Dynamics 365 güvenliği

Microsoft Dynamics 365 ve Microsoft Power Platform, Microsoft Azure veri merkezleri içinde barındırılan abonelik tabanlı, hizmet olarak yazılım (SaaS) hizmetleridir. Bu çevrimiçi hizmetler performans, ölçeklenebilirlik, güvenlik, yönetim özellikleri ve kuruluşlar tarafından kullanılan görev açısından kritik uygulamalar ve sistemler için gerekli hizmet düzeylerini sağlamak üzere tasarlanmıştır.

Microsoft hizmet sunumunda, sözleşme taahhütlerinde ve sektör akreditasyonunda güveni odak noktası olarak kabul eder ve bu nedenle Güvenilir Bulut Girişimini benimsemiştir. Güvenilir Bulut Girişimi, bulut hizmeti sağlayıcılarının sektör tarafından önerilen, güvenli ve birlikte çalışılabilir kimlik, erişim ve uyumluluk yönetimi yapılandırmaları ve uygulamaları geliştirmelerine yardımcı olmak amacıyla Cloud Security Alliance (CSA) endüstri grubu tarafından oluşturulmuş bir programdır. Bu gereksinimler, yönergeler ve denetlenen süreçler kümesi mühendislik, yasal ve uyumluluk desteği ile ilgili en yüksek standartlara sahip bulut hizmetleri sunmamızı sağlar. Bulutta veri bütünlüğünü korumaya odaklanırız ve aşağıdaki üç ana ilkeyi temel alırız:

Güvenlik: Sizi siber tehditlere karşı korur. Gizlilik: Verilere erişim üzerinde denetim olanağı verir. Uyumluluk: Küresel standartları karşılamaya yönelik benzersiz yatırım.

Microsoft olarak müşterilerimizin bilgilerinin güvenliğini sağlama yaklaşımımız, teknolojilere yönelik bir güvenlik denetim çerçevesini, operasyonel yordamları ve en son küresel standartları karşılayan ve güvenlik eğilimleri ile sektöre özel gereksinimlere hızlı şekilde uyum sağlayabilen ilkeleri kapsamaktadır. Ek olarak, kuruluşa ve kuruluşun güvenlik gereksinimlerine uyum sağlayan, müşteri tarafından yönetilen bir dizi araç sağlarız. Kullanıcı ve yönetici etkinliklerini, kötü amaçlı yazılım tehditlerini, veri kaybı olaylarını ve daha fazlasını izlemek için Microsoft 365 Güvenlik ve Uyumluluk Merkezi'ni kullanın. Raporlar panosu, kuruluşunuzdaki güvenlik ve uyumluluk özellikleriyle ilgili güncel raporlar için kullanılır. Olağandışı veya şüpheli oturum açma etkinliklerinden haberdar olmak için Microsoft Entra raporlarını kullanabilirsiniz.

Not

Azure Active Directory artık Microsoft Entra ID. Daha fazla bilgi edinin

Güvenlik ilkemiz, hizmet ortamına ilişkin bilgi güvenliği kurallarını ve gereksinimlerini tanımlar. Microsoft, düzenli olarak bilgi güvenliği yönetim sistemi (ISMS) incelemeleri yapar ve sonuçlar BT yöneticileriyle gözden geçirilir. Bu süreç, güvenlik konularını gözden geçirerek, sonuçları kontrol ederek, durumu izleyerek ve gerekli düzeltici eylemleri planlayıp takip ederek ISMS denetim ortamının verimliliğini ve gelişimini izlemeyi içerir.

Bunlar denetimler aşağıdakileri içerir:

• Kesin olarak uygulanan değişiklik denetimi ilkelerine sahip fiziksel ve mantıksal ağ sınırları.
• Bir ortama erişim için iş gereksinimi olmasını gerektiren görev ayrımı.
• Bulut ortamına son derece kısıtlı fiziksel ve mantıksal erişim.
• Microsoft Security Development Lifecycle ve kodlama uygulamaları, kalite testleri ve kod yükseltmelerini tanımlayan Operasyonel Güvenlik Güvencesi uygulamalarını temel alan sıkı denetimler.
• Sürekli güvenlik, gizlilik ve güvenli kodlama yöntemlerine yönelik farkındalık ve eğitim.
• Sistem erişiminin sürekli olarak günlüğe kaydedilmesi ve denetlenmesi.
• Denetim verimliliğini sağlamak için düzenli uyumluluk denetimleri.

Microsoft, ortaya çıkan ve gelişen tehditlerle mücadele etmeye yardımcı olmak amacıyla yenilikçi "ihlal varsay" stratejisini kullanır ve kurumsal bulut hizmetleriyle ilgili tehdit algılama, yanıt verme ve savunma özelliklerini güçlendirmek için Kırmızı Takım olarak bilinen, ileri düzey uzmanlığa sahip güvenlik uzmanlarından yararlanır. Microsoft, gerçek dünyadaki ihlallerin simülasyonunu yapmak, sürekli güvenlik izlemesi gerçekleştirmek ve çevrimiçi hizmetlerin güvenliğini doğrulamak ve iyileştirmek amacıyla güvenlik olayı yanıtı uygulamak için Microsoft tarafından yönetilen bulut altyapısında Kırmızı Takım'dan ve canlı site testinden yararlanır.

Microsoft Cloud güvenlik takımı, güvenlik açıklarını belirlemek ve düzeltme eki yönetimi sürecinin verimliliğini değerlendirmek için sık aralıklarla dahili ve harici taramalar gerçekleştirir. Hizmetler bilinen güvenlik açıklarına karşı taranır. Yeni hizmetler, dahil edilme tarihine göre sonraki üç aylık dönemdeki taramaya eklenir ve daha sonra üç aylık tarama programını izler. Bu taramalar temel yapılandırma şablonlarıyla uyumluluğu sağlamak, ilgili düzeltme eklerinin yüklendiğini doğrulamak ve güvenlik açıklarını belirlemek için kullanılır. Tarama raporları uygun personel tarafından gözden geçirilir ve düzeltme çalışmaları hemen gerçekleştirilir.

Uç üretim sunucularındaki kullanılmayan tüm G/Ç bağlantı noktaları, temel güvenlik yapılandırmasında tanımlanan işletim sistemi düzeyindeki yapılandırmalar tarafından devre dışı bırakılır. İşletim sistemi düzeyindeki yapılandırmalardaki etkiyi algılamak amacıyla sürekli yapılandırma doğrulama denetimleri etkinleştirilir. Ek olarak, yetkisiz erişim algılama anahtarları, bir sunucuya fiziksel olarak ne zaman erişildiğini algılamak için etkinleştirilir.

Microsoft izleme sistemi tarafından algılanan kötü amaçlı olayları araştırmak ve bunlara zamanında yanıt vermek üzere yordamlar oluşturduk.

Microsoft, Microsoft operasyonları boyunca görev ayrılığı ve en düşük ayrıcalık ilkelerini kullanır. Microsoft destek personeli, seçili hizmetlerle ilgili müşteri desteği sağlamak amacıyla müşteri verilerine yalnızca müşterinin açık iznini alarak erişebilir. İzin "anlık" olarak verilir, kaydedilir, denetlenir ve etkileşim tamamlandıktan sonra iptal edilir. Microsoft'ta, üretim sistemlerine erişen işlem mühendisleri ve destek personeli, kendilerine dahili şirket ağı erişimi ve uygulamaları (e-posta ve intranet gibi) için sağlanan sanal makinelere sahip güçlü iş istasyonu bilgisayarlarını kullanır. Tüm yönetim iş istasyonu bilgisayarlarında Güvenilir Platform Modülleri (TPM'ler) bulunur; ana bilgisayar başlatma sürücüleri BitLocker ile şifrelenir ve bu bilgisayarlar birincil Microsoft kurumsal etki alanındaki özel bir kuruluş birimine bağlanırlar.

Sistem sağlamlaştırma, merkezi yazılım güncelleştirme ile grup ilkesi kullanımı aracılığıyla zorunlu kılınır. Olay günlükleri (güvenlik ve AppLocker gibi), denetim ve analiz amacıyla yönetim iş istasyonlarından toplanır ve güvenli bir merkezi konuma kaydedilir. Ek olarak, üretim ağına bağlanmak için Microsoft ağında yer alan ve iki faktörlü kimlik doğrulaması gerektiren özel atlama kutuları kullanılır.

İlgili kaynaklar

• Dynamics 365 uygulamalarında güvenlik stratejisi
• Microsoft Güven Merkezi
• Microsoft Power Platform güvenliği belgeleri
• Dynamics 365 Customer Engagement (on-premises) güvenlik modeli
• Güvenlik ve uyumluluk için denetim verileri ile kullanıcı etkinliği