微軟被迫實施網絡安全整改:因甲方采購審計未過關
責編:gltian |2024-12-17 14:02:59據彭博社報道,由于一場備受關注的網絡攻擊引發的安全問題,亞馬遜推遲部署廣泛使用的云端辦公套件Microsoft 365。
亞馬遜與微軟簽署了一份價值10億美元的許可協議,旨在為其全球員工隊伍升級現代化辦公工具。亞馬遜暫停部署的決定顯示,在日益復雜的網絡威脅環境下,保障云服務的難度不斷上升。
網絡攻擊引發疑慮
此次暫停與2023年由“午夜暴雪”(Midnight Blizzard)黑客組織發起的一次網絡攻擊有關。該組織被認為與俄羅斯情報機構存在聯系。這次攻擊針對微軟公司的內部系統,導致包括網絡安全和法律團隊在內的公司高級人員的電子郵件賬戶遭到入侵。
微軟于2024年1月披露了這一事件,并承認黑客訪問了“少量”賬戶。
亞馬遜首席信息安全官CJ Moses對這一漏洞及其對Microsoft 365部署的潛在影響表達了擔憂。他對彭博社表示:“當時,微軟無法向我們確認是否已經完全將黑客從其環境中清除。”
這次攻擊促使亞馬遜重新評估Microsoft 365的安全協議,并決定推遲采用該套件,直至所有潛在漏洞得到解決。
亞馬遜與微軟的10億美元協議
亞馬遜與微軟在2023年底簽署了一項價值10億美元、為期5年的協議,由此決定轉向Microsoft 365。該協議涵蓋100萬份許可證,將像Word、Excel和Outlook等熱門應用程序整合到一個統一的云端平臺中。
此舉意味著亞馬遜將不再依賴其內部工具(如AWS WorkDocs和WorkMail),從而提升其分布廣泛的員工隊伍之間的協作能力和生產效率。
部署工作最初計劃于2023年11月開始,與微軟推出Microsoft 365 Copilot(一款將生成式AI功能集成到Office應用中的AI助手)的時間相吻合。然而,由于“午夜暴雪”攻擊所暴露的安全問題,亞馬遜決定暫停這一部署。
Moses指出,亞馬遜對微軟的要求與對其內部服務團隊的要求同樣嚴格。他表示:“我們對微軟的要求標準與對我們內部服務團隊的標準完全一致。”
彌補安全缺口
亞馬遜提出了Microsoft 365需要改進的幾個關鍵方面,包括加強實時日志記錄能力、統一用戶身份驗證協議。由于該套件最初作為獨立應用程序開發,其安全標準存在不一致性,在用戶活動跟蹤和監控方面暴露出潛在漏洞。
Moses特別強調全面活動跟蹤的重要性。他表示:“我們希望確保所有活動都被記錄,并且我們可以幾乎實時地訪問這些日志。”
微軟隨后部署了一支工程團隊,負責解決亞馬遜提出的安全問題。微軟安全主管、前亞馬遜高管Charlie Bell在執行必要更新的過程中發揮了關鍵作用。Moses對Bell的領導表示贊揚,并提到:“他們完成了一項非常艱巨的任務。我們向他們提出了極高的要求。”
兩大競爭對手的罕見合作
作為云計算領域的兩大競爭對手,亞馬遜與微軟選擇合作十分罕見。亞馬遜憑借AWS在市場中占據領先地位,而微軟的Azure平臺近年來也取得了顯著增長。盡管競爭激烈,兩家公司偶爾會展開合作,但也曾在聯合企業防御基礎設施(JEDI)項目等案例中展開激烈競爭。
此次圍繞Microsoft 365安全性的合作表明,兩家公司都認識到在互聯數字生態系統中應對網絡安全挑戰的重要性。
對于微軟而言,這項協議突顯了其旗艦辦公套件的市場吸引力。對于亞馬遜而言,這一舉措反映了其優先考慮運營效率和員工生產力的戰略決策,而非堅持推廣其自有工具。
部署時間表仍不確定
盡管亞馬遜和微軟在解決安全問題方面取得了顯著進展,但雙方均未公布恢復部署的具體時間表。兩家公司的工程團隊仍在合作實施必要的更新,而亞馬遜是否最終采用Microsoft 365將取決于其嚴格的安全標準是否完全滿足。
Moses對雙方的合作持樂觀態度,但強調必須做到盡善盡美。他對彭博社表示:“我們認為,目前進展良好,有望在明年重新啟動部署工作。”
亞馬遜推遲采用Microsoft 365的決定表明,云軟件供應商在確保強大安全性方面正面臨日益嚴格的審查。近年來,一些引人注目的安全漏洞暴露了云服務的固有脆弱性,促使企業對其供應商提出更高的安全標準要求。
在首席執行官Satya Nadella的領導下,微軟近兩年將網絡安全作為優先事項,并在加強其云服務安全性方面投入了巨大的資源。亞馬遜提出的改進要求可能為云端辦公工具如何滿足企業級安全要求樹立新的標準。
參考資料:https://winbuzzer.com/2024/12/12/amazon-stopped-1-billion-microsoft-365-rollout-over-cybersecurity-concerns-xcxwbn/