Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Initiative Secure Future Initiative (SFI) ist eine mehrjährige, cross-Microsoft-Initiative, um die Art und Weise zu sichern, in der Microsoft produkte und Dienste entwickelt, erstellt, testet und betreibt. SFI basiert auf:
- Eine Reihe von Sicherheitsprinzipien, die die Art und Weise leiten, wie wir Innovationen im Sicherheitsdesign entwickeln, diese Innovationen als sichere Vorgaben und Standards in Microsoft-Produkten implementieren und interne sowie externe Sicherheitsleitlinien bereitstellen. Erfahren Sie mehr.
- Eine Reihe priorisierter Sicherheitspfeiler und -ziele. Erfahren Sie mehr.
In diesem Artikel wird die SFI-Säule "Mandanten schützen und Systeme isolieren" zusammengefasst.
Bevor du anfängst
- Erfahren Sie mehr über die SFI-Säulen.
- Überprüfen und verfolgen Sie die neuesten Fortschritte bei den Pfeilerzielen im SFI What's New-Artikel.
- Erfahren Sie mehr über Zero Trust-Prinzipien und NIST-CSF-Funktionen und -Kategorien.
- Hier erhalten Sie eine Liste der NIST-Kategorien und Akronyme , die Ihnen beim Überprüfen der Tabelle in diesem Artikel helfen sollen.
Säule und Ziele
Das Ziel der Säule "Mandanten schützen und Systeme isolieren" besteht darin, potenzielle Bedrohungsbereich einzudämmen, indem laterale Bewegungen oder Berechtigungseskalation verhindert werden. Dadurch wird sichergestellt, dass Sicherheitsgrenzen auf Mandantenebene ordnungsgemäß konfiguriert, gehärtet und isoliert sind.
Die Microsoft-Ziele und die Zero Trust/NIST-Zuordnung für diese Säule sind in der folgenden Tabelle zusammengefasst.
| Objektiv | Zero Trust | NIST-Zuordnung |
|---|---|---|
|
1. Entfernen von Legacysystemen, die Sicherheit gefährden Verwalten Sie den Sicherheitsstatus und die kommerzielle Beziehung von Mandanten, indem Sie alle nicht verwendeten, alten oder älteren Systeme entfernen. |
Explizit überprüfen: Alle Identitäts- und Ressourcensysteme werden über moderne Steuerungsebenen authentifiziert und überprüft. Verwenden Sie die geringsten Berechtigungen: Entfernt alte Systeme ohne moderne, feinkörnige Steuerelemente. Gehen Sie von Sicherheitsverletzungen aus: Entfernt Legacy-Vertrauenspfade und vermindert den Schadensradius. |
ID.AM-02 (Softwareplattformen und -anwendungen innerhalb der Organisation sind inventarisiert). Der erste Schritt beim Entfernen von Legacysystemen besteht darin, Systemelemente zur vollständigen Sichtbarkeit zu ermitteln. ID.AM-08 (Identitäten und zugeordnete Konten (einschließlich Dienstkonten und Anwendungen) werden inventarisiert. Nachverfolgen, Verwalten und Außerbetriebsetzen nicht verwalteter Konten, Dienst-, Computer- und App-Identitäten. PR.PS-01 (Konfigurationsverwaltungsmethoden werden eingerichtet und angewendet) Sichere Plattformen und Dienste auf einer modernen Grundlage. |
|
2. Sichern Sie alle Mandanten und deren Ressourcen Schützen Sie Microsoft, erworbene und von Mitarbeitern erstellte Mandanten, Commerce-Konten und Mandantenressourcen gemäß den Grundlagen der bewährten Methoden der Sicherheit. |
Explizit überprüfen: Authentifizieren aller Mandanten-zu-Mandanten-Interaktionen. Verwenden Sie die minimalsten Berechtigungen: Richtlinien und Segmentierungen begrenzen die Berechtigungen in Umgebungen. Gehen Sie von Sicherheitsverletzungen aus: Mandantengrenzen sind auf potenzielle Kompromittierungen ausgelegt und sollen laterale Bewegungen einschränken. |
ID.AM-02 (Softwareplattformen und -anwendungen innerhalb der Organisation sind inventarisiert). Zum Sichern von Mandanten ist ein vollständiger Bestand an Mandanten, Verzeichnissen, Apps, Dienstprinzipalen und Plattformressourcen erforderlich. PR. IR-01 (Prozesse werden eingerichtet, um die Reaktion auf Vorfälle vorzubereiten und potenzielle Auswirkungen zu verringern). Die Sicherung von Mandanten und Ressourcen erzwingt eine Isolation auf Mandantenebene, Basislinien, Segmentierung und Integritätsprüfungen, um das Schadensausmaß zu reduzieren und Vorfälle einzudämmen. PR. AA-05 (Berechtigungen und Autorisierungen werden verwaltet, erzwungen und regelmäßig überprüft). Die Absicherung von Mandanten erfordert eine konsistente Autorisierung und Validierung. PR.PS-01 ((Konfigurationsverwaltungspraktiken werden eingerichtet und angewendet) Sichere Plattformen und Dienste auf einer modernen Grundlage. |
|
3. Höhere Sicherheit für Entra ID-Apps Verwalten Sie Microsoft Entra-ID-Anwendungen mit einer hohen und konsistenten Sicherheitsleiste. |
