Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Iniciativa SFI (Secure Future Initiative) od Microsoftu se spustila jako multiyearská snaha o další zabezpečení způsobu, jakým Společnost Microsoft navrhuje, vytváří, testuje a provozuje svou infrastrukturu, produkty a služby.
Tento článek ukazuje, jak může vaše organizace zvážit a přijmout některé z těchto osvědčených postupů SFI.
Poznámka:
- Neustále pracujeme na obsahu, který podrobně popisuje jednotlivé vzory osvědčených postupů v rámci pilířů. Odkazy na tyto osvědčené postupy jsou zahrnuté tam, kde jsou k dispozici, a plánujeme publikovat více v průběhu času.
- Než začnete, získejte přehled O SFI.
Ochrana identit a tajných kódů
Iniciativy v rámci tohoto pilíře se zaměřují na snížení rizika neoprávněného přístupu implementací a vynucováním standardů pro řízení ověřování a autorizace uživatelů a aplikací a posílení infrastruktury identit a tajných kódů. Práce iniciativy Microsoft SFI se zaměřuje na:
- Bezheslové, proti phishingové vícefaktorové ověřování (MFA) (FIDO2 přihlašovací údaje, ověřování na základě certifikátů) pro všechny uživatele.
- Ukončení podpory hesel, jednorázových hesel přes SMS atd.
- Nahrazení statických přihlašovacích údajů spravovanými identitami a Microsoft Entra Workload ID.
- Úložiště tajných kódů ve službě Azure Key Vault, ochrana klíčů pomocí spravovaného modulu hardwarového zabezpečení (HSM) s řízením přístupu na základě role (RBAC), izolací sítě a protokoly přístupu.
- Automatizované obměně klíčů a podepisování tokenů založených na HSM
- Přijetí standardních sad SDK s podporovanými knihovnami identit (MSAL, Microsoft.Identity.Web) a zabránění vlastnímu ověření webového tokenu Json (JWT).
- Pravidelná kontrola kanálů pro zpracování kódu a úložišť pro úniky citlivých informací.
Přijetí osvědčených postupů
Klíčové osvědčené postupy přijetí pro ochranu identit a tajných kódů jsou shrnuté v následující tabulce.
| Osvědčené postupy | Nulový vztah důvěryhodnosti | Aspekty přijetí | Podrobné pokyny |
|---|---|---|---|
| Implementujte a vynucujte vícefaktorové ověřování odolné proti útokům phishing napříč privilegovanými účty a správci. Zrušit zastaralé metody vícefaktorového ověřování, které nejsou odolné proti phishingu ani dostatečně zabezpečené. Eliminujte statické přihlašovací údaje a povolte dynamické krátkodobé tokeny pro úlohy. Centralizace přihlašovacích údajů v centralizovaných monitorovaných trezorech Automatizujte obměnu tajných kódů a životní cyklus podpisového klíče. Používejte standardizované sady SDK s podporou Microsoftu, vyhněte se vlastní identifikaci JwT. Průběžně kontrolujte, detekujte a opravujte ohrožení zabezpečení přihlašovacích údajů. |
Ověřte explicitně: Průběžné adaptivní ověřování na základě rizika a kontextu. Používejte nejnižší potřebná oprávnění: Používejte řízení přístupu zrovna včas nebo právě dostatečné. Předpokládejme porušení zabezpečení: Zneužití přihlašovacích údajů aktivuje automatické odvolání a kontroly přístupu. |
Může vyžadovat modernizaci starších aplikací pro podporu spravovaných identit. Pro některé metody vícefaktorového ověřování se vyžaduje povolení uživatele a hardware. Provozní náklady pro zásady auditování a rotace. |
Přijměte vícefaktorové ověřování odolné proti útokům phishing. Použijte standardní sady SDK pro identitu. |
Ochrana tenantů a izolace systémů
Iniciativy v rámci tohoto pilíře mají za cíl nezávisle zabezpečit a izolovat tenanty a prostředí, aby se eliminovala implicitní důvěryhodnost a snížila poloměr výbuchu. Iniciativa Microsoft SFI se zaměřuje na:
- Silná izolace nájemníků a řízení konfigurace napříč produkčními nájemníky.
- Omezení přístupu mezi tenanty a privilegovaného delegování
- Implementace pracovních stanic s privilegovaným přístupem (PAWs) a izolovaných nástrojů pro správu
- Použití standardních hodnot tenantů a izolace prostředků
- Segmentace řídících a zákaznických datových cest bez implicitního důvěryhodného vztahu mezi vývojovými, zákaznickými a provozními tenanty.
