Introducción

Completado

Microsoft Power Platform tiene muchas características de seguridad diferentes en entornos, datos e implementación de aplicaciones. La seguridad es un componente fundamental en el diseño de una solución de Microsoft Power Platform. Suele ocurrir que los requisitos de seguridad se ignoren hasta las fases más adelantadas de un proyecto. Si se incluye la creación de modelos de seguridad en el diseño de la solución, se puede evitar la necesidad de efectuar cambios significativos al final de un proyecto.

Importante

La seguridad debe plantearse desde el principio, en lugar de como una idea adicional antes de la implementación.

La estrategia de seguridad correcta equilibra los requisitos de seguridad legítimos con la necesidad de acceso al sistema y la colaboración entre empresas. Al implementar soluciones de Microsoft Power Platform, el arquitecto de soluciones debe equilibrar dos aspectos: el acceso de usuario y la seguridad del sistema.

Equilibrar el acceso de usuario con la seguridad del sistema.

La seguridad de los datos y del sistema es importante. Los datos son la base del negocio y no deseará que caigan en manos de la competencia. Con las regulaciones que rodean los datos personales, las organizaciones podrían ser responsables si se produce una infracción de datos que afecte a los datos personales.

Otras consideraciones importantes son la facilidad de uso del sistema y la adopción por parte del usuario. Si el modelo de seguridad es demasiado laxo, los usuarios pueden ver y cambiar datos a los que no deberían poder acceder, con lo que se creará la percepción de que los datos del sistema no son fiables. Si el modelo de seguridad es demasiado estricto y bloquea todo para que los usuarios solo puedan ver un pequeño subconjunto de los datos en el sistema, o solo puedan realizar operaciones limitadas, disminuirá el valor de la solución. En consecuencia, los usuarios volverán a sus silos de datos anteriores y a la adopción por parte de los usuarios, que son los aspectos más importantes para medir el éxito, y la solución finalmente se verá afectada.

Como consultor funcional o desarrollador, es posible que no haya estado expuesto a las características de seguridad de Microsoft Power Platform. Sin embargo, como arquitecto de soluciones, deberá comprender todas las características de seguridad y cuándo aplicarlas en diferentes escenarios. Este módulo ofrece una revisión profunda de los aspectos de seguridad de las soluciones de Microsoft Power Platform y contiene información importante que no se encuentra en módulos para otros roles.

Proceso de arquitectura de seguridad

Para definir la seguridad de una solución, los arquitectos de soluciones deben desglosar los requisitos y aclarar cuál debe ser el aspecto de la solución. El arquitecto de soluciones deberá comprender el entorno de la organización y sus requisitos en cuanto a los siguientes aspectos:

  • Autenticación
  • Seguridad de red
  • Autorización

Detección

La detección consiste en aprender el entorno, los procedimientos y las directivas de una organización.

Los arquitectos de soluciones deben descubrir qué utiliza una organización para la autenticación realizando las siguientes preguntas:

  • ¿Tienen inicio de sesión único (SSO)?
  • ¿Están usando productos de otras fuentes o solo de Microsoft Azure Active Directory (Azure AD)?
  • ¿Utilizan autenticación multifactor?
  • ¿Se utiliza el acceso condicional?

Es poco probable que un solo proyecto de Microsoft Power Platform cambie el enfoque de autenticación de la organización, por lo que el arquitecto de soluciones deberá:

  • Asignar directivas y requisitos de seguridad al diseño.
  • Crear un plan de autenticación inicial.
  • Revisar el diseño con los representantes de seguridad de la organización.

Los arquitectos de soluciones deben comprender cómo se aplicará la autorización a la solución y deberán:

  • Extraer los requisitos relacionados con la seguridad.
  • Aclarar los requisitos de seguridad para simplificar.
  • Crear un plan de autorización inicial.
  • Revisarla con los analistas comerciales y equipos de seguridad.

Para comprender mejor de qué manera la organización administra la seguridad, los arquitectos de soluciones deben hacer las siguientes preguntas:

  • ¿Cómo se gestiona la seguridad?
  • ¿Qué directivas de seguridad deben seguirse?
  • ¿Cuál es el proceso de aprobación de la arquitectura de seguridad?
  • ¿Cómo se gestionan los derechos de nivel de aplicación?
  • ¿Qué equipo editará la seguridad en Microsoft Power Platform?
  • ¿Cómo se asignan los usuarios a las aplicaciones?

Al aprender sobre el entorno del usuario, el arquitecto de soluciones también debe comprender:

  • Cómo influye la estructura de la organización en la seguridad.
  • Si las personas trabajan en equipos que trascienden los límites de la organización.
  • Si existe un sistema de clasificación de datos implementado.
  • Las directivas de retención de datos y las directivas de privacidad.
  • Las normativas de acceso a los datos que se aplican.

El rol del arquitecto de soluciones en la creación de modelos de seguridad

Los arquitectos de soluciones lideran los esfuerzos en la creación de un modelo de seguridad integral que abarque desde la autenticación hasta el acceso en el nivel de columna de datos.

El rol del arquitecto de soluciones en relación con la seguridad consiste en:

  • Liderar los esfuerzos en la creación de un modelo de seguridad integral.
  • Comunicar opciones para la arquitectura de seguridad a un alto nivel y ayudar a guiar a los miembros del equipo en cuanto a las opciones de diseño de la arquitectura.
  • Defender la simplicidad, evitar que la seguridad sea demasiado complicada y, al mismo tiempo, garantizar las protecciones necesarias.

Un arquitecto de soluciones también debe plantearse si los requisitos de seguridad, normativos o de cumplimiento afectarán al diseño de la solución.

Requisitos de seguridad

El modelo de seguridad será diferente para cada solución, pero debería tener las siguientes directrices a la hora de crear un modelo de seguridad:

  • Restricción: los usuarios solo deben poder editar los datos relevantes para su rol. Sin embargo, tiene sentido ser menos restrictivo a la hora de establecer qué datos pueden leer los usuarios, ya que esto ayuda a los usuarios a ver sus datos en contexto. Un arquitecto de soluciones debe limitar la capacidad de eliminar datos a menos que sea necesario.
  • Simplificar: Microsoft Power Platform tiene muchas características de seguridad. Un arquitecto de soluciones debe considerar el impacto del diseño de seguridad a la hora de determinar la complejidad de la gestión del sistema y la dificultad que supondrá cambiarlo.
  • Usar: a menudo, los requisitos de seguridad que se proporcionarán se derivan de la aprensión o concepto erróneo sobre las capacidades de Microsoft Power Platform. Un arquitecto de soluciones debe garantizar que el diseño de seguridad se base en requisitos empresariales legítimos. Este enfoque puede requerir que el arquitecto de soluciones comprenda dónde se han originado los requisitos de seguridad y proponga enfoques alternativos. Intentar bloquear una solución de Microsoft Power Platform para evitar que los usuarios lleven a cabo algunas acciones puede ser difícil, además de costoso, si la plataforma no proporciona la capacidad de hacerlo. El arquitecto de soluciones debe utilizar las capacidades de seguridad de la plataforma al diseñar la seguridad de su solución.
  • Implementar en capas Microsoft Power Platform tiene características de seguridad en aplicaciones, datos y procesos. Lo ideal es que la seguridad se implemente en la capa de la plataforma para facilitar la implementación y la administración.
  • Revisión: el uso de la solución, cuando se implemente, no será el imaginado originalmente y los patrones de uso evolucionarán con el tiempo. A veces, las decisiones de diseño de seguridad iniciales ya no serán válidas y deberán ajustarse.