Javaslatok biztonsági alapkonfiguráció létrehozásához
A jól felépített biztonsági ellenőrzőlistára vonatkozó javaslatra Power Platform vonatkozik:
| SE:01 | Hozzon létre egy biztonsági alapkonfigurációt, amely igazodik a megfelelőségi követelményekhez, az iparági szabványokhoz és a platformjavaslatokhoz. Rendszeresen mérje a számítási feladatok architektúráját és műveleteit az alapkonfigurációhoz képest, hogy idővel fenntartsa vagy javítsa a biztonsági helyzetet. |
|---|
Ez az útmutató a számítási feladatok fejlesztéséhez szükséges biztonsági alapkonfiguráció létrehozására vonatkozó javaslatokat ismerteti Microsoft Power Platform. A biztonsági alapkonfiguráció olyan minimális biztonsági szabványok és ajánlott eljárások összessége, amelyeket a szervezet az informatikai rendszereire és szolgáltatásaira alkalmaz. A biztonsági alapkonfiguráció segít csökkenteni a kibertámadások, az adatszivárgások és a jogosulatlan hozzáférés kockázatát. A biztonsági alapkonfiguráció segít a konzisztencia, az elszámoltathatóság és a naplózhatóság biztosításában is a szervezeten belül.
A jó biztonsági alapkonfiguráció a következőkben segít:
- Csökkentheti a kibertámadások, az adatszivárgások és a jogosulatlan hozzáférés kockázatát.
- Konzisztencia, elszámoltathatóság és auditálhatóság biztosítása a szervezeten belül.
- Tartsa biztonságban adatait és rendszereit.
- Feleljen meg a szabályozási követelményeknek.
- Minimalizálja a felügyelet kockázatát.
A biztonsági alapkonfigurációkat széles körben közzé kell tenni a szervezetben, hogy minden érdekelt fél tisztában legyen az elvárásokkal.
A biztonsági alapkonfiguráció Microsoft Power Platform létrehozása több lépésből és megfontolásból áll, például:
Az architektúra és az összetevők Power Platform, például a környezetek, összekötők, Dataverse és Power Apps. Power Automate
A bérlő, a környezet és az erőforrások biztonsági beállításainak és szerepköreinek konfigurálása Power Platform , például az adatveszteség-megelőzési házirendek, a környezeti engedélyek és a biztonsági csoportok.
Az azonosító használata Microsoft Entra a felhasználói identitások, a hitelesítés és az engedélyezés Power Platform kezeléséhez, valamint más Entra ID funkciókkal, például a feltételes hozzáféréssel és a többtényezős hitelesítéssel való integrációhoz.
Adatvédelmi és titkosítási módszerek alkalmazása az általuk Power Platform tárolt és feldolgozott adatok, például érzékenység címkék és ügyfél által kezelt kulcsok védelmére.
A tevékenységek és a használat figyelése és naplózása Power Platform olyan eszközökkel, mint a felügyeleti központ, a felügyelt környezetek és a Power Platform Microsoft Purview.
Irányítási szabályzatok és folyamatok megvalósítása Power Platform, például a különböző érdekelt felek szerepének és felelősségének meghatározása, jóváhagyási munkafolyamatok és változáskezelés létrehozása, valamint útmutatás és képzés biztosítása a felhasználók és a fejlesztők számára.
Ez az útmutató segítséget nyújt egy olyan biztonsági alapkonfiguráció beállításában, amely a belső és a külső tényezőket is figyelembe veszi. A belső tényezők közé tartoznak az üzleti igények, a kockázati tényezők és az eszközértékelés. A külső tényezők közé tartoznak az iparági referenciaértékek és a szabályozási szabványok. Ezeket a lépéseket és szempontokat követve a szervezet olyan biztonsági alapkonfigurációt Power Platform hozhat létre, amely összhangban van üzleti céljaival, megfelelőségi követelményeivel és kockázatvállalási hajlandóságával. A biztonsági alapkonfiguráció segíthet a szervezetnek maximalizálni az előnyeit, Power Platform miközben minimalizálja a lehetséges fenyegetéseket és kihívásokat.
