對于安全而言，一個(gè)繞不過(guò)去的核心概念是“信任”，沒(méi)有信任，一切都無(wú)從談起。中國通信院2020年發(fā)布的《網(wǎng)絡(luò )安全先進(jìn)技術(shù)與應用發(fā)展系列報告——零信任技術(shù)（Zero Trust）》中也指出：企業(yè)內外部的任何人、事、物均不可信，應在授權前對任何試圖接入網(wǎng)絡(luò )和訪(fǎng)問(wèn)網(wǎng)絡(luò )資源的人、事、物進(jìn)行驗證 [2]。在這樣的行業(yè)共識下，零信任作為近些年來(lái)興起的一種安全理念和思想，著(zhù)力提升了信息化系統和網(wǎng)絡(luò )安全的整體性，受到了廣泛的關(guān)注。

　　構建零信任為企業(yè)數字化轉型“保駕護航”，這與微軟的安全戰略不謀而合。多年來(lái)，微軟一直致力于提高客戶(hù)的安全性，通過(guò)身份和訪(fǎng)問(wèn)管理、威脅防護、云安全性和合規性等解決方案，保障數字安全的第一道防線(xiàn)。據統計，目前有90%的“財富100強”企業(yè)使用超過(guò)四項微軟安全、合規、身份以及管理方面的安全服務(wù)；微軟云應用安全服務(wù)（MCAS）保護全球超過(guò)1億用戶(hù)、微軟智能云每天處理和分析超過(guò)24萬(wàn)億的安全信號數據、微軟合規工具每月對超過(guò)50億份文檔進(jìn)行分類(lèi)分級、Azure AD 每天處理超過(guò)300億個(gè)身份認證…… 微軟打造的多重防護產(chǎn)品，正在幫助越來(lái)越多不同行業(yè)的客戶(hù)在安全的前提下，實(shí)現業(yè)務(wù)的可持續發(fā)展。

　　當世界上業(yè)務(wù)規模最大的公司之一準備制定面向未來(lái)的安全計劃，它需要一個(gè)可擴展、靈活的解決方案來(lái)適應其復雜的IT環(huán)境。西門(mén)子就是一個(gè)很好的例子。

　　總部位于慕尼黑的西門(mén)子以創(chuàng )新為基礎，其創(chuàng )造力覆蓋了數字企業(yè)解決方案、交通運輸、樓宇安全設備等多個(gè)范疇，業(yè)務(wù)足跡遍及全球 200 個(gè)國家和地區，是目前世界上最大的電氣工程和電子公司之一。西門(mén)子的龐大規模，加之全球的合規性與安全性法規的不斷更新，使其網(wǎng)絡(luò )安全面臨挑戰，西門(mén)子渴望在零信任原則基礎上建立更具前瞻性的安全戰略，實(shí)現動(dòng)態(tài)安全架構的實(shí)時(shí)響應。

　　西門(mén)子計劃從身份管理（包括外部各方的訪(fǎng)問(wèn)）、數據和端點(diǎn)三方面啟動(dòng)其零信任戰略。在微軟的支持下，西門(mén)子通過(guò)其早先部署的 Microsoft 365，實(shí)施了包括Azure AD、 Microsoft Endpoint Manager、Microsoft Defender for Identity 和 Microsoft Information Protection 在內的一系列安全產(chǎn)品，打造了西門(mén)子的零信任態(tài)勢的基礎，為持續、動(dòng)態(tài)的安全強化創(chuàng )建藍圖。

　　該團隊首先使用 Azure AD 和本地 Active Directory 管理用戶(hù)身份，借助 Microsoft Defender for Identity 保護對其本地身份的訪(fǎng)問(wèn)，并使用基于條件的訪(fǎng)問(wèn)控制策略來(lái)管理用戶(hù)身份、數據和設備；Microsoft Defender for Identity 提供的安全分析及洞察則為西門(mén)子的安全分析師提供參考，進(jìn)而減少攻擊面；作為建立零信任的關(guān)鍵技術(shù)之一，Microsoft Information Protection 被視作西門(mén)子主要的數據分類(lèi)工具，幫助這家企業(yè)發(fā)現、分類(lèi)和保護敏感數據，之后通過(guò) Microsoft Cloud App Security 擴展數據安全視圖，以控制數據傳輸并管理對西門(mén)子資源和應用程序的訪(fǎng)問(wèn)；此外，西門(mén)子還通過(guò)部署 Microsoft Defender for Endpoint 實(shí)時(shí)定位配置問(wèn)題和安全漏洞，并監控和阻止對端點(diǎn)的威脅；Microsoft Intune 中的免注冊移動(dòng)應用管理 (MAM-WE) 為高度機密的數據增加了一層額外保護，并將該保護擴展至西門(mén)子數據所在的任何地點(diǎn)。

