Sdílet prostřednictvím

Doporučení pro stanovení bezpečnostní základní úrovně

  • Článek

Platí pro Power Platform Doporučení kontrolního seznamu s dobrou architekturou:

SE:01 Vytvořte základní úroveň zabezpečení, která je v souladu s požadavky na dodržování předpisů, průmyslovými standardy a doporučení platforem. Pravidelně měřte architekturu své úlohy a operace proti základní úrovni, abyste udrželi nebo zlepšili své zabezpečení v průběhu času.

Tato příručka popisuje doporučení pro vytvoření základní úrovně zabezpečení pro vývoj úloh s Microsoft Power Platform. Základní úroveň zabezpečení je soubor minimálních bezpečnostních standardů a osvědčených postupů, které organizace aplikuje na své IT systémy a služby. Základní úroveň zabezpečení pomáhá snižovat riziko kybernetických útoků, narušení dat a neoprávněného přístupu. Základní úroveň zabezpečení také pomáhá zajistit konzistenci, odpovědnost a auditovatelnost v celé organizaci.

Dobrá základní úroveň vám pomůže:

  • Snižovat riziko kybernetických útoků, narušení dat a neoprávněného přístupu.
  • Zajistit konzistenci, odpovědnost a auditovatelnost v celé organizaci.
  • Udržovat data a systémy zabezpečené.
  • Dodržovat regulační požadavky.
  • Minimalizovat riziko přehlédnutí.

Základní úrovně zabezpečení by měly být široce zveřejňovány v celé organizaci, aby si všechny zúčastněné strany byly vědomy očekávání.

Stanovení základní úrovně zabezpečení pro Microsoft Power Platform zahrnuje několik kroků a úvah, jako například:

  • Pochopení architektury a komponent Power Platform, jako jsou prostředí, konektory, Dataverse, Power Apps, Power Automate a Copilot Studio.

  • Konfigurace nastavení zabezpečení a rolí pro Power Platform na úrovni tenanta, prostředí a prostředků, jako jsou zásady prevence ztráty dat, oprávnění prostředí a skupiny zabezpečení.

  • Využití Microsoft Entra ID ke správě uživatelských identit, ověřování a autorizace pro Power Platform a integrace s dalšími funkcemi Entra ID, jako je podmíněný přístup a vícefaktorové ověřování.

  • Použití metod ochrany dat a šifrování k zabezpečení dat uložených a zpracovávaných Power Platform, jako jsou popisky citlivosti a klíče spravované zákazníkem.

  • Monitorování a auditování aktivit a používání Power Platform pomocí nástrojů, jako je Power Platform Admin Center, Spravovaná prostředí a Microsoft Purview.

  • Implementace zásad a procesů řízení pro Power Platform, jako je definování rolí a odpovědností různých zúčastněných stran, stanovení pracovních postupů schvalování a řízení změn a poskytování pokynů a školení pro uživatele a vývojáře.

Tato příručka vám pomůže nastavit základní úroveň zabezpečení, která zohledňuje vnitřní i vnější faktory. Mezi interní faktory patří vaše obchodní potřeby, rizikové faktory a hodnocení prostředků. Externí faktory zahrnují oborové benchmarky a regulační standardy. Dodržením těchto kroků a úvah může organizace vytvořit základní úroveň zabezpečení pro Power Platform, která je v souladu s jejími obchodními cíli, požadavky na dodržování předpisů a ochotou riskovat. Základní úroveň zabezpečení může organizaci pomoci maximalizovat výhody Power Platform a zároveň minimalizovat potenciální hrozby a výzvy.

Definice

Pojem definice
Základ Minimální úroveň zabezpečení, kterou musí úloha mít, aby nebyla zneužita.
Benchmark Standard, který označuje bezpečnostní pozici, o kterou organizace usiluje. Je vyhodnocována, měřena a v průběhu času vylepšována.
Ovládací prvky Technické nebo provozní kontroly úlohy, které pomáhají předcházet útokům a zvyšují náklady pro útočníky.
Regulační požadavky Soubor obchodních požadavků založených na oborových standardech, které ukládají zákony a úřady.

