想再度腾飞的微软，这一次要靠安全？

作者：潇冷来源：原创 2021-07-30

2021年1月，就在微软宣布2020年安全业务创造了100亿美元，获得超40%的年增长率时，我们这才意识到微软才是全球最大的网络安全厂商!

再加上微软在近一年发起的一系列安全企业并购事件，诸如收购网络安全初创公司CloudKnox、物联网安全公司ReFirm Labs、网络安全公司RiskIQ，进一步引起了笔者的思考：

从个人PC到微软云(Azure)，再到安全，到底是什么造就了微软的安全基因？微软在安全领域有着什么样的部署？微软是否已经将安全作为业绩增长的第三极？

与黑客博弈，微软做安全的不得已

或许是比尔·盖茨对复制、盗窃数字产品等行为的深恶痛绝，微软的“安全”更像是与生俱来的。盖茨在一次采访中表示：“如果一本杂志很容易被别人复制，那么杂志社将很难维持运营，很多年之后，杂志文章的作者可能需要白天为别人理发，晚上写文章了，软件行业也是同样的道理。”

又或许是长期与“网络黑客”博弈的结果，微软与美国国防部是遭受网络攻击最多的机构，其遍布全球的系统和数据中心，一直都是黑客攻击的主要目标。为此，微软每年要花费10亿美元来更新现代化设施、创建新的产品安全团队，并形成了独有的“安全方法论”：一体化的综合能力和极强的AI自动化能力。这套“安全方法论”无疑是微软的网络从未被攻破的原因之一。

而在这种长期与“网络黑客”博弈的环境下，微软的安全业务逐步壮大。其安全团队每个月分析的邮件数量达4千亿封，扫描12亿台设备，微软解决方案和安全机制24小时之内能够收集8万亿条安全信号，通过微软帐号登录的身份验证达到了4500亿次，2020年微软每天执行25万亿次云端检测，成功阻止超过60亿次端点检测......

不仅如此，微软认为“确保网络空间安全的基础是合作，而合作的基石是信任”，于是在2003年的时候，微软便启动了“政府安全计划(GSP)”，截止目前，全球已经有来自46个国家和地区的92家机构加入该计划，中国也是全球首批参与该计划的国家之一。而论及合作生态，除了兼并收购之外，微软的安全解决方案颇受认可。据悉，全球有超过120个国家和地区的400000用户使用微软安全解决方案，90家财富百强企业使用微软至少4种以上安全解决方案......

不管创建安全团队的初衷如何，微软的安全基因已经随着微软从早期Windows系统的安全管控、病毒和蠕虫防御，到系统架构所支持的可信计算，走向以云、IoT、AI、边缘计算为代表的下一个时代!

云、IoT时代，微软安全紧锣密鼓地布局

面对下一个以云、IoT为代表的时代，微软已经在紧锣密鼓地布局着。在微软看来，需要做的不仅要微软系统平台的安全，还要帮助客户保护其信息在其他生态系统上的安全。这其中包括系统平台及软件产品的安全、智能安全、合作伙伴生态安全，以及当下热门的“合规”。

微软认为做好安全防护的一个重要方面是站在黑客的角度考虑安全，同时将安全融入企业生产工具中：1、微软用必应搜索、Azure、大数据以及AI持续赋能服务平台，做好智能安全;2、微软注重对政策的合规，确保产品符合法律、法规;3、微软允许合作伙伴开发自己的安全技术，其安全开发理念帮助合作伙伴安全地打造产品。

为此，微软将GDPR扩展到全球所有用户。

为此，微软将融合了病毒防护、数据保护、身份验证、权限管理、邮件加密、威胁情报和高级威胁防御等功能的EMS嵌入Microsoft 365之中。

这种“将安全充分融入到企业生产工具的做法”得到了Gartner的充分肯定，在其发布的《SolutionComparison for the Native Security Capabilities》报告中，微软Azure获得全球云厂商最多的High评分，其整体安全能力位列榜首。

此外，微软还陆陆续续提出可信云四原则(安全性、隐私与管控、合规性和透明性)、微软“4S”安全原则(Secure by design、Secure by default、 Secure in deployment and Secure in operation)，以及“假定被攻击”、“层级隔离保护”、“零信任架构”等安全理念和安全架构，构建纵深防御和监测体系。

为了保障微软云的安全性，微软制定了云计算安全框架，针对不同的云服务场景(SaaS、PaaS、IaaS和私有云/On-premises环境)具有9个类别的、超过102种安全控制能力，从而保护Azure云计算相关应用、服务和数据的整体安全性。

除了策略制定、解决方案以及整体的产品力外，微软还从资本运作层面，对其安全业务进行整体布局：收购数据安全公司BlueTalon、网络安全初创公司CloudKnox、物联网安全公司ReFirm Labs、网络安全公司RiskIQ，壮大安全业务。

正如微软CEO萨提亚·纳德拉所言，安全是技术的第一优先级，企业和用户只会拥抱和使用他们所信任的技术，微软承诺给客户提供安全的云计算服务。在面对云、IoT时代，微软安全已经在紧锣密鼓地布局。

同时，安全业务的整体布局让微软在当前“网络安全”的局势下，收获颇丰，甚至有人猜测，微软是否已经将安全作为业绩增长的第三极。

黎明之前的等待：安全与微软，谁成就了谁？

时下，在日趋不稳的网络安全格局中，全球大规模针对性网络行动大幅增加，数据泄露、勒索软件、安全漏洞不断升级发展：一方面，全球数据泄露整体形势依旧严峻，泄露事件频次、数量屡创新高，每个事件的平均泄露数量增加了131%。另一方面，全球网络空间局部冲突依旧不断，国家级网络攻击频次不断增加，攻击复杂性持续上升。

以美国为例，其最大的燃油、燃气管道运营商Colonial Pipeline遭受网络黑客攻击致使输油动脉中断，全球最大肉食品加工商JBS遭受黑客攻击致使停工。随着IoT、边缘计算等持续发展，网络将持续无边界化，网络攻击造成的损失，将不可估量。

为此，美国国会也加大了对网络安全的投入，目前已经提出了包括数据泄露通知法案在内的18项额外的法案来支持国家的网络安全能力，而美国自2013年将网络安全方面的投入提升至103亿美元之后。至今，网络安全的投入一直居高不下。

无论是日趋不稳的网络安全局势，还是美国乃至世界加强对网络安全的重视，亦或是数字化转型节奏日益加快，这都在向以微软为代表的数字化解决方案提供商、网络安全方案提供商提出新的挑战，和新的发展机遇。

至少从个人PC时代便与网络黑客斡旋的微软，积累了管控、病毒和蠕虫防御、可信计算，乃至云IoT时代的网络安全经验，并通过诸如兼并收购、加大投入等资本层面的运作，持续布局数据安全、IoT安全等领域，壮大自身的产品。在大部分安全厂商还在不计成本投入的时候，在安全厂商还在教育中小企业注意网络安全防护的时候，微软宣布2020年安全业务创造了100亿美元，获得超40%的年增长。

如此看来，安全成就了微软，微软也没让安全失望。

写在最后