2020年微軟在線技術峰會嘉賓演講PPT資料合集.rar

《2020年微軟在線技術峰會嘉賓演講PPT資料合集.rar》由會員分享，可在線閱讀，更多相關《2020年微軟在線技術峰會嘉賓演講PPT資料合集.rar（0頁珍藏版）》請在三個皮匠報告上搜索。

1、Microsoft Online Tech Forum陳健寧 陳彬彬微軟全球技術支持中心云平臺安全響應機制內容安排云平臺安全和應急響應更廉價的攻擊負載(受控設備)平均價格區間PC-$0.13 到$0.89移動端-$0.82 到$2.78魚叉式釣魚每成功一個賬號收取$100 到$1,000 不等0days 價格從$5,000 到$350,000勒索軟件:預付$66 或者30%的盈利用于遮掩IP地理位置的代理服務價格100,000個最低每周$100拒絕服務(DOS)平均價格每天:$102.05每周:$327.00每月:$766.67破解的賬號最低4億只需$150平均$0.97每千個.現代化攻擊鏈在

2、不斷演進綜合性攻擊被完全用于云端或影響混合環境密碼掃描從云端執行惡意代碼供應鏈攻擊Exchange偵察Exchange/OneDrive 滲透惡意OAuth 應用共享責任和策略要點云平臺安全響應啟用多因素認證（MFA），阻止99.9%針對身份的攻擊在構建生產環境同時設計啟用安全特性Secure Score啟用并保存日志，定期備份日志關注官方公開信息并采取行動（https:/aka.ms/SUG）云平臺安全應急響應報告資源濫用、報告釣魚郵件（https:/cert.M）冷靜分析追蹤，補足短板云平臺安全響應利器和最佳實踐ASC,MDATP,AAD,Azure SentinelAzure Secur

3、ity Center 提供的解決方案Azure Security Center 最佳實踐（1）Azure Security Center 最佳實踐（2）ASC 案例resourceType:Virtual Machine,Attacker IP:199.59.x.x,Victim IP:“x.x.x.x,Attacker Port:15796,Victim Port:389發現虛擬機沒有使用NSG進行訪問控制，導致了安全漏洞。此前，ASC已經給出加固NSG及JIT的建議MDATP 提供的解決方案MDATP 管理員面板使用MDATP響應安全事件案例Ryuk勒索軟件攻擊鏈檢測案例Advanced

4、Hunting/Find use of Base64 encoded PowerShell/Indicating possible Cobalt Strike DeviceProcessEvents|where Timestamp ago(7d)|where InitiatingProcessFileName=wmiprvse.exe|where FileName=powershell.exeand(ProcessCommandLine hasprefix-e or ProcessCommandLine contains frombase64)|where ProcessCommandLine

5、 matches regex A-Za-z0-9+/50,=0,2|project DeviceId,Timestamp,InitiatingProcessId,InitiatingProcessFileName,ProcessId,FileName,ProcessCommandLineAAD保護身份，檢測異常Conditional Access 及 Identify ProtectionAAD身份信息保護最佳實踐利用Conditional Access對管理角色用戶進行多因素認證對所有用戶進行多因素認證對Azure的管理訪問（Azure portal,Azure PowerShell,Azu

6、re CLI）登陸進行多因素認證禁用傳統認證協議結合AAD Identity Protection，對高風險用戶強制密碼重置，對中風險及以上用戶要求多因素認證對訪問發起的地點進行限制只允許特定客戶端訪問特定服務對設備合規性進行要求利用Identity Protection：設置MFA策略設置風險策略對風險采取控制風險用戶風險登錄確保AAD 登錄日志的保存期限符合安全審計及響應策略案例AAD身份信息保護3/10/2020:安全人員發現某臺Azure虛擬機被異常開啟，機器沒有NSG網絡安全組保護，暴露給Internet后遭遇攻擊我們調查發現2020年第一次開機請求是通過用戶A的Azure Port

7、al應用發起，發起時間為1/22此后在3/5，3/6，3/7 又由相同賬號通過Azure Portal發起另外三次開機請求利用AAD 登錄日志發現了3/5，3/6，3/7的登錄來源于合理的IP，并確認由用戶A發起由于1/22的登錄日志已經被沖涮掉，無法獲取1/22登錄的具體原因和源頭IP地址客戶重置用戶A密碼，開啟Conditional Access策略要求MFA并結合Identity Protection進行更好的風險檢測 Microsoft CorporationAzure 太多不相關的安全產品76%機構的安全數據持續增加3.5M的安全人員缺口缺乏自動化44%的報警從沒被分析本地IT部署及

8、維護威脅的復雜性安全人員面臨的挑戰分析Azure Sentinel 點對點的安全解決方案檢測收集安全事件自動化數據搜尋調查響應小結安全事件的響應離不開良好的風險評估，保護和檢測基礎架構微軟在Azure云平臺上提供了深層防御模型下的安全解決方案云平臺是一個責任共享平臺Azure Security Centerhttps:/ Defender ATPhttps:/ Conditional Accesshttps:/ Sentinelhttps:/ Copyright Microsoft Corporation.All rights reserved.Thank you內部風險讓您晚上無法入眠嗎Mi

9、crosoft Online Tech Forum微軟線上技術峰會Jaron Lin 林堅樂Sly Dog(狡猾狗)集團4個員工在離開公司時，除了公司的外套以外還有集團首領寄了一封電子郵件給自己，裡面包含了廠房倉庫的平面圖及平常的交接班及作業流程，標題是“you sly dog you”，接著再招攬了另外3名成員其他的成員使用公司的信箱帳號寄信給自己私人的信箱，裡面傳送的包含機敏的文件，並且標註“good stuff”這個內部盜竊的事件會被發現 是因為一個偶然的失誤，其中一個成員不小心將電子郵件寄到一個舊的工作帳號，裡面包含了一些專利技術文件，文件中改換了競爭者的商標在2019年3月,有一家汽

10、車製造商向4名前員工以及1家競爭廠商提起了法律訴訟。這家製造商有它獨到的工藝以及專利的生產作業及技術內部攻擊可能造成的風險範圍極大資料外洩違反保密規定智慧財產盜取違反工作規定違反法律合規詐欺政策違反內線交易利益衝突機敏資料外洩資訊安全違規職場覇凌覺得無法處理內部威脅面對內部威脅，您的組織有多脆弱?內部風險是您最大的挑戰之一1https:/ organizations surveyed were 100+seats哪一類的內部風險您最在意?不確定惡意/蓄意的內部攻擊者例.意欲造成危害無心的/非故意的內部攻擊者例:無意的行為或帳號外洩的使用者惡意內部攻擊風險的路徑跨階段的重點指標偵測能有效的提高預

11、防能力51%曾參與內部威脅的員工中，都曾違反過公司的IT安全策略，最終導致事件發生 Deloitte Metastudy 201659%的員工表示，在他們離開公司的時候，曾把公司的機敏資料一併帶走Deloitte Metastudy 201692%的內部員工攻擊事件中，都曾發生了負面的工作事件，例如遭降職、停職，另外有21.6%的關聯事件(例如其他人有升職、財務獎勵、認可等)Carnegie Mellon CERT97%的內部攻擊事件，依據美國史丹福大學的研究結果，發現和他的主管有關，但大部份的公司並沒有跟進處理Deloitte Metastudy 2016容易傷感感到壓力憂慮行為計畫及準備風

12、險基於智慧的內部攻擊風險的解決方案透明在員工個人隱私以及公司風險之間取得平衡智能運用機器學習，偵測隱藏的行為模式整合整合工作流程，由協同作業來確認風險法務部門(雇傭單位)確認雇傭合規人事部門健康的員工以及完善的工作環境法令遵循/隱私法令合規及相關政策執行資訊安全部門保護資料和公司的基礎架構角色使用自訂的模版提供豐富的內部洞悉資訊機器學習會整合系統原生以及第三方的訊號(signals)來辨識內部風險端到端的調查整合的調查工作流程，可以讓IT、HR、法務進行協同作業內建隱私權保護匿名控制確保與風險相關的資料都能適當的被保護Insider Risk Management(內部風險管理)政策範本初始類

