Поделиться через

Рекомендации по установлению базового уровня безопасности

  • Статья

Применимо к Power Platform рекомендациям контрольного списка Well-Architected Security:

СЭ:01 Установите базовый уровень безопасности, соответствующий нормативным требованиям, отраслевым стандартам и рекомендациям платформы. Регулярно сравнивайте архитектуру и операции вашей рабочей нагрузки с базовым уровнем, чтобы поддерживать или улучшать уровень безопасности с течением времени.

В этом руководстве описаны рекомендации по установлению базового уровня безопасности при проектировании рабочих нагрузок с Microsoft Power Platform. Базовый уровень безопасности — это набор минимальных стандартов безопасности и передовых методик, которые организация применяет к своим ИТ-системам и службам. Базовый уровень безопасности помогает снизить риск кибератак, утечки данных и несанкционированного доступа. Базовый уровень безопасности также помогает обеспечить согласованность, подотчетность и возможность аудита во всей организации.

Хороший базовый уровень безопасности поможет вам:

  • Снизить риск кибератак, утечки данных и несанкционированного доступа.
  • Обеспечить согласованность, подотчетность и возможность аудита во всей организации.
  • Защитить свои данные и системы.
  • Соответствовать нормативным требованиям.
  • Минимизировать риск недосмотра.

Базовые показатели безопасности должны быть опубликованы в открытом доступе в вашей организации, чтобы все заинтересованные стороны знали об ожиданиях.

Создание базового уровня безопасности для Microsoft Power Platform включает в себя несколько шагов и факторов, включая следующие:

  • Понимание архитектуры и компонентов Power Platform, таких как среды, соединители, Dataverse, Power Apps, Power Automate и Copilot Studio.

  • Настройка параметров и ролей безопасности для Power Platform на уровне клиента, среды и ресурсов, например настройка политик защиты от потери данных, разрешений среды и групп безопасности.

  • Использование Microsoft Entra ID для управления удостоверениями пользователей, аутентификацией и авторизацией для Power Platform, а также интеграция с другими функциями Entra ID, такими как условный доступ и многофакторная аутентификация.

  • Применение методов защиты и шифрования данных для защиты данных, хранящихся и обрабатываемых в Power Platform, включая метки конфиденциальности и ключи, управляемые клиентом.

  • Мониторинг и аудит действий и использования Power Platform с использованием таких инструментов, как Power Platform Центр администрирования, Управляемые среды и Microsoft Purview.

  • Внедрение политик и процессов управления для Power Platform, таких как определение ролей и обязанностей различных заинтересованных сторон, создание рабочих процессов утверждения и управления изменениями, а также предоставление рекомендаций и обучения для пользователей и разработчиков.

Это руководство поможет вам установить базовый уровень безопасности, учитывающий как внутренние, так и внешние факторы. Внутренние факторы включают потребности вашего бизнеса, факторы риска и оценку активов. Внешние факторы включают отраслевые стандарты и нормативные стандарты. Следуя этим шагам и факторам, организация может установить базовый уровень безопасности для Power Platform, соответствующий ее бизнес-целям, нормативным требованиям и склонности к риску. Базовый уровень безопасности может помочь организации получить максимальные преимущества Power Platform, сводя при этом к минимуму потенциальные угрозы и проблемы.

Определения

Термин Определение
Базовый показатель Минимальный уровень безопасности, которым должна обладать рабочая нагрузка, чтобы избежать уязвимостей.
Стандарт Стандартный показатель, обозначающий уровень безопасности, к которому стремится организация. Он оценивается, измеряется и улучшается с течением времени.
Элементы управления Технические или операционные элементы управления в рабочей нагрузке, которые помогает предотвратить атаки и увеличить затраты злоумышленников.
Нормативные требования Набор бизнес-требований, основанных на отраслевых стандартах, которые предписывают законы и органы власти.

