Del via

Anbefalinger for å etablere en sikkerhetsgrunnlinje

  • Artikkel

Gjelder anbefalingen for Power Platform Well-Architected Security-sjekkliste:

SE:01 Opprett en basislinje for sikkerhet samkjørt med samsvarskrav, bransjestandarder og plattformanbefalinger. Mål regelmessig arbeidsbelastningsarkitekturen og -driften mot basislinjen for å opprettholde eller forbedre sikkerheten over tid.

Denne veiledningen beskriver anbefalingene for oppretting av en sikkerhetsgrunnlinje for utvikling av arbeidsbelastninger med Microsoft Power Platform. En sikkerhetsgrunnlinje er et sett med minimumssikkerhetsstandarder og gode fremgangsmåter som en organisasjon bruker på IT-systemer og -tjenester. En sikkerhetsgrunnlinje bidrar til å redusere risikoen for cyberangrep, databrudd og uautorisert tilgang. En sikkerhetsgrunnlinje bidrar også til å sikre ensartethet, ansvarlighet og sporing av endringer i hele organisasjonen.

En god sikkerhetsgrunnlinje hjelper deg med å gjøre følgende:

  • Reduser risikoen for cyberangrep, databrudd og uautorisert tilgang.
  • Sikre ensartethet, ansvarlighet og sporing av endringer i hele organisasjonen.
  • Hold dataene og systemene sikre.
  • Overhold forskriftskravene.
  • Minimer risikoen for oversyn.

Sikkerhetsgrunnlinjer bør publiseres i hele organisasjonen, slik at alle interessenter er klar over forventningene.

Oppretting av en sikkerhetsgrunnlinje for Microsoft Power Platform omfatter flere trinn og vurderinger, for eksempel følgende:

  • Forstå arkitekturen og komponentene til Power Platform, for eksempel miljøer, koblinger, Dataverse, Power Apps, Power Automate, og Copilot Studio.

  • Konfigurer sikkerhetsinnstillingene og rollene for Power Platform på leier-, miljø- og ressursnivået, for eksempel policyer for hindring av datatap, miljøtillatelser og sikkerhetsgrupper.

  • Ved å bruke Microsoft Entra ID til å administrere brukeridentifikatorer, godkjenning og autorisasjon for Power Platform og integrere med andre Entra ID-funksjoner, for eksempel betinget tilgang og flerfaktorautentisering.

  • Bruk av databeskyttelses- og krypteringsmetoder for å sikre dataene som lagres og behandles av Power Platform, for eksempel sensitivitetsetiketter og kundestyrte nøkler.

  • Overvåk og revider aktivitetene og bruken av Power Platform ved hjelp av verktøy som administrasjonssenteret for Power Platform, Administrerte miljøer og Microsoft Purview.

  • Implementering av styringspolicyer og prosesser for Power Platform, for eksempel definere roller og ansvar for ulike interessenter, opprette godkjenningsarbeidsflyter og endringsbehandling samt gi veiledning og opplæring for brukere og utviklere.

Denne veiledningen hjelper deg med å angi en sikkerhetsgrunnlinje som tar hensyn til både interne og eksterne faktorer. Interne faktorer inkluderer forretningsbehov, risikofaktorer og evaluering av aktiva. Eksterne faktorer inkluderer bransjetester og regelverksstandarder. Ved å følge denne fremgangsmåten og disse vurderingene kan en organisasjon fastsette en sikkerhetsgrunnlinje for Power Platform som er i samsvar med selskapets forretningsmål, samsvarskrav og risikokrav. En sikkerhetsgrunnlinje kan hjelpe en organisasjon med å maksimere fordelene ved Power Platform samtidig som å minimere de potensielle truslene og utfordringene.

Definisjoner

Term Definisjon
Grunnlinje Minimumsnivået for sikkerhetsbelastninger som en arbeidsbelastning må være nødt til å unngå å bli utnyttet.
Referanse En standard som betyr sikkerhetsstillingen som organisasjonen strebe etter. Det evalueres, måles og forbedres over tid.
Kontroller Tekniske kontroller eller driftskontroller på arbeidsbelastningen som bidrar til å hindre angrep og øke angriperkostnadene.
Forskriftsmessige krav Et sett med forretningskrav, som drives av bransjestandarder som lover og forskrifter innfører.

