Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Iniciativa SFI (Secure Future Initiative) byla zahájena v listopadu 2023 jako multiyearní úsilí o větší zabezpečení způsobu, jakým Microsoft navrhuje, vytváří, testuje a provozuje své produkty a služby.
V prvním roce nebo tak po startu jsme se přesunuli na zabezpečení jako kritickou prioritu v rámci Microsoftu. Zaměřili jsme se na školení interního zabezpečení a vyhrazené rozsáhlé technické prostředky pro zlepšení zabezpečení a zmírnění rizika v celé společnosti.
V průběhu času se úsilí SFI neustále vyvíjí jako iniciativa napříč společnostmi ve strukturovaných vlnách, která udržuje krok s posuny v oblasti hrozeb. Průběžný vývoj informuje inovace zabezpečení, vývoj a osvědčené postupy v rámci Microsoftu. Poskytuje nám také průběžné příležitosti k práci se zákazníky a širším bezpečnostním odvětvím na posílení kolektivní obrany.
Zprávy o průběhu SFI
Vytváříme pravidelné zprávy o aktualizacích a pokroku iniciativ SFI. Sestavy zahrnují nové možnosti zabezpečení, novinky z technických pilířů, mapování na architekturu kybernetické bezpečnosti NIST a pokyny k implementaci v souladu s principy nulové důvěry (Zero Trust).
Získejte souhrn nejnovějších aktualizací a průběžného vývoje v sekci Co je nového ve SFI?
Přečtěte si nejnovější blog SFI a podívejte se na nejnovější zprávu SFI z listopadu 2025.
Zobrazit dřívější zprávy
Architektura SFI
Návrh architektury SFI se zaměřuje na sadu principů zabezpečení, které se přijímají a integrují do kultury a zásad správného řízení Microsoftu. Tyto principy zabezpečení se použijí na sadu oblastí zaměření (technických pilířů) prostřednictvím procesů, standardů a průběžných vylepšení.
Principy zabezpečení
SFI se zaměřuje na tyto principy.
Tyto principy používáme k těmto zásadám:
- Inovace: Vytvářejte funkce zabezpečení podle návrhu do platforem a služeb Microsoftu.
- Implementace: Zavedení inovací zabezpečení v produktech Microsoftu s novými funkcemi, zabezpečenými výchozími nastaveními a vynucenými standardy
- Příručka: Poskytněte zákazníkům pokyny a osvědčené postupy pro nasazení, provoz a průběžné vylepšování zabezpečení.
Pilíře SFI, nulová důvěra a NIST
Iniciativa SFI se zaměřuje na šest prioritizovaných technických pilířů. Několik cílů je sladěno s každým pilířem. Každý cíl představuje významné úsilí o zlepšení zabezpečení a snížení rizika pro Microsoft a naše zákazníky v konkrétní oblasti pilíře.
Pilíře a cíle jasně odpovídají zásadám nulové důvěry Microsoftu a kyberbezpečnostního rámce NIST (National Institute of Standards and Technology).
Mapování pilířů
Následující tabulka ukazuje mapování pilířů. Další podrobnosti o zkratkách funkcí NIST najdete v další části.
| Pilíř | Princip nulové důvěryhodnosti | NIST CSF – funkce |
|---|---|---|
|
1. Ochrana identit a tajných kódů Ujistěte se, že k prostředkům mají přístup jenom ověřené a autorizované identity. |
Explicitně ověřte: Vynucování nepřetržitého, kontextového ověřování bez hesla (Windows Hello, klíče FIDO2, certifikát atd.). Používejte nejnižší oprávnění: Omezte nadprivilegované identity a vynucujte řízení privilegovaných identit/jen v případě potřeby přístup. Předpokládejme porušení zabezpečení: Rychlé obměna přihlašovacích údajů a použití krátkodobých tokenů ke snížení poloměru výbuchu. |
PR: Implementujte ovládací prvky pro zabezpečení přihlašovacích údajů, tajných kódů a přístupu. DE: Nepřetržitě monitorujte činnosti identit na anomálie. |
|
2. Ochrana tenantů a izolace systémů Minimalizujte poloměr kompromitace tím, že zajistíte, aby tenanti, prostředí a systémy byly nezávisle izolované a zabezpečené, bez implicitní důvěry mezi nimi. |
Explicitně ověřte: Aplikujte autentizaci a autorizaci mezi tenanty s explicitním schválením a protokolováním. Používejte nejnižší oprávnění: Omezte přístup mezi prostředími jenom na schválené cesty. Předpokládejme porušení zabezpečení: Použijte izolaci tenanta jako hranice omezení. |
ID: Zjištění tenanta a produkčních prostředků PR: Použijte izolaci, segmentaci a silné hranice. DE: Vyhledejte porušení hranic izolace nebo laterální pohyb. |
|
3. Ochrana sítí Omezte laterální přesun a neoprávněný přístup prostřednictvím podrobné segmentace sítě a připojení s podporou identit. |
Explicitně ověřte: Přechod z implicitní důvěryhodnosti sítě na připojení ověřená pomocí zásad a ověření identity. Používejte nejnižší oprávnění: Vynucujte mikrosegmentaci a dostatečně omezený přístup pro úlohy a koncové body. Předpokládejme porušení zabezpečení: Zacházejte s každou zónou sítě jako s potenciálně nepřátelskou. Izolujte vysoce hodnotné prostředky a vynucujte přísnou kontrolu výstupu. |
