我们的数字世界正在发生变化，网络犯罪分子更加顽固、复杂和猖獗。随着风险的增加和威胁的加剧，信任比以往任何时候都更加重要。客户需要能够信任他们为建立和运行组织而投资的技术平台。作为最大的云服务提供商之一，我们通过帮助客户从一开始就确保安全来建立信任，并利用我们内置、嵌入式和开箱即用的云平台安全功能做更多事情。

在 Microsoft Azure，我们的安全方法注重纵深防御，在平台和技术的设计、开发和部署的各个阶段都建立了层层保护。我们还注重透明度，确保客户了解我们如何不断学习和改进我们的产品，以帮助减轻当前的网络威胁，并为应对未来的网络威胁做好准备。

在这篇博客中，我们将重点介绍过去、现在和未来的广泛安全承诺，以及我们认为有机会继续学习和发展的地方。这篇文章揭开了 Azure 内置安全系列的序幕，该系列由 4 个部分组成，旨在分享我们从最近的云漏洞中吸取的经验教训，以及我们如何应用这些经验教训来确保我们的技术和流程对客户的安全性。透明地分享我们的经验教训和变化是我们与客户建立信任的承诺的一部分，我们希望这能鼓励其他云提供商也这样做。

几十年来，微软一直并将继续深入关注客户安全和提高我们平台的安全性。从我们的内部部署和软件时代到今天的云优先环境，我们长期以来一直引领着安全最佳实践，这充分体现了我们的承诺。2004 年，我们首创了安全开发生命周期 (SDL)，这是一个关于如何从底层开始在应用程序和服务中构建安全性的框架，其影响深远。目前，SDL 已成为国际应用安全标准（ISO/IEC 27034-1）和白宫网络安全行政命令（1 ）等重要倡议中内置安全的基础。

安全领导者和从业人员都知道，安全工作永远不会结束。时刻保持警惕至关重要。这就是微软目前大力投资于内部安全研究以及全面的漏洞悬赏计划的原因。在内部，微软拥有超过 8500 名安全专家，他们始终专注于发现漏洞、了解攻击趋势和解决安全问题的模式。我们世界一流的安全研究和威胁情报有助于保护客户、微软、开源软件和我们的行业合作伙伴。

我们还投资于业内最积极的漏洞悬赏计划之一。仅在2021年，微软就发放了1370 万美元的漏洞赏金，涉及多种技术。去年出现的一个新趋势是，外部报告的漏洞对包括 Azure 在内的多家云提供商造成了影响。虽然漏洞在整个行业中并不少见，但作为领先的云提供商和头号安全厂商，微软更受研究人员和安全竞争对手的关注。这就是为什么我们的公开悬赏计划从 2014 年开始率先将云服务纳入其中，并在 2021 年进一步扩大了计划范围，为跨租户漏洞报告提供更高的奖励。正如预期的那样，这显然吸引了更多外部安全研究人员对Azure 的兴趣，最终促成了多个跨租户漏洞悬赏计划的颁发。无论原因如何，这些发现都有助于进一步确保特定 Azure 服务和客户的安全。

最后，我们坚信安全是一项团队运动，我们对合作的重视体现在我们对安全生态系统的贡献上，例如我们参与了NIST安全软件开发框架(SSDF)2，并通过我们对OpenSSF Alpha-Omega项目的500万美元投资改善了开源软件(OSS)的安全态势 3 。

我们对安全的承诺是坚定不移的，这体现在我们数十年来对SDL的领导，到今天的漏洞发现、漏洞悬赏计划、合作贡献，以及未来我们将在五年内投资200 多亿美元用于网络安全的承诺 4 。在微软，从一开始就将安全融入其中并不是什么新鲜事，但我们深知安全环境在不断变化和发展，我们也应随之不断学习。

在微软，我们文化的核心部分就是成长心态。内部和外部安全研究人员的发现对于我们进一步确保所有平台和产品的安全至关重要。对于 Azure 中的每个漏洞报告，无论发现于内部还是外部，我们都会进行深入的根本原因分析和事故后审查。这些审查有助于我们在组织的各个层面反思和应用经验教训，对于确保我们在 Microsoft 不断发展和构建安全性至关重要。