Ключевые стратегии проектирования

Базовый уровень безопасности отражает требования и функции безопасности, которым должна соответствовать рабочая нагрузка для улучшения и поддержания безопасности. Вы можете сделать базовый уровень более сложным, добавив политики, которые вы используете для установки границ. Базовый уровень должен быть стандартом, который вы используете для измерения уровня безопасности. Стремитесь всегда достигать полного базового уровня, охватывая при этом широкий диапазон.

Базовый уровень должен отражать консенсус между бизнес-руководителями и техническими руководителями. Базовый уровень должен включать технические элементы управления, а также операционные аспекты управления и поддержания уровня безопасности.

Чтобы установить базовый уровень безопасности для Power Platform, рассмотрите следующие ключевые стратегии проектирования:

  • Используйте Microsoft тест безопасности облака (MCSB) в качестве эталонной среды. MCSB — это комплексный набор передовых методик обеспечения безопасности, который охватывает различные аспекты облачной безопасности: управление идентификацией и доступом, защита данных, сетевая безопасность, защита от угроз и система управления. Вы можете использовать MCSB для оценки текущего состояния безопасности, выявления несоответствий и областей для улучшения.

  • Настройте стандарт MCSB в соответствии с потребностями вашего бизнеса, нормативными требованиями и склонностью к риску. Возможно, вам придется добавить, изменить или удалить некоторые элементы управления MCSB в зависимости от контекста и целей вашей организации. Например, вам может потребоваться привести базовый уровень безопасности в соответствие с отраслевыми стандартами (такими как ISO 27001 или NIST 800-53) или положениями нормативной базы (например, GDPR (Общий регламент по защите данных) или HIPAA (Акт о передаче и защите данных учреждений здравоохранения)). которые имеют отношение к вашему домену или региону.

  • Определите область действия и применимость базового уровня безопасности для Power Platform. Вы должны четко указать, какие компоненты, функции и службы Power Platform охватываются вашим базовым уровнем безопасности, а какие выходят за рамки или требуют особого рассмотрения. Например, вам может потребоваться определить разные требования безопасности для разных типов сред Power Platform (таких как рабочая среда, среда разработки или песочница), соединителей (включая стандартные, пользовательские или премиум-соединители) или приложений (на основе холста, на основе модели или страничные).

Следуя этим стратегиям проектирования, вы можете создать документ по базовому уровню безопасности Power Platform , который отражает ваши цели и стандарты безопасности и помогает защитить ваши данные и активы в облаке.

По мере изменения рабочей нагрузки и роста среды важно постоянно обновлять базовые показатели с учетом изменений, чтобы убедиться, что базовые элементы управления по-прежнему работают. Вот несколько рекомендаций по процессу создания базового уровня безопасности:

  • актив инвентарь. Определите заинтересованных сторон, связанных с активами рабочей нагрузки, и цели безопасности для этих активов. При инвентаризации активов классифицируйте их по требованиям безопасности и критичности. Для получения дополнительной информации об активах данных см. раздел Рекомендации по классификации данных.

  • Определите уровни рабочих нагрузок. Когда вы определяете свой базовый уровень безопасности, важно учитывать, как будут классифицироваться решения, созданные на основе критичности — это позволит вам разработать процессы, которые гарантируют, что критически важные приложения будут иметь необходимые ограничения для их поддержки, и в то же время не будут мешать инновациям сценариев производительности.

  • Оценка риска. Определите потенциальные риски, связанные с каждым активом, и расставьте их приоритеты.

  • Требования соответствия. Определите основные нормативные требования для этих активов и примените передовые отраслевые практики.

  • Стандарты конфигурации. Определите и задокументируйте конкретные конфигурации и параметры безопасности для каждого актива. Если возможно, создайте шаблон или найдите повторяемый автоматизированный способ последовательного применения настроек во всей среде. Рассмотрите конфигурации на всех уровнях. Начните с конфигураций безопасности на уровне клиента, связанных с доступом или сетью. Затем рассмотрите конфигурации безопасности Power Platform для конкретных ресурсов, например конфигурации Power Pages, а также конфигурации безопасности для конкретной рабочей нагрузки, например, способ предоставления общего доступа к рабочей нагрузке.