Klíčové strategie návrhu

Základní úroveň zabezpečení je zásada, která popisuje požadavky na zabezpečení a funkce, které musí úloha splňovat, aby se zlepšila a udržela bezpečnost. Základní úroveň můžete vylepšit přidáním zásad, které používáte k nastavení hranic. Základní úrovní by měl být standard, který používáte k měření úrovně zabezpečení. Snažte se vždy dosáhnout úplné základní úrovně a zároveň pokrýt široký rozsah.

Vytvořte základní úroveň získáním konsenzu mezi obchodními a technickými lídry. Základní úroveň by měla zahrnovat technické kontroly, ale také provozní aspekty řízení a udržování bezpečnostní pozice.

Chcete-li vytvořit základní úroveň zabezpečení pro Power Platform, zvažte následující klíčové strategie návrhu:

  • Použijte Microsoft benchmark zabezpečení cloudu (MCSB) jako referenční rámec. MCSB je komplexní soubor osvědčených bezpečnostních postupů, které pokrývají různé aspekty cloudového zabezpečení, jako je správa identity a přístupu, ochrana dat, zabezpečení sítě, ochrana před hrozbami a správa. MCSB můžete použít k posouzení vaší aktuální bezpečnostní pozice a identifikaci mezer a oblastí zlepšení.

  • Přizpůsobte MCSB tak, aby vyhovoval vašim specifickým obchodním potřebám, požadavkům na dodržování předpisů a ochotě riskovat. Možná budete muset přidat, upravit nebo odebrat některé ovládací prvky MCSB na základě kontextu a cílů vaší organizace. Možná budete muset například sladit základní úroveň zabezpečení s průmyslovými standardy (jako je ISO 27001 nebo NIST 800-53) nebo regulačními rámci (jako je GDPR, obecné nařízení o ochraně osobních údajů nebo HIPAA, zákon o přenositelnosti a odpovědnosti zdravotního pojištění), které jsou relevantní pro vaši doménu nebo region.

  • Definujte rozsah a použitelnost vašeho základního zabezpečení pro Power Platform. Měli byste jasně specifikovat, které komponenty Power Platform, funkce a služby jsou pokryty vaší základní úrovní zabezpečení a které jsou mimo rozsah nebo vyžadují zvláštní pozornost. Můžete například potřebovat definovat různé požadavky na zabezpečení pro různé typy prostředí Power Platform (jako je produkční, vývojové nebo sandbox), konektory (jako standardní, vlastní nebo Premium) nebo aplikace (jako je plátna, modelem řízená nebo stránky).

Dodržováním těchto strategií návrhu můžete vytvořit základní dokument zabezpečení pro Power Platform, který odráží vaše bezpečnostní cíle a standardy a pomáhá vám chránit vaše data a prostředky v cloudu.

Jak se úloha mění a prostředí roste, je důležité, aby byla vaše základní úroveň aktualizována změnami, abyste zajistili, že základní ovládací prvky stále fungují. Zde je několik doporučení pro proces vytvoření základní úrovně zabezpečení:

  • majetek inventář. Identifikujte zúčastněné strany prostředků úlohy a cíle zabezpečení těchto prostředků. V inventuře prostředků klasifikujte podle bezpečnostních požadavků a kritičnosti. Další informace o datových prostředcích najdete v tématu Doporučení pro klasifikaci dat.

  • Definujte úrovně zátěže. Když definujete základní úroveň zabezpečení, je důležité zvážit, jak budete kategorizovat sestavená řešení na základě kritičnosti, abyste mohli vyvíjet procesy, které zajistí, že kritické aplikace budou mít kolem sebe potřebné mantinely, které je budou podporovat, a zároveň nebudou dusit inovace scénářů produktivity.

  • Hodnocení rizik. Identifikujte potenciální rizika spojená s každým prostředkem a určete jim priority.

  • Požadavky na shodu. U těchto prostředků vytvořte základní úroveň pro jakékoli předpisy nebo shodu a aplikujte osvědčené postupy v oboru.

  • Konfigurační standardy. Definujte a zdokumentujte specifické konfigurace a nastavení zabezpečení pro každý prostředek. Pokud je to možné, vytvořte šablonu nebo najděte opakovatelný, automatizovaný způsob, jak konzistentně aplikovat nastavení v celém prostředí. Zvažte konfigurace na všech úrovních. Začněte s konfiguracemi zabezpečení na úrovni tenanta souvisejícími s přístupem nebo sítí. Pak zvažte konfigurace zabezpečení specifické pro prostředky Power Platform, jako jsou specifické konfigurace Power Pages a také konfigurace zabezpečení specifické pro úlohu, například jak je úloha sdílena.

