安全內(nèi)參12月16日消息，據(jù)彭博社報(bào)道，由于一場(chǎng)備受關(guān)注的網(wǎng)絡(luò)攻擊引發(fā)的安全問(wèn)題，亞馬遜推遲部署廣泛使用的云端辦公套件Microsoft 365。

亞馬遜與微軟簽署了一份價(jià)值10億美元的許可協(xié)議，旨在為其全球員工隊(duì)伍升級(jí)現(xiàn)代化辦公工具。亞馬遜暫停部署的決定顯示，在日益復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境下，保障云服務(wù)的難度不斷上升。

此次暫停與2023年由“午夜暴雪”（Midnight Blizzard）黑客組織發(fā)起的一次網(wǎng)絡(luò)攻擊有關(guān)。該組織被認(rèn)為與俄羅斯情報(bào)機(jī)構(gòu)存在聯(lián)系。這次攻擊針對(duì)微軟公司的內(nèi)部系統(tǒng)，導(dǎo)致包括網(wǎng)絡(luò)安全和法律團(tuán)隊(duì)在內(nèi)的公司高級(jí)人員的電子郵件賬戶(hù)遭到入侵。

微軟于2024年1月披露了這一事件，并承認(rèn)黑客訪問(wèn)了“少量”賬戶(hù)。

亞馬遜首席信息安全官CJ Moses對(duì)這一漏洞及其對(duì)Microsoft 365部署的潛在影響表達(dá)了擔(dān)憂(yōu)。他對(duì)彭博社表示：“當(dāng)時(shí)，微軟無(wú)法向我們確認(rèn)是否已經(jīng)完全將黑客從其環(huán)境中清除。”

這次攻擊促使亞馬遜重新評(píng)估Microsoft 365的安全協(xié)議，并決定推遲采用該套件，直至所有潛在漏洞得到解決。

亞馬遜與微軟在2023年底簽署了一項(xiàng)價(jià)值10億美元、為期5年的協(xié)議，由此決定轉(zhuǎn)向Microsoft 365。該協(xié)議涵蓋100萬(wàn)份許可證，將像Word、Excel和Outlook等熱門(mén)應(yīng)用程序整合到一個(gè)統(tǒng)一的云端平臺(tái)中。

此舉意味著亞馬遜將不再依賴(lài)其內(nèi)部工具（如AWS WorkDocs和WorkMail），從而提升其分布廣泛的員工隊(duì)伍之間的協(xié)作能力和生產(chǎn)效率。

部署工作最初計(jì)劃于2023年11月開(kāi)始，與微軟推出Microsoft 365 Copilot（一款將生成式AI功能集成到Office應(yīng)用中的AI助手）的時(shí)間相吻合。然而，由于“午夜暴雪”攻擊所暴露的安全問(wèn)題，亞馬遜決定暫停這一部署。

Moses指出，亞馬遜對(duì)微軟的要求與對(duì)其內(nèi)部服務(wù)團(tuán)隊(duì)的要求同樣嚴(yán)格。他表示：“我們對(duì)微軟的要求標(biāo)準(zhǔn)與對(duì)我們內(nèi)部服務(wù)團(tuán)隊(duì)的標(biāo)準(zhǔn)完全一致。”

亞馬遜提出了Microsoft 365需要改進(jìn)的幾個(gè)關(guān)鍵方面，包括加強(qiáng)實(shí)時(shí)日志記錄能力、統(tǒng)一用戶(hù)身份驗(yàn)證協(xié)議。由于該套件最初作為獨(dú)立應(yīng)用程序開(kāi)發(fā)，其安全標(biāo)準(zhǔn)存在不一致性，在用戶(hù)活動(dòng)跟蹤和監(jiān)控方面暴露出潛在漏洞。

Moses特別強(qiáng)調(diào)全面活動(dòng)跟蹤的重要性。他表示：“我們希望確保所有活動(dòng)都被記錄，并且我們可以幾乎實(shí)時(shí)地訪問(wèn)這些日志?！?/span>

微軟隨后部署了一支工程團(tuán)隊(duì)，負(fù)責(zé)解決亞馬遜提出的安全問(wèn)題。微軟安全主管、前亞馬遜高管Charlie Bell在執(zhí)行必要更新的過(guò)程中發(fā)揮了關(guān)鍵作用。Moses對(duì)Bell的領(lǐng)導(dǎo)表示贊揚(yáng)，并提到：“他們完成了一項(xiàng)非常艱巨的任務(wù)。我們向他們提出了極高的要求?！?/span>

作為云計(jì)算領(lǐng)域的兩大競(jìng)爭(zhēng)對(duì)手，亞馬遜與微軟選擇合作十分罕見(jiàn)。亞馬遜憑借AWS在市場(chǎng)中占據(jù)領(lǐng)先地位，而微軟的Azure平臺(tái)近年來(lái)也取得了顯著增長(zhǎng)。盡管競(jìng)爭(zhēng)激烈，兩家公司偶爾會(huì)展開(kāi)合作，但也曾在聯(lián)合企業(yè)防御基礎(chǔ)設(shè)施（JEDI）項(xiàng)目等案例中展開(kāi)激烈競(jìng)爭(zhēng)。

此次圍繞Microsoft 365安全性的合作表明，兩家公司都認(rèn)識(shí)到在互聯(lián)數(shù)字生態(tài)系統(tǒng)中應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)的重要性。

對(duì)于微軟而言，這項(xiàng)協(xié)議突顯了其旗艦辦公套件的市場(chǎng)吸引力。對(duì)于亞馬遜而言，這一舉措反映了其優(yōu)先考慮運(yùn)營(yíng)效率和員工生產(chǎn)力的戰(zhàn)略決策，而非堅(jiān)持推廣其自有工具。

盡管亞馬遜和微軟在解決安全問(wèn)題方面取得了顯著進(jìn)展，但雙方均未公布恢復(fù)部署的具體時(shí)間表。兩家公司的工程團(tuán)隊(duì)仍在合作實(shí)施必要的更新，而亞馬遜是否最終采用Microsoft 365將取決于其嚴(yán)格的安全標(biāo)準(zhǔn)是否完全滿(mǎn)足。

Moses對(duì)雙方的合作持樂(lè)觀態(tài)度，但強(qiáng)調(diào)必須做到盡善盡美。他對(duì)彭博社表示：“我們認(rèn)為，目前進(jìn)展良好，有望在明年重新啟動(dòng)部署工作?！?/span>

亞馬遜推遲采用Microsoft 365的決定表明，云軟件供應(yīng)商在確保強(qiáng)大安全性方面正面臨日益嚴(yán)格的審查。近年來(lái)，一些引人注目的安全漏洞暴露了云服務(wù)的固有脆弱性，促使企業(yè)對(duì)其供應(yīng)商提出更高的安全標(biāo)準(zhǔn)要求。

在首席執(zhí)行官Satya Nadella的領(lǐng)導(dǎo)下，微軟近兩年將網(wǎng)絡(luò)安全作為優(yōu)先事項(xiàng)，并在加強(qiáng)其云服務(wù)安全性方面投入了巨大的資源。亞馬遜提出的改進(jìn)要求可能為云端辦公工具如何滿(mǎn)足企業(yè)級(jí)安全要求樹(shù)立新的標(biāo)準(zhǔn)。

參考資料：winbuzzer.com

文章來(lái)源：安全內(nèi)參