Sicherheit von Dynamics 365

Microsoft Dynamics 365 und Microsoft Power Platform sind abonnementbasierte Software-as-a-Service- (SaaS-)Dienste, die in Microsoft Azure-Rechenzentren gehostet werden. Diese Onlinedienste haben die Aufgabe, Leistung, Skalierbarkeit, Sicherheit, Verwaltungsfunktionen und Servicelevel bereitzustellen, die für geschäftskritische Anwendungen und Systeme erforderlich sind, die von Unternehmen verwendet werden.

Da bei Microsoft Vertrauen im Mittelpunkt der Leistungserbringung, der vertraglichen Verpflichtungen und der Branchenzulassung steht, haben wir uns der Trusted Cloud Initiative angeschlossen. Die Trusted Cloud Initiative ist ein Programm der Cloud Security Alliance (CSA) Industry Group, das mit dem Ziel ins Leben gerufen wurde, Cloud-Dienstanbieter bei der Entwicklung von branchenüblichen, sicheren und interoperablen Identitäts-, Zugriffs- und Compliance-Managementkonfigurationen und -abläufen zu unterstützen. Mit diesen Anforderungen, Richtlinien und kontrollierten Prozessen wird dafür gesorgt, dass wir unsere Clouddienste mit den höchsten Standards in Bezug auf technische, rechtliche und Compliance-Unterstützung bereitstellen. Unser Schwerpunkt liegt auf der sicheren Datenintegrität in der Cloud, die von den folgenden drei Kernprinzipien bestimmt wird:

Sicherheit: Schutz vor Cyberbedrohungen. Datenschutz: Kontrolle über den Zugriff auf Ihre Daten. Compliance: Investitionen in nie dagewesener Höhe für die Einhaltung globaler Standards.

Das Konzept von Microsoft zum Schutz der Daten unserer Kunden umfasst ein Sicherheitskontrollsystem mit Technologien, Geschäftsprozessen und Richtlinien, die den aktuellen globalen Standards entsprechen und sich schnell an Sicherheitstrends und branchenspezifische Anforderungen anpassen lassen. Außerdem bieten wir verschiedene Tools, die von Kunden eingesetzt werden und sich an das Unternehmen und seine Sicherheitsanforderungen anpassen lassen. Mit dem Microsoft 365-Sicherheits- und Konformitätscenter können Sie Benutzer- und Administratoraktivitäten, Malware-Bedrohungen, Datenverlustvorfälle und mehr verfolgen. Das Berichte-Dashboard wird für aktuelle Berichte zu den Sicherheits- und Compliance-Funktionen in Ihrem Unternehmen verwendet. Durch die Microsoft Entra-Berichte werden Sie immer über ungewöhnliche oder verdächtige Anmeldeaktivitäten informiert.

Hinweis

Azure Active Directory ist jetzt Microsoft Entra ID. Weitere Informationen

In unserer Sicherheitsrichtlinie sind die Regeln für die Datensicherheit und die Anforderungen für die Dienstumgebung definiert. Microsoft führt regelmäßig ISMS-Überprüfungen (Information Security Management System) durch, und die Ergebnisse werden mit IT-Managern ausgewertet. Dieser Ablauf umfasst die Überwachung der laufenden Effektivität und die Verbesserung der ISMS-Kontrollumgebung durch Analysieren von Sicherheitsproblemen, Prüfergebnissen und des Überwachungsstatus sowie durch Planen und Verfolgen notwendiger Korrekturmaßnahmen.

Zu diesen Steuerelementen gehören:

• Physische und logische Netzwerkgrenzen mit konsequent angewendeten Änderungskontrollrichtlinien.
• Trennung von Aufgaben, für die eine Geschäftsanforderung zum Zugreifen auf eine Umgebung erforderlich ist.
• Stark eingeschränkter physischer und logischer Zugriff auf die Cloud-Umgebung.
• Strenge Kontrollen basierend auf den Methoden der Microsoft Security Development Lifecycle and Operational Security Assurance, die Codierungspraktiken, Qualitätstests und Codeaktionen definieren.
• Ständige Informationen und Schulungen zu Sicherheit, Datenschutz und sicheren Codierungspraktiken.
• Ständige Protokollierung und Prüfung des Systemzugriffs.
• Regelmäßige Compliance-Prüfungen, um effektive Steuerung zu ermöglichen.

