Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Initiative Secure Future Initiative (SFI) wurde im November 2023 als mehrjähriger Versuch gestartet, die Art und Weise zu sichern, in der Microsoft seine Produkte und Dienste entwickelt, erstellt, testet und betreibt.
Für das erste Jahr oder so nach dem Start haben wir uns auf die Sicherheit als kritische Priorität in Microsoft verschoben. Wir konzentrieren uns auf interne Sicherheitsschulungen und dedizierte umfangreiche Engineering-Ressourcen, um die Sicherheit zu verbessern und Risiken im gesamten Unternehmen zu mindern.
Im Laufe der Zeit entwickeln sich die SFI-Bemühungen weiterhin als unternehmensübergreifende Initiative in strukturierten Wellen und halten das Tempo mit Veränderungen in der Bedrohungslandschaft. Die fortlaufende Entwicklung prägt sicherheitsrelevante Innovationen, Entwicklungen und bewährte Praktiken bei Microsoft. Es bietet uns auch fortlaufende Möglichkeiten, mit Kunden und der breiteren Sicherheitsbranche zusammenzuarbeiten, um unsere kollektiven Verteidigungen zu stärken.
SFI-Statusberichte
Wir erstellen regelmäßige SFI-Fortschrittsberichte zu Initiativaktualisierungen und -fortschritten. Berichte umfassen neue Sicherheitsfunktionen, Neuigkeiten aus technischen Säulen, Zuordnung zum NIST Cybersecurity Framework und Implementierungsleitfaden, die auf Zero Trust-Prinzipien abgestimmt sind.
Erhalten Sie eine Zusammenfassung der neuesten Updates und fortschritte im Laufe der Zeit in Was ist neu in SFI?
Lesen Sie den neuesten SFI-Blog und lesen Sie den neuesten SFI-Bericht vom November 2025.
Frühere Berichte anzeigen:
SFI-Architektur
Das Design der SFI-Architektur konzentriert sich auf eine Reihe von Sicherheitsprinzipien, die in die Microsoft-Kultur und -Governance übernommen und integriert werden. Diese Sicherheitsprinzipien werden auf eine Reihe von Schwerpunktbereichen (Engineering-Säulen) durch Prozesse, Standards und kontinuierliche Verbesserungen angewendet.
Sicherheitsgrundsätze
SFI konzentriert sich auf diese Prinzipien.
Wir verwenden diese Prinzipien für:
- Innovieren: Integrieren Sie planmäßige Sicherheitsfeatures in die Plattformen und Dienste von Microsoft.
- Implementieren: Einführung von Sicherheitsinnovationen in Microsoft-Produkten mit neuen Features, sicheren Standardwerten und erzwungenen Standards.
- Leitfaden: Bieten Sie Kunden Anleitungen und bewährte Methoden zum Bereitstellen, Betreiben und kontinuierlichen Verbessern der Sicherheit.
SFI-Säulen, Zero Trust und NIST
Die SFI-Initiative konzentriert sich auf sechs priorisierte Engineering-Säulen. Mehrere Ziele stimmen mit jeder Säule überein. Jedes Ziel stellt einen erheblichen Aufwand dar, um die Sicherheit zu verbessern und risiken für Microsoft und unsere Kunden in einem bestimmten Säulenbereich zu verringern.
Die Säulen und Ziele richten sich eindeutig an die Zero Trust-Prinzipien von Microsoft und das National Institute of Standards and Technology (NIST) Cybersecurity Framework.
Säulenabbildung
Die folgende Tabelle zeigt die Säulenzuordnung. Weitere Informationen zu NIST-Funktions-Akronyme finden Sie im nächsten Abschnitt.
| Säule | Zero Trust-Prinzip | NIST CSF-Funktion |
|---|---|---|
|
1. Schützen von Identitäten und Geheimschlüsseln Stellen Sie sicher, dass nur überprüfte und autorisierte Identitäten auf Ressourcen zugreifen können. |
Explizit überprüfen: Erzwingen sie fortlaufende, kontextbezogene, kennwortlose Authentifizierung (Windows Hello, FIDO2-Passkeys, Zertifikat usw.). Verwenden Sie die geringsten Berechtigungen: Reduzieren Sie überprivilegierte Identitäten, und erzwingen Sie privilegierte Identitätsverwaltung/Just-in-Time-Zugriff. Gehen Sie von Sicherheitsverletzungen aus: Rotieren Sie Anmeldeinformationen schnell, und verwenden Sie kurzlebige Token, um den Schadensumfang zu reduzieren. |
PR: Implementieren Von Steuerelementen zum Sichern von Anmeldeinformationen, geheimen Schlüsseln und Zugriff. DE: Überwacht kontinuierlich Identitätsaktivitäten auf Anomalien. |
|
2. Schutz von Mandanten und Isolierung von Systemen Minimieren Sie den Einwirkungsradius eines Kompromisses, indem Sie sicherstellen, dass Mandanten, Umgebungen und Systeme unabhängig voneinander isoliert und gesichert sind, ohne dass implizites Vertrauen besteht. |
Explizit überprüfen: Wenden Sie die mandantenübergreifende Authentifizierung und Autorisierung mit expliziter Genehmigung und Protokollierung an. Verwenden Sie die geringsten Berechtigungen: Beschränken Sie den Zugriff zwischen Umgebungen nur auf genehmigte Pfade. Gehen Sie von einer Verletzung aus: Verwenden Sie die Mandantenisolierung als Eindämmungsgrenze. |
ID: Entdecken Sie Mandanten- und Produktionsressourcen. PR: Wenden Sie Isolation, Segmentierung und starke Grenzen an. DE: Suchen Sie nach Isolationsgrenzenverletzungen oder lateralen Bewegungen. |
|
3. Schützen von Netzwerken Beschränken Sie laterale Bewegungen und nicht autorisierten Zugriff durch granulare Netzwerksegmentierung und identitätsbasierte Konnektivität. |
Explizit überprüfen: Wechseln von impliziter Netzwerkvertrauensstellung zu richtlinienbasierten, identitätsverprüften Verbindungen. Minimalprinzip anwenden: Erzwingen der Mikrosegmentierung und nur notwendiger Zugriff für Workloads und Endpunkte. Gehen Sie von Sicherheitsverletzungen aus: Behandeln Sie jede Netzwerkzone als potenziell feindliche. Isolieren Sie wertvolle Vermögenswerte und erzwingen Sie strenge Egress-Kontrollen. |
ID: Inventarisieren und Verstehen von Netzwerkressourcen. PR: Anwenden von Netzwerksicherheitskontrollen (Segmentierung, Verschlüsselung usw.). |
|
4. Schützen von Ingenieursystemen Sichern Sie den gesamten Lebenszyklus der Softwareentwicklung (SOFTWARE Development Lifecycle, SDLC) und den Bereitstellungslebenszyklus, indem Sie sicherstellen, dass Code, Buildsysteme und Pipelines manipulationssicher, auditierbar und vertrauenswürdig sind. |
Explizit überprüfen: Authentifizieren Sie jede Aktion im SDLC, von Code-Commits zu Builds mit nachverfolgbaren, signierten Identitäten. Verwenden Sie die geringsten Berechtigungen: Einschränken des Entwickler-, Agent- und Pipelinezugriffs basierend auf Rollen- und Buildkontext. Gehen Sie von Sicherheitsverletzungen aus: Trennen Sie Buildsysteme, und erzwingen Sie signierte und reproduzierbare Builds, um Manipulationen zu verhindern. |
ID: Verstehen von Build-/Test-/Bereitstellungssystemen und Abhängigkeiten. PR: Sichere Softwarepipelinen, Entwicklungstools und Artefakte. GV: Wenden Sie Technische Richtlinien, Standards, sicheres Design an. |
|
5. Überwachen und Erkennen von Bedrohungen Erkennen, korrelieren und priorisieren Sie Sicherheitsbedrohungen über Microsoft-Systeme hinweg, indem Sie Telemetrie und Analysen vereinheitlichen. |
Explizit überprüfen: Verwenden Sie telemetriegesteuerte, kontinuierliche Überprüfung des Verhaltens von Benutzern, Geräten und Arbeitsauslastungen. Verwenden Sie die geringsten Berechtigungen: Erzwingen der adaptiven Zugriffssteuerung mit Erkennungs- und dynamischen Richtlinien für bedingten Zugriff. Von Sicherheitsverletzung ausgehen: Anomalien und Verhaltensabweichungen unter der Annahme erkennen, dass Angreifer möglicherweise bereits Zugriff auf Ressourcen haben. |
