Video: The Future of Tasks in Microsoft 365 (Oktober 2024)
Microsoft kunngjorde en rekke sikkerhetsprodukter på Ignite-konferansen denne uken, men en av tingene som skilte seg ut var deres faste tro på at måten du driver dine sikkerhetsoperasjoner på er like viktig som produktene du kjører.
Microsofts sjef for informasjonssikkerhet Bret Arsenault (øverst) var ettertrykkelig da han beskrev Microsofts eget sikkerhetsmiljø og sin tilnærming til å håndtere sikkerhet for seg selv og sine kunder. Han sa at selskapet løser enorme 20 milliarder sikkerhetshendelser per dag.
"Brukere er både min første linje og min siste forsvarslinje, " sa Arsenault, og bemerket at Microsoft har 125.000 ansatte pluss 70.000 "badged" partnere. Han la vekt på den enorme utfordringen med å styre et så stort og mangfoldig miljø, som inkluderer 32 versjoner av operativsystemene i bruk, 500 000 Linux-miljøer, den nest største Macintosh-installerte basen hvor som helst (Apple er først), og "N + 1" neste versjon av Windows. Han sa at hans primære mål er å beskytte selskapet, ikke å bruke Microsoft-produkter.
Arsenault brukte mye tid på "muligheter og risiko" og forklarte hvordan tilgang på alltid, massive datasett, skybasert lagring og moderne engineering skaper mange muligheter og betydelige sikkerhetsutfordringer. Datasuverenitet er for eksempel et stort spørsmål, fordi selskapet har 596 lokasjoner, og Arsenault må vurdere data som kan overskride grensene. Han sa at penger hentet fra nettkriminalitet har overgått det som ble gjort i den illegale narkotikahandelen. Han er også bekymret for forsyningskjeden og ethvert selskaps evne til å beskytte den.
Arsenault bemerket overgangen til sky computing betyr at selv om nettverkssikkerhet fortsatt er viktig, er det ikke tilstrekkelig, og sa at "identiteten er den nye omkretsen."
Arsenault delte sine egne lederprinsipper og sa at det er viktig å ha forenklede mål. Hans tre hovedpunkter: en leder må skape klarhet, generere energi og levere suksess. For klarhet sa han at det er viktig å "legge ned ingeniørblyanten og plukke opp en fargestift" - med andre ord for å gjøre ting enkelt for sluttbrukere. Arsenault la vekt på at det er viktig å ikke forveksle en melding som fungerer for en ingeniørpopulasjon med det som fungerer for den generelle brukerbasen.
For det formål beskrev han strategien sin som en trebent krakk: identitetshåndtering, data og telemetri og enhetshelse.
Med andre ord, sa Arsenault, for å koble til noen av tjenestene, trenger du en sterk identitet, en bekreftet av multifaktor-godkjenning. Hvis du har god identitet, må han fortsatt sørge for at enheten du kobler til fra er sikker. Med 20 milliarder arrangementer om dagen, trenger han stor datatelemetri for å spore systemer, forbedre dem og beskytte dem.
Flytting fra det generelle til det mer kornete, sa Arsenault at han hadde identifisert fem hovedpilarer eller prinsipper som investeringsområder i år - risikostyring, identitetshåndtering, enhetshelse, data og telemetri og informasjonsbeskyttelse - og innenfor disse søylene fokuserer han på 27 kjernetjenester. Han listet også opp 11 "epics" - vesentlig kortsiktige prosjekter som varer i 18-24 måneder - som vil bli fullført, mislykkes eller bli fremtidige kjernetjenester. Han har et relativt lite team på ni eller ti personer som ser på ny teknologi for å se hva som kan hjelpe selskapet med dets sikkerhetsbehov. Microsoft hadde 80 sikkerhetsleverandører da han overtok CISO-rollen for 8 år siden, la Arsenault til.
