Dynamics 365-beveiliging

Microsoft Dynamics 365 en Microsoft Power Platform zijn SaaS-services (Software as a Service) op basis van een abonnement die worden gehost in Microsoft Azure-datacenters. Deze online services zijn ontworpen om prestaties, schaalbaarheid, beveiliging, beheermogelijkheden en serviceniveaus te bieden die vereist zijn voor essentiële toepassingen en systemen die door bedrijfsorganisaties worden gebruikt.

Bij Microsoft is vertrouwen een belangrijk aandachtspunt voor de levering van services, contractuele verplichtingen en brancheaccreditatie. Daarom hebben we het Trusted Cloud Initiative omarmd. Het Trusted Cloud Initiative is een programma van de branchegroep CSA (Cloud Security Alliance) en is tot stand gekomen om cloudserviceproviders te helpen bij de ontwikkeling van aanbevolen, veilige en interoperabele configuraties en praktijken voor identiteits-, toegangs- en nalevingsbeheer. Dankzij deze verzameling vereisten, richtlijnen en gecontroleerde processen leveren we onze cloudservices met de hoogste standaarden op het gebied van technische, juridische en nalevingsondersteuning. Wij richten ons op het handhaven van de integriteit van gegevens in de cloud, die wordt beheerst door de volgende drie belangrijke principes:

Beveiliging: u beschermen tegen cyberbedreigingen. Privacy: u controle geven over de toegang tot uw gegevens. Naleving: ongeëvenaarde investering om te voldoen aan wereldwijde normen.

Bij Microsoft benaderen we de beveiliging van gegevens van onze klanten met een raamwerk voor beveiligingscontrole op het gebied van technologieën, operationele procedures en beleidslijnen die voldoen aan de nieuwste wereldwijde normen en snel kunnen worden aangepast aan beveiligingstrends en sectorspecifieke behoeften. Daarnaast bieden we een verzameling door de klant beheerde hulpprogramma's die zich aanpassen aan de organisatie en de beveiligingsbehoeften van de organisatie. Via het Microsoft 365-beveiligings- en compliancecentrum kunt u gebruikers- en beheerdersactiviteiten, malwarebedreigingen, incidenten met betrekking tot gegevensverlies en meer bijhouden. Het dashboard Rapporten wordt gebruikt voor actuele rapporten met betrekking tot de beveiligings- en nalevingsfuncties in uw organisatie. U kunt Microsoft Entra-rapporten gebruiken om op de hoogte te blijven van ongebruikelijke of verdachte aanmeldingsactiviteiten.

Opmerking

Azure Active Directory heet nu Microsoft Entra ID. Meer informatie

Ons beveiligingsbeleid definieert de regels en vereisten voor gegevensbeveiliging voor de serviceomgeving. Microsoft voert periodieke controles van het systeem voor het beheer van gegevensbeveiliging uit en de resultaten worden geëvalueerd met IT-managers. Tijdens dit proces wordt de voortdurende effectiviteit en verbetering van de controleomgeving van het systeem voor het beheer van gegevensbeveiliging bewaakt door beveiligingsproblemen, auditresultaten en de bewakingsstatus te beoordelen en de vereiste corrigerende maatregelen te plannen en te volgen.

Hierbij wordt onder andere het volgende gecontroleerd:

• Fysieke en logische netwerkgrenzen met een streng afgedwongen beleid voor wijzigingsbeheer.
• De scheiding van taken waarvoor een bedrijf toegang moet hebben tot een omgeving.
• Zeer beperkte fysieke en logische toegang tot de cloudomgeving.
• Strenge controlemaatregelen op basis van de praktijken van Microsoft Security Development Lifecycle en Operational Security Assurance die coderingspraktijken, kwaliteitstests en codepromotie definiëren.
• Voortdurende bewustmaking en opleiding op het gebied van beveiliging, privacy en veilige coderingspraktijken.
• Continue logboekregistratie en controle van de toegang tot het systeem.
• Regelmatige nalevingsaudits om de effectiviteit van controles te waarborgen.

