摘要:亚马逊基于审计和违规事件暴露的安全问题,要求微软改进产品安全,包括加强实时日志记录能力、统一用户身份验证协议等,需整改完毕才能开始部署使用;
微软年初披露的内网被黑事件,让已签单10亿美元的大客户亚马逊疑虑重重,决定暂停部署M365办公云服务;
亚马逊基于审计和违规事件暴露的安全问题,要求微软改进产品安全,包括加强实时日志记录能力、统一用户身份验证协议等,需整改完毕才能开始部署使用;
目前整改工作已持续数月,预计还需要更长时间。
前情回顾·微软网络安全变革
微软宣布绩效改革:员工工资与安全直接挂钩安全内参12月16日消息,据彭博社报道,由于一场备受关注的网络攻击引发的安全问题,亚马逊推迟部署广泛使用的云端办公套件Microsoft 365。
亚马逊与微软签署了一份价值10亿美元的许可协议,旨在为其全球员工队伍升级现代化办公工具。亚马逊暂停部署的决定显示,在日益复杂的网络威胁环境下,保障云服务的难度不断上升。
网络攻击引发疑虑
此次暂停与2023年由“午夜暴雪”(Midnight Blizzard)黑客组织发起的一次网络攻击有关。该组织被认为与俄罗斯情报机构存在联系。这次攻击针对微软公司的内部系统,导致包括网络安全和法律团队在内的公司高级人员的电子邮件账户遭到入侵。
微软于2024年1月披露了这一事件,并承认黑客访问了“少量”账户。
亚马逊首席信息安全官CJ Moses对这一漏洞及其对Microsoft 365部署的潜在影响表达了担忧。他对彭博社表示:“当时,微软无法向我们确认是否已经完全将黑客从其环境中清除。”
这次攻击促使亚马逊重新评估Microsoft 365的安全协议,并决定推迟采用该套件,直至所有潜在漏洞得到解决。
亚马逊与微软的10亿美元协议
亚马逊与微软在2023年底签署了一项价值10亿美元、为期5年的协议,由此决定转向Microsoft 365。该协议涵盖100万份许可证,将像Word、Excel和Outlook等热门应用程序整合到一个统一的云端平台中。
此举意味着亚马逊将不再依赖其内部工具(如AWS WorkDocs和WorkMail),从而提升其分布广泛的员工队伍之间的协作能力和生产效率。
部署工作最初计划于2023年11月开始,与微软推出Microsoft 365 Copilot(一款将生成式AI功能集成到Office应用中的AI助手)的时间相吻合。然而,由于“午夜暴雪”攻击所暴露的安全问题,亚马逊决定暂停这一部署。
Moses指出,亚马逊对微软的要求与对其内部服务团队的要求同样严格。他表示:“我们对微软的要求标准与对我们内部服务团队的标准完全一致。”
弥补安全缺口
亚马逊提出了Microsoft 365需要改进的几个关键方面,包括加强实时日志记录能力、统一用户身份验证协议。由于该套件最初作为独立应用程序开发,其安全标准存在不一致性,在用户活动跟踪和监控方面暴露出潜在漏洞。
Moses特别强调全面活动跟踪的重要性。他表示:“我们希望确保所有活动都被记录,并且我们可以几乎实时地访问这些日志。”
微软随后部署了一支工程团队,负责解决亚马逊提出的安全问题。微软安全主管、前亚马逊高管Charlie Bell在执行必要更新的过程中发挥了关键作用。Moses对Bell的领导表示赞扬,并提到:“他们完成了一项非常艰巨的任务。我们向他们提出了极高的要求。”
两大竞争对手的罕见合作
作为云计算领域的两大竞争对手,亚马逊与微软选择合作十分罕见。亚马逊凭借AWS在市场中占据领先地位,而微软的Azure平台近年来也取得了显著增长。尽管竞争激烈,两家公司偶尔会展开合作,但也曾在联合企业防御基础设施(JEDI)项目等案例中展开激烈竞争。
此次围绕Microsoft 365安全性的合作表明,两家公司都认识到在互联数字生态系统中应对网络安全挑战的重要性。
对于微软而言,这项协议突显了其旗舰办公套件的市场吸引力。对于亚马逊而言,这一举措反映了其优先考虑运营效率和员工生产力的战略决策,而非坚持推广其自有工具。
部署时间表仍不确定
尽管亚马逊和微软在解决安全问题方面取得了显著进展,但双方均未公布恢复部署的具体时间表。两家公司的工程团队仍在合作实施必要的更新,而亚马逊是否最终采用Microsoft 365将取决于其严格的安全标准是否完全满足。
Moses对双方的合作持乐观态度,但强调必须做到尽善尽美。他对彭博社表示:“我们认为,目前进展良好,有望在明年重新启动部署工作。”
亚马逊推迟采用Microsoft 365的决定表明,云软件供应商在确保强大安全性方面正面临日益严格的审查。近年来,一些引人注目的安全漏洞暴露了云服务的固有脆弱性,促使企业对其供应商提出更高的安全标准要求。
在首席执行官Satya Nadella的领导下,微软近两年将网络安全作为优先事项,并在加强其云服务安全性方面投入了巨大的资源。亚马逊提出的改进要求可能为云端办公工具如何满足企业级安全要求树立新的标准。
参考资料:winbuzzer.com
来源:安全内参