根据我们从最近的 Azure 漏洞报告中获得的见解，我们正在三个关键方面进行改进。这些进展加强了我们的响应流程，扩展了我们的内部安全研究，并不断改进我们保护多租户服务的方式。

1.综合对策

从过去一年中汲取的一些经验教训使我们将注意力集中在我们认识到需要改进的领域，如加快反应时间。我们正在整个综合响应流程中解决这一问题，并统一内部和外部响应机制。我们首先增加了行政级别及以下级别的安全 LiveSite审查的频率和范围。我们还在改进外部安全案例管理与内部事件沟通和管理系统的整合。这些变化缩短了参与和修复报告漏洞的平均时间，进一步完善了我们的快速响应。

2.猎取云变体

为了应对云安全趋势，我们扩大了变种猎杀计划，增加了全球专用的云变种猎杀功能。变种捕猎可识别受影响服务中的额外和类似漏洞，并识别其他服务中的类似漏洞，以确保更彻底地发现和修复漏洞。这还能加深对漏洞模式的理解，进而推动整体缓解和修复。以下是我们云变种猎杀工作的几个亮点：

此外，Cloud Variant Hunting 还能主动识别和修复我们所有服务中的潜在问题。未来几个月，我们将分享更多研究细节，以造福我们的客户和整个社区。

3.安全多租户

根据从所有安全情报来源获得的信息，我们将继续改进我们的安全多租户要求以及我们在微软使用的自动化功能，以便对潜在的安全风险进行早期检测和补救。在过去几年中，我们分析了 Azure 和其他云安全案例，我们的内部和外部安全研究人员都找到了突破一些隔离障碍的独特方法。微软在积极主动的安全措施方面投入了大量资金来防止这种情况的发生，因此这些新发现有助于确定最常见的原因，并确保我们致力于通过少量高度利用的变更在 Azure 中解决这些问题。

我们还将加倍努力，在所有 Azure 服务中，特别是在使用第三方或开放源码软件组件时，要求并应用更加严格的计算、网络和凭证隔离标准，从而实现深度防御。我们将继续与 PostgreSQL 等开放源码软件社区以及其他云提供商合作，开发多租户云环境中非常需要的功能。

这项工作已经产生了数十项不同的发现和修复，其中大部分（86%）归功于我们在计算、网络或凭证隔离方面的具体改进。在自动化改进方面，我们正在扩展内部动态应用安全测试 (DAST)，以纳入更多用于验证计算和网络隔离的检查，并增加新的运行时凭证隔离检查功能。与此同时，我们的安全专家将继续仔细检查我们的云服务，验证它们是否符合我们的标准，并为客户和微软的利益创新新的自动化控制。

从云安全的责任分担模式来看，我们建议客户使用微软云安全基准来改善他们的云安全状况。我们正在开发一套新的建议，重点关注多租户安全最佳实践，并将在下一个版本中发布。

简而言之，尽管微软长期以来一直致力于安全工作，但随着安全形势的发展和变化，我们也在不断地成长和学习。本着这种不断学习的精神，微软正在通过加强安全多租户标准、扩大我们的云变种狩猎能力以及开发集成响应机制来解决最近的 Azure 云安全问题。我们的增强措施和安全工作的规模进一步证明了我们的领导力和数十年来对不断改进安全计划和提高全行业安全标准的承诺。我们将继续致力于将安全融入设计、开发和运营的每一个阶段，让我们的客户和全世界都能放心地使用我们的云。