  • Контроль доступа и аутентификация. Укажите требования к управлению доступом на основе ролей (RBAC) и многофакторной аутентификации (MFA). Укажите в документе значение термина «достаточный доступ» на уровне активов. Всегда начинайте с принципа минимальных привилегий.

  • Документация и коммуникация. Документируйте все конфигурации, политики и процедуры. Сообщите подробности соответствующим заинтересованным лицам.

  • Обеспечение соблюдения и подотчетность. Установите четкие механизмы исполнения и последствия несоблюдения базового уровня безопасности. Привлекайте отдельных лиц и команды к ответственности за соблюдение стандартов безопасности.

  • Постоянный мониторинг. Оценивайте эффективность базового уровня безопасности посредством наблюдений и вносите улучшения с течением времени.

Состав базового уровня

Вот некоторые общие категории, которые должны быть частью базового уровня. Следующий список не является исчерпывающим. Он предназначен в качестве обзора области действия документа

Соответствие нормативным требованиям

На ваш выбор проектных решений могут повлиять нормативные требования для конкретных сегментов отрасли или географические ограничения. Очень важно понимать нормативные требования и включать их в архитектуру рабочей нагрузки.

Базовый уровень должен включать регулярную оценку рабочей нагрузки на соответствие нормативным требованиям. Воспользуйтесь инструментами, предоставляемыми платформой, такими как Microsoft Power консультант, которые могут выявить области несоответствия. Работайте с командой по обеспечению соответствия требованиям вашей организации, чтобы убедиться, что все требования соблюдаются.

Пример

Медико-биологические организации создают решения, которые должны соответствовать требованиям надлежащей клинической, лабораторной и производственной практики (GxP). Вы можете воспользоваться преимуществами эффективности облака, одновременно обеспечивая безопасность пациентов, качество продукции и целостность данных. Для получения дополнительной информации см. Microsoft руководства GxP для Dynamics 365 и Power Platform.

Хотя для поставщиков облачных услуг не существует специальной сертификации GxP, Microsoft Azure (где размещается Power Platform) прошла независимый сторонний аудит по управлению качеством и информационной безопасности, включая сертификации ISO 9001 и ISO/IEC 27 001. Если вы развертываете приложения на Power Platform, рассмотрите следующие шаги:

  • Определите требования GxP, применимые к вашей компьютеризированной системе, исходя из ее предполагаемого использования.
  • Следуйте внутренним процедурам квалификации и проверки, чтобы продемонстрировать соответствие требованиям GxP.

Процессы разработки

Базовый план должен содержать следующие рекомендации:

  • Типы ресурсов Power Platform, одобренные к использованию.
  • Мониторинг ресурсов.
  • Реализация возможностей ведения журнала и аудита.
  • Совместное использование ресурсов.
  • Обеспечение соблюдения политик использования или настройки ресурсов.
  • Защита данных и сетевая безопасность.

Команда разработчиков должна иметь четкое представление о масштабах проверок безопасности, о том, как проектировать и разрабатывать решения Power Platform с учетом безопасности, а также способах проведения регулярных оценок безопасности. Например, применение принципа минимальных привилегий, разделение сред разработки и рабочих сред, использование безопасных соединителей и шлюзов, а также проверка входных и выходных данных пользователя — все это требования для обеспечения безопасности рабочей нагрузки. Укажите, как можно выявить потенциальные угрозы, и уточните способы выполнения проверок.

Для получения дополнительной информации см. Рекомендации по анализу угроз.

Процесс разработки также должен установить стандарты для различных методик тестирования. Для получения дополнительной информации см. Рекомендации по тестированию безопасности.

Операции

Базовый уровень должен включать стандарты способов обнаружения угроз и отправки оповещений об аномальных действиях, указывающих на реальные инциденты.

