微软与Tenable达成合作，推进零信任目标

关键事项总结

微软和Tenable在周四宣布了一项合作关系，旨在将二者技术整合，作为应对拜登政府关于网络安全的行政命令以实现零信任目标的努力的一部分。

这两家公司计划将Tenableio与微软云安全和微软Sentinel解决方案集成，以支持使用FedRAMP的混合云工作负载的漏洞评估。

Tenable的首席技术官Glen Pendley表示：“白宫的网络安全行政命令在零信任方面进行了深入探讨。零信任要求建立强大的网络卫生基础，准确了解组织的所有资产IT、云、运营技术、物联网，并持续监控用户权限和配置。”

Pendley还提到，微软与Tenable都是网络安全和基础设施安全局CISA设立的联合网络防御合作伙伴JCDC的联盟伙伴，旨在强化国家网络防御。这一新合作支持了EO和CISA，尤其是与JCDC和Shields Up相关的努力，目的是帮助联邦机构推进其零信任目标。

IDC的安全和信任分析师Frank Dickson表示，虽然零信任是一个理想目标，但此模型要求在不再假设公司防火墙后面的一切都是安全的基础上，实施最小权限访问、假设存在漏洞并验证每一个请求，宛如来自开放网络。

Dickson指出：“在我们的混合多云环境中，实施零信任的实际困难在于用户和数据几乎无处不在。集成与自动化可能是零信任的实际基础。微软与Tenable的合作或许会展示出，将零信任转化为可操作的形式的重要性。”

Digital Shadows的高级网络威胁情报分析师Chris Morgan提到，拜登去年发布的行政命令列出了多项步骤，将帮助与联邦政府合作的组织降低网络风险。

该命令包括引入软件物料单SBOMs和实施零信任安全模型。

Morgan表示，尽管这些举措重要，但实际上，这样的深远变化需要时间。“2021年针对关键国家基础设施目标的若干攻击表明，关注基本的网络安全卫生原则可以大有裨益，”Morgan说。“这些做法包括在可能的情况下确保启用双重身份验证，最小化远程服务的攻击面，采取基于风险的漏洞管理方法，以及定期修补高风险漏洞。这些简单的步骤可以显著提升网络弹性，并尽量减少恶意活动的可能性及影响。”

如有兴趣了解更多关于网络安全的最佳实践和最新动态，可以访问以下链接：