  • Řízení přístupu a ověřování. Zadejte požadavky na řízení přístupu na základě rolí (RBAC) a vícefaktorové ověřování (MFA). Zdokumentujte, co znamená právě dostatečný přístup na úrovni prostředků. Vždy začněte zásadou nejmenšího oprávnění.

  • Dokumentace a komunikace. Zdokumentujte všechny konfigurace, zásady a procedury. Sdělte informace příslušným zainteresovaným stranám.

  • Vymáhání a odpovědnost. Stanovte jasné vynucovací mechanismy a důsledky pro nedodržení základní bezpečnostní úrovně. Vynucujte odpovědnost osob a týmů za dodržování bezpečnostních standardů.

  • Průběžné sledování. Posuďte účinnost základní úrovně zabezpečení prostřednictvím pozorovatelnosti a provádějte zlepšení v průběhu času.

Složení základní úrovně

Zde jsou některé běžné kategorie, které by měly být součástí základní úrovně. Následující seznam není vyčerpávající. Slouží jako přehled rozsahu dokumentu

Dodržování předpisů

Vaše volby návrhu mohou být ovlivněny požadavky na shodu s předpisy pro konkrétní průmyslové segmenty nebo kvůli geografickým omezením. Je klíčové porozumět požadavkům na shodu s předpisy a zahrnout je do architektury úlohy.

Základní úroveň by měla zahrnovat pravidelné hodnocení úlohy vůči regulačním požadavkům. Využijte nástroje poskytované platformou, jako je Microsoft Power poradce, které dokážou identifikovat oblasti nesouladu. Spolupracujte s týmem pro dodržování předpisů vaší organizace, abyste se ujistili, že jsou splněny a dodržovány všechny požadavky.

Příklad

Organizace zabývající se biologickými vědami vytvářejí řešení, která musí splňovat požadavky správné klinické, laboratorní a výrobní praxe (GxP). Můžete využít výhod cloudu a zároveň chránit bezpečnost pacientů, kvalitu produktů a integritu dat. Další informace najdete v Microsoft pokynech GxP pro Dynamics 365 a Power Platform.

I když neexistuje žádná konkrétní certifikace GxP pro poskytovatele cloudových služeb, Microsoft Azure (který hostuje Power Platform) prošel nezávislými audity řízení kvality a zabezpečení informací, včetně certifikace ISO 9001 a ISO/IEC 27,001. Pokud nasazujete aplikace na Power Platform, zvažte následující kroky:

  • Určete požadavky GxP platné pro váš počítačový systém na základě jeho zamýšleného použití.
  • Dodržujte interní postupy pro kvalifikační a validační procesy, abyste prokázali shodu s požadavky GxP.

Procesy vývoje

Základní úroveň musí obsahovat doporučení týkající se:

  • Typy zdrojů Power Platform schválené k použití.
  • Sledování zdrojů.
  • Implementace funkcí protokolování a auditu.
  • Sdílení zdrojů.
  • Vynucování zásad pro používání nebo konfiguraci zdrojů.
  • Ochrana dat a zabezpečení sítě.

Vývojový tým musí jasně rozumět rozsahu bezpečnostních kontrol, jak navrhovat a vyvíjet řešení Power Platform s ohledem na bezpečnost a jak provádět pravidelná bezpečnostní hodnocení. Například použití principu nejmenších oprávnění, oddělení vývojového a produkčního prostředí, používání bezpečných konektorů a bran a ověřování uživatelských vstupů a výstupů jsou požadavky na zajištění bezpečnosti práce. Sdělte, jak lze identifikovat potenciální hrozby, a upřesněte, jak provádět kontroly.

Další informace viz Doporučení pro analýzu hrozeb.

Proces vývoje by měl také stanovit standardy pro různé metodiky testování. Další informace viz Doporučení pro testování zabezpečení.

Operace

Základní úroveň musí zahrnovat standardy, jak odhalovat hrozby a jak upozorňovat na anomální aktivity, které ukazují skutečné incidenty.

