Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsofts Secure Future Initiative (SFI) startades som ett flerårigt försök att ytterligare skydda hur Microsoft utformar, bygger, testar och driver sin infrastruktur, sina produkter och tjänster.
Den här artikeln visar hur din organisation kan överväga och anta några av dessa SFI-metodtips.
Anmärkning
- Vi arbetar kontinuerligt med innehåll som beskriver varje bästa praxis-mönster inom de olika pelarna. Länkar till dessa metodtips ingår där de är tillgängliga och vi planerar att publicera mer över tid.
- Innan du börjar får du en översikt över SFI.
Skydda identiteter och hemligheter
Initiativ inom den här pelaren syftar till att minska risken för obehörig åtkomst genom att implementera och framtvinga standarder för att kontrollera användar-/appautentisering och auktorisering samt att stärka infrastrukturen för identiteter och hemligheter. Microsoft SFI-initiativet fokuserar på:
- Lösenordsfri, nätfiskeresistent multifaktorautentisering (MFA) (FIDO2-nyckel, certifikatbaserad autentisering) för alla användare.
- Utfasning av lösenord, SMS OTP osv.
- Ersättning av statiska autentiseringsuppgifter med hanterade identiteter och Microsoft Entra-arbetsbelastnings-ID.
- Lagring av hemligheter i Azure Key Vault, nyckelskydd med hanterad maskinvarusäkerhetsmodul (HSM) med rollbaserad åtkomstkontroll (RBAC), nätverksisolering och åtkomstloggar.
- Automatiserad nyckelrotation och HSM-backad tokensignering.
- Införande av standard-SDK:er med identitetsbibliotek som stöds (MSAL, Microsoft.Identity.Web) och undvika anpassad Json Web Token-validering (JWT).
- Regelbunden genomsökning av kodflöden och kodförråd för att upptäcka läckta hemligheter.
Anta metodtips
Bästa praxis för att implementera identitets- och sekretesskydd sammanfattas i följande tabell.
| Bästa praxis | Noll förtroende | Implementeringsöverväganden | Detaljerad vägledning |
|---|---|---|---|
| Implementera och framtvinga nätfiskeresistent MFA för privilegierade konton och administratörer. Avveckla äldre MFA-metoder som inte är nätfiskeresistenta eller tillräckligt säkra. Eliminera statiska autentiseringsuppgifter och möjliggöra dynamiska kortlivade token för arbetsflöden. Centralisera autentiseringsuppgifter i centraliserade, övervakade valv. Automatisera hemlighetsrotation och signeringsnyckels livscykel. Använd standardiserade SDK:er som stöds av Microsoft och undvik anpassad JwT-identifiering. Genomsök, identifiera och åtgärda säkerhetsrisker för autentiseringsuppgifter kontinuerligt. |
Verifiera explicit: Kontinuerlig, anpassningsbar autentisering baserat på risk och kontext. Använd minst behörighet: Använd Just-In-Time/Just-Enough Access-kontroller. Anta intrång: Missbruk av autentiseringsuppgifter utlöser automatisk återkallelse och åtkomstgranskningar. |
Kan kräva modernisering av äldre program för att stödja hanterade identiteter. Användaraktivering och maskinvara krävs för vissa MFA-metoder. Driftkostnader för gransknings- och rotationsprinciper. |
Anta nätfiskeresistent MFA. Anta standard-SDK:er för identitet. |
Skydda hyrtagare och isolera system
Initiativ under den här pelaren syftar till att oberoende skydda och isolera klienter och miljöer för att eliminera implicit förtroende och minska explosionsradien. Microsoft SFI-initiativet fokuserar på:
- Stark klientisolering och konfigurationsstyrning mellan produktionsklienter.
- Begränsning av åtkomst över klientgränser och privilegierad delegering.
- Implementering av privilegierade arbetsstationer (PAW) och isolerade administratörsverktyg.
- Tillämpning av klientbaslinjer och resursisolering.
- Segmentering av hanterings- och kunddatasökvägar, utan implicit förtroende mellan tekniska, kund- och driftsklientorganisationer.
