flask网站开发,东莞网络游戏开发制作,后端开发需要学多长时间,互联网营销师从左到右#xff1a;李亮#xff08;主持人#xff09;、张美波、蒋涛、韦青扫描上方二维码直达精彩回顾整理 | 伍杏玲出品 | CSDN#xff08;ID#xff1a;CSDNnews#xff09;全球数字化转型浪潮不断推进下#xff0c;企业上云步伐加快#xff0c;在这个过程中不少企… 从左到右李亮主持人、张美波、蒋涛、韦青扫描上方二维码直达精彩回顾整理 | 伍杏玲出品 | CSDNIDCSDNnews全球数字化转型浪潮不断推进下企业上云步伐加快在这个过程中不少企业发现随着 IT 基础设施逐渐云化云改变企业的底层基础设施架构安全也随之往云化传统安全架构不再适用于云上。伴随AI、云计算等前沿技术的发展外部安全攻击趋于智能化、复杂化、规模化云上防护的方式变得更多元化、复杂化部署强大的安全架构是企业迫在眉睫的事。那么在具体实现时企业如何加强自身的云安全防御架构8 月 11 日由 CSDN、微软联合重磅打造致力于用「用技术驱动商业变革」的《刷新 CTO》第五期围绕《重新定义云时代企业安全你 Get 到了吗》为话题首次走近微软数字安全中心盛邀 CSDN 创始人董事长、极客帮创投创始合伙人蒋涛微软(中国) 首席技术官韦青微软企业服务大中华区 Cybersecurity 首席架构师张美波在微软大中华区 Microsoft 365 高级产品市场经理李亮的支持下共同探讨云时代下企业如何搭建安全防护立即点击视频观看精彩瞬间文末将有小视频揭晓神秘的微软数字安全中心哦~重点速览传统安全基于“确定性”知道敌人是谁清楚敌人可能从哪个门进来我们提前将这个门修好城墙加固。如今进入云时代确定性的系统安全变成一个伪命题我们进入了一个“确定性终结”的时代。我们往往在软件的部署阶段才去评估其安全性这并不是最优的。“安全左移”后应从软件开始规划、设计、构建阶段时就该考虑其安全问题。需将安全、可信和可控分开厂商通过不断打怪来提高自己的能力可信与可控则需要更高层的法律与制度来约束。企业进行架构转型时对应的安全架构也将转型安全是任何技术的基础。即使技术做得再好如果没有安全的话系统像建在沙滩上的城堡随时可能会倒。微软这样描述自己的软件开发生命周期从第一行代码开始我们考虑安全的设计。安全是整个社会或者双方责任是共享责任。每个人是“安全上下文语意条件下的一分子”每个人可以为安全做贡献同时还可能是一个漏洞。作为管理者关心的问题第一有没有安全等级标准第二有没有不同的安全技术方案选择。安全是微软的核心战略方向微软 CEO 萨提亚·纳德拉曾表示我们承诺给客户提供安全和隐私。每个公司应结交一位安全界朋友一是让对方帮忙监测企业系统二是万一企业出现安全事故后可请安全专家解决。云安全区别传统安全没有边界限定李亮主持人如今我们谈的“安全”与 5~8 年前的“安全”有很大差别在您看来现代安全和传统安全有什么区别韦青韦 青微软在 Windows 时代安全就是核心话题但那个时代的安全是具备一定确定性的也就是说我们还是大致知道“敌人”是谁安全威胁可能会从哪个门进来我们先把这个门修好或城墙加固。如今进入云原生时代我把它称为“确定性的终结”。安全的领域变得越来越复杂需要我们改变思路以“复杂系统论”的角度重新审视安全的定义和相关的策略。其实我们现在所处的时代主旋律就是不确定性是复杂的、混沌的系统中各个元素以及系统与系统之间不断融合、涌现其本质就是“不确定的”。这种不确定性也表现在其他领域比如物理领域从“确定的”牛顿物理进入介于“确定与不确定”之间的量子物理产品开发从“固定的”瀑布式开发进入“动态迭代”的敏捷式开发人工智能领域从符号主义进入联结主义也就是从认为世界现象是可预判的“还原论”进入认为世界现象是复杂的“整体系统论”。因此在这个万物互联的时代当有人在不加前提约束的条件下简单问“你的系统安全否”就变成一个伪命题。