Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A iniciativa SFI (Secure Future Initiative) é uma iniciativa multianual, entre Microsoft, para garantir cada vez mais a maneira como Microsoft projeta, compila, testa e opera seus produtos e serviços.
A SFI é baseada em:
- Um conjunto de princípios de segurança que impulsionam a inovação no design de segurança, na implementação de funcionalidades, nos padrões seguros, e nos padrões dentro dos produtos da Microsoft, além de orientações de segurança internas e externas. Saiba mais.
- Um conjunto de pilares e objetivos de segurança priorizados. Saiba mais.
Este artigo resume nosso progresso mais recente sobre inovação, implementação e diretrizes, bem como sobre os objetivos dos pilares.
Acompanhar o progresso contínuo
Para obter o progresso detalhado da SFI, leia o relatório mais recente da SFI de novembro de 2025.
Você também pode examinar relatórios anteriores em:
Inovações e atualizações de segurança
A tabela resume as atualizações mais recentes.
| Plataforma | Updates |
|---|---|
| Novo padrão | Monitorar e detectar: gerenciar a segurança de memória em sistemas agente |
| Novo padrão | Acelere a resposta e a correção: responda a incidentes em sistemas de IA. |
| Novo padrão | Monitorar e detectar: concluir a modelagem de ameaças de IA. |
| Novo padrão | Monitorar e detectar: implementar a observabilidade da IA. |
| Novo padrão | Monitorar e detectar: proteger sistemas de IA autônomos agentes. |
| Novo padrão | Monitorar e detectar: risco de identidade para sistemas de IA agente. |
| Novo padrão | Monitorar e detectar: Proteger contra ataques indiretos de injeção de prompt. |
| Azure aplicou os padrões adicionais de segurança. |
Innovate: Azure Bastion Developer expandiu a conectividade de VM segura por padrão para 35 regiões do Azure, reduzindo as superfícies de ataque. No Azure Local, aprimoramos as configurações de segurança habilitadas por padrão. Para aumentar a confiança no hardware, os chips resistentes a adulterações do módulo de segurança de hardware (HSM) projetados pela Microsoft são integrados à infraestrutura do Azure para manter as chaves de criptografia dentro de limites seguros de hardware, eliminando a latência e o risco de exposição. Implementar: aumento da imposição obrigatória de autenticação multifator forte, enfatizando métodos de autenticação resistentes a phishing para todos os usuários do serviço Azure, ajudando a neutralizar as credenciais roubadas em escala. Guidance: Microsoft Cloud Security Benchmark v2 lançado, com práticas recomendadas de segurança claras e abrangentes que podem ser impostas usando Azure Policy. |
| Microsoft 365 forneceram maior controle de IA e segurança de dados. |
Innovate: Microsoft 365 introduziu uma função Admin de IA dedicada para assegurar o gerenciamento do Copilot, substituir a função de Administrador Global e aplicar os princípios de privilégio mínimo. Controle e governança centralizados do agente do Copilot no Centro de Administração do Microsoft 365 permite que os administradores de TI gerenciem, configurem e monitorem facilmente os agentes. Implementar: a rotulagem adaptável segura por padrão da Microsoft Purview agora classifica e protege mais de 50 milhões de itens mensalmente. Orientações: ajudando os clientes a usar as funções de administrador de IA para tarefas Copilot, impondo privilégios mínimos. Diretrizes sobre o uso de Microsoft Purview DSPM para IA para monitorar o uso de dados Copilot e detectar uso indevido. |
| Windows e Surface aprimoraram os princípios de Confiança Zero com senhas expandidas, capacidades de recuperação automática e melhorias com segurança de memória. |
Innovate: No Windows 11, a integração do Windows Hello e passkeys oferece uma experiência de entrada sem senha mais segura e resistente a phishing. Surface está avançando a segurança do Windows através da Open Device Partnership, uma iniciativa de firmware de código aberto que substitui o firmware herdado por uma plataforma transparente, segura e reutilizável. Implementar: melhorias no Hotpatch para dar suporte a dispositivos ARM64. O hotpatch agora está habilitado por padrão ao criar uma nova Política de Atualização de Qualidade na Autopatch, facilitando a manutenção da segurança e da conformidade com menos interrupções. Orientação: ajudando os clientes a ativar a Recuperação Rápida de Máquinas no Windows 11 para corrigir automaticamente falhas de inicialização e proteger contra ataques durante a inicialização. Ajudando os clientes a adotar entradas sem senha, integrando-se a gerenciadores de senhas como 1Password ou Bitwarden. |