13、別機敏資料外洩機敏或保密資料的外洩，包含有意或無意的人事政策違反偵測違反公司人事政策的行為(例如:騷擾、歧視等)離職員工的資料盜取離職員工偷取智慧財產權相關資料或資產59%的員工表示，在他們離開公司的時候，曾把公司的機敏資料一併帶走1.2016 Deloitte Debriefs“Insider threats:What every government agency should know and do”示範:Insider Risk ManagementJaron Lin示範:Insider Risk ManagementMicrosoft Online Tech ForumMicroso

14、ft Online Tech Forum微軟在線技術峰會侵略如火，不動如山微軟如何通過“零信任”守護企業安全張美波大中華區 Cybersecurity 首席架構師微軟企業服務微軟大師，CISSP，CCSP，PMPAgenda“零信任”-網絡安全的新紀元這些安全事件的共性是什么？入侵者利用特權及管理賬戶的權限進行攻擊入侵者充分利用企業內部網絡的默認信任關系來進行橫向移動被攻擊目標缺乏完善的訪問控制措施缺乏完善、深入的安全監測與響應能力，導致未能快速發現并阻止攻擊行為DataInfrastructureDevicesApplicationNetworkIdentityDataInfrastruct

15、ureDevicesApplicationNetworkIdentityTrust but verifyNever trust,always verify資源資源/資源組資源組DataInfrastructureDevicesApplicationNetworkIdentityDevices Security Policy EnforcementIdentityUser/session riskMulti-factor authenticationIdentity providerDevice identityDevice risk&compliance stateClassify,label

16、,encryptVisibility and AnalyticsAutomationEmails&documentsStructured dataData Adaptive Access AppsSaaS AppsOn-premises AppsNetwork deliveryInternal Micro-segmentationNetworkInfrastructureJIT and Version ControlIaaSPaaSInt.SitesContainersServerlessAccess&runtime controlThreat protectionDataInfrastruc

17、tureDevicesApplicationNetworkIdentity可信度最小權限身份驗證憑據身份驗證憑據微軟“零信任”架構2010Forrester 提出“Zero TrustZero Trust”概念2004Jericho ForumJericho Forum“去網絡邊界化，限制基于網絡的隱式授權”2014Google 發布“BeyondCorpBeyondCorp”2014微軟提出“新安全邊界”、“現代化企業安全模型”、“假定被攻擊”、“層級保護模型”等概念2017OReilly 出版2004網絡訪問控制(NAC)架構2002微軟啟用 IPSec 隔離“所有企業內部網絡端到端通信都

18、是安全的”2009Forefront Forefront 安全產品系列“集成聯動安全，統一安全策略”2009DirectAccessDirectAccessWindows 7/Windows Server 2008 R2Windows 7/Windows Server 2008 R2“無邊界網絡”2012Dynamic Access ControlDynamic Access ControlWindows 8/Windows Server 2012Windows 8/Windows Server 2012“基于用戶、設備、資源和內容分級的動態訪問控制”2019NIST SP 800-207 D

19、raft安全行業2018“無密碼”戰略2019完成“零信任”階段性部署，并持續改進2017Microsoft IT 發布“InternetInternet-firstfirst”戰略2016發布“按條件訪問(Conditional Access)”2008Windows Server 2008集成“網絡訪問保護”功能如何適配“零信任”模型？強制執行（Enforcement）微軟云計算“零信任”架構強制執行（Enforcement）Conditional Access App Control6.5 Trillion Signals/DayUser角色:銷售部門員工用戶組:北京銷售部門設備:Win

20、dows 10配置:安全策略已應用所在位置:北京，中國最后登錄時間:2小時前，北京企業應用系統本次訪問的風險評估結果健康狀態:已被入侵客戶端:Microsoft Edge登錄源IP:匿名代理登錄位置:香港，中國HighMediumLow匿名代理 IP 地址該用戶之前從未從類似位置登錄，并且不可能在此短時間內從北京到達香港在設備上發現惡意軟件Device敏感度:中等阻止訪問并強制清除惡意軟件依托全球最大安全情報數據庫，構建微軟安全產品體系Microsoft 365身份與訪問管理威脅保護與安全檢測信息保護安全管理與監控Microsoft 365 最全面的 Cybersecurity 保護方案Ent

21、erprise Mobility+SecurityEnterprise Mobility+SecurityTier 1 Tier 2 Tier 0 Tier 1 Tier 2 Tier 0 安全功能云上（微軟 Azure AD）云下（On-premise 活動目錄）身份驗證與憑據（Identity）統一的身份驗證憑據Azure ADActive Directory多因素身份驗證Azure AD默認支持智能卡特權及管理賬戶訪問控制Azure AD 特權賬戶管理活動目錄特權及管理賬戶安全加固，FIM統一的訪問控制策略Conditional Access活動目錄安全策略用戶賬戶安全風險動態評估Azu

22、re AD 憑據保護計算設備（Device）基于設備身份的訪問控制加入 Azure AD加入活動目錄域設備管理及安全策略Microsoft Intune活動目錄安全策略設備安全狀態Microsoft Defender ATPMicrosoft Defender ATP設備安全狀態訪問控制集成Conditional Access企業如何實現“零信任”？這世界上沒有兩只鳥是完全相同的，“零信任”部署也是?！傲阈湃巍笔且粋€持續進化的旅程，而不是一個結果?！傲阈湃巍敝?，從問題開始再進一步深入分析MacOSAndroidiOSWindowsGoogle IDMSAIdentity ProviderFe

23、derated誰訪問數據？他們的角色是什么？他們如何訪問？用戶賬戶的安全風險如何？（例如使用弱密碼/泄露的密碼、低密碼強度、使用行為等）設備類型是什么？設備健康狀態/安全狀態如何？它在訪問什么數據？數據重要性/機密性/敏感性如何？用戶所在位置如何？當前登錄位置？歷史登錄行為？訪問的目標應用是什么？SaaS、云端應用、企業本地部署應用、還是移動App？CorporateNetworkGeo-locationBrowser appsClient apps基于動態評估結果，我們的決定是Cloud SaaS appsPublic CloudsOn-premises apps最終組合在一起，就是：按條件

24、訪問、動態風險評估的“零信任”部署模型訪問條件SessionRiskEffectivepolicyMacOSAndroidiOSWindowsEmployee and partnerusers and rolesTrusted andcompliant devicesPhysical&virtual locationClient apps&auth methodGoogle IDMSAIdentity ProviderFederatedCorporateNetworkGeo-locationBrowser appsClient appsCloud SaaS appsPublic CloudsO

25、n-premises appsAllow/block accessLimited accessRequire MFABlock legacy authenticationForce password resetReal-timeevaluation engineMachine learning安全控制PoliciesDataInfrastructureDevicesApplicationNetworkIdentity微軟企業服務全球安全服務部門欲求和平，必先備戰。Microsoft Online Tech ForumMicrosoft Online Tech Forum微軟在線技術峰會侵略如火

26、，不動如山微軟如何通過“零信任”守護企業安全張美波大中華區 Cybersecurity 首席架構師微軟企業服務微軟大師，CISSP，CCSP，PMPMicrosoft Online Tech Forum微軟在線技術峰會唐浩微軟Modern Workplace全球黑帶智能、安全、合規：圍繞 Microsoft Teams 構建未來云協作平臺議程1.生產力協作平臺的演化2.基于Teams的協作，兼顧安全與合規3.面向未來的生產力洞察生產力協作平臺的演化單點登錄體驗應用管理安全可控的共享敏感信息多因子驗證基于條件的訪問（地點，設備）個人生產力移動化云存儲團隊協作共同編輯（基于公司，群組，項目等）治理

27、，風險與合規管理(保留,檢索,治理，監管，調查，風控)身份和訪問管理延申擴展至外部的全產業鏈協作現代化辦公與協作框架業務流程數字化與自動化內部溝通與信息發布企業內容管理智能發現,搜索KPI與業務結果發布和洞察用戶自服務減少IT運維BYOD與設備管理PC分發部署與防護變更管理與培訓1234身份管理設備與應用管理數據治理與信息保護生產力和協作THE PROBLEM企業所需的安全已經集成在了微軟的生產力工具中生產力安全On-premisesOR安全這個平衡非常微妙Microsoft 365通往現代化工作模式之路基于對話的工作區郵件和日歷語音、視頻和會議Office 應用程序/協同創作站點和內容管理分

