Delen via

Aanbevelingen voor het vaststellen van een basislijn voor beveiliging

  • Artikel

Geldt voor de aanbeveling van de Well-Architected Security-checklist: Power Platform

ZOO:01 Stel een basislijn voor beveiliging vast die is afgestemd op nalevingsvereisten, industriestandaarden en platformaanbevelingen. Meet regelmatig uw workloadarchitectuur en bewerkingen ten opzichte van de basislijn om uw beveiligingspostuur in de loop van de tijd te behouden of te verbeteren.

In deze guide worden de aanbevelingen beschreven voor het vaststellen van een basislijn voor beveiliging voor het ontwikkelen van workloads in Microsoft Power Platform. Een basislijn voor beveiliging is een reeks minimale beveiligingsnormen en best practices die een organisatie toepast op haar IT-systemen en -diensten. Een basislijn voor beveiliging helpt het risico op cyberaanvallen, datalekken en ongeautoriseerde toegang te verminderen. Een basislijn voor beveiliging helpt ook om consistentie, verantwoording en controleerbaarheid in de hele organisatie te garanderen.

Een goede basislijn voor beveiliging helpt u:

  • Het risico op cyberaanvallen, datalekken en ongeautoriseerde toegang te verminderen.
  • Consistentie, verantwoording en controleerbaarheid in de hele organisatie te garanderen.
  • Uw gegevens en systemen te beveiligen
  • Aan wettelijke vereisten te voldoen.
  • Het risico van vergissingen te verminderen.

Basislijnen voor beveiliging moeten breed in uw organisatie worden gepubliceerd, zodat alle belanghebbenden op de hoogte zijn van de verwachtingen.

Het vaststellen van een basislijn voor beveiliging voor Microsoft Power Platform omvat verschillende stappen en overwegingen, zoals:

  • Inzicht in de architectuur en componenten van Power Platform, zoals omgevingen, connectoren, Dataverse, Power Apps, Power Automate en Copilot Studio.

  • De beveiligingsinstellingen en -rollen configureren voor Power Platform op tenant-, omgevings- en resourceniveau, zoals beleid ter voorkoming van gegevensverlies, omgevingsmachtigingen en beveiligingsgroepen.

  • Gebruikmaken van Microsoft Entra ID om gebruikersidentiteiten, verificatie en autorisatie voor Power Platform te beheren en te integreren met andere Entra ID-functies zoals voorwaardelijke toegang en meervoudige verificatie.

  • Het toepassen van methoden voor gegevensbescherming en versleuteling om de gegevens te beveiligen die zijn opgeslagen en verwerkt door Power Platform, zoals vertrouwelijkheidslabels en door de klant beheerde sleutels.

  • Het monitoren en controleren van de activiteiten en het gebruik van Power Platform, met behulp van hulpmiddelen zoals Power Platform Beheercentrum, Beheerde omgevingen, en Microsoft Purview.

  • Het implementeren van governancebeleid en -processen voor Power Platform, zoals het definiëren van de rollen en verantwoordelijkheden van verschillende belanghebbenden, het opzetten van werkstromen voor goedkeuring en verandermanagement en het bieden van begeleiding en training voor gebruikers en ontwikkelaars.

Deze gidst helpt u bij het opstellen van een basislijn voor beveiliging waarbij rekening wordt gehouden met zowel interne als externe factoren. Interne factoren zijn onder meer uw zakelijke behoeften, risicofactoren en activa-evaluatie. Externe factoren zijn onder meer branchebenchmarks en regelgevingsnormen. Door deze stappen en overwegingen te volgen, kan een organisatie een basislijn voor beveiliging voor Power Platform vaststellen die aansluit bij de bedrijfsdoelstellingen, nalevingsvereisten en risicobereidheid. Een basislijn voor beveiliging kan een organisatie helpen de voordelen van Power Platform te maximaliseren en tegelijkertijd de potentiële bedreigingen en uitdagingen te minimaliseren.

Definities

Term Definitie
Basislijn Het minimale beveiligingsniveau dat een workload moet hebben om misbruik te voorkomen.
Benchmark Een standaard die de beveiligingspositie weergeeft die de organisatie nastreeft. Het wordt in de loop van de tijd geëvalueerd, gemeten en verbeterd.
Besturingselementen Technische of operationele controles op de workload die aanvallen helpen voorkomen en de kosten voor aanvallers verhogen.
Wettelijke vereisten Een reeks zakelijke vereisten, aangestuurd door industriestandaarden, opgelegd door wetten en autoriteiten.

Belangrijke ontwerpstrategieën

Een basislijn voor beveiliging is een richtlijn die de beveiligingsvereisten en -functies beschrijft waaraan de workload moet voldoen om de beveiliging te verbeteren en te behouden. U kunt een basislijn geavanceerder maken door beleid toe te voegen dat u gebruikt om grenzen te stellen. De basislijn moet de standaard zijn die u gebruikt om uw beveiligingsniveau te meten. Streef ernaar om altijd de volledige basislijn te bereiken en beoog tegelijkertijd een breed bereik.

