Del via

Anbefalinger til etablering af grundlæggende sikkerhed

  • Artikel

Gælder for Power Platform Well-Architected Security-tjeklisteanbefaling:

SE:01 Etabler en grundlæggende sikkerhed, der er tilpasset overholdelseskrav, branchestandarder og platformsanbefalinger. Du kan jævnligt måle arkitekturen og driften af arbejdsbelastningen i forhold til grundlaget for at opretholde eller forbedre dine sikkerhedsstillinger.

I denne vejledning beskrives anbefalingerne til etablering af grundlæggende sikkerhed for udvikling af arbejdsbelastninger med Microsoft Power Platform. En grundlæggende sikkerhed er et sæt minimumsikkerhedskrav og bedste praksis, som en organisation anvender på sine it-systemer og -tjenester. Et grundlæggende sikkerhedsscenarie er med til at reducere risikoen for cyberangreb, databrud og uautoriseret adgang. En grundlæggende sikkerhed er også med til at sikre ensartethed, pålidelighed og overvågning i hele organisationen.

En god grundlæggende sikkerhed hjælper dig med at:

  • Reducere risikoen for cyberangreb, databrud og uautoriseret adgang.
  • Sikre ensartethed, pålidelighed og overvågning i hele organisationen.
  • Beskytte din data og systemer.
  • Overholde lovgivningskrav.
  • Minimere risikoen for at overse noget.

Grundlæggende sikkerhed skal publiceres i hele organisationen, så alle interessenter er opmærksomme på forventningerne.

Etablering af grundlæggende sikkerhed for Microsoft Power Platform involverer flere trin og overvejelser, f.eks.:

  • Forstå arkitekturen og komponenterne i Power Platform, såsom miljøer, connectorer, Dataverse, Power Apps, Power Automate, og Copilot Studio.

  • Konfiguration af sikkerhedsindstillinger og -roller til Power Platform på lejer-, miljø- og ressourceniveau, f.eks. politikker til forebyggelse af tab, miljøtilladelser og sikkerhedsgrupper.

  • Brug af Microsoft Entra ID til at administrere bruger-id'er, godkendelse og autorisation til Power Platform og integration med andre Entra ID-funktioner, f.eks. betinget adgang og multifaktorgodkendelse.

  • Anvendelse af databeskyttelses- og krypteringsmetoder for at sikre de data, der lagres og behandles af Power Platform, f.eks. følsomhedsmærkater og kundestyrede nøgler.

  • Overvågning og revision af aktiviteterne og brugen af Power Platform ved hjælp af værktøjer som Power Platform Administration, Administrerede miljøer og Microsoft Purview.

  • Implementering af styringspolitikker og processer for Power Platform, f.eks. definition af roller og ansvarsområder for forskellige interessenter, oprettelse af godkendelsesarbejdsprocesser og ændringsstyring samt vejledning og oplæring af brugere og udviklere.

I denne vejledning kan du angive en grundlæggende sikkerhed, der tager højde for både interne og eksterne faktorer. Interne faktorer omfatter dine forretningsbehov, risikofaktorer og aktivevaluering. Eksterne faktorer omfatter branchebenchmarks og lovgivningsmæssige standarder. Ved at følge disse trin og overvejelser kan en organisation etablere et sikkerhedsgrundlag for Power Platform, der er i overensstemmelse med virksomhedens forretningsmål, overholdelseskrav og risikovurdering. En grundlæggende sikkerhed kan hjælpe en organisation med at maksimere fordelene ved Power Platform og samtidig minimere de potentielle trusler og udfordringer.

Definitioner

Begreb Definition
Grundlinje Minimumniveauet af sikkerhed, som en arbejdsbelastning skal have for at undgå at blive udnyttet.
Benchmark En standard, der angiver den sikkerhedsstilling, som organisationen efterstræber. Det evalueres, måles og forbedres med tiden.
Kontroller Tekniske eller driftsmæssige kontroller af arbejdsbelastningen, der er med til at forhindre angreb og øge omkostningerne for person med ondsindede hensigter.
Lovkrav Et sæt forretningskrav, der styres af branchestandarder, som lovgivning og myndigheder pålægger.

Vigtigste designstrategier

En grundlæggende sikkerhed er en retningslinje, der beskriver de sikkerhedskrav og funktioner, som arbejdsbelastningen skal overholde for at forbedre og vedligeholde sikkerheden. Du kan gøre et grundlag mere avanceret ved at tilføje politikker, du bruger til at sætte grænser. Grundlaget skal være den standard, du bruger til at måle sikkerhedsniveauet. Tilstræb altid at opnå det fulde grundlag og samtidig dække et bredt omfang.