Meghatározások
| Kifejezés | Definíció |
|---|---|
| Alapvonal | A biztonsági szolgáltatások azon minimális szintje, amellyel a munkaterhelésnek rendelkeznie kell ahhoz, hogy ne lehessen kihasználni. |
| Szintjel | Olyan szabvány, amely a szervezet által elérni kívánt biztonsági helyzetet jelzi. Idővel kiértékelik, mérik és fejlesztik. |
| Szabályzók | A számítási feladatok technikai vagy üzemeltetési vezérlői, amelyek segítenek megelőzni a támadásokat és növelni a támadók költségeit. |
| Szabályozási követelmények | A törvények és hatóságok által előírt iparági szabványok által vezérelt üzleti követelmények. |
Fő tervezési stratégiák
A biztonsági alapkonfiguráció egy irányelv, amely leírja azokat a biztonsági követelményeket és funkciókat, amelyeknek a munkaterhelésnek meg kell felelnie a biztonság javítása és fenntartása érdekében. Az alapkonfigurációt speciálisabbá teheti a határok beállításához használt szabályzatok hozzáadásával. Az alapkonfigurációnak a biztonsági szint mérésére használt szabványnak kell lennie. Törekedjen arra, hogy mindig elérje a teljes alapvonalat, miközben széles hatókört fed le.
Teremtse meg az alapvonalat az üzleti és műszaki vezetők közötti konszenzus megszerzésével. Az alapkonfigurációnak tartalmaznia kell a technikai ellenőrzéseket, de a biztonsági helyzet kezelésének és fenntartásának operatív szempontjait is.
A biztonsági alapkonfiguráció Power Platform létrehozásához vegye figyelembe a következő fő tervezési stratégiákat:
Használja a Microsoft felhőbiztonsági teljesítménytesztjét (MCSB) referencia-keretrendszerként. Az MCSB ajánlott biztonsági eljárások átfogó készlete, amely a felhőbiztonság különböző aspektusait fedi le, például az identitás- és hozzáférés-kezelést, az adatvédelmet, a hálózati biztonságot, a veszélyforrások elleni védelmet és az irányítást. Az MCSB segítségével felmérheti az aktuális biztonsági helyzetet, és azonosíthatja a hiányosságokat és a fejlesztési területeket.
Szabja testre az MCSB-t az adott üzleti igényeknek, megfelelőségi követelményeknek és kockázatvállalási hajlandóságnak megfelelően. Előfordulhat, hogy hozzá kell adnia, módosítania vagy el kell távolítania néhány MCSB-vezérlőt a szervezeti környezet és célok alapján. Előfordulhat például, hogy a biztonsági alapkonfigurációt össze kell hangolnia az iparági szabványokkal (például ISO 27001 vagy NIST 800-53) vagy szabályozási keretekkel (például GDPR, az Általános adatvédelmi rendelet vagy a HIPAA, az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvény), amelyek relevánsak az Ön tartományában vagy régiójában.
Adja meg a biztonsági alapkonfiguráció Power Platform hatókörét és alkalmazhatóságát. Egyértelműen meg kell határoznia, hogy mely Power Platform összetevőkre, funkciókra és szolgáltatásokra terjed ki a biztonsági alapkonfiguráció, és melyek nem tartoznak a hatókörbe, vagy különleges szempontokat igényelnek. Előfordulhat például, hogy különböző biztonsági követelményeket kell meghatároznia Power Platform a különböző típusú környezetekhez (például termelési, fejlesztési vagy tesztkörnyezet), összekötőkhöz (például standard, egyéni vagy prémium) vagy alkalmazásokhoz (például vászonalapú, modellvezérelt vagy oldalak).
Ezeket a tervezési stratégiákat követve létrehozhat egy biztonsági alapkonfiguráció-dokumentumot Power Platform , amely tükrözi a biztonsági célokat és szabványokat, és segít megvédeni adatait és eszközeit a felhőben.
A számítási feladatok változásával és a környezet növekedésével fontos, hogy az alapkonfiguráció frissüljön a módosításokkal, hogy az alapszintű vezérlők továbbra is működjenek. Íme néhány javaslat a biztonsági alapkonfiguráció létrehozásának folyamatához:
Eszközleltár. Azonosítsa a számítási feladatok eszközeinek érdekelt feleit és az eszközök biztonsági célkitűzéseit. Az eszközleltárban besorolás biztonsági követelmények és kritikusság szerint. További információ az adategységekről: Adatbesorolási javaslatok.
Számítási feladatok rétegeinek meghatározása. A biztonsági alapkonfiguráció meghatározásakor fontos átgondolni, hogyan fogja kategorizálni a kritikusság alapján készült megoldásokat, hogy olyan folyamatokat fejleszthessen, amelyek biztosítják, hogy a kritikus alkalmazások rendelkezzenek a támogatásukhoz szükséges védőkorlátokkal, ugyanakkor ne fojtsák el a termelékenységi forgatókönyvek innovációját.
Kockázatértékelés. Azonosítsa az egyes eszközökhöz kapcsolódó potenciális kockázatokat, és rangsorolja őket.
Megfelelőségi követelmények. Alapozza ki az eszközökre vonatkozó szabályozást vagy megfelelőséget, és alkalmazza az iparág bevált gyakorlatait.
Konfigurációs szabványok. Határozza meg és dokumentálja az egyes eszközök konkrét biztonsági konfigurációit és beállításait. Ha lehetséges, hozzon létre egy sablont, vagy keressen egy megismételhető, automatizált módszert a beállítások következetes alkalmazására a környezetben. Vegye figyelembe a konfigurációkat minden szinten. Kezdje a hozzáféréssel vagy a hálózattal kapcsolatos bérlői szintű biztonsági konfigurációkkal. Ezután fontolja meg Power Platform az erőforrás-specifikus biztonsági konfigurációkat, például az adott Power Pages konfigurációkat, valamint a számítási feladatokra vonatkozó biztonsági konfigurációkat, például a számítási feladat megosztását.
Hozzáférés-vezérlés és hitelesítés. Adja meg a szerepköralapú hozzáférés-vezérlés (RBAC) és a többtényezős hitelesítés (MFA) követelményeit. Dokumentálja, hogy mit jelent az elegendő hozzáférés az eszköz szintjén. Mindig a legkisebb kiváltság elvével kezdje.
Dokumentáció és kommunikáció. Dokumentálja az összes konfigurációt, házirendet és eljárást. Közölje a részleteket az érdekelt felekkel.
Végrehajtás és elszámoltathatóság. Egyértelmű végrehajtási mechanizmusok és következmények létrehozása a biztonsági alapkonfigurációnak való meg nem felelés esetére. Felelősségre vonhatja az egyéneket és a csapatokat a biztonsági előírások betartásáért.
Folyamatos felügyelet. Mérje fel a biztonsági alapkonfiguráció hatékonyságát a megfigyelhetőség alapján, és idővel javítson.
Az alapvonal összetétele
Íme néhány gyakori kategória, amelyeknek egy alapkonfiguráció részét kell képezniük. Az alábbi lista nem teljes. A dokumentum hatókörének áttekintésére szolgál
Szabályozási megfelelőség
A kialakítással kapcsolatos döntéseket befolyásolhatják az egyes iparági szegmensekre vonatkozó jogszabályi megfelelőségi követelmények, illetve a földrajzi korlátozások. Kulcsfontosságú megérteni a jogszabályi megfelelőségi követelményeket, és belefoglalni őket a számítási feladatok architektúrájába.
Az alapforgatókönyvnek tartalmaznia kell a munkateher szabályozási követelmények szerinti rendszeres értékelését. Használja ki a platform által biztosított eszközök, például a Microsoft Power Advisor előnyeit, amelyek azonosítani tudják a meg nem felelési területeket. A szervezet megfelelőségi csapatával együttműködve győződjön meg arról, hogy minden követelmény teljesül és karbantartásra kerül.