28、析與決策高級安全與合規高級終端安全為現代化 IT 而設計增強的桌面生產力強大的現代化設備身份和訪問管理管理移動生產力威脅防護信息保護安全與合規管理Microsoft 365完整的企業級解決方案基于Teams的協作，兼顧安全與合規Microsoft Teams 云協作平臺溝通基于對話、會議，融合語音呼叫協作與Office 365應用深度集成定制與擴展可實現第三方應用、流程及設備定制與功能擴展安全與合規企業級安全與合規管理Microsoft 365&Azure ADAdmin ToolsTeams 在協作中提供的安全與合規管理能力Teams administratorsM365 Administr

29、ationMicrosoft 365&Azure ADAdmin ToolsTeams 在協作中提供的安全與合規管理能力Teams administratorsTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在協作中提供的安全與合規管理能力Teams administratorsReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningMessagingpolicie

30、sLive event policiesPolicy packagesTeams AdministrationTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在協作中提供的安全與合規管理能力Teams administratorsReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningMessagingpoliciesLive event policiesPolic

31、y packagesSecurity&ComplianceAdmin ToolsTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在協作中提供的安全與合規管理能力Teams administratorsRetentionpoliciesReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningMessagingpoliciesLive event policiesPol

32、icy packagesSecurity&Compliance AdminSecurity&ComplianceAdmin ToolsTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在協作中提供的安全與合規管理能力Teams administratorsReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningRetentionpoliciesMessagingpol

33、iciesLive event policiesPolicy packagesSecurity&ComplianceAdmin ToolsTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在協作中提供的安全與合規管理能力Teams administratorsRetentionpoliciesReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningMessagingp

34、oliciesLive event policiesPolicy packages面向未來的生產力洞察你是否能了解員工，團隊以及自己的實際工作情況？有了行為數據，我們可以進行數據驅動的企業文化轉型，從主觀判斷變為科學決策MyAnalyticsWorkplace Analytics獲取有關貴公司運作方式的總體見解通過行為分析的洞察來運營您的業務通過數據和AI智能推動文化變革獲得僅自己可見的生產力洞察專注、找到生活工作平衡點，增強關系網絡建立更智能的工作通過日常工作中的行為洞察來筑造變革文化總結Microsoft 365 智能云服務，助您全面提升生產力以Teams為中心高效協作，兼顧安全與合規管理

35、微軟洞察力解決方案賦能企業文化轉型，成就不凡如何實現云計算網絡的縱深防御體系Microsoft Online Tech Forum微軟在線技術峰會王文斌AgendaAzure 網絡安全概覽Azure DDoS 防護Azure 網絡安全組Azure 用戶定義路由Azure 防火墻Azure 應用程序防火墻Azure 網絡虛擬設備案例：混合網絡部署Azure 網絡安全概覽零信任模型Devices Security Policy EnforcementIdentities Visibility and AnalyticsAutomationDataAppsInfrastructureNetworkA

36、zure 網絡安全隔離防止橫向移動和數據泄露保護基于威脅情報的網絡安全跨越DevOps流程的安全部署連接分布式連接利用Azure產品實現零信任網絡云原生網絡安全服務Networking Partner Solutions縱深防御+軟件定義網絡(SDN)虛擬網絡網絡安全組用戶定義路由負載均衡器Azure防火墻AzureDDoS防護Azure應用程序防火墻Azure專用鏈接Azure DDoS防護保護應用程序免遭分布式拒絕服務(DDoS)攻擊。Azure DDoS防護Azure DDoS防護基本DDoS防護Azure DDoS防護標準DDoS防護網絡安全組篩選進出 Azure 虛擬網絡中的 Azu

37、re 資源的網絡流量。網絡安全組網絡安全組服務標記服務標記表示給定 Azure 服務中的一組 IP 地址前綴。它有助于最大程度地減少對網絡安全規則的頻繁更新的復雜性。應用程序安全組使用應用程序安全組可將網絡安全性配置為應用程序結構的固有擴展，從而可以基于這些組將虛擬機分組以及定義網絡安全策略?？梢源罅恐貜褪褂冒踩呗?，而無需手動維護顯式 IP 地址。用戶定義路由確保特定設備或設備組中的所有流量通過特定位置進入或離開虛擬網絡。用戶定義路由系統路由用戶定義路由自定義路由用戶定義路由Azure 如何選擇路由Azure 使用最長前綴匹配算法，根據目標 IP 地址選擇路由如果多個路由包含同一地址前綴，A

38、zure 根據以下優先級選擇路由類型：1.用戶定義的路由2.BGP 路由3.系統路由Azure 防火墻原生防火墻功能，內置有高可用性、提供無限的云可伸縮性且無需維護。Azure 防火墻Azure 防火墻不受限制的云可伸縮性應用程序 FQDN 篩選規則網絡流量篩選規則FQDN 標記服務標記威脅情報出站 SNAT 支持入站 DNAT 支持Azure 應用程序防火墻為 Web 應用提供強大保護的云原生 Web 應用程序防火墻(WAF)服務。Azure應用程序防火墻微軟智能安全保護應用免受自動化攻擊使用機器人防護規則集刪選正常/惡意機器人基于站點或URI路徑指定WAF策略基于不同主機/偵聽器或者URI

39、路徑部署自定義WAF策略，以實現更精細化的保護l 基于地理位置的流量過濾增強自定義策略的批評場景通過以下服務進行部署：Azure 應用層網關Azure Front DoorAzure CDN（預覽版）Azure Global WAF(Front Door)Azure Regional WAF(Application Gateway)Uniform policyWAF policyPaaS,IaaS,AKS,serverless and on-premises backendsOWASP rulesBot managementCustom rulesAzure應用程序防火墻WAF 策略和規則自定

40、義規則IP 允許列表和阻止列表基于地理位置的訪問控制基于 HTTP 參數的訪問控制基于請求方法的訪問控制大小約束速率限制規則Azure 托管的規則集基于開放 Web 應用程序安全項目(OWASP)中的核心規則集(CRS)3.1、3.0 或 2.2.9。機器人防護規則集（預覽版）WAF 工作模式檢測模式阻止模式Azure 網絡虛擬設備在云上使用你熟悉的網絡設備。Azure 網絡虛擬設備選擇您信賴的品牌Azure 網絡虛擬設備Azure 防火墻與Azure NVA對比案例：混合網絡部署案例：混合網絡部署如何提升Azure云平臺的隱私與環境治理Microsoft Online Tech Forum微

41、軟在線技術峰會趙健微軟云架構師Agenda云端治理的意義&持續云端治理的過程Azure云端治理的框架云端治理之安全&身份管理云端治理之部署加速云端治理之資源一致性云端治理之花費管理云端治理的意義&持續云端治理的過程治理的定義Governance is all of the processes of governing,whether undertaken by a government,market or network,whether over a family,tribe,formal or informal organization or territory and whether th

42、rough the laws,norms,power or language of an organized society.It relates to the processes of interaction and decision-making among the actors involved in a collective problem that lead to the creation,reinforcement,or reproduction of social norms and institutions.In lay terms,it could be described

43、as the political processes that exist in between formal institutions.https:/en.wikipedia.org/wiki/Governance云端治理需求優秀的人才恰當的資源合理的配置持續化治理1.規劃2.執行3.改進規劃執行改進Azure云端治理的框架Azure 資源組織框架Azure ScaffoldCore/Core NetworkAzure 資源管理框架CRUDAzure Resource Manager(ARM)Query2.規范化控制規范化控制：通過規則引擎實施監測通過規則引擎實施監測&審核環境中資源的規范性

44、審核環境中資源的規范性3.資源可見性資源可見性:清晰的查看海量的云端資源1.環境標準化：環境標準化：通過統一的部署&更新云端資源Role-based AccessPolicy DefinitionsARM TemplatesManagement GroupsSubscriptions規則引擎 Azure PolicySecurityAzure Security CenterGuest Config baselinesKey Vault certificateNSG rulesAKS&AKS EngineRBAC role assignmentRegulatory ComplianceNIST

45、SP 800-53 R4ISO 27001:2013CISPCI v3.2.1:2018FedRAMP ModerateCanada Federal PBMMSWIFT CSP-CSCF v2020UK Official and UK NHSIRS 1075TagsResource standardizationCostRequire specified tagAdd or replace a tagInherit a tag from the RGAppend a tagAllowed/not allowed RPAllowed locationsNaming conventionBack