在本系列的第一篇博客中，我们讨论了我们在确保 Microsoft Azure 安全方面的广泛投资，包括 8500 多名专注于确保我们的产品和服务安全的安全专家、我们业界领先的漏洞悬赏计划、我们对安全开发生命周期 (SDL) 的 20 年承诺，以及我们对关键开源软件安全计划的赞助。我们还介绍了我们为应对不断变化的威胁环境而进行的一些更新，包括改进我们的响应流程、投资于安全多租户（Secure Multitenancy），以及将我们的变种猎杀工作扩展到包括一个专注于 Azure 的全球专门团队。在本篇博客中，我们将重点介绍变种猎杀，这是我们更广泛的整体安全计划的一部分。

变种猎杀是一种归纳学习技术，从具体到一般。熟练的安全研究人员以新发现的漏洞为起点，寻找更多类似的漏洞，将学到的知识归纳为模式，然后与工程、治理和政策团队合作，开发整体的、可持续的防御措施。变体猎杀也关注积极的模式，试图从成功和失败中学习，但要通过真实漏洞和攻击的视角，提出这样的问题：为什么这种攻击在这里失败了，而在那里却成功了？

除了详细的技术经验外，变种猎杀还试图了解某些漏洞出现的频率、导致漏洞逃脱SDL控制的原因、减轻或加剧漏洞的架构和设计范式，甚至是促进或抑制漏洞的组织动态和激励机制。目前流行的做法是进行根本原因分析，寻找导致漏洞出现的唯一原因，而变种猎杀则试图找到所有的诱因。

微软SDL等严格的合规性计划定义了总体范围和可重复流程，而猎取变体则提供了更快响应环境变化的灵活性。在短期内，猎取变体通过更快地提供云服务的主动和被动变更来增强SDL计划，而从长远来看，它为持续改进提供了必要的关键反馈回路。

从内部安全发现、红队行动、渗透测试、事故和外部 MSRC 报告中吸取经验教训开始，变种猎杀团队尝试提取可能导致漏洞的反模式。为了具有可操作性，反模式的抽象程度必须比“验证输入”更具体，但又比“第57行存在漏洞”更不具体。

在提炼出适当的抽象层次后，变体猎取研究人员会寻找反模式的实例，并对服务进行更深入的评估，这被称为“纵向”变体猎取。与此同时，研究人员会调查反模式在其他产品和服务中的流行情况，并结合使用静态分析工具、动态分析工具和熟练审查来进行“横向”变体猎取。

从纵向和横向的变体狩猎中获得的启示为广泛消除反模式所需的架构和产品更新提供了依据。结果包括流程和程序的改进、安全工具的更改、架构的更改，以及最终对 SDL 标准的改进，其中的经验教训会迅速成为常规工程系统的一部分。

例如，Azure 中使用的静态分析工具之一是 CodeQL。当新发现的漏洞在CodeQL 中没有相应的查询时，变种猎杀团队会与其他利益相关者合作创建一个查询。新的“样本”--即特意展示该漏洞的定制代码样本--会被制作并纳入一个持久的测试语料库，以确保即使在即时调查结束后也能保留所学知识。这些改进提供了更强大的安全防护网，有助于在流程早期识别安全风险，并减少已知反模式再次引入我们的产品和服务。

在本系列的早些时候，我们重点介绍了Azure自动化、Azure数据工厂和Azure开放式管理基础架构中的安全改进，这些改进源于我们的变体猎取工作。我们将这些工作称为“垂直”变体猎杀。

我们在服务器端请求伪造（SSRF）方面的工作就是“水平”变体猎杀的一个例子。一段时间以来，服务器端请求伪造（SSRF）漏洞对整个行业的影响和流行程度都在不断增加。2021 年，OWASP 根据 Top 10 社区调查的反馈，将SSRF 列入 Top 10 列表--这是要求列入的最多的项目。大约在同一时间，我们发起了一系列倡议，包括

投资新技术以减少SSRF漏洞，有助于确保客户Azure应用程序的安全。通过识别和解决这些漏洞，我们能够为客户提供一个更安全的平台来构建和运行他们的应用程序。

总之，作为一种识别和解决潜在安全威胁的方法，Azure在开发和实施变种猎杀方面一直处于领先地位。我们聘请并部署了一支专门从事变体猎取的全球团队，与微软的其他安全专家密切合作。自2022年7月以来，这项工作已对Azure服务进行了800多项不同的安全改进。我们鼓励世界各地的安全组织采用或扩大变体猎取，将其作为持续学习工作的一部分，以进一步提高安全性。

