從左到右：李亮（主持人）、張美波、蔣濤、韋青

掃描上方二維碼直達精彩回顧

整理 | 伍杏玲

出品 | CSDN（ID：CSDNnews）

全球數字化轉型浪潮不斷推進下，企業上云步伐加快，在這個過程中不少企業發現，隨著 IT 基礎設施逐漸云化，云改變企業的底層基礎設施架構，安全也隨之往云化，傳統安全架構不再適用于云上。

伴隨AI、云計算等前沿技術的發展，外部安全攻擊趨于智能化、復雜化、規模化，云上防護的方式變得更多元化、復雜化，部署強大的安全架構是企業迫在眉睫的事。那么在具體實現時，企業如何加強自身的云安全防御架構？

8 月 11 日，由 CSDN、微軟聯合重磅打造，致力于用「用技術驅動商業變革」的《刷新 CTO》第五期，圍繞《重新定義云時代企業安全，你 Get 到了嗎？》為話題，首次走近微軟數字安全中心，盛邀?CSDN 創始人&董事長、極客幫創投創始合伙人蔣濤，微軟(中國) 首席技術官韋青，微軟企業服務大中華區 Cybersecurity 首席架構師張美波，在微軟大中華區 Microsoft 365 高級產品市場經理李亮的支持下，共同探討云時代下，企業如何搭建安全防護？

立即點擊視頻觀看精彩瞬間：（文末將有小視頻揭曉神秘的微軟數字安全中心哦~）

重點速覽

• 傳統安全基于“確定性”，知道敵人是誰，清楚敵人可能從哪個門進來，我們提前將這個門修好，城墻加固。如今進入云時代，確定性的系統安全變成一個偽命題，我們進入了一個“確定性終結”的時代。
  

• 我們往往在軟件的部署階段才去評估其安全性，這并不是最優的。“安全左移”后，應從軟件開始規劃、設計、構建階段時就該考慮其安全問題。

• 需將安全、可信和可控分開，廠商通過不斷打怪來提高自己的能力，可信與可控則需要更高層的法律與制度來約束。

• 企業進行架構轉型時，對應的安全架構也將轉型，安全是任何技術的基礎。即使技術做得再好，如果沒有安全的話系統像建在沙灘上的城堡，隨時可能會倒。

• 微軟這樣描述自己的軟件開發生命周期：從第一行代碼開始我們考慮安全的設計。

• 安全是整個社會或者雙方責任，是共享責任。

• 每個人是“安全上下文語意條件下的一分子”，每個人可以為安全做貢獻，同時還可能是一個漏洞。

• 作為管理者關心的問題：第一有沒有安全等級標準，第二有沒有不同的安全技術方案選擇。

• 安全是微軟的核心戰略方向，微軟 CEO 薩提亞·納德拉曾表示，我們承諾給客戶提供安全和隱私。

• 每個公司應結交一位安全界朋友，一是讓對方幫忙監測企業系統；二是萬一企業出現安全事故后，可請安全專家解決。

云安全區別傳統安全：沒有邊界限定

李亮（主持人）：如今我們談的“安全”與 5~8 年前的“安全”有很大差別，在您看來現代安全和傳統安全有什么區別？

韋青

韋 青：微軟在 Windows 時代，安全就是核心話題，但那個時代的安全，是具備一定確定性的，也就是說我們還是大致知道“敵人”是誰，安全威脅可能會從哪個門進來，我們先把這個門修好或城墻加固。