46、up VMsAllowed images for AKSAllowed VM SKUsAllowed Storage SKUs規范化的命名&適當的標簽分類云端治理之安全&身份管理安全是云端管理的第一要務Microsoft Antimalwarefor AzureAzure Log AnalyticsAzure Security CenterVNET,VPN,NSGApplication Gateway(WAF),Azure FirewallDDoS ProtectionStandardExpressRouteEncryption(Disks,Storage,SQL)Azure Key Vaul

47、tConfidential ComputingAzure Active DirectoryMulti-Factor AuthenticationRole Based Access ControlAzure Active Directory(Identity Protection)+Partner SolutionsData protectionNetwork securityThreat protectionIdentity&access management Security management網絡架構的設計On Premises Network(s)Public IPPublic IPh

48、ttps:/ MANAGEMENT INTERFACESTDE(TRANSPARENT DATA ENCRYPTION)-CLE(CELL LEVEL ENCRYPTION)-SQL SERVER ENCRYPTED BACKUPSALWAYS ENCRYPTEDSQL Server Azure SQL DatabaseSQL SERVER(VM),AZURE SQL DATABASE&AZURE SQL DATA WAREHOUSEAZURE DISK ENCRYPTION-PARTNER VOLUME ENCRYPTION-VIRTUAL MACHINES WINDOWS&LINUXAPP

49、LICATION LEVEL ENCRYPTION AZURE STORAGE SERVICE ENCRYPTION(Blobs,STOCKAGE AZUREAZURE COSMOS DBAZURE BACKUP SERVICE-AZURE BACKUP SERVICEAZURE DATA LAKE AZURE DATA LAKEAZURE HDINSIGHTAZURE KEY VAULT AUTHENTICATION TO KEY VAULT 合理的身份管理是云端所必須Resource Role PermissionsSegment Model Variations 云端治理之部署加速資源部

50、署管理Azure BlueprintsARM TemplatesPolicy DefinitionsRole-based access controlsCustom Scripts*Coming in June 2019BlueprintCloud Engineer+ISO 27001FedRAMPNISTCloud ArchitectResource GroupsAzure DevOpshttps:/ 確保應用的穩定Azure BackupAvailability Sets,Zones and Region PairsAzure Site RecoveryAzure中的高可用選擇VM SLA

51、99.9%VM SLA99.95%VM SLA99.99%Regions54Disaster recoverySingle VMProtection with Premium StorageAvailability setsProtection against failures within datacentersAvailability zonesProtection from entire datacenter failuresSite Recovery&Region pairsProtection from disaster with Data Residency complianceA

52、Zs available across US,Europe and Asia more regions coming soonIndustry-onlyHigh availability SLAAzure 監控中心平臺健康中心 Azure Service Health云端資源的可見性 Azure Resource Graph云端資源可優化性 Azure Advisor針對云端資源提供持續的優化建議，例如：虛擬機的CPU利用率，建議購買RI，或建議更改的型號等云端治理之花費管理持續的云端費用優化追蹤計算優化Management teamsFinance teamsApp teams明確云端花費管

53、理的職責，包括費用明細、權限管理及資源的合理標記明確目標：預算&超支告警清晰的查看各Team的花費，并定期進行審核優化費用管理利器 Azure Cost ManagementThe End&開啟云端治理云端治理&云端采用的相關資料如何通過 SDL 和 SecDevOps 實現軟件及應用的原生安全Microsoft Online Tech Forum微軟在線技術峰會朱長明安全架構師如何通過 SDL 和 SecDevOps 實現軟件及應用的原生安全最佳安全實踐介紹AgendaSDL是什么SDL的安全實踐SDL和DevOps的融合SDL是什么什么是安全開發周期？是什么！通過最佳實踐來提高軟件開發生命

54、周期的過程，以提高軟件安全性試圖解決安全問題并減少不安全軟件的成本的嘗試。不是什么!SDL并非無所不能，徹底的治本！Microsoft安全歷史比爾蓋茨在2002年初撰寫“可信賴計算”備忘錄memo early 2002全推送和FSR擴展到其他產品高級領導團隊同意對所有產品要求SDL面臨重大風險和/或處理敏感數據添加了SDL增強功能“模糊測試”，代碼分析，密碼設計要求隱私，禁止的危險函數等Windows Vista是第一個通過完整SDL的操作系統更廣泛的宣傳，開發統一知識庫系統一合規系統的介紹和開發安全性已完全集成到DevOps（DevSecOps）中更多的安全自動化工具輕量化通過反饋，分析和自

55、動化來優化流程開始對外宣傳SDL為什么采納SDL網絡犯罪演變局域網第一臺PC病毒動機：損害19861995互聯網時代“大蠕蟲”動機：損害19952003操作系統，數據庫攻擊間諜軟件，垃圾郵件動機：財務2004+針對性攻擊社會工程學金融+政治2006+2007 Market prices:Credit Card Number$0.50-$20Full Identity$1-$15Bank Account$10-$1000Cost of U.S.cybercrime:$100BSource:U.S.Government Accountability Office(GAO),FBI關鍵基礎設施攻擊間

56、諜網絡戰2009+Design1 XDevelopmentStatic Analysis6.5XTestingIntegration TestingSystem/AcceptanceTesting15XDeploymentApplicationIn the FieldUp to 100X交付安全應用程序必須成為一項強制性要求在集成過程中修復缺陷的成本要比在設計時檢測和消除缺陷的成本高15倍，而在發布時則要高達100倍。Source:IDC and IBM Systems Sciences Institute被動安全的代價“如果在生產之前僅消除了50的軟件漏洞，那么成本將降低75”-Gartne

57、r“應用程序級別的安全性”SDL的安全實踐實踐#1-提供培訓安全是每個人的工作。開發人員、服務工程師以及計劃和產品經理必須了解安全基礎知識，并知道如何將安全性構建到軟件和服務中，使產品更安全，同時仍滿足業務需求并提供用戶價值。有效的培訓將補充和重新實施安全策略、SDL 實踐、標準和軟件安全要求，并遵循通過數據或新可用的技術能力獲得的見解。盡管安全是每個人的工作，但重要的是要記住，不是每個人都需要成為安全專家，也不是努力成為熟練的滲透測試人員。但是，確保每個人都了解攻擊者的觀點、目標以及可能的藝術將有助于吸引每個人的注意力，并提高集體知識標準。實踐#2-定義安全要求需要考慮安全和隱私是開發高度安

58、全的應用程序和系統的一個基本方面，無論使用何種開發方法，都必須不斷更新安全要求，以反映所需變化功能和威脅環境的變化。顯然，定義安全要求的最佳時間是在初始設計和規劃階段，因為這允許開發團隊以最小化中斷的方式集成安全性。影響安全要求的因素包括（但不限于）法律和行業要求、內部標準和編碼實踐、對以前事件的審查以及已知的威脅。這些要求應通過工作跟蹤系統或通過從工程管道派生的遙測來跟蹤。跟蹤看板、積壓工作、團隊儀表板和自定義報告的工作將拖放沖刺（sprint）規劃和靈活的工作項目跟蹤與全面的可追溯性相結合，為您的所有想法（大大小?。┨峁┩昝赖募?。實踐#3-定義指標和合規性報告必須確定可接受的安全質量最低級

59、別，并讓工程團隊負責滿足這些標準。盡早定義這些可幫助團隊了解與安全問題相關的風險，在開發過程中識別和修復安全缺陷，并將標準應用于整個項目。設置有意義的Bug 欄需要明確定義安全漏洞的嚴重性閾值（例如，使用嚴重或重要嚴重級別發現的所有已知漏洞都必須在指定的時間范圍內進行修復），并且在設置后永遠不會放松它。為了跟蹤關鍵性能指標（KPI）并確保安全任務的完成，組織（如Azure DevOps）使用的錯誤跟蹤和/或工作跟蹤機制應允許安全缺陷和安全工作項明確標記為安全，并標有相應的安全嚴重性。這允許準確跟蹤和報告安全工作。向Azure DevOps/TFS添加bugbarSDL 安全bagbar（示例）