在关于 Azure 安全性系列的第一篇博客中，我们深⼊探讨了我们应对云漏洞的深度防御方法。在第二篇博客中，我们重点介绍了使用变体猎杀来检测整个服务中的漏洞模式。在本篇中，我们将介绍我们改变游戏规则的赌注，这些赌注将使我们能够在未来数年内提供具有内置安全性的行业领先安全架构，确保客户获得安全的云体验。我们将讨论我们对安全多租户的关注，并分享我们利用机密计算和 Rust 编程语言的力量保护客户数据免受网络威胁的愿景。通过对安全多租户、保密计算和 Rust 编程语言等突破性安全策略的投资，Azure 为客户提供了强大的内置安全措施，不仅保护了他们的数据，还增强了整体云体验，使客户有信⼼安全地创新和发展业务。

在第⼀篇博客中，我们谈到了我们从计算、网络和凭证隔离的改进中看到的好处。现在，我们想深⼊探讨⼀下这意味着什么。在计算隔离方面，我们正在大力投资基于硬件的虚拟化（HBV），这是在 Azure 中运行不信任代码的基础。传统虚拟机是托管客户工作负载的许多 Azure 服务的核⼼。我们目前对 Microsoft Hyper-V 漏洞的悬赏金高达 25 万美元，这表明了我们强大的防御能力，也凸显了这⼀边界的重要性。

我们在 HBV 方面的创新超越了传统的虚拟机（VM）。Azure 容器实例（ACI）是我们运行容器⼯作负载的平台，利用 HBV 将容器组相互隔离。ACI 容器组利用的是为 Azure 虚拟机提供动力的 HBV，但它们提供的是为基于容器的现代应用程序量身定制的平台。许多新服务和现有服务都在向 ACI 迁移，将其作为安全多租户的简单、高性能模型。在 ACI 这样的安全基础上构建服务使我们能够集中处理许多隔离问题，让多个服务同时受益于修复。此外，我们很高兴通过Azure Kubernetes 服务中的行业标准 Kata Container 支持将 HBV 引入Kubernetes 工作负载。与 ACI 容器组类似，Kata Container pod 利⽤ HBV 对不信任的工作负载进行稳健隔离。在未来几个月中，我们将分享更多有关将这种方法引⼊WebAssembly托管的信息，与不使用HBV托管WebAssembly相比，HBV 的开销仅为毫秒级。在网络隔离方面，我们正在将服务转向每个租户的专用虚拟网络，并确保支持专用链接，使我们的服务能够直接与客户管理的虚拟网络进⾏通信。事实证明，共享网络容易出错，网络访问控制列表或子网中的错误会导致租户之间的网络隔离不足。专用虚拟网络很难意外地在本应保持独立的租户之间实现连接。

另一方面，凭据隔离涉及尽可能使用针对单⼀租户资源的凭据。使用权限最⼩的凭证可确保即使发现漏洞，也不会轻易获得可访问其他租户数据的凭证。

通过对 HBV 的大量投资以及对计算、网络和凭据隔离的关注，Azure 正在为客户的工作负载提供更强的安全性和隔离性。通过开发 Azure 容器实例等创新解决方案，并将HBV引入Kubernetes和WebAssembly托管，我们正在创建⼀个强大而安全的多租户环境，以保护数据并改善整体云体验。在继续加强Azure 安全基础的同时，我们也在探索新的机会，以进⼀步增强我们的深度防御方法。在下一节中，我们将讨论保密计算在为客户的数据和工作负载增加额外保护层方面的作用。