如今進入云原生時代，我把它稱為“確定性的終結”。安全的領域，變得越來越復雜，需要我們改變思路，以“復雜系統論”的角度重新審視安全的定義和相關的策略。

其實我們現在所處的時代主旋律就是不確定性，是復雜的、混沌的，系統中各個元素以及系統與系統之間不斷融合、涌現，其本質就是“不確定的”。這種不確定性，也表現在其他領域，比如物理領域從“確定的”牛頓物理進入介于“確定與不確定”之間的量子物理，產品開發從“固定的”瀑布式開發進入“動態迭代”的敏捷式開發，人工智能領域從符號主義進入聯結主義，也就是從認為世界現象是可預判的“還原論”進入認為世界現象是復雜的“整體系統論”。因此，在這個萬物互聯的時代，當有人在不加前提約束的條件下簡單問“你的系統安全否？”就變成一個偽命題。在這樣一個復雜的動態環境下，對系統安全的定義必須基于“零信任”，也就是先預判肯定會有問題，隨時會動態、隨機地出現新的威脅和漏洞，一個系統的安全能力需要表現為能夠隨時、高效地應對“不確定”安全威脅的能力，而不是死板的預先設定能夠防衛哪種威脅。

微軟有一個說法“Azure as the world’s computer”，Azure實際就是一個管理遍布全球電腦的操作系統，集數據的采集、傳輸、存儲、計算、應用、展現、通訊和交互于一體。這么龐大復雜的架構，使我們根本不能簡單依靠人的經驗預判哪里會有“敵人”入侵，只能憑靈活多變、實時的反應機制，并且基于大數據的機器學習能力，建立起一個安全、合規的基礎架構。所謂的“確定性”沒有了，我們不是要預先搭建一個“固若金湯”的系統，而是在零信任基礎上，不斷地搭建一些技術來保證動態反應，系統可隨時應對外界的安全變化。

企業安全挑戰

蔣濤

蔣濤：隨著網絡邊界和企業業務的滲透，企業在數字化后將會發現安全有可能存在巨大的潛在風險和問題。

一是企業代碼擁有不同的開源庫，開源庫里本身可能存在安全隱患，二是程序員或第三方開發商開發的代碼，大部分公司沒有一套安全檢測手段來做安全檢查，很多企業的安全監測尚處于初級的階段。

兩位微軟安全專家曾撰寫過書籍《編寫安全的代碼》，通過大量的實例和代碼，詳細地分析說明了編寫安全應用程序的方方面面，提供許多實用技術內幕。

從這我們看到，程序員需經過基礎培訓從而來寫出安全代碼。但在現實中，近乎 99.9%的程序員沒經歷過安全代碼的培訓，公司也沒有配備上線前的安全檢測，甚至大部分企業沒有配置專門的安全工程師。這些公司基本處于完全不設防的狀態，這是件非常可怕的事情。

企業往往在遇到安全問題后才想到防范，這跟人生了病才會去看醫生一樣，平常讓他注重健康，他便不以為然。

現在大多數人停留在點上：代碼是否安全、數據是否安全、帳戶是否安全。但安全是“系統”工作，如果有一個地方有漏洞，其他的沒什么價值。

從企業的角度上，他們面對這樣的變化需要在思維上做怎樣的轉變？

蔣 ?濤：企業需要做一些安全培訓課程。開發者寫安全代碼是基礎部分，同時將安全工具化作為上線的第一層檢測，每個公司需要做代碼靜態分析。其次，幫助業務和運營人員建立基礎安全知識，大部分老板沒有這種意識。

張美波：蔣老師說的是“安全左移”，為什么稱為“左移”？軟件有規劃、設計、構建、測試、部署階段，但往往在軟件的部署階段，我們再去評估安全性，這是非常不好的。如今我們想從開始規劃、設計、構建、階段時就該考慮安全性。

云時代下，技術架構安全挑戰

張美波

云時代下，從整體技術架構上現在遇到哪些問題？

張美波：從兩個維度來看：一是企業在數字化轉型中基礎技術架構變化；二是目前面臨的安全威脅和攻擊行為的變化。

在企業數字化轉型后，原來企業以網絡為邊界，如今隨著企業規模越來越大，網絡架構越來越復雜，隨著移動互聯的發展，企業邊界已逐漸變大。再加上云計算，企業的數據和應用已慢慢地移出網絡邊界，進入到 Internet 上。假如這個企業是做物聯網的，那基本就沒有邊界了。

