信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

在不久前舉行的Microsoft Ignite 2023大會(huì)上，微軟發(fā)布了零信任戰(zhàn)略和路線圖。這標(biāo)志著微軟的零信任“大棋局”已經(jīng)完成布局階段。零信任成為微軟安全戰(zhàn)略的核心，微軟將通過(guò)統(tǒng)一訪問(wèn)控制來(lái)加速零信任部署，通過(guò)整合XDR和SIEM提高零信任的檢測(cè)和響應(yīng)能力，通過(guò)人工智能全面賦能零信任技術(shù)創(chuàng)新。

微軟的零信任戰(zhàn)略：通過(guò)統(tǒng)一訪問(wèn)控制加速零信任部署

在Ignite 2023會(huì)議上，微軟明確表示，他們向信任模型的轉(zhuǎn)變是基于身份的。從現(xiàn)在開始，零信任全面滲透到微軟的安全策略中，微軟將以身份為中心的方法來(lái)定義和提供安全服務(wù)邊緣(SSE)解決方案，后者基于Microsoft Entra進(jìn)行互聯(lián)網(wǎng)、私有訪問(wèn)控制，使用Defender防護(hù)云應(yīng)用程序。

“企業(yè)必須始終假設(shè)攻擊已經(jīng)發(fā)生，這意味著需要持續(xù)監(jiān)控并產(chǎn)生大量的日志文件，”微軟身份和網(wǎng)絡(luò)訪問(wèn)副總裁亞歷克斯·西蒙斯(Alex Simons)在會(huì)議上表示，“微軟將通過(guò)統(tǒng)一的訪問(wèn)控制加速零信任部署。”

Simon強(qiáng)調(diào)了微軟對(duì)零信任核心原則的承諾，指出持續(xù)驗(yàn)證身份、最小特權(quán)訪問(wèn)以及“假設(shè)攻擊已經(jīng)發(fā)生”的核心零信任原則是微軟所有零信任、身份和網(wǎng)絡(luò)訪問(wèn)以及SSE開發(fā)的基石。

微軟的零信任會(huì)議還強(qiáng)調(diào)Entra權(quán)限管理是其零信任安全策略的核心，可用于強(qiáng)制執(zhí)行最小權(quán)限訪問(wèn)，并提供統(tǒng)一的界面來(lái)管理和監(jiān)控多云環(huán)境的權(quán)限。

總而言之，微軟在Ignite 2023上的安全公告確立了身份和網(wǎng)絡(luò)訪問(wèn)在微軟零信任集成戰(zhàn)略中的核心作用，通過(guò)統(tǒng)一訪問(wèn)控制加速零信任部署。微軟還公布了其內(nèi)部采用SSE、Entra和InTune的示例。

微軟的零信任拼圖

微軟SSE產(chǎn)品管理副總裁Sinead Odonovan在Ignite 2023上宣布，微軟的目標(biāo)是在2023年第四季度交付基于零信任的SSE解決方案路線圖的六大基礎(chǔ)功能（重點(diǎn)是安全Web網(wǎng)關(guān)和VPN替代品）：

●安全網(wǎng)關(guān)（M365，全部）

●用ZTNA替代VPN

●私有應(yīng)用的MFA-TCP和UDP

●Windows客戶端-與第三方SSE并行

●遠(yuǎn)程網(wǎng)絡(luò)-M365，所有應(yīng)用

●跨操作系統(tǒng)平臺(tái)支持（Android，MacOS，iOS客戶端）

微軟還計(jì)劃在2024年上半年全面推出Internet Access和Private Access。未來(lái)的路線圖規(guī)劃包括更多的解決方案來(lái)加強(qiáng)其零信任策略，包括改進(jìn)網(wǎng)絡(luò)DLP、BYOD支持、威脅防護(hù)和云防火墻：

資料來(lái)源：Microsoft Ignite 2023

用人工智能賦能零信任技術(shù)創(chuàng)新

在微軟的零信任戰(zhàn)略中，生成式人工智能扮演者至關(guān)重要的作用，不但用于幫助客戶部署成熟的零信任框架，還將廣泛賦能零信任技術(shù)創(chuàng)新。

微軟意識(shí)到在客戶的異構(gòu)環(huán)境中集成人工智能技術(shù)面臨很多挑戰(zhàn)，因此微軟的人工智能增強(qiáng)技術(shù)覆蓋了從持續(xù)監(jiān)控、自適應(yīng)威脅響應(yīng)到新興威脅防御的幾乎所有零信任技術(shù)堆棧，如下表所示：

資料來(lái)源：Microsoft Ignite 2023

統(tǒng)一XDR和SIEM

微軟在Ignite 2023上推出了新的統(tǒng)一安全運(yùn)營(yíng)平臺(tái)套件，集成了Microsoft Sentinel、Microsoft Defender XDR和Microsoft Security Copilot三大安全組件，通過(guò)集成SIEM、XDR和人工智能技術(shù)進(jìn)行實(shí)時(shí)威脅分析和響應(yīng)，幫助企業(yè)客戶持續(xù)監(jiān)控和自適應(yīng)威脅響應(yīng)。

微軟指出，統(tǒng)一XDR和SIEM的運(yùn)營(yíng)平臺(tái)套件對(duì)零信任至關(guān)重要，能夠確保檢測(cè)效率和緩解跨網(wǎng)段威脅。

為何微軟要整合三大安全組件殺入XDR市場(chǎng)？Forrester首席分析師Allie Mellen認(rèn)為：“安全從業(yè)者非常重視XDR的檢測(cè)質(zhì)量以及SIEM的靈活性。但是大家都有一個(gè)疑問(wèn)：為什么我需要在SOC中使用兩個(gè)相互獨(dú)立的產(chǎn)品（XDR和SIEM）來(lái)進(jìn)行檢測(cè)和響應(yīng)？”

“今天，越來(lái)越多的CISO開始關(guān)注“降本增效”，尋找各種整合數(shù)據(jù)的方法來(lái)節(jié)省成本。由于XDR和SIEM是分開的，用于檢測(cè)和調(diào)查的數(shù)據(jù)存儲(chǔ)在兩個(gè)不同的位置，產(chǎn)生了額外的支出，這對(duì)于已經(jīng)被SIEM不斷增長(zhǎng)的預(yù)算壓得喘不過(guò)氣的安全團(tuán)隊(duì)來(lái)說(shuō)是令人沮喪的。”

“此外，安全分析師希望獲得統(tǒng)一的分析師體驗(yàn)，以在同一個(gè)地方簡(jiǎn)化檢測(cè)、調(diào)查和響應(yīng)。而XDR和SIEM這兩種產(chǎn)品以前缺乏統(tǒng)一的分析師經(jīng)驗(yàn)，迫使安全分析師定期在兩種不同的視角和觀點(diǎn)之間進(jìn)行轉(zhuǎn)換。”

Mellen最后指出：“將XDR和SIEM整合為統(tǒng)一的分析師體驗(yàn)可以簡(jiǎn)化安全分析師的工作流程。他們可以在同一個(gè)界面調(diào)查和響應(yīng)XDR和SIEM事件，同時(shí)仍然保持XDR的檢測(cè)質(zhì)量和SIEM的靈活性。”