在这样一个复杂的动态环境下对系统安全的定义必须基于“零信任”也就是先预判肯定会有问题随时会动态、随机地出现新的威胁和漏洞一个系统的安全能力需要表现为能够随时、高效地应对“不确定”安全威胁的能力而不是死板的预先设定能够防卫哪种威胁。微软有一个说法“Azure as the world’s computer”Azure实际就是一个管理遍布全球电脑的操作系统集数据的采集、传输、存储、计算、应用、展现、通讯和交互于一体。这么庞大复杂的架构使我们根本不能简单依靠人的经验预判哪里会有“敌人”入侵只能凭灵活多变、实时的反应机制并且基于大数据的机器学习能力建立起一个安全、合规的基础架构。所谓的“确定性”没有了我们不是要预先搭建一个“固若金汤”的系统而是在零信任基础上不断地搭建一些技术来保证动态反应系统可随时应对外界的安全变化。企业安全挑战蒋涛蒋涛随着网络边界和企业业务的渗透企业在数字化后将会发现安全有可能存在巨大的潜在风险和问题。一是企业代码拥有不同的开源库开源库里本身可能存在安全隐患二是程序员或第三方开发商开发的代码大部分公司没有一套安全检测手段来做安全检查很多企业的安全监测尚处于初级的阶段。两位微软安全专家曾撰写过书籍《编写安全的代码》通过大量的实例和代码详细地分析说明了编写安全应用程序的方方面面提供许多实用技术内幕。从这我们看到程序员需经过基础培训从而来写出安全代码。但在现实中近乎 99.9%的程序员没经历过安全代码的培训公司也没有配备上线前的安全检测甚至大部分企业没有配置专门的安全工程师。这些公司基本处于完全不设防的状态这是件非常可怕的事情。企业往往在遇到安全问题后才想到防范这跟人生了病才会去看医生一样平常让他注重健康他便不以为然。现在大多数人停留在点上代码是否安全、数据是否安全、帐户是否安全。但安全是“系统”工作如果有一个地方有漏洞其他的没什么价值。从企业的角度上他们面对这样的变化需要在思维上做怎样的转变蒋 涛企业需要做一些安全培训课程。开发者写安全代码是基础部分同时将安全工具化作为上线的第一层检测每个公司需要做代码静态分析。其次帮助业务和运营人员建立基础安全知识大部分老板没有这种意识。张美波蒋老师说的是“安全左移”为什么称为“左移”软件有规划、设计、构建、测试、部署阶段但往往在软件的部署阶段我们再去评估安全性这是非常不好的。如今我们想从开始规划、设计、构建、阶段时就该考虑安全性。云时代下技术架构安全挑战张美波云时代下从整体技术架构上现在遇到哪些问题张美波从两个维度来看一是企业在数字化转型中基础技术架构变化二是目前面临的安全威胁和攻击行为的变化。在企业数字化转型后原来企业以网络为边界如今随着企业规模越来越大网络架构越来越复杂随着移动互联的发展企业边界已逐渐变大。再加上云计算企业的数据和应用已慢慢地移出网络边界进入到 Internet 上。假如这个企业是做物联网的那基本就没有边界了。所以就会遇到这样的问题原来是依赖于网络为边界分为内部网络和外部网络普遍认为内部网络是可信的。如今由于边界模糊了不能再把网络作为安全边界零信任架构应运而生。零信任架构的核心是把防控策略下沉从原来以网络为边界、到现在以用户身份验证凭据为边界下图是微软的零信任架构图首先是身份验证还有利用网络、应用、数据、基础架构等六个核心的资源组进行不同的防控。企业上云到底安不安全李亮主持人李亮主持人现在一些企业固有的传统观念里认为上云后不安全内心不免有些抵触关于云和自建平台谁更安全的问题您怎么看蒋涛大部分公司没有安全系统即使采购安全系统也是小量。而每一家云公司肯定是被攻击最厉害的从云系统来看他们是安全的。随着国家对数据、系统安全的要求越来越严格肯定是上云后将更安全。把数据放在自建平台就好比放在家里你以为屋子没有漏洞但对专业选手来说全部都是破洞可能对他来说就是没有围墙的院子可随便来逛。张美波这也可以用“钱分别放在银行和家里”来做比喻。从专业性上看云厂商的安全加固措施、安全防护措施会更加完善只是我们担心数据会不会被它拿走而微软云强调透明性、隐私保护和安全性。在云计算时代安全厂商、云计算厂商和客户是共享责任。即便我们使用的是云上的 IaaS、PaaS、SaaS 服务但并不意味着企业和客户把相应的安全责任转移给云厂商。