| Microsoft security introduziu o gerenciamento de postura de segurança de dados para IA e transformou o Microsoft Sentinel em uma plataforma de segurança priorizando IA. |
Inovar: o data lake do Microsoft Sentinel permite um repositório para todos os locatários para coletar, armazenar e gerenciar grandes volumes de dados relacionados à segurança. Mais de 35 agentes Microsoft e parceiros agora trabalham para automatizar tarefas repetitivas e reduzir cargas de trabalho manuais. Os agentes desenvolvidos por parceiros estão disponíveis por meio do novo Segurança da Microsoft Store. Implementar: Gerenciamento de direitos do Microsoft Entra está sendo usado para controlar o acesso entre equipes da Microsoft de engenharia. Em Microsoft Purview, a proteção adaptive com políticas de prevenção contra perda de dados bloqueia atividades de compartilhamento arriscado com base no comportamento do usuário em unidades USB, Web, email e Equipe para proteção proativa e consistente. Orientações: ajude os clientes a consolidar dados de segurança com a integração ao Data Lake do Microsoft Sentinel e ao Microsoft Sentinel Graph. Ajude os clientes a ativar os agentes do Security Copilot para que os analistas aproveitem os recursos de IA durante a triagem de incidentes, elaboração de relatórios, entre outros. |
Progresso nos objetivos dos pilares
Divulgamos o progresso nos objetivos dos pilares à medida que os relatórios SFI periódicos são publicados. Cada objetivo representa um esforço significativo para melhorar a segurança e reduzir o risco para Microsoft e nossos clientes em uma área de pilar específica. Pilares, metas e objetivos podem mudar ao longo do tempo em resposta a prioridades de segurança dinâmicas e cenários de ameaças emergentes.
Proteger identidades e segredos
Esta tabela apresenta um resumo de progresso. Obtenha os detalhes de progresso completo mais recentes no relatório de novembro de 2025.
| Objetivo | Progress |
|---|---|
|
1. Proteger chaves de assinatura criptográficas Proteja a assinatura e as chaves de plataforma da infraestrutura de identidade com a rotação rápida e automática de chaves de infraestrutura de identidade, utilizando o armazenamento e a proteção de hardware. |
Progresso significativo: - Migrou cerca de 95% das VMs responsáveis pela assinatura de Entra ID para o Azure Confidential Computing, melhorando a proteção das chaves. |
|
2. Adote SDKs padrão para o gerenciamento de identidade Fortaleça os padrões de identidade e impulsione a adoção de padrões com o uso de SDKs padrão entre aplicativos, para que aplicativos e serviços usem uma biblioteca uniforme e protegida para validar tokens. |
- Medição expandida da adoção padrão do SDK para incluir a Conta Microsoft e os sistemas de identidade de plataforma interna. - Estamos agora validando mais de 94% dos tokens de segurança do Microsoft Entra ID com nossos SDKs padrão, reduzindo o risco de código customizado. - Biblioteca do Microsoft Authenticator (MSL) lançado como uma implementação comum e Microsoft Entra SDK para Serviços de Nuvem. |
|
3. Implementar MFA resistente ao phishing Assegure que as contas de usuário estão protegidas com MFA com segurança robusta e resistente a phishing. |
- 99,6% adoção de MFA obtida entre usuários/dispositivos, garantindo autenticação forte.>br/>- 100% conformidade no iOS e 99.97% no Android. |
|
4. Padronizar segredos seguros Afaste-se de segredos de longa duração, como credenciais de conta de serviço, para garantir que os aplicativos sejam protegidos com credenciais gerenciadas pelo sistema, como identidades gerenciadas. |
Correção contínua de segredos. Alta cobertura (~99,5%) de dados confidenciais detectados em código ou configuração. |
|
5. Forneça validação com estado para tokens de identidade Certifique-se de que os tokens de identidade estejam protegidos com validação de estado e duração. |
Validação padronizada implementada, com alta cobertura para tokens críticos. |
|
