Kongsi melalui


Cadangan untuk mewujudkan garis dasar keselamatan

Terpakai kepada Power Platform cadangan senarai semak Well-Architected Security:

SE:01 Wujudkan garis dasar keselamatan yang sejajar dengan keperluan pematuhan, piawaian industri dan cadangan platform. Ukur seni bina dan operasi beban kerja anda dengan kerap terhadap garis dasar untuk mengekalkan atau menambah baik postur keselamatan anda dari semasa ke semasa.

Panduan ini menerangkan cadangan untuk mewujudkan garis dasar keselamatan untuk membangunkan beban kerja dengan Microsoft Power Platform. Garis dasar keselamatan ialah satu set piawaian keselamatan minimum dan amalan terbaik yang digunakan oleh organisasi pada sistem dan perkhidmatan ITnya. Garis dasar keselamatan membantu mengurangkan risiko serangan siber, pelanggaran data dan akses yang tidak dibenarkan. Garis dasar keselamatan juga membantu memastikan konsistensi, akauntabiliti dan kebolehauditan di seluruh organisasi.

Garis dasar keselamatan yang baik membantu anda:

  • Kurangkan risiko serangan siber, pelanggaran data dan akses yang tidak dibenarkan.
  • Pastikan konsistensi, akauntabiliti dan kebolehauditan di seluruh organisasi.
  • Pastikan data dan sistem anda selamat.
  • Mematuhi keperluan kawal selia.
  • Minimumkan risiko pengawasan.

Garis dasar keselamatan hendaklah diterbitkan secara meluas di seluruh organisasi anda supaya semua pihak berkepentingan mengetahui jangkaan.

Mewujudkan garis dasar keselamatan melibatkan Microsoft Power Platform beberapa langkah dan pertimbangan, seperti:

  • Memahami seni bina dan komponen Power Platform, seperti persekitaran, penyambung, Dataverse,, Power Apps,, Power Automate dan Copilot Studio.

  • Mengkonfigurasi seting keselamatan dan peranan untuk Power Platform pada peringkat penyewa, persekitaran dan sumber, seperti dasar Pencegahan Kehilangan Data, keizinan persekitaran dan kumpulan keselamatan.

  • Memanfaatkan Microsoft Entra ID untuk mengurus identiti pengguna, pengesahan dan kebenaran untuk Power Platform, dan menyepadukan dengan ciri ID Entra lain seperti akses bersyarat dan pengesahan berbilang faktor.

  • Menggunakan kaedah perlindungan data dan penyulitan untuk melindungi data yang disimpan dan diproses oleh Power Platform, seperti label sensitiviti dan kunci yang diuruskan pelanggan.

  • Memantau dan mengaudit aktiviti dan penggunaan Power Platform, menggunakan alatan seperti Power Platform Pusat Pentadbiran, Persekitaran Terurus dan Microsoft Purview.

  • Melaksanakan dasar dan proses tadbir urus untuk Power Platform, seperti mentakrifkan peranan dan tanggungjawab pihak berkepentingan yang berbeza, mewujudkan aliran kerja kelulusan dan pengurusan perubahan, dan menyediakan bimbingan dan latihan untuk pengguna dan pembangun.

Panduan ini membantu anda menetapkan garis dasar keselamatan yang mengambil kira kedua-dua faktor dalaman dan luaran. Faktor dalaman termasuk keperluan perniagaan anda, faktor risiko dan penilaian aset. Faktor luaran termasuk penanda aras industri dan piawaian kawal selia. Dengan mengikuti langkah dan pertimbangan ini, organisasi boleh mewujudkan garis dasar keselamatan yang Power Platform sejajar dengan objektif perniagaan, keperluan pematuhan dan selera risikonya. Garis dasar keselamatan boleh membantu organisasi memaksimumkan faedah Power Platform sambil meminimumkan potensi ancaman dan cabaran.

