本文來自微信公眾號“GoUpSec”。
在不久前舉行的Microsoft Ignite 2023大會上,微軟發(fā)布了零信任戰(zhàn)略和路線圖。這標(biāo)志著微軟的零信任“大棋局”已經(jīng)完成布局階段。零信任成為微軟安全戰(zhàn)略的核心,微軟將通過統(tǒng)一訪問控制來加速零信任部署,通過整合XDR和SIEM提高零信任的檢測和響應(yīng)能力,通過人工智能全面賦能零信任技術(shù)創(chuàng)新。
微軟的零信任戰(zhàn)略:通過統(tǒng)一訪問控制加速零信任部署
在Ignite 2023會議上,微軟明確表示,他們向信任模型的轉(zhuǎn)變是基于身份的。從現(xiàn)在開始,零信任全面滲透到微軟的安全策略中,微軟將以身份為中心的方法來定義和提供安全服務(wù)邊緣(SSE)解決方案,后者基于Microsoft Entra進(jìn)行互聯(lián)網(wǎng)、私有訪問控制,使用Defender防護(hù)云應(yīng)用程序。
“企業(yè)必須始終假設(shè)攻擊已經(jīng)發(fā)生,這意味著需要持續(xù)監(jiān)控并產(chǎn)生大量的日志文件,”微軟身份和網(wǎng)絡(luò)訪問副總裁亞歷克斯·西蒙斯(Alex Simons)在會議上表示,“微軟將通過統(tǒng)一的訪問控制加速零信任部署。”
Simon強調(diào)了微軟對零信任核心原則的承諾,指出持續(xù)驗證身份、最小特權(quán)訪問以及“假設(shè)攻擊已經(jīng)發(fā)生”的核心零信任原則是微軟所有零信任、身份和網(wǎng)絡(luò)訪問以及SSE開發(fā)的基石。
微軟的零信任會議還強調(diào)Entra權(quán)限管理是其零信任安全策略的核心,可用于強制執(zhí)行最小權(quán)限訪問,并提供統(tǒng)一的界面來管理和監(jiān)控多云環(huán)境的權(quán)限。
總而言之,微軟在Ignite 2023上的安全公告確立了身份和網(wǎng)絡(luò)訪問在微軟零信任集成戰(zhàn)略中的核心作用,通過統(tǒng)一訪問控制加速零信任部署。微軟還公布了其內(nèi)部采用SSE、Entra和InTune的示例。
微軟的零信任拼圖
微軟SSE產(chǎn)品管理副總裁Sinead Odonovan在Ignite 2023上宣布,微軟的目標(biāo)是在2023年第四季度交付基于零信任的SSE解決方案路線圖的六大基礎(chǔ)功能(重點是安全Web網(wǎng)關(guān)和VPN替代品):
●安全網(wǎng)關(guān)(M365,全部)
●用ZTNA替代VPN
●私有應(yīng)用的MFA-TCP和UDP
●Windows客戶端-與第三方SSE并行
●遠(yuǎn)程網(wǎng)絡(luò)-M365,所有應(yīng)用
●跨操作系統(tǒng)平臺支持(Android,MacOS,iOS客戶端)
微軟還計劃在2024年上半年全面推出Internet Access和Private Access。未來的路線圖規(guī)劃包括更多的解決方案來加強其零信任策略,包括改進(jìn)網(wǎng)絡(luò)DLP、BYOD支持、威脅防護(hù)和云防火墻:
資料來源:Microsoft Ignite 2023
用人工智能賦能零信任技術(shù)創(chuàng)新
在微軟的零信任戰(zhàn)略中,生成式人工智能扮演者至關(guān)重要的作用,不但用于幫助客戶部署成熟的零信任框架,還將廣泛賦能零信任技術(shù)創(chuàng)新。
微軟意識到在客戶的異構(gòu)環(huán)境中集成人工智能技術(shù)面臨很多挑戰(zhàn),因此微軟的人工智能增強技術(shù)覆蓋了從持續(xù)監(jiān)控、自適應(yīng)威脅響應(yīng)到新興威脅防御的幾乎所有零信任技術(shù)堆棧,如下表所示:
資料來源:Microsoft Ignite 2023
統(tǒng)一XDR和SIEM
微軟在Ignite 2023上推出了新的統(tǒng)一安全運營平臺套件,集成了Microsoft Sentinel、Microsoft Defender XDR和Microsoft Security Copilot三大安全組件,通過集成SIEM、XDR和人工智能技術(shù)進(jìn)行實時威脅分析和響應(yīng),幫助企業(yè)客戶持續(xù)監(jiān)控和自適應(yīng)威脅響應(yīng)。
微軟指出,統(tǒng)一XDR和SIEM的運營平臺套件對零信任至關(guān)重要,能夠確保檢測效率和緩解跨網(wǎng)段威脅。
為何微軟要整合三大安全組件殺入XDR市場?Forrester首席分析師Allie Mellen認(rèn)為:“安全從業(yè)者非常重視XDR的檢測質(zhì)量以及SIEM的靈活性。但是大家都有一個疑問:為什么我需要在SOC中使用兩個相互獨立的產(chǎn)品(XDR和SIEM)來進(jìn)行檢測和響應(yīng)?”
“今天,越來越多的CISO開始關(guān)注“降本增效”,尋找各種整合數(shù)據(jù)的方法來節(jié)省成本。由于XDR和SIEM是分開的,用于檢測和調(diào)查的數(shù)據(jù)存儲在兩個不同的位置,產(chǎn)生了額外的支出,這對于已經(jīng)被SIEM不斷增長的預(yù)算壓得喘不過氣的安全團(tuán)隊來說是令人沮喪的。”
“此外,安全分析師希望獲得統(tǒng)一的分析師體驗,以在同一個地方簡化檢測、調(diào)查和響應(yīng)。而XDR和SIEM這兩種產(chǎn)品以前缺乏統(tǒng)一的分析師經(jīng)驗,迫使安全分析師定期在兩種不同的視角和觀點之間進(jìn)行轉(zhuǎn)換。”
Mellen最后指出:“將XDR和SIEM整合為統(tǒng)一的分析師體驗可以簡化安全分析師的工作流程。他們可以在同一個界面調(diào)查和響應(yīng)XDR和SIEM事件,同時仍然保持XDR的檢測質(zhì)量和SIEM的靈活性。”