　　對于微軟為西門(mén)子提供的綜合性安全解決方案，西門(mén)子表現出了高度認可與肯定。西門(mén)子數字身份服務(wù)負責人 Mueller-Lynch 表示：“能夠針對西門(mén)子龐大、復雜的 IT 環(huán)境生成綜合性洞察，在全球范圍內，有能力打造這樣一套解決方案的技術(shù)提供商屈指可數，這正是我們選擇微軟的原因所在。”

　　成立于1975年的橋水基金（Bridgewater），如今是全球最大對沖基金公司，服務(wù)全球最有影響力的投資者。通過(guò)對全球經(jīng)濟和市場(chǎng)的宏觀(guān)經(jīng)濟趨勢的不斷研究，為其客戶(hù)制定交易和投資組合構建策略。

　　過(guò)去，橋水基金的安全策略是將公司所有的文件內容置于企業(yè)邊界網(wǎng)絡(luò )防火墻之內，但這嚴格限制了員工遠程協(xié)作的能力，讓差旅員工或居家辦公員工難以訪(fǎng)問(wèn)信息。與此同時(shí)，新常態(tài)下遠程辦公興起、與合作伙伴和供應商之間共享數據，以及訪(fǎng)問(wèn)云上數據的需求，迫使橋水重新評估其安全邊界。橋水生產(chǎn)力和端點(diǎn)工程主管 Anthony Golia 表示：“我們的安全愿景是‘提高生產(chǎn)力、強化協(xié)作，提供全面移動(dòng)訪(fǎng)問(wèn)’，想要實(shí)現這一目標，就需要徹底改革技術(shù)。”

　　橋水選擇與微軟合作創(chuàng )建零信任安全框架，使用 Microsoft 365 為員工提供對文檔、電子郵件和數據的無(wú)縫訪(fǎng)問(wèn)，同時(shí)仍保持嚴格的安全標準。通過(guò)零信任框架提供的安全遠程訪(fǎng)問(wèn)，使橋水的員工能夠在任何地方實(shí)現協(xié)作，提供滿(mǎn)足客戶(hù)對于業(yè)務(wù)敏捷性的高標準要求。有了更精細的安全控制，橋水可以為使用非信任網(wǎng)絡(luò )（例如酒店、家庭辦公室和機場(chǎng)）的員工開(kāi)系統的訪(fǎng)問(wèn)權限，而不是將所有東西都放在防火墻后。

　　這一合作的成功為橋水的零信任之旅打開(kāi)了局面。在此基礎上，橋水還與微軟從三個(gè)方面夯實(shí)了其零信任措施：

　　一系列的合作讓橋水基金建立了對微軟的高度信任。橋水基金首席技術(shù)官 Igor Tsyganskiy 表示：“對于橋水來(lái)說(shuō)，微軟最具價(jià)值的能力就是其端到端安全愿景。沒(méi)有一家技術(shù)廠(chǎng)商可以像微軟這樣，從硬件、操作系統，到生產(chǎn)力工具、云服務(wù)和云安全情報，都能夠提供相同級別的安全愿景和技術(shù)集成。”

　　微軟多云、多平臺安全產(chǎn)品服務(wù)于全球71.5萬(wàn)客戶(hù)，這背后依靠的是微軟每年在安全產(chǎn)品和技術(shù)研發(fā)方面超過(guò)40億美元的投入，未來(lái)5年投資還將超過(guò)200億美元；強大而高效的微軟安全解決方案與服務(wù)的背后，更有全球8,500位安全專(zhuān)家為服務(wù)全球的平臺、工具、服務(wù)及終端設備提供不間斷的安全保護。針對云、移動(dòng)設備和邊緣平臺成為企業(yè)創(chuàng )新和強化韌性的選擇，微軟也推出了一系列針對多云的技術(shù)支持，助力客戶(hù)全面擁抱多云環(huán)境：

　　“予力全球每一人、每一組織，成就不凡。”微軟始終秉承這一使命，在全球數字化進(jìn)程加速、數字化威脅的安全態(tài)勢下提供安全可信的保障，讓企業(yè)無(wú)后顧之憂(yōu)地進(jìn)行技術(shù)創(chuàng )新、業(yè)務(wù)發(fā)展，搭建通往零信任的數字安全橋梁。

　　[1] https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/

　　[2] http://www.caict.ac.cn/kxyj/qwfb/ztbg/202008/P020200812382865122881.pdf
　　來(lái)源：微軟科技微信公眾號