Creëer de basislijn door consensus te bereiken onder zakelijke en technische leiders. De basislijn moet technische controles omvatten, maar ook operationele aspecten van het beheren en onderhouden van de beveiligingspositie.

Om een basislijn voor beveiliging voor Power Platform vast te stellen, kunt u de volgende belangrijke ontwerpstrategieën overwegen:

  • Gebruik de Microsoft Cloud Security Benchmark (MCSB) als referentiekader. De MCSB is een uitgebreide reeks best practices op het gebied van beveiliging die verschillende aspecten van cloudbeveiliging bestrijkt, zoals identiteits- en toegangsbeheer, bescherming van persoonsgegevens, netwerkbeveiliging, bescherming tegen bedreigingen en bestuur. U kunt de MCSB gebruiken om uw huidige beveiligingspositie te beoordelen en hiaten en verbeterpunten te identificeren.

  • Pas de MCSB aan uw specifieke bedrijfsbehoeften, compliance-eisen en risicobereidheid aan. Mogelijk moet u enkele MCSB-bewakingselementen toevoegen, wijzigen of verwijderen op basis van uw organisatorische context en doelstellingen. Mogelijk moet u bijvoorbeeld uw basislijn voor beveiliging afstemmen op branchenormen (zoals ISO 27001 of NIST 800-53) of regelgevingskaders (zoals AVG, de Algemene Verordening Gegevensbescherming of HIPAA, de Health Insurance Portability and Accountability Act) die relevant zijn voor uw domein of regio.

  • Definieer het bereik en toepasbaarheid van uw basislijn voor beveiliging voor Power Platform. U moet duidelijk specificeren welke Power Platform-onderdelen, functies en services onder uw basislijn voor beveiliging vallen en welke buiten het bereik vallen of speciale overwegingen vereisen. Mogelijk moet u bijvoorbeeld verschillende beveiligingsvereisten definiëren voor verschillende typen Power Platform-omgevingen (zoals productie, ontwikkeling of sandbox), connectors (zoals standaard, aangepast of premium) of apps (zoals als canvas, modelgestuurd of pagina's).

Door deze ontwerpstrategieën te volgen, kunt u een basisdocument voor beveiliging maken voor Power Platform dat uw beveiligingsdoelen en -normen weerspiegelt en u helpt uw gegevens en bedrijfsmiddelen in de cloud te beschermen.

Naarmate de workload verandert en de omgeving groeit, is het belangrijk om uw basislijn up-to-date te houden met de wijzigingen om er zeker van te zijn dat de basiscontroles nog steeds werken. Hier volgen enkele aanbevelingen voor het proces om een basislijn voor beveiliging te creëren:

  • activum inventaris. Identificeer belanghebbenden van workloadassets en de beveiligingsdoelstellingen voor die activa. Classificeer in de assetvoorraad op basis van beveiligingsvereisten en kriticiteit. Zie Aanbevelingen voor gegevensclassificatie voor meer informatie over gegevensassets.

  • Definieer niveaus van workloads. Terwijl u uw basislijn voor beveiliging definieert, is het belangrijk om te overwegen hoe u gebouwde oplossingen op basis van kriticiteit kunt categoriseren, zodat u processen kunt ontwikkelen die ervoor zorgen dat voor kritieke toepassingen de nodige vangnetten bestaan om ze te kunnen ondersteunen en ze tegelijkertijd niet de innovatie van productiviteitsscenario's verhinderen.

  • Risicobeoordeling. Identificeer potentiële risico's die aan elke asset zijn verbonden en geef er prioriteit aan.

  • Nalevingsvereisten. Baseer eventuele regelgeving of naleving voor deze assets en pas de best practices uit de branche toe.

  • Configuratiestandaarden. Definieer en documenteer specifieke beveiligingsconfiguraties en -instellingen voor elke asset. Maak indien mogelijk een sjabloon of zoek een herhaalbare, geautomatiseerde manier om de instellingen consistent toe te passen in de hele omgeving. Denk aan configuraties op alle niveaus. Begin met beveiligingsconfiguraties op tenantniveau met betrekking tot toegang of netwerk. Overweeg dan resourcespecifieke beveiligingsconfiguraties voor Power Platform zoals specifieke configuraties voor Power Pages en workloadspecifieke beveiligingsconfiguraties, zoals hoe de workload wordt verdeeld.

  • toegangscontrole en authenticatie. Geef de vereisten voor op rollen gebaseerd toegangscontrole (RBAC) en meervoudige verificatie (MFA) op. Documenteer wat precies voldoende toegang betekent op assetniveau. Begin altijd met het principe van de minste bevoegdheden.