6. Usar particionamento de chave granular Adote um particionamento mais refinado de chaves de assinatura de identidade e chaves de plataforma. |
Particionamento implementado para muitos tipos de chave. Escopo limitado para chaves confidenciais. |
|
7. Introduzir sistemas PKI quânticos seguros Verifique se os sistemas PKI de identidade e certificado estão prontos para um mundo de criptografia pós-quantum. |
Planejamento inicial, com alguns projetos piloto de PKI pós-quantum em andamento. |
Proteger locatários e isolar sistemas
Esta tabela apresenta um resumo de progresso. Obtenha os detalhes de progresso completo mais recentes no relatório de novembro de 2025.
| Objetivo | Progress |
|---|---|
|
1. Remover sistemas herdados que arriscam a segurança Mantenha a postura de segurança e a relação comercial dos locatários removendo todos os sistemas não utilizados, antigos ou herdados. |
- Reduzindo a pegada herdada no provisionamento de identidade, gestão de recursos e locatários não utilizados. - Deslocando a Origem da Autoridade (SOA) do Active Directory local para plataformas cloud native, como Microsoft Entra ID. - Retirou o uso do ADFS no ambiente de produtividade, avançou a migração do ASM para ARM para mais de 98%. - Desativamos mais 560.000 locatários não utilizados e antigos e 83.000 aplicativos, reduzindo superfícies de ataque e eliminando ciclos de vida de identidade não gerenciados. |
|
2. Proteger todos os locatários e seus recursos Proteja a Microsoft, os locatários adquiridos e criados por funcionários, as contas de comércio e os recursos de locatário de acordo com as linhas de base das práticas recomendadas de segurança. |
- Segmentação de locatário reforçada pela remoção de locatários de teste/não utilizados. – Frota de locatários auxiliares criada para dar suporte a ambientes de produtividade controlados. |
|
3. Forneça maior segurança para aplicativos Entra ID Gerencie aplicativos do Microsoft Entra ID com uma alta barra de segurança e consistente para reduzir o vetor para movimentação lateral. |
Segmentação de locatários melhorada com a remoção de locatários de teste/não utilizados. - Criamos uma frota de locatários auxiliares projetada especificamente para não produção, com controles de acesso rigorosos, utilizada para testes, desenvolvimento, demonstrações e colaboração com parceiros. |
|
4. Eliminar movimento lateral de identidade Elimine os movimentos laterais de identidade entre locatários, ambientes e nuvens. |
- Isolamento de segredos entre fronteiras aprimorado de ~94% (abril) para ~98%, eliminando caminhos de credenciais que permitiam a recriação de tokens entre locatários. Cada segredo removido reduz o risco de adversários pivotarem entre locatários. – Estamos carimbando certificados com metadados de locatário e de nuvem para aumentar a rastreabilidade, ajudando-nos a identificar o risco de passagem entre limites. |
|
5. Imposição contínua de privilégios mínimos Verifique a imposição contínua de acesso de privilégios mínimos para aplicativos e usuários. |
- Estamos avançando na aplicação do princípio do menor privilégio nos serviços da Microsoft para uma postura de segurança por padrão que minimize o risco. - Nosso programa de redução de privilégios elevados está 78% concluído, diminuindo as superfícies de ataque ao migrar milhares de aplicativos para modelos de menores privilégios. - Estamos implementando melhorias adicionais em nosso modelo de autorização para fortalecer a segurança, além de introduzir um novo fluxo de autenticação para promover reduções adicionais em aplicativos de alto privilégio. |
|
6. Dispositivos seguros usados para acesso Adote o particionamento refinado de chaves de assinatura de identidade e chaves de plataforma. Certifique-se de que apenas dispositivos seguros, gerenciados e íntegros recebam acesso aos locatários. |
- Todo o acesso à produção entre locatários da Microsoft requer pontos de extremidade bloqueados. - Estamos implantando dispositivos bloqueados prontos para produção aumentados. - Nossa postura de segurança garante que as operações privilegiadas só possam ser executadas a partir de endpoints em conformidade. |
Proteger redes
Esta tabela apresenta um resumo de progresso. Obtenha os detalhes de progresso completo mais recentes no relatório de novembro de 2025.
