مشاركة عبر

توصيات لإنشاء خط أساس أمني

ينطبق على Power Platform توصية قائمة التحقق من Well-Architected Security:

SE: 01 إنشاء خط أساس أمني يتماشى مع متطلبات الامتثال ومعايير الصناعة وتوصيات النظام الأساسي. قم بقياس بنية عبء العمل والعمليات لديك بشكل منتظم مقابل خط الأساس للحفاظ على وضع الأمان الخاص بك أو تحسينه بمرور الوقت.

يصف هذا الدليل التوصيات الخاصة بإنشاء خط أساس أمني لتطوير أحمال العمل باستخدام Microsoft Power Platform. خط الأساس الأمني عبارة عن مجموعة من معايير الحد الأدنى من الأمان وأفضل الممارسات التي تطبقها المؤسسة على أنظمة وخدمات تكنولوجيا المعلومات الخاصة بها. يساعد خط الأساس الأمني على تقليل مخاطر الهجمات الإلكترونية وانتهاكات البيانات والوصول غير المصرح به. يساعد خط الأساس الأمني أيضًا على ضمان الاتساق والمساءلة وقابلية التدقيق عبر المؤسسة.

يساعدك خط الأساس الأمني الجيد على:

  • تقليل مخاطر الهجمات الإلكترونية وانتهاكات البيانات والوصول غير المصرح به.
  • ضمان الاتساق والمساءلة وقابلية التدقيق في جميع أنحاء المؤسسة.
  • المحافظة على أمان بياناتك وأنظمتك.
  • الامتثال للمتطلبات التنظيمية.
  • تقليل مخاطر الرقابة.

يجب نشر خطوط الأساس الأمنية على نطاق واسع في جميع أنحاء مؤسستك حتى يكون جميع أصحاب المصلحة على دراية بالتوقعات.

يتضمن إنشاء خط أساس أمني لـ ‏‎Microsoft Power Platform عدة خطوات واعتبارات، مثل:

  • فهم بنية ومكونات Power Platform، مثل البيئات والموصلات، Dataverse Power Apps Power Automate و Copilot Studio.

  • تكوين إعدادات الأمان والأدوار لـ Power Platform على مستوى المستأجر والبيئة والموارد، مثل سياسات منع فقدان البيانات وأذونات البيئة ومجموعات الأمان.

  • الاستفادة من Microsoft Entra ID لإدارة هويات المستخدم والمصادقة والترخيص لـ Power Platform‎‏‎، والتكامل مع ميزات Entra ID الأخرى مثل الوصول المشروط و مصادقة متعددة العوامل.

  • تطبيق طرق حماية البيانات والتشفير لتأمين البيانات المخزنة والمعالجة بواسطة Power Platform، مثل ملصقات الحساسية والمفاتيح التي يديرها العميل.

  • مراقبة ومراجعة أنشطة واستخدام ‏‎Power Platform، باستخدام أدوات مثل ‏‎مركز مسؤولي Power Platform، والبيئات المُدارة، وMicrosoft Purview.

  • تنفيذ سياسات وعمليات الحوكمة لـ Power Platform‏‎، مثل تحديد أدوار ومسؤوليات أصحاب المصلحة المختلفين، وإنشاء سير عمل الموافقة وإدارة التغيير، وتوفير التوجيه والتدريب للمستخدمين والمطورين.

يساعدك هذا الدليل على تعيين خط أساس للأمان يأخذ في الاعتبار العوامل الداخلية والخارجية. تشمل العوامل الداخلية احتياجات عملك وعوامل الخطر وتقييم الأصول. وتشمل العوامل الخارجية معايير الصناعة والمعايير التنظيمية. من خلال اتباع هذه الخطوات والاعتبارات، يمكن للمؤسسة إنشاء خط أساس أمني لـ ‏Power Platform يتوافق مع أهداف أعمالها ومتطلبات الامتثال وقابلية المخاطرة. يمكن أن يساعد خط الأساس الأمني المؤسسة على تحقيق أقصى قدر من مزايا Power Platform مع تقليل التهديدات والتحديات المحتملة.

التعاريف

المصطلح تعريف
خط أساسي الحد الأدنى من إمكانيات الأمان التي يجب أن يتمتع بها عبء العمل لتجنب استغلاله.
المعيار معيار يدل على الوضع الأمني الذي تطمح إليه المؤسسة. ويتم تقييمها وقياسها وتحسينها بمرور الوقت.
عناصر التحكم الضوابط الفنية أو التشغيلية على عبء العمل التي تساعد على منع الهجمات وزيادة تكاليف المهاجم.
المتطلبات التنظيمية مجموعة من متطلبات العمل، مدفوعة بمعايير الصناعة، والتي تفرضها القوانين والسلطات.

استراتيجيات التصميم الأساسية

خط الأساس للأمان هو دليل إرشادي يصف متطلبات الأمان والميزات التي يجب أن يلبيها عبء العمل لتحسين الأمان والحفاظ عليه. يمكنك جعل الخط الأساسي أكثر تقدمًا عن طريق إضافة السياسات التي تستخدمها لتعيين الحدود. يجب أن يكون خط الأساس هو المعيار الذي تستخدمه لقياس مستوى الأمان الخاص بك. اهدف دائمًا إلى تحقيق خط الأساس الكامل مع تغطية نطاق واسع.

قم بإنشاء خط الأساس من خلال الحصول على إجماع بين قادة الأعمال والقادة التقنيين. ويجب أن يتضمن خط الأساس الضوابط الفنية، ولكن أيضًا الجوانب التشغيلية لإدارة الوضع الأمني والحفاظ عليه.

لإنشاء خط أساس أمني لـ ‏‎Power Platform، ضع في اعتبارك استراتيجيات التصميم الرئيسية التالية:

  • استخدم معيار أمان السحابة من Microsoft (MCSB) كإطار مرجعي. إن MCSB عبارة عن مجموعة شاملة من أفضل الممارسات الأمنية التي تغطي جوانب مختلفة من الأمن السحابي، مثل إدارة الهوية والوصول، وحماية البيانات، وأمن الشبكات، والحماية من التهديدات، والحوكمة. يمكنك استخدام MCSB لتقييم الوضع الأمني الحالي لديك وتحديد الثغرات ومجالات التحسين.

  • قم بتخصيص MSSB ليناسب احتياجات عملك المحددة، ومتطلبات الامتثال، ورغبتك في المخاطرة. قد تحتاج إلى إضافة أو تعديل أو إزالة بعض عناصر تحكم MSSB بناءً على سياقك التنظيمي وأهدافك. على سبيل المثال، قد تحتاج إلى مواءمة خط الأساس الأمني الخاص بك مع معايير الصناعة (مثل ISO 27001 أو NIST 800-53) أو الأطر التنظيمية (مثل القانون العام لحماية البيانات (GDPR) أو اللائحة العامة لحماية البيانات أو HIPAA، قانون قابلية نقل التأمين الصحي والمساءلة) ذات الصلة بنطاقك أو منطقتك.

  • حدد نطاق وقابلية تطبيق خط الأساس الأمني الخاص بك لـ Power Platform. يجب عليك أن تحدد بوضوح أي مكونات وميزات وخدمات Power Platform التي يغطيها خط الأمان الأساسي الخاص بك، وأيها خارج النطاق أو تتطلب اعتبارات خاصة. على سبيل المثال، قد تحتاج إلى تحديد متطلبات أمان مختلفة لأنواع مختلفة من بيئات Power Platform ‏(مثل الإنتاج أو التطوير أو بيئة الاختبار المعزولة) أو الموصلات (مثل القياسية أو المخصصة أو المتميزة) أو التطبيقات (مثل اللوحة القماشية أو المستندة إلى النموذج أو الصفحات).

باتباع إستراتيجيات التصميم هذه، يمكنك إنشاء مستند أساسي للأمان لـ ‏‎Power Platform يعكس أهدافك ومعاييرك الأمنية، ويساعدك على حماية بياناتك وأصولك في السحابة.

مع تغير عبء العمل ونمو البيئة، من المهم الحفاظ على تحديث خط الأساس الخاص بك بالتغييرات للتأكد من أن عناصر التحكم الأساسية لا تزال تعمل. فيما يلي بعض التوصيات لعملية إنشاء خط أساس أمني:

  • مخزون أصل. حدد أصحاب المصلحة في أصول عبء العمل والأهداف الأمنية لتلك الأصول. في مخزون الأصول، قم بالتصنيف حسب متطلبات الأمان والأهمية. للحصول على معلومات حول أصول البيانات، راجع توصيات تصنيف البيانات.

  • تحديد مستويات أحمال العمل. أثناء تحديد خط الأساس الأمني الخاص بك، من المهم التفكير في كيفية تصنيف الحلول المبنية على أساس الأهمية بحيث يمكنك تطوير العمليات التي تضمن أن التطبيقات المهمة لديها حواجز الحماية اللازمة لدعمها، وفي الوقت نفسه لا تخنق ابتكار سيناريوهات الإنتاجية.

  • تقييم المخاطر. حدد المخاطر المحتملة المرتبطة بكل أصل ورتب أولوياتها.

  • متطلبات الامتثال. حدد أي قواعد تنظيمية أو امتثال لتلك الأصول وقم بتطبيق أفضل ممارسات الصناعة.

  • معايير التكوين. تحديد وتوثيق تكوينات وإعدادات الأمان المحددة لكل أصل. إذا أمكن، قم بإنشاء قالب أو ابحث عن طريقة تلقائية قابلة للتكرار لتطبيق الإعدادات بشكل متسق عبر البيئة. النظر في التكوينات على جميع المستويات. ابدأ بتكوينات الأمان على مستوى المستأجر المتعلقة بالوصول أو الشبكة. بعد ذلك، ضع في الاعتبار تكوينات الأمان الخاصة بـ ‏‎Power Platform مثل تكوينات Power Pages المحددة، بالإضافة إلى تكوينات الأمان المحددة لأحمال العمل، مثل كيفية عمل يتم تقاسم عبء العمل.

  • التحكم في الوصول والمصادقة. حدد متطلبات التحكم في الوصول المستند إلى الدور (RBAC) والمصادقة متعددة العوامل (MFA). قم بتوثيق ما يعنيه الوصول الكافي على مستوى الأصول. ابدأ دائمًا بمبدأ الامتياز الأقل.

  • التوثيق والاتصالات. توثيق جميع التكوينات والسياسات والإجراءات. إبلاغ التفاصيل إلى أصحاب المصلحة المعنيين.

  • الإنفاذ والمساءلة. إنشاء آليات إنفاذ واضحة وعواقب عدم الامتثال لخط الأساس الأمني. تحميل الأفراد والفرق المسؤولية عن الحفاظ على معايير الأمان.

  • المراقبة المستمرة. تقييم فعالية خط الأساس الأمني من خلال إمكانية الملاحظة وإجراء التحسينات مع مرور الوقت.

تكوين خط أساس

فيما يلي بعض الفئات الشائعة التي يجب أن تكون جزءًا من خط الأساس. القائمة التالية ليست شاملة. الغرض منه هو تقديم نظرة عامة على نطاق الوثيقة

التوافق التنظيمي

قد تتأثر اختيارات التصميم الخاصة بك بمتطلبات الامتثال التنظيمي لقطاعات صناعية معينة أو بسبب القيود الجغرافية. من الضروري فهم متطلبات الامتثال التنظيمي وإدراجها في بنية عبء العمل لديك.

وينبغي أن يتضمن خط الأساس تقييماً منتظماً لعبء العمل مقابل المتطلبات التنظيمية. استفد من الأدوات التي يوفرها النظام الأساسي، مثل Microsoft Power Advisor، والتي يمكنها تحديد مجالات عدم الامتثال. اعمل مع فريق الامتثال في مؤسستك للتأكد من استيفاء جميع المتطلبات والحفاظ عليها.

مثال

تقوم مؤسسات علوم الحياة ببناء حلول يجب أن تلبي المتطلبات بموجب الممارسات السريرية والمخبرية والتصنيعية الجيدة (GxP). يمكنك الاستفادة من كفاءات السحابة مع حماية سلامة المرضى وجودة المنتج وسلامة البيانات أيضًا. لمزيد من المعلومات، راجع إرشادات Microsoft GxP لـ Dynamics 365 وPower Platform.

على الرغم من عدم وجود شهادة GxP محددة لمقدمي الخدمات السحابية، فإن Microsoft Azure (التي تستضيف Power Platform) خضعت لعمليات تدقيق مستقلة من طرف ثالث لـ إدارة الجودة وأمن المعلومات، بما في ذلك شهادات ISO 9001 وISO/IEC 27,001. إذا كنت تقوم بنشر التطبيقات على ‏‎Power Platform، ففكر في الخطوات التالية:

  • حدد متطلبات GxP المطبقة على نظامك المحوسب بناءً على الاستخدام المقصود.
  • اتبع الإجراءات الداخلية لعمليات التأهيل والتحقق من الصحة لإثبات الامتثال لمتطلبات GxP.

عمليات التطوير

يجب أن يحتوي خط الأساس على توصيات حول:

  • ‏‎أنواع موارد Power Platform المعتمدة للاستخدام.
  • مراقبة الموارد.
  • تنفيذ قدرات التسجيل والتدقيق.
  • مشاركة الموارد.
  • فرض السياسات لاستخدام الموارد أو تكوينها.
  • حماية البيانات وأمن الشبكات.

يحتاج فريق التطوير إلى فهم واضح لنطاق الفحوصات الأمنية، وكيفية تصميم وتطوير حلول Power Platform مع وضع الأمان في الاعتبار، وكيفية إجراء تقييمات أمنية منتظمة. على سبيل المثال، يعد تطبيق مبدأ الامتيازات الأقل، وفصل بيئات التطوير والإنتاج، واستخدام الموصلات والبوابات الآمنة، والتحقق من صحة مدخلات ومخرجات المستخدم، من المتطلبات اللازمة للتأكد من أن عبء العمل آمن. قم بالتواصل حول كيفية تحديد التهديدات المحتملة وكن محددًا حول كيفية إجراء الفحوصات.

لمزيد من المعلومات، راجع توصيات بشأن تحليل التهديدات.

يجب أن تضع عملية التطوير أيضًا معايير لمنهجيات الاختبار المختلفة. لمزيد من المعلومات، راجع توصيات بشأن اختبار الأمن.

العمليات

يجب أن يتضمن خط الأساس معايير حول كيفية اكتشاف التهديدات وكيفية رفع التنبيهات بشأن الأنشطة الشاذة التي تشير إلى حوادث فعلية.

يجب أن يتضمن خط الأساس توصيات لإعداد عمليات الاستجابة للحوادث، بما في ذلك الاتصال وخطة التعافي، وملاحظة أي من هذه العمليات يمكن تشغيلها آليًا لتسريع الكشف والتحليل. للحصول على أمثلة، راجع معيار الأمان السحابي لـ Microsoft: الاستجابة للحوادث.

استخدم معايير الصناعة لتطوير خطط الحوادث الأمنية واختراق البيانات، وتأكد من أن فريق العمليات لديه خطة شاملة للمتابعة عند اكتشاف الاختراق. تحقق مع مؤسستك لمعرفة ما إذا كانت هناك تغطية من خلال التأمين السيبراني.

التدريب

التدريب أمر بالغ الأهمية. ضع في اعتبارك أن مطوري التطبيقات غالبًا ما لا يكونون على دراية كاملة بالمخاطر الأمنية. إذا كانت مؤسستك تقوم بأي تدريب حول كيفية بناء أعباء العمل باستخدام ‏‎Power Platform، فقم بدمج خط الأساس الأمني الخاص بك في تلك الجهود. وبدلاً من ذلك، إذا كانت مؤسستك تجري تدريبًا أمنيًا على مستوى المؤسسة، فقم بتضمين خط الأساس الأمني ‎لـ Power Platform ‎في هذا التدريب.

يجب أن يتضمن التدريب الخاص بك تعليمًا حول حواجز الحماية والتكوينات على مستوى المستأجر والتي قد تؤثر على أعباء العمل التي يتم إنشاؤها. كما أنها تتطلب تدريبًا على التكوينات التي يحتاج صانعو البرامج إلى إجرائها لأعباء العمل الخاصة بهم، مثل أدوار الأمان وكيفية الاتصال بالبيانات. تحديد عملية التعاون معهم بشأن أي طلبات قد تكون لديهم.

يمكنك تطوير والحفاظ على برنامج تدريب أمني للتأكد من أن فريق عبء العمل مجهز بالمهارات المناسبة لدعم الأهداف والمتطلبات الأمنية. يحتاج الفريق إلى تدريب أمني أساسي، وتدريب على المفاهيم الأمنية في Power Platform.

استخدام خط الأساس

استخدم خط الأساس لدفع المبادرات والقرارات. فيما يلي بعض الطرق لاستخدام خط الأساس لدفع التحسينات في وضع أمان عبء العمل لديك:

  • إعداد قرارات التصميم. استخدم خط الأساس الأمني لفهم متطلبات وتوقعات الأمان الخاصة بأحمال عمل ‏‎Power Platform. تأكد من تعريف أعضاء الفريق بالتوقعات قبل البدء في التصميم المعماري. منع التعديلات باهظة الثمن أثناء مرحلة التنفيذ من خلال التأكد من أن أعضاء الفريق على دراية بخط الأساس الأمني ودورهم في تلبية متطلبات الأمان. استخدم خط الأساس للأمان كمتطلب لحجم العمل وقم بتصميم عبء العمل الخاص بك ضمن الحدود والقيود التي يحددها خط الأساس.

  • قم بقياس التصميم الخاص بك. استخدم خط الأساس الأمني لتقييم وضعك الأمني الحالي وتحديد الثغرات ومجالات التحسين. توثيق أي انحرافات مؤجلة أو تعتبر مقبولة على المدى الطويل، وتوضيح أي قرارات تم اتخاذها بشأن الانحرافات.

  • دفع التحسينات. يحدد خط الأساس الأمني أهدافك، ولكن قد لا تتمكن من تحقيقها جميعًا على الفور. قم بتوثيق أي فجوات وترتيب أولوياتها على أساس الأهمية. حدد بوضوح الفجوات المقبولة على المدى القصير أو الطويل، وقدم أسباب هذه القرارات.

  • تتبع تقدمك مقابل خط الأساس. راقب إجراءات الأمان الخاصة بك مقابل خط الأساس الأمني لتحديد الاتجاهات والكشف عن الانحرافات عن خط الأساس. استخدم الأتمتة حيثما أمكن، واستخدم البيانات التي تم جمعها من تتبع التقدم لتحديد المشكلات الحالية ومعالجتها والاستعداد للتهديدات المستقبلية.

  • تعيين الدرابزين. استخدم خط الأساس الأمني الخاص بك لإنشاء وإدارة حواجز الحماية وإطار عمل الحوكمة لأحمال عمل ‏‎Power Platform. تعمل حواجز الحماية على فرض التكوينات والتقنيات والعمليات الأمنية المطلوبة، استنادًا إلى العوامل الداخلية والعوامل الخارجية. تساعد حواجز الحماية على تقليل مخاطر الرقابة غير المقصودة والغرامات العقابية لعدم الامتثال. يمكنك استخدام الميزات المبتكرة في مركز مسؤولي Power Platform والبيئات المُدارة لإنشاء حواجز حماية، أو إنشاء حواجز حماية خاصة بك باستخدام التنفيذ المرجعي لمركز مجموعة أدوات بدء تشغيل التميز أو البرامج النصية/الأدوات الخاصة بك. من المحتمل أن تستخدم مجموعة من الأدوات المبتكرة والمخصصة لإعداد حواجز الحماية وإطار الإدارة الخاص بك. فكر في أي أجزاء من خط الأمان الأساسي لديك يمكن فرضها بشكل استباقي، وأي منها ستراقبها بشكل تفاعلي.

استكشف Microsoft Purview لـ Power Platform، وPower Advisor، والمفاهيم المضمنة في Power Platform، مثل سياسات البيانات وعزل المستأجر، والتطبيقات المرجعية مثل مجموعة أدوات بدء تشغيل مركز التميز لتنفيذ وإنفاذ تكوينات الأمان ومتطلبات الامتثال.