Definisi

Istilah Takrif
Garis dasar Tahap minimum kemampuan keselamatan yang mesti dimiliki oleh beban kerja untuk mengelak daripada dieksploitasi.
Penanda aras Piawaian yang menandakan postur keselamatan yang dicita-citakan oleh organisasi. Ia dinilai, diukur dan dipertingkatkan dari semasa ke semasa.
Kawalan Kawalan teknikal atau operasi pada beban kerja yang membantu mencegah serangan dan meningkatkan kos penyerang.
Keperluan kawal selia Satu set keperluan perniagaan, didorong oleh piawaian industri, yang dikenakan oleh undang-undang dan pihak berkuasa.

Strategi reka bentuk utama

Garis dasar keselamatan ialah garis panduan yang menerangkan keperluan dan ciri keselamatan yang mesti dipenuhi oleh beban kerja untuk menambah baik dan mengekalkan keselamatan. Anda boleh menjadikan garis dasar lebih maju dengan menambah dasar yang anda gunakan untuk menetapkan sempadan. Garis dasar hendaklah standard yang anda gunakan untuk mengukur tahap keselamatan anda. Sasarkan untuk sentiasa mencapai garis dasar penuh sambil meliputi skop yang luas.

Cipta garis dasar dengan mendapatkan konsensus di kalangan pemimpin perniagaan dan teknikal. Garis dasar harus merangkumi kawalan teknikal, tetapi juga aspek operasi mengurus dan mengekalkan postur keselamatan.

Untuk mewujudkan garis Power Platform dasar keselamatan, pertimbangkan strategi reka bentuk utama berikut:

  • Gunakan penanda aras keselamatan awan Microsoft (MCSB) sebagai rangka kerja rujukan. MCSB ialah satu set amalan terbaik keselamatan yang komprehensif yang merangkumi pelbagai aspek keselamatan awan, seperti pengurusan identiti dan akses, perlindungan data, keselamatan rangkaian, perlindungan ancaman dan tadbir urus. Anda boleh menggunakan MCSB untuk menilai postur keselamatan semasa anda dan mengenal pasti jurang dan bidang penambahbaikan.

  • Sesuaikan MCSB agar sesuai dengan keperluan perniagaan khusus anda, keperluan pematuhan dan selera risiko. Anda mungkin perlu menambah, mengubah suai atau mengalih keluar beberapa kawalan MCSB berdasarkan konteks dan objektif organisasi anda. Sebagai contoh, anda mungkin perlu menyelaraskan garis dasar keselamatan anda dengan piawaian industri (seperti ISO 27001 atau NIST 800-53) atau rangka kerja kawal selia (seperti GDPR, Peraturan Perlindungan Data Umum atau HIPAA, Akta Kemudahalihan dan Akauntabiliti Insurans Kesihatan) yang berkaitan dengan domain atau rantau anda.

  • Tentukan skop dan kebolehgunaan garis Power Platform dasar keselamatan anda. Anda harus menentukan dengan jelas komponen, ciri dan perkhidmatan yang Power Platform dilindungi oleh garis dasar keselamatan anda dan yang mana satu di luar skop atau memerlukan pertimbangan khas. Contohnya, anda mungkin perlu mentakrifkan keperluan keselamatan yang berbeza untuk pelbagai jenis Power Platform persekitaran (seperti pengeluaran, pembangunan atau kotak pasir), penyambung (seperti standard, tersuai atau premium) atau aplikasi (seperti kanvas, dipacu model atau halaman).

Dengan mengikuti strategi reka bentuk ini, anda boleh mencipta dokumen asas keselamatan yang Power Platform mencerminkan matlamat dan piawaian keselamatan anda dan membantu anda melindungi data dan aset anda dalam awan.

Apabila beban kerja berubah dan persekitaran berkembang, adalah penting untuk memastikan garis dasar anda dikemas kini dengan perubahan untuk memastikan kawalan asas masih berfungsi. Berikut ialah beberapa cadangan untuk proses mencipta garis dasar keselamatan:

  • Inventori aset. Kenal pasti pihak berkepentingan aset beban kerja dan objektif keselamatan untuk aset tersebut. Dalam inventori aset, klasifikasikan mengikut keperluan keselamatan dan kritikal. Untuk maklumat tentang aset data, lihat Cadangan pengelasan data.