  • documentatie en communicatie. Documenteer alle configuraties, beleid en procedures. Communiceer de details naar de relevante belanghebbenden.

  • Handhaving en verantwoording. Zorg voor duidelijke handhavingsmechanismen en consequenties voor niet-naleving van de basislijn voor beveiliging. Houd individuen en teams verantwoordelijk voor het handhaven van beveiligingsnormen.

  • Continue monitoring. Beoordeel de effectiviteit van de basislijn voor beveiliging door middel van waarneembaarheid en breng in de loop van de tijd verbeteringen aan.

Samenstelling van een basislijn

Hier volgen enkele algemene categorieën die deel moeten uitmaken van een basislijn. De volgende lijst is niet uitputtend. Het is als een overzicht van het bereik van het document bedoeld

Naleving van regelgeving

Uw ontwerpkeuzes kunnen door wettelijke nalevingsvereisten voor specifieke industriesegmenten of geografische beperkingen worden beïnvloed. Het is van cruciaal belang dat u de nalevingsvereisten van de regelgeving begrijpt en deze opneemt in de architectuur van uw workload.

De basislijn moet een regelmatige evaluatie van de workload omvatten ten opzichte van de wettelijke vereisten. Maak gebruik van de hulpmiddelen die het platform biedt, zoals Microsoft Power adviseur, waarmee u gebieden kunt identificeren waar niet aan de regels wordt voldaan. Werk samen met het complianceteam van uw organisatie om ervoor te zorgen dat aan alle vereisten wordt voldaan en deze worden gehandhaafd.

Voorbeeld

Lifescience-organisaties bouwen oplossingen die moeten voldoen aan de eisen van Good Clinical, Laboratory, and Manufacturing Practices (GxP). U kunt profiteren van de efficiëntie van de cloud en tegelijkertijd de patiëntveiligheid, productkwaliteit en gegevensintegriteit beschermen. Voor meer informatie, zie de Microsoft GxP-richtlijnen voor Dynamics 365 en Power Platform.

Hoewel er geen specifieke GxP-certificering bestaat voor cloudserviceproviders, heeft Microsoft Azure (waar Power Platform op wordt gehost) onafhankelijke audits van derden ondergaan voor kwaliteitsmanagement en informatiebeveiliging, waaronder ISO 9001- en ISO/IEC 27.001-certificeringen. Als u toepassingen implementeert op Power Platform, overweeg dan de volgende stappen:

  • Bepaal de GxP-vereisten die van toepassing zijn op uw computersysteem op basis van het beoogde gebruik.
  • Volg de interne procedures voor kwalificatie- en validatieprocessen om naleving van de GxP-vereisten aan te tonen.

Ontwikkelprocessen

De basislijn moet aanbevelingen bevatten over:

  • Power Platform-resourcetypen die zijn goedgekeurd voor gebruik.
  • Bewaken van de resources.
  • Implementatie van logboek- en auditmogelijkheden.
  • Resources delen.
  • Beleid afdwingen voor het gebruiken of configureren van bronnen.
  • Bescherming van persoonsgegevens en netwerkbeveiliging.

Het ontwikkelingsteam moet een duidelijk inzicht hebben in de reikwijdte van veiligheidscontroles en in de manier waarop Power Platform-oplossingen moeten worden ontworpen en ontwikkeld met veiligheid in het achterhoofd en hoe u regelmatig beveiligingsbeoordelingen kunt uitvoeren. Het toepassen van het principe van minimale bevoegdheden, het scheiden van ontwikkelings- en productieomgevingen, het gebruik van beveiligde connectors en gateways en het valideren van gebruikersinvoer en -uitvoer zijn bijvoorbeeld vereisten om ervoor te zorgen dat de workload veilig is. Communiceer hoe potentiële bedreigingen kunnen worden geïdentificeerd en wees specifiek over hoe controles moeten worden uitgevoerd.

Zie Aanbevelingen voor bedreigingsanalyse voor meer informatie.

Het ontwikkelingsproces moet ook normen stellen voor verschillende testmethoden. Zie Aanbevelingen voor beveiligingstests voor meer informatie.

Bewerkingen

De basislijn moet normen omvatten voor het detecteren van bedreigingen en voor het waarschuwen voor afwijkende activiteiten die duiden op daadwerkelijke incidenten.

De basislijn moet aanbevelingen bevatten voor het opzetten van processen voor incidentrespons, inclusief communicatie en een herstelplan en noteren welke van deze processen kunnen worden geautomatiseerd om detectie en analyse te versnellen. Zie voor voorbeelden de Microsoft cloudbeveiligingsbenchmark: Incident respons.

Gebruik industriestandaarden om plannen voor beveiligingsincidenten en datalekken te ontwikkelen en zorg ervoