Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A iniciativa SFI (Secure Future Initiative) é uma iniciativa multianual da Microsoft para proteger cada vez mais a maneira como a Microsoft projeta, compila, testa e opera seus produtos e serviços. O SFI é baseado em:
- Um conjunto de princípios de segurança que impulsionam a maneira como inovamos no design de segurança, implementamos essas inovações em produtos da Microsoft como padrões e padrões seguros e fornecemos diretrizes de segurança internas e externas. Saiba mais.
- Um conjunto de pilares e objetivos de segurança priorizados. Saiba mais.
Este artigo resume o pilar SFI "Proteger locatários e isolar sistemas".
Antes de começar
- Saiba mais sobre os pilares do SFI.
- Examine e acompanhe o progresso mais recente sobre os objetivos dos pilares no artigo What's New da SFI.
- Saiba mais sobre princípios de Confiança Zero e categorias e funções CSF NIST.
- Obtenha uma lista de categorias NIST e acrônimos para ajudar na revisão da tabela neste artigo.
Pilar e objetivos
O objetivo do pilar "Proteger locatários e isolar sistemas" é conter o alcance potencial da ameaça, impedindo a movimentação lateral ou a elevação de privilégios. Ele garante que os limites de segurança no nível do locatário estejam configurados, protegidos e isolados corretamente.
Os objetivos da Microsoft e o mapeamento de Confiança Zero/NIST para esse pilar são resumidos na tabela a seguir.
| Objetivo | Confiança Zero | Mapeamento NIST |
|---|---|---|
|
1. Remover sistemas herdados que arriscam a segurança Mantenha a postura de segurança e a relação comercial dos locatários removendo todos os sistemas não utilizados, antigos ou herdados. |
Verifique explicitamente: todos os sistemas de identidade e recursos são autenticados e validados por meio de planos de controle modernos. Use privilégios mínimos: elimina sistemas antigos sem controles modernos e refinados. Suponha a violação: remove caminhos de confiança herdados e minimiza o raio da explosão. |
ID.AM-02 (plataformas de software e aplicativos dentro da organização são inventariados). A primeira etapa na remoção de sistemas herdados é descobrir elementos do sistema para visibilidade total. ID.AM-08 (identidades e contas associadas (incluindo contas de serviço e aplicativos) são inventariadas). Acompanhar, gerenciar e desativar contas não gerenciadas, serviço, computador e identidades de aplicativo. PR.PS-01 (as práticas de gerenciamento de configuração são estabelecidas e aplicadas) Proteger plataformas e serviços em uma base moderna. |
|
2. Proteger todos os locatários e seus recursos Proteja locatários da Microsoft, locatários adquiridos e locatários criados por funcionários, assim como contas de comércio e recursos de locatário, de acordo com as linhas de base das melhores práticas de segurança. |
Verifique explicitamente: autenticar todas as interações de locatário para locatário. Use privilégios mínimos: políticas e segmentação limitam permissões entre ambientes. Suponha violação: os limites do locatário pressupõem comprometimento potencial e são projetados para conter a movimentação lateral. |
ID.AM-02 (plataformas de software e aplicativos dentro da organização são inventariados). Proteger inquilinos requer um inventário completo de inquilinos, diretórios, aplicativos, entidades de serviço e recursos de plataforma. PR. IR-01 (os processos são estabelecidos para se preparar para a resposta a incidentes e reduzir o impacto potencial). A proteção de locatários e ativos impõe isolamento no nível do locatário, linhas de base, segmentação e verificações de integridade para reduzir o raio da explosão e conter incidentes. PR. AA-05 (permissões e autorizações são gerenciadas, impostas e verificadas periodicamente). Proteger locatários requer autorização e validação consistentes. PR.PS-01 ((As práticas de gerenciamento de configuração são estabelecidas e aplicadas) Proteger plataformas e serviços em uma base moderna. |
|
3. Segurança mais alta para aplicativos de ID do Entra Gerencie aplicativos do Microsoft Entra ID com um padrão elevado e consistente de segurança. |
