Dynamics 365-sikkerhed

Microsoft Dynamics 365 og Microsoft Power Platform er abonnementsbaseret, SaaS (Software som en service), som hostes i Microsoft Azure-datacentre. Disse onlinetjenester er designet til at levere performance, skalerbarhed, sikkerhed, administrationsfunktioner og serviceniveauer, der er påkrævet i forbindelse med missionskritiske applikationer og systemer, der bruges af forretningsorganisationer.

Hos Microsoft er tillid et udgangspunkt for servicelevering, kontraktmæssige forpligtelser og branchetilsagn, og derfor har vi fået hjælp af Trusted Cloud Initiative. Trusted Cloud Initiative er et program af den CSA-branchegruppe (Cloud Security Alliance), som er oprettet for at hjælpe cloudtjenesteleverandører med at udvikle brancheanbefalet, sikker og indbyrdes kompatibel identitet samt adgang til og overholdelsesstyringskonfigurationer og -praksisser. Dette sæt af krav, retningslinjer og kontrollerede processer sikrer, at vi leverer vores cloudtjenester med de højeste standarder for teknisk, juridisk og overholdelsessupport. Vores fokus er på at vedligeholde dataintegriteten i skyen, hvilket styres af følgende tre nøgleprincipper:

Sikkerhed: Beskytte dig mod cybertrusler. Beskyttelse af personlige oplysninger: Giver dig kontrol over adgangen til dine data. Overholdelse af angivne standarder: Investering uden sidestykke til at opfylde globale standarder.

Hos Microsoft involverer vores fremgangsmåde til sikring af vores kunders oplysninger en sikkerhedsstyringsstruktur for teknologier, driftsprocedurer og politikker, der opfylder de seneste globale standarder, og som hurtigt kan tilpasse sig de tendenser i sikkerheden og branchespecifikke behov. Desuden leverer vi et sæt kundebaserede værktøjer, der tilpasser sig organisationen og dens sikkerhedsbehov. Brug Microsoft 365 Security and Compliance Center til at spore bruger- og administratoraktiviteter, malware-trusler, hændelser med tab af data med mere. Dashboardet for rapporter bruges til opdaterede rapporter, der er relateret til sikkerheds- og overholdelsesfunktionerne i din organisation. Du kan bruge Microsoft Entra-rapporter til at holde dig informeret om usædvanlige eller mistænkelige loginaktiviteter.

Bemærk

Azure Active Directory er nu Microsoft Entra ID. Få mere at vide

Vores sikkerhedspolitik definerer informationssikkerhedsregler og -krav til servicemiljøet. Microsoft udfører revisioner af periodisk informationsstyringssystem (ISMS), og resultater gennemgås med it-chefer. Denne proces omfatter overvågning af igangværende effektivitet og forbedring af ISMS-kontrolmiljøet ved at gennemgå sikkerhedsproblemer, revidere resultater og overvåge status samt planlægge og spore de nødvendige korrigerende handlinger.

Disse kontrolfunktioner omfatter:

• Fysiske og logiske netværksgrænser med konsekvent gennemtvingede politikker for ændringskontrol.
• Opdeling af opgaver, der kræver et forretningsområde for at have adgang til et miljø.
• Meget begrænset fysisk og logisk adgang til cloudmiljøet.
• Strenge kontroller, der er baseret på praksis for Microsoft Security Development Lifecycle og Operational Security Assurance, som definerer kodningsmetoder, kvalitetstest og opprioriteringer af kode.
• Forståelse og uddannelse af løbende praksis for sikkerhed, beskyttelse af personlige oplysninger og sikker kodning.
• Fortløbende logning og revision af systemadgang.
• Regelmæssig overholdelsesrevisioner for at sikre kontrollens effektivitet.

For at hjælpe med at bekæmpe nye og udviklede trusler anvender Microsoft en innovativ strategi, der "forudsætter brud", og bruger højt specialiserede grupper af sikkerhedseksperter – kaldet The Red Team – til at styrke registreringen, reaktionen og forsvaret mod trusler for dets Enterprise Cloud-tjenester. Microsoft bruger The Red Team og test af det live websted mod Microsoft-administreret cloudinfrastruktur til at simulere virkelige hændelser, udføre ubrudt sikkerhedsovervågning og gennemføre sikkerhedshændelsessvar for at validere og forbedre sikkerheden af onlinetjenester.

Microsoft Cloud-sikkerhedsteamet foretager hyppige interne og eksterne scanninger for at identificere svagheder og vurdere effektiviteten af processen til styring af programrettelser. Services scannes for kendte sårbarheder. Der føjes nye services til næste kvartalsvise scanning baseret på inkluderingsdatoen og derefter følger en kvartalsvis tidsplan for scanning. Disse scanninger bruges til at sikre, at de oprindelige konfigurationsskabeloner overholdes, til at validere installationen af relevante rettelser og til at identificere sårbarheder. Scanningsrapporter gennemses af det relevante personale, og afhjælpende foranstaltninger udføres uden fejl.

Alle ubrugte I/O-porte på edge-produktionsservere deaktiveres af konfigurationer på operativsystemniveau, der er defineret i den oprindelige sikkerhedskonfiguration. Fortløbende kontrol af konfigurationskontrol aktiveres, så det bliver muligt at registrere drift i konfigurationer på operativsystemniveau. Desuden er nye registreringskontakter aktiveret, så det registreres, hvornår en server tilgås fysisk.

Vi har fastlagt procedurer for at undersøge og reagere på ondsindede hændelser, der er registreret af Microsofts overvågningssystem i god tid.

Microsoft anvender principperne for separation af opgaver og de mindste rettigheder i alle Microsofts operationer. For at give kundesupport til udvalgte services kan Microsofts supportmedarbejdere kun få adgang til kundedata, hvis kunden har givet eksplicit tilladelse. Tilladelsen gives på "just-in-time"-basis, der registreres og overvåges, hvorefter den tilbagekaldes, efter at aftalen er udført. I Microsoft bruger driftsteknikere og supportmedarbejdere, som får adgang til produktionssystemerne, fysiske arbejdsstationer med virtuelle maskiner klargjort til intern netværksadgang og applikationer (f.eks. mail og intranet). Alle administrerede arbejdsstationer har TPM'er (Trusted Platform Module), deres værtscomputere er krypteret med BitLocker, og de er medlem af en særlig organisationsenhed i Microsofts primære virksomhedsdomæne.

Systemhærdning gennemtvinges ved hjælp af gruppepolitik med centraliseret softwareopdatering. Med henblik på overvågning og analyse indsamles hændelseslogfiler (f.eks. sikkerhed og AppLocker) fra administrationsarbejdsstationer og gemmes på en sikker central placering. Derudover bruges tiliserede jump-boxes i Microsoft-netværket, der kræver tofaktor-godkendelse, til at oprette forbindelse til et produktionsnetværk.

Næste trin

Sikkerhedsstrategi i Dynamics 365-implementeringer
Sikkerhedsdokumentation til Microsoft Trust CenterMicrosoft Power Platform
Sikkerhedsmodel i Dynamics 365 Customer Engagement (on-premises)
Overvåg data og brugeraktivitet for sikkerhed og overholdelse af angivne standarder