随着网络威胁越来越自动化和恶意化,保护企业数据和隐私变得前所未有的困难。Apple和Microsoft的新安全计划利用其核心云安全和隐私优势来弥补安全漏洞并降低每家企业的风险。
微软的安全未来计划(SFI) 和苹果的私有云计算(PCC) 代表了最新的企业级改进云安全和隐私的方法。企业规模越大,其网络安全和隐私需求就越多样化,因此 SFI 和 PCC 旨在大规模提供实时响应。
微软于 2023 年 11 月首次公布了安全未来计划 (SFI),以增强其客户的企业云安全基础设施。SFI 的目标是逐步改善整个微软生态系统的安全性。该公司最近发布了其安全未来计划进展报告。
2024 年 6 月,苹果推出了私有云计算 (PCC) 平台。PCC是专为私有 AI 处理而创建的云智能系统。苹果的设备级安全和隐私架构是 PCC 的核心,并扩展到基于云的 AI 操作。PCC 的主要设计目标之一是确保云处理的用户数据私密。这是通过定制硅片、强化操作系统和隐私保护方法来实现的,这些方法可以管理数据请求而无需存储数据。
微软的安全未来计划 (SFI) 是企业安全的多层防御措施
从根本上讲,SFI 旨在将安全性嵌入到 Microsoft 产品和服务的每一层中,作为其安全设计框架的一部分,更广泛地说,是一种新的安全理念。
微软执行副总裁沼本健 (Takeshi Numoto) 最近表示:“在微软,安全是我们的首要任务,通过 SFI,我们确保我们的产品和 AI 系统安全、私密且可靠。”微软本周发布声明,重申了对 TrustWorthy AI 的承诺,强调负责任地开发和部署 AI 技术。
微软安全未来计划 (SFI) 战略的基础由六大工程支柱构成。这些支柱旨在通过一个通用平台保护系统、数据和身份,同时预测网络安全威胁。
三个核心原则定义了 SFI。这些包括安全设计、默认安全和安全操作。微软在其最新报告中承诺了这些原则,并表示所有产品团队都将使用这些原则并采用Microsoft 安全开发生命周期 (SDL)作为其开发方法。
Microsoft SFI 由六大工程支柱组成:
- 保护身份和机密。保护身份是 SFI 的重点,尤其是在针对 Active Directory (AD) 的身份泄露事件增加之后,SFI 试图控制公司中的所有身份。微软希望通过引入防网络钓鱼凭证和基于视频的身份验证来显著减少与企业身份相关的攻击面。
- 保护租户并隔离生产系统。Microsoft设计 SFI 的目的是通过隔离生产环境和改进合规性跟踪来加强网络安全。此外,还设计了跨虚拟网络和生产系统的更严格的隔离策略,以帮助防止威胁的横向移动。Microsoft 还承诺提供增强的监控功能,以确保快速识别和应对潜在威胁。
- 保护网络。SFI的核心是通过将所有资产记录在中央库存中并确保企业网络与生产网络之间的隔离来改进对虚拟网络的监控。设计 SFI 的团队高度重视实施微分段和最小化攻击面。SFI 这一领域的核心构造是确保网络内的横向移动受到限制和控制,从而限制潜在攻击的爆炸半径。
- 保护工程系统。SFI 的架构师选择依靠零信任框架来保护微软的软件开发环境。这种方法的核心是限制个人访问令牌的使用寿命并在代码开发期间实施严格的检查。微软的 SFI 认为这些措施有助于防止未经授权的访问并在软件开发生命周期内保护关键资源。
- 监控和检测威胁。实时威胁检测是 SFI 的基石。微软的 SFI 框架旨在使所有生产系统能够发出标准化的安全日志,从而及时了解网络活动。这种集中式日志记录可以更快地识别威胁,并帮助企业主动监控恶意活动。
- 加速响应和补救。SFI还可以缩短威胁识别和行动时间,以快速解决漏洞。无论客户采取何种行动,Microsoft 都会发布关键漏洞 (CVE),帮助行业更快地采用缓解策略。这种主动方法可以提高云生态系统的安全性。
苹果的私有云计算(PCC)以隐私为核心
当微软专注于弥补云计算领域的差距并进入基础设施领域时,苹果的私有云计算(PCC)却利用了该公司数十年的隐私研发经验。
苹果在 PCC 上投入了多年的研发,希望创建一种无状态架构,可以在硅片层面确保客户数据的隐私,使得公司内部的攻击不可能侵入。
在定义 PCC 的众多设计目标中,最重要的目标之一是将 Apple 业界领先的设备隐私控制扩展到基于云的 AI 服务中。Apple 的核心目标是为安全云智能树立新标准。
PCC 的主要特点包括:
- 无状态计算和可执行隐私: PCC 采用独特的无状态架构,确保敏感数据仅用于其预期目的,并且在处理完成后绝不会保留。无状态架构建立在硬件支持的安全区域和加密协议之上,以确保处理过程中的数据机密性。PCC 的内存是非持久性的,请求完成后所有数据都会被加密删除。
- 无特权访问: PCC 实施了零信任模型,可防止任何可能绕过隐私控制的特权访问。Apple 通过结合使用硬件强制隔离、安全启动过程和代码签名算法来实现这一点。PCC 的设计具有非常严格的特权访问,因此 Apple 的站点可靠性工程师无法访问用户数据或绕过安全措施。
- 可验证的透明度达到日志级别。所有在 PCC 节点上运行的软件的加密签名透明度日志都会发布,以便第三方进行审计。透明度日志还用于验证代码是否与经过审查的软件相匹配。Apple 还提供了虚拟研究环境来模拟 PCC 环境,并为整个 PCC 堆栈中的发现提供漏洞赏金。
- 定制芯片和强化操作系统。PCC利用定制 Apple 芯片,该芯片具有内置安全功能,例如 Secure Enclave 和强化的 iOS 和 macOS 子集。这可确保在具有硬件强制安全边界的隔离环境中处理用户数据。