Základní úroveň by měla zahrnovat doporučení pro nastavení procesů reakce na incidenty, včetně komunikace a plánu obnovy, a poznamenat, které z těchto procesů lze automatizovat, aby se urychlila detekce a analýza. Příklady viz Microsoft benchmark zabezpečení cloudu: Incident odpověď.

Použijte oborové standardy k vytvoření plánů bezpečnostních incidentů a narušení dat a zajistěte, aby měl operační tým komplexní plán, který bude následovat, když je odhaleno narušení. Ověřte si u své organizace, zda existuje krytí prostřednictvím kybernetického pojištění.

Školení

Školení je kritické. Mějte na paměti, že ti, kdo vyvíjejí aplikace, si často nejsou plně vědomi bezpečnostních rizik. Pokud vaše organizace absolvuje nějaké školení o tom, jak vytvářet úlohy s Power Platform, zahrňte do těchto snah svou základní úroveň zabezpečení. Případně, pokud vaše organizace provádí školení zabezpečení v rámci celé organizace, zahrňte do tohoto školení základní úroveň zabezpečení Power Platform.

Vaše školení by mělo zahrnovat vzdělávání o ochranných mantinelech a konfiguracích na úrovni tenantů, které by mohly mít vliv na vytvářenou úlohu. Vyžadují také školení o konfiguracích, které musí tvůrci provést pro svou úlohu, jako jsou role zabezpečení a jak se připojit k datům. Určete proces spolupráce s nimi na případných požadavcích, které mohou mít.

Vytvořte a udržujte program školení v oblasti zabezpečení, abyste zajistili, že tým úlohy bude vybaven odpovídajícími dovednostmi pro podporu cílů a požadavků v oblasti zabezpečení. Tým potřebuje základní bezpečnostní školení a školení o bezpečnostních konceptech v Power Platform.

Použití základní úrovně

Použijte základní úroveň k podpoře iniciativ a rozhodnutí. Zde je několik způsobů, jak využít základní úroveň ke zlepšení zabezpečení úlohy:

  • Připravte rozhodnutí o návrhu. Použijte základní úroveň zabezpečení, abyste porozuměli bezpečnostním požadavkům a očekáváním pro vaše úlohy Power Platform. Zajistěte, aby členové týmu byli poučeni o očekáváních, než začnou s návrhem architektury. Předejděte nákladným úpravám během implementační fáze tím, že zajistíte, aby si členové týmu byli vědomi základní úrovně zabezpečení a své role při plnění bezpečnostních požadavků. Použijte základní úroveň zabezpečení jako požadavek pro úlohu a navrhněte úlohu v rámci hranic a omezení definovaných základní úrovní.

  • Změřte svůj design. Používejte základní úroveň zabezpečení k posouzení vaší aktuální bezpečnostní pozice a identifikaci mezer a oblastí zlepšení. Zdokumentujte jakékoli odchylky, které jsou odloženy nebo jsou dlouhodobě považovány za přijatelné, a jasně uveďte všechna přijatá rozhodnutí týkající se odchylek.

  • Vylepšení disku. Základní úroveň zabezpečení definuje vaše cíle, ale nemusíte být schopni splnit všechny okamžitě. Zdokumentujte všechny mezery a upřednostněte je podle důležitosti. Jasně specifikujte, které mezery jsou přijatelné z krátkodobého nebo dlouhodobého hlediska, a uveďte důvody pro tato rozhodnutí.

  • Sledujte svůj pokrok oproti základní linii. Monitorujte svá bezpečnostní opatření vůči základní úrovni zabezpečení, abyste identifikovali trendy a odhalili odchylky od základní úrovně. Kde je to možné, používejte automatizaci a používejte data shromážděná ze sledování pokroku k identifikaci a řešení aktuálních problémů a přípravě na budoucí hrozby.

  • Nastavte mantinely. Použijte svou základní bezpečnostní úroveň k vytvoření a správě mantinelů a rámce správy pro své úlohy Power Platform. Mantinely vynucují požadované bezpečnostní konfigurace, technologie a operace na základě interních a externích faktorů. Mantinely pomáhají minimalizovat riziko neúmyslného přehlédnutí a sankčních pokut za nedodržení. Můžete použít předpřipravné funkce v centru pro správu Power Platform a spravovaných prostředích k vytvoření mantinelů nebo vytvořit vlastní pomocí referenční implementace startovací sady CoE nebo vašich vlastních skriptů/nástrojů. K nastavení mantinelů a rámce řízení pravděpodobně použijete kombinaci hotových a vlastních nástrojů. Přemýšlejte o tom, které části vaší základní úrovně zabezpečení lze vynutit proaktivně a které budete monitorovat reaktivně.