Přijetí osvědčených postupů
Klíčové osvědčené postupy přijetí pro ochranu identit a tajných kódů jsou shrnuté v následující tabulce.
| Osvědčené postupy | Nulový vztah důvěryhodnosti | Aspekty přijetí | Podrobné pokyny |
|---|---|---|---|
| Vytvořte izolovaná prostředí pro produkční, testovací a partnerské tenanty. Omezte nebo eliminujte role mezi tenanty a vynucujte podmíněný přístup. Vyžadovat posílení zabezpečení zařízení pro správu. Definujte a vynucujte standardní hodnoty tenantů a izolaci prostředků pomocí konzistentních zásad a ovládacích prvků. Vynucujte striktní oddělení cesty k datům napříč prostředími. |
Ověřte explicitně: Důvěra mezi různými tenanty a prostředími je vždy znovu potvrzena a zaznamenána. Používejte nejnižší oprávnění: Hranice přístupu definované pro jednotlivé tenanty, úlohy a roli správce. Předpokládejme porušení zabezpečení: Izolace tenanta použitá jako pevná hranice, aby se zabránilo laterálnímu pohybu. |
Vyžaduje dobrý inventář tenanta a centralizované zásady správného řízení. Víceklientské organizace mohou potřebovat strategie federovaných identit nebo zásady přístupu mezi nájemníky. Počáteční zvýšení složitosti správce při konfiguraci pravidel PIM a podmíněného přístupu |
Eliminace laterálního přesunu identity Odebrání starších systémů Zvýšení zabezpečení pro aplikace Microsoft Entra ID Zabezpečte všechny tenanty a prostředky. |
Ochrana sítí
Iniciativy v rámci tohoto pilíře mají za cíl omezit laterální pohyby a vynutit explicitní ověření pro všechna připojení prostřednictvím segmentace sítě. Iniciativa Microsoft SFI se zaměřuje na:
- Segmentace sítě a izolace mezi produkčním, technickým a podnikovým prostředím.
- Přístup založený na identitě vrstvený nad segmentací sítě.
- Privátní přístup pro rozhraní pro správu.
- Průběžné hodnocení přístupu (CAE) pro síťové relace
- Mezi síťovými prostředky není implicitní vztah důvěryhodnosti.
- Použití bran firewall s podporou analýzy hrozeb na úrovni sítě, přísného řízení výchozího přenosu dat a protokolování telemetrie.
Přijetí osvědčených postupů
Klíčové osvědčené postupy přijetí pro ochranu identit a tajných kódů jsou shrnuté v následující tabulce.
| Osvědčené postupy | Nulový vztah důvěryhodnosti | Aspekty přijetí | Podrobné pokyny |
|---|---|---|---|
| Implementace makro a mikrosegmentace napříč sítěmi a podsítěmi, oddělování produkčního, administračního a PaaS služeb. Omezte přístup správce přes Private Link, Azure Bastion a časově omezený přístup správce. Implementujte ověření relace svázané se stavem identity. Místo sítí VPN používejte protokol SASE (Secure Access Service Edge) a přístup k síti nulové důvěryhodnosti (ZTNA). Povolte a vylaďte Microsoft Defender pro telemetrii sítě. |
Ověřte explicitně: Každé připojení je ověřené, autorizované a šifrované. Používejte nejnižší oprávnění: Přístup udělen pouze požadovaným službám nebo segmentům. Předpokládejme porušení zabezpečení: Segmentace sítě a monitorování detekují a obsahují laterální pohyb. |
Hluboké porozumění stávajícím tokům provozu; segmentace může narušit starší integrace. Přeškolení uživatelů zvyklých na přístup přes VPN v rámci zavádění ZTNA Další náklady a režijní náklady na úložiště telemetrie sítě v SYSTÉMU SIEM |
Izolovat sítě |
Ochrana technických systémů
Iniciativy v rámci tohoto pilíře se zaměřují na zabezpečení celého procesu softwarového inženýrství a doručování. Iniciativa Microsoft SFI se zaměřuje na:
- Izolace prostředí sestavení od internetu a produkčního prostředí
- Podepisování kódu pomocí důvěryhodných kanálů
- Přijetí principu dvou osob pro citlivé operace.
- Sledování SBOM (Software Bill of Materials)
- Prohledávání pipeline pro zjištění úniku přihlašovacích údajů nebo škodlivého kódu.
- Standardizace sad SDK, nástrojů pro zabezpečení vývojářů a ověřování závislostí
Přijetí osvědčených postupů
Klíčové osvědčené postupy přijetí pro ochranu identit a tajných kódů jsou shrnuté v následující tabulce.