60、創建安全流程時需要考慮的基本標準SDL 隱私錯bugbar（示例）創建隱私過程時需要考慮的基本標準添加或修改字段以跟蹤工作Azure DevOps 服務器 2019|TFS 2018|TFS 2017|TFS 2015|TFS 2013練習#4-執行威脅建模威脅建模應在存在有意義的安全風險的環境中使用。威脅建?？梢栽诮M件、應用程序或系統級別應用。這種做法允許開發團隊考慮、記錄和（重要）在其計劃的運營環境中和結構化方式討論設計的安全影響。將結構化方法應用于威脅方案有助于團隊更有效、更便宜地識別安全漏洞，確定這些威脅的風險，然后進行安全功能選擇并建立適當的緩解措施。微軟威脅建模工具Microsof

61、t 威脅建模工具通過可視化系統組件、數據流和安全邊界的標準表示法，使所有開發人員的威脅建模更加輕松。它還可幫助威脅建模人員根據軟件設計的結構識別他們應該考慮的威脅類別。我們設計了該工具時考慮到了非安全專家，通過提供創建和分析威脅模型的明確指導，使所有開發人員都更容易進行威脅建模。實踐#5-建立設計要求SDL 通常被視為幫助工程師實現安全功能的保證活動，因為功能在安全性方面經過精心設計。為此，工程師通常依賴于安全功能，如加密、身份驗證、日志記錄等。在許多情況下，安全功能的選擇或實現已證明非常復雜，以至于設計或實現選擇可能會導致漏洞。因此，至關重要的是，在一致地應用這些保護時，必須始終如一地應用這

62、些保護。實踐#6-定義和使用加密標準隨著移動和云計算的興起，確保所有數據（包括安全敏感信息以及管理和控制數據）在傳輸或存儲時受到保護，防止意外泄露或更改至關重要。加密通常用于實現此目的。在使用加密的任何方面時做出錯誤的選擇可能是災難性的，最好制定明確的加密標準，提供有關加密實現的每個元素的詳細說明。這應該留給專家。一個好的一般規則是只使用行業審查的加密庫，并確保它們實現的方式允許在需要時輕松替換它們。實踐#7-管理使用第三方組件的安全風險如今，絕大多數軟件項目都是使用第三方組件（商業和開源）構建的。選擇要使用的第三方組件時，了解其中的安全漏洞可能對集成它們的大型系統的安全性產生的影響非常重要。

63、準確清點第三方組件，并在發現新漏洞時制定響應計劃，將大有作為，以減輕這種風險，但應考慮進行額外的驗證，具體取決于組織的風險偏好，使用的組件類型以及安全漏洞的潛在影響。開源的好處將開源軟件作為開發過程的一部分有很多好處，其中一些包括：增加上市時間。通過將現有組件連接在一起，而不是從零開始實現所有組件，更快地創建軟件。質量更高。所有軟件組件都可能包含缺陷，但專注于專用軟件組件通常比讓許多工程師多次單獨解決相同問題更高質量。社區。通過貢獻新功能、報告 Bug 或與所使用的開源項目進行交互，您可以分擔代碼庫的成本和收益。正確管理此風險必須采取的最低步驟。庫存開源了解正在使用哪些開源組件以及在哪里使用。

64、執行安全分析確保所有已識別的組件沒有安全漏洞。使開源保持最新使開源組件保持最新。調整安全響應流程準備一種與您的整體安全響應計劃保持一致的方法。實踐#8-使用已批準的工具定義并發布已批準的工具及其關聯的安全檢查的列表，例如編譯器/鏈接器選項和警告。工程師應努力使用最新版本的已批準工具（如編譯器版本），并利用新的安全分析功能和保護；開發團隊只需要關注自己的開發任務，而開發工具、編譯器等的選擇讓專業的工具團隊來完成，工具團隊通過自己的研究會有更專業的指導和選擇，然后提供給開發團隊；iPhong XCode Ghost蘋果手機病毒事件的教訓；SDL推薦的工具代碼安全性用于Visual Studio等的

65、插件憑據掃描程序（CredScan）*由 Microsoft 開發和維護的工具，用于識別憑據泄漏，如源代碼和配置文件中的憑據泄漏。微軟威脅建模工具通過傳達其系統的安全設計、使用經過驗證的方法分析潛在安全問題的設計以及建議和管理安全問題的緩解措施，創建和分析威脅模型的工具。BinSkim驗證工具，用于分析二進制文件，確保它們符合 SDL 要求和建議。Roslyn分析器*分析器用于在生成時分析代碼，如靜態代碼分析（如果啟用了代碼分析），但也可以在鍵入時進行實時分析。如果啟用完整的解決方案分析，Roslyn 分析器還可以提供編輯器中未打開的代碼文件的設計時間分析。C/C+的代碼分析*安裝 Visua

66、l Studio 團隊系統開發版或 Azure DevOps 時提供的靜態分析器，可幫助檢測和更正代碼缺陷。微軟DevSkim*IDE 擴展和語言分析器的框架，在開發人員編寫代碼時在開發環境中提供內聯安全分析。為 Azure 提供安全 DevOps 工具包腳本、工具、擴展和自動化的集合，這些腳本、工具、擴展和自動化支持開發操作團隊的端到端 Azure 訂閱和資源安全需求。微軟安全風險檢測*微軟獨特的模糊測試服務，用于查找軟件中的安全關鍵錯誤。安全風險檢測可幫助客戶快速采用過去 15 年在 Microsoft 進行實戰測試的實踐和技術。TSLint+tslint-微軟-contrib其他 Mic

67、rosoft 為流行的免費 TSLint TypeScript linter 編寫了安全規則。攻擊表面分析器用于突出顯示 Windows、Linux 或 MacOS 操作系統上的系統狀態、運行時參數和可安全對象的變化的工具。應用程序檢查器跨平臺工具，通過分析源代碼識別有趣的特性和特征，使您能夠更好地了解程序的功能。實踐#9-執行靜態分析安全測試（SAST）在編譯之前分析源代碼提供了一種高度可擴展的安全代碼審查方法，有助于確保遵循安全編碼策略。SAST 通常集成到提交管道中，以便每次構建或打包軟件時識別漏洞。但是，某些產品集成到開發人員環境中，以發現某些缺陷，例如存在不安全或其他被禁止的功能，并

68、在開發人員正在積極編碼時用更安全的替代方法替換這些缺陷。沒有一種尺寸適合所有解決方案，開發團隊應決定執行 SAST 的最佳頻率，并可能部署多種策略，以平衡生產率和足夠的安全覆蓋范圍。VSTS安全工具市場實踐#10-執行動態分析安全測試（DAST）對完全編譯或打包的軟件執行運行時驗證檢查功能，這些功能僅在集成和運行所有組件時才明顯。這通常是使用一套預先構建的攻擊工具或工具實現的，這些工具專門監視應用程序行為以查找內存損壞、用戶特權問題和其他關鍵安全問題。與 SAST 類似，沒有一刀切的解決方案，雖然某些工具（如 Web 應用程序掃描工具）可以更容易地集成到連續集成/連續交付管道中，但其他 DAS

69、T 測試（如模糊化）需要不同的方法。實踐#11-執行滲透測試滲透測試是一種軟件系統的安全分析，由模擬黑客操作的熟練安全專業人員執行。滲透測試的目的是發現編碼錯誤、系統配置錯誤或其他操作部署弱點導致的潛在漏洞，因此測試通常發現最廣泛的漏洞。滲透測試通常與自動和手動代碼審查結合執行，以提供比通?？赡芨叩姆治黾墑e。使用白盒模糊功能進行自動滲透測試安全研究人員和黑客越來越多地使用模糊作為查找漏洞的主要技術之一。黑客通常練習黑盒模糊-生成數據的各種排列，而實際上不會將其與分析數據的代碼相關聯。模糊是一種系統的方法來查找代碼中的錯誤，這些缺陷是安全錯誤最嚴重的原因。模糊化能夠查找遠程代碼執行（緩沖區溢出

70、）、永久拒絕服務（未處理的異常、讀取 AV、線程掛起）和臨時拒絕服務（泄漏、內存峰值）。模糊不僅發現緩沖區邊界驗證的缺陷，還發現狀態機邏輯、錯誤處理和清理代碼中的故障。攻擊表面分析器攻擊表面分析器的核心功能是在安裝軟件組件之前和之后分散操作系統的安全配置的能力。這一點很重要，因為大多數安裝過程都需要提升權限，一旦授予，可能會導致意外的系統配置更改。攻擊 Surface 分析器當前報告對以下操作系統組件的更改：文件系統（提供靜態快照和實時監視）用戶帳戶服務網絡端口證書注冊 表COM 對象（新！事件日志（新建！防火墻設置（新建！實踐#12-建立標準事件響應流程制定事件響應計劃對于幫助解決隨時間而出