云厂商更多的是提供技术层面的武器但是如何利用好这技术这是企业的责任需从企业安全架构层面、从安全实现技术路线上来做分析。韦青我们要把安全与可信和可控分开来看。如果纯粹从安全从 Safety、Security 来讲的话像刚才蒋老师说的一定是云计算公司较安全。这和游戏升级打怪一样打了几百亿的“怪”生存下来的人肯定是最厉害的人。但是否可信这不只是技术问题而是由法律、法规来决定可控也是由法律、法规来决定。我们需将安全、可信和可控分开厂商做厂商的事我们厂商不断通过打怪来提高自己的能力可信则需要更高层的法律制度来约束。以前大家习惯购买一个产品现在买产品形式的越来越少而是购买服务。一旦采购的是服务本身使用服务的人就是产品的一部分了两者的概念不一样。张美波我们企业从底层转型时对应的安全架构也在转型安全是任何技术的基础。即使技术做得再好如果没有安全的话系统像建在沙滩上的城堡随时可能会倒。很多企业没有这个意识一般想的是眼前解决业务问题。一般企业IT需关注三个方面安全、用户体验和功能要做到三者平衡很难通常只能平衡两个。说得难听点安全是 cost并不会带来实际的收入。安全是微软的社会责任张美波之前 Windows XP 被攻击很多2002年比尔·盖茨建立了可信计算从那时起微软所有产品是按照 SDLSecurity Development Lifecycle软件安全开发周期流程来构建SDL 是微软提出的从安全角度指导软件开发过程的管理模式。微软是 SDL 的发明者也是 SDL 的最佳实践者并且很多国际客户按照 SDL 标准进行实施。如今微软提出新标准 SDLDevSecOps拥有八个环节每个环节里都将安全集成进去李亮主持人微软这样描述自己的软件开发生命周期从第一行代码开始我们考虑安全的设计。今天不光是微软任何从事云、传统软件、硬件、物联网、数据平台等研发工作时我们需要不断地将这个理念植入到整体的思维方式里。张美波微软本身有很庞大且复杂的云时代安全商业架构软件开发对我们来讲是基础所以它在最底下部分基础是 SDL。其架构非常庞大基本囊括微软所有和安全相关的产品。左边是客户端部分微软强调是统一的客户端不仅是 Windows 客户端还有苹果、安卓、Linux 都属于左边部分内容。中间部分涉及到微软 IaaS 和 PaaS包括混合云部分涉及到很多具体的功能。下边部分是世界级 IoT 物联网的安全部分微软有物联网安全架构和物联网的成熟度模型并拥有国际化标准一些国内厂商是直接引用该标准。右边是信息保护部分微软拥有完整的数据生命周期的即从数据开始创建到销毁结束这个完整的数据生命周期里面涉及到 AIP、SaaS 等产品。还有关于身份验证防控部分拥有 AzureAD 等技术。左上角部分是很容易被别人忽略掉大家通常认为安全是做加固的而微软认为安全是有生命周期事前的安全加固、事中的安全监测和事后的响应。事中监测和事后响应依靠 SOC这是最新的 Azure Sentinel 产品。微软 SOC 基于Azure Sentinel 来实现Azure Sentinel 集成很多安全系统如 ATP、AzureAT、AzureSecurity Center还有外部的各种第三方防火墙、网络安全设备、IT及事件管理系统等。我们有完善的系统集成能力并依托 Security Graph 这个分析和 AI 能力实现安全事件的自动响应。韦青微软每个员工都要通过一个 Microsoft 云计算的AZ-900考试。如今进入云时代后服务提供商或计算能力提供商和使用者的边界消失所以我们认为安全是整个社会或者双方责任是共享责任。我们作为服务应用提供商有自己的安全责任边界作为用户而言同样有自己需要负责的安全责任边界。以上述美波的战略架构图为例里面都用了“Graph”的概念也就是“图数据库”左边、右下角都是 Graph传统数据库和 Graph 的最大区别是Graph 不单有节点而且有关系Graph能够有效表达“点”与点和点之间的“关系”。