Video: Бесплатный Office 365, Intune, Azure AD за 5 минут. (September 2024)
Microsoft tillkännagav en mängd olika säkerhetsprodukter vid sin Ignite-konferens den här veckan, men en av de saker som stod ut var deras fasta övertygelse om att hur du kör dina säkerhetsåtgärder är lika viktigt som de produkter du kör.
Microsofts chef för informationssäkerhet Bret Arsenault (överst) var eftertryckt när han beskrev Microsofts egen säkerhetsmiljö och dess inställning till att hantera säkerhet för sig själv och sina kunder. Han sa att företaget löser enorma 20 miljarder säkerhetshändelser per dag.
"Användare är både min första linje och min sista försvarslinje, " sade Arsenault och noterade att Microsoft har 125 000 anställda plus 70 000 "badged" -partners. Han betonade den enorma utmaningen att hantera en så stor och mångsidig miljö, som inkluderar 32 versioner av dess operativsystem som används, 500 000 Linux-miljöer, den näst största Macintosh-installerade basen var som helst (Apple är först) och "N + 1" nästa version av Windows. Han sa att hans primära mål är att skydda företaget, inte att använda Microsoft-produkter.
Arsenault spenderade mycket tid på "möjligheter och risker" och förklarade hur alltid åtkomst, massiva datamängder, molnbaserad lagring och modern teknik skapar många möjligheter och betydande säkerhetsutmaningar. Exempelvis är datasuveränitet en viktig fråga eftersom företaget har 596 platser och Arsenault måste överväga data som kan överskrida gränserna. Han sa att pengar som härrör från cyberbrott har överträffat de som gjorts i den illegala narkotikahandeln. Han är också orolig för leveranskedjan och företags förmåga att skydda den.
Arsenault noterade övergången till cloud computing innebär att även om nätverkssäkerhet fortfarande är viktigt, räcker det inte och sa att "identiteten är den nya omkretsen."
Arsenault delade sina egna ledarprinciper och sa att det är viktigt att ha förenklade mål. Hans tre huvudpunkter: en ledare måste skapa tydlighet, generera energi och leverera framgång. För tydligheten sa han att det är viktigt att "lägga ner ingenjörspennan och plocka upp en krita" - med andra ord för att göra saker enkla för slutanvändare. Arsenault betonade att det är viktigt att inte förväxla ett meddelande som fungerar för en ingenjörspopulation med vad som fungerar för den allmänna användarbasen.
För det syftet beskrev han sin strategi som en trebent pall: identitetshantering, data och telemetri och enhetshälsa.
Med andra ord, sa Arsenault, för att ansluta till någon av tjänsterna, behöver du en stark identitet, en verifierad med flerfaktorsautentisering. Om du har stor identitet måste han fortfarande se till att enheten du ansluter från är säker. Med 20 miljarder händelser om dagen behöver han bra datatelemetri för att spåra system, förbättra dem och skydda dem.
Genom att flytta från det allmänna till det mer granulära, sa Arsenault att han hade identifierat fem huvudpelare eller principer som områden för investeringar i år - riskhantering, identitetshantering, enhetshälsa, data och telemetri och informationsskydd - och inom dessa pelare fokuserar han på 27 kärntjänster. Han listade också 11 "epiker" - väsentligen kortvariga projekt som varar 18-24 månader - som kommer att slutföras, misslyckas eller blir framtida kärntjänster. Han har ett relativt litet team på nio eller tio personer som tittar på ny teknik för att se vad som kan hjälpa företaget med dess säkerhetsbehov. Microsoft hade 80 säkerhetsförsäljare när han tog över CISO-rollen för 8 år sedan, tillade Arsenault.