Anta metodtips
Bästa praxis för att implementera identitets- och sekretesskydd sammanfattas i följande tabell.
| Bästa praxis | Noll förtroende | Implementeringsöverväganden | Detaljerad vägledning |
|---|---|---|---|
| Skapa isolerade miljöer för produktions-, test- och partnerklienter. Begränsa eller eliminera roller mellan klienter och framtvinga villkorlig åtkomst. Kräv härdningsenheter för administration. Definiera och framtvinga klientbaslinjer och resursisolering med hjälp av konsekventa principer och kontroller. Framtvinga strikt datasökvägsseparation mellan miljöer. |
Verifiera explicit: Förtroende mellan klientorganisationer och mellan miljöer autentiseras och loggas alltid igen. Använd minst behörighet: Åtkomstgränser som definieras per klientorganisation, arbetsbelastning och administratörsroll. Anta intrång: Klientisolering används som en hård gräns för att förhindra lateral förflyttning. |
Kräver bra innehavarinventering och centraliserad styrning. Organisationer med flera klienter kan behöva federerade identitetsstrategier eller åtkomstprinciper mellan klientorganisationer. Inledande ökning av administratörskomplexitet för att konfigurera PIM- och regler för villkorsstyrd åtkomst. |
Eliminera identitetens laterala förflyttning Ta bort äldre system Öka säkerheten för Microsoft Entra-ID-appar Skydda alla klienter och resurser. |
Skydda nätverk
Initiativ inom ramen för den här pelaren syftar till att begränsa laterala rörelser och framtvinga explicit validering för all anslutning via nätverkssegmentering. Microsoft SFI-initiativet fokuserar på:
- Nätverkssegmentering och isolering mellan produktions-, teknik- och företagsmiljöer.
- Identitetsbaserad åtkomst ovanpå nätverkssegmentering.
- Privat åtkomst för hanteringsgränssnitt.
- Utvärdering av kontinuerlig åtkomst (CAE) för nätverkssessioner.
- Inget implicit förtroende för nätverksresurser.
- Användning av hotinformationsaktiverade brandväggar på nätverksnivå, strikt utgående kontroll och telemetriloggning.
Anta metodtips
Bästa praxis för att implementera identitets- och sekretesskydd sammanfattas i följande tabell.
| Bästa praxis | Noll förtroende | Implementeringsöverväganden | Detaljerad vägledning |
|---|---|---|---|
| Implementera makro- och mikrosegmentering mellan nätverk och undernät, separera gränser för produktion, administratör och PaaS-tjänst. Begränsa administratörsåtkomst via Private Link, Azure Bastion och just-in-time-administratörsåtkomst. Implementera sessionsverifiering som är kopplad till identitetstillstånd. Använd Secure Access Service Edge (SASE) och Noll förtroende nätverksåtkomst (ZTNA) i stället för VPN. Aktivera och finjustera Microsoft Defender för nätverkstelemetri. |
Verifiera explicit: Varje anslutning autentiseras, auktoriseras och krypteras. Använd minst behörighet: Åtkomst beviljas endast för nödvändiga tjänster eller segment. Anta intrång: Nätverkssegmentering och övervakning identifierar och begränsar lateral förflyttning. |
Djup förståelse för befintliga trafikflöden; segmentering kan störa äldre integreringar. Omskolning av användare som är vana vid VPN-baserad åtkomst på ZTNA-distribuering. Extra kostnad och lagringskostnader för nätverkstelemetri i SIEM. |
Isolera nätverk. |
Skydda tekniska system
Initiativ inom ramen för denna pelare syftar till att säkra hela programvarutekniken och leveransprocessen. Microsoft SFI-initiativet fokuserar på:
- Isolering av byggmiljöer från Internet och produktion.
- Kodsignering med hjälp av betrodda pipelines.
- Införande av tvåpersonsintegritet för känsliga åtgärder.
- Spårning av mjukvarans komponentförteckning (SBOM)
- Pipelinegenomsökning efter läckta autentiseringsuppgifter eller skadlig kod.
- Standardisering av SDK:er, utvecklarsäkerhetsverktyg och beroendeverifiering.
Anta metodtips
Bästa praxis för att implementera identitets- och sekretesskydd sammanfattas i följande tabell.
| Bästa praxis | Noll förtroende | Implementeringsöverväganden | Detaljerad vägledning |
|---|---|---|---|
| Kör byggen i säkra isolerade miljöer. Kräv verifierad byggproveniens och signerade artefakter. Kräv kod- eller versionsgodkännande från flera betrodda godkännare. Underhåll inventeringar av programvarukomponenter/SBOM-spårning för alla versioner. Integrera skanning av hemligheter och SAST/DAST-verktyg i CI/CD-pipelines för kodskanning. Framtvinga betrodda paketkällor och signerade beroenden. |
Verifiera uttryckligen: Autentisera alla kodincheckningar, byggåtgärder och versioner. Använd minst behörighet: Utvecklare, pipelines och serviceprincipaler får bara åtkomst till det de behöver. Anta intrång: Behandla bygg- och reposystem som potentiella mål. Isolera och övervaka dem. |
Stor mängd arbete på förhand för att modernisera pipelines och spåra beroenden. Hantera äldre byggverktyg som kanske inte stöder signering eller SBOM-format. Komplexitet vid byggtid har lagts till för artefaktsignering, vilket avsevärt förbättrar spårningsbarheten. |
Standardisera säkra utvecklingspipelines Tillämpa Noll förtroendeprinciper för källkodsåtkomst Skydda programvaruförsörjningskedjan. |
Övervaka och identifiera cyberhot
Initiativ inom den här pelaren syftar till att förena telemetri mellan identitets-, slutpunkts-, nätverks- och tekniksystem för proaktiv, kontextualiserad hotidentifiering och snabb, effektiv undersökning och respons. Microsoft SFI-initiativet fokuserar på:
- Enhetlig telemetriinmatning från identitets-, slutpunkts-, nätverks- och tekniksystem.