自Azure推出云计算以来，我们就认识到HBV在虚拟机上运行客户工作负载时的关键作用。然而，虚拟机只能保护主机免受虚拟机内恶意活动的攻击。在许多情况下，虚拟机接口中的漏洞可能会让恶意行为者逃逸到主机中，并从那里完全访问其他客户的虚拟机。Confidential Compute通过防止拥有主机环境访问权限的恶意行为者访问虚拟机中运行的内容，为抵御这些攻击提供了⼀个新的防御层。我们的目标是在 Azure 服务中广泛使用保密虚拟机和保密容器，为我们的服务所使用的虚拟机和容器增加这层额外的防御。这有可能在 Azure 的任何级别上减少⼊侵的爆炸半径。虽然雄⼼勃勃，但总有一天，保密计算的使用会像其他最佳实践（如传输中加密或静态加密）⼀样普及。

数⼗年的漏洞证明，在使用C/C++ 时防⽌内存破坏 bug 是多么困难。虽然 C#或 Java 等垃圾收集语言已被证明更能抵御这些问题，但在某些情况下还是不能使用它们。在这种情况下，我们将Rust作为C/C++的替代语言。Rust是⼀种现代语言，旨在与性能卓越的 C/C++ 竞争，但该语言内置了内存安全和线程安全保障。虽然我们无法在一夜之间用Rust重写一切，但我们已经在Azure基础架构的一些最关键组件中采用了Rust。我们希望随着时间的推移，Rust的应用范围会大幅扩大。

我们坚定不移的承诺我们对安全多租户、机密计算和 Rust 的承诺代表了我们在未来及年的重大投资。幸运的是，微软的安全文化是业内最强大的，这使我们有能力实现这些雄心勃勃的赌注。通过将安全作为我们服务不可或缺的组成部分，我们正在帮助客户在云中构建和维护安全、可靠和可扩展的应用程序，同时确保他们对我们平台的信任始终如⼀。

在关于 Azure 安全性系列的第一篇博客中，我们讨论了我们处理云漏洞的方法。在第二篇博客中，我们重点介绍了使用变体猎取来检测模式并增强整个服务的安全性。在该系列的第三篇博客中，我们介绍了改进内置安全性的颠覆性架构。在本篇中，我们将分享我们的集成响应策略，该策略提供了一个持续学习模型，利用大数据改进响应、检测、预防性控制和治理，以衡量和提高有效性。

安元易保安公司的“综合响应”功能是将安全风险缓解策略纳入持久的安全计划，在联合安全功能之间进行无缝协调，以学习、共享和调整有效策略，在超大规模下应对最高风险和威胁。当各种来源的新威胁和安全风险出现时，我们会通过评估根本原因和制定安全控制措施，将其作为一个学习反馈系统来处理。我们从主动和被动分析中学到的知识将转化为我们安全产品中的产品更新和威胁情报增强功能。

为了保持信任并加快响应时间，我们的闭环反馈周期结合了内部和外部风险驱动因素，以改进安全响应管道的每个阶段。定期审查安全事件是我们不断提高敏捷性和缩短响应时间以降低客户安全风险的关键。我们的每个制度流程，如安全现场审查(SLR)、安全健康审查 (SHR) 和安全操作审查 (SOR)，都会突出并优先考虑 Azure 各级工程组织的改进机会。让我们深入了解每个阶段的含义以及它们之间的联系。

在“云优先”的世界里，我们的客户将他们的数据、知识产权和关键业务应用程序托付给我们。为了满足这些期望，我们采取整体方法来管理安全，并创建综合响应，其中包括识别风险驱动因素的反馈循环，并确保我们推动适当的安全控制，以妥善保护、检测和应对威胁。此外，我们还确保所有产品符合我们的安全标准，如微软云安全基准。以下是我们综合响应的组成部分：

第一时间响应新威胁：微软安全响应中心（MSRC）和网络防御行动--以 “假定破坏”的心态运作，我们已经磨练出快速有效地响应安全事件并推动快速安全缓解和改进的能力。我们让客户、行业合作伙伴和微软产品团队都参与到这一持续的反馈循环中。MSRC 是防御者社区的一个组成部分，在安全响应的第一线为我们的 Azure 客户和微软的其他产品提供服务。