Базовый план должен включать рекомендации по настройке процессов реагирования на инциденты, включая план коммуникации и восстановления. В нем должно быть указано, какие из этих процессов можно автоматизировать для ускорения обнаружения и анализа. Примеры см. в Microsoft тесте безопасности облака: инцидент ответ.

Используйте отраслевые стандарты для разработки планов реагирования на инциденты безопасности и утечки данных, а также убедитесь, что у операционной группы есть комплексный план, которому нужно следовать в случае обнаружения утечки. Узнайте в своей организации, есть ли покрытие киберстрахования.

Обучение

Обучение является критически важным. Имейте в виду, что зачастую разработчики приложений не полностью осведомлены о рисках безопасности. Если ваша организация проводит обучение по созданию рабочих нагрузок с помощью Power Platform, включите в это обучение свой базовый план безопасности. В качестве альтернативы, если ваша организация проводит обучение по безопасности для всей организации, включите в это обучение свой базовый план безопасности Power Platform.

Ваше обучение должно включать изучение ограничений и конфигураций на уровне клиента, которые могут повлиять на создаваемые рабочие нагрузки. Им также требуется обучение по конфигурациям, которые разработчики должны создавать для своих рабочих нагрузок, например, для ролей безопасности и способам подключения к данным. Определите процесс сотрудничества с ними по любым запросам, которые могут у них возникнуть.

Разработайте и поддерживайте программу обучения безопасности, чтобы обеспечить наличие у группы по рабочей нагрузке соответствующих навыков для поддержки целей и требований безопасности. Группе необходима фундаментальная подготовка по вопросам безопасности, а также обучение концепциям безопасности Power Platform.

Использование базового плана

Используйте базовый план для реализации инициатив и решений. Вот несколько способов использовать базовый уровень для улучшения состояния безопасности вашей рабочей нагрузки:

  • Подготовка проектных решений. Используйте базовый уровень безопасности, чтобы понять требования и ожидания по безопасности для ваших рабочих нагрузок Power Platform. Прежде чем приступить к проектированию архитектуры, убедитесь, что члены команды осведомлены об ожиданиях. Чтобы предотвратить дорогостоящие корректировки на этапе внедрения, члены команды должны знать базовый уровень безопасности и свою роль в выполнении требований безопасности. Используйте базовый уровень безопасности в качестве требования к рабочей нагрузке и проектируйте рабочую нагрузку в рамках границ и ограничений, определенных базовым уровнем.

  • Измерьте свой дизайн. Используйте базовый уровень безопасности для оценки текущего состояния безопасности, выявления несоответствий и областей для улучшения. Документируйте любые отклонения, которые откладывались или считались приемлемыми в долгосрочной перспективе, и четко обозначайте любые решения, принятые в отношении отклонений.

  • Улучшения драйверов. Базовый уровень безопасности определяет ваши цели, но, возможно, вы не сможете достичь их всех сразу. Документируйте любые несоответствия и расставляйте их по приоритетности в зависимости от важности. Четко укажите, какие несоответствия приемлемы в краткосрочной или долгосрочной перспективе, и укажите причины таких решений.

  • Отслеживайте свой прогресс относительно базового уровня. Отслеживайте свои меры безопасности по сравнению с базовым уровнем безопасности, чтобы выявлять тенденции и отклонения от базового уровня. Используйте автоматизацию, где это возможно, а также данные, собранные в результате отслеживания прогресса, для выявления и решения текущих проблем и подготовки к будущим угрозам.

  • Установите ограждения. Используйте базовый уровень безопасности для установки ограничений и управления ими, а также создания структуры управления для ваших рабочих нагрузок Power Platform. Ограничения обеспечивают соблюдение необходимых конфигураций, технологий и операций безопасности на основе внутренних и внешних факторов. Ограничения помогают минимизировать риски случайного недосмотра и штрафных санкций за несоблюдение требований. Вы можете использовать готовые функции в Центре администрирования Power Platform и управляемых средах для установки ограничений или создать свои собственные, используя эталонную реализацию начального набора центра передовых технологий (CoE) или собственные сценарии/инструменты. Скорее всего, вы будете использовать комбинацию готовых и пользовательских инструментов для настройки защитных ограничений и системы управления. Определите, какие части вашего базового уровня безопасности можно применять с упреждением, а какие вы будете отслеживать в режиме реагирования.