| Osvědčené postupy | Nulový vztah důvěryhodnosti | Aspekty přijetí | Podrobné pokyny |
|---|---|---|---|
| Spusťte sestavení v zabezpečených izolovaných prostředích. Vyžadovat ověřený původ sestavení a podepsané výsledné soubory. Vyžadovat schválení kódu nebo schválení verze od několika důvěryhodných schvalovatelů. Udržujte sledování a inventáře všech softwarových komponent (SBOM) pro všechna sestavení. Integrujte kontrolu tajných kódů a nástroje SAST/DAST do kanálů CI/CD pro kontrolu kódu. Vynucujte důvěryhodné zdroje balíčků a podepsané závislosti. |
Explicitně ověřte: Ověřte všechna potvrzení kódu, akce sestavení a verze. Používejte nejnižší oprávnění: Vývojáři, kanály a instanční objekty mají přístup jenom k tomu, co potřebují. Předpokládejme porušení zabezpečení: Zachází se systémy sestavení a úložiště jako s potenciálními cíli. Izolujte je a monitorujte. |
Vysoký objem počátečního úsilí na modernizaci datových kanálů a sledování závislostí. Zpracovávání starších nástrojů sestavení, které nemusí podporovat podepisování nebo formáty SBOM. Přidali jsme složitost sestavení pro podepisování artefaktů, která výrazně zlepšuje sledovatelnost. |
Standardizace zabezpečených vývojových kanálů Použití principů nulové důvěryhodnosti pro přístup ke zdrojovému kódu Chraňte softwarový dodavatelský řetězec. |
Monitorování a zjišťování kybernetických útoků
Iniciativy v rámci tohoto pilíře se zaměřují na sjednocení telemetrie napříč identitou, koncovým bodem, sítí a technickými systémy pro proaktivní, kontextovou detekci hrozeb a rychlou, efektivní šetření a reakci. Iniciativa Microsoft SFI se zaměřuje na:
- Jednotný příjem telemetrických dat z identit, koncových bodů, sítí a technických systémů
- Vývoj modelů korelací hrozeb a detekce řízené AI
- Sdílená pravidla detekce napříč tenanty
- Centralizované řídicí panely pro rychlé třídění.
- Integrace analýzy hrozeb z MSTIC a globálních zdrojů
Přijetí osvědčených postupů
Klíčové osvědčené postupy přijetí pro ochranu identit a tajných kódů jsou shrnuté v následující tabulce.
| Osvědčené postupy | Nulový vztah důvěryhodnosti | Aspekty přijetí | Podrobné pokyny |
|---|---|---|---|
| Centralizujte protokoly (identita, Key Vault, síť, koncové body atd.) do Microsoft Sentinelu nebo jiného SIEM řešení. Použití analýzy a detekce hrozeb založených na ML pro neobvyklé chování Standardizace šablon detekce a automatizace Konsolidace viditelnosti napříč aktivy a incidenty Použijte informační kanály hrozeb k obohacení detekce a upozorňování |
Explicitně ověřte: Neustálé ověřování chování a stavu vůči základním úrovním. Používejte nejnižší oprávnění: Detekce informují adaptivní zásady, které omezují přístup automaticky. Předpokládejme porušení zabezpečení: Předpokládejme, že útočníci už mají přístup, a rychle detekujte pohyb útoku. |
Průběžné ladění, abyste se vyhnuli únavě z častých upozornění. Náklady na licencování a objem zpracovaných dat pro Sentinel/SIEM Průběžné zpřesňování a trénování analytiků pro logiku detekce |
Inventarizační produkční infrastruktura Nastavení standardů uchovávání protokolů zabezpečení Detekce a reakce na anomálie Centralizace přístupu k protokolům zabezpečení |
Zrychlení odezvy a nápravy
Iniciativy v rámci tohoto pilíře se zaměřují na minimalizaci doby trvání a dopadu incidentů zabezpečení prostřednictvím automatizace, orchestrace a systémového učení. Iniciativa Microsoft SFI se zaměřuje na:
- Rychlá koordinovaná reakce na incidenty a opravy s automatizací běžných zmírnění rizik.
- Systematické poučení po incidentech a "zabezpečení jako výchozí nastavení" změny integrované do produktů a služeb.
- Smyčky průběžného zlepšování a plány reakce na incidenty pro více týmů
Přijetí osvědčených postupů
Klíčové osvědčené postupy přijetí pro ochranu identit a tajných kódů jsou shrnuté v následující tabulce.
| Klíčové postupy | Nulový vztah důvěryhodnosti | Aspekty přijetí | Podrobné pokyny |
|---|---|---|---|
| Vyvíjejte a testujte playbooky reakce na incidenty pro běžné typy útoků. Automatizujte pracovní postupy odvolání tokenů, obměny klíčů a zakázání účtu. Spojte procesy správy ohrožení zabezpečení s obchodním rizikem a expozicí. Osvojte si smyčky učení po incidentu a integrujte lekce do směrných plánů zásad a kódu. Navrhnout komunikační plány (právní, PR, technické atd.) pro významná narušení. Provádějte pravidelná simulační cvičení s vedením a technickými týmy. |
Explicitně ověřte: Po události zabezpečení nepřetržitě znovu vyhodnocujte a v případě potřeby odvolávejte důvěru. Používejte nejnižší oprávnění: Automatizujte omezení nebo odebrání přístupu. Předpokládejme porušení zabezpečení: Zacházejte s každým incidentem jako s katalyzátorem architektonického a procedurálního posílení zabezpečení. |
Disciplína koordinace je potřebná mezi centrem pro provoz zabezpečení (SOC), technickým oddělením a vedením. Automatizace nápravných akcí musí vyrovnávat rychlost a riziko přerušení. Stolní cvičení mohou odhalit procedurální mezery, ale přinášejí výrazné zvýšení zralosti díky času a učení. |
Urychlete zmírnění ohrožení zabezpečení. |
Další kroky
Podívejte se, co je nového ve SFI.