| Objetivo | Progress |
|---|---|
|
1. Concluir o inventário de dispositivos de rede e o gerenciamento do ciclo de vida do ativo Proteja as redes de produção e os sistemas da Microsoft conectados a outras redes com isolamento de rede aprimorado, monitoramento, inventário preciso e operações seguras. |
- A telemetria aprimorada fornece maior visibilidade do ativo para um inventário completo de todos os dispositivos de rede de produção acompanhados em um inventário central com metadados de ciclo de vida. - Todos os dispositivos de rede em redes de produção são configurados com autenticação centralizada, trilha de auditoria e ACLs para IPv4/IPv6 para restringir a movimentação lateral. |
|
2. Fortalecer a segurança por meio de controles e isolamento de rede aprimorados Aplique o isolamento de rede e a microsegmentação com reconhecimento de identidade aos ambientes de produção da Microsoft, criando camadas adicionais de defesa contra invasores. |
Os controles de segmentação e proteção de rede foram aprimorados para reduzir a confiança implícita e restringir caminhos de rede. |
|
3. Acelerar a adoção do NSP (Perímetro de Segurança de Rede) Aplique os recursos de entradas sob a imposição e a segmentação de perímetro modernas para garantir que o tráfego de rede seja validado e somente permitido quando necessário para reduzir o risco de movimentação lateral e acesso não autorizado. |
– Continuamos expandindo o isolamento de rede entre ambientes de produção. - A adoção do NSP cresceu para mais de 1,1 milhão de recursos no modo de aprendizagem e cerca de 500.000 no modo aplicado. O acesso público foi desabilitado para milhares de recursos. - Os endereços IP de primeira parte marcados aumentaram para 21%, apoiando a segmentação granular. – O Gerenciador de Rede agora impõe ACLs centralizadas em mais de 6.000 dispositivos, reduzindo o risco lateral e fortalecendo as camadas de defesa. |
|
4. Proteger redes de nuvem do cliente Fortaleça as defesas de rede com firewalls modernos, políticas de segmentação e aplicação no nível da plataforma, garantindo que somente o tráfego autorizado possa fluir e que possíveis violações sejam contidas. |
- O recurso NSP atingiu a disponibilidade geral, permitindo que os clientes definam limites de isolamento lógico em relação aos recursos de PaaS. - O Azure Bastion agora oferece suporte à conectividade privada para clusters do AKS, proporcionando um acesso mais seguro aos servidores da API do AKS sem exposição pública nem necessidade de configuração de VPN. |
Proteger sistemas de engenharia
Esta tabela apresenta um resumo de progresso. Obtenha os detalhes de progresso completo mais recentes no relatório de novembro de 2025.