ID: Inventář a pochopení síťových prostředků Žádost o přijetí změn: Použijte kontrolní mechanismy zabezpečení sítě (segmentace, šifrování atd.). |
|
4. Ochrana technických systémů Zabezpečte celý životní cyklus vývoje softwaru (SDLC) a životní cyklus doručení tím, že zajistíte, aby kód, systémy sestavení a kanály byly odolné proti manipulaci, auditovatelné a důvěryhodné. |
Explicitně ověřte: Autentizujte každou akci v SDLC - od potvrzení kódu po sestavení - s použitím trasovatelných podepsaných identit. Používejte nejmenší možné oprávnění: Omezte přístup pro vývojáře, agenta a pipeline na základě kontextu role a sestavení. Předpokládejme porušení zabezpečení: Oddělte systémy sestavení a vynucujte podepsané a reprodukovatelné buildy, aby se zabránilo manipulaci. |
ID: Vysvětlení systémů sestavení, testování a nasazení a závislostí PR: Zabezpečené softwarové kanály, vývojové nástroje a artefakty. GV: Použití technických zásad, standardů, bezpečného návrhu |
|
5. Monitorování a zjišťování hrozeb Díky sjednocení telemetrie a analýz můžete rychle zjišťovat, korelovat a určovat prioritu bezpečnostních hrozeb napříč systémy Microsoftu. |
Explicitně ověřte: Používejte telemetrické údaje, průběžné ověřování chování uživatelů, zařízení a úloh. Používejte nejnižší oprávnění: Vynucujte adaptivní řízení přístupu pomocí zásad detekce a dynamického podmíněného přístupu. Předpokládat porušení zabezpečení: Detekce anomálií a odchylek chování s předpokladem, že útočníci už můžou mít přístup k prostředkům. |
ID: Udržujte povědomí o všech monitorovaných systémech. PR: Zajistěte, aby ochranné mechanismy generovaly telemetrii. DE: Analyzujte protokoly a výstrahy na hrozby identity. RS: Zjištění pracovních postupů reakce triggeru |
|
6. Zrychlení reakce a nápravy Minimalizujte dopad a dobu trvání incidentů zabezpečení pomocí automatizace, koordinované reakce a průběžného učení. |
Explicitně ověřte: Po událostech detekce nepřetržitě znovu vyhodnocuje důvěryhodnost identit, zařízení a systémů. Používejte nejnižší oprávnění: Automatizace odvolání tokenu, obměně klíčů a odebrání přístupu během odpovědi. Předpokládat porušení zabezpečení: Nepřetržitě živit poznatky o incidentech do systémových vylepšení pro rychlé omezování a průběžné posílení zabezpečení. |
ID: Pochopit rozsah a prostředky pro odpověď Sledujte změny a revidujte základní hodnoty po incidentu. RC: Obnovení zabezpečených operací po incidentech Opravte ohrožení zabezpečení a zajistěte odolnost. RS: Zjištění pracovních postupů reakce triggeru GV: Využijte lekce v zásadách správného řízení a standardech. |
Funkce NIST
Následující tabulka shrnuje základní funkce a kategorie NIST převzaté z článku CSF 2.0 ke stažení.
| Function | Kategorie |
|---|---|
|
Řízení (GV) Stanovte zásady, postupy a kulturu pro řízení rizik kybernetické bezpečnosti a vyrovnejte je s celkovou obchodní strategií a výsledky ostatních funkcí NIST. |
Kontext organizace GV.OC strategie řízení rizik GV.RM GV.RR-Role, odpovědnosti a autority. GV.PO-Zásady GV. Dohled nad OV GV.SC-Řízení rizik v dodavatelském řetězci kybernetické bezpečnosti |
|
Identifikace (ID) Seznamte se s prostředky, systémy, daty a potenciálními hrozbami, abyste vytvořili silné organizační porozumění kybernetickým rizikům. |
správa prostředků ID.AM Posouzení rizik ID.RA zlepšení ID.IM |
|
Ochrana (PR) Implementujte záruky, jako jsou řízení přístupu, zabezpečení dat a trénování, aby se zajistilo doručení důležitých služeb. |
PR.AA-Správa identit, ověřování a řízení přístupu. Povědomí a školení PR.DS-Datová bezpečnost. zabezpečení platformy PR.PS PR.IR - Odolnost technologické infrastruktury |
|
Detekce (DE) Vyvíjejte a implementujte aktivity, jako je průběžné monitorování, abyste identifikovali výskyt událostí kybernetické bezpečnosti. |
DE.CM-Průběžné monitorování DE.AE - analýza nežádoucích událostí |
|
Odpověď (RS) Proveďte opatření týkající se zjištěného incidentu, včetně analýzy, omezování, eradikace a komunikace. |
RS.MA-Správa incidentů RS.AN-Incident Analysis RS.CO hlášení a komunikace při reakci na incidenty. RS.MI-Mitigation |
|
Obnovení (RC) Obnovení systémů a operací po incidentu, zdůraznění plánování, komunikace a vylepšení za účelem minimalizace přerušení. |
RC.RP - Spuštění plánu obnovy po incidentu RC.CO – Komunikace při zotavení z incidentů |
Další kroky
Projděte si podrobné cíle jednotlivých technických pilířů:
- Chraňte identity a tajné kódy.
- Chraňte tenanty a izolujte systémy.
- Chraňte sítě.
- Chraňte technické systémy.
- Monitorování a zjišťování hrozeb
- [Urychlete odpověď a nápravu(secure-future-initiative-response-overview.md).
Seznamte se s přijetím osvědčených postupů Microsoft SFI.