二十多年来，MSRC 一直致力于安全漏洞的检测、响应和恢复。我们数十年来对各种技术进行防御的经验告诉我们，要想在瞬息万变的威胁环境中保持领先地位，就必须不断学习和发展，包括内部和外部的学习和发展。

从每个安全事件中学习：安全现场审查 (SLR)--在发生源自MSRC 或红队运营部的安全事件后，在即时补救活动结束后，我们会优先进行 SLR，以推动产品团队和执行领导层进行5个原因分析。上至执行副总裁，下至普通员工，每周都会深入关注事件的解构，直至其促成的根本原因，这推动了微软在确定流程差距、安全控制更新和产品改进方面的战略，以改善Azure 的安全态势。正如本系列前面所讨论的那样，在整个调查过程中，我们会识别特定事件之外的其他模式，以确保我们能够解决症状之外的问题，从而提供整体解决方案。我们在产品和服务开发生命周期的各个阶段跟踪这些修复项目，包括运营、工程工作流程和安全治理流程。

确保安全文化，提高操作的严谨性：安全操作审查 (SOR)--为了提高操作卫生的安全性并培养深厚的安全文化，我们定期进行 SOR。这些审查将执行领导和产品团队聚集在一起，分享最佳实践，审查行为趋势、安全控制性能，并展示维护安全 SLA（服务水平协议）这一主动流程的成熟能力。

了解并降低整体安全风险：安全健康与风险审查 (SHR)--了解各种需求的安全风险是保持正确的安全第一思维的重要因素。我们将控制性能和风险综合起来进行合理化，与产品团队一起进行深入研究，创建联合安全审查对话，学习和推动更广泛地应对新兴威胁的策略。通过将 Azure 安全视角与战略性产品改进相结合，SHR 提供了与新兴风险的深度联系，以确保我们满足客户现在和未来的需求，让客户相信我们正在投资于突破性的安全创新，以应对未来的威胁。

有效治理并推动安全标准：Azure 安全治理--我们始终秉承成长的心态，在六千多种独特的产品中推动大规模的安全治理，促进安全基准合规性，确保我们的客户在产品发布前就已将正确的安全功能集成到我们的产品中，如Microsoft CloudSecurityBenchmark (MCSB) 所记录的那样，该基准可帮助客户确保其 Azure 和其他云的服务配置符合互联网安全中心、国家标准与技术研究院和支付卡行业等框架中定义的安全规范。

MCSB 为客户提供了一种有效的调整方法，因为控制措施已预先映射到这些行业基准。

在公司内部，该管理职能部门负责衡量和提供有关我们所有产品的行为和安全控制性能的洞察力和趋势，在 SDL 中集成新的控制以保持相关性并降低新出现的风险，同时还向领导者提供安全视图，帮助他们了解其安全态势，并在其团队中推动安全第一的文化。我们大规模跟踪安全关键绩效指标 (KPI)，并根据恶意攻击根源分析、RED 团队发现、MSRC 发现和行业事件的实际结果，优先考虑可有效缓解威胁的控制措施。其中许多被广泛认定为行业最佳实践、微软安全政策（SDL/OSA）要求以及监管合规标准。这些安全关键绩效指标是通过微软的安全技术来衡量的，随着时间的推移，微软的安全技术也在不断扩展和成熟。

我们的综合响应战略提供了一种整体方法，将风险驱动因素与安全控制相结合，并确保产品符合微软云安全基准，利用规模测量和治理来识别和降低端到端的风险。微软将我们强大的内部安全响应计划与广泛多样的安全合作伙伴生态系统相结合，为数十亿客户和更广泛的市场提供世界一流的保护。我们认识到，安全是产品和流程的结晶，而深度防御则是这两者的分层方法。因此，我们接受反馈，并通过衡量效果来不断改进。我们数十年来对各种技术进行防御的经验告诉我们，要想在瞬息万变的威胁环境中保持领先地位，就必须不断学习和发展，包括内部和外部的学习和发展。

----------------------------------------------------------------