| Objetivo | Progress |
|---|---|
|
1. Concluir o inventário de ativos de software Crie e mantenha um inventário de ativos de software usados para implantar Microsoft produtos e serviços. |
- O inventário abrange todos os repositórios e pipelines Azure DevOps com metadados completos. - As ferramentas "StartRight" garantem que cerca de 80% de ativos sejam inventariados na criação e "StayRight" capture o restante dentro de 24 horas, permitindo resposta rápida a incidentes e a imposição de políticas. |
|
2. Confiança zero para acesso ao código-fonte Garanta o acesso seguro à infraestrutura de sistemas de engenharia e código-fonte com princípios Confiança Zero e políticas de acesso de privilégios mínimos. |
- Acesso administrativo contínuo reduzido e elevação sob demanda necessária. - Os aplicativos OAuth do Azure DevOps utilizam a autenticação Microsoft Entra com acesso condicional. - Quase todas as alterações de código de produção incluem verificações de prova de presença. |
|
3. Implantação segura de código Proteja o código-fonte que implanta os ambientes de produção da Microsoft com as práticas recomendadas de segurança. |
- O acesso à assinatura de código é quase inteiramente restrito a identidades de produção. – Os repositórios impõem políticas de ramificação com um número mínimo de aprovadores e análises expandidas de detecção de segredos reforçam a conformidade e a durabilidade. |
|
4.Padronizar pipelines de desenvolvimento seguro Aplique isolamento de rede e microssegmentação a ambientes de produção Microsoft. Proteger ambientes de desenvolvimento, compilação, teste e implementação, utilizando pipelines padronizados e regulamentados, além de isolamento de infraestrutura. |
- Quase todos os pipelines de build de produção e 94% dos pipelines de release usam modelos controlados centralmente. – O aumento do isolamento de rede (cerca de 89% concluído) bloqueia o acesso direto a registros públicos e marca dependências não verificadas. |
|
5. Proteger a cadeia de fornecimento de software Proteja a cadeia de suprimentos de software para proteger os ambientes de produção da Microsoft. |
- As proteções da cadeia de suprimentos estão amadurecendo. os feeds internos de artefatos são amplamente adotados e a governança de componentes é executada por padrão. - Os agentes de IA agora corrijam vulnerabilidades de software livre de forma assíncrona, reduzindo a latência de detecção para resolução. |
Monitorar e detectar ameaças
Esta tabela apresenta um resumo de progresso. Obtenha os detalhes de progresso completo mais recentes no relatório de novembro de 2025.
| Objetivo | Progress |
|---|---|
|
1. Concluir o inventário de infraestrutura de produção Mantenha um inventário atual de recursos em toda a infraestrutura de produção e serviços da Microsoft. |
- Mais de 98% de infraestrutura de produção são controladas centralmente, melhorando a visibilidade dos estados de sistema e segurança e habilitando a análise e investigação de tendências de longo prazo. - Os logs de segurança dos modos são coletados de forma centralizada com uma política de retenção de dois anos. Essa visibilidade ajuda a resiliência operacional, detecção de ameaças e preparação de conformidade. |
|
2. Padronizar a retenção dos logs de segurança. Mantenha os logs de segurança por pelo menos dois anos e assegure que seis meses dos logs pertinentes estejam disponíveis. |
- Mais de 72% de serviços agora estão totalmente em conformidade com nosso formato de registro em log padronizado, garantindo que eventos de segurança críticos sejam capturados de maneira uniforme e acionável. – Para acelerar a adoção entre os serviços restantes, estamos investindo na análise orientada por IA de repositórios de código de serviço e chamadas de função. - Também estamos refinando continuamente nossas linhas de base de log padrão dinamicamente em resposta ao aprendizado de incidentes de segurança. |
|
3. Centralizar o acesso aos logs de segurança Verifique se os logs de segurança estão acessíveis a partir de um data lake central para investigação eficiente e eficaz e busca de ameaças. |
- Para fortalecer nossos recursos de detecção e resposta de ameaças, implementamos um modelo de acesso robusto e escalonável que permite que as equipes de segurança recuperem e analisem com eficiência os logs para investigações e busca de ameaças. -No momento da redação, o modelo de acesso centralizado para logs de segurança amadureceu, com 6 de 7 categorias de log principais seguindo os padrões mínimos de retenção. |
|
4. Detectar e responder rapidamente Detecte e responda automaticamente a acessos, comportamentos e configurações anômalos na infraestrutura e nos serviços de produção da Microsoft. |
- Para nossa estratégia de avaliar continuamente a cobertura de detecção, identificar lacunas e ficar à frente de ameaças emergentes, as equipes de segurança e engenharia colaboraram para expandir e refinar nossos recursos de detecção. Isso resultou na implantação de mais de 50 novas detecções direcionadas a TTPs de alta prioridade (incluindo exfiltração de dados, acesso a credenciais e execução remota de código). Isso leva nosso total a mais de 250 detecções ativas em toda a infraestrutura de produção– as detecções aplicáveis serão adicionadas a Microsoft Defender. - As melhorias orientadas por IA são aproveitadas em todas as fases do ciclo de vida de detecção, desde a identificação de novos recursos de detecção até a aceleração de desenvolvimento/teste e sinais aprimorados. Isso nos ajuda a dimensionar a cobertura de detecção que mantém a precisão e a resiliência. |
Acelerar a resposta e a correção
Esta tabela apresenta um resumo de progresso. Obtenha os detalhes de progresso completo mais recentes no relatório de novembro de 2025.
