Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'iniziativa SFI (Secure Future Initiative) lanciata nel novembre 2023 come un'iniziativa pluriennale per aumentare la sicurezza del modo in cui Microsoft progetta, sviluppa, testa e gestisce i propri prodotti e servizi.
Per il primo anno o così via dopo il lancio, siamo passati alla sicurezza come priorità critica in Microsoft. Ci siamo concentrati sulla formazione sulla sicurezza interna e abbiamo dedicato risorse di progettazione estese per migliorare la sicurezza e mitigare i rischi in tutta l'azienda.
Nel corso del tempo, gli sforzi SFI continuano a evolversi come un'iniziativa interaziendale in fasi strutturate, al passo con i cambiamenti nel panorama delle minacce. L'evoluzione in corso informa l'innovazione, lo sviluppo e le procedure consigliate per la sicurezza in Microsoft. Ci offre anche opportunità in corso di lavorare con i clienti e con il settore della sicurezza più ampio per rafforzare le nostre difese collettive.
Rapporti sul progresso SFI
Vengono prodotti rapporti periodici sui progressi e sugli aggiornamenti dell'iniziativa SFI. I report riguardano le nuove funzionalità di sicurezza, le novità dei pilastri di progettazione, il mapping al framework di cybersecurity NIST e le linee guida per l'implementazione allineate ai principi Zero Trust.
Ottieni un riepilogo degli aggiornamenti e dei progressi più recenti nel corso del tempo in Novità di SFI?
Leggere il blog SFI più recente ed esaminare il report SFI più recente di novembre 2025.
Visualizzare i report precedenti:
Architettura SFI
La progettazione dell'architettura SFI è incentrata su un set di principi di sicurezza adottati e integrati nella cultura e nella governance Microsoft. Questi principi di sicurezza vengono applicati a un set di aree di interesse (pilastri di progettazione) tramite processi, standard e miglioramenti continui.
Principi di sicurezza
SFI è incentrato su questi principi.
Questi principi vengono usati per:
- Innovazione: creare funzionalità di sicurezza in base alla progettazione in piattaforme e servizi Microsoft.
- Implementare: introdurre innovazioni di sicurezza nei prodotti Microsoft con nuove funzionalità, impostazioni predefinite sicure e standard applicati.
- Guida: fornire ai clienti indicazioni e procedure consigliate per distribuire, gestire e migliorare continuamente la sicurezza.
Pilastri SFI, Zero Trust e NIST
L'iniziativa SFI è incentrata su sei pilastri di progettazione prioritari. Più obiettivi sono allineati a ogni pilastro. Ogni obiettivo rappresenta uno sforzo significativo per migliorare la sicurezza e ridurre i rischi per Microsoft e i clienti in un'area di pilastro specifica.
I pilastri e gli obiettivi sono chiaramente allineati ai principi Zero Trust di Microsoft e al National Institute of Standards and Technology (NIST) Cybersecurity Framework.
Mapping dei pilastri
Nella tabella seguente viene illustrata la mappatura dei pilastri. Per altre informazioni sugli acronimi delle funzioni NIST , vedere la sezione successiva.
| Pilastro | Principio zero trust | Funzione NIST CSF |
|---|---|---|
|
1. Proteggere identità e segreti Assicurarsi che solo le identità verificate e autorizzate possano accedere alle risorse. |
Verifica in modo esplicito: Rafforza un'autenticazione continua, contestuale e senza password (Windows Hello, passkey FIDO2, certificati, ecc.). Usare privilegi minimi: ridurre le identità privilegiate e applicare la gestione delle identità privilegiate/l'accesso JIT. Presupporre la violazione: ruotare rapidamente le credenziali e usare token di breve durata per ridurre il raggio dell'esplosione. |
Richiesta pull: implementare controlli per proteggere credenziali, segreti e accesso. DE: monitorare continuamente le attività di identità per rilevare anomalie. |
|
2. Proteggere i tenant e isolare i sistemi Ridurre al minimo il raggio di compromissione assicurandosi che i tenant, gli ambienti e i sistemi siano isolati e protetti in modo indipendente, senza alcun trust implicito tra di essi. |
Verificare in modo esplicito: applicare l'autenticazione e l'autorizzazione tra tenant con approvazione e registrazione esplicite. Usare privilegi minimi: limitare l'accesso tra ambienti solo ai percorsi approvati. Presupporre la violazione: usare l'isolamento del tenant come limite di contenimento. |
ID: individuare gli asset tenant e di produzione. PR: applicare isolamento, segmentazione e limiti solidi. DE: cercare violazioni dei limiti di isolamento o spostamento laterale. |
|
3. Proteggere le reti Limitare lo spostamento laterale e l'accesso non autorizzato tramite la segmentazione granulare della rete e la connettività con riconoscimento delle identità. |
Verificare in modo esplicito: passare dall'attendibilità di rete implicita alle connessioni basate su criteri verificate dall'identità. Usare privilegi minimi: applicare la micro-segmentazione e l'accesso minimo necessario per workload ed endpoint. Presupporre una violazione: considerare ogni zona di rete come potenzialmente ostile. Isolare gli asset ad alto valore e applicare un controllo in uscita rigoroso. |
ID: inventario e comprensione degli asset di rete. PR: Applicare controlli di sicurezza della rete (segmentazione, crittografia, ecc.). |