Viktige utformingsstrategier

En sikkerhetsgrunnlinje er en retningslinje som beskriver sikkerhetskravene og funksjonene som arbeidsbelastningen må oppfylle for å forbedre og opprettholde sikkerheten. Du kan gjøre en grunnlinje mer avansert ved å legge til policyer du bruker til å angi grenser. Grunnlinjen skal være standarden du bruker til å måle sikkerhetsnivået. Målet er alltid å oppnå hele grunnlinjen når det gjelder et bredt omfang.

Opprett grunnlinjen ved å oppnå enighet blant forretningsledere og tekniske ledere. Grunnlinjen bør inneholde tekniske kontroller, men også driftsaspekter ved administrasjon og vedlikehold av sikkerhetsposten.

Hvis du vil etablere en sikkerhetsgrunnlinje for Power Platform, kan du vurdere følgende viktige utformingsstrategier:

  • Bruk Microsofts Microsofts skysikkerhetsreferanse (MCSB) som referanserammeverk. MCSB er et omfattende sett med gode fremgangsmåter for sikkerhet som dekker ulike aspekter ved skysikkerhet, for eksempel identitets- og tilgangsadministrasjon, databeskyttelse, nettverkssikkerhet, trusselbeskyttelse og styring. Du kan bruke MCSB til å vurdere den nåværende sikkerhetsposten din og identifisere områder for avstander og forbedringer.

  • Tilpass MCSB-en etter dine spesielle forretningsbehov, samsvarskrav og risikokrav. Det kan hende du må legge til, endre eller fjerne noen av MCSB-kontrollene basert på organisasjonens kontekst og mål. Det kan for eksempel hende du må samkjøre sikkerhetsgrunnlinjen etter bransjestandarder (f.eks. ISO 27001 eller NIST 800-53) eller regelverk (f.eks. EUs personvernforordning, GDPR eller HIPAA, Health Insurance Portability and Accountability Act) som er relevante for domenet eller området ditt.

  • Definer omfanget og anvendeligheten for sikkerhetsgrunnlinjen for Power Platform. Du bør tydelig angi hvilke Power Platform-komponenter, -funksjoner og -tjenester som dekkes av sikkerhetsgrunnlinjen, og hvilke som er utenfor omfanget eller som krever spesielle vurderinger. Det kan for eksempel hende du må definere ulike sikkerhetskrav for ulike typer Power Platform-miljøer (f.eks. produksjon, utvikling eller sandkasse), koblinger (f.eks. standard, tilpasset eller Premium) eller apper (f.eks. lerret, modelldrevet eller sider).

Ved å følge disse utformingsstrategiene kan du opprette et sikkerhetsgrunnlinjedokument for Power Platform som gjenspeiler sikkerhetsmålene og -standardene, og hjelper deg med å beskytte dataene og ressursene i skyen.

Etter hvert som arbeidsbelastningen og miljøet vokser, er det viktig at du holder den opprinnelige planen oppdatert med endringene for å sikre at grunnkontrollene fremdeles fungerer. Her er noen anbefalinger for prosessen for å opprette en sikkerhetsgrunnlinje:

  • Objekt beholdning. Identifiser interessenter for arbeidsbelastningsressurser og sikkerhetsmålene for disse ressursene. Klassifiser etter sikkerhetskrav og viktighet i ressursbeholdningen. Hvis du vil ha mer informasjon om dataressurser, kan du se Dataklassifiseringsanbefalinger.

  • Definer nivåer av arbeidsbelastninger. Når du definerer sikkerhetsgrunnlinjen, er det viktig å vurdere hvordan du kategoriserer løsninger som er bygd basert på viktighet, slik at du kan utvikle prosesser som sikrer at kritiske programmer har de nødvendige beskyttelsessperrene rundt seg og samtidig ikke undertrykker innovasjon i produktivitetsscenarioer.

  • Risikovurdering. Potensielle identitetsrisikoer knyttet til hver ressurs og prioriterer dem.

  • Krav til samsvar. Grunnlinje all forskrift eller samsvar for disse ressursene, og bruk de anbefalte fremgangsmåtene i bransjen.

  • Standarder for konfigurasjon. Definer og dokumenter spesifikke sikkerhetskonfigurasjoner og innstillinger for hver ressurs. Hvis mulig oppretter du en mal eller finner en repeterbar, automatisk måte å bruke innstillingene konsekvent på i hele miljøet. Vurder konfigurasjoner på alle nivåer. Start med konfigurasjoner av sikkerhet på leiernivå som er relatert til tilgang eller nettverk. Deretter bør du vurdere Power Platform-ressursspesifikke sikkerhetskonfigurasjoner, for eksempel bestemte Power Pages-konfigurasjoner, og spesifikke sikkerhetskonfigurasjoner for arbeidsbelastningen, for eksempel hvordan arbeidsbelastningen deles.

