Share via

Dynamics 365-sikkerhet

  • Artikkel

Microsoft Dynamics 365 og Microsoft Power Platform er abonnementsbaserte programvarer som en tjeneste (SaaS) som driftes i Microsoft Azure-datasentre. Disse nettbaserte tjenestene er utformet for å gi ytelse, skalerbarhet, sikkerhet, styringsfunksjoner og servicenivåer som kreves for viktige programmer og systemer som brukes av forretningsorganisasjoner.

Hos Microsoft er tillit et fokuspunkt for å levere service, kontraktsmessige forpliktelser og bransjeakkreditering, og det er årsaken til at vi ble med i Trusted Cloud Initiative. Trusted Cloud Initiative er et program for CSA-bransjegruppen (Cloud Security Alliance) for å hjelpe skytjenesteleverandører med å utvikle bransjeanbefalt, sikker og interoperabel identitet samt konfigurasjoner og praktiser for tilgangs- og samsvarsstyring. Dette settet med krav, retningslinjer og kontrollerte prosesser sikrer at vi leverer skytjenestene våre med de høyeste standardene når det gjelder ingeniørvirksomhet, juridisk og samsvarsstøtte. Vi har fokus på å opprettholde dataintegritet i skyen, som styres av følgende tre hovedprinsipper:

Dynamics 365-sikkerhetsprinsipper.

Hos Microsoft omfatter tilnærmingen vår for å sikre kundenes informasjon et sikkerhetskontrollrammeverk med teknologier, driftsprosedyrer og policyer som oppfyller de nyeste globale standardene, og som raskt kan tilpasses sikkerhetstrender og bransjespesifikke behov. I tillegg tilbyr vi et sett med kundestyrte verktøy som tilpasser seg til organisasjonen og dens sikkerhetsbehov. Bruk Microsoft 365 Sikkerhets- og kompatibilitetssenter til å spore bruker- og administratoraktiviteter, trusler fra skadelig programvare, datatapshendelser med mer. Instrumentbordet Rapporter brukes for oppdaterte rapporter knyttet til sikkerhets- og samsvarsfunksjonene i organisasjonen. Du kan bruke Microsoft Entra-rapporter til å holde deg oppdatert om uvanlige eller mistenkelige påloggingsaktiviteter.

Obs!

Azure Active Directory er nå Microsoft Entra ID. Finn ut mer

Sikkerhetspolicyen vår definerer informasjonssikkerhetsregler og -krav for tjenestemiljøet. Microsoft utfører regelmessig gjennomganger av informasjonssikkerhetsstyring (ISMS), og resultatene gjennomgås sammen med IT-ledere. Denne prosessen omfatter overvåking av pågående effektivitet og forbedring av ISMS-kontrollmiljøet ved å gjennomgå sikkerhetsproblemer, granske resultater og overvåke status, samt ved å planlegge og spore nødvendige korrigerende handlinger.

Disse kontrollene omfatter følgende:

  • Fysiske og logiske nettverksgrenser med strenge endringskontrollpolicyer.
  • Arbeidsdeling som krever et forretningsbehov for å få tilgang til et miljø.
  • Sterkt begrenset fysisk og logisk tilgang til skymiljøet.
  • Strenge kontroller basert på praksisene i Microsofts livssyklus for sikkerhetsutvikling og driftssikkerhetssikring som definerer kodepraksiser, kvalitetstesting og kodekampanje.
  • Bevissthet og opplæring i pågående sikkerhet, personvern og sikre kodepraksiser.
  • Fortløpende loggføring og revisjon av systemtilgang.
  • Regelmessige samsvarsrevisjoner for å sikre kontrolleffektivitet.

For å hjelpe til med å utvikle fremvoksende og utviklende trusler bruker Microsoft en strategi som antar brudd, og bruker svært spesialiserte grupper av sikkerhetseksperter – kalt Red Team – til å styrke trusselregistrering, svar og forsvar for skytjenestene for bedrifter. Microsoft bruker Red Team og direkte områdetesting mot Microsoft-administrert skyinfrastruktur til å simulere virkelige brudd, foreta kontinuerlig sikkerhetsovervåking og øve på svar på sikkerhetshendelser for å validere og forbedre sikkerheten til nettbaserte tjenester.

Microsoft Cloud-sikkerhetsgruppen utfører hyppige interne og eksterne skanninger for å identifisere sårbarheter og vurdere effektiviteten i oppdateringsbehandlingsprosessen. Tjenester skannes for kjente sårbarheter. Nye tjenester legges til i neste planlagte kvartalsskanning, basert på datoen for inkludering, og følger en kvartalsvis skanneplan deretter. Disse skanningene brukes for å sikre samsvar med konfigurasjonsmaler for grunnlinje, validere installasjonen av relevante oppdateringer og identifisere sårbarheter. Skannerapportene gjennomgås av medarbeidere, og tiltak for utbedring utføres umiddelbart.

Alle ubrukte I/U-porter på kantproduksjonsservere er deaktivert av konfigurasjoner på operativsystemnivå som er definert i sikkerhetskonfigurasjonen for grunnlinjen. Kontroller for fortløpende konfigurasjonsverifisering aktiveres for å registrere drift i konfigurasjonene på operativsystemnivå. I tillegg aktiveres registreringsbrytere for inntrenging for å registrere når en server åpnes fysisk.

Vi har fastsatt fremgangsmåter for å undersøke og svare på skadelige hendelser som oppdages av Microsofts overvåkingssystem innen rimelig tid.

Microsoft bruker prinsippene for arbeidsdeling og minste rettighet i Microsoft-operasjoner. Microsofts støttepersonell har bare tilgang til kundedata med kundens eksplisitte tillatelse, for å tilby kundestøtte for utvalgte tjenester. Tillatelsen gis på et just-in-time-grunnlag som loggføres og kontrolleres, og oppheves deretter etter at oppdraget er fullført. Hos Microsoft bruker operasjonsteknikere og støttepersonell som får tilgang til produksjonssystemene, herdede arbeidsstasjons-PC-er med virtuelle maskiner som klargjøres for dem for intern tilgang til firmanettverk og -programmer (f.eks. e-post og intranett). Alle arbeidsstasjonsdatamaskiner for administrasjon har TPM-er (Trusted Platform Module), vertsoppstartsstasjonene krypteres med BitLocker og de blir med i en spesiell organisasjonsenhet i Microsofts primære firmadomene.

Systemherding blir iverksatt ved bruk av gruppepolicy med sentralisert programvareoppdatering. For revisjon og analyse samles hendelseslogger (f.eks. sikkerhet og AppLocker) fra administrasjonsarbeidsstasjoner og lagres på et sikkert, sentralt sted. I tillegg brukes egne hoppebokser på Microsoft-nettverket som krever totrinnsautentisering, til å koble seg til et produksjonsnettverk.

Neste trinn

Sikkerhetsstrategi i Dynamics 365-implementeringer
Microsoft KlareringssenterMicrosoft Power Platform-sikkerhetsdokumentasjon
Sikkerhetsmodell i Dynamics 365 Customer Engagement (on-premises)
Gå gjennom data og brukeraktivitet for sikkerhet og samsvar