Защита на Dynamics 365

Microsoft Dynamics 365 и Microsoft Power Platform са базирани на абонамент услуги от типа софтуер като услуга (SaaS), хоствани в центровете за данни на Microsoft Azure. Тези онлайн услуги са предназначени да осигурят производителност, мащабируемост, сигурност, възможности за управление и нива на обслужване, необходими за критични приложения и системи, използвани от бизнес организациите.

В Microsoft доверието е фокусна точка за предоставяне на услуги, договорни ангажименти и индустриална акредитация, поради което приехме инициативата Trusted Cloud. Инициативата Trusted Cloud е програма на отрасловата група на Cloud Security Alliance (CSA), създадена да помогне на доставчиците на облачни услуги да разработят препоръчани от индустрията, сигурни и оперативно съвместими конфигурации и практики за управление на самоличност и достъп и съответствие. Този набор от изисквания, насоки и контролирани процеси гарантира, че предоставяме нашите услуги в облака с най-високите стандарти по отношение на инженерна, правна и поддръжка за съответствие. Нашият фокус е върху поддържането на целостта на данните в облака, което се ръководи от следните три ключови принципа:

Защита: Защитава ви от киберзаплахи. Поверителност: Дава ви контрол върху достъпа до вашите данни. Съответствие: Ненадмината инвестиция в съответствие с глобалните стандарти.

В Microsoft нашият подход за защита на информацията на нашите клиенти включва рамка за контрол на защитата от технологии, оперативни процедури и правила, които отговарят на най-новите глобални стандарти и могат бързо да се адаптират към тенденциите в защитата и специфичните за отрасъла нужди. Освен това ние предоставяме набор от управлявани от клиента инструменти, които се адаптират към организацията и нейните нужди по отношение на защитата. Използвайте Центъра за сигурност и съответствие на Microsoft 365 за проследяване на потребителски и администраторски дейности, заплахи от злонамерен софтуер, инциденти със загуба на данни и др. Таблото за отчети се използва за актуални отчети, свързани с функциите за защита и съответствие във вашата организация. Можете да използвате отчети на Microsoft Entra, за да се информирате за необичайни или подозрителни дейности при влизане.

Забележка

Azure Active Directory вече е Microsoft Entra ID. Научете повече

Нашите правила за защита определят правилата и изискванията за информационна защита за средата на услугите. Microsoft извършва периодични прегледи на системата за управление на информационната защита (ISMS) и резултатите се преглеждат заедно с ИТ мениджърите. Този процес включва наблюдение на текущата ефективност и подобряване на средата за контрол на ISMS чрез преглед на проблемите със защитата, резултатите от одита и състоянието на наблюдение, както и чрез планиране и проследяване на необходимите коригиращи действия.

Тези контроли включват:

• Физически и логически мрежови граници със стриктно наложени правила за контрол на промените.
• Разделяне на задълженията, които изискват бизнес нужда за достъп до среда.
• Силно ограничен физически и логически достъп до среда в облака.
• Строги контроли, базирани на Microsoft Security Development Lifecycle и практиките за осигуряване на оперативна защита, които дефинират практики за кодиране, тестване на качеството и популяризиране на кода.
• Текуща осведоменост и обучение относно практиките за защита, поверителност и защитено кодиране.
• Непрекъснато регистриране и одит на достъпа до системата.
• Редовни одити за съответствие, за да се гарантира ефективността на контрола.

За да помогне в борбата с нововъзникващите и развиващи се заплахи, Microsoft използва иновативна стратегия „предполагаемо нарушение“ и използва високо специализирани групи от експерти по защитата – известни като Red Team – за засилване на откриването на заплахи, реакцията и защитата на своите корпоративни облачни услуги. Microsoft използва Red Team и тестване на сайтове на живо срещу управлявана от Microsoft облачна инфраструктура, за да симулира пробиви в реалния свят, да провежда непрекъснат мониторинг на сигурността и да практикува реакция на инциденти в сигурността, за да потвърди и подобри сигурността на онлайн услугите.

Екипът за защита на Microsoft Cloud извършва чести вътрешни и външни сканирания, за да идентифицира уязвимостите и да оцени ефективността на процеса на управление на корекциите. Услугите се сканират за известни уязвимости; новите услуги се добавят към следващото тримесечно сканиране с определени времеви интервали въз основа на датата им на включване и след това следват график за тримесечно сканиране. Тези сканирания се използват за осигуряване на съответствие с шаблоните за базова конфигурация, валидиране на инсталирането на съответните корекции и идентифициране на уязвимости. Докладите за сканиране се преглеждат от подходящ персонал и усилията за отстраняване се извършват незабавно.

Всички неизползвани входно/изходни портове на крайни производствени сървъри са дезактивирани от конфигурации на ниво операционната система, които са дефинирани в базовата конфигурация за защита. Разрешени са непрекъснати проверки за проверка на конфигурацията, за да се открие отклонение в конфигурациите на ниво операционната система. В допълнение, превключвателите за откриване на проникване са активирани да отчитат, когато до сървъра се осъществява физически достъп.

Създадохме процедури за своевременно разследване и реагиране на злонамерени събития, открити от системата за наблюдение на Microsoft.

Microsoft прилага принципите на разделяне на задълженията и най-малко привилегии по време на операциите на Microsoft. За да осигури поддръжка на клиенти за избрани услуги, персоналът за поддръжка на Microsoft може да осъществява достъп до клиентски данни само с изричното разрешение на клиента. Разрешението се предоставя на база „точно навреме“, което се регистрира и одитира, след което се отменя след приключване на ангажимента. В Microsoft оперативните инженери и персоналът за поддръжка, които имат достъп до нейните производствени системи, използват закалени компютри на работни станции с осигурени на тях виртуални машини за достъп до вътрешна корпоративна мрежа и приложения (като имейл и интранет). Всички компютри на работни станции за управление имат модули за надеждна платформа (TPM), техните хостове за зареждане са криптирани с BitLocker и са присъединени към специална организационна единица в основния корпоративен домейн на Microsoft.

Укрепването на системата се налага чрез използване на групови правила с централизирано актуализиране на софтуера. За целите на одит и анализ регистрационните файлове на събития (като защита и AppLocker) се събират от работните станции за управление и се записват на защитено централно място. Освен това за свързване към производствена мрежа се използват специални полета за прескачане в мрежата на Microsoft, които изискват двуфакторно удостоверяване.

Следващи стъпки

Стратегия за защита във внедряванията на Dynamics 365
Документация за защита на Microsoft Power Platform в Центъра за сигурност на Microsoft
Модел на защита в Dynamics 365 Customer Engagement (on-premises)
Данни за одит и дейност на потребителите за защита и съответствие