Изучите Microsoft область действия Power Platform, Power консультант, встроенные концепции в Power Platform Центре администрирования, такие как политики данных и изоляция клиента, а также справочные реализации, такие как CoE Starter Kit, для внедрения и обеспечения соблюдения конфигураций безопасности и требований соответствия.

Регулярная оценка базового уровня

Постоянно улучшайте стандарты безопасности, стремясь достичь идеального состояния, чтобы обеспечить постоянное снижение рисков. Следите за последними обновлениями безопасности в Power Platform, регулярно проверяя дорожную карту и объявления. Затем определяйте, какие новые функции могут улучшить ваш базовый план безопасности, и спланируйте их реализацию. Любые изменения базового уровня должны быть официально утверждены и должны пройти соответствующие процессы управления изменениями.

Сопоставьте систему с новым базовым уровнем и расставьте приоритеты исправлений в зависимости от их значимости и влияния на рабочую нагрузку.

Убедитесь, что состояние безопасности не ухудшается с течением времени. Для этого организуйте аудит и мониторинг соблюдения стандартов организации.

Безопасность в Microsoft Power Platform

Power Platform построен на прочном фундаменте безопасности. Он использует ту же систему безопасности, благодаря которой платформа Azure имеет статус доверенного хранителя самых конфиденциальных данных в мире, и интегрируется с самыми передовыми инструментами защиты информации и соответствия требованиям Microsoft 365. Power Platform обеспечивает сквозную защиту, разработанную с учетом самых сложных задач наших клиентов.

Power Platform Сервис регулируется Microsoft Условиями предоставления онлайн-услуг и Microsoft Заявлением о конфиденциальности предприятия. Информацию о месте обработки данных см. в Microsoft Условиях предоставления онлайн-услуг и Дополнении к соглашению о защите данных.

Microsoft Центр управления безопасностью является основным источником Power Platform информации о соответствии. Для получения дополнительной информации см. Microsoft Предложения по обеспечению соответствия.

Служба Power Platform следует жизненному циклу разработки безопасности (SDL). SDL — это набор строгих правил, поддерживающих требования безопасности и соответствия требованиям. Для получения дополнительной информации см. Microsoft Практики жизненного цикла разработки безопасности.

Возможности в Power Platform

Microsoft Тест безопасности облака (MCSB) — это комплексная структура передовых методов обеспечения безопасности, которую вы можете использовать в качестве отправной точки для своего базового уровня безопасности. Используйте его вместе с другими ресурсами, которые вносят вклад в ваш базовый уровень. Для получения дополнительной информации см. Введение в Microsoft тест безопасности облака.

Страница Безопасность в Power Platform центре администрирования поможет вам управлять безопасностью вашей организации с помощью передовых методов и полного набора функций для обеспечения максимальной безопасности. Например, чтобы:

  • Оцените статус вашей безопасности: Изучите и улучшите политики безопасности вашей организации в соответствии с вашими конкретными потребностями.
  • Действуйте по рекомендациям: Определите и реализуйте наиболее эффективные рекомендации для улучшения оценки.
  • Настройте проактивные политики: Используйте широкий набор доступных инструментов и возможностей безопасности, чтобы получить полную картину, обнаружить угрозы и проактивно установить политики, которые помогут защитить организацию от уязвимостей и рисков.

Согласованность внутри организации

Базовый уровень безопасности, который вы установили для Power Platform, должен хорошо согласоваться с базовыми показателями безопасности вашей организации. Тесно сотрудничайте с командами ИТ-безопасности в вашей организации, чтобы использовать их опыт.

Контрольный список безопасности

Обратитесь к полному набору рекомендаций.

Контрольный список безопасности