- Utveckling av hotkorrelationsmodeller och AI-driven identifiering.
- Regler för gemensam detektion mellan hyresgäster.
- Centraliserade instrumentpaneler för snabb sortering.
- Hotinformationsintegrering från MSTIC och globala källor.
Anta metodtips
Bästa praxis för att implementera identitets- och sekretesskydd sammanfattas i följande tabell.
| Bästa praxis | Noll förtroende | Implementeringsöverväganden | Detaljerad vägledning |
|---|---|---|---|
| Centralisera loggar (identitet, Nyckelvalv, nätverk, slutpunkt osv.) till Microsoft Sentinel eller någon annan SIEM-lösning (säkerhetsinformation och händelsehantering). Använda analys och ML-baserad hotidentifiering för onormalt beteende Standardisera identifieringsmallar och automatisering Konsolidera synligheten för tillgångar och incidenter Använd hotflöden för att berika detektering och larm |
Verifiera explicit: Kontinuerlig validering av beteende och tillstånd mot normala baslinjer. Använd minsta behörighet: Identifieringar informerar anpassningsbara principer som begränsar åtkomsten automatiskt. Anta intrång: Anta att angripare redan har åtkomst och snabbt identifiera attackrörelser. |
Kontinuerlig justering för att undvika varningströtthet. Kostnader för licensiering och inmatningsvolym för Sentinel/SIEM. Kontinuerlig förfining och analytikerutbildning för identifieringslogik. |
Lagerproduktionsinfrastruktur Ange kvarhållningsstandarder för säkerhetsloggar Identifiera och svara på avvikelser Centralisera åtkomsten till säkerhetsloggar. |
Påskynda svar och reparation
Initiativ inom den här pelaren syftar till att minimera varaktigheten och effekten av säkerhetsincidenter genom automatisering, orkestrering och systeminlärning. Microsoft SFI-initiativet fokuserar på:
- Snabb samordnad incidenthantering och korrigering, med automatisering av vanliga åtgärder.
- Systematiskt lärande efter incidenter och 'säker som standard'-ändringar integrerade i produkter och tjänster.
- Kontinuerliga förbättringsloopar och spelböcker för incidenthantering mellan team.
Anta metodtips
Bästa praxis för att implementera identitets- och sekretesskydd sammanfattas i följande tabell.
| Viktiga metoder | Noll förtroende | Implementeringsöverväganden | Detaljerad vägledning |
|---|---|---|---|
| Utveckla och testa spelböcker för incidenthantering för vanliga attacktyper. Automatisera arbetsflöden för tokenåterkallning, nyckelrotation och kontoaktivering. Koppla sårbarhetshanteringsprocesser till affärsrisker och exponering. Anta inlärningsslingor efter incident och integrera lektioner i princip- och kodbaslinjer. Designa kommunikationsplaner (juridiska, PR, tekniska osv.) för betydande överträdelser. Kör regelbundna bordsövningar med ledningsgruppen och de tekniska teamen. |
Verifiera explicit: Kontinuerligt utvärdera och återkalla förtroende efter behov efter en säkerhetshändelse. Använd lägsta möjliga behörighet: Automatisera inneslutning genom att snabbt begränsa eller ta bort åtkomst. Anta intrång: Behandla varje incident som en katalysator för arkitektur- och procedurhärdning. |
Disciplinerad samordning krävs mellan säkerhetsoperationscentret (SOC), teknik och ledarskap. Automatisering av reparationsåtgärder måste balansera hastighet och risk för avbrott. Bordssimuleringar kan leda till tid och lärande och avslöja procedurmässiga luckor, men ger stora mognadsvinster. |
Påskynda sårbarhetsreducering. |
Nästa steg
Granska vad som är nytt i SFI.