强化零信任安全，微软再收购CloudKnox

继上周的RiskIQ后，微软周四再宣布收购云端基础架构权限管理（Cloud Infrastructure Entitlement Management，CIEM）新创公司CloudKnox，以强化多云及混合云的存取管理，建立零信任（zero trust）安全环境。

这项收购是因应企业远距办公及在公司上班混合作业模式，且使用愈来愈多云端服务需求而生。许多服务之间已经能自动协同、交换资料不需人为介入，像是VM及容器，公司员工也从防火墙之外存取公司网络，这也导致服务账号及用户拥有的存取特权（privilege）、许可、权限等让企业曝露在网络攻击的风险下。一些未列管或私自建立的账号，或是合法账号具备过大的存取权限，可能导致小至资讯外泄，大到重要系统被接管，或是勒索软件加密关键资料及档案。近日多起企业被骇事件突显攻击者取得管理不当的存取凭证，即可在网络间横向移动。这也突显零信任（zero-trust）安全的重要性，确保应用及用户权限最小化的存取管理原则。

微软表示，传统特权存取管理（privilege access management）及身份治理和管理方案（identity governance and administration）可应付本地部署环境，随着企业转型多云环境，传统方案已不足以提供全面透通的权限和许可管理，也无法提供多云或云端原生环境的身份生命周期管理或治理。

微软表示，CloudKnox的收购能为Azure Active Directory用户提供多云及混合云环境中的权限管理，使企业清楚了解使用者及应用、作业的存取权限，自动化执行存取政策，确保最小权限的原则。它的机器学习算法可持续分析以防止可疑活动或账号。收购进来后，也能和微软现有安全方案，像是Microsoft 365 Defender、Azure Defender 和Azure Sentinel SIEM产品无缝整合。

这是微软三个月以来最新一桩安全收购，它在6月及上周分别收购了固件安全业者ReFirm及威胁情报及攻击面管理厂商RiskIQ。去年微软还买下IoT工控安全平台厂商CyberX。

微软的Office 365拥有大量企业用户，促使该公司强化云端存取安全。一项例子是年初美国发生云端邮件安全业者Mimecast 被用来借道骇入M365 Exchange。攻击者利用窃来Mimecast用户cookies，使用Pass the cookie手法连线验证、登入Exchange Web Service，绕过后者的多因素验证（MFA）而劫持用户MS365 Exchange的信件。