西門子計劃從身份管理（包括外部各方的訪問）、數據和端點三方面啟動其零信任戰(zhàn)略。在微軟的支持下，西門子通過其早先部署的Microsoft 365，實施了包括Azure AD、 Microsoft Endpoint Manager、Microsoft Defender for Identity 和 Microsoft Information Protection在內的一系列安全產品，打造了西門子的零信任態(tài)勢的基礎，為持續(xù)、動態(tài)的安全強化創(chuàng)建藍圖。

該團隊首先使用 Azure AD 和本地 Active Directory 管理用戶身份，借助 Microsoft Defender for Identity 保護對其本地身份的訪問，并使用基于條件的訪問控制策略來管理用戶身份、數據和設備；Microsoft Defender for Identity提供的安全分析及洞察則為西門子的安全分析師提供參考，進而減少攻擊面；作為建立零信任的關鍵技術之一，Microsoft Information Protection被視作西門子主要的數據分類工具，幫助這家企業(yè)發(fā)現、分類和保護敏感數據，之后通過Microsoft Cloud App Security擴展數據安全視圖，以控制數據傳輸并管理對西門子資源和應用程序的訪問；此外，西門子還通過部署Microsoft Defender for Endpoint實時定位配置問題和安全漏洞，并監(jiān)控和阻止對端點的威脅；Microsoft Intune 中的免注冊移動應用管理 (MAM-WE) 為高度機密的數據增加了一層額外保護，并將該保護擴展至西門子數據所在的任何地點。

對于微軟為西門子提供的綜合性安全解決方案，西門子表現出了高度認可與肯定。西門子數字身份服務負責人Mueller-Lynch表示：“能夠針對西門子龐大、復雜的IT環(huán)境生成綜合性洞察，在全球范圍內，有能力打造這樣一套解決方案的技術提供商屈指可數，這正是我們選擇微軟的原因所在?！?/p>

“在任何地方，使用任何設備與我的同事進行安全高效協(xié)作”

成立于1975年的橋水基金（Bridgewater），如今是全球最大對沖基金公司，服務全球最有影響力的投資者。通過對全球經濟和市場的宏觀經濟趨勢的不斷研究，為其客戶制定交易和投資組合構建策略。

過去，橋水基金的安全策略是將公司所有的文件內容置于企業(yè)邊界網絡防火墻之內，但這嚴格限制了員工遠程協(xié)作的能力，讓差旅員工或居家辦公員工難以訪問信息。與此同時，新常態(tài)下遠程辦公興起、與合作伙伴和供應商之間共享數據，以及訪問云上數據的需求，迫使橋水重新評估其安全邊界。橋水生產力和端點工程主管 Anthony Golia 表示：“我們的安全愿景是‘提高生產力、強化協(xié)作，提供全面移動訪問’，想要實現這一目標，就需要徹底改革技術。”

橋水選擇與微軟合作創(chuàng)建零信任安全框架，使用 Microsoft 365 為員工提供對文檔、電子郵件和數據的無縫訪問，同時仍保持嚴格的安全標準。通過零信任框架提供的安全遠程訪問，使橋水的員工能夠在任何地方實現協(xié)作，提供滿足客戶對于業(yè)務敏捷性的高標準要求。有了更精細的安全控制，橋水可以為使用非信任網絡（例如酒店、家庭辦公室和機場）的員工開系統(tǒng)的訪問權限，而不是將所有東西都放在防火墻后。

這一合作的成功為橋水的零信任之旅打開了局面。在此基礎上，橋水還與微軟從三個方面夯實了其零信任措施：

無密碼認證進行身份驗證——Azure AD 是橋水零信任措施的基礎身份管理解決方案。它使員工能夠對工作所需的所有微軟應用程序和其他云服務使用單點登錄 (SSO)。借助來自微軟安全威脅情報流的信號，Azure AD中的Identity Protection 還可以識別異常登錄嘗試，例如位置、IP 地址和可能泄露的憑證，從而通知可以阻止用戶、重置密碼或需要 MFA 的條件訪問策略。選擇安全的硬件設備——在橋水的技術人員看來，Surface在設計之初就考慮到了安全性，是企業(yè)最為理想的辦公設備。因此Surface也成為了橋水指定的、開放企業(yè)環(huán)境訪問權限的設備之一。此外，橋水還借助Microsoft Endpoint Manager 對企業(yè)辦公設備進行統(tǒng)一管理。對基礎服務進行保護——作為橋水交易決策的數據和分析中心，Microsoft Office中的SharePoint和OneDrive不僅提供了安全的文件存儲和共享功能，還能夠充當可信網關，橋水可在其中對公司資產進行檢查、標記、加密和監(jiān)控，之后再開放給零信任環(huán)境中的設備進行訪問。

一系列的合作讓橋水基金建立了對微軟的高度信任。橋水基金首席技術官Igor Tsyganskiy 表示：“對于橋水來說，微軟最具價值的能力就是其端到端安全愿景。沒有一家技術廠商可以像微軟這樣，從硬件、操作系統(tǒng)，到生產力工具、云服務和云安全情報，都能夠提供相同級別的安全愿景和技術集成?！?/p>

秉承初心使命，持續(xù)加大投入

微軟多云、多平臺安全產品服務于全球71.5萬客戶，這背后依靠的是微軟每年在安全產品和技術研發(fā)方面超過40億美元的投入，未來5年投資還將超過200億美元；強大而高效的微軟安全解決方案與服務的背后，更有全球8,500位安全專家為服務全球的平臺、工具、服務及終端設備提供不間斷的安全保護。針對云、移動設備和邊緣平臺成為企業(yè)創(chuàng)新和強化韌性的選擇，微軟也推出了一系列針對多云的技術支持，助力客戶全面擁抱多云環(huán)境：

通過將Microsoft Defender for Cloud的原生功能擴展，在不同的云系統(tǒng)上保護的客戶。自此微軟成為目前唯一一家為業(yè)界三大平臺（Azure、AWS、GCP）提供原生多云保護的云服務提供商；去年收購云基礎設施權限管理（CIEM）的領導廠商CloudKnox Security，用以提升幫助客戶管理多云環(huán)境中的權限、加強零信任安全態(tài)勢方面的能力；近期發(fā)布CloudKnox權限管理平臺（CloudKnox Permissions Management）的公眾預覽版，為跨云的用戶和工作負載身份提供了完整的可見性；通過Azure Active Directory（Azure AD）保護工作負載身份；使用Azure Payment HSM保護云上支付流程，可對加密密鑰和客戶PIN進行最高級別的保護，以實現安全支付交易。

“予力全球每一人、每一組織，成就不凡。”微軟始終秉承這一使命，在全球數字化進程加速、數字化威脅的安全態(tài)勢下提供安全可信的保障，讓企業(yè)無后顧之憂地進行技術創(chuàng)新、業(yè)務發(fā)展，搭建通往零信任的數字安全橋梁。

xiesc