Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Initiative Secure Future Initiative (SFI) ist eine mehrjährige, cross-Microsoft-Initiative, um die Art und Weise zu sichern, in der Microsoft produkte und Dienste entwickelt, erstellt, testet und betreibt. SFI baut auf:
- Eine Reihe von Sicherheitsprinzipien, die die Art und Weise leiten, wie wir Innovationen im Sicherheitsdesign entwickeln, diese Innovationen als sichere Vorgaben und Standards in Microsoft-Produkten implementieren und interne sowie externe Sicherheitsleitlinien bereitstellen. Erfahren Sie mehr.
- Eine Reihe priorisierter Sicherheitspfeiler und -ziele. Erfahren Sie mehr.
In diesem Artikel wird die SFI-Säule "Netzwerke schützen" zusammengefasst.
Bevor du anfängst
- Erfahren Sie mehr über die SFI-Säulen.
- Überprüfen und verfolgen Sie die neuesten Fortschritte bei den Pfeilerzielen im SFI What's New-Artikel.
- Erfahren Sie mehr über Zero Trust-Prinzipien und NIST-CSF-Funktionen und -Kategorien.
- Hier erhalten Sie eine Liste der NIST-Kategorien und Akronyme , die Ihnen beim Überprüfen der Tabelle in diesem Artikel helfen sollen.
Säule und Ziele
Ziel der Säule "Netzwerke schützen" ist es, die Bewegung des Gegners und unbefugten Zugriff über Unternehmensnetzwerke zu beschränken. Netzwerke werden mit fein abgestimmten Netzwerksteuerelementen segmentiert und isoliert. Jede Verbindung wird überprüft, kontrolliert und kontinuierlich überwacht.
Die Microsoft-Ziele und die Zero Trust/NIST-Zuordnung für diese Säule sind in der folgenden Tabelle zusammengefasst.
| Objektiv | Zero Trust | NIST-Zuordnung |
|---|---|---|
|
1. Bestands- und Sicherheitsstandards Sichern Sie Microsoft-Produktionsnetzwerke und -systeme, die mit Netzwerken verbunden sind, mit verbesserter Netzwerkisolation, Überwachung, präzisem Bestand und sicheren Vorgängen. |
Explizit überprüfen: Wissen Sie, welche Geräte vorhanden sind und mit wem/was sie verbunden sind. Annehmen eines Verstoßes: Der vollständige Bestand unterstützt die Erkennung und Eindämmung von Verstößen. |
ID.AM-01 (Physische Geräte und Systeme innerhalb der Organisation werden inventarisiert). Alle Netzwerkgeräte werden inventarisiert und nachverfolgt, erkannt, verwaltet und gesteuert. ID.AM-03 (Assets werden klassifiziert – konsistent mit der Strategie für organisatorische Risiken). Netzwerke und Infrastruktur werden inventarisiert und klassifiziert. PR. AA-05 (Zugriffsberechtigungen und -autorisierungen werden verwaltet, erzwungen und regelmäßig überprüft). SFI wendet Sicherheitsstandards auf die Netzwerkinfrastruktur an. PR.PS-01 (Ressourcen werden formal ausgewertet, um sicherzustellen, dass sie sicherheits-, Compliance- und Resilienzanforderungen erfüllen, bevor sie zur Verwendung genehmigt werden). Netzwerkressourcen sind nur zulässig, wenn sie grundlegende Sicherheitsanforderungen erfüllen. PR.PS-04 (Ressourcen werden vor der Autorisierung zur Verwendung anhand der Sicherheitsanforderungen ausgewertet und überprüft). Die Netzwerkinfrastruktur muss vor der Verwendung SFI-Sicherheitsstandards erfüllen. |
|
2. Netzwerkisolation Wenden Sie identitätsfähige Netzwerkisolation und Mikrosegmentierung auf Microsoft-Produktionsumgebungen an, wodurch zusätzliche Schutzebenen gegen Angreifer erstellt werden. |
Überprüfen Sie explizit: Authentifizieren und Autorisieren von Netzwerkflüssen, bevor Sie die Kommunikation zulassen. Verwenden Sie den geringsten privilegierten Zugriff: Einschränken der lateralen Bewegung und Beschränken von Netzwerkzugriffsrechten. Gehen Sie von Sicherheitsverletzungen aus: Angenommen, Angreifer befinden sich möglicherweise im Netzwerk; Isolieren von Segmenten für eindämmung. |
PR-IR-01 (Prozesse werden eingerichtet, um die Reaktion auf Vorfälle vorzubereiten und potenzielle Auswirkungen zu reduzieren). PR-PS-01 (Sicherheitskonfigurationsanforderungen werden eingerichtet und angewendet). Die Netzwerkisolation erfordert das Erzwingen standardisierter Netzwerksicherheitsgrundsätze (Segmentierungsregeln, ACLs, Routingsteuerelemente, Grenzschutz). PR-PS-04 (Ressourcen werden überprüft, um Sicherheitsanforderungen zu erfüllen, bevor sie zur Verwendung autorisiert werden). Netzwerksegmente, Gateways und Grenzsysteme müssen SFI-Isolationsstandards (Härtung, Compliance, Segmentierungsstatus) erfüllen, bevor sie eine Verbindung mit Produktionsnetzwerken herstellen dürfen. |
|
3. Sichern von Cloudnetzwerken für Kunden Beschleunigen Sie die Einführung des Netzwerksicherheitsperimeters (NSP), um Ressourcen unter moderner Umkreiserzwingung und Segmentierung zu platzieren. Dadurch wird sichergestellt, dass der Netzwerkdatenverkehr überprüft und nur dort zugelassen wird, wo es notwendig ist, um das Risiko von lateraler Bewegung und unautorisiertem Zugriff zu verringern. |
Explizit überprüfen: NSP erzwingt eine starke Überprüfung des Datenverkehrs, der in geschützte Segmente eintritt. Verwenden Sie das Prinzip der minimalen Berechtigungen: Nur der erforderliche Datenverkehr darf die Netzwerkgrenzen durchqueren. Gehen Sie von einem Sicherheitsvorfall aus: Die Perimetersicherung geht davon aus, dass Bedrohungen vorhanden sind und deren Verbreitung eingeschränkt wird. |
PR. IR-01 (Prozesse werden eingerichtet, um auf die Reaktion auf Vorfälle vorzubereiten und potenzielle Auswirkungen zu reduzieren). Die Härtung und Isolation der Kunden-Cloudnetzwerke reduziert den Auswirkungsbereich und stellt sicher, dass Microsoft Vorfälle schnell eindämmen kann, indem Pivotpfade innerhalb oder über Kundenumgebungen hinweg beschränkt werden. PR-PS-01 (Sicherheitskonfigurationsanforderungen werden eingerichtet und angewendet). Kundencloudnetzwerke müssen SFI-Sicherheitsbaselines (Segmentierung, Routingsteuerelemente, Firewallstatus, Protokollierung, Zugriffsbeschränkungen) erfüllen, bevor sie verbunden sind oder Produktionsworkloads bedienen dürfen. |
Nächste Schritte
- Überprüfen Sie die neuesten Fortschritte bei den Pfeilerzielen in What's New.
- Erfahren Sie mehr über die Einführung bewährter Microsoft-SFI-Methoden.