Prozkoumejte Microsoft Purview for Power Platform, Power poradce, integrované koncepty v Power Platform Admin Center, jako jsou datové zásady a izolace klienta, a referenční implementace, jako je CoE Starter Kit pro implementaci a prosazování bezpečnostních konfigurací a požadavků na shodu.

Pravidelně vyhodnocujte základní úroveň

Neustále zlepšujte bezpečnostní standardy směrem k ideálnímu stavu, aby bylo zajištěno neustálé snižování rizik. Sledujte nejnovější aktualizace zabezpečení v Power Platform kontrolou plánu a pravidelných oznámení. Poté zjistěte, které nové funkce by mohly zlepšit vaši základní úroveň zabezpečení, a naplánujte, jak je implementovat. Jakékoli úpravy základní úrovně musí být oficiálně schváleny a projít příslušnými procesy řízení změn.

Poměřte systém s novou základní úrovní a upřednostněte nápravy na základě jejich relevance a vlivu na úlohu.

Zajistěte, aby se stav zabezpečení v průběhu času nezhoršoval zavedením auditu a sledování souladu s organizačními standardy.

Zabezpečení v Microsoft Power Platform

Power Platform je postaven na pevných základech bezpečnosti. Využívá stejnou sadu zabezpečení, díky které má Azure pozici důvěryhodného správce nejcitlivějších dat na světě, a integruje se s nejpokročilejšími nástroji Microsoft 365 pro ochranu informací a dodržování předpisů. Power Platform poskytuje komplexní ochranu navrženou pro nejnáročnější problémy našich zákazníků.

Služba Power Platform se řídí Microsoft Podmínkami online služeb a Microsoft Prohlášením o ochraně osobních údajů pro podniky. Informace o místě zpracování dat naleznete v Microsoft podmínkách online služeb a v dodatku o ochraně dat.

Microsoft Centrum důvěryhodnosti je primárním zdrojem informací o shodě Power Platform . Další informace naleznete v části Microsoft Nabídky dodržování předpisů.

Služba Power Platform se řídí životním cyklem vývoje zabezpečení (SDL). SDL je soubor přísných postupů, které podporují zajištění bezpečnosti a požadavky na shodu. Další informace naleznete v části Microsoft Postupy životního cyklu vývoje zabezpečení.

Usnadnění dáky Power Platform

Microsoft Benchmark zabezpečení cloudu (MCSB) je komplexní rámec osvědčených postupů v oblasti zabezpečení, který můžete použít jako výchozí bod pro základní úroveň zabezpečení. Použijte ho spolu s dalšími zdroji, které poskytují vstup do základní úrovně. Další informace najdete v části Úvod do Microsoft benchmarku zabezpečení cloudu.

Stránka Zabezpečení v centru pro správu Power Platform vám pomůže řídit zabezpečení vaší organizace pomocí osvědčených postupů a komplexní sady funkcí pro zajištění maximální bezpečnosti. Například:

  • Zhodnoťte svůj stav zabezpečení: Pochopte a vylepšete bezpečnostní zásady vaší organizace tak, aby vyhovovaly vašim konkrétním potřebám.
  • Jednat o doporučeních: Identifikujte a implementujte nejúčinnější doporučení ke zlepšení hodnocení.
  • Nastavte proaktivní zásady: Používejte bohatou sadu dostupných nástrojů a bezpečnostních funkcí k získání hlubokého viditelnosti, odhalování hrozeb a proaktivně stanovujte zásady, které pomáhají chránit organizaci před zranitelností a riziky.

Organizační sladění

Zajistěte, aby základní úroveň zabezpečení, pro kterou jste vytvořili Power Platform, byla dobře sladěna se základními úrovněmi zabezpečení vaší organizace. Úzce spolupracujte s týmy zabezpečení IT ve vaší organizaci, abyste využili jejich odborných znalostí.

Kontrolní seznam zabezpečení

Podívejte se na úplný soubor doporučení.

Bezpečnostní kontrolní seznam