  • Tentukan peringkat beban kerja. Semasa anda menentukan garis dasar keselamatan anda, adalah penting untuk mempertimbangkan cara anda akan mengkategorikan penyelesaian yang dibina berdasarkan kritikal supaya anda boleh membangunkan proses yang memastikan aplikasi kritikal mempunyai pagar yang diperlukan untuk menyokongnya, sementara pada masa yang sama tidak menyekat inovasi senario produktiviti.

  • Penilaian risiko. Kenal pasti potensi risiko yang berkaitan dengan setiap aset dan utamakannya.

  • Keperluan pematuhan. Dasarkan sebarang peraturan atau pematuhan untuk aset tersebut dan gunakan amalan terbaik industri.

  • Piawaian konfigurasi. Tentukan dan dokumentasikan konfigurasi dan tetapan keselamatan khusus untuk setiap aset. Jika boleh, cipta templat atau cari cara automatik yang boleh diulang untuk menggunakan tetapan secara konsisten merentas persekitaran. Pertimbangkan konfigurasi di semua peringkat. Mulakan dengan konfigurasi keselamatan peringkat penyewa yang berkaitan dengan akses atau rangkaian. Kemudian, pertimbangkan Power Platform konfigurasi keselamatan khusus sumber seperti konfigurasi tertentu Power Pages , serta konfigurasi keselamatan khusus beban kerja, seperti cara beban kerja dikongsi.

  • Kawalan akses dan pengesahan. Tentukan keperluan kawalan akses berasaskan peranan (RBAC) dan pengesahan berbilang faktor (MFA). Dokumentasikan maksud akses yang mencukupi di peringkat aset. Sentiasa mulakan dengan prinsip keistimewaan paling sedikit.

  • Dokumentasi dan komunikasi. Dokumentasikan semua konfigurasi, dasar dan prosedur. Sampaikan butiran kepada pihak berkepentingan yang berkaitan.

  • Penguatkuasaan dan akauntabiliti. Mewujudkan mekanisme penguatkuasaan yang jelas dan akibat untuk ketidakpatuhan terhadap garis dasar keselamatan. Pastikan individu dan pasukan bertanggungjawab untuk mengekalkan piawaian keselamatan.

  • Pemantauan berterusan. Menilai keberkesanan garis dasar keselamatan melalui kebolehlihatan dan buat penambahbaikan dari semasa ke semasa.

Komposisi garis dasar

Berikut ialah beberapa kategori biasa yang sepatutnya menjadi sebahagian daripada garis dasar. Senarai berikut tidak lengkap. Ia bertujuan sebagai gambaran keseluruhan skop dokumen

Pematuhan peraturan

Pilihan reka bentuk anda mungkin terjejas oleh keperluan pematuhan peraturan untuk segmen industri tertentu atau disebabkan oleh sekatan geografi. Adalah penting untuk memahami keperluan pematuhan peraturan dan memasukkannya ke dalam seni bina beban kerja anda.

Garis dasar harus termasuk penilaian berkala beban kerja terhadap keperluan kawal selia. Manfaatkan alatan yang disediakan platform, seperti Microsoft Power Advisor, yang boleh mengenal pasti kawasan ketidakpatuhan. Bekerjasama dengan pasukan pematuhan organisasi anda untuk memastikan semua keperluan dipenuhi dan dikekalkan.

Contoh

Organisasi sains hayat membina penyelesaian yang mesti memenuhi keperluan di bawah Amalan Klinikal, Makmal dan Pengilangan Baik (GxP). Anda boleh memanfaatkan kecekapan awan sambil melindungi keselamatan pesakit, kualiti produk dan integriti data. Untuk maklumat lanjut, lihat garis panduan Microsoft GxP untuk Dynamics 365 dan Power Platform.