Et sentralt initiativ de siste årene har vært å flytte arbeidsmengder til Azure. Arsenault sa at selskapet har flyttet 95 prosent av arbeidsmengden. Når det gjelder prosess, er det første du må vurdere søknader og bestemme om de fremdeles trenger dem; av rundt 2000 forretningsområder, sa Arsenault at Microsoft fant ut at det ganske enkelt kunne eliminere 30 prosent. Den neste tingen å gjøre er å finne applikasjoner som kan konverteres til en Software-as-a-Service-løsning; dette fungerte for omtrent 15 prosent av Microsofts applikasjoner. For de som gjensto, var neste trinn å virtualisere alle applikasjonene og ta nye eller enkle applikasjoner og flytte dem til plattform-som-en-tjeneste, ved å gjøre et "løft og skifte" til tilbud om infrastruktur-som-en-tjeneste for de fleste av de andre.
I denne prosessen flyttet flere applikasjoner til skyen enn han ville trodd (inkludert Microsofts SAP-system), og han foreslo at selskaper skulle flytte til PaaS tidligere enn de kanskje hadde planlagt.
Det er viktig å fortsette å bevege seg under en slik innsats, sa Arsenault, og å fortsette å skape energi rundt prosjektet, ettersom prosjekter ofte slutter å gå omtrent halvveis gjennom. Folk vil ofte bruke de 5 prosentene av arbeidsmengden som ikke vil bevege seg til skyen som unnskyldning for ikke å gjøre de andre 95 prosentene, og han sa at du må skape en følelse av press for å få flyttingen til å skje (for eksempel å sette en dato for å lukke et datasenter).
En ting teamet hans opprettet var en DevOps Toolkit for Azure designet for å overvåke 250 kontroller på forskjellige applikasjoner for å sikre at alt fungerer. Arsenault sa at gruppen hans har gjort dette tilgjengelig via open source, og mener disse prinsippene for bedriftsledelse vil bli bygget inn i Azure om cirka 18 måneder.
Arsenault fokuserte en del av sin samtale på å sikre administratorer, som vanligvis har mest tilgang til et system. Han snakket om å redusere antall stående admins; å bruke et eget identitetssystem for å gi dem færre privilegier; og la dem utføre sikkerhetsoppgaver bare på en "sikker admin-arbeidsstasjon", som han beskrev som en "supersikker enhet" med et spesielt bilde som flater og bygger opp maskinen ofte, og som er opprettet ved hjelp av en sikker forsyningskjede. Disse maskinene kjører bare sidekode og er høyt låst, med hvitelister for å finne ut hva og hvor de kan koble seg til. For tilkoblinger til andre tjenester kan administratorer koble seg til virtuelle maskiner.
Arsenault snakket også om viktigheten av å eliminere passord. Han har brukt selskapets Authenticator-app i ganske lang tid, og sa at det er viktig å ikke "la den perfekte være fienden til det gode." Dette handler egentlig om å eliminere spørsmål, sa han, og selv om brukere av denne appen ikke ser passord, er de fremdeles der under overflaten (selv om det om noen få år kan bli erstattet med sertifikater i stedet). Han foreslo at sikkerhetsfagfolk i selskaper slutter å snakke om MFA og i stedet begynne å snakke om å eliminere passord, og målet var å se dette ikke som et ekstra lag, men snarere som noe som letter tilgangen for brukerne.
- Microsoft bestemmer seg for ikke å avbryte Firefox / Chrome installerer Microsoft bestemmer seg for ikke å avbryte Firefox / Chrome installasjoner
- Microsoft CEO Pushes Open Data Initiative, New Security at Ignite Microsoft CEO Pushes Open Data Initiative, New Security at Ignite
- Microsoft Tips New AI, Security for Office, Microsoft 365 Microsoft Tips New AI, Security for Office, Microsoft 365
Det som virkelig skilte seg ut for meg i Arsenults tale var at de fleste av ideene hans - å forenkle verktøyene dine, flytte det som er fornuftig til skyen, fokusere på identitet, kontrollere administrativ regnskap, flytte utover tradisjonelle passord - ikke er nye eller til og med kontroversielle. Den største utfordringen ser ut til å faktisk være å få disse tingene implementert på måter som ikke forstyrrer resten av IT-fotavtrykket ditt, og som er akseptable - eller til og med å foretrekke - for sluttbrukerne. I en verden med flere sikkerhetstrusler enn noen gang, er det avgjørende å fortsette fremover.