  • Tilgangskontroll og autentisering. Angi krav til rollebasert tilgangskontroll (RBAC) og flerfaktorautentisering (MFA). Dokumenter hva akkurat nok tilgang betyr på ressursnivå. Start alltid med minimumsrettighetsprinsippet.

  • Dokumentasjon og kommunikasjon. Dokumenter alle konfigurasjoner, policyer og prosedyrer. Kommuniser detaljene til de relevante interessentene.

  • Håndhevelse og ansvarlighet. Etabler klare håndhevelsesmekanismer og konsekvenser for ikke-samsvar med sikkerhetsgrunnlinjen. Hold enkeltpersoner og team ansvarlige for å opprettholde sikkerhetsstandarder.

  • Kontinuerlig overvåking. Vurder effektiviteten til sikkerhetsgrunnlinjen ved hjelp av observerbarhet, og gjør forbedringer over tid.

Sammensetning av en grunnlinje

Her er noen vanlige kategorier som skal være en del av en grunnlinje. Listen nedenfor er ikke fullstendig. Det er ment som en oversikt over dokumentets omfang

Forskriftssamsvar

Utformingsvalgene dine kan påvirkes av krav til samsvar med forskriftene for bestemte bransjesegmenter eller på grunn av geografiske begrensninger. Det er viktig å forstå kravene til overholdelse av regelverk og inkludere dem i arkitekturen til arbeidsbelastningen.

Den opprinnelige planen bør omfatte regelmessig evaluering av arbeidsbelastningen i samsvar med regelverkskravene. Dra nytte av verktøy som leveres av plattformen, for eksempel Microsoft Power Advisor, som kan identifisere områder som ikke er kompatible. Samarbeid med organisasjonens samsvarsteam for å sikre at alle krav oppfylles og vedlikeholdes.

Eksempel

Biovitenskapsorganisasjoner utvikler løsninger som må oppfylle kravene i henhold til god praksis for klinisk produksjon, teknikk og produksjon (GxP). Du kan dra nytte av nettskyens effektivitet samtidig som du beskytter pasientsikkerhet, produktkvalitet og dataintegritet. Hvis du vil ha mer informasjon, kan du se Microsofts GxP-veiledninger for Dynamics 365 og Power Platform.

Selv om det ikke er noen spesifikk GxP-sertifisering for skytjenesteleverandører, har Microsoft Azure (drifter Power Platform) gjennomgått uavhengige tredjepartsrevisjoner for kvalitetskontroll og informasjonssikkerhet, inkludert ISO 9001- og ISO/IEC 27,001-sertifiseringer. Hvis du ruller ut programmer på Power Platform, må du vurdere følgende trinn:

  • Finn GxP-kravene som gjelder for det datastyrte systemet, basert på tiltenkt bruk.
  • Følg interne prosedyrer for kvalifiserings- og valideringsprosesser for å demonstrere samsvar med GxP-krav.

Utviklingsprosesser

Grunnlinjen må ha anbefalinger om følgende:

  • Power Platform-ressurstyper som er godkjente for bruk.
  • Overvåk ressursene.
  • Implementer funksjoner for logging og sporing av endringer.
  • Del ressurser.
  • Håndhev policyer for bruk eller konfigurasjon av ressurser.
  • Databeskyttelse og nettverkssikkerhet.

Utviklingsteamet må ha en klar forståelse av omfanget for sikkerhetskontroller, hvordan de kan utforme og utvikle Power Platform-løsninger med tanke på sikkerhet, og om hvordan de utfører regelmessige sikkerhetsanalyser. Hvis du for eksempel bruker prinsipp om minst mulig rettigheter, hvordan du skiller utviklings- og produksjonsmiljøer, bruker sikre koblinger og gatewayer, og validerer brukerinndata og -utdata, er det krav for å sikre at arbeidsbelastningen er sikker. Kommuniser hvordan potensielle trusler kan identifiseres og være spesifikk for hvordan du utfører kontroller.

Hvis du vil ha mer informasjon, kan du se Anbefalinger for trusselanalyse.

Utviklingsprosessen bør også sette standarder for ulike testmetoder. Hvis du vil ha mer informasjon, kan du se Anbefalinger for sikkerhetstesting.

Operasjoner

Grunnlinjen må inneholde standarder for hvordan trusler skal oppdages, og hvordan varsler om avvikende aktiviteter skal økes som angir faktiske hendelser.