由于现在是万物互联时代所以微软在搭建架构时认为在万物互联的安全语境范围内每个人作为一个“点”都是“安全上下文语意条件下的一分子”每个人可以为安全做贡献同时也可能是一个漏洞。李亮主持人今天的安全理念和传统的会太一样作为企业和员工我们该发力在哪些具体的点上或者该参考什么样的架构来构建自己的企业级安全体系蒋涛从企业的角度来看我认为现在比较需要有一个类似软件成熟度 CMMI 的安全成熟度产品就是根据企业性质、企业数据、数据价值来设计相应的安全等级这个等级不是从保护角度来制定而是从企业需求和商业价值的角度来。从上面两位嘉宾的介绍现在微软跟以前我们理解的微软不太一样可能大多数人对微软的认知可能是 10 年前的微软。如今微软在安全上投入巨大我要请这个“安全保镖”需花费多少作为管理者我可能会考虑其他软件都是微软的了现在需不需要买个“全家桶”那么有更优惠的方案或者有自选方案吗这是作为管理者关心的问题第一有没有等级标准第二有没有不同的方案选择。李亮主持人微软不是一下子就跳到今天的环境下有一本书《工具还是武器 》上讲述很多关于微软在构建今天的可信云平台过去走过的很多路大家如果有兴趣的话可以读一读这本书。张美波安全对微软来讲说是核心战略方向微软 CEO 萨提亚·纳德拉曾表示我们承诺给客户提供安全和隐私。微软不仅是全球第一流的IT企业还是全球第一流的网络安全企业。如今微软每年投入超过 10 亿美元进行安全产品研发。从全球范围看不要说投入超过 10 亿安全行业收入超过 10 亿可能就几家企业。其实对微软而言安全也是社会责任微软经常联合很多国家一起行动和黑产抗争到底今年3月微软和一些国家政府联合打破全球最大僵尸网络7月微软联合国家政府组织一场针对 62 个国家的网络欺诈攻击。今年Gartner发布《Solution Comparison for the Native Security Capabilities 》报告首次全面评估全球 TOP 云厂商的整体安全能力其中微软 Azure 获得全球云厂商最多的 High 评分位列第一。另外微软有 5 个安全产品和服务是处于 Gartner 领导象限。其中Microsoft Defender 从落后到领先一年半时间逆袭成为现在的领导者。因为我们拥有微软智能安全图谱这是全球最大的全情报平台拥有大数据、机器学习、人工智能、云计算应用平台每月在设备检测出的安全威胁数量超 50 亿次每月身份验证请求数超过 5400 亿次这是非常庞大的数据。我们把所有数据放到分析平台上通过机器学习进行分析。首先在上层我们从不同的渠道收集数据数据经过脱敏、处理、整理通过大数据分析平台反馈到产品上产品层面同样也会把数据反馈到 Graph 里相互迭代。基于微软强大的安全能力如今微软提供给大家一套安全套件 Microsoft 365可覆盖 85% 以上企业的 IT 和日常运营场景。涵盖 20 产品从四个类别来做防护一是身份与访问管理二是威胁保护与安全检测三是信息保护四是安全管理与监控。产品里面分等级不同许可证里涵盖的产品是不一样的。韦青它无法用单一的“产品”来形容它可称之为“安全系统”而不只是安全“产品”。安全案例分析张美波微软把过去 20 年的网络攻击行为进行分析发现最早在 2004 年之前我们所面临的攻击行为主要是传统老三样木马、病毒、蠕虫。从2005年开始攻击行为变成有组织的犯罪团伙作案不像传统老三样了而是以金融、金钱为目标攻击技术就变成金融欺诈、身份凭据窃取、勒索、挖矿等。到了 2012 年攻击行为又进化了原来更多针对系统服务数据等现在针对关键基础设施、工业互联网、物联网等涉及的安全从数据和服务上升到人身、国家、社会。所以现在全球国家把网络安全放在较高的地位。下面和大家分享微软的客户案例六个 APT 组织攻击某世界 500 强金融企业。一开始该企业发现自己被攻击后尝试清除攻击者企业以为清除完成但实际上没清除好该 APT 组织在企业系统潜伏了 8 个月。企业不得不寻求微软的帮助微软安全专家只花了 3 天时间就把它清除掉同时发现里面还有另外五个组织在潜伏。