Walaupun tiada pensijilan GxP khusus untuk penyedia perkhidmatan awan, Microsoft Azure (yang menjadi Power Platform tuan rumah) telah menjalani audit pihak ketiga bebas untuk pengurusan kualiti dan keselamatan maklumat, termasuk pensijilan ISO 9001 dan ISO/IEC 27,001. Jika anda menggunakan aplikasi Power Platform, pertimbangkan langkah berikut:

  • Tentukan keperluan GxP yang terpakai pada sistem berkomputer anda berdasarkan penggunaan yang dimaksudkan.
  • Ikuti prosedur dalaman untuk proses kelayakan dan pengesahan untuk menunjukkan pematuhan terhadap keperluan GxP.

Proses pembangunan

Garis dasar mesti mempunyai cadangan tentang:

  • Power Platform jenis sumber yang diluluskan untuk digunakan.
  • Memantau sumber.
  • Melaksanakan keupayaan pembalakan dan pengauditan.
  • Berkongsi sumber.
  • Menguatkuasakan dasar untuk menggunakan atau mengkonfigurasi sumber.
  • Perlindungan data dan keselamatan rangkaian.

Pasukan pembangunan perlu mempunyai pemahaman yang jelas tentang skop untuk pemeriksaan keselamatan, cara mereka bentuk dan membangunkan Power Platform penyelesaian dengan mengambil kira keselamatan, dan cara melakukan penilaian keselamatan biasa. Sebagai contoh, menggunakan prinsip keistimewaan paling sedikit, mengasingkan persekitaran pembangunan dan pengeluaran, menggunakan penyambung dan pintu masuk selamat dan mengesahkan input dan output pengguna adalah keperluan dalam memastikan beban kerja selamat. Sampaikan cara potensi ancaman boleh dikenal pasti dan spesifik tentang cara melakukan pemeriksaan.

Untuk maklumat lanjut, lihat Cadangan tentang analisis ancaman.

Proses pembangunan juga harus menetapkan piawaian pada pelbagai metodologi ujian. Untuk maklumat lanjut, lihat Cadangan tentang ujian keselamatan.

Pengendalian

Garis dasar mesti termasuk piawaian tentang cara mengesan ancaman dan cara meningkatkan amaran tentang aktiviti anomali yang menunjukkan insiden sebenar.

Garis dasar harus termasuk cadangan untuk menyediakan proses tindak balas insiden, termasuk komunikasi dan pelan pemulihan, dan ambil perhatian yang mana antara proses tersebut boleh diautomatikkan untuk mempercepatkan pengesanan dan analisis. Contohnya, lihat Penanda aras keselamatan awan Microsoft: Tindak balas insiden.

Gunakan piawaian industri untuk membangunkan pelan insiden keselamatan dan pelanggaran data, dan pastikan pasukan operasi mempunyai pelan komprehensif untuk diikuti apabila pelanggaran ditemui. Semak dengan organisasi anda untuk melihat sama ada terdapat perlindungan melalui insurans siber.

Latihan

Latihan adalah kritikal. Perlu diingat bahawa selalunya mereka yang membangunkan aplikasi tidak menyedari sepenuhnya risiko keselamatan. Jika organisasi anda melakukan sebarang latihan tentang cara membina beban kerja dengan Power Platform, masukkan garis dasar keselamatan anda ke dalam usaha tersebut. Sebagai alternatif, jika organisasi anda menjalankan latihan keselamatan seluruh organisasi, sertakan garis dasar keselamatan anda Power Platform dalam latihan tersebut.

Latihan anda hendaklah termasuk pendidikan tentang pagar dan konfigurasi seluruh penyewa yang mungkin memberi kesan kepada beban kerja yang sedang dibina. Mereka juga memerlukan latihan tentang konfigurasi yang perlu dibuat oleh pembuat untuk beban kerja mereka, seperti peranan keselamatan dan cara menyambung ke data. Tentukan proses untuk bekerjasama dengan mereka mengenai sebarang permintaan yang mungkin mereka ada.