Példa
Az élettudományokkal foglalkozó szervezetek olyan megoldásokat fejlesztenek, amelyeknek meg kell felelniük a helyes klinikai, laboratóriumi és gyártási gyakorlat (GxP) követelményeinek. Kihasználhatja a felhő hatékonyságát, miközben védi a betegbiztonságot, a termékminőséget és az adatok integritását. További információkért lásd : Microsoft GxP irányelvek a Dynamics 365 rendszerhez és Power Platform.
Bár nincs külön GxP tanúsítvány a felhőszolgáltatók számára, Microsoft Azure (amelyek házigazdái Power Platform) független harmadik fél által végzett minőségirányítási és információbiztonsági auditokon mentek keresztül, beleértve az ISO 9001 és az ISO/IEC 27,001 tanúsítványokat. Ha alkalmazásokat Power Platform telepít, vegye figyelembe a következő lépéseket:
- Határozza meg a számítógépes rendszerre vonatkozó GxP követelményeket a tervezett felhasználás alapján.
- Kövesse a minősítési és érvényesítési folyamatok belső eljárásait a GxP követelményeknek való megfelelés igazolására.
Architektúra összetevői
Az alapkonfigurációnak előíró javaslatokat kell tennie a számítási feladat fő összetevőihez. Ezek általában magukban foglalják a hálózatkezelés, az identitás és az adatok technikai ellenőrzését. Lásd a példát.
Fejlesztési folyamatok
Az alapkonfigurációnak javaslatokat kell tartalmaznia a következőkre vonatkozóan:
- Power Platform Használatra jóváhagyott erőforrástípusok.
- Az erőforrások figyelése.
- Naplózási és naplózási képességek megvalósítása.
- Erőforrások megosztása.
- Az erőforrások használatára vagy konfigurálására vonatkozó házirendek kényszerítése.
- Adatvédelem és hálózati biztonság.
A fejlesztői csapatnak tisztában kell lennie a biztonsági ellenőrzések hatókörével, a biztonságot szem előtt tartó megoldások tervezésével és fejlesztésével Power Platform , valamint a rendszeres biztonsági értékelések elvégzésével. Például a legkisebb jogosultság elvének alkalmazása, a fejlesztési és éles környezetek elkülönítése, a biztonságos összekötők és átjárók használata, valamint a felhasználói bemenetek és kimenetek ellenőrzése a számítási feladatok biztonságának biztosításához szükséges követelmények. Kommunikálja, hogyan lehet azonosítani a potenciális fenyegetéseket, és legyen konkrét az ellenőrzések elvégzésének módjáról.
További információ: Javaslatok a fenyegetéselemzéshez.
A fejlesztési folyamatnak szabványokat kell meghatároznia a különböző vizsgálati módszerekre vonatkozóan is. További információ: Biztonsági tesztelésre vonatkozó javaslatok.
Műveletek
Az alapkonfigurációnak szabványokat kell tartalmaznia a fenyegetések észlelésére és a tényleges incidenseket jelző rendellenes tevékenységekre vonatkozó riasztások kiadására.
Az alapkonfigurációnak ajánlásokat kell tartalmaznia az incidensekre való reagálási folyamatok beállításához, beleértve a kommunikációt és a helyreállítási tervet, és fel kell jegyeznie, hogy ezek közül a folyamatok közül melyek automatizálhatók az észlelés és az elemzés felgyorsítása érdekében. Példákért lásd : Microsoft felhőbiztonsági teljesítményteszt: Incidensre adott válasz.
Az iparági szabványok használatával biztonsági incidensekre és adatszivárgási tervekre dolgozhat ki, és gondoskodhat arról, hogy az üzemeltetési csapat átfogó tervvel rendelkezzen, amelyet követnie kell a biztonsági incidensek felfedezése esetén. Érdeklődjön a szervezeténél, hogy van-e fedezet a kiberbiztosításon keresztül.
Tanfolyam
A képzés kritikus. Ne feledje, hogy az alkalmazások fejlesztői gyakran nincsenek teljesen tisztában a biztonsági kockázatokkal. Ha a szervezet bármilyen képzést végez a számítási feladatok felépítéséről Power Platform, építse be a biztonsági alapkonfigurációt ezekbe az erőfeszítésekbe. Másik lehetőségként, ha a szervezet szervezeti szintű biztonsági képzést végez, foglalja bele a biztonsági alapkonfigurációt Power Platform a képzésbe.
