云服务安全更新的内部机制

微软全球安全团队专注于尽快识别和缓解安全问题，同时最小化对客户的干扰。传统安全更新的挑战在于确保客户及时应用防护措施。云服务在这方面具有优势：当我们在云端修复漏洞时，所有用户会立即得到修复，通常无需客户采取任何行动。本文重点介绍我们如何识别、缓解、记录和沟通影响云服务的安全漏洞更新。

识别云漏洞

我们查找和缓解云安全风险的方法有两个关键方面：内部专注和外部协作。

内部专注：全球超过8,500名微软安全专家全天候监控、加固、修补和保护Azure及整个云平台。微软并非免疫于威胁行为者的尝试，近年来网络攻击变得更加复杂和广泛。为应对这一威胁，微软网络防御运营中心（CDOC）汇集公司内外的安全专家实时协作，在问题影响客户之前检测和缓解问题。我们的红队和蓝队持续测试微软的防御，寻找弱点，并提供见解和产品改进。当我们检测到对客户的影响时，会尽快通知他们以帮助保护其环境。

外部协作：我们最大的优势之一是与全球多样化的独立研究人员和安全行业合作伙伴的合作。微软漏洞赏金计划颁发奖项，激励研究人员发现并保密报告高影响安全漏洞，以持续加强我们的安全性和改善客户体验。过去一年，微软已向安全社区奖励超过1,300万美元以支持他们的工作。

我们还鼓励研究人员在问题完全解决且客户受到保护后，透明地分享他们发现的信息。这样做是为了让所有研究人员能够使用他们识别的技术作为基线，进一步检测漏洞，并帮助确保我们的系统更安全。这种方法也展示了我们安全合作伙伴关系的优势：在客户受到影响之前识别问题，并分享过程，以便安全社区共同学习和进步。

缓解漏洞

在云端，我们实时工作。我们的云服务持续更新以抵御攻击，这些缓解措施不遵循“更新星期二”周期。有时这些是微小的更改，而其他时候则解决整个类别的潜在问题——修复可能影响一系列潜在场景的根本问题。

在云端，一旦更新准备就绪并经过测试，就会发布到我们的服务中。通常，客户无需采取任何行动。

安全事件响应

发现安全漏洞后，我们的响应包括几个阶段：

• 检测：问题由内部安全专家或外部合作伙伴报告，我们的24/7安全团队会相应响应并开始评估。
• 缓解：一旦问题被评估，我们的团队全天候工作以识别和测试缓解措施。这包括变体分析和寻找根本原因，以尽可能消除整个类别的问题，而不是单个漏洞。我们还全面测试修复以确保兼容性和数据完整性。
• 部署：一旦缓解措施准备就绪并经过测试，我们实时部署到云服务中。这不与“更新星期二”时间框架绑定——这些更新根据需要定期进行。

问题解决后，我们的团队进行事后审查，以识别问题并改进流程。我们欢迎客户和合作伙伴的反馈，并在事后审查中审查这些信息，以便我们能够持续做得更好。

我们对常见漏洞和暴露（CVE）的方法

CVE计划由一套规则指导，这些规则可以并且确实随着网络安全格局的重大变化而改变。2019年，规则被修改以适应基于云的漏洞。具体来说，添加了规则7.4.4，规定如果“漏洞需要客户或同行操作来解决”，则允许将CVE分配给云漏洞。自该规则更改生效以来，当有关于必要操作的具体信息时，微软会将CVE分配给基于云的漏洞，无论是客户为了保护自己还是行业为了保护生态系统。

当微软发布CVE时，几乎总是需要客户采取行动。在需要客户操作的情况下，微软理解每个客户都有自己的流程和应用更新的时间框架。但是，我们建议尽快应用所有更新。

针对客户的定向通信

对于安全或隐私事件，微软通过建立的通信渠道向客户提供必要信息，并尽可能针对合适的人员。通知针对受影响的特定资源，向客户提供有关任何所需操作或事件意识的信息。我们关于客户通知的主要原则是：

• 客户信任：我们通过彻底进行定向通知、客户痴迷和不断改进体验来实现这一点。
• 透明度：告知可能受影响的客户需要采取的确切步骤。为了保护客户和平台的安全和隐私，通知尽可能具有针对性。
• 保护敏感信息和隐私：为确保安全或隐私事件的敏感细节不被广泛传播，信息传播受到控制，以确保客户在漏洞更广泛已知之前有时间采取行动。

云优势

知道安全团队全天候工作以识别问题、实时部署更新并保持警惕以检测新威胁，这些只是我们云服务为客户带来的一些好处。

我们还鼓励客户遵循最佳实践以最好地保护其环境：微软安全最佳实践。

Aanchal Gupta
企业副总裁 | 微软安全响应中心