Grunnlinjen bør inneholde anbefalinger for konfigurasjon av hendelsessvarprosesser, inkludert kommunikasjon og en gjenopprettingsplan, og notere hvilke av disse prosessene som kan automatiseres for å fremskynde registrering og analyse. Se eksempler på Microsofts skysikkerhetsreferanse: Hendelsessvar.

Bruk bransjestandarder til å utvikle planer om sikkerhetshendelser og datainnbrudd, og sikre at operasjonsteamet har en omfattende plan for oppfølging når et brudd blir oppdaget. Kontakt organisasjonen for å se om det er dekning via cyberforsikring.

Opplæring

Opplæring er avgjørende. Husk at ofte er ikke de som utvikler programmene, fullstendig klar over sikkerhetsrisikoer. Hvis organisasjonen gjør noe opplæring i hvordan du bygger arbeidsbelastninger med Power Platform, bør du innlemme sikkerhetsgrunnlinjene i disse tiltakene. Hvis organisasjonen utfører sikkerhetsopplæring for hele organisasjonen, kan du også inkludere Power Platform-sikkerhetsgrunnlinjen i denne opplæringen.

Opplæringen bør inkludere opplæring i hele leieren og konfigurasjoner som kan ha innvirkning på arbeidsbelastningene som bygges. De krever også opplæring i konfigurasjoner som utviklerne må utføre for arbeidsbelastningen, for eksempel sikkerhetsroller og hvordan de kan koble til data. Finn ut hvordan du samarbeider med dem om eventuelle forespørsler de måtte ha.

Utvikle og vedlikehold et sikkerhetsopplæringsprogram for å sikre at arbeidsbelastningsteamet er utstyrt med riktig ferdighet til å støtte sikkerhetsmålene og kravene. Teamet trenger grunnleggende sikkerhetsopplæring og opplæring i sikkerhetskonsepter i Power Platform.

Bruk grunnlinjen

Bruk grunnlinjen til å komme med initiativer og beslutninger. Her er noen måter å bruke grunnlinjen på for å få bedre arbeidsbelastningssikkerhet:

  • Forbered designbeslutninger. Bruk sikkerhetsgrunnlinjen til å forstå sikkerhetskravene og forventingene for Power Platform-arbeidsbelastningene. Sørg for at teammedlemmene informeres om forventningene før de starter arkitekturutformingen. Forhindre dyre justeringer i implementeringsfasen ved å sørge for at teammedlemmer er klar over grunnlinjen for sikkerhet og deres rolle i oppfyllelse av sikkerhetskrav. Bruk sikkerhetsgrunnlinjen som et krav til arbeidsbelastning, og utform arbeidsbelastningen innenfor grensene og begrensningene som er definert av den opprinnelige planen.

  • Mål designet ditt. Bruk sikkerhetsgrunnlinjen til å vurdere den nåværende sikkerhetsposten din og identifisere områder for avstander og forbedringer. Dokumenter eventuelle avvik som utsettes eller anses som akseptable på lang sikt, og gi klart uttrykk for eventuelle avgjørelser som tas vedrørende avvik.

  • Driv forbedringer. Sikkerhetsgrunnlinjen definerer målene, men det kan hende du ikke kan oppfylle alle umiddelbart. Dokumenter eventuelle avstander og prioriter dem basert på viktighet. Angi tydelig hvilke avstander som kan godtas på kort eller lang sikt, og oppgi årsaker til disse avgjørelsene.

  • Spor fremgangen din mot grunnlinjen. Overvåk sikkerhetstiltakene i forhold til sikkerhetsgrunnlinjen for å identifisere trender og avsløre avvik fra den opprinnelige planen. Bruk automatisering der det er mulig, og bruk dataene som er samlet inn fra sporing av fremdriften, til å identifisere og løse nåværende problemer og forberede deg på fremtidige trusler.

  • Sett rekkverk. Bruk sikkerhetsgrunnlinjen til å opprette og administrere beskyttelser og et styringsrammeverk for Power Platform-arbeidsbelastningene. Beskyttelser håndhever nødvendige sikkerhetskonfigurasjoner, teknologier og operasjoner basert på interne faktorer og eksterne faktorer. Beskyttelser bidrar til å redusere risikoen for utilsiktet forglemmelse og bøter for manglende samsvar. Du kan bruke standardfunksjonene i administrasjonssenteret for Power Platform og administrerte miljøer til å opprette beskyttelser eller bygge opp egne ved hjelp av referanseimplementeringen av CoE Starter Kit eller dine egne skripter/verktøy. Du bruker sannsynligvis en kombinasjon av standardverktøy og tilpassede verktøy til å sette opp beskyttelser og styringsrammeverk. Tenk på hvilke deler av sikkerhetsgrunnlinjen som kan håndheves proaktivt, og hvilke du vil overvåke reaktivt.