A képzésnek tartalmaznia kell a bérlői szintű védőkorlátokkal és konfigurációkkal kapcsolatos oktatást, amelyek hatással lehetnek a felépített számítási feladatokra. Emellett képzésre van szükségük a készítők által a számítási feladatokhoz szükséges konfigurációkról, például a biztonsági szerepkörökről és az adatokhoz való csatlakozásról. Határozza meg a velük való együttműködés folyamatát az esetleges kéréseik esetén.
Biztonsági képzési program kidolgozása és fenntartása annak biztosítása érdekében, hogy a munkaterhelési csapat megfelelő készségekkel rendelkezzen a biztonsági célok és követelmények támogatásához. A csapatnak alapvető biztonsági képzésre és biztonsági koncepciókkal kapcsolatos képzésre van szüksége Power Platform.
Az alapkonfiguráció használata
Használja az alapkonfigurációt a kezdeményezések és döntések meghozatalához. Íme néhány módszer az alapkonfiguráció használatára a számítási feladatok biztonsági helyzetének javítására:
Készítse elő a tervezési döntéseket. A biztonsági alapkonfiguráció használatával megértheti a számítási feladatok biztonsági követelményeit és elvárásait Power Platform . Győződjön meg arról, hogy a csapattagok oktatásban részesülnek az elvárásokról, mielőtt elkezdenék az architektúra tervezését. Megelőzheti a költséges módosításokat a megvalósítási fázisban, ha biztosítja, hogy a csapattagok tisztában legyenek a biztonsági alapkonfigurációval és a biztonsági követelmények teljesítésében betöltött szerepükkel. Használja a biztonsági alapkonfigurációt számítási feladatként, és tervezze meg a számítási feladatot az alapkonfiguráció által meghatározott határokon és korlátozásokon belül.
Mérje meg a tervezést. A biztonsági alapkonfiguráció használatával felmérheti az aktuális biztonsági helyzetet, és azonosíthatja a hiányosságokat és a fejlesztési területeket. Dokumentálja a halasztott vagy hosszú távon elfogadhatónak ítélt eltéréseket, és egyértelműen közölje az eltérésekkel kapcsolatos döntéseket.
Ösztönözze a fejlesztéseket. A biztonsági alapkonfiguráció határozza meg a célokat, de előfordulhat, hogy nem tudja azonnal elérni az összeset. Dokumentálja a hiányosságokat, és fontosság alapján rangsorolja őket. Egyértelműen határozza meg, hogy mely hiányosságok fogadhatók el rövid vagy hosszú távon, és indokolja meg ezeket a döntéseket.
Kövesse nyomon előrehaladását az alapértékhez képest. Figyelje a biztonsági intézkedéseket a biztonsági alapkonfiguráció alapján, hogy azonosítsa a trendeket, és felfedje az alapkonfigurációtól való eltéréseket. Ahol lehetséges, használja az automatizálást, és használja az előrehaladás nyomon követéséből gyűjtött adatokat az aktuális problémák azonosításához és kezeléséhez, valamint a jövőbeli fenyegetésekre való felkészüléshez.
Állítson be védőkorlátokat. A biztonsági alapkonfiguráció használatával védőkorlátokat és irányítási keretrendszert hozhat létre és kezelhet a Power Platform számítási feladatokhoz. A védőkorlátok belső és külső tényezők alapján kényszerítik ki a szükséges biztonsági konfigurációkat, technológiákat és műveleteket. A védőkorlátok segítenek minimalizálni a véletlen felügyelet és a meg nem felelés esetén kiszabott büntető bírságok kockázatát. A felügyeleti központ és a felügyelt környezetek beépített funkcióival Power Platform védőkorlátokat hozhat létre, vagy saját CoE Starter Kit referenciaimplementációval vagy saját szkriptekkel/eszközökkel építhet sajátot. Valószínűleg a beépített és az egyéni eszközök kombinációját fogja használni a védőkorlátok és az irányítási keretrendszer beállításához. Gondolja át, hogy a biztonsági alapkonfiguráció mely részei kényszeríthetők ki proaktívan, és melyeket fogja reaktív módon figyelni.