|
4. Proteggere i sistemi di progettazione Proteggere l'intero ciclo di vita dello sviluppo software (SDLC) e il ciclo di vita della distribuzione assicurando che il codice, i sistemi di compilazione e le pipeline siano resistenti alle manomissioni, controllabili e affidabili. |
Verificare esplicitamente: Autenticare ogni azione nello SDLC, dai commit del codice alle compilazioni, con identità tracciabili e firmate. Usare privilegi minimi: limitare l'accesso a sviluppatori, agenti e pipeline in base al ruolo e al contesto di compilazione. Presupporre la violazione: separare i sistemi di compilazione e applicare compilazioni firmate e riproducibili per evitare manomissioni. |
ID: Comprendere i sistemi di compilazione/test/distribuzione e le dipendenze. PR: pipeline software sicure, strumenti di sviluppo e artefatto. GV: applicare criteri di progettazione, standard, progettazione sicura. |
|
5. Monitorare e rilevare le minacce Rilevare, correlare e classificare rapidamente le minacce alla sicurezza nei sistemi Microsoft unificando i dati di telemetria e l'analisi. |
Verificare in modo esplicito: usare la telemetria, la convalida continua dell'utente, del dispositivo e del comportamento del carico di lavoro. Usare privilegi minimi: applicare il controllo di accesso adattivo con i criteri di rilevamento e accesso condizionale dinamico. Presupporre la violazione: rilevare anomalie e deviazioni del comportamento in base alla premessa che gli utenti malintenzionati potrebbero già avere accesso alle risorse. |
ID: mantenere la consapevolezza di tutti i sistemi monitorati. PR: assicurarsi che i controlli protettivi generino telemetria. DE: analizzare gli avvisi e i log per identificare minacce. RS: rileva i flussi di lavoro di risposta ai trigger. |
|
6. Accelerare la risposta e la correzione Ridurre al minimo l'impatto e la durata degli eventi imprevisti di sicurezza con automazione, risposta coordinata e apprendimento continuo. |
Verificare in modo esplicito: rivaluta continuamente l'attendibilità in identità, dispositivi e sistemi dopo gli eventi di rilevamento. Usare i privilegi minimi: automatizzare la revoca dei token, la rotazione delle chiavi e la rimozione dell'accesso durante la risposta. Presupporre la violazione: alimenta continuamente l'apprendimento dagli incidenti sotto forma di miglioramenti del sistema per il contenimento rapido e il rafforzamento continuo. |
ID: comprendere l'ambito e gli asset per la risposta. Tenere traccia delle modifiche e rivedere le linee base dopo l'incidente. RC: ripristinare le operazioni sicure dopo gli eventi imprevisti. Correggere le vulnerabilità e garantire la resilienza. RS: rileva i flussi di lavoro di risposta ai trigger. GV: applicare lezioni in materia di governance e standard. |
Funzioni NIST
La tabella seguente riepiloga le funzioni e le categorie NIST di base, ricavate dall'articolo CSF 2.0 scaricabile.
| Function | Categoria |
|---|---|
|
Govern (GV) Stabilire criteri, procedure e cultura per la gestione del rischio di cybersecurity e allinearlo alla strategia aziendale complessiva e ai risultati delle altre funzioni NIST. |
Contesto Organizzativo GV.OC Strategia di gestione dei rischi GV.RM GV.RR - Ruoli, responsabilità e autorità. GV.PO-Policy GV.OV-Oversight GV.SC-Gestione del Rischio della Catena di Fornitura di Cybersecurity |
|
Identificare (ID) Comprendere asset, sistemi, dati e potenziali minacce per creare una solida comprensione organizzativa dei rischi informatici. |
ID.AM-Gestione Asset Valutazione dei rischi ID.RA ID.IM-Miglioramento |
|
Proteggi (PR) Implementare misure di sicurezza come controlli di accesso, sicurezza dei dati e formazione per garantire che i servizi critici possano essere distribuiti. |
PR.AA - Gestione dell'Identità, Autenticazione e Controllo di Accesso. PR.AT-Consapevolezza e Formazione PR.DS-Sicurezza dei Dati. sicurezza della piattaforma PR.PS PR.IR - Resilienza dell'Infrastruttura Tecnologica |
|
Rilevare (DE) Sviluppare e implementare attività come il monitoraggio continuo per identificare l'occorrenza di eventi di cybersecurity. |
DE.CM-Monitoraggio Continuo DE.AE-Analisi degli eventi avversi |
|
Rispondi (RS) Intervenire su un evento imprevisto rilevato, tra cui l'analisi, il contenimento, l'eradicazione e la comunicazione. |
RS.MA-Gestione degli Incidenti RS. AN-Analisi degli incidenti RS.CO-Risposta agli Incidenti, Reportistica e Comunicazione. RS.MI-Mitigation |
|
Ripristino (RC) Ripristino di sistemi e operazioni post-evento imprevisto, evidenziando la pianificazione, la comunicazione e il miglioramento per ridurre al minimo le interruzioni. |
RC.RP-Esecuzione del piano di ripristino degli incidenti RC.CO - Comunicazione di recupero degli incidenti |
Passaggi successivi
Esaminare gli obiettivi dettagliati per ogni pilastro dell'ingegneria:
- Proteggere identità e segreti.
- Proteggere i tenant e isolare i sistemi.
- Proteggere le reti.
- Proteggere i sistemi di progettazione.
- Monitorare e rilevare le minacce
- [Accelerare la risposta e la correzione (secure-future-initiative-response-overview.md).
Informazioni sull'adozione delle migliori pratiche per Microsoft SFI.