微软的 Secure Future Initiative(安全未来倡议,简称 SFI)是一项致力于提升微软技术安全性的多 年承诺计划,于 2023 年 11 月启动。其核心内容涵盖原则、基础、支柱等多个方面:
- 核心原则
- 设计即安全(Secure by design)
:在设计任何产品或服务时,将安全放在首位,从源头保障安全性。
- 默认即安全(Secure by default)
:默认开启并执行安全保护措施,用户无需额外操作,且不可选择关闭,确保安全成为产品和服务的固有属性。
- 安全运营(Secure operations)
:持续改进安全控制和监测手段,以应对当前及未来的网络威胁,适应不断变化的网络安全环境。
- 基础支撑
- 安全优先文化(Security-first culture)
:通过日常行为强化安全文化,工程执行副总裁、SFI 领导者与各级管理层定期开会,确保从下至上、端到端地解决问题,将安全思维融入日常行动。
- 安全治理(Security governance)
:由首席信息安全官领导新的框架,提升安全治理水平。与工程团队合作,监督 SFI 实施、管理风险并向领导层汇报进展。
- 持续安全改进(Continuous security improvement)
:赋予每位员工优先考虑安全的权力,基于持续改进的成长心态,将事件反馈和经验融入标准,实现大规模的安全设计与运营。
- 既定路径和标准(Paved paths and standards)
:既定路径是优化生产力、合规性和安全性的最佳实践,当这些实践提升安全或开发者体验时,就会成为标准。SFI 在六个优先安全支柱方面设定并衡量标准。
- 六大支柱目标与行动
- 保护身份和机密信息(Protect identities and secrets)
:在所有身份和机密基础设施以及用户和应用程序的认证和授权方面,实施并执行一流标准,降低未经授权访问的风险。
- 保护租户和隔离系统(Protect tenants and isolate systems)
:采用一致的一流安全实践和严格隔离措施,保护所有微软租户和生产环境,最大限度减少影响范围。
- 保护网络(Protect networks)
:保护微软生产网络,对微软和客户资源进行网络隔离。
- 保护工程系统(Protect engineering systems)
:保护软件资产,通过对软件供应链和工程系统基础设施的治理,持续提高代码安全性。
- 监测和检测网络威胁(Monitor and detect cyberthreats)
:为微软生产基础设施和服务提供全面覆盖和自动检测网络威胁的能力。
- 加速响应和修复(Accelerate response and remediation)
:通过全面及时的修复,防止外部和内部发现的漏洞被利用。
- 进展成果
:截至目前,SFI 取得了显著成果,从系统中删除了 730,000 个过时和不合规的应用程序、575 万个未使用或过时的 Entra ID 系统,通过基于应用的多因素身份验证保护了 300,000 个员工和供应商的身份。
- 信息更新与资源
:微软计划通过定期更新,向客户、合作伙伴和安全社区提供 SFI 的最新消息。相关资源包括博客,其中发布了不同时间的更新内容,涵盖 SFI 在加强安全和弹性、应对网络攻击、实施进展、借助 AI 等技术发展网络安全以及探讨威胁格局等方面的信息。
SFI 旨在全面提升微软技术的安全性,应对日益增长的网络攻击规模和风险,保障客户和企业自身的数字安全。
个人认为,微软的SFI是践行内生安全理念,设计即安全(Secure by design)设计即安全(Secure by design)都是非常契合内生安全理念,安全运营和持续改进体现内生安全动态性,同时安全文化和治理强化内生安全基础。但是也有一些不足,比如没有关注如何云网边端协同,供应链安全管理,对新技术的挑战方面如AI、量子计算等涉及还不多,相信随着时间推移也会进一步完善。
声明:本文来自翼安研习社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