Fedezze fel a Microsoft Purview-t Power Platform, a Power Advisort, a Felügyeleti központ beépített fogalmait, például az adatházirendeket és a Power Platform bérlők elkülönítését, valamint az olyan referencia-implementációkat, mint a CoE Starter Kit a biztonsági konfigurációk és megfelelőségi követelmények megvalósításához és érvényesítéséhez.
Rendszeresen értékelje az alapkonfigurációt
Folyamatosan javítsa a biztonsági szabványokat az ideális állapot felé a folyamatos kockázatcsökkentés biztosítása érdekében. Kövesse nyomon a legújabb biztonsági frissítéseket Power Platform az ütemterv és a bejelentések rendszeres ellenőrzésével. Ezután azonosítsa, hogy mely új funkciók javíthatnák a biztonsági alapkonfigurációt, és tervezze meg megvalósításuk módját. Az alapkonfiguráció bármilyen módosítását hivatalosan jóvá kell hagyni, és át kell esni a megfelelő változáskezelési folyamatokon.
Mérje fel a rendszert az új alapkonfigurációhoz képest, és rangsorolja a szervizeléseket azok relevanciája és a számítási feladatra gyakorolt hatása alapján.
A naplózás bevezetésével és a szervezeti szabványoknak való megfelelés figyelésével biztosíthatja, hogy a biztonsági helyzet idővel ne romoljon.
Biztonság a Microsoft Power Platform alkalmazásban
Power Platform erős biztonsági alapokra épül. Ugyanazt a biztonsági vermet használja, amely az Azure-t a világ legbizalmasabb adatainak megbízható letéteményeseként pozicionálta, és integrálható Microsoft 365 a legfejlettebb adatvédelmi és megfelelőségi eszközökkel. Power Platform Teljes körű védelmet nyújt, amelyet ügyfeleink legnagyobb kihívást jelentő problémáira terveztünk.
A Power Platform szolgáltatást a Microsoft Online Services feltételei és a Microsoft vállalati adatvédelmi nyilatkozata szabályozzák. Az adatfeldolgozás helyéről tájékozódjon a Microsoft Online Services használati feltételeiben és az Adatvédelmi Kiegészítésében.
A Microsoft adatvédelmi központ a Power Platform megfelelőségi információinak elsődleges forrása. További információ: Microsoft megfelelőségi ajánlatok.
A Power Platform szolgáltatás a biztonsági fejlesztési életciklust (SDL) követi. Az SDL olyan gyakorlati tanácsok összessége, amely támogatja a biztonsági megbízhatósági és a megfelelési követelményeket. További információ: A Microsoft biztonsági fejlesztési életciklusának gyakorlata.
Power Platform Megkönnyítése
A Microsoft felhőbiztonsági teljesítményteszt (MCSB) egy átfogó ajánlott biztonsági keretrendszer, amely kiindulási pontként használható a biztonsági alapkonfigurációhoz. Használja más erőforrásokkal együtt, amelyek bemenetet biztosítanak az alapkonfigurációhoz. További információ: Bevezetés a Microsoft felhőbiztonsági teljesítménytesztjébe.
Szervezeti összehangolás
Győződjön meg arról, hogy a létrehozott Power Platform biztonsági alapkonfiguráció jól illeszkedik a szervezet biztonsági alapkonfigurációihoz. Szorosan együttműködhet a szervezet informatikai biztonsági csapataival, hogy kihasználhassa szakértelmüket.
Kapcsolódó információk
- Microsoft-megfelelőség
- Microsoft Power Platform Biztonsági és irányítási dokumentáció
- A Microsoft felhőbiztonsági teljesítménytesztjének áttekintése
- Mi az incidensre adott válasz? Terv és lépések
Biztonsági ellenőrzőlista
Tekintse meg a javaslatok teljes készletét.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: