Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Инициатива "Безопасное будущее" (SFI) — это многопользовательская инициатива кросс-Майкрософт для повышения безопасности того, как корпорация Майкрософт разрабатывает, создает, тестирует и управляет своими продуктами и службами. SFI основан на:
- Набор принципов безопасности, которые управляют тем, как мы внедряем инновации в проектировании безопасности, реализуем эти инновации в продуктах Майкрософт в качестве безопасных по умолчанию и стандартам, а также предоставляют внутренние и внешние рекомендации по безопасности. Подробнее.
- Набор приоритетных принципов безопасности и целей. Подробнее.
В этой статье приведены основные сведения о пункте SFI "Защита жильцов и изоляция систем".
Перед началом работы
- Узнайте о принципах SFI.
- Просмотрите и отслеживайте последние достижения в целях обеспечения основных показателей в статье "Новые возможности SFI".
- Узнайте о принципах нулевого доверия и функциях и категориях CSF NIST.
- Получите список категорий и акронимов NIST , чтобы помочь при просмотре таблицы в этой статье.
Основные принципы и цели
Цель столпа "Защита арендаторов и изоляция систем" заключается в том, чтобы ограничить потенциальное распространение угроз за счет предотвращения бокового перемещения или эскалации привилегий. Это гарантирует правильность настройки, защиты и изоляции границ безопасности на уровне клиента.
Цели Майкрософт и сопоставление нулевого доверия и NIST для этого компонента приведены в следующей таблице.
| Цель | "Никому не доверяй" | Сопоставление NIST |
|---|---|---|
|
1. Удаление устаревших систем, которые рискуют безопасностью Поддерживайте безопасный статус и коммерческие отношения арендаторов, удаляя все неиспользуемые, старые или устаревшие системы. |
Убедитесь явно: все системы удостоверений и ресурсов аутентифицируются и проверяются с помощью современных плоскостей управления. Используйте наименьшие привилегии: устраняет старые системы без современных, точных элементов управления. Предположим, нарушение: удаляет устаревшие пути доверия и сводит к минимуму радиус взрыва. |
ID.AM-02 (программные платформы и приложения в организации подлежат инвентаризации). Первым шагом в удалении устаревших систем является обнаружение системных элементов для полной видимости. ID.AM-08 (Удостоверения и связанные с ними учетные записи (включая учетные записи служб и приложения) инвентаризированы). Отслеживать, управлять и выводить из эксплуатации неуправляемые учетные записи, службы, удостоверения устройств и приложений. PR.PS-01 (методы управления конфигурацией устанавливаются и применяются) Безопасные платформы и службы на современном фундаменте. |
|
2. Защита всех клиентов и их ресурсов Защита тенантов Microsoft, приобретенных и созданных сотрудниками, коммерческих учетных записей и ресурсов тенантов в соответствии с базовыми показателями лучших практик безопасности. |
Явно подтвердите: Аутентифицируйте все взаимодействия между арендаторами. Используйте принцип наименьших привилегий: политики и сегментация ограничивают права доступа в разных средах. Предположим, нарушение: границы тенанта учитывают потенциальный компромисс и предназначены для сдерживания бокового перемещения. |
ID.AM-02 (программные платформы и приложения в организации подлежат инвентаризации). Для защиты арендаторов требуется полный список арендаторов, каталогов, приложений, учетных записей служб и ресурсов платформы. PR. IR-01 (процессы устанавливаются для подготовки к реагированию на инциденты и снижения потенциального влияния). Защита арендаторов и ресурсов обеспечивает изоляцию на уровне арендатора, базовые показатели, сегментацию и проверки работоспособности, чтобы уменьшить зону воздействия и ограничивать инциденты. PR. AA-05 (разрешения и авторизация управляются, применяются и периодически проверяются). Для защиты клиентов требуется согласованная авторизация и проверка. PR.PS-01 (методы управления конфигурацией устанавливаются и применяются) Безопасные платформы и службы на современном фундаменте. |
|
3. Более высокий уровень безопасности для приложений Entra ID Управлять приложениями Microsoft Entra ID при помощи высоких и согласованных стандартов безопасности. |
Проверьте явно: принудительная проверка подлинности и проверка приложений. Используйте минимальные привилегии: разрешения приложений ограничены минимальными необходимыми правами. Предположение о проникновении: доступ к приложению, разработан с учетом изоляции и мониторинга. |
ID.AM-08 (поддерживайте инвентаризацию учетных записей, включая служебные субъекты, приложения и идентификации, и убедитесь, что они управляются в соответствии с политикой).< br/> PR.AA-01 (Политика контроля доступа. Обеспечивает согласованное управление доступом к приложению). PR.AA-05 (авторизация обеспечивается и регулируется. Применяются меры аутентификации приложений). PR. IR-01 (подготовка к эффективному реагированию на инциденты путем создания процессов, элементов управления и конфигураций, ограничивающих влияние и поддержку быстрого сдерживания). |
|
4. Устранение бокового перемещения удостоверений Устраните боковое перемещение идентификаторов между клиентами, средами и облаками. |
Проверяйте явным образом: Проверяйте каждый токен и каждое пересечение границ доверия. Используйте наименьшие привилегии: ограничить повторное использование удостоверений и повышение привилегий между клиентами. Предположим, нарушение: проектируйте границы для ограничения неправильного использования идентификации. |
PR. AA-04 (Доступ ограничен с помощью принципов сегментации и наименьших привилегий). Предотвращение несанкционированного бокового перемещения путем применения сегментации, элементов управления границами и ограниченного доступа. PR. IR-01 (процессы устанавливаются для подготовки к реагированию на инциденты и снижения потенциального влияния). Подготовьтесь к эффективному реагированию на инцидент, реализуя элементы управления, которые сокращают радиус взрыва, ограничивают движение злоумышленников и поддерживают быстрое сдерживание до возникновения инцидента. ДЕ. CM-01 (системы и ресурсы отслеживаются для обнаружения аномального действия). Непрерывно отслеживайте идентификацию, доступ и системное действие для обнаружения аномального поведения, нарушений политики и индикаторов бокового перемещения. |
|
5. Непрерывное принудительное применение минимальных привилегий Обеспечьте непрерывное принудительное применение доступа с минимальными привилегиями для приложений и пользователей. |
Проводите явную проверку: политики гарантируют, что решения о предоставлении минимальных привилегий проверяются при каждом доступе. Используйте наименьшие привилегии: основной результат этой цели — применение только необходимых разрешений. |
PR. AA-05 (разрешения и авторизация управляются, применяются и периодически проверяются). Разрешения и авторизация доступа должны постоянно управляться и применяться, а также периодически проверяться. |
|
6. Безопасные устройства, используемые для доступа Примите детальное секционирование ключей для подписания удостоверений личности и ключей платформы. Убедитесь, что доступ к клиентам Майкрософт предоставляется только безопасным, управляемым, работоспособным устройствам. |
Проверяйте явно: каждая идентификация устройства проверяется и постоянно оценивается. Используйте наименьшие привилегии: регулирование доступа на основе положения устройства обеспечивает минимальный риск. |
ID.AM-01 (физические устройства и системы в организации инвентаризуются). Для защиты устройств требуется полный список всех устройств, разрешенных для доступа к клиентам. ID.AM-02 (программные платформы и приложения в организации подлежат инвентаризации). Проверки безопасности устройств зависят от отслеживания версий ОС, конфигурации, состояния управления и соответствия устройств. PR.AA-01 (Идентификаторы аутентифицируются соизмеримо с уровнем риска). Проверка подлинности включает доверие устройств. Разрешены только безопасные устройства, соответствующие требованиям. PR. AA-06 (Access соответствует принципам наименьших привилегий). Доступ авторизуется на основе таких атрибутов, как роли, состояния, процессы, и в соответствии с принципом минимальных привилегий. |
Дальнейшие шаги
- Просмотрите последние достижения в отношении основных целей в "Что нового".
- Узнайте об использовании рекомендаций Microsoft SFI.