微软与Tenable达成合作，推进零信任目标

关键事项总结

• 微软与Tenable宣布合作，将其技术整合以支持拜登政府的零信任目标。
• 两家公司计划将Tenable.io与微软云安全（Microsoft Defender for Cloud）及微软信 Sentinel 解决方案集成，以支持混合云工作负载的漏洞评估。
• 零信任模型强调最小权限访问和持续监控，以提高网络安全性。
• 实际实施零信任在多云环境中存在挑战，但集成与自动化是关键。
• 拜登发布的网络安全行政命令（EO）提出了降低网络风险的多项措施，强调基本安全网络卫生的重要性。

微软和Tenable在，旨在将二者技术整合，作为应对以实现零信任目标的努力的一部分。

这两家公司计划将Tenable.io与微软云安全和微软Sentinel解决方案集成，以支持使用的混合云工作负载的漏洞评估。

Tenable的首席技术官GlenPendley表示：“白宫的网络安全行政命令在零信任方面进行了深入探讨。零信任要求建立强大的网络卫生基础，准确了解组织的所有资产——IT、云、运营技术、物联网，并持续监控用户权限和配置。”

Pendley还提到，微软与Tenable都是网络安全和基础设施安全局（CISA）设立的联合网络防御合作伙伴（JCDC）的联盟伙伴，旨在强化国家网络防御。这一新合作支持了EO和CISA，尤其是与JCDC和ShieldsUp相关的努力，目的是帮助联邦机构推进其零信任目标。

IDC的安全和信任分析师FrankDickson表示，虽然零信任是一个理想目标，但此模型要求在不再假设公司防火墙后面的一切都是安全的基础上，实施最小权限访问、假设存在漏洞并验证每一个请求，宛如来自开放网络。

Dickson指出：“在我们的混合多云环境中，实施零信任的实际困难在于用户和数据几乎无处不在。集成与自动化可能是零信任的实际基础。微软与Tenable的合作或许会展示出，将零信任转化为可操作的形式的重要性。”

Digital Shadows的高级网络威胁情报分析师ChrisMorgan提到，拜登去年发布的行政命令列出了多项步骤，将帮助与联邦政府合作的组织降低网络风险。

该命令包括引入软件物料单（SBOMs）和实施零信任安全模型。

Morgan表示，尽管这些举措重要，但实际上，这样的深远变化需要时间。“2021年针对关键国家基础设施目标的若干攻击表明，关注基本的网络安全卫生原则可以大有裨益，”Morgan说。“这些做法包括在可能的情况下确保启用双重身份验证，最小化远程服务的攻击面，采取基于风险的漏洞管理方法，以及定期修补高风险漏洞。这些简单的步骤可以显著提升网络弹性，并尽量减少恶意活动的可能性及影响。”

如有兴趣了解更多关于网络安全的最佳实践和最新动态，可以访问以下链接：