Explizit überprüfen: Erzwingen der starken Authentifizierung und App-Überprüfung. Verwenden Sie die geringsten Berechtigungen: App-Berechtigungen, die auf minimale erforderliche Rechte beschränkt sind. Gehen Sie von Sicherheitsverletzungen aus: App-Zugriff, der mit Eindämmung und Überwachung entworfen wurde. |
ID.AM-08 (Verwalten Sie einen Bestand an Konten , einschließlich Dienstprinzipale, Anwendungen und Identitäten), und stellen Sie sicher, dass sie gemäß der Richtlinie verwaltet werden.< Br/> PR. AA-01 (Zugriffssteuerungsrichtlinie. Verwalten sie den App-Zugriff konsistent). PR. AA-05 (Autorisierung wird erzwungen und geregelt. Erzwingen von App-Authentifizierungssteuerelementen). PR. IR-01 (Bereiten Sie sich auf eine effektive Reaktion auf Vorfälle vor, indem Sie Prozesse, Kontrollen und Konfigurationen einrichten, die Auswirkungen begrenzen und schnelle Eindämmung unterstützen). |
|
4. Beseitigen Sie laterale Identitätsbewegungen Beseitigen Sie laterale Identitätsbewegungen zwischen Mandanten, Umgebungen und Cloud-Plattformen. |
Überprüfen Sie explizit: Validieren Sie jedes Token und jeden Vertrauensgrenzenübergang. Verwenden Sie die geringsten Berechtigungen: Beschränken Sie die Wiederverwendung von Identitäten und die Eskalation von Berechtigungen über Mandanten hinweg. Gehen Sie von Sicherheitsverletzungen aus: Designgrenzen, um Identitätsmissbrauch einzudämten. |
PR.AA-04 (Access ist durch Segmentierung und Minimalprinzipien eingeschränkt). Verhindern von nicht autorisierten lateralen Bewegungen durch Erzwingen von Segmentierung, Grenzkontrollen und beschränktem Zugriff. PR. IR-01 (Prozesse werden eingerichtet, um die Reaktion auf Vorfälle vorzubereiten und potenzielle Auswirkungen zu verringern). Bereiten Sie sich auf eine effektive Reaktion auf Vorfälle vor, indem Sie Kontrollen implementieren, die den Strahlradius reduzieren, die Angreiferbewegung einschränken und eine schnelle Eindämmung unterstützen, bevor ein Vorfall auftritt. DE. CM-01 (Systeme und Ressourcen werden überwacht, um anomale Aktivitäten zu erkennen). Überwachen Sie kontinuierlich Identitäts-, Zugriffs- und Systemaktivitäten, um anomales Verhalten, Richtlinienverletzungen und Indikatoren für laterale Bewegungen zu erkennen. |
|
5. Kontinuierliche Erzwingung der geringsten Rechte Sicherstellen der kontinuierlichen Erzwingung des Zugriffs mit minimalen Berechtigungen für Apps und Benutzer. |
Explizit überprüfen: Richtlinien stellen sicher, dass bei jedem Zugriff die geringsten Berechtigungsentscheidungen überprüft werden. Verwenden Sie die geringsten Berechtigungen: Kernergebnis dieses Ziels – erzwingen Sie nur die erforderlichen Berechtigungen. |
PR. AA-05 (Berechtigungen und Autorisierungen werden verwaltet, erzwungen und regelmäßig überprüft). Zugriffsberechtigungen und -autorisierungen müssen kontinuierlich verwaltet und erzwungen und regelmäßig überprüft werden. |
|
6. Sichere Geräte, die für den Zugriff verwendet werden Übernehmen Sie eine differenzierte Partitionierung von Identitätssignaturschlüsseln und Plattformschlüsseln. Stellen Sie sicher, dass nur sicheren, verwalteten und fehlerfreien Geräten Zugriff auf Microsoft-Mandanten gewährt werden. |
Explizit überprüfen: Jede Geräteidentität wird überprüft und kontinuierlich bewertet. Prinzip der minimalen Rechte: Die Gerätestatus-Kontrolle stellt einen Zugriff mit minimalem Risiko sicher. |
ID.AM-01 (Physische Geräte und Systeme innerhalb der Organisation werden inventarisiert). Zum Sichern von Geräten ist ein vollständiger Bestand aller Geräte erforderlich, die Zugriff auf Mandanten haben dürfen. ID.AM-02 (Softwareplattformen und -anwendungen innerhalb der Organisation sind inventarisiert). Gerätesicherheitsprüfungen hängen vom Nachverfolgen von Betriebssystemversionen, Konfiguration, Verwaltungsstatus und Compliancestatus von Geräten ab. PR. AA-01 (Identitäten werden entsprechend dem Risiko authentifiziert). Die Authentifizierung umfasst das Gerätevertrauen. Nur sichere, kompatible Geräte sind zulässig. PR.AA-06 (Access entspricht den Prinzipien des minimalen Zugriffsrechts). Access wird mithilfe von Attributen wie Rollen, Zuständen, Prozessen autorisiert und an den geringsten Berechtigungen ausgerichtet. |
Nächste Schritte
- Überprüfen Sie die neuesten Fortschritte bei den Pfeilerzielen in What's New.
- Erfahren Sie mehr über die Einführung bewährter Microsoft-SFI-Methoden.