Opret grundlaget ved at opnå tilslutning fra virksomhedsledere og tekniske ledere. Grundlaget skal omfatte tekniske kontroller, men også driftsmæssige aspekter i forbindelse med administration og vedligeholdelse af sikkerhedsstillingen.

Hvis du skal etablere et sikkerhedsgrundlag for Power Platform, skal du overveje følgende nøgledesignsstrategier:

  • Brug Microsoft Cloud Security Benchmark (MCSB) som referencestruktur. MCSB er et omfattende sæt bedste praksis for sikkerhed, der dækker forskellige aspekter af cloudsikkerhed, f.eks. identitets- og adgangsstyring, databeskyttelse, netværkssikkerhed, trusselsbeskyttelse og styring. Du kan bruge MCSB til at vurdere din aktuelle sikkerhedsstilling og identificere huller og områder til forbedring.

  • Tilpas MCSB efter dine virksomhedsbehov, overholdelseskrav og risici. Det kan være nødvendigt at tilføje, ændre eller fjerne nogle af MCSB-kontrollerne ud fra den organisatoriske kontekst og dine mål. Du kan f.eks. få brug for at tilpasse dit sikkerhedsgrundlag med branchestandarder (f.eks. ISO 27001 eller NIST 800-53) eller lovgivningsmæssige rammer (f.eks. GDPR, generel forordning om databeskyttelse, eller HIPAA-loven om beskyttelse af personers sundhed og ansvarlighed (Health Insurance Portability and Accountability Act)), der er relevante for dit domæne eller område.

  • Definer omfanget og anvendeligheden af den grundlæggende sikkerhed for Power Platform. Du skal klart angive, hvilke Power Platform-komponenter, -funktioner og -servicer der er omfattet af din grundlæggende sikkerhed, og hvilke der ikke er omfattet eller kræver særlige overvejelser. Du kan f.eks. have brug for at definere forskellige sikkerhedskrav til forskellige typer Power Platform-miljøer (f.eks. produktion, udvikling eller sandkasse), connectorer (f.eks. standard, brugerdefineret eller premium) eller apps (f.eks. lærred, modelbaserede eller sider).

Ved at følge disse designstrategier kan du oprette et dokument for grundlæggende sikkerhed i Power Platform, der afspejler dine sikkerhedsmål og -standarder, og som hjælper dig med at beskytte dine data og aktiver i cloud.

Efterhånden som arbejdsbelastningen ændres, og miljøet vokser, er det vigtigt at holde grundlaget opdateret med ændringerne for at sikre, at de grundlæggende kontroller stadig fungerer. Her er nogle anbefalinger til processen for at oprette en grundlæggende sikkerhed:

  • Aktiv lager. Identificer interessenterne for arbejdsbelastningsaktiver og sikkerhedsmålene for disse aktiver. Klassificer efter sikkerhedskrav og kritisk niveau på aktivlageret. Du kan finde oplysninger om dataaktiver i Anbefalinger til dataklassifikation.

  • Definer niveauer af arbejdsbelastninger. Efterhånden som du definerer dit sikkerhedsgrundlag, er det vigtigt at kategorisere løsninger baseret på, hvor kritiske de er. Dette giver dig mulighed for at udvikle processer, der sikrer, at vigtige programmer har de nødvendige retningslinjer for at yde support, samtidig med at de ikke undertrykker scenarier med produktivitetsfornyelse.

  • Risikovurdering. Identificer potentielle risici, der er knyttet til de enkelte aktiver, og prioriter dem.

  • Krav til overholdelse. Etabler grundlag for lovgivningsmæssig eller overholdelse af disse aktiver, og anvend bedste praksis i branchen.

  • Konfigurationsstandarder. Definer og dokumentér specifikke sikkerhedskonfigurationer og indstillinger for hvert aktiv Hvis det er muligt, kan du oprette en skabelon eller finde en automatiseret metode, der kan gentages, til konsekvent at anvende indstillingerne i hele miljøet. Overvej konfigurationer på alle niveauer. Start med sikkerhedskonfigurationer på lejerniveau, der vedrører adgang til eller netværk. Overvej derefter Power Platform-ressourcespecifikke sikkerhedskonfigurationer, f.eks. specifikke Power Pages-konfigurationer, samt arbejdsbelastningsspecifikke sikkerhedskonfigurationer, f.eks. hvordan arbejdsbelastningen deles.

