云服务安全更新的内部机制解析

我们的全球安全团队致力于尽快识别和缓解安全问题，同时最小化对客户的干扰。传统安全更新的一个挑战是确保客户及时应用保护措施。我们最近在《安全更新的剖析》中讨论了这些更新的工作内容。相比之下，云服务提供了优势。当我们在云中解决漏洞时，它会立即为所有用户修复，通常不需要客户采取任何行动。本博客重点介绍我们如何识别、缓解、记录和沟通影响我们云服务的安全漏洞更新。

识别云漏洞

我们寻找和缓解云中安全风险的方法有两个关键方面：内部关注和外部协作。

内部关注：全球超过8,500名微软安全专家全天候工作，监控、加固、修补和保护Azure及我们的整个云平台。微软并非免疫于威胁行为者的尝试，近年来网络攻击变得更加复杂和广泛。为了应对这一威胁，微软的网络防御运营中心（CDOC）汇集了来自全公司的安全专家，实时协作，在问题影响客户之前检测和缓解问题。我们的红队和蓝队不断测试微软的防御，寻找弱点，并提供见解和产品改进。当我们检测到对客户的影响时，我们会尽快通知他们，以帮助他们保护环境。

外部协作：我们最大的优势之一是与来自世界各地的独立研究人员和安全行业合作伙伴的多元化合作。微软漏洞赏金计划颁发奖励，激励研究人员发现并保密报告高影响安全漏洞，以持续加固我们的安全并改善客户体验。在过去一年中，微软已向安全社区奖励超过1,300万美元，以支持他们的工作。

我们还鼓励研究人员在问题完全解决且客户受到保护后，对他们发现的信息保持透明。我们这样做是为了让所有研究人员可以使用他们识别的技术作为基线，进一步检测漏洞，并帮助确保我们的系统更安全。这种方法也展示了我们安全合作伙伴关系的优势：在客户受到影响之前识别问题，并分享过程，以便安全社区可以共同学习和改进。

缓解漏洞

在云中，我们实时工作。我们的云服务不断更新以加固防御攻击，这些缓解措施不遵循“更新星期二”周期。有时这些是小的更改，而其他时候则解决整个类别的潜在问题——修复可能影响一系列潜在场景的根本问题。

在云中，一旦更新准备就绪并经过测试，就会发布到我们的服务中。通常，不需要客户采取任何行动。

安全事件响应

发现安全漏洞后，我们的响应包括几个阶段：

检测：问题由内部安全专家或外部合作伙伴报告，我们的24/7安全团队将相应响应并开始评估。

缓解：一旦问题被评估，我们的团队全天候工作以识别和测试缓解措施。这包括变体分析和寻找根本原因，以消除整个类别的问题，而不仅仅是单个漏洞（如果可能）。我们还彻底测试修复以确保兼容性和数据完整性。

部署：一旦缓解措施准备就绪并经过测试，我们实时部署到云服务中。这不与“更新星期二”时间框架绑定——这些更新根据需要定期进行。

问题解决后，我们的团队进行事后审查，以识别问题并改进我们的流程。我们欢迎客户和合作伙伴的反馈，并在事后审查中审查这些信息，以便我们不断改进。

我们对常见漏洞和暴露（CVE）的方法

CVE计划由一套规则指导，这些规则可以并且确实随着网络安全格局的重大变化而改变。2019年，规则被修改以适应基于云的漏洞。具体来说，添加了规则7.4.4，规定如果“漏洞需要客户或同行行动来解决”，则允许将CVE分配给云漏洞。自该规则更改生效以来，当有关于必要行动的具体信息时，微软会将CVE分配给基于云的漏洞，无论是我们的客户为了保护自己，还是行业为了保护生态系统。

当微软发布CVE时，几乎总是需要客户采取行动。在需要客户行动的情况下，微软理解每个客户都有自己的流程和应用更新的时间框架。但是，我们建议尽快应用所有更新。

针对客户的定向沟通

对于安全或隐私事件，微软通过建立的沟通渠道向客户提供必要的信息，并尽可能针对正确的人。通知针对受影响的特定资源，向客户提供有关任何必要行动或事件意识的信息。我们关于客户通知的主要原则是：

客户信任：我们通过彻底进行定向通知、客户痴迷和不断改进体验来实现这一点。

透明度：告知可能受影响的客户采取的确切步骤。为了保护客户和平台的安全和隐私，通知尽可能有针对性。

保护敏感信息和隐私：为确保有关安全或隐私事件的敏感细节不被广泛传播，信息传播受到控制，以确保客户在漏洞更广泛知晓之前有时间采取行动。

云优势

知道安全团队全天候工作以识别问题、实时部署更新并保持警惕以检测新威胁，这些只是我们云服务为客户带来的一些好处。

我们还鼓励客户遵循最佳实践以最好地保护他们的环境：微软安全最佳实践。

Aanchal Gupta
企业副总裁 | 微软安全响应中心