威脅；Microsoft Intune 中的免注冊移動應(yīng)用管理 (MAM-WE) 為高度機密的數(shù)據(jù)增加了一層額外保護，并將該保護擴展至西門子數(shù)據(jù)所在的任何地點。

　　對于微軟為西門子提供的綜合性安全解決方案，西門子表現(xiàn)出了高度認可與肯定。西門子數(shù)字身份服務(wù)負責人 Mueller-Lynch 表示：“能夠針對西門子龐大、復(fù)雜的 IT 環(huán)境生成綜合性洞察，在全球范圍內(nèi)，有能力打造這樣一套解決方案的技術(shù)提供商屈指可數(shù)，這正是我們選擇微軟的原因所在。”

　　成立于1975年的橋水基金（Bridgewater），如今是全球最大對沖基金公司，服務(wù)全球最有影響力的投資者。通過對全球經(jīng)濟和市場的宏觀經(jīng)濟趨勢的不斷研究，為其客戶制定交易和投資組合構(gòu)建策略。

　　過去，橋水基金的安全策略是將公司所有的文件內(nèi)容置于企業(yè)邊界網(wǎng)絡(luò)防火墻之內(nèi)，但這嚴格限制了員工遠程協(xié)作的能力，讓差旅員工或居家辦公員工難以訪問信息。與此同時，新常態(tài)下遠程辦公興起、與合作伙伴和供應(yīng)商之間共享數(shù)據(jù)，以及訪問云上數(shù)據(jù)的需求，迫使橋水重新評估其安全邊界。橋水生產(chǎn)力和端點工程主管 Anthony Golia 表示：“我們的安全愿景是‘提高生產(chǎn)力、強化協(xié)作，提供全面移動訪問’，想要實現(xiàn)這一目標，就需要徹底改革技術(shù)。”

　　橋水選擇與微軟合作創(chuàng)建零信任安全框架，使用 Microsoft 365 為員工提供對文檔、電子郵件和數(shù)據(jù)的無縫訪問，同時仍保持嚴格的安全標準。通過零信任框架提供的安全遠程訪問，使橋水的員工能夠在任何地方實現(xiàn)協(xié)作，提供滿足客戶對于業(yè)務(wù)敏捷性的高標準要求。有了更精細的安全控制，橋水可以為使用非信任網(wǎng)絡(luò)（例如酒店、家庭辦公室和機場）的員工開系統(tǒng)的訪問權(quán)限，而不是將所有東西都放在防火墻后。

　　這一合作的成功為橋水的零信任之旅打開了局面。在此基礎(chǔ)上，橋水還與微軟從三個方面夯實了其零信任措施：

　　一系列的合作讓橋水基金建立了對微軟的高度信任。橋水基金首席技術(shù)官 Igor Tsyganskiy 表示：“對于橋水來說，微軟最具價值的能力就是其端到端安全愿景。沒有一家技術(shù)廠商可以像微軟這樣，從硬件、操作系統(tǒng)，到生產(chǎn)力工具、云服務(wù)和云安全情報，都能夠提供相同級別的安全愿景和技術(shù)集成。”

　　微軟多云、多平臺安全產(chǎn)品服務(wù)于全球71.5萬客戶，這背后依靠的是微軟每年在安全產(chǎn)品和技術(shù)研發(fā)方面超過40億美元的投入，未來5年投資還將超過200億美元；強大而高效的微軟安全解決方案與服務(wù)的背后，更有全球8,500位安全專家為服務(wù)全球的平臺、工具、服務(wù)及終端設(shè)備提供不間斷的安全保護。針對云、移動設(shè)備和邊緣平臺成為企業(yè)創(chuàng)新和強化韌性的選擇，微軟也推出了一系列針對多云的技術(shù)支持，助力客戶全面擁抱多云環(huán)境：

　　“予力全球每一人、每一組織，成就不凡。”微軟始終秉承這一使命，在全球數(shù)字化進程加速、數(shù)字化威脅的安全態(tài)勢下提供安全可信的保障，讓企業(yè)無后顧之憂地進行技術(shù)創(chuàng)新、業(yè)務(wù)發(fā)展，搭建通往零信任的數(shù)字安全橋梁。

　　[1] https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/

　　[2] http://www.caict.ac.cn/kxyj/qwfb/ztbg/202008/P020200812382865122881.pdf
　　來源：微軟科技微信公眾號