Om opkomende en zich ontwikkelende bedreigingen te bestrijden, hanteert Microsoft een innovatieve Assume Breach-strategie en maakt het gebruik van zeer gespecialiseerde groepen beveiligingsexperts, ook wel Red Team genoemd, om de opsporing van, reactie op en verdediging tegen bedreigingen voor zijn zakelijke cloudservices te versterken. Microsoft gebruikt het Red Team en live sitetests voor door Microsoft beheerde cloudinfrastructuren om lekken/inbreuken uit de praktijk te simuleren, voortdurende beveiligingscontroles uit te voeren en de reactie op beveiligingsincidenten te oefenen om de beveiliging van online services te valideren en te verbeteren.

Het Microsoft Cloud-beveiligingsteam voert vaak interne en externe controles uit om kwetsbare plekken te identificeren en de doeltreffendheid van het patchbeheerproces te beoordelen. Services worden gecontroleerd op bekende kwetsbaarheden. Nieuwe services worden toegevoegd aan de volgende driemaandelijkse controle, op basis van hun opnamedatum, en worden vervolgens elk kwartaal gecontroleerd. Deze controles worden gebruikt om ervoor te zorgen dat de basisconfiguratiesjablonen worden nageleefd, om de installatie van relevante patches te valideren en om kwetsbaarheden te identificeren. De controlerapporten worden door het bevoegde personeel beoordeeld en er worden onmiddellijk corrigerende maatregelen genomen.

Alle ongebruikte I/O-poorten op randproductieservers worden uitgeschakeld via configuraties op besturingssysteemniveau die in de basislijnbeveiligingsconfiguratie zijn gedefinieerd. Doorlopende verificatiecontroles van de configuratie worden ingeschakeld om afwijkingen in de configuraties op besturingssysteemniveau op te sporen. Daarnaast worden schakelopties voor inbraakdetectie ingeschakeld om te detecteren wanneer fysiek toegang wordt verkregen tot een server.

Er zijn procedures ingevoerd om tijdig onderzoek te doen naar en te reageren op schadelijke gebeurtenissen die door het Microsoft-bewakingssysteem worden ontdekt.

Microsoft past de beginselen van scheiding van taken en minimale bevoegdheid toe bij alle activiteiten van Microsoft. Om klantenondersteuning voor bepaalde services te bieden, krijgen ondersteuningsmedewerkers van Microsoft alleen met de uitdrukkelijke toestemming van de klant toegang tot klantgegevens. De machtiging wordt verleend op just-in-time-basis, wordt geregistreerd en gecontroleerd, en wordt vervolgens ingetrokken als de communicatie is beëindigd. Binnen Microsoft gebruiken operationele ingenieurs en ondersteuningsmedewerkers die toegang hebben tot de productiesystemen beveiligde werkstation-pc's met hierop virtuele machines ingericht voor toegang tot het interne bedrijfsnetwerk en toepassingen (zoals e-mail en intranet). Alle werkstations voor beheer zijn voorzien van TPM's (Trusted Platform Modules), de hostopstartstations zijn versleuteld met BitLocker en ze worden verbonden met een speciale organisatie-eenheid in het primaire Microsoft-bedrijfsdomein.

Systeembeveiliging wordt afgedwongen door middel van groepsbeleid, met gecentraliseerde software-updates. Voor controle en analyse worden gebeurtenislogboeken (bijvoorbeeld voor beveiliging en van AppLocker) verzameld van beheerwerkstations en op een beveiligde centrale locatie opgeslagen. Daarnaast worden speciale jump-boxes in het Microsoft-netwerk, die tweevoudige verificatie vereisen, gebruikt om verbinding te maken met een productienetwerk.

Volgende stappen

Beveiligingsstrategie in Dynamics 365-implementaties
Microsoft Trust CenterBeveiligingsdocumentatie voor Microsoft Power Platform
Beveiligingsmodel in Dynamics 365 Customer Engagement (on-premises)
Gegevens en gebruikersactiviteiten controleren voor beveiliging en compliance