所以就會遇到這樣的問題：原來是依賴于網絡為邊界，分為內部網絡和外部網絡，普遍認為內部網絡是可信的。如今由于邊界模糊了，不能再把網絡作為安全邊界，零信任架構應運而生。

零信任架構的核心是把防控策略下沉，從原來以網絡為邊界、到現在以用戶身份驗證憑據為邊界，下圖是微軟的零信任架構圖，首先是身份驗證，還有利用網絡、應用、數據、基礎架構等六個核心的資源組進行不同的防控。

企業上云，到底安不安全？

李亮（主持人）

李亮（主持人）：現在一些企業固有的傳統觀念里認為上云后不安全，內心不免有些抵觸，關于云和自建平臺誰更安全的問題，您怎么看？

蔣濤：大部分公司沒有安全系統，即使采購安全系統也是小量。而每一家云公司肯定是被攻擊最厲害的，從云系統來看，他們是安全的。

隨著國家對數據、系統安全的要求越來越嚴格，肯定是上云后將更安全。把數據放在自建平臺就好比放在家里，你以為屋子沒有漏洞，但對專業選手來說全部都是破洞，可能對他來說，就是沒有圍墻的院子可隨便來逛。

張美波：這也可以用“錢分別放在銀行和家里”來做比喻。從專業性上看，云廠商的安全加固措施、安全防護措施會更加完善，只是我們擔心數據會不會被它拿走，而微軟云強調透明性、隱私保護和安全性。

在云計算時代，安全廠商、云計算廠商和客戶是共享責任。即便我們使用的是云上的 IaaS、PaaS、SaaS 服務，但并不意味著企業和客戶把相應的安全責任轉移給云廠商。云廠商更多的是提供技術層面的武器，但是如何利用好這技術，這是企業的責任，需從企業安全架構層面、從安全實現技術路線上來做分析。

韋青：我們要把安全與可信和可控分開來看。如果純粹從安全，從 Safety、Security 來講的話，像剛才蔣老師說的，一定是云計算公司較安全。這和游戲升級打怪一樣，打了幾百億的“怪”生存下來的人，肯定是最厲害的人。

但是否可信？這不只是技術問題，而是由法律、法規來決定，可控也是由法律、法規來決定。

我們需將安全、可信和可控分開，廠商做廠商的事，我們廠商不斷通過打怪來提高自己的能力，可信則需要更高層的法律制度來約束。

以前大家習慣購買一個產品，現在買產品形式的越來越少，而是購買服務。一旦采購的是服務，本身使用服務的人就是產品的一部分了，兩者的概念不一樣。

張美波：我們企業從底層轉型時，對應的安全架構也在轉型，安全是任何技術的基礎。即使技術做得再好，如果沒有安全的話，系統像建在沙灘上的城堡，隨時可能會倒。很多企業沒有這個意識，一般想的是眼前解決業務問題。

一般企業IT需關注三個方面：安全、用戶體驗和功能，要做到三者平衡很難，通常只能平衡兩個。說得難聽點，安全是 cost，并不會帶來實際的收入。

安全是微軟的社會責任

張美波：之前 Windows XP 被攻擊很多，2002年，比爾·蓋茨建立了可信計算，從那時起微軟所有產品是按照 SDL（Security Development Lifecycle，軟件安全開發周期）流程來構建，SDL 是微軟提出的從安全角度指導軟件開發過程的管理模式。

微軟是 SDL 的發明者，也是 SDL 的最佳實踐者，并且很多國際客戶按照 SDL 標準進行實施。如今微軟提出新標準 SDL+DevSecOps，擁有八個環節，每個環節里都將安全集成進去：

李亮（主持人）：微軟這樣描述自己的軟件開發生命周期：從第一行代碼開始我們考慮安全的設計。今天不光是微軟，任何從事云、傳統軟件、硬件、物聯網、數據平臺等研發工作時，我們需要不斷地將這個理念植入到整體的思維方式里。

張美波：微軟本身有很龐大且復雜的云時代安全商業架構，軟件開發對我們來講是基礎，所以它在最底下部分，基礎是 SDL。其架構非常龐大，基本囊括微軟所有和安全相關的產品。

