Deli z drugimi prek


Priporočila za vzpostavitev varnostne osnove

Velja za Power Platform priporočilo dobro arhitekturnega varnostnega kontrolnega seznama:

SE:01 Vzpostavite varnostno osnovo, usklajeno z zahtevami skladnosti, industrijskimi standardi in priporočili platforme. Redno merite svojo arhitekturo delovne obremenitve in operacije glede na osnovno linijo, da ohranite ali izboljšate svoj varnostni položaj skozi čas.

Ta priročnik opisuje priporočila za vzpostavitev varnostne osnove za razvoj delovnih obremenitev s Microsoft Power Platform. Varnostna osnova je nabor minimalnih varnostnih standardov in najboljših praks, ki jih organizacija uporablja za svoje IT sisteme in storitve. Varnostna osnova pomaga zmanjšati tveganje kibernetskih napadov, vdorov podatkov in nepooblaščenega dostopa. Varnostna osnova prav tako pomaga zagotoviti doslednost, odgovornost in revizijo v celotni organizaciji.

Dobra varnostna osnova vam pomaga:

  • Zmanjšajte tveganje kibernetskih napadov, vdorov podatkov in nepooblaščenega dostopa.
  • Zagotovite doslednost, odgovornost in možnost revizije v celotni organizaciji.
  • Varujte svoje podatke in sisteme.
  • Upoštevajte regulativne zahteve.
  • Zmanjšajte tveganje spregleda.

Varnostna izhodišča bi morala biti široko objavljena v vaši organizaciji, tako da so vse zainteresirane strani seznanjene s pričakovanji.

Vzpostavitev varnostne osnove za Microsoft Power Platform vključuje več korakov in premislekov, kot so:

  • Razumevanje arhitekture in komponent Power Platform, kot so okolja, konektorji, Dataverse, Power Apps in Power Automate.

  • Konfiguriranje varnostnih nastavitev in vlog za Power Platform na ravni najemnika, okolja in virov, kot so pravilniki za preprečevanje izgube podatkov, dovoljenja okolja in varnostne skupine.

  • Izkoriščanje Microsoft Entra ID za upravljanje uporabniških identitet, avtentikacije in avtorizacije za Power Platform ter integracija z drugimi funkcijami Entra ID, kot sta pogojni dostop in večfaktorska avtentikacija.

  • Uporaba metod zaščite podatkov in šifriranja za zaščito podatkov, ki jih shranjuje in obdeluje Power Platform, kot so oznake Občutljivost in ključi, ki jih upravlja stranka.

  • Spremljanje in revidiranje dejavnosti in uporabe Power Platform z uporabo orodij, kot so Power Platform Admin Center, Managed Environments in Microsoft Purview.

  • Izvajanje politik in procesov upravljanja za Power Platform, kot je definiranje vlog in odgovornosti različnih deležnikov, vzpostavitev delovnih tokov odobritve in upravljanje sprememb ter zagotavljanje smernic in usposabljanja za uporabnike in razvijalce.

Ta vodnik vam pomaga nastaviti varnostno osnovo, ki upošteva notranje in zunanje dejavnike. Notranji dejavniki vključujejo vaše poslovne potrebe, dejavnike tveganja in oceno sredstev. Zunanji dejavniki vključujejo industrijska merila in regulativne standarde. Z upoštevanjem teh korakov in premislekov lahko organizacija vzpostavi varnostno osnovo za Power Platform ki je v skladu z njenimi poslovnimi cilji, zahtevami skladnosti in nagnjenostjo k tveganju. Varnostna osnova lahko pomaga organizaciji povečati koristi Power Platform in hkrati zmanjšati morebitne grožnje in izzive.

Definicije

Trajanje Definicija
Osnovni model Najmanjša raven varnosti, ki jo mora imeti delovna obremenitev, da se prepreči izkoriščanje.
Benchmark Standard, ki označuje varnostno držo, h kateri organizacija teži. Sčasoma se ocenjuje, meri in izboljšuje.
Kontrolniki Tehnične ali operativne kontrole delovne obremenitve, ki pomagajo preprečiti napade in povečati stroške napadalcev.
Regulativne zahteve Niz poslovnih zahtev, ki temeljijo na industrijskih standardih, ki jih določajo zakoni in organi.