Verifique explicitamente: imponha autenticação forte e vetação de aplicativo. Use privilégios mínimos: permissões do aplicativo restritas a direitos mínimos necessários. Suponha violação: O acesso ao aplicativo é projetado com contenção e monitoramento. |
ID.AM-08 (manter um inventário de contas, incluindo entidades de serviço, aplicativos e identidades, e garantir que elas sejam gerenciadas de acordo com a política).< Br/> PR. AA-01 (política de controle de acesso. Governe o acesso ao aplicativo de forma consistente). PR. AA-05 (a autorização é imposta e governada. Impor controles de autenticação de aplicativo). PR. IR-01 (Prepare-se para uma resposta efetiva a incidentes estabelecendo processos, controles e configurações que limitam o impacto e dão suporte à contenção rápida). |
|
4. Eliminar a movimentação lateral de identidades Elimine os pivôs de movimento lateral de identidade entre locatários, ambientes e nuvens. |
Verifique explicitamente: valide cada token e cada transição de limite de confiança. Use o princípio do menor privilégio: limite a reutilização de identidade e a elevação de privilégios entre inquilinos. Presumir violação: Delimitar fronteiras para conter o uso indevido de identidade. |
PR.AA-04 (o acesso é restrito usando os princípios de segmentação e de privilégio mínimo). Impedir a movimentação lateral não autorizada impondo segmentação, controles de limite e acesso com escopo. PR. IR-01 (os processos são estabelecidos para se preparar para a resposta a incidentes e reduzir o impacto potencial). Prepare-se para uma resposta efetiva a incidentes implementando controles que reduzem o raio da explosão, limitem a movimentação do invasor e dão suporte à contenção rápida antes que um incidente ocorra. DE. CM-01 (sistemas e ativos são monitorados para detectar atividades anormais). Monitore continuamente a identidade, o acesso e a atividade do sistema para detectar comportamentos anômalos, violações de política e indicadores de movimento lateral. |
|
5. Imposição contínua de privilégios mínimos Verifique a aplicação contínua de acesso de menor privilégio para aplicativos e usuários. |
Verifique explicitamente: as políticas garantem que as decisões de privilégios mínimos sejam verificadas em cada acesso. Use privilégios mínimos: resultado principal desse objetivo – imponha apenas as permissões necessárias. |
PR. AA-05 (permissões e autorizações são gerenciadas, impostas e verificadas periodicamente). As permissões e as autorizações de acesso devem ser continuamente gerenciadas e impostas e verificadas periodicamente. |
|
6. Dispositivos seguros usados para acesso Adote o particionamento refinado de chaves de assinatura de identidade e chaves de plataforma. Garanta que apenas dispositivos seguros, gerenciados e íntegros tenham acesso aos inquilinos da Microsoft. |
Verifique explicitamente: cada identidade do dispositivo é validada e avaliada continuamente. Use privilégios mínimos: controles de postura do dispositivo garantem acesso com risco mínimo. |
ID.AM-01 (dispositivos físicos e sistemas dentro da organização são inventariados). Proteger dispositivos requer um inventário completo de todos os dispositivos permitidos para acessar locatários. ID.AM-02 (plataformas de software e aplicativos dentro da organização são inventariados). As verificações de segurança do dispositivo dependem do acompanhamento de versões do sistema operacional, configuração, estado de gerenciamento e postura de conformidade dos dispositivos. PR. AA-01 (as identidades são autenticadas proporcionalmente ao risco). A autenticação inclui a confiança do dispositivo. Somente dispositivos seguros e compatíveis são permitidos. PR. AA-06 (o Access se alinha aos princípios de privilégio mínimo). O acesso é autorizado usando atributos como funções, estados, processos e alinhado com privilégios mínimos. |
Próximas etapas
- Examine o progresso mais recente sobre os objetivos dos pilares no What's New.
- Saiba mais sobre como adotar as práticas recomendadas do Microsoft SFI.