  • Adgangskontrol og godkendelse. Angiv krav til den rollebaserede adgangskontrol (RBAC) og multifaktorgodkendelse (MFA). Dokumentér, hvad akkurat nok adgang betyder på aktivniveau. Du skal altid starte med princippet om mindste rettighed.

  • Dokumentation og kommunikation. Dokumentér alle konfigurationer, politikker og procedurer. Kommunikér detaljerne til de relevante interessenter.

  • Håndhævelse og ansvarlighed. Etabler klare håndhævelsesmekanismer og konsekvenser for manglende overholdelse af den grundlæggende sikkerhed. Gør enkeltpersoner og teams ansvarlige for at vedligeholde sikkerhedsstandarder.

  • Kontinuerlig overvågning. Vurder effektiviteten af sikkerhedsgrundlaget gennem observation, og foretag forbedringer over tid.

Opbygning af et grundlag

Her er nogle almindelige kategorier, der skal være en del af et grundlag. Følgende liste er ikke udtømmende. Den er ment som en oversigt over dokumentets omfang

Overholdelse af lovgivningsmæssige krav

Dine designvalg kan blive påvirket af lovgivningsmæssige overholdelseskrav for bestemte branchesegmenter eller af geografiske begrænsninger. Det er nøglen til at forstå de lovgivningsmæssige overholdelseskrav og inkludere dem i arkitekturen af din arbejdsbelastning.

Gundlaget skal omfatte regelmæssig evaluering af arbejdsbelastningen i forhold til lovgivningskrav. Udnyt de værktøjer, der leveres på platformen, f.eks. Microsoft Power Advisor, som kan identificere områder uden overholdelse. Samarbejd med organisationens overholdelsesteam for at sikre, at alle krav overholdes og vedligeholdes.

Eksempel

Organisationer inden for Life Science kan udvikle løsninger, der opfylder kravene under GxP (Good Clinical, Laboratory, and Manufacturing Practices). Du kan drage nytte af cloudeffektivitet og samtidig beskytte patientsikkerheden, produktkvaliteten og dataintegriteten. Du kan finde flere oplysninger i Microsoft GxP-retningslinjer for Dynamics 365 og Power Platform.

Mens der ikke findes nogen specifik GxP-certificering for udbydere af cloudtjenester, har Microsoft Azure (som er vært for Power Platform) været under tredjepartsrevisioner for kvalitetsstyring og informationssikkerhed, herunder ISO 9001- og ISO/IEC 27.001-certificeringer. Hvis du udruller programmer på Power Platform, skal du overveje følgende trin:

  • Fastlæg de GxP-krav, der gælder for dit computerbaserede system, afhængigt af dets anvendelse.
  • Følg interne procedurer for kvalificerings- og valideringsprocesser for at vise, om GxP-kravene overholdes.

Udviklingsprocesser

Grundlaget skal indeholde anbefalinger om:

  • Power Platform-ressourcetyper, der er godkendt til brug.
  • Overvågning af ressourcerne.
  • Implementering af funktioner til logføring og revision.
  • Deling af ressourcer.
  • Gennemtving politikker for brug eller konfiguration af ressourcer.
  • Databeskyttelse og netværkssikkerhed.

Udviklingsteamet skal have en klar forståelse af omfanget af sikkerhedskontroller, hvordan de kan designe og udvikle Power Platform-løsninger med sikkerhed for øje, og hvordan de skal udføre jævnlige sikkerhedsvurderinger. Anvendelsen af princippet om mindste rettighed, adskillelse af udviklings- og produktionsmiljøer, brug af sikre connectorer og gateways og validering af brugerinput og -output er f.eks. et krav for at sikre, at arbejdsbelastningen er sikker. Kommuniker, hvordan potentielle trusler kan identificeres, og vær specifik omkring, hvordan kontrol udføres.

Du kan finde flere oplysninger i Anbefalinger af trusselsanalyse.

Udviklingsprocessen skal også fastsætte standarder for forskellige testmetoder. Du kan finde flere oplysninger i Anbefalinger af sikkerhedstest.

Drift

Grundlaget skal omfatte standarder for, hvordan trusler registreres, og hvordan vigtige beskeder skal vises for unormale aktiviteter, der angiver faktiske hændelser.