| Objetivo | Progress |
|---|---|
|
1. Acelerar a mitigação de vulnerabilidade Reduza "Tempo de Mitigação" para vulnerabilidades de segurança de nuvem de alta severidade com resposta acelerada. |
- A triagem de vulnerabilidades baseada em IA e os processos de software acelerados, compatíveis com a inteligência de sinal que processa mais de 100 trilhões de sinais todos os dias, reforçaram nossa capacidade de identificar e atribuir vulnerabilidades com precisão às equipes internas corretas. O resultado é uma correção mais rápida e uma resolução mais eficiente de vulnerabilidades críticas, resultando em uma taxa de sucesso de 72%, à medida que expandimos o escopo do programa e mitigamos mais vulnerabilidades. - No início de 2025, organizamos um evento de hacking ao vivo (Zero Day Quest), trabalhando com pesquisadores de segurança especializados para descobrir bugs críticos, impulsionando a melhoria entre as principais plataformas. |
|
2. Transparência avançada de vulnerabilidades na nuvem Aumente a transparência das vulnerabilidades de nuvem atenuadas com a adoção e o lançamento dos padrões do setor CWE (Common Weakness Enumeration) e CPE (Common Platform Enumeration). Libere CVEs (Vulnerabilidades e Exposições Comuns) de alta severidade que afetam a nuvem. |
– Continuamos avançando na transparência publicando CVEs enriquecidos com Enumeração de Fraquezas Comuns e Enumeração de Plataforma Comum. Desde janeiro de 2025, publicamos 1096 CVEs, com 53 CVEs de nuvem que não requerem ação. - Pesquisadores de Microsoft internos descobriram mais de 48% dessas vulnerabilidades. A adoção de padrões do setor permite que os clientes e o ecossistema mais amplo entendam melhor as causas raiz e os produtos afetados. Investimentos em programas de recompensas e eventos de hacking ao vivo, como a Busca do Dia Zero, demonstram ainda mais nosso compromisso com a abertura e melhorias proativas de segurança em ambientes de nuvem chave. |
|
3. Aprimorar o envolvimento e mensagens públicas Aprimore a precisão, a eficácia, a transparência e a velocidade das mensagens públicas e do envolvimento do cliente. |
- O CSMO melhorou o envolvimento do cliente e a comunicação de incidentes por meio da parceria com equipes internas de Suporte da Microsoft e Resiliência de Segurança. - Ao padronizar as comunicações de incidentes, o CSMO aumentou a velocidade e a transparência nos esforços de resposta. Esses avanços, combinados com o envolvimento executivo expandido e a colaboração com consultores globais de segurança, ajudam a garantir mensagens públicas rápidas e eficazes e envolvimento proativo do cliente durante incidentes de segurança. Além disso, o CSMO notifica proativamente os clientes sobre riscos críticos, garantindo que os CISOs recebam atualizações oportunas. |
Próximas etapas
Saiba mais sobre adotando as práticas recomendadas de SFI da Microsoft.