Membangunkan dan menyelenggara program latihan keselamatan untuk memastikan pasukan beban kerja dilengkapi dengan kemahiran yang sesuai untuk menyokong matlamat dan keperluan keselamatan. Pasukan memerlukan latihan keselamatan asas, dan latihan tentang konsep keselamatan dalam Power Platform.

Gunakan garis dasar

Gunakan garis dasar untuk memacu inisiatif dan keputusan. Berikut ialah beberapa cara untuk menggunakan garis dasar untuk memacu penambahbaikan dalam postur keselamatan beban kerja anda:

  • Sediakan keputusan reka bentuk. Gunakan garis dasar keselamatan untuk memahami keperluan dan jangkaan keselamatan untuk beban kerja anda Power Platform . Pastikan ahli pasukan dididik tentang jangkaan sebelum mereka memulakan reka bentuk seni bina. Cegah pelarasan yang mahal semasa fasa pelaksanaan dengan memastikan ahli pasukan mengetahui garis dasar keselamatan dan peranan mereka dalam memenuhi keperluan keselamatan. Gunakan garis dasar keselamatan sebagai keperluan beban kerja dan mereka bentuk beban kerja anda dalam sempadan dan kekangan yang ditakrifkan oleh garis dasar.

  • Ukur reka bentuk anda. Gunakan garis dasar keselamatan untuk menilai postur keselamatan semasa anda dan mengenal pasti jurang dan bidang penambahbaikan. Dokumentasikan sebarang penyelewengan yang ditangguhkan atau dianggap boleh diterima dalam jangka panjang, dan nyatakan dengan jelas sebarang keputusan yang dibuat mengenai penyelewengan.

  • Penambahbaikan pemacu. Garis dasar keselamatan mentakrifkan matlamat anda, tetapi anda mungkin tidak dapat memenuhi kesemuanya dengan segera. Dokumentasikan sebarang jurang dan utamakan mereka berdasarkan kepentingan. Tentukan dengan jelas jurang mana yang boleh diterima dalam jangka pendek atau jangka panjang, dan berikan alasan untuk keputusan ini.

  • Jejaki kemajuan anda terhadap garis dasar. Pantau langkah keselamatan anda terhadap garis dasar keselamatan untuk mengenal pasti arah aliran dan mendedahkan sisihan daripada garis dasar. Gunakan automasi jika boleh, dan gunakan data yang dikumpul daripada menjejaki kemajuan untuk mengenal pasti dan menangani isu semasa serta bersedia untuk ancaman masa hadapan.

  • Tetapkan pagar pengawal. Gunakan garis dasar keselamatan anda untuk mewujudkan dan mengurus pagar penghadang dan rangka kerja tadbir urus untuk beban kerja anda Power Platform . Pagar penghadang menguatkuasakan konfigurasi, teknologi dan operasi keselamatan yang diperlukan, berdasarkan faktor dalaman dan faktor luaran. Pagar pengawal membantu meminimumkan risiko pengawasan yang tidak disengajakan dan denda punitif untuk ketidakpatuhan. Anda boleh menggunakan ciri di luar kotak dalam Pusat Pentadbiran Power Platform dan Persekitaran Terurus untuk mewujudkan pagar penghalang, atau membina sendiri dengan menggunakan pelaksanaan rujukan Kit Permulaan CoE atau skrip/perkakas anda sendiri. Anda mungkin akan menggunakan gabungan alatan di luar kotak dan tersuai untuk menyediakan pagar penghadang dan rangka kerja tadbir urus anda. Fikirkan tentang bahagian garis dasar keselamatan anda yang boleh dikuatkuasakan secara proaktif dan bahagian yang akan anda pantau secara reaktif.

Terokai Microsoft Purview untuk Power Platform, Power Advisor, konsep terbina dalam dalam Pusat Pentadbiran Power Platform seperti Dasar Data dan Pengasingan Penyewa, dan pelaksanaan rujukan seperti Kit Permulaan CoE untuk melaksanakan dan menguatkuasakan konfigurasi keselamatan dan keperluan pematuhan.