Grundlaget skal omfatte anbefalinger til opsætning af processer til hændelsesrespons, herunder kommunikation og en genoprettelsesplan, og notér dig, hvilke af disse processer der kan automatiseres for at fremskynde registrering og analyse. Du kan f.eks. se Microsoft Cloud Security Benchmark (MCSB): Hændelsesrespons.

Brug branchestandarder til at udarbejde planer for sikkerhedshændelser og databrug, og sørg for, at driftsteamet har en omfattende plan, der skal følges, når der opdages brud. Kontakt din organisation for at se, om der er dækning gennem cyperforsikring.

Træning

Træning er kritisk. Vær opmærksom på, at de personer, der udvikler programmerne, ofte ikke er fuldt ud klar over sikkerhedsrisici. Hvis din organisation afvikler træning i, hvordan du bygger arbejdsbelastninger med Power Platform, skal du indarbejde grundlaget for sikkerhed i disse tiltag. Hvis din organisation afholder træning i sikkerhed i hele organisationen, kan du også inkludere Power Platform-sikkerhedsgrundlaget i den pågældende træning.

Træningen skal omfatte oplæring i hele lejerens retningslinjer og konfigurationer, der kan påvirke de arbejdsbelastninger, der bygges. De kræver også oplæring i konfigurationer, som opretterne skal foretage til deres arbejdsbelastninger, f.eks. sikkerhedsroller, og hvordan der oprettes forbindelse til data. Fastlæg processen for samarbejde med dem om på de forespørgsler, de måtte have.

Udarbejd og vedligehold et sikkerhedsuddannelsesprogram for at sikre, at arbejdsbelastningsteamet er udstyret med de nødvendige færdigheder til at understøtte sikkerhedsmålene og -kravene. Teamet skal have oplæring i grundlæggende sikkerhed og oplæring i sikkerhedskoncepter i Power Platform.

Brug grundlaget

Brug grundlaget til at skabe initiativ og træffe beslutninger. Du kan bruge grundlag til at forbedre arbejdsbelastningens sikkerhedstilstand på følgende måder:

  • Forbered designbeslutninger. Brug den grundlæggende sikkerhed til at forstå sikkerhedskravene og forventningerne til Power Platform-arbejdsbelastningerne. Sørg for, at teammedlemmerne er uddannet i forventningerne, før de starter arkitekturdesignet. Undgå dyre tilpasninger i implementeringsfasen ved at sikre, at teammedlemmerne er opmærksomme på sikkerhedsgrundlaget og deres rolle i overholdelsen af sikkerhedskrav. Brug den grundlæggende sikkerhed som et arbejdsbelastningskrav, og design arbejdsbelastningen inden for de grænser og begrænsninger, der er defineret af grundlaget.

  • Mål dit design. Brug den grundlæggende sikkerhed til at vurdere din aktuelle sikkerhedsstilling og identificere huller og områder til forbedring. Dokumentér eventuelle undtagelser, der udskydes eller anses for at være acceptable på lang sigt, og gør det klart, hvilke beslutninger der skal træffes med hensyn til undtagelser.

  • Skab forbedringer. I den grundlæggende sikkerhed defineres målene, men du kan muligvis ikke opfylde dem alle med det samme. Dokumentér eventuelle huller, og prioriter dem ud fra betydning. Angiv klart, hvilke huller der kan accepteres på kort eller lang sigt, og angiv årsagerne til disse beslutninger.

  • Spor dine fremskridt i forhold til grundlinjen. Overvåg dine sikkerhedsforanstaltninger mod sikkerhedsgrundlaget for at identificere tendenser og afsløre afvigelser fra grundlaget. Brug automatisering, hvor det er muligt, og brug de data, der er indsamlet fra sporing af status, til at identificere og løse aktuelle problemer og forberede dig på fremtidige trusler.

  • Sæt rækværk. Brug din grundlæggende sikkerhed til at oprette og administrere retningslinjer og en styringsramme for dine Power Platform-arbejdsbelastninger. Retningslinjer gennemtvinger påkrævede sikkerhedskonfigurationer, -teknologier og -handlinger baseret på interne faktorer og eksterne faktorer. Retningslinjer er med til at minimere risikoen for utilsigtet forsømmelse og bødestraf for manglende overholdelse. Du kan bruge de indbyggede funktioner i Power Platform Administration og Administrerede miljøer til at fastlægge retningslinjer eller opbygge dine egne ved hjælp af referenceimplementeringen i CoE-startpakken Kit eller dine egne scripts/værktøjer. Du vil sandsynligvis bruge en kombination af de indbyggede og brugerdefinerede værktøjer til at konfigurere din styringsstruktur. Tænk over, hvilke dele af sikkerhedsgrundlaget der kan håndhæves proaktivt, og hvilke du vil overvåge reaktivt.