Ključne strategije oblikovanja

Varnostna osnova je smernica, ki opisuje varnostne zahteve in funkcije, ki jih mora izpolnjevati delovna obremenitev za izboljšanje in vzdrževanje varnosti. Osnovno linijo lahko naredite naprednejšo z dodajanjem pravilnikov, ki jih uporabljate za nastavitev meja. Osnova mora biti standard, ki ga uporabljate za merjenje vaše varnostne ravni. Prizadevajte si vedno doseči celotno izhodišče, hkrati pa pokrivati ​​širok obseg.

Ustvarite izhodišče tako, da pridobite soglasje med poslovnimi in tehničnimi voditelji. Izhodišče mora vključevati tehnične kontrole, pa tudi operativne vidike upravljanja in vzdrževanja varnostnega položaja.

Če želite vzpostaviti varnostno osnovo za Power Platform, razmislite o naslednjih ključnih strategijah oblikovanja:

  • Uporabite Microsoftovo merilo varnosti v oblaku (MCSB) kot referenčno ogrodje. MCSB je obsežen nabor najboljših varnostnih praks, ki zajema različne vidike varnosti v oblaku, kot so upravljanje identitete in dostopa, zaščita podatkov, varnost omrežja, zaščita pred grožnjami in upravljanje. Z MCSB lahko ocenite svojo trenutno varnostno stanje ter prepoznate vrzeli in področja izboljšav.

  • Prilagodite MCSB tako, da bo ustrezal vašim posebnim poslovnim potrebam, zahtevam glede skladnosti in nagnjenosti k tveganju. Morda boste morali dodati, spremeniti ali odstraniti nekaj kontrolnikov MCSB glede na vaš organizacijski kontekst in cilje. Na primer, morda boste morali svojo varnostno osnovo uskladiti z industrijskimi standardi (kot je ISO 27001 ali NIST 800-53) ali regulativnimi okviri (kot je GDPR, Splošna uredba o varstvu podatkov ali HIPAA, Zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja) ki ustrezajo vaši domeni ali regiji.

  • Določite obseg in uporabnost vaše varnostne osnove za Power Platform. Morate jasno določiti, katere Power Platform komponente, funkcije in storitve so zajete v vaši osnovni varnosti in katere so izven obsega ali zahtevajo posebne premisleke. Na primer, morda boste morali definirati različne varnostne zahteve za različne vrste Power Platform okolji (kot so proizvodnja, razvoj ali peskovnik), priključke (kot so standardni, po meri ali premium) ali aplikacije (kot kot platno, na podlagi modela ali strani).

Če sledite tem strategijam oblikovanja, lahko ustvarite varnostni osnovni dokument za Power Platform ki odraža vaše varnostne cilje in standarde ter vam pomaga zaščititi vaše podatke in sredstva v oblaku.

Ker se delovna obremenitev spreminja in okolje raste, je pomembno, da svojo osnovo posodabljate s spremembami, da zagotovite, da osnovni kontrolniki še vedno delujejo. Tukaj je nekaj priporočil za postopek ustvarjanja varnostne osnove:

  • Popis sredstev. Identificirajte deležnike sredstev delovne obremenitve in varnostne cilje za ta sredstva. V popisu sredstev razvrstite po varnostnih zahtevah in kritičnosti. Za informacije o podatkovnih sredstvih glejte Priporočila za klasifikacijo podatkov.

  • Določite stopnje delovnih obremenitev. Ko definirate svojo varnostno osnovo, je pomembno razmisliti o tem, kako boste kategorizirali rešitve, zgrajene na podlagi kritičnosti, da boste lahko razvili procese, ki zagotavljajo, da imajo kritične aplikacije potrebne zaščitne ograje, ki jih podpirajo, hkrati pa ne zavirajo inovacij scenariji produktivnosti.

  • Ocena tveganja. Identificirajte potencialna tveganja, povezana z vsakim sredstvom, in jih razvrstite po prednosti.

  • Zahteve skladnosti. Postavite temeljne predpise ali skladnost za ta sredstva in uporabite najboljše prakse v industriji.

  • Konfiguracijski standardi. Določite in dokumentirajte posebne varnostne konfiguracije in nastavitve za vsako sredstvo. Če je mogoče, ustvarite predlogo ali poiščite ponovljiv, avtomatiziran način za dosledno uporabo nastavitev v celotnem okolju. Upoštevajte konfiguracije na vseh ravneh. Začnite z varnostnimi konfiguracijami na ravni najemnika, povezanimi z dostopom ali omrežjem. Nato razmislite o Power Platform varnostnih konfiguracijah, specifičnih za vire, kot so posebne Power Pages konfiguracije, kot tudi o varnostnih konfiguracijah, specifičnih za delovno obremenitev, na primer o tem, kako se delovna obremenitev deli.

  • Nadzor dostopa in avtentikacija. Podajte zahteve za nadzor dostopa na podlagi vlog (RBAC) in večfaktorsko preverjanje pristnosti (MFA). Dokumentirajte, kaj pomeni dovolj dostopa na ravni sredstev. Vedno začnite z načelom najmanjših privilegijev.

  • Dokumentacija in komunikacija. Dokumentirajte vse konfiguracije, politike in postopke. Sporočite podrobnosti ustreznim zainteresiranim stranem.

  • Izvrševanje in odgovornost. Vzpostavite jasne mehanizme uveljavljanja in posledice za neskladnost z izhodiščem varnosti. Od posameznikov in skupin zahtevajte odgovornost za vzdrževanje varnostnih standardov.

  • Nenehno spremljanje. Ocenite učinkovitost izhodišča varnosti z opazovanjem in sčasoma naredite izboljšave.

Sestava osnovne črte

Tukaj je nekaj pogostih kategorij, ki bi morale biti del izhodišča. Naslednji seznam ni izčrpen. Namenjen je pregledu obsega dokumenta

Skladnost s predpisi

Na vaše izbire oblikovanja lahko vplivajo zahteve skladnosti s predpisi za določene industrijske segmente ali geografske omejitve. Ključno je razumeti zahteve skladnosti s predpisi in jih vključiti v arhitekturo svoje delovne obremenitve.

Izhodišče mora vključevati redno vrednotenje delovne obremenitve glede na regulativne zahteve. Izkoristite orodja, ki jih ponuja platforma, kot je Microsoft Power Advisor, ki lahko prepozna področja neskladnosti. Sodelujte z ekipo vaše organizacije za skladnost, da zagotovite izpolnjevanje in vzdrževanje vseh zahtev.

Primer

Organizacije, ki se ukvarjajo s področja znanosti o življenju, gradijo rešitve, ki morajo izpolnjevati zahteve dobre klinične, laboratorijske in proizvodne prakse (GxP). Izkoristite lahko učinkovitost oblaka, hkrati pa zaščitite varnost pacientov, kakovost izdelkov in celovitost podatkov. Za več informacij glejte smernice Microsoft GxP za Dynamics 365 in Power Platform.

Čeprav ni posebnega certifikata GxP za ponudnike storitev v oblaku, Microsoft Azure (ki gosti Power Platform) je bil podvržen neodvisnim revizijam tretjih oseb za upravljanje kakovosti in varnost informacij, vključno z ISO 9001 in ISO/ Certifikati IEC 27.001. Če nameščate aplikacije na Power Platform, razmislite o naslednjih korakih:

  • Določite zahteve GxP, ki veljajo za vaš računalniški sistem na podlagi njegove predvidene uporabe.
  • Sledite notranjim postopkom za postopke kvalifikacije in validacije, da dokažete skladnost z zahtevami GxP.

Komponente arhitekture

Izhodišče potrebuje predpisujoča priporočila za glavne komponente delovne obremenitve. Ti običajno vključujejo tehnične kontrole za mreženje, identiteto in podatke. Glejte primer.

Razvojni procesi

Izhodišče mora vsebovati priporočila o:

  • Power Platform vrste virov, odobrene za uporabo.
  • Spremljanje virov.
  • Izvajanje zmožnosti beleženja in revizije.
  • Skupna raba virov.
  • Uveljavljanje pravilnikov za uporabo ali konfiguriranje virov.
  • Zaščita podatkov in varnost omrežja.

Razvojna ekipa mora jasno razumeti obseg varnostnih pregledov, kako oblikovati in razvijati Power Platform rešitve z mislijo na varnost in kako izvajati redne varnostne ocene. Na primer, uporaba načela najmanjših privilegijev, ločevanje razvojnih in produkcijskih okolij, uporaba varnih priključkov in prehodov ter preverjanje uporabniških vnosov in izhodov so zahteve za zagotavljanje, da je delovna obremenitev varna. Sporočite, kako je mogoče prepoznati morebitne grožnje, in natančno povejte, kako izvajati preverjanja.

