Spoločnosť Microsoft tento týždeň na svojej konferencii Ignite oznámila množstvo bezpečnostných produktov, ale jednou z vecí, ktorá vynikla, bolo ich pevné presvedčenie, že spôsob, akým prevádzkujete bezpečnostné operácie, je rovnako dôležitý ako produkty, ktoré prevádzkujete.
Hlavný riaditeľ informačnej bezpečnosti spoločnosti Microsoft Bret Arsenault (hore) bol dôrazný, keď opísal vlastné bezpečnostné prostredie spoločnosti Microsoft a prístup k riadeniu bezpečnosti pre seba a svojich zákazníkov. Uviedol, že spoločnosť rieši obrovské 20 miliárd bezpečnostných udalostí denne.
„Používatelia sú zároveň mojou prvou aj poslednou obrannou líniou, “ uviedol Arsenault a poznamenal, že spoločnosť Microsoft má 125 000 zamestnancov plus 70 000 „odznakovaných“ partnerov. Zdôraznil obrovskú výzvu spravovania takého veľkého a rozmanitého prostredia, ktoré zahŕňa 32 verzií používaných operačných systémov, 500 000 prostredí Linux, druhú najväčšiu nainštalovanú základňu pre systém Macintosh kdekoľvek (Apple je prvý) a ďalšiu „N + 1“. verzia systému Windows. Jeho primárnym cieľom je ochrana spoločnosti, nie používanie produktov spoločnosti Microsoft.
Arsenault strávil veľa času „príležitosťou a rizikom“ a vysvetlil, ako neustály prístup, masívne súbory údajov, cloudové úložisko a moderné inžinierstvo vytvárajú veľa príležitostí a významné bezpečnostné výzvy. Napríklad suverenita údajov je hlavným problémom, pretože spoločnosť má 596 miest a spoločnosť Arsenault musí brať do úvahy údaje, ktoré môžu prekročiť hranice. Uviedol, že peniaze pochádzajúce z počítačovej kriminality prekročili peniaze z nelegálneho obchodu s drogami. Tiež sa obáva dodávateľského reťazca a schopnosti akejkoľvek spoločnosti ho chrániť.
Arsenault poznamenal, že prechod na cloud computing znamená, že zatiaľ čo bezpečnosť siete zostáva dôležitá, nestačí a uviedla, že „identita je nový obvod“.
Arsenault zdieľa svoje vlastné vodcovské princípy a hovorí, že je dôležité mať zjednodušené ciele. Jeho tri hlavné body: vodca musí vytvárať jasnosť, generovať energiu a prinášať úspechy. Z dôvodu prehľadnosti uviedol, že je dôležité „položiť technickú ceruzku a vyzdvihnúť pastelku“ - inými slovami, aby sa zjednodušili veci pre koncových používateľov. Arsenault zdôraznil, že je dôležité nezamieňať správu, ktorá pracuje pre inžiniersku populáciu, s tým, čo pracuje pre všeobecnú základňu používateľov.
Za týmto účelom opísal svoju stratégiu ako stolicu s tromi nohami: správu identity, údaje a telemetriu a zdravie zariadenia.
Inými slovami, Arsenault povedal, na pripojenie k niektorej zo služieb potrebujete silnú identitu, ktorá je overená viacfaktorovou autentifikáciou. Ak máte veľkú totožnosť, musí sa ubezpečiť, že zariadenie, z ktorého sa pripájate, je bezpečné. S 20 miliardami udalostí denne potrebuje veľkú dátovú telemetriu na sledovanie systémov, ich zlepšovanie a ochranu.
Arsenault prešiel zo všeobecného na podrobnejší a uviedol, že tento rok identifikoval päť hlavných pilierov alebo zásad ako oblasti investícií - riadenie rizika, správa identity, zdravie zariadenia, údaje a telemetriu a ochrana informácií - av rámci týchto pilierov sa zameriava na 27 základných službách. Uviedol tiež 11 „eposov“ - nevyhnutne krátkodobých projektov trvajúcich 18-24 mesiacov -, ktoré budú dokončené, zlyhajú alebo sa stanú budúcimi základnými službami. Má pomerne malý tím pozostávajúci z deviatich alebo desiatich ľudí, ktorí sa pozerajú na nové technológie, aby zistili, čo môže spoločnosti pomôcť s jej bezpečnostnými potrebami. Keď spoločnosť Microsoft prevzala úlohu CISO pred 8 rokmi, spoločnosť Microsoft mala 80 dodávateľov zabezpečenia, dodáva Arsenault.
