Varnost v storitvi Dynamics 365
Microsoft Dynamics 365 in Microsoft Power Platform sta naročniški storitvi programske opreme kot storitve (SaaS), ki gostujeta v podatkovnih središčih Microsoft Azure. Te spletne storitve so zasnovane tako, da zagotavljajo učinkovitost delovanja, razširljivost, varnost, možnosti upravljanja in ravni storitev, potrebne za kritične aplikacije in sisteme, ki jih uporabljajo poslovne organizacije.
V Microsoftu je zaupanje temelj za zagotavljanje storitev, pogodbene obveznosti in panožno akreditacijo, zato smo sprejeli pobudo Trusted Cloud Initiative. Trusted Cloud Initiative je program panožnega združenja Cloud Security Alliance (CSA), ki je bilo ustanovljeno, da bi ponudnikom storitev v oblaku pomagali pri razvoju panožno priporočenih, varnih in medsebojno združljivih konfiguracij in praks za upravljanje identitet in skladnosti. Ta niz zahtev, smernic in nadzorovanih postopkov zagotavlja, da storitve v oblaku zagotavljamo po najvišjih standardih z vidika inženirske in pravne podpore ter podpore za zagotavljanje skladnosti. Osredotočamo se na ohranjanje celovitosti podatkov v oblaku, kar urejajo naslednja tri ključna načela:
Varnost: zaščita pred kibernetskimi grožnjami. Zasebnost: zagotavljanje nadzora nad dostopom do vaših podatkov. Skladnost: neprimerljiva naložba v izpolnjevanje globalnih standardov.
V Microsoftu naš pristop k zaščiti podatkov strank vključuje okvir tehnologij za varnostni nadzor, operativnih postopkov in pravilnikov, ki izpolnjujejo najnovejše globalne standarde in se lahko hitro prilagajajo varnostnim trendom in potrebam posameznih panog. Poleg tega ponujamo nabor orodij, ki jih upravljajo stranke ter se prilagajajo organizaciji in njenim varnostnim potrebam. Središče storitve Microsoft 365 za varnost in skladnost s predpisi uporabite za sledenje dejavnosti uporabnikov in skrbnikov, groženj zlonamerne programske opreme, dogodkov, pri katerih pride do izgube podatkov, in več. Nadzorna plošča »Poročila« se uporablja za najnovejša poročila, povezana s funkcijami za varnost in skladnost v organizaciji. Poročila storitve Microsoft Entra lahko uporabite, da boste vedno na tekočem glede nenavadnih ali sumljivih dejavnostih vpisa.
Opomba
Azure Active Directory je zdaj Microsoft Entra ID. Več informacij
Naš varnostni pravilnik opredeljuje pravila in zahteve glede informacijske varnosti za storitveno okolje. Microsoft izvaja redne preglede sistemov za upravljanje informacijske varnosti (ISMS), rezultate pa pregledajo vodje za IT. Ta postopek vključuje spremljanje tekoče učinkovitosti in izboljšanje nadzornega okolja ISMS s pregledovanjem varnostnih težav, revidiranjem rezultatov in spremljanjem stanja ter z načrtovanjem in sledenjem potrebnih korektivnih ukrepov.
Ti kontrolniki vključujejo:
- Fizične in logične omrežne meje s strogo uveljavljenimi pravilniki za nadzor sprememb.
- Ločevanje nalog, ki zahtevajo poslovno potrebo po dostopu do okolja.
- Zelo omejen fizični in logični dostop do okolja v oblaku.
- Stroge nadzorne ukrepe, ki temeljijo na Microsoftovem življenjskem ciklu za varnostni razvoj in praksah zagotavljanja operativne varnosti, ki opredeljujejo prakse za programiranje, preskušanje kakovosti in promocijo programske kode.
- Stalno ozaveščanje in usposabljanje o varnostnih in zasebnostnih praksah ter varnem programiranju.
- Stalno beleženje in revidiranje dostopov do sistema.
- Redno revidiranje skladnosti za zagotovitev učinkovitosti nadzora.
Microsoft za pomoč pri preprečevanju nastajajočih in razvijajočih se groženj uporablja inovativno strategijo »predpostavljene kršitve« in uporablja visoko specializirane skupine varnostnih strokovnjakov, imenovanih »rdeča ekipa«, za okrepitev odkrivanja groženj, odzivanje nanje in obrambo za svoje poslovne storitve v oblaku. Microsoft uporablja rdečo ekipo in testiranje spletnih mest v živo na infrastrukturi v oblaku, ki jo upravlja Microsoft, za simuliranje dejanskih kršitev, izvajanje stalnega varnostnega spremljanje in vadbo odzivanja na varnostne dogodke za potrditev in izboljšanje varnosti spletnih storitev.
Varnostna ekipa za Microsoft Cloud izvaja pogoste notranje in zunanje preglede za ugotavljanje ranljivosti in ocenjevanje učinkovitosti postopka upravljanja popravkov. S pregledi se ugotavlja, ali so v storitvah morebitne znane ranljivosti; nove storitve se naslednjemu četrtletnemu pregledu dodajo glede na datum vključitve in nato sledijo četrtletnemu urniku pregledovanja. Ti pregledi se uporabljajo za zagotavljanje skladnosti z osnovnimi konfiguracijskimi predlogami, potrditev namestitve ustreznih popravkov in ugotavljanje ranljivosti. Poročila o pregledih preuči ustrezno osebje in takoj se izvedejo sanacijski ukrepi.
Vse neuporabljena V/I-vrata v robnih produkcijskih strežnikih se onemogočijo s konfiguracijami na ravni operacijskega sistema, ki so opredeljene v osnovni varnostni konfiguraciji. Omogočena so stalna preverjanja konfiguracije za odkrivanje »drsenja« konfiguracij na ravni operacijskega sistema. Poleg tega so omogočena stikala za zaznavanje vdorov, ki zaznavajo fizične dostope do strežnika.
Vzpostavili smo postopke za pravočasno preiskovanje in odzivanje na zlonamerne dogodke, ki jih zazna Microsoftov sistem spremljanja.
Microsoft uporablja načela ločevanja nalog in najmanjših potrebnih pravic pri svojih postopkih. Microsoftovo podporno osebje lahko za zagotavljanje podpore strankam za izbrane storitve dostopa do podatkov strank le z izrecnim dovoljenjem stranke. Dovoljenje se podeli po načelu »ravno v pravem trenutku«, ki se zabeleži in revidira, nato pa se po zaključku interakcije umakne. Operativni inženirji in podporno osebje v Microsoftu, ki dostopajo do njegovih produkcijskih sistemov, uporabljajo utrjene delovne postaje, v katerih so nastavljeni in omogočeni navidezni računalniki za dostop do notranjega omrežja podjetja in aplikacij (kot sta e-pošta in intranet). Vse upravljalne delovne postaje imajo module TPM (Trusted Platform Module), njihovi gostiteljski zagonski pogoni pa so šifrirani z BitLockerjem in pridruženi posebni organizacijski enoti v Microsoftovi primarni korporativni domeni.
Utrjevanje sistema se uveljavlja z uporabo pravilnika skupine s centraliziranim posodabljanjem programske opreme. Za revidiranje in analiziranje se iz upravljalnih delovnih postaj zbirajo dnevniki dogodkov (kot sta varnost in AppLocker) ter shranjujejo na varni osrednji lokaciji. Poleg tega se za povezavo s produkcijskim omrežjem uporabljajo namenske skočne enote v Microsoftovem omrežju, ki zahtevajo dvojno preverjanje pristnosti.