Zabezpečení Dynamics 365

Microsoft Dynamics 365 a Microsoft Power Platform jsou služby typu software jako služba (SaaS) založené na předplatném, které jsou hostovány v datových centrech Microsoft Azure. Tyto online služby jsou navrženy tak, aby poskytovaly výkon, škálovatelnost, zabezpečení, možnosti správy a rozsahy služeb požadované pro kritické aplikace a systémy používané obchodními organizacemi.

Ve společnosti Microsoft je důvěra středobodem poskytování služeb, smluvních závazků a odvětvové akreditace, a proto jsme přijali iniciativu Trusted Cloud Initiative. Trusted Cloud Initiative je program odvětvové skupiny Cloud Security Alliance (CSA) vytvořený s cílem pomoct poskytovatelům cloudových služeb vyvinout bezpečné a interoperabilní konfigurace a postupy správy identity, přístupu a dodržování předpisů doporučované odvětvím. Tento soubor požadavků, pokynů a řízených procesů zajišťuje, že naše cloudové služby dodáváme s nejvyššími standardy technické a právní podpory a podpory dodržování předpisů. Zaměřujeme se na zachování integrity dat v cloudu, která se řídí následujícími třemi klíčovými principy:

Zabezpečení: Chrání vás před kybernetickými hrozbami. Soukromí: Poskytuje vám kontrolu nad přístupem k vašim datům. Dodržování předpisů: Bezkonkurenční investice do plnění globálních standardů.

Přístup společnosti Microsoft k zabezpečení informací našich zákazníků zahrnuje rámec řízení zabezpečení technologií, provozních postupů a zásad, které splňují nejnovější globální standardy a dokážou se rychle přizpůsobit bezpečnostním trendům a specifickým potřebám odvětví. Kromě toho poskytujeme sadu nástrojů spravovaných zákazníky, které se přizpůsobí organizaci a jejím bezpečnostním potřebám. Pomocí Centra zabezpečení a dodržování předpisů Microsoft 365 můžete sledovat aktivity uživatelů a správců, hrozby malwaru, případy ztráty dat a další. Řídicí panel sestav se používá pro aktuální sestavy související s funkcemi zabezpečení a dodržování předpisů ve vaší organizaci. Díky sestavám služby Microsoft Entra budete mít přehled o neobvyklých nebo podezřelých aktivitách při přihlašování.

Poznámka

Azure Active Directory je nyní Microsoft Entra ID. Další informace

Naše zásady zabezpečení definují pravidla zabezpečení informací a požadavky na prostředí služeb. Společnost Microsoft provádí pravidelné kontroly systému správy zabezpečení informací (ISMS) a výsledky jsou přezkoumávány s manažery IT. Tento proces zahrnuje monitorování průběžné efektivity a zlepšování řídicího prostředí ISMS prostřednictvím kontroly problémů zabezpečení, auditování výsledků a monitorování stavu a také plánováním a sledováním nezbytných nápravných opatření.

Tyto kontrolní postupy zahrnují:

• Fyzické a logické hranice sítě s přísně vynucenými zásadami řízení změn.
• Oddělení povinností, které vyžadují obchodní potřebu pro přístup k prostředí.
• Vysoce omezený fyzický a logický přístup do cloudového prostředí.
• Přísná opatření založená na postupech Microsoft Security Development Lifecycle a Operational Security Assurance, které definují postupy kódování, testování kvality a propagaci kódu.
• Průběžná informovanost a školení na téma zabezpečení, soukromí a postupů bezpečného kódování.
• Průběžné protokolování a audit přístupu do systému.
• Pravidelné audity dodržování předpisů pro zajištění účinnosti opatření.

V boji proti vznikajícím a vyvíjejícím se hrozbám používá Microsoft inovativní strategii „předpokládaného narušení” a využívá vysoce specializované skupiny expertů v oblasti zabezpečení – známé jako Red Team – k posílení detekce hrozeb, reakce na ně a obrany podnikových cloudových služeb. Společnost Microsoft používá červený tým a živé testování webu oproti cloudové infrastruktuře spravované společností Microsoft k simulaci narušení v reálném světě, provádění nepřetržitého monitorování zabezpečení a procvičování reakce na incidenty zabezpečení za účelem ověření a zlepšení zabezpečení online služeb.

Tým zabezpečení služby Microsoft Cloud provádí časté interní a externí kontroly s cílem identifikovat slabá místa a vyhodnotit efektivitu procesu správy oprav. Ve službách jsou kontrolována známá ohrožení zabezpečení; na základě data zahrnutí jsou do příští naplánované čtvrtletní kontroly přidány další služby, které se pak řídí čtvrtletním plánem kontrol. Tyto kontroly se používají k zajištění souladu se základními konfiguračními šablonami, k ověření instalace příslušných oprav a k identifikaci ohrožení zabezpečení. Zprávy z kontrol jsou vyhodnoceny příslušnými pracovníky a okamžitě se provádějí nápravné kroky.

Všechny nepoužívané I/O porty na hraničních produkčních serverech jsou zakázány konfigurací na úrovni operačního systému, která je definována v základní konfiguraci zabezpečení. Povoleny jsou nepřetržité kontroly ověřování konfigurace za účelem detekce posunu v konfiguracích na úrovni operačního systému. Kromě toho jsou povoleny přepínače detekce narušení, které rozpoznají, když je server fyzicky napaden.

Zavedli jsme postupy pro vyšetřování a včasnou reakci na škodlivé události zjištěné monitorovacím systémem společnosti Microsoft.

Microsoft využívá během svých operací principy oddělení povinností a nejnižší možnosti oprávnění. Za účelem poskytování zákaznické podpory pro vybrané služby mohou pracovníci podpory Microsoftu přistupovat k zákaznickým datům pouze s výslovným povolením zákazníka. Povolení se uděluje podle potřeby, je zaprotokolováno a auditováno a po dokončení zakázky je zrušeno. V rámci společnosti Microsoft používají provozní technici a pracovníci podpory, kteří přistupují k jejím produkčním systémům, zesílená PC pracovní stanice, na kterých jsou virtuální počítače pro přístup k interní podnikové síti a aplikacím (jako je e-mail a intranet). Všechny počítače pro správu pracovních stanic mají moduly Trusted Platform Modules (TPM), jejich hostitelské spouštěcí jednotky jsou šifrovány pomocí nástroje BitLocker a jsou připojeny ke speciální organizační jednotce v primární doméně společnosti Microsoft.

Zesílení systému je vynuceno pomocí zásad skupiny s centralizovanou aktualizací softwaru. Pro účely auditování a analýzy se z pracovních stanic pro správu shromažďují protokoly událostí (jako je zabezpečení a AppLocker) a ukládají se do zabezpečeného centrálního umístění. Kromě toho se pro připojení k produkční síti používají vyhrazené jump-boxy v síti Microsoft, které vyžadují dvoufaktorové ověření.

Další kroky

Strategie zabezpečení v implementacích Dynamics 365
Dokumentace k zabezpečení Centra zabezpečení Microsoftu v řešení Microsoft Power Platform
Model zabezpečení v Dynamics 365 Customer Engagement (on-premises)
Data auditu a aktivita uživatelů pro účely zabezpečení a dodržování předpisů