Za več informacij glejte Priporočila za analizo groženj.

Razvojni proces mora določiti tudi standarde za različne metodologije testiranja. Za več informacij glejte Priporočila za varnostno testiranje.

Postopki

Izhodišče mora vključevati standarde o tem, kako zaznati grožnje in kako sprožiti opozorila o neobičajnih dejavnostih, ki kažejo na dejanske incidente.

Izhodišče mora vključevati priporočila za vzpostavitev procesov odzivanja na incidente, vključno s komunikacijo in obnovitvenim načrtom, ter upoštevati, katere od teh procesov je mogoče avtomatizirati za pospešitev odkrivanja in analize. Za primere glejte Microsoftovo merilo varnosti v oblaku: odziv na incident.

Uporabite industrijske standarde za razvoj varnostnih incidentov in načrtov za vdor podatkov ter zagotovite, da ima operativna ekipa obsežen načrt, ki mu bo sledil, ko bo odkrita kršitev. Pri svoji organizaciji preverite, ali obstaja pokritost s kibernetskim zavarovanjem.

Usposabljanje

Usposabljanje je ključnega pomena. Upoštevajte, da se tisti, ki razvijajo aplikacije, pogosto ne zavedajo popolnoma varnostnih tveganj. Če vaša organizacija izvaja kakršno koli usposabljanje o tem, kako zgraditi delovne obremenitve z Power Platform, v ta prizadevanja vključite svojo varnostno osnovo. Druga možnost je, če vaša organizacija izvaja usposabljanje o varnosti za celotno organizacijo, v to usposabljanje vključite svoje Power Platform izhodišče varnosti.

Vaše usposabljanje mora vključevati izobraževanje o zaščitnih ograjah in konfiguracijah za celotnega najemnika, ki lahko vplivajo na delovne obremenitve, ki se gradijo. Potrebujejo tudi usposabljanje o konfiguracijah, ki jih morajo izdelovalci narediti za svoje delovne obremenitve, kot so varnostne vloge in kako se povezati s podatki. Določite postopek za sodelovanje z njimi pri morebitnih zahtevah.

Razvijte in vzdržujte varnostni program usposabljanja, da zagotovite, da je ekipa za delovno obremenitev opremljena z ustreznimi veščinami za podporo varnostnim ciljem in zahtevam. Ekipa potrebuje temeljno varnostno usposabljanje in usposabljanje o varnostnih konceptih Power Platform.

Uporabite osnovno črto

Uporabite izhodišče za spodbujanje pobud in odločitev. Tukaj je nekaj načinov, kako uporabiti osnovno linijo za spodbujanje izboljšav varnostne drže vaše delovne obremenitve:

  • Pripravite oblikovalske odločitve. Uporabite varnostno osnovo, da razumete varnostne zahteve in pričakovanja za vaše Power Platform delovne obremenitve. Zagotovite, da so člani ekipe poučeni o pričakovanjih, preden se lotijo ​​načrtovanja arhitekture. Preprečite drage prilagoditve med fazo izvajanja tako, da zagotovite, da se člani ekipe zavedajo varnostne osnove in svoje vloge pri izpolnjevanju varnostnih zahtev. Uporabite osnovno varnostno linijo kot zahtevo za delovno obremenitev in načrtujte svojo delovno obremenitev znotraj meja in omejitev, ki jih definira osnovna linija.

  • Izmerite svoj dizajn. Uporabite varnostno osnovo, da ocenite vaš trenutni varnostni položaj ter prepoznate vrzeli in področja izboljšav. Dokumentirajte vsa odstopanja, ki so odložena ali se štejejo za dolgoročno sprejemljiva, in jasno navedite vse sprejete odločitve v zvezi z odstopanji.

  • Spodbudite izboljšave. Osnova varnosti določa vaše cilje, vendar jih morda ne boste mogli izpolniti vseh takoj. Dokumentirajte vse vrzeli in jih razvrstite po pomembnosti. Jasno navedite, katere vrzeli so sprejemljive kratkoročno ali dolgoročno, in navedite razloge za te odločitve.

  • Spremljajte svoj napredek glede na izhodišče. Spremljajte svoje varnostne ukrepe v primerjavi z izhodiščem varnosti, da prepoznate trende in razkrijete odstopanja od izhodišča. Uporabite avtomatizacijo, kjer je to mogoče, in uporabite podatke, zbrane s spremljanjem napredka, da prepoznate in obravnavate trenutne težave ter se pripravite na prihodnje grožnje.