Udforsk Microsoft Purview for Power Platform, Power Advisor, indbyggede koncepter i Power Platform Administration, f.eks. datapolitikker og isolation af lejer, og referenceimplementeringer som CoE-startpakken for at implementere og gennemtvinge sikkerhedskonfigurationer og overholdelseskrav.

Evaluer grundlaget jævnligt

Foretag løbende forbedringer af sikkerhedsstandarderne i forhold til den ideelle tilstand for at sikre en løbende reduktion af risikoen. Hold styr på de seneste sikkerhedsopdateringer i Power Platform ved at kontrollere oversigtsplanen og meddelelserne jævnligt. Derefter skal du identificere, hvilke nye funktioner der kan forbedre din grundlæggende sikkerhed, og planlægge, hvordan de skal implementeres. Eventuelle ændringer af grundlaget skal godkendes officielt og gennemgå de relevante ændringsstyringsprocesser.

Mål systemet i forhold til det nye grundlag, og prioriter afhjælpninger ud fra deres relevans og indflydelse på arbejdsbelastningen.

Sørg for, at sikkerhedsstillingen ikke forringes over tid, ved at revidere og overvåge, at de organisatoriske standarder overholdes.

Sikkerhed i Microsoft Power Platform

Power Platform er baseret på et stærkt sikkerhedsfundament. Det bruger den samme sikkerhedsstak, som har placeret Azure som en pålidelig vogter af de mest følsomme data i verden, og det kan integreres i de mest avancerede værktøjer til beskyttelse af oplysninger og overholdelse af regler og standarder i Microsoft 365. Power Platform leverer total beskyttelse, der er designet efter vores kunders mest udfordrende behov.

Power Platform-tjenesten er underlagt servicebetingelserne for Microsoft Online og erklæringen om beskyttelse af personlige oplysninger for Microsoft Enterprise. Hvis du vil have mere at vide om placeringen af databehandling, skal du læse servicebetingelserne for Microsoft Online og tillægget om databeskyttelse.

Microsoft Sikkerhedscenter er den primære ressource for Power Platform-oplysninger om overholdelse af angivne standarder. Du kan finde flere oplysninger i Tilbud om Microsoft-overholdelse.

Tjenesten Power Platform følger SDL-livscyklus for sikkerhedsudvikling (Security Development Lifecycle). SDL er en række strenge fremgangsmåder, der understøtter krav til sikkerhed og overholdelse af angivne standarder. Du kan finde flere oplysninger i Praksis for Microsoft Security Development Lifecycle.

Power Platform-processtyring

Microsoft Cloud Security Benchmark (MCSB) er en omfattende ramme for bedste praksis i forbindelse med sikkerhed, du kan bruge som udgangspunkt for din grundlæggende sikkerhed. Brug den sammen med andre ressourcer, der giver input til dit grundlag. Du kan finde flere oplysninger i Introduktion til Microsoft Cloud Security Benchmark.

Siden Sikkerhed i Power Platform Administration hjælper dig med at administrere organisationens sikkerhed med bedste praksis og et omfattende sæt funktioner for at sikre maksimal sikkerhed. For eksempel for at:

  • Vurder din sikkerhedsstatus: Forstå og forbedre din organisations sikkerhedspolitikker for at opfylde dine specifikke behov.
  • Reager på anbefalinger: Identificer og implementer de mest virkningsfulde anbefalinger for at forbedre vurderingen.
  • Konfigurer proaktive politikker: Brug det omfattende sæt værktøjer og sikkerhedsfunktioner, der er tilgængelige for at få dyb synlighed, opdage trusler og proaktivt etablere politikker for at hjælpe med at beskytte organisationen mod sårbarheder og risici.

Organisatorisk justering

Sørg for, at den grundlæggende sikkerhed, du etablerer for Power Platform, er korrekt justeret med din organisations grundlæggende sikkerhed. Arbejd tæt sammen med it-sikkerhedsteams i din organisation for at udnytte deres ekspertise.

Kontrolliste til sikkerhed

Se det fuldstændige sæt anbefalinger.

Tjekliste for sikkerhed