71、現的新威脅至關重要。它應與組織的專用產品安全事件響應團隊（PSIRT）協調創建。該計劃應包括在發生安全緊急情況時與誰聯系，并建立安全服務協議，包括從組織內其他組繼承的代碼和第三方代碼的計劃。在需要之前，應測試事件響應計劃！SDL和DevOps的融合安全 DevOps使安全原則和實踐成為 DevOps 不可或缺的一部分，同時保持更高的效率和生產率從一開始，Microsoft SDL 就確定安全性需要成為每個人的工作，并在 SDL 中包括項目經理、開發人員和測試人員的做法，所有這些都旨在提高安全性。此外，它認識到一個大小并不適合所有開發方法，因此描述了經過驗證的靈活實踐和活動，這些實踐和活動使用經

72、典瀑布或較新的敏捷來提高軟件應用程序在開發每個階段的安全性方法。但是，除了考慮生產環境外，SDL 還不包括操作工程師的活動。DevOps 方法改變了這一點?，F在，開發和操作已緊密集成，以便快速、持續地向最終用戶交付價值。DevOps 已取代孤立的開發和運營，以創建多學科團隊，與共享和高效的實踐、工具和 KPI 協同工作。要在這種快速移動的環境中提供高度安全的軟件和服務，安全以相同的速度移動至關重要。實現此目的的一個方法是在開發（SDL）和操作（OSA）流程中構建安全性。實踐#1 提供培訓培訓對成功至關重要。確保每個人都了解攻擊者的觀點、目標，以及他們如何利用編碼和配置錯誤或體系結構弱點，將有助

73、于吸引每個人的注意力，并提高集體知識標準。實踐#2_定義需求建立考慮到安全性和合規性控制的最低安全基準。確保這些已烘焙到DevOps 流程和管道中。至少，確?；€考慮到實際威脅，如OWASP 前 10 名或SANS 前 25 名以及已知存在或可能由您選擇的技術堆棧中的人為錯誤引起的行業或法規要求和問題。實踐#3 定義指標和合規性報告通過定義推動行動和支持合規性目標的特定指標，與工程師一起推動您想要的行為。實踐#4 使用軟件組合分析（SCA）和治理選擇第三方組件（商業和開源）時，了解組件中的漏洞可能對系統整體安全產生的影響非常重要。SCA 工具可幫助進行許可暴露，提供組件的準確清單，以及使用引用

74、的組件報告任何漏洞。在使用高風險的第三方組件時，您也應該更加有選擇性，并考慮在使用它們之前執行更徹底的評估。實踐#5_執行威脅建模雖然威脅建模DevOps 中可能具有挑戰性，因為它感知到速度緩慢，是任何安全開發過程的關鍵組成部分。在大多數情況下，將結構化方法應用于威脅方案有助于團隊更有效、更便宜地識別安全漏洞，確定這些威脅的風險，然后進行安全功能選擇并建立適當的緩解措施。至少，在存在有意義的安全風險的環境中，應使用威脅建模。實踐#6使用工具和自動化使用經過精心挑選的工具和智能自動化，這些工具和智能自動化已集成到工程師的世界（如集成開發環境）。在現代工程領域，很容易假設自動化是解決方案，自動化是

75、關鍵，但在選擇工具時必須有選擇性，并在部署工具時要小心。目標是解決問題，而不是使工程師在日常工程經驗之外使用太多的工具或外星流程來超載。用作安全 DevOps 工作流一部分的工具應遵循以下原則：工具必須集成到 CI/CD 管道中。工具不需要安全專業知識。工具必須避免報告問題出現高誤報率。將靜態應用程序安全測試（SAST）集成到 IDE（集成開發環境）中，可以深入了解語法、語義，并提供及時學習，防止在應用程序代碼提交到代碼存儲庫之前引入安全漏洞。同樣，將動態分析安全測試（DAST）工具集成到持續集成/連續交付管道中，將有助于快速發現只有在集成和運行所有組件時顯而易見的問題。Azure DevOp

76、s 的擴展實踐#7 保持憑據安全在預提交期間，需要掃描源文件中的憑據和其他敏感內容，因為它們降低了將敏感信息傳播到團隊的 CI/CD 流程的風險。請考慮使用自帶密鑰（BYOK）解決方案使用硬件安全模塊（HSM）生成密鑰，而不是將敏感密鑰存儲在代碼中。實踐#8使用持續學習與監控通過高級分析監視應用程序、基礎設施和網絡有助于發現安全性和性能問題。當利用與監視工具相結合的持續集成/持續部署（CI/CD）實踐時，您將能夠更好地了解應用程序運行狀況，并主動識別和降低風險，以減少遭受攻擊的風險。監視也是支持縱深防御戰略的重要組成部分，可以減少組織識別（MTTI）的平均時間，并減少包含（MTTC）指標的平均

77、時間。持續監控發布的應用監控您的應用程序獲得監視Web應用程序的可用性，性能和使用情況所需的一切，無論它們是托管在Azure還是本地。Azure Monitor支持流行的語言和框架，例如.NET，Java和Node.js，并與DevOps流程和工具（例如Azure DevOps，Jira和PagerDuty）集成。跟蹤實時指標流，請求和響應時間以及事件。監視應用程序和基礎結構Azure 高級威脅檢測Microsoft Online Tech Forum微軟在線技術峰會李輝微軟特約資深講師 微軟技術社區 Regional Director數據防泄露，基于 Microsoft 信息保護和威脅防護全

78、流程實戰Microsoft Online Tech Forum微軟在線技術峰會工作人員曾經無意地將敏感數據分享給錯誤的人Stroz Friedberg設備應用身份數據本地環境本地環境超出控制如何在移動設備中保護企業數據和文件？如何保護分享到企業外部的數據？如何發現，并保護在 SaaS 應用中的數據？如何保護本地環境和云服務中的敏感數據？統一分類豐富的儀表板直觀體驗零碎的信息分散的知識用戶執行不力保護任何位置的數據Microsoft 信息保護敏感信息檢測和分類基于策略保護應用監控和補救應用程序本地環境云服務設備覆蓋加速合規性MICROSOFT CLOUD APP SECURITY監控15k+云應

79、用中的數據訪問、使用，防范數據非法訪問AZURE SECURITY CENTER INFORMATION PROTECTION 在Azure SQL、SQL Server 和其他Azure 存儲庫中分類和標記敏感的結構化數據OFFICE APPS在Excel/Word/PowerPoint/Outlook 中保護工作中的敏感信息AZURE ADVANCED THREAT PROTECTION識別高級數據攻擊和內部威脅OFFICE 365 DATA LOSS PREVENTION防范Exchange Online/SharePoint Online/OneDrive for Business 中

80、的數據泄露SHAREPOINT&GROUPS保護文檔庫和列表中的文件OFFICE 365 ADVANCED DATA GOVERNANCE對Office 365 中的敏感和重要數據應用保留和刪除策略ADOBE PDFs 在Adobe Acrobat Reader上查看本地標記和受保護的PDFWINDOWS INFORMATION PROTECTION在Windows 10設備上分離個人和工作數據，防止工作數據移動到非工作位置OFFICE 365 MESSAGE ENCRYPTION在Office 365中向公司內外的任何人發送加密電子郵件CONDITIONAL ACCESS基于策略控制對文件的

81、訪問，如身份認證、計算機配置、地理位置檢測|分類|保護|監控SDK FOR PARTNER ECOSYSTEM&ISVs在ISV 中使用標簽、應用保護在整個生命周期中跟蹤數據基于策略對敏感數據進行掃描與檢測基于敏感度對數據進行分類與標注應用保護操作，包括加密、訪問限制查看報告并評估分類、標記和受保護的數據安全與合規中心的統一標簽Demo標簽 是可定制的,明確顯示的,持續保護的。標簽將是應用和實施數據保護策略的基礎在文件和電子郵件中，標簽作為文檔元數據持久保存在SharePoint Online中，標簽作為容器元數據持久保存機密在跨平臺的 Office 應用中使用標簽Demo在 Microsof

82、t Cloud App Security 自動標簽Demo監控受標簽保護的數據Demo高級設備管理強制設備加密、密碼/PIN 要求、越獄檢測/根檢測等設備安全配置限制在移動設備和PC上對特定的應用程序或URL地址訪問限制應用程序和URLsManaged appsPersonal apps個人應用MDM(第3方或Intune)托管的應用企業數據個人數據多身份策略在訪問后控制企業數據,并將其與個人數據分開數據控制/隔離網絡攻擊和數據破壞始于仿冒的電子郵件用戶匿名用戶行為不熟悉的登錄位置攻擊者網絡釣魚攻擊用戶賬號受到威脅#攻擊者嘗試內網入侵漫游攻擊者訪問敏感數據特權賬號損壞匿名用戶行為入侵漫游攻擊特

83、權升級賬戶模擬數據泄露攻擊者竊取敏感數據云數據和SaaS 應用零日漏洞攻擊/暴力破解攻擊Microsoft IntuneOffice 365 Threat IntelligenceWindows Defender Advanced Threat ProtectionAzure Active DirectoryOffice 365 Advanced Threat ProtectionMicrosoft Cloud App SecurityAzure Security CenterAzure Advanced Threat ProtectionWindows 10身份：驗證和保護用戶和管理員帳戶用

84、戶數據：評估電子郵件和文檔中是否包含惡意內容終端：保護來自傳感器或用戶設備的信號基礎設施：保護云和本地位置的服務器、虛擬機、數據庫和網絡云應用：保護 SaaS 應用程序及其相關數據存儲13254Microsoft 威脅防護Exchange Online ProtectionSQL ServerWindows Server LinuxOffice 365 ATP電子郵件及文件存儲保護Azure ATP身份保護Windows Defender ATP終端保護C:http:/John Doelllllll自動檢測信息威脅，實現智能防護Demo信息保護啟用 DLP 和 AIP 策略Office 365

85、 ATP、Windows Defender ATP 和Azure ATP了解并開始使用 Cloud Apps Security使用統一標簽對信息進行分類Microsoft Online Tech Forum微軟在線技術峰會Holly Gong(龔祺莎)洞察威脅，全面保護 Microsoft Threat Protection 偵測調查的威力https:/ 年度五大勒索病毒家族GandCrab勒索病毒:2018年GandCrab首次出現，之后經過5次版本迭代，波及羅馬尼亞、巴西、印度等數十國家地區，全球累計超過150萬用戶受到感染。還被國內安全團隊稱為“俠盜病毒”，因為他們后期的版本中避開了戰火

86、中的敘利亞地區。Sodinokibi勒索病毒:在不到半年時間，該勒索病毒已非法獲利數百萬美元。GlobeImposter勒索病毒:該勒索病毒又稱“十二生肖”病毒，會以“十二生肖英文名+4444”的文件后綴，對文件進行加密。而GlobeImposter自2017年5月首發至今，已經歷八個版本迭代，并且后綴也從“十二生肖”，變身希臘“十二主神”。Stop勒索病毒:走薄利多銷的斂財路線，解密贖金需要980美元，并且72小時聯系軟件作者還可享五折優惠。該病毒主要利用木馬站點，通過偽裝成軟件破解工具或捆綁在激活軟件進行傳播，用戶中招率奇高。Phobos勒索病毒:與Dharma病毒（又名CrySis）屬于

87、同一組織，并且該病毒在運行過程中會進行自復制，和在注冊表添加自啟動項，如果沒有把系統殘留的病毒體清理干凈，很可能會遭遇二次加密。勒索病毒產業鏈勒索者勒索病毒作者傳播渠道商勒索病毒受害者/企業代理攻擊繳納高額贖金繳納贖金/解密金合作瀏覽到網站釣魚郵件打開附件單擊 URL暴露及安裝攻擊鏈條解析Office 365 ATP惡意軟件檢測、安全鏈接和安全附件多種功能，最高的安全保障安全鏈接在點擊時提供惡意網頁偵測功能安全附件防范惡意附件智能防欺詐對于仿發件人姓名，域名，等的欺詐郵件進行識別提醒11瀏覽到網站釣魚郵件打開附件單擊 URL暴露及安裝在整個攻擊鏈條中提供保護Office 365 ATP惡意軟件

88、檢測、安全鏈接和安全附件Microsoft Defender ATP終端檢測和響應（EDR）以及終端保護（EPP）命令及控制Microsoft Microsoft Defender Advanced Threat ProtectionDefender Advanced Threat ProtectionHow it fits in the endpoint security stack?Endpoint Protection Platform(EPP)Device control FirewallAnti-MalwareApplication SandboxingVulnerability a

89、ssessmentApplication controlEnterprise mobility management(EMM)Memory protectionBehavioral monitoring of application codeFull-disk and file encryptionEndpoint data loss prevention(DLP)Endpoint Detection and Response(EDR)Detect security incidents at the endpoint,Investigate security incidents,Contain

90、 the incident,Remediate endpointsEPP(Traditional AV)EDRWindows DefenderAdvanced Threat ProtectionWindows Defender AntivirusEPP and EDR LeaderClient 大部分的惡意軟件會被高精準的Windows Defender AV通過本地的機器學習模型，啟發法及行為數據分析，得以成功攔截Cloud metadata 借以云端機器學習規則來評估Windows Defender AV客戶端發送的metadata，鑒別可疑信號Sample 可疑文件的副本將上傳以通過mu

91、lti-class及深度神經網絡等規則進行評估判斷Detonation 可疑文件將在沙盒中執行，并通過multi-class及深度神經網絡等機器學習技術對其進行動態分析Big data 用機器學習模型和高級規則分析及關聯全球Microsoft智能安全圖譜的數據，自動化識別惡意攻擊本地云端Threat Research ExpertsThreat Research ExpertsProProE3E3E5E5ProProE3E3E5E5E5E5E5E5E5E5Demo-MDATP瀏覽到網站釣魚郵件打開附件單擊 URL暴露及安裝命令及控制用戶帳戶被盜暴力攻擊賬戶或使用被盜帳戶憑據攻擊者嘗試橫向移動特

92、權帳戶被盜域 被盜攻擊者訪問敏感數據泄露數據Azure AD 身份保護身份保護以及條件性訪問微軟云應用安全（MCAS）擴展對其他云應用的保護及條件性訪問在整個攻擊鏈條中提供保護Office 365 ATP惡意軟件檢測、安全鏈接和安全附件Microsoft Defender ATP終端檢測和響應（EDR）以及終端保護（EPP）Azure ATP身份保護攻擊者收集枚舉 以及配置數據釣魚郵件Jack攻擊內幕 電信詐騙JackJillBob有批準付款流程的權限有建立付款流程的權限攻擊內幕 電信詐騙JackJillBob釣魚郵件JillBob攻擊內幕 電信詐騙JackJillBob釣魚郵件/橫向滲透Ji

93、llBob攻擊內幕 電信詐騙JackJillBobJillBob攻擊內幕 電信詐騙JackJillBobJillBob批準付款流程建立付款流程攻擊內幕 電信詐騙異常資源訪問帳戶枚舉凈會話枚舉DNS 枚舉SAM-R 枚舉異常工作時間使用NTLM、Kerberos 或 LDAP 的暴力攻擊純文本身份驗證中公開的敏感帳戶在純文本身份驗證中公開的服務帳戶蜜罐帳戶可疑活動異常協議實現惡意數據保護私人信息（DPAPI）請求異常VPN異常身份驗證請求異常資源訪問傳遞票證傳遞哈希過橋哈希惡意服務創建MS14-068 漏洞（偽造PAC）MS11-013 漏洞（銀色PAC）骨架密鑰惡意軟件黃金票證遠程執行惡意復制

94、請求敏感組的異常修改憑據被盜!偵察!橫向滲透權限升級域的掌控29UsersEndpointsCloud AppsData11 billionmalicious and suspicious messages blocked in 2019300 billionuser activities profiled and analyzed in 201912 billioncloud activities inspected,monitored and controlled in 20192.3 billionendpoint vulnerabilities discovered dailyAzur

95、e ATPMicrosoft Defender ATPMicrosoft Cloud App SecurityOffice 365 ATPDemo-MTPIoTContainersNetwork TrafficServer VMsSQLAzure App ServicesEndpointsUsersCloud AppsDataSIEMSWOT:Microsoft,Security Products and Features,WorldwideGartner names Microsoft a Leader in 2019 Endpoint Protection Platforms Magic

96、Quadrant/(Full report)僅有四個產品獲得全滿分Microsoft Defender gets full score in AV-Test 訪問管理象限領導者統一端點管理象限領導者Microsoft Online Tech Forum微軟在線技術峰會李輝微軟特約資深講師 微軟技術社區 Regional Director通過智能身份和訪問管理，保護企業安全Microsoft Online Tech Forum微軟在線技術峰會黑客行為導致的泄露事件都與密碼被盜或弱密碼有關誰在訪問？他們是什么角色？這個賬號是否已經被泄露？這個用戶身處何處？他正在何處登錄？這個IP地址是匿名的嗎？哪

97、個應用正在被訪問？是否存在業務影響？該訪問設備是否正常？是否是被管理的設備？它是否已經被惡意軟件控制？哪些數據正在被訪問？是否是機密數據？是否允許脫離權限訪問？身份和訪問管理構建第一道防線如何獲得 Zero Trust安全身份驗證條件訪問身份保護密碼=最薄弱的環節身份經常面臨風險構建第一道防線身份驗證授權管理治理自主式管理客戶 IAM管理云端基礎結構 用戶身份驗證 MFA 單點登錄（SSO）聯合 無密碼 基于證書/智能卡的身份驗證 基于機器學習的風險評分 自適應訪問 Oauth授權 OAuth 令牌 屬性映射 RBAC 會話生命周期管理 ABAC 用戶管理 組管理 域管理 委派管理 應用管理

98、密碼管理 訪問認證 特權訪問/JIT 權利管理 身份生命周期 訪問請求 工作流 預配 政策管理 報告與分析 數據訪問策略 密碼重設 組管理 憑據注冊 憑據還原 應用啟動 應用編錄 訪問請求 個人資料管理 社交身份聯合 自助服務注冊 自定義最終用戶體驗 客戶數據管理 聯合管理 管理用戶和合作伙伴 私隱管理 托管身份 PaaS 身份管理 IaaS/VM 身份管理應用程序訪問云應用經典應用 預集成的SSO 和預配 BYO SAML 和 OAUTH 2.0 自定義預配（SCIM）Web 訪問管理器（Kerberos、SAML、OATH2、基于標頭）托管目錄服務（LDAP、NTLM、Kerberos）安

99、全混合訪問（Akamai、Arayaka、Citrix、F5、Zscaler）Windows VDI 集成開發人員支持 API 管理 API 安全 解決方案API SDK 外部化 RBAC/PEP/PDP 應用程序注冊事件日志記錄與報告身份標準和法規遵從可擴展性、性能、可伸縮性、易于使用身份與訪問管理的關鍵功能身份和訪問管理確保用戶授權并可以安全訪問應用、數據和設備構建智能且堅固的身份基礎從云端管理您的所有身份將所有應用程序連接到 Azure AD治理所有用戶的訪問權限部署行業領先的安全性從云端管理您的所有身份Windows ServerActive DirectoryAzure公有云Micr

100、osoft Azure Active DirectoryCommercialIdPsConsumerIdPsPartnersCustomersAzure ADConnectConditional AccessMulti-Factor AuthenticationAddition of custom cloud appsRemote Access to on-premises appsPrivileged Identity ManagementDynamic GroupsIdentity ProtectionAzure AD DSOffice 365 App LauncherGroup-Base

101、d LicensingAccess Panel/MyAppsAzure AD ConnectConnect HealthProvisioning-DeprovisioningAzure AD JoinSelf-Service capabilitiesMDM-auto enrollment/Enterprise State RoamingSecurity ReportingAccess ReviewsHR App IntegrationB2B collaborationAzure ADB2CSSO to SaaSMicrosoft Authenticator -Password-less Acc

102、ess我想讓我的員工從任何位置、任何設備安全且方便地訪問每個應用程序我需要我的客戶和合作伙伴可以從任何地方訪問他們所需的應用程序，并無縫協作我想快速將應用程序部署到設備，使用更少的成本做更多的事情，并自動執行加入、刪除和離開的流程我需要開發企業應用程序，并希望集成Azure Active Directory的身份驗證我想保護針對我的資源的高級威脅我需要遵守行業規范和信息保護法規Conditional AccessMulti-Factor AuthenticationAddition of custom cloud appsRemote Access to on-premises appsPri

103、vileged Identity ManagementDynamic GroupsIdentity ProtectionAzure AD DSOffice 365 App LauncherGroup-Based LicensingAccess Panel/MyAppsAzure AD ConnectConnect HealthProvisioning-DeprovisioningAzure AD JoinSelf-Service capabilitiesMDM-auto enrollment/Enterprise State RoamingSecurity ReportingAccess Re

104、viewsHR App IntegrationB2B collaborationAzure ADB2CSSO to SaaSMicrosoft Authenticator -Password-less Access123456On-premises/Private cloudAzure ADConnectWindows ServerActive DirectorySelfServiceMFASinglesign-onMicrosoft Azure Active DirectoryAzure AD 與 Cloud HR 用戶預配Cloud HRAzure ADActive Directory將所

105、有應用程序連接到 Azure AD活躍應用100%年度同比增長身份管理解決方案源自 Microsoft，但又并非僅為 Microsoft 所用2019 年 10 月Azure AD 安全的應用聯合訪問阻止訪問要求MFA允許訪問Azure AD登錄條件訪問應用和數據云應用控制器Azure AD應用代理基于本地或外圍的網絡ZAPIERGITHUBADOBE CREATIVE CLOUDPAYPALATLASSIAN CLOUDSEDGEWICK VIAONEFUZEZSCALER PRIVATE ACCESSONETEAMATLASSIANWORKDAYWORKPLACE BY FACEBOOKS

106、ALESFORCESERVICENOWTWITTERBOXCITRIX XENAPPF5 BIG-IP ADCPLANMYLEAVEGODADDYORACLE LINUXRED HAT ENTERPRISE LINUX 7WORDPRESS MULTI-TIERLAMPKRONOSBARRACUDA WAFINFOR CLOUDSTUIEOCTOPUS DEPLOYNGINX PLUSSUCCESSFACTORSDOCUSIGNAMERICAN EXPRESSCONCURJIVELUCIDCHARTMYDAYNETSUIREWORDPRESS.COMZSCALERZIPRECRUITERZEN

107、DESKSTRIPEADPUSERVOICEMARKETOSMARTSHEETSYMANTEC TRUST CENTERPLURALSIGHTCORNERSTONE ONDEMANDSAPEVERNOTECISCOAzure AD 應用程序庫3,200 個預集成的 SaaS 應用程序應用程序單一登錄Demo治理所有用戶的訪問權限生產力安全資源訪問的及時性正確人人使用正確的權限訪問資源Azure AD 權利管理持續審核與報告訪問權審閱與修訂職位變更訪問權限預配請求其他訪問權限用戶入職身份治理Demo行業領先的安全性進入一個沒有密碼的世界Microsoft AuthenticatorFIDO2 安

108、全密鑰Windows Hello通過 Azure AD 實現無密碼登錄DemoAzure AD條件訪問用戶和位置設備應用實時風險條件訪問條件訪問+身份保護公司網絡地理位置MicrosoftCloud App SecurityMacOSAndroidiOSWindowsWindowsDefender ATP客戶端應用瀏覽器應用Google IDMSAAzure ADADFS要求 MFA允許/阻止訪問阻止舊式身份驗證強制密碼重置*訪問受限控制員工和合作伙伴用戶和角色受信任和合規的設備物理和虛擬位置客戶端應用和身份驗證方法條件機器學習策略實時評估引擎會話風險3171TB生效策略企業應用條件訪問DemoOffice 365 ATP電子郵件及文件存儲保護Azure ATP身份保護Windows Defender ATP終端保護C:http:/John Doelllllll用戶身份保護DemoMicrosoft 通過智能身份和訪問管理 保護企業安全行業領先的安全性簡單、集成、完備的身份解決方案開放和互操作的生態系統開啟 MFA，降低 99.9%身份風險開啟無密碼的旅程使用 Azure AD 條件訪問保護企業應用智能身份和訪問管理保護企業安全使用 Azure AD 云端管理用戶身份