所以在这里强调网络安全是社会责任的问题去年微软和合作伙伴成立了微软智能安全联盟未来该联盟应联合全球 133 家厂商的力量共同打击黑产。微软安全解决方案张美波下面给大家看看安全厂商是怎么实现安全技术并映射到具体的企业场景里去。其中最典型的是入侵者通过两种途径从内部发起攻击一是用户访问 Web 网站受到攻击被装上了漏洞软件二是钓鱼邮件91% 攻击行为通过钓鱼邮件发起其中涵盖恶意链接和恶意附件紧接着系统客户端被感染被入侵者命令控制这是非常常见的事。下一步入侵者先做环境侦测 窃取用户身份凭据紧接着在系统内部做横向移动如拿到用户名来攻击电脑。当拿到比较高级别帐号后攻击系统。下一步入侵者在系统里做持续保持和控制权如系统后门木马等同时窃取机密数据入侵者可潜伏很久这是整个攻击链模型。那么微软安全产品是怎么来抵御的在钓鱼邮件层通过Office 365 ATPATP是高级威胁保护套件的邮件网关和高级反恶意链接工具来实现的。在使用 Office 365 时可将恶意电子邮件、恶意链接直接封掉保护用户不受到攻击影响。在第二阶段通过 Micosoft Defender ATP 来实现对设备的保护。在身份验证凭据和横向移动层通过 ATA、Azure ATP 企业 APT入侵平台来保护。对于身份验证与凭据保护通过 AzureAD 进行保护。针对特权帐户管理、高危操作、重大权限操作需要审批流程才可以操作而不是进来直接可以做的。Conditional Access 也一样这是实现零信任访问架构的核心。在数据保护上我们做到全数据生命周期保护如 PPT 文档可加权限让对应的帐户查看同时设个权限有效期。整套解决方案是通过 Azure Security Center 和 Azure Sentinel 来实现安全态势感知和 SOC 安全运营中心这是微软供应链模型和对应的产品架构。未来安全技术蒋涛在短期内企业系统处于“混合”状态一部分在云上单云/多云一部分在本地。在这种情况下我们希望能有一套企业安全等级不是最高级别到全系统级别的全防护策略而是代码、数据、灾备应有一套安全监测标准将这些串成企业安全等级。未来应有一个安全蓝图大家共同来描绘和参与其中。今天我学习到很多之前认为安全很重要但没意识到安全这么重要。另外安全培训是企业重要的工作如何通俗易懂地讲给管理者、开发者、运维人员是一件重要做的事情。每个公司都应该交一个安全界的朋友第一让对方帮忙监测企业系统第二万一企业出现安全事故后需要请安全专家解决。未来我们遇到的安全威胁将越来越多未来将会出现两种入侵者一是专业级的选手大部分公司不需要太担心他们可能会攻击金融等重点领域。二是由于现在攻击技术在平民化可能出现一些“小毛贼”攻击者所以企业要具备底线每位员工须接受企业安全技术培训。公司里不一定设有安全的工程师但是一定会建立一套数据的安全守则。张美波《孙子兵法》里有两句话我非常喜欢“知己知彼百战不殆”“用兵之法无恃其不来恃吾有以待之”意思是我们要做好比较完善的防备然后才能有备无患。很多企业不知道自己有什么资产甚至不知道哪些系统需要保护我们需识别资产风险明确下来哪些东西需要保护只有了解了目标和方向后才知道下一步应往什么方向走。韦青今天微软跟 CSDN 联合举办《刷新 CTO》本期安全话题希望能为大家打开一扇窗口不要把安全当成别人的事情安全是你和我都相关的事情。如今每个人互相存在连接有可能发生物理空间所有风险原封不动搬到数字空间希望大家借此机会对企业安全有所思考。社会已进入复杂系统时代这是混沌、复杂、随时涌现和融合的时代。我们把过去确定论的思想放下来基于每家企业财力、能力的增加慢慢扩展安全技能。李亮主持人据统计企业里有专门安全人员的比重不到 10%安全比重开销平均约 3~5%。随着企业业务云化进程加快安全是非常大、非常有潜力的市场希望各位多掌握安全知识。铛铛档~你们要的微软数字安全中心视频来啦~精彩回顾立刻扫描下方二维码还想了解更多微软技术福利到啦每月都有每月第三周周三周四 19:00-22:00微软 Azure在线技术公开课约定你还等什么扫描二维码或点击阅读原文免费报名学习吧