Zur Bekämpfung neuer und zukünftiger Cyberbedrohungen nutzt Microsoft eine innovative Assume-Breach-Strategie und setzt mit dem sogenannten „Red Team“ hochspezialisierte Sicherheitsexperten, um Bedrohungen zu erkennen, optimal darauf zu reagieren und seine Cloud-Dienste für Unternehmen vor Angriffen zu schützen. Microsoft nutzt das Red Team und Live-Site-Tests mit durch Microsoft verwalteter Cloudinfrastruktur, um Sicherheitsverletzungen zu simulieren, ständige Sicherheitsüberwachung durchzuführen und die Reaktion auf Sicherheitsvorfälle zu üben und dadurch die Sicherheit von Onlinediensten zu validieren und zu verbessern.

Das Microsoft Cloud-Sicherheitsteam führt häufige interne und externe Scans durch, um Schwachstellen zu erkennen und die Effektivität des Patch-Managements zu bewerten. Die Dienste werden auf bekannte Schwachstellen geprüft, neue Dienste werden entsprechend ihrem Aufnahmedatum zur nächsten zeitgesteuerten vierteljährlichen Prüfung hinzugefügt und folgen danach einem vierteljährlichen Prüfungsablaufplan. Mithilfe dieser Prüfungen wird Konformität mit grundlegenden Konfigurationsvorlagen erreicht, die Installation relevanter Patches wird validiert und Schwachstellen werden erkannt. Die Prüfungsberichte werden von qualifiziertem Personal überprüft Behebungsmaßnahmen werden sofort durchgeführt.

Alle nicht verwendeten E/A-Ports auf Edge-Produktionsservern werden durch in der Basissicherheitskonfiguration festgelegten Konfigurationen auf Betriebssystemebene deaktiviert. Ständige Überprüfungen der Konfiguration dienen der Erkennung von Abweichungen bei den Konfigurationen auf Betriebssystemebene. Außerdem sind Intrusion-Detection-Systeme aktiviert, um zu erkennen, wenn physisch auf einen Server zugegriffen wird.

Wir haben Prozeduren definiert, mit denen schädliche Ereignisse, die durch das Überwachungssystem von Microsoft erkannt wurden, analysiert werden und rechtzeitig auf sie reagiert werden kann.

Microsoft verfährt im gesamten Unternehmen nach den Prinzipien von Aufgabentrennung und geringsten Zugriffsrechten. Um Kunden spezielle Supportleistungen für ausgewählte Dienste zu erbringen, dürfen die Mitarbeiter des Microsoft-Supports nur mit der ausdrücklichen Genehmigung des Kunden auf Kundendaten zugreifen. Die Genehmigung erfolgt nach dem Just-In-Time-Prinzip, wird protokolliert und geprüft und nach Abschluss des Auftrags aufgehoben. Bei Microsoft verwenden Operations Engineers und Support-Mitarbeiter, die auf die Produktionssysteme zugreifen, stabile Workstations mit virtuellen Maschinen für den Zugriff auf das interne Unternehmensnetz und Anwendungen (wie E-Mail und Intranet). Alle Management-Arbeitsstationen verfügen über Trusted Platform Modules (TPMs), ihre Host-Startlaufwerke sind mit BitLocker verschlüsselt, und sie sind in eine spezielle Organisationseinheit in der primären Microsoft-Unternehmensdomäne integriert.

Die Systemstabilisierung wird durch Gruppenrichtlinien mit zentralisierten Softwareaktualisierungen erreicht. Zur Prüfung und Analyse werden Ereignisprotokolle (z. B. Sicherheit und AppLocker) von Management-Arbeitsstationen gesammelt und an einem sicheren zentralen Ort gespeichert. Außerdem werden spezielle Jump-Boxen im Microsoft-Netzwerk verwendet, die eine Zwei-Faktor-Authentifizierung erfordern, damit die Verbindung mit einem Produktionsnetz hergestellt werden kann.

Nächste Schritte

Sicherheitsstrategie in Dynamics 365-Implementierungen
Microsoft Trust CenterMicrosoft Power Platform-Sicherheitsdokumentation
Sicherheitsmodell in Dynamics 365 Customer Engagement (on-premises)
Überwachen der Daten- und Benutzeraktivität für Sicherheit und Compliance