频繁刷屏网安圈的微软安全，这次给我们什么启示？

编者按

今年以来，微软公司频繁被国内网络安全从业者关注。引起最多讨论的是三件事：

1、2021年1月，微软CEO宣布微软在2020年的安全业务收入达到100亿美元，年增长率超过40%。一时之间，安全行业纷纷热议“原来微软才是全球最大的网安厂商”！

2、2021年6月25日，微软正式发布Windows 11，特别提到Windows 11提供了一个“零信任安全防护模式”的操作系统，来保护数据和跨设备访问。

3、2021年7月14日，微软正式发布Windows 365，再次提及Windows 365服务遵从“零信任”原则，从设计源头确保安全。

频繁在网安圈刷屏的微软安全给了国内厂商什么启发？此次发布Windows 365对零信任市场有什么影响？

本期产业安全TALK分享一篇来自“零信任产业标准工作组”的分析文章，从另一个角度分析微软的举措。

作者：黄超

编辑：罐子

原标题：《微软发布 Windows 365因零信任刷了屏，“原生”零信任时代加速到来》

微软Windows365这两天刷了屏，朋友圈里也看到大家很兴奋，“有了Win365 就不需要其他零信任产品了”、“微软出颠覆性零信任方案了”、“零信任新玩法诞生”……好像没有人太关心Win365本身的功能，反倒是对Win365用了零信任理念充满兴趣。

先摘录微软官方介绍：

大家的反应，我也很兴奋和感慨。兴奋的是微软这样的国际IT巨头也在积极拥抱和实践零信任，甚至是在产品发布时也借用零信任概念传播，说明零信任在业界已成为事实的安全新理念、新思潮、新趋势；感慨的是，Win365的发布，也说明各大厂商开始在自身的产品、服务的设计和研发过程就考虑和应用了零信任理念和原则，可以预见，后续市场上各种产品将“原生”集成零信任，这将为零信任的进一步普及和行业的整体安全水平提升有很大的贡献。——微软官方

Win365本质上是云电脑

Win365本质上是Cloud PC（云电脑），为用户提供云端的完整 PC 体验，支持 Windows 10 及 Windows 11（当然是微软自己的OS），优势和其他云电脑产品一样，允许用户设备登录，让 IT 人员能够按需进行扩容或减容、简化PC的部署、更新以及管理等。

云电脑并不是什么新产品，2018年华为就推出了云电脑，支持除了华为M5平板、P20、Mate 10和Mate RS等手机访问云端PC，2019年Valve游戏公司推出了Steam Link,可以串流Steam游戏库到安卓和iOS设备,包括手机、平板以及电视等，2020年9月阿里云推出“无影”云电脑、2020年11月百度推出云手机等等。各家都根据自己的特点，提供云端的终端（电脑、平板、手机）系统托管服务，支持不同的OS运行在云端，用户可以用计算能力不需要很强的端侧设备访问云端PC的服务和数据。

微软为什么要用零信任理念？

回到零信任，为什么微软这次会用零信任理念来设计Win365. 这就要回顾下零信任的初衷和目标，提供端到端的安全防护能力，核心是保护数据和服务安全。零信任的原则之一就是要尽可能的收敛攻击面。Win365是通过将用户终端侧的数据，通过云电脑的模式，存储在云端，尽可能少的在用户终端留存，从而减少因为恶意攻击终端而造成的数据泄露或破坏。云电脑的模式，天然的能够减少终端上数据的暴露面，与零信任的理念直接契合。

但是终端数据在云端存储，就能解决所有的安全风险吗，显然也是不可能的。即使用了云电脑，用户还是需要通过某个终端去访问云端资源，对用户身份的校验、对用户设备身份的校验、对用户设备的安全性评估、对用户访问请求报文的安全加密等等，在零信任的理念下，一样也不能少。

想起了有一种终端侧做零信任数据保护的思路，应用沙箱，通过沙箱来隔离终端上的APP和数据，做到终端侧攻击面的尽可能收敛（即使某个APP被攻破，不会影响其他APP和数据），与云电脑的数据保护目标也有相似性。而且云电脑在云端仍然可以用沙箱来做防护，实现更高层级的攻击面收敛。

Win365并非零信任的万能药

Win365并不是零信任的“万能药”，也不是云电脑的“终极形态”，但是微软用零信任来设计和实现自家产品的做法，势必会为其他厂商重视零信任、“原生”集成零信任带来示范作用。我也非常期待更多的产品提供原生的零信任安全能力，如此以来，用户在使用零信任理念设计网络安全架构的时候，能够与安全厂商提供的整体零信任解决方案更好的适配和协同，从而为用户全面实践零信任打下更好的基础。

以上观点仅代表零信任产业标准工作组专家个人，欢迎交流！