文章总结： 微软安全架构实践通过凭据消除、端点缩减和平台工程三大核心策略系统性消灭机会型攻击面。具体措施包括采用ManagedIdentity替代密码认证、使用PrivateLink缩减公网暴露面、通过平台工程标准化安全基线，实现安全控制内嵌而非外挂。该设计使攻击者无法窃取凭据、缺乏横向移动路径，并将安全从合规检查转变为赋能手段。 综合评分： 92 文章分类： 安全建设,解决方案,云安全,应用安全,安全运营

从设计层面消灭机会型攻击：微软安全架构实践

bitbot bitbot

Desync InfoSec

2026年4月23日 12:01 北京

在小说阅读器读本章

去阅读

大多数攻击者并非”入侵”了你的网络——他们用偷来的凭据直接登录了进去。当你的基础设施服务于数千家企业和数百万用户时，安全不是一个功能，而是你构建一切的基石。

微软 Dynamics 365 和 Power Platform 副总裁 CISO Ilya Grebnov 深入分享了微软内部如何通过凭据消除、端点缩减和平台工程，从设计层面系统性地消灭机会型攻击面。

────────────────

什么是机会型攻击？

机会型攻击者（Attackers of Opportunity）并不专门针对你，他们是通过发现与你相邻域的薄弱环节，横向渗透进你的环境。他们可能在寻找你的数据本身，也可能只是利用你的空间作为跳板来定位其他核心资产。

Dynamics 365 和 Power Platform 合在一起，可能是微软内部最大的完全运行在 Azure 上的业务组。如此庞大的云足迹意味着必须从根本上消除最简单的入侵路径。

────────────────

一、凭据消除：让攻击者无密码可偷

微软内部遵循一个简单原则：如果一个工作负载能在不需要密钥的情况下完成身份验证，那就不应该使用密钥。基于这一原则，他们重新设计了标准，淘汰了遗留模式，并大规模消除了密码、客户端密钥和 API Key。

核心机制：在 Azure 上，主要使用 Managed Identity（由 Microsoft Entra ID 颁发的工作负载身份）和联合身份模式——按需、按最小权限即时签发令牌。无需存储、轮换、意外提交到 Git 仓库或忘记过期的密钥。

微软还将这种无密钥模式推广给了客户。具体实现了：

• Power Platform Managed Identity (PPMI)：让 Dataverse 插件和 Power Automate 使用联合凭据向 Azure 资源认证，消灭了嵌入式密码和客户端密钥

• Microsoft Entra Agent ID：将 AI 代理（如 Copilot Studio 中创建的）视为一等公民身份，可被盘点、治理并绑定到人类发起者以确保问责

────────────────

二、端点缩减：让攻击者无入口可探

凭据消除自然与端点消除（Endpoint Elimination）搭配使用。当工作负载使用 Managed Identity 进行认证并调用服务时，可以：

• 用 Private Endpoint / Private Link 前置数据面，将服务移出公网

• 禁用入站管理端口（RDP/SSH），改用即时访问（JIT）、Bastion 或串行控制台

• 在令牌级别强制最小权限访问，最小化令牌被滥用时的爆炸半径

结果：没有密码可填充、没有共享 API Key 可复用、可探测的公网面大幅减少。即使攻击者在附近获得立足点，横向移动也极其困难——因为没有任何可复用的凭据，且每个工作负载都有独立可审计的身份，可以在数秒内关闭。

────────────────

三、平台工程：消灭”特例”架构

机会型攻击者擅长利用不一致性。每一个”这个团队是特例”或”就这一次”的例外，都会产生一个具有独特配置、独特库和独特故障模式的”雪花架构”。在小规模下看似无害，在组织级规模下则会成倍增加风险并拖慢事件响应速度。

微软的实践是：集中做出有主见的决策，移除解读空间——将”做正确的事”从建议变为策略。

关键指标：当团队规模达到约 500 名工程师时，是引入平台工程的最佳时机。过早会抑制健康的实验精神；过晚则迁移、协调和清理的代价呈指数增长。

微软通过”核心服务”（Core Services）标准化计算——这是应用团队用于执行和通信的骨干。当需要部署新防御时，一个团队在核心服务中落地，超过 450 个服务自动继承，无需逐个服务推进。

微软在平台工程中标准化了以下内容：

• 通用通信库：统一认证、mTLS、重试、遥测和策略钩子

• 分区和禁用模式：阻止已弃用的模式，强制基于身份的认证和网络策略

• 集中资源管理和遥测：证据集中在平台级，更容易审批变更和证明合规

• Policy-as-Code：用代码阻止弃用模式，强制执行身份认证和网络策略

────────────────

四、安全与产品团队的平衡之道

产品团队倾向于优化成功——添加能力、快速集成、交付价值。平台工程和安全团队则聚焦于最小化风险——减少依赖、质疑复杂性、实施可安全扩展的模式。双方都没有错，只是在解决不同的问题。

关键思维转变：安全从”说不的团队”转变为”设计所有人可以信赖的默认值的团队”。当安全和平台工程协作时，控制是内嵌的（baked in），而非外挂的（bolted on）。

────────────────

下一步演进：平台级身份和自动化

微软正在推进更进一步的措施：

• 平台级身份（Platform Provisioned Identity）：为每个服务自动创建身份，在单元级别分区，限定服务所需的最小权限——进一步缩小攻击者获得立足点后的爆炸半径

• 代理驱动的自动化：利用标准化的统一性，让 AI 代理帮助服务规模化满足 SFI（Secure Future Initiative）目标——这在碎片化环境中是不切实际的

核心理念是“铺好的路”（Paved Paths）：有主见的默认设置，让安全的选择成为简单的选择。这才是将安全从检查清单转变为赋能器的方式，也是让机会型攻击从设计层面就无从下手的方法。

────────────────

来源：Microsoft Security Blog

作者：Ilya Grebnov，微软 Dynamics 365 和 Power Platform 副总裁 CISO

原文链接：https://www.microsoft.com/en-us/security/blog/2026/04/20/making-opportunistic-cyberattacks-harder-by-design/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《从设计层面消灭机会型攻击：微软安全架构实践》