Jednou z kľúčových iniciatív za posledných niekoľko rokov bolo presunúť pracovné zaťaženie do Azure. Arsenault uviedla, že spoločnosť presunula 95 percent svojej pracovnej záťaže. Pokiaľ ide o proces, prvá vec, ktorú treba urobiť, je zvážiť žiadosti a rozhodnúť sa, či ich stále potrebujú; z asi 2 000 obchodných aplikácií, spoločnosť Arsenault uviedla, že spoločnosť Microsoft zistila, že dokáže jednoducho vylúčiť 30 percent. Ďalšia vec, ktorú treba urobiť, je nájsť aplikácie, ktoré by bolo možné previesť na riešenie Software-as-a-Service; to fungovalo pre asi 15 percent aplikácií spoločnosti Microsoft. Pre tých, ktorí zostali, bolo ďalším krokom virtualizácia všetkých aplikácií a prijatie nových alebo jednoduchých aplikácií a ich presunutie na platformu ako služba, pričom „zdvíhanie a prechod“ na ponuky infraštruktúry ako služby väčšina ostatných.
V tomto procese sa do cloudu presunulo viac aplikácií, ako by si myslel (vrátane systému SAP od spoločnosti Microsoft), a navrhol, aby spoločnosti prešli na PaaS skôr, ako by plánovali.
Arsenault povedal, že je dôležité, aby sa v takomto úsilí naďalej pohyboval, a okolo projektu sa neustále vytvárala energia, pretože projekty často prestávajú postupovať približne v polovici. Ľudia často používajú 5 percent pracovných úloh, ktoré sa nepresunú do cloudu, ako ospravedlnenie nerobiť ďalších 95 percent, a povedal, že na vytvorenie tohto kroku je potrebné vytvoriť pocit naliehavosti (napríklad stanovenie dátumu) na zatvorenie dátového centra).
Jednu vec, ktorú jeho tím vytvoril, bol DevOps Toolkit pre Azure určený na monitorovanie 250 ovládacích prvkov rôznych aplikácií, aby sa zabezpečilo, že všetko funguje. Arsenault uviedol, že jeho skupina ho sprístupnila prostredníctvom otvoreného zdroja a je presvedčený, že tieto zásady riadenia podniku sa do Azure začlenia asi za 18 mesiacov.
Arsenault časť svojej prednášky sústredil na zabezpečenie správcov, ktorí zvyčajne majú najväčší prístup k systému. Hovoril o znížení počtu stálych správcov; používanie osobitného identifikačného systému na udelenie menšieho počtu oprávnení; a nechať ich, aby vykonávali bezpečnostné úlohy iba na „zabezpečenej administračnej pracovnej stanici“, ktorú opísal ako „super bezpečné zariadenie“ so špeciálnym obrázkom, ktorý stroj často splošťuje a prestavuje a ktorý sa vytvára pomocou zabezpečeného dodávateľského reťazca. Na týchto počítačoch je spustený iba kód lokality a sú vysoko uzamknuté. Zoznam povolených položiek určuje, čo a kde sa môžu pripojiť. V prípade pripojení k iným službám sa správcovia môžu pripojiť k virtuálnym počítačom.
Arsenault tiež hovoril o dôležitosti odstránenia hesiel. Aplikáciu spoločnosti Authenticator už nejaký čas používa a uviedol, že je dôležité „nechať dokonalého nepriateľom dobra“. Je to naozaj o odstránení výzvy, povedal, a zatiaľ čo používatelia tejto aplikácie nevidia heslá, sú stále pod povrchom (hoci o niekoľko rokov ich môžu namiesto nich nahradiť certifikáty). Navrhol, aby odborníci v oblasti bezpečnosti v spoločnostiach prestali hovoriť o makrofinančnej pomoci a namiesto toho začali hovoriť o odstraňovaní hesiel. Cieľom je vidieť to nie ako ďalšiu vrstvu, ale skôr ako niečo, čo uľahčuje prístup pre používateľov.
- Spoločnosť Microsoft sa rozhodla neprerušiť inštalácie prehliadača Firefox / Chrome Spoločnosť Microsoft sa rozhodla neprerušiť inštalácie prehliadača Firefox / Chrome
- Microsoft CEO tlačí na otvorenú dátovú iniciatívu, nové zabezpečenie na Ignite Microsoft CEO tlačí na otvorenú dátovú iniciatívu, nové zabezpečenie na Ignite
- Nové tipy AI, zabezpečenie pre kanceláriu, Microsoft 365 Microsoft Tipy Nové AI, zabezpečenie pre kanceláriu, Microsoft 365
V Arsenaultovom vystúpení ma skutočne vynikalo to, že väčšina jeho nápadov - zjednodušenie vašich nástrojov, presunutie zmyslu do cloudu, zameranie sa na identitu, riadenie administratívneho účtovníctva, prekračovanie tradičných hesiel - nie sú nové alebo dokonca kontroverzné. Naopak, najväčšou výzvou je, ako sa tieto veci skutočne implementujú spôsobmi, ktoré nezasahujú do zvyšku vašej IT stopy a ktoré sú prijateľné - alebo dokonca výhodnejšie - pre vašich koncových používateľov. Vo svete s väčším počtom bezpečnostných hrozieb ako kedykoľvek predtým je nevyhnutné, aby ste pokračovali vpred.