- Oblivious HTTP 路由: PCC 请求经过独立的 Oblivious HTTP 中继。这隐藏了请求来源,防止 IP 地址与个人关联。
苹果还设计了端到端加密、先进的匿名化技术以在整个生命周期内保护数据、高级访问控制和对多因素身份验证的支持。PCC 还具有实时威胁检测功能,并支持定期安全审计和渗透测试。。
安全和隐私比较:Microsoft SFI 与 Apple PCC
IT 和安全团队太忙了,无暇管理另一个平台。微软和苹果正在将安全性嵌入到其架构中,以减轻这一负担。
SFI 是 Microsoft 将安全性集成到 Azure 和 Microsoft 365 各个层面的方式。Apple 私有云计算 (PCC) 中的硬件级隐私保护增强了隐私保护。这两种方法都简化了关键的安全措施,无需增加工作量即可确保团队安全。
以下比较是一个简短的指南,可帮助 IT 和安全团队深入了解每个平台之间的差异:
云安全和威胁模型
- Apple PCC:根据苹果今年早些时候发布的 PCC 博客文章,它专为安全的 AI 云处理而设计,旨在防止数据泄露、内部威胁和针对性攻击,并采用强有力的措施确保云环境中的隐私和安全。
- Microsoft SFI:专注于减少所有 Microsoft 租户和生产环境中的攻击面,具体目标是防止环境之间的横向移动。SFI 与零信任保持一致,零信任是一种假设违规已经发生并要求持续验证用户和设备身份的框架,无论其网络位置如何。Azure 和 Microsoft 365 生态系统受零信任保护。有关零信任框架的更多信息,请参阅NIST 标准特别出版物 800-207,其中概述了零信任架构 (ZTA) 的主要原则。
文化融合
- Apple PCC:通过技术设计而非文化变革优先考虑隐私。隐私嵌入硬件(Apple 芯片)和软件(iOS/macOS)中,确保架构设计安全,无需进行广泛的文化变革。
- Microsoft SFI:安全性已融入所有运营,从公司治理到员工评估。Microsoft网络安全治理委员会在确保整个公司的风险管理一致性方面发挥着关键作用。
范围和重点:
- Apple PCC:专注于云、多云和混合云环境中的 AI 隐私。它专为寻求 AI 应用安全和隐私保障的企业而设计,为 AI 处理和数据存储提供高水平的安全性。
- Microsoft SFI: Microsoft 的产品和服务范围计划,旨在将安全性融入其提供的每种产品和服务的 DNA 中。一个全面的安全框架,涵盖其生态系统(包括 Azure 和 Microsoft 365)中的身份管理、治理、员工培训和技术保障。它旨在保护其平台和用户群的所有层面。
技术实现:
- Apple PCC: Apple 使用定制服务器硬件和硅片保护其框架。无状态计算通过不在会话之间存储数据来降低风险。通过采用集成的硬件和软件设计,AI 数据隐私是主要的设计目标。以隐私保护为核心,Apple 的目标是确保基于 PCC 的 AI 处理的安全。
- Microsoft SFI: Microsoft 的策略通过安全开发生命周期 (SDL) 将安全性融入软件开发的每个阶段,确保从设计阶段到部署都融入安全措施。自动化代码分析工具 CodeQL 会仔细扫描代码中的漏洞。此外,通过 MSAL(Microsoft 身份验证库)保证强大的身份保护,该库负责监督各种应用程序和服务中的安全身份验证和令牌管理。
透明度和治理:
- Apple PCC:研究人员可以审计 Apple 的系统,并在加密签名的透明日志中查看其 AI 处理环境。问责制使企业能够评估和信任 Apple 的 AI 基础设施,而不会泄露敏感数据。
- Microsoft SFI: Microsoft 的安全未来计划 (SFI) 旨在提高其产品和服务的安全透明度和网络安全。Azure Active Directory 条件访问和 Microsoft Defender for Cloud 等高级安全功能使用机器学习算法来实时检测和应对威胁。该公司还推出了 Cyber Signals 来提供威胁情报见解,并成立了客户安全管理办公室 (CSMO) 来改善安全事件沟通。这些举措很有前景,但 Microsoft 对关键系统缺陷和数据泄露的处理表明,扩大网络安全规模仍面临持续的挑战。
为什么微软 SFI 和苹果 PCC 预示着企业安全的转变
微软和苹果意识到 IT 和安全团队已经不堪重负,而且没有人需要照顾另一个平台,因此采取了独特的方法,将安全和隐私作为其 DNA 的核心。
对于许多 IT 和安全领导者来说,这两个平台早就该出现了。SFI 是改变 Microsoft DNA 核心安全性的一次有力尝试。作为全新安全时代的第一代产品,SFI 非常全面,并建立了结构,使安全性成为其 DNA 的一部分。从 IT 和安全最难处理的领域开始,SFI 应对身份管理、治理和技术保障方面的挑战。
Apple 在隐私方面的持续投资为 PCC 带来了回报。他们优先考虑 AI 云隐私,并将隐私保护直接嵌入到芯片和操作系统软件中,这使得他们不同于任何其他提供大规模隐私的平台供应商。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/wei-shen-me-wei-ruan-de-an-quan-ji-hua-he-ping-guo-de-yun