ID: Überblick über alle überwachten Systeme behalten. PR: Stellen Sie sicher, dass Schutzkontrollen Telemetrie erzeugen. DE: Analysieren Sie Protokolle und Warnungen bei Identitätsbedrohungen. RS: Erkennen von Triggerantwortworkflows. |
|
6. Beschleunigen der Reaktion und Behebung Minimieren Sie die Auswirkungen und die Dauer von Sicherheitsvorfällen mit Automatisierung, koordinierter Reaktion und kontinuierlichem Lernen. |
Explizit überprüfen: Überprüft kontinuierlich das Vertrauen in Identitäten, Geräte und Systeme nach Erkennungsereignissen. Verwenden Sie die geringsten Berechtigungen: Automatisieren der Tokensperrung, Schlüsseldrehung und Entfernung des Zugriffs während der Antwort. Gehen Sie von Sicherheitsverletzungen aus: Integrieren Sie kontinuierlich Erkenntnisse aus Vorfällen in Systemverbesserungen, um eine schnelle Eindämmung und fortlaufende Härtung zu gewährleisten. |
ID: Den Umfang und die Ressourcen für die Antwort verstehen. Ändernungen nachverfolgen und Baselines nach dem Vorfall erneut bewerten. RC: Stellen Sie sichere Vorgänge nach Vorfällen wieder her. Beheben Sie Sicherheitsrisiken, und stellen Sie die Resilienz sicher. RS: Erkennen von Triggerantwortworkflows. GV: Anwenden von Lektionen in Governance und Standards. |
NIST-Funktionen
In der folgenden Tabelle sind die wichtigsten NIST-Funktionen und -Kategorien zusammengefasst, die aus dem herunterladbaren CSF 2.0-Artikel stammen.
| Function | Kategorie |
|---|---|
|
Steuern (GV) Richten Sie Richtlinien, Verfahren und Kultur für die Verwaltung von Cybersicherheitsrisiken ein, und richten Sie sie an die allgemeine Geschäftsstrategie und die Ergebnisse der anderen NIST-Funktionen aus. |
GV.OC-Organisationskontext GV.RM-Risikomanagementstrategie GV.RR-Rollen, Zuständigkeiten und Befugnisse. GV.PO-Richtlinie GV.OV-Aufsicht GV.SC-Cybersicherheits Risikomanagement in der Lieferkette |
|
Identifizieren (ID) Verstehen von Ressourcen, Systemen, Daten und potenziellen Bedrohungen, um ein starkes Organisationsverständnis für Cyberrisiken zu schaffen. |
ID.AM-Asset Management ID.RA-Risikobewertung ID.IM-Verbesserung |
|
Protect (PR) Implementieren Sie Sicherheitsvorkehrungen wie Zugriffskontrollen, Datensicherheit und Schulung, um sicherzustellen, dass wichtige Dienste bereitgestellt werden können. |
PR. AA-Identitätsverwaltung, Authentifizierung und Zugriffssteuerung. PR.AT-Awareness und Training PR.DS-Datensicherheit. PR.PS-Plattformsicherheit PR.IR-Technologieinfrastruktur-Resilienz |
|
Erkennen (DE) Entwickeln und implementieren Sie Aktivitäten wie kontinuierliche Überwachung, um das Auftreten von Cybersicherheitsereignissen zu identifizieren. |
DE.CM-Kontinuierliche Überwachung DE.AE-Analyse unerwünschter Ereignisse |
|
Antworten (RS) Ergreifen Sie Maßnahmen in Bezug auf einen erkannten Vorfall, einschließlich Analyse, Eindämmung, Beseitigung und Kommunikation. |
RS.MA-Incidentmanagement RS.AN-Incident-Analyse RS.CO-Vorfallreaktion-Berichterstattung und Kommunikation. RS.MI-Mitigation |
|
Wiederherstellen (RC) Stellen Sie Systeme und Vorgänge nach dem Vorfall wieder her, wobei Planung, Kommunikation und Verbesserung hervorgehoben werden, um Unterbrechungen zu minimieren. |
RC.RP-Ausführung des Vorfallwiederherstellungsplans RC.CO-Kommunikation zur Vorfallwiederherstellung |
Nächste Schritte
Überprüfen Sie die detaillierten Ziele für jede Engineering-Säule:
- Schützen Sie Identitäten und geheime Schlüssel.
- Schützen Sie Mandanten und isolieren Sie Systeme.
- Schützen Sie Netzwerke.
- Schützen Sie Engineering-Systeme.
- Überwachen und Erkennen von Bedrohungen
- [Reaktion und Behebung beschleunigen(secure-future-initiative-response-overview.md).
Erfahren Sie mehr über die Einführung bewährter Microsoft-SFI-Methoden.