تقييم خط الأساس بانتظام

يمكنك التحسين المستمر لمعايير الأمان للوصول إلى الحالة المثالية لضمان تقليل المخاطر بشكل مستمر. تتبع آخر التحديثات الأمنية في Power Platform عن طريق مراجعة خريطة الطريق والإعلانات بانتظام. بعد ذلك، حدد الميزات الجديدة التي يمكن أن تعزز خط الأمان الأساسي الخاص بك وخطط لكيفية تنفيذها. ويجب أن تتم الموافقة رسميًا على أي تعديلات على خط الأساس وأن تخضع لعمليات إدارة التغيير المناسبة.

قم بقياس النظام مقابل خط الأساس الجديد وتحديد أولويات المعالجات بناءً على أهميتها وتأثيرها على عبء العمل.

تأكد من أن الوضع الأمني لا يتدهور بمرور الوقت من خلال إجراء التدقيق ومراقبة الامتثال للمعايير التنظيمية.

الأمان في Microsoft Power Platform

تم تصميم Power Platform ‏‎على أساس قوي من الأمان. إنه يستخدم نفس حزمة الأمان التي جعلت Azure حارسًا موثوقًا لأكثر البيانات حساسية في العالم، ويتكامل مع أدوات حماية المعلومات والامتثال الأكثر تقدمًا في ‏‎Microsoft 365. يقدم Power Platform حماية شاملة تم تصميمها مع أخذ مخاوف العملاء التي تطرح تحديات كثيرة.

تخضع خدمة Power Platform لبنود الخدمات عبر الإنترنت من Microsoft، وبيان خصوصية Microsoft Enterprise. لمعرفة موقع معالجة البيانات، يمكنك مراجعة بنود الخدمات عبر الإنترنت من Microsoft وملحق حماية البيانات.

يُعد مركز توثيق Microsoft هو المورد الرئيسي لمعلومات التوافق في Power Platform. لمزيد من المعلومات، راجع عروض توافق Microsoft‬‏‫.

تتبع خدمة Power Platform دورة حياة تطوير الأمان (SDL). SDL هي مجموعة من الممارسات الصارمة التي تدعم متطلبات ضمان الأمان و التوافق. لمزيد من المعلومات، راجع ممارسات دورة حياة تطوير أمان Microsoft.

تبسيط Power Platform

يعد معيار الأمان السحابي لـ Microsoft (MCSB) بمثابة إطار عمل شامل لأفضل ممارسات الأمان الذي يمكنك استخدامه كنقطة بداية لخط الأساس للأمان لديك. استخدمه مع الموارد الأخرى التي توفر مدخلات لخط الأساس الخاص بك. لمزيد من المعلومات، راجع مقدمة إلى معيار الأمان السحابي لـ Microsoft.

تساعدك صفحة الأمان في Power Platform مركز الإدارة على إدارة أمان مؤسستك باستخدام أفضل الممارسات ومجموعة شاملة من الميزات لضمان أقصى قدر من الأمان. على سبيل المثال، من أجل:

  • تقييم حالة الأمان: فهم سياسات الأمان الخاصة بمؤسستك وتحسينها لتلبية احتياجاتك الخاصة.
  • العمل بناء على التوصيات: تحديد وتنفيذ التوصيات الأكثر تأثيرا لتحسين التقييم.
  • إعداد سياسات استباقية: استخدم المجموعة الغنية من الأدوات وإمكانات الأمان المتاحة لاكتساب رؤية عميقة واكتشاف التهديدات ووضع سياسات بشكل استباقي للمساعدة في حماية المؤسسة من الثغرات الأمنية والمخاطر.

المحاذاة التنظيمية

تأكد من أن خط الأساس الأمني الذي تقوم بإنشائه لـ ‏‎Power Platform يتماشى بشكل جيد مع الخطوط الأساسية الأمنية لمؤسستك. اعمل بشكل وثيق مع فرق أمن تكنولوجيا المعلومات في مؤسستك للاستفادة من خبراتهم.

قائمة مراجعة الأمان

راجع مجموعة التوصيات الكاملة.

قائمة التحقق من الأمان