Utforsk Microsoft Purview for Power Platform, Power Advisor, innebygde konsepter i administrasjonssenteret for Power Platform, for eksempel datapolicyer og leierisolasjon, og referanseimplementeringer som CoE Starter Kit for å implementere og overholde sikkerhetskonfigurasjoner og samsvarskrav.

Evaluer grunnlinjen regelmessig

Forbedre sikkerhetsstandardene kontinuerlig i forhold til den ideelle tilstanden for å sikre kontinuerlig risikoreduksjon. Hold oversikt over de nyeste sikkerhetsoppdateringene i Power Platform ved å kontrollere veikartet og kunngjøringene regelmessig. Deretter identifiserer du hvilke nye funksjoner som kan forbedre sikkerhetsgrunnlinjen og planlegge hvordan de skal implementeres. Eventuelle endringer i grunnlinjen må godkjennes offisielt og gå gjennom de riktige endringsbehandlingsprosessene.

Mål systemet mot den nye grunnlinjen og prioriter utbedringer basert på relevans og effekt på arbeidsbelastningen.

Sørg for at sikkerhetsstillingen ikke blir dårligere over tid ved å innta sporing av endringer og overvåking av samsvar med organisasjonsstandarder.

Sikkerhet i Microsoft Power Platform

Power Platform er bygd på et sterkt grunnlag for sikkerhet. Den bruker den samme sikkerhetsstabelen som har plassert Azure som en klarert verge for de mest sensitive dataene i verden, og den integreres med Microsoft 365s mest avanserte verktøy for informasjonsbeskyttelse og forskriftssamsvar. Power Platform gir ende-til-ende-beskyttelse utviklet i forhold til kundenes mest utfordrende problem.

Power Platform-tjenesten styres av vilkårene for Microsoft Online Services og personvernerklæringen for Microsoft Enterprise. Når det gjelder plasseringen av databehandling, kan du se vilkårene for Microsoft Online Services og tillegget om personvern.

Microsoft Klareringssenter er den primære ressursen for Power Platform-samsvarsinformasjon. Hvis du vil ha mer informasjon, kan du se Microsofts samsvarstilbud.

Power Platform-tjenesten følger livssyklusen for sikkerhetsutvikling (SDL). SDL er et sett med strenge fremgangsmåter som støtter sikkerhetssikring og samsvarskrav. Hvis du vil ha mer informasjon, kan du se Microsofts praksiser for livssyklus for sikkerhetsutvikling.

Tilrettelegging for Power Platform

Microsofts skysikkerhetsreferanse (MCSB) er et omfattende rammeverk for gode fremgangsmåter for sikkerhet som du kan bruke som utgangspunkt for sikkerhetsgrunnlinjen. Bruk den sammen med andre ressurser som gir inndata til grunnlinjen. Hvis du vil ha mer informasjon, kan du se Innføring i Microsofts skysikkerhetsreferanse.

Sikkerhetssiden i administrasjonssenteret Power Platform hjelper deg med å administrere organisasjonens sikkerhet med anbefalte fremgangsmåter og et omfattende sett med funksjoner for å sikre maksimal sikkerhet. For eksempel for å:

  • Vurder sikkerhetsstatusen din: Forstå og forbedre organisasjonens sikkerhetspolicyer for å møte dine spesifikke behov.
  • Handle på anbefalinger: Identifiser og implementer de mest virkningsfulle anbefalingene for å forbedre vurderingen.
  • Sett opp proaktive policyer: Bruk det rike settet med verktøy og sikkerhetsfunksjoner som er tilgjengelige for å få dyp synlighet, oppdage trusler og proaktivt etablere policyer for å beskytte organisasjonen mot sårbarheter og risikoer.

Organisasjonsjustering

Sørg for at sikkerhetsgrunnlinjen du etablerer for Power Platform, er godt samkjørt med organisasjonens sikkerhetsgrunnlinjer. Arbeid tett med IT-sikkerhetsteam i organisasjonen for å utnytte ekspertisen.

Sikkerhetssjekkliste

Se hele settet med anbefalinger.

Sjekkliste for sikkerhet