信息化觀察網(wǎng)

編者按

今年以來，微軟公司頻繁被國內(nèi)網(wǎng)絡(luò)安全從業(yè)者關(guān)注。引起最多討論的是三件事：

1、2021年1月，微軟CEO宣布微軟在2020年的安全業(yè)務(wù)收入達(dá)到100億美元，年增長(zhǎng)率超過40%。一時(shí)之間，安全行業(yè)紛紛熱議“原來微軟才是全球最大的網(wǎng)安廠商”！

2、2021年6月25日，微軟正式發(fā)布Windows 11，特別提到Windows 11提供了一個(gè)“零信任安全防護(hù)模式”的操作系統(tǒng)，來保護(hù)數(shù)據(jù)和跨設(shè)備訪問。

3、2021年7月14日，微軟正式發(fā)布Windows 365，再次提及Windows 365服務(wù)遵從“零信任”原則，從設(shè)計(jì)源頭確保安全。

頻繁在網(wǎng)安圈刷屏的微軟安全給了國內(nèi)廠商什么啟發(fā)？此次發(fā)布Windows 365對(duì)零信任市場(chǎng)有什么影響？

本期產(chǎn)業(yè)安全TALK分享一篇來自“零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組”的分析文章，從另一個(gè)角度分析微軟的舉措。

頻繁刷屏網(wǎng)安圈的微軟安全，這次給我們什么啟示？

微軟Windows365這兩天刷了屏，朋友圈里也看到大家很興奮，“有了Win365就不需要其他零信任產(chǎn)品了”、“微軟出顛覆性零信任方案了”、“零信任新玩法誕生”……好像沒有人太關(guān)心Win365本身的功能，反倒是對(duì)Win365用了零信任理念充滿興趣。

先摘錄微軟官方介紹：

大家的反應(yīng)，我也很興奮和感慨。興奮的是微軟這樣的國際IT巨頭也在積極擁抱和實(shí)踐零信任，甚至是在產(chǎn)品發(fā)布時(shí)也借用零信任概念傳播，說明零信任在業(yè)界已成為事實(shí)的安全新理念、新思潮、新趨勢(shì)；感慨的是，Win365的發(fā)布，也說明各大廠商開始在自身的產(chǎn)品、服務(wù)的設(shè)計(jì)和研發(fā)過程就考慮和應(yīng)用了零信任理念和原則，可以預(yù)見，后續(xù)市場(chǎng)上各種產(chǎn)品將“原生”集成零信任，這將為零信任的進(jìn)一步普及和行業(yè)的整體安全水平提升有很大的貢獻(xiàn)。——微軟官方

Win365本質(zhì)上是云電腦

Win365本質(zhì)上是Cloud PC（云電腦），為用戶提供云端的完整PC體驗(yàn)，支持Windows 10及Windows 11（當(dāng)然是微軟自己的OS），優(yōu)勢(shì)和其他云電腦產(chǎn)品一樣，允許用戶設(shè)備登錄，讓IT人員能夠按需進(jìn)行擴(kuò)容或減容、簡(jiǎn)化PC的部署、更新以及管理等。

云電腦并不是什么新產(chǎn)品，2018年華為就推出了云電腦，支持除了華為M5平板、P20、Mate 10和Mate RS等手機(jī)訪問云端PC，2019年Valve游戲公司推出了Steam Link,可以串流Steam游戲庫到安卓和iOS設(shè)備,包括手機(jī)、平板以及電視等，2020年9月阿里云推出“無影”云電腦、2020年11月百度推出云手機(jī)等等。各家都根據(jù)自己的特點(diǎn)，提供云端的終端（電腦、平板、手機(jī)）系統(tǒng)托管服務(wù)，支持不同的OS運(yùn)行在云端，用戶可以用計(jì)算能力不需要很強(qiáng)的端側(cè)設(shè)備訪問云端PC的服務(wù)和數(shù)據(jù)。

微軟為什么要用零信任理念？

回到零信任，為什么微軟這次會(huì)用零信任理念來設(shè)計(jì)Win365.這就要回顧下零信任的初衷和目標(biāo)，提供端到端的安全防護(hù)能力，核心是保護(hù)數(shù)據(jù)和服務(wù)安全。零信任的原則之一就是要盡可能的收斂攻擊面。Win365是通過將用戶終端側(cè)的數(shù)據(jù)，通過云電腦的模式，存儲(chǔ)在云端，盡可能少的在用戶終端留存，從而減少因?yàn)閻阂夤艚K端而造成的數(shù)據(jù)泄露或破壞。云電腦的模式，天然的能夠減少終端上數(shù)據(jù)的暴露面，與零信任的理念直接契合。

但是終端數(shù)據(jù)在云端存儲(chǔ)，就能解決所有的安全風(fēng)險(xiǎn)嗎，顯然也是不可能的。即使用了云電腦，用戶還是需要通過某個(gè)終端去訪問云端資源，對(duì)用戶身份的校驗(yàn)、對(duì)用戶設(shè)備身份的校驗(yàn)、對(duì)用戶設(shè)備的安全性評(píng)估、對(duì)用戶訪問請(qǐng)求報(bào)文的安全加密等等，在零信任的理念下，一樣也不能少。

想起了有一種終端側(cè)做零信任數(shù)據(jù)保護(hù)的思路，應(yīng)用沙箱，通過沙箱來隔離終端上的APP和數(shù)據(jù)，做到終端側(cè)攻擊面的盡可能收斂（即使某個(gè)APP被攻破，不會(huì)影響其他APP和數(shù)據(jù)），與云電腦的數(shù)據(jù)保護(hù)目標(biāo)也有相似性。而且云電腦在云端仍然可以用沙箱來做防護(hù)，實(shí)現(xiàn)更高層級(jí)的攻擊面收斂。

Win365并非零信任的萬能藥

Win365并不是零信任的“萬能藥”，也不是云電腦的“終極形態(tài)”，但是微軟用零信任來設(shè)計(jì)和實(shí)現(xiàn)自家產(chǎn)品的做法，勢(shì)必會(huì)為其他廠商重視零信任、“原生”集成零信任帶來示范作用。我也非常期待更多的產(chǎn)品提供原生的零信任安全能力，如此以來，用戶在使用零信任理念設(shè)計(jì)網(wǎng)絡(luò)安全架構(gòu)的時(shí)候，能夠與安全廠商提供的整體零信任解決方案更好的適配和協(xié)同，從而為用戶全面實(shí)踐零信任打下更好的基礎(chǔ)。