  • Postavite zaščitne ograje. Uporabite svojo varnostno osnovo za vzpostavitev in upravljanje zaščitnih ograj in okvira upravljanja za vaše Power Platform delovne obremenitve. Zaščitne ograje uveljavljajo zahtevane varnostne konfiguracije, tehnologije in operacije na podlagi notranjih in zunanjih dejavnikov. Zaščitne ograje pomagajo zmanjšati tveganje nenamernega nadzora in kaznovalnih glob za neupoštevanje. Uporabite lahko že pripravljene funkcije v Power Platform Skrbniškem središču in upravljanih okoljih za vzpostavitev zaščitnih ograj ali zgradite svoje z uporabo referenčne izvedbe CoE Starter Kit ali lastnih skriptov/orodij. Verjetno boste uporabili kombinacijo že pripravljenih orodij in orodij po meri za postavitev zaščitnih ograj in okvira upravljanja. Razmislite o tem, katere dele vaše varnostne osnove je mogoče uveljaviti proaktivno in katere boste spremljali reaktivno.

Raziščite Microsoft Purview for Power Platform, Power Advisor, vgrajene koncepte v Power Platform Admin Center, kot so podatkovni pravilniki in izolacija najemnikov, ter referenčne izvedbe, kot je CoE Starter Kit za izvajanje in uveljavljanje varnosti konfiguracije in zahteve glede skladnosti.

Redno ocenjevajte izhodišče

Nenehno izboljšujte varnostne standarde v smeri idealnega stanja, da zagotovite nenehno zmanjševanje tveganja. Spremljajte najnovejše varnostne posodobitve v Power Platform tako, da redno preverjate načrt in objave. Nato ugotovite, katere nove funkcije bi lahko izboljšale vašo osnovo varnosti, in načrtujte, kako jih boste implementirali. Vse spremembe osnovnega načrta morajo biti uradno odobrene in skozi ustrezne postopke upravljanja sprememb.

Izmerite sistem glede na novo izhodišče in določite prednost popravkov na podlagi njihove ustreznosti in učinka na delovno obremenitev.

Z uvedbo revizije in spremljanjem skladnosti z organizacijskimi standardi zagotovite, da se varnostna drža sčasoma ne poslabša.

Varnost v storitvi Microsoft Power Platform

Power Platform je zgrajen na močnih temeljih varnosti. Uporablja isti varnostni sklad, ki je Azure postavil kot zaupanja vrednega skrbnika najbolj občutljivih podatkov na svetu, in se integrira z Microsoft 365 najnaprednejša orodja za zaščito informacij in skladnost. Power Platform zagotavlja zaščito od konca do konca, zasnovano glede na najzahtevnejše skrbi naših strank.

Storitev Power Platform urejajo pogoji uporabe storitev Microsoft Online Services in Microsoftova izjava o zasebnosti za podjetja. Za lokacijo obdelave podatkov glejte pogoje uporabe storitev Microsoft Online Services in dodatek o varstvu podatkov.

Microsoftovo središče zaupanja je glavni vir za informacije o skladnosti Power Platform. Za več informacij glejte Microsoftove ponudbe skladnosti.

Storitev Power Platform sledi življenjskemu ciklu varnostnega razvoja (SDL). SDL je nabor strogih praks, ki podpirajo zahteve glede zagotavljanja varnosti in skladnosti. Za več informacij glejte Microsoftove prakse življenjskega cikla razvoja varnosti.

Power Platform olajšanje

Microsoftovo merilo varnosti v oblaku (MCSB) je celovit varnostni okvir najboljših praks, ki ga lahko uporabite kot izhodišče za vašo varnostno osnovo. Uporabite ga skupaj z drugimi viri, ki prispevajo k vaši osnovni liniji. Za več informacij glejte Uvod v Microsoftovo merilo varnosti v oblaku.

Organizacijska uskladitev

Zagotovite, da je izhodišče varnosti, ki ga določite za Power Platform dobro usklajeno z izhodiščem varnosti vaše organizacije. Tesno sodelujte z ekipami za varnost IT v vaši organizaciji, da izkoristite njihovo strokovno znanje.

Glejte tudi

Varnostni kontrolni seznam

Oglejte si celoten sklop priporočil.