Ett viktigt initiativ under de senaste åren har varit att flytta arbetsbelastningar till Azure. Arsenault sa att företaget har flyttat 95 procent av sina arbetsbelastningar. När det gäller processen är det första att överväga ansökningar och bestämma om de fortfarande behöver dem; av cirka 2 000 affärsområden, sa Arsenault att Microsoft tyckte att det helt enkelt kunde eliminera 30 procent. Nästa sak att göra är att hitta applikationer som kan konverteras till en Software-as-a-Service-lösning; detta fungerade för cirka 15 procent av Microsofts applikationer. För dem som återstod var nästa steg att virtualisera alla applikationer och ta nya eller enkla applikationer och flytta dem till Platform-as-a-Service, genom att göra en "lift and shift" till Infrastructure-as-a-Service-erbjudanden för de flesta av de andra.
I den här processen flyttade fler applikationer till molnet än han skulle ha trott (inklusive Microsofts SAP-system), och han föreslog att företag skulle flytta till PaaS tidigare än de kan ha planerat.
Det är viktigt att fortsätta röra sig under en sådan ansträngning, sade Arsenault, och att fortsätta skapa energi runt projektet, eftersom projekt ofta upphör att gå ungefär halvvägs. Människor kommer ofta att använda de 5 procenten av arbetsbelastningen som inte kommer att flytta till molnet som en ursäkt för att inte göra de andra 95 procenten, och han sa att du måste skapa en känsla av brådskande för att få flytten att hända (som att ställa in ett datum för att stänga ett datacenter).
En sak som hans team skapade var en DevOps Toolkit för Azure utformad för att övervaka 250 kontroller på olika applikationer för att säkerställa att allt fungerar. Arsenault sa att hans grupp har gjort detta tillgängligt via open source, och tror att dessa principer för företagsledning kommer att byggas in i Azure om cirka 18 månader.
Arsenault fokuserade en del av sitt samtal på att säkra administratörer, som vanligtvis har mest tillgång till ett system. Han talade om att minska antalet stående administratörer; använda ett separat identitetssystem för att ge dem färre privilegier; och låta dem utföra säkerhetsuppgifter bara på en "säker admin-arbetsstation", som han beskrev som en "supersäker enhet" med en speciell bild som plattar och bygger om maskinen ofta, och som skapas med en säker leveranskedja. Dessa maskiner kör endast sidkod och är mycket låsta, med vitlistor för att avgöra vad och var de kan ansluta. För anslutningar till andra tjänster kan administratörer ansluta till virtuella maskiner.
Arsenault talade också om vikten av att eliminera lösenord. Han har använt företagets Authenticator-app länge och sa att det är viktigt att inte "låta det perfekta vara det godes fiende." Det handlar verkligen om att eliminera frågan, sade han, och även om användare av den här appen inte ser lösenord är de fortfarande där under ytan (även om de på några år kan komma att ersättas med certifikat istället). Han föreslog att säkerhetsproffs inom företag sluta prata om MFA och istället börja prata om att eliminera lösenord, målet var att se detta inte som ett extra lager, utan snarare som något som underlättar åtkomst för användare.
- Microsoft beslutar att inte avbryta Firefox / Chrome-installationer Microsoft beslutar att inte avbryta Firefox / Chrome-installationer
- Microsoft CEO Pushes Open Data Initiative, New Security at Ignite Microsoft CEO Pushes Open Data Initiative, New Security at Ignite
- Microsoft Tips New AI, Security for Office, Microsoft 365 Microsoft Tips New AI, Security for Office, Microsoft 365
Det som verkligen stod ut för mig i Arsenults tal var att de flesta av hans idéer - förenkla dina verktyg, flytta det som är vettigt till molnet, fokusera på identitet, kontrollera administrativ redovisning, flytta bortom traditionella lösenord - inte är nya eller till och med kontroversiella. Den största utmaningen verkar istället vara att få dessa saker implementerade på sätt som inte stör andra IT-fotavtryck och som är acceptabla - eller till och med att föredra - för dina slutanvändare. I en värld med fler säkerhetshot än någonsin är det viktigt att fortsätta.