Menilai garis dasar dengan kerap

Meningkatkan piawaian keselamatan secara berterusan ke arah keadaan yang ideal untuk memastikan pengurangan risiko yang berterusan. Jejaki kemas kini keselamatan terkini dengan Power Platform menyemak peta jalan dan pengumuman dengan kerap. Kemudian, kenal pasti ciri baharu yang boleh meningkatkan garis dasar keselamatan anda dan rancang cara melaksanakannya. Sebarang pengubahsuaian kepada garis dasar mesti diluluskan secara rasmi dan melalui proses pengurusan perubahan yang sesuai.

Ukur sistem terhadap garis dasar baharu dan utamakan pemulihan berdasarkan perkaitan dan kesannya terhadap beban kerja.

Pastikan postur keselamatan tidak merosot dari semasa ke semasa dengan memulakan pengauditan dan pemantauan pematuhan dengan piawaian organisasi.

Keselamatan dalam Microsoft Power Platform

Power Platform dibina di atas asas keselamatan yang kukuh. Ia menggunakan timbunan keselamatan yang sama yang telah meletakkan Azure sebagai penjaga yang dipercayai bagi data paling sensitif di dunia, dan disepadukan dengan Microsoft 365 alat perlindungan dan pematuhan maklumat yang paling maju. Power Platform memberikan perlindungan hujung ke hujung yang direka berdasarkan kebimbangan pelanggan kami yang paling mencabar.

Perkhidmatan Power Platform ditadbir urus oleh Syarat Microsoft Online Services dan Pernyataan Privasi Microsoft Enterprise. Untuk lokasi pemprosesan data, rujuk Syarat Microsoft Online Services dan Adendum Perlindungan Data.

Microsoft Trust Center ialah sumber utama untuk maklumat pematuhan Power Platform. Untuk maklumat lanjut, lihat Tawaran Pematuhan Microsoft.

Perkhidmatan Power Platform mengikut Kitaran Hayat Pembangunan Keselamatan (SDL). SDL ialah set amalan ketat yang menyokong jaminan keselamatan dan keperluan pematuhan. Untuk maklumat lanjut, lihat Amalan Kitaran Hayat Pembangunan Keselamatan Microsoft.

Power Platform Kemudahan

Penanda aras keselamatan awan Microsoft (MCSB) ialah rangka kerja amalan terbaik keselamatan komprehensif yang boleh anda gunakan sebagai titik permulaan untuk garis dasar keselamatan anda. Gunakannya bersama-sama dengan sumber lain yang memberikan input kepada garis dasar anda. Untuk maklumat lanjut, lihat Pengenalan kepada penanda aras keselamatan awan Microsoft.

Halaman Keselamatan dalam pusat pentadbiran Power Platform membantu anda mengurus keselamatan organisasi anda dengan amalan terbaik dan set ciri yang komprehensif untuk memastikan keselamatan maksimum. Sebagai contoh, untuk:

  • Menilai status keselamatan anda: Fahami dan tingkatkan dasar keselamatan organisasi anda untuk memenuhi keperluan khusus anda.
  • Bertindak mengikut cadangan: Kenal pasti dan laksanakan cadangan yang paling berkesan untuk menambah baik penilaian.
  • Sediakan dasar proaktif: Gunakan set alatan dan keupayaan keselamatan yang kaya yang tersedia untuk mendapatkan keterlihatan yang mendalam, mengesan ancaman dan mewujudkan dasar secara proaktif untuk membantu melindungi organisasi daripada kelemahan dan risiko.

Penjajaran organisasi

Pastikan garis dasar keselamatan yang anda tetapkan sejajar Power Platform dengan garis dasar keselamatan organisasi anda. Bekerjasama rapat dengan pasukan keselamatan IT dalam organisasi anda untuk memanfaatkan kepakaran mereka.

Senarai semak keselamatan

Rujuk set lengkap cadangan.