左邊是客戶端部分，微軟強調是統一的客戶端，不僅是 Windows 客戶端，還有蘋果、安卓、Linux 都屬于左邊部分內容。

中間部分涉及到微軟 IaaS 和 PaaS，包括混合云部分，涉及到很多具體的功能。

下邊部分是世界級 IoT 物聯網的安全部分，微軟有物聯網安全架構和物聯網的成熟度模型，并擁有國際化標準，一些國內廠商是直接引用該標準。

右邊是信息保護部分，微軟擁有完整的數據生命周期的，即從數據開始創建到銷毀結束這個完整的數據生命周期，里面涉及到 AIP、SaaS 等產品。

還有關于身份驗證防控部分，擁有 AzureAD 等技術。

左上角部分是很容易被別人忽略掉，大家通常認為安全是做加固的，而微軟認為安全是有生命周期：事前的安全加固、事中的安全監測和事后的響應。事中監測和事后響應依靠 SOC，這是最新的 Azure Sentinel 產品。微軟 SOC 基于Azure Sentinel 來實現，Azure Sentinel 集成很多安全系統，如 ATP、AzureAT、AzureSecurity Center，還有外部的各種第三方防火墻、網絡安全設備、IT及事件管理系統等。

我們有完善的系統集成能力，并依托 Security Graph 這個分析和 AI 能力實現安全事件的自動響應。

韋青：微軟每個員工都要通過一個 Microsoft 云計算的AZ-900考試。如今進入云時代后，服務提供商或計算能力提供商和使用者的邊界消失，所以我們認為安全是整個社會或者雙方責任，是共享責任。我們作為服務應用提供商，有自己的安全責任邊界，作為用戶而言，同樣有自己需要負責的安全責任邊界。

以上述美波的戰略架構圖為例，里面都用了“Graph”的概念，也就是“圖數據庫”，左邊、右下角都是 Graph，傳統數據庫和 Graph 的最大區別是，Graph 不單有節點，而且有關系，Graph能夠有效表達“點”與點和點之間的“關系”。由于現在是萬物互聯時代，所以微軟在搭建架構時認為在萬物互聯的安全語境范圍內，每個人作為一個“點”都是“安全上下文語意條件下的一分子”，每個人可以為安全做貢獻，同時也可能是一個漏洞。

李亮（主持人）：今天的安全理念和傳統的會太一樣，作為企業和員工，我們該發力在哪些具體的點上或者該參考什么樣的架構來構建自己的企業級安全體系？

蔣濤：從企業的角度來看，我認為現在比較需要有一個類似軟件成熟度 CMMI 的安全成熟度產品，就是根據企業性質、企業數據、數據價值來設計相應的安全等級，這個等級不是從保護角度來制定，而是從企業需求和商業價值的角度來。

從上面兩位嘉賓的介紹，現在微軟跟以前我們理解的微軟不太一樣，可能大多數人對微軟的認知可能是 10 年前的微軟。

如今微軟在安全上投入巨大，我要請這個“安全保鏢”需花費多少？作為管理者，我可能會考慮，其他軟件都是微軟的了，現在需不需要買個“全家桶”，那么有更優惠的方案或者有自選方案嗎？

這是作為管理者關心的問題：第一有沒有等級標準，第二有沒有不同的方案選擇。

李亮（主持人）：微軟不是一下子就跳到今天的環境下，有一本書《工具，還是武器 ？》上講述很多關于微軟在構建今天的可信云平臺過去走過的很多路，大家如果有興趣的話，可以讀一讀這本書。

張美波：安全對微軟來講說是核心戰略方向，微軟 CEO 薩提亞·納德拉曾表示，我們承諾給客戶提供安全和隱私。

微軟不僅是全球第一流的IT企業，還是全球第一流的網絡安全企業。如今微軟每年投入超過 10 億美元進行安全產品研發。從全球范圍看，不要說投入超過 10 億，安全行業收入超過 10 億可能就幾家企業。

其實對微軟而言，安全也是社會責任，微軟經常聯合很多國家一起行動，和黑產抗爭到底：今年3月，微軟和一些國家政府聯合打破全球最大僵尸網絡；7月，微軟聯合國家政府組織一場針對 62 個國家的網絡欺詐攻擊。

今年，Gartner發布《Solution Comparison for the Native Security Capabilities 》報告，首次全面評估全球 TOP 云廠商的整體安全能力，其中微軟 Azure 獲得全球云廠商最多的 High 評分，位列第一。另外，微軟有 5 個安全產品和服務是處于 Gartner 領導象限。其中，Microsoft Defender 從落后到領先，一年半時間逆襲成為現在的領導者。

因為我們擁有微軟智能安全圖譜，這是全球最大的全情報平臺，擁有大數據、機器學習、人工智能、云計算應用平臺，每月在設備檢測出的安全威脅數量超 50 億次，每月身份驗證請求數超過 5400 億次，這是非常龐大的數據。

我們把所有數據放到分析平臺上，通過機器學習進行分析。首先，在上層我們從不同的渠道收集數據，數據經過脫敏、處理、整理，通過大數據分析平臺反饋到產品上，產品層面同樣也會把數據反饋到 Graph 里相互迭代。

基于微軟強大的安全能力，如今微軟提供給大家一套安全套件 Microsoft 365，可覆蓋 85% 以上企業的 IT 和日常運營場景。涵蓋 20+ 產品，從四個類別來做防護：一是身份與訪問管理；二是威脅保護與安全檢測；三是信息保護；四是安全管理與監控。產品里面分等級，不同許可證里涵蓋的產品是不一樣的。

韋青：它無法用單一的“產品”來形容，它可稱之為“安全系統”，而不只是安全“產品”。

安全案例分析

張美波：微軟把過去 20 年的網絡攻擊行為進行分析，發現最早在 2004 年之前我們所面臨的攻擊行為主要是傳統老三樣：木馬、病毒、蠕蟲。從2005年開始，攻擊行為變成有組織的犯罪團伙作案，不像傳統老三樣了，而是以金融、金錢為目標，攻擊技術就變成金融欺詐、身份憑據竊取、勒索、挖礦等。

到了 2012 年，攻擊行為又進化了，原來更多針對系統服務數據等，現在針對關鍵基礎設施、工業互聯網、物聯網等，涉及的安全從數據和服務上升到人身、國家、社會。所以現在全球國家把網絡安全放在較高的地位。

下面和大家分享微軟的客戶案例，六個 APT 組織攻擊某世界 500 強金融企業。一開始該企業發現自己被攻擊后，嘗試清除攻擊者，企業以為清除完成，但實際上沒清除好，該 APT 組織在企業系統潛伏了 8 個月。企業不得不尋求微軟的幫助，微軟安全專家只花了 3 天時間就把它清除掉，同時發現里面還有另外五個組織在潛伏。

所以在這里強調，網絡安全是社會責任的問題，去年微軟和合作伙伴成立了微軟智能安全聯盟，未來該聯盟應聯合全球 133 家廠商的力量共同打擊黑產。

微軟安全解決方案

張美波：下面給大家看看，安全廠商是怎么實現安全技術，并映射到具體的企業場景里去。其中最典型的是，入侵者通過兩種途徑從內部發起攻擊，一是用戶訪問 Web 網站受到攻擊，被裝上了漏洞軟件；二是釣魚郵件，91% 攻擊行為通過釣魚郵件發起，其中涵蓋惡意鏈接和惡意附件，緊接著系統客戶端被感染，被入侵者命令控制，這是非常常見的事。

下一步，入侵者先做環境偵測?，竊取用戶身份憑據，緊接著在系統內部做橫向移動，如拿到用戶名來攻擊電腦。當拿到比較高級別帳號后攻擊系統。下一步，入侵者在系統里做持續保持和控制權，如系統后門木馬等，同時竊取機密數據，入侵者可潛伏很久，這是整個攻擊鏈模型。

那么微軟安全產品是怎么來抵御的？

在釣魚郵件層，通過Office 365 ATP（ATP是高級威脅保護套件）的郵件網關和高級反惡意鏈接工具來實現的。在使用 Office 365 時，可將惡意電子郵件、惡意鏈接直接封掉，保護用戶不受到攻擊影響。

在第二階段，通過 Micosoft Defender ATP 來實現對設備的保護。在身份驗證憑據和橫向移動層，通過 ATA、Azure ATP 企業 APT入侵平臺來保護。對于身份驗證與憑據保護，通過 AzureAD 進行保護。針對特權帳戶管理、高危操作、重大權限操作，需要審批流程才可以操作，而不是進來直接可以做的。Conditional Access 也一樣，這是實現零信任訪問架構的核心。

在數據保護上，我們做到全數據生命周期保護，如 PPT 文檔可加權限讓對應的帳戶查看，同時設個權限有效期。整套解決方案是通過 Azure Security Center 和 Azure Sentinel 來實現安全態勢感知和 SOC 安全運營中心，這是微軟供應鏈模型和對應的產品架構。

未來安全技術

蔣濤：在短期內，企業系統處于“混合”狀態：一部分在云上（單云/多云），一部分在本地。在這種情況下，我們希望能有一套企業安全等級，不是最高級別到全系統級別的全防護策略，而是代碼、數據、災備應有一套安全監測標準，將這些串成企業安全等級。

未來應有一個安全藍圖，大家共同來描繪和參與其中。今天我學習到很多，之前認為安全很重要，但沒意識到安全這么重要。另外，安全培訓是企業重要的工作，如何通俗易懂地講給管理者、開發者、運維人員是一件重要做的事情。每個公司都應該交一個安全界的朋友，第一，讓對方幫忙監測企業系統；第二，萬一企業出現安全事故后，需要請安全專家解決。

未來我們遇到的安全威脅將越來越多，未來將會出現兩種入侵者，一是專業級的選手，大部分公司不需要太擔心，他們可能會攻擊金融等重點領域。二是由于現在攻擊技術在平民化，可能出現一些“小毛賊”攻擊者，所以企業要具備底線，每位員工須接受企業安全技術培訓。公司里不一定設有安全的工程師，但是一定會建立一套數據的安全守則。

張美波：《孫子兵法》里有兩句話我非常喜歡：“知己知彼百戰不殆”“用兵之法，無恃其不來，恃吾有以待之”，意思是我們要做好比較完善的防備，然后才能有備無患。

很多企業不知道自己有什么資產，甚至不知道哪些系統需要保護，我們需識別資產風險，明確下來哪些東西需要保護，只有了解了目標和方向后，才知道下一步應往什么方向走。

韋青：今天微軟跟 CSDN 聯合舉辦《刷新 CTO》本期安全話題，希望能為大家打開一扇窗口，不要把安全當成別人的事情，安全是你和我都相關的事情。如今每個人互相存在連接，有可能發生物理空間所有風險原封不動搬到數字空間，希望大家借此機會對企業安全有所思考。

社會已進入復雜系統時代，這是混沌、復雜、隨時涌現和融合的時代。我們把過去確定論的思想放下來，基于每家企業財力、能力的增加，慢慢擴展安全技能。

李亮（主持人）：據統計，企業里有專門安全人員的比重不到 10%，安全比重開銷平均約 3~5%。隨著企業業務云化進程加快，安全是非常大、非常有潛力的市場，希望各位多掌握安全知識。

鐺鐺檔~你們要的微軟數字安全中心視頻來啦~

精彩回顧立刻掃描下方二維碼

還想了解更多微軟技術？福利到啦！

每月都有！每月第三周，周三周四 19:00-22:00，微軟 Azure在線技術公開課約定你！還等什么？

掃描二維碼或點擊閱讀原文，免費報名學習吧

總結

以上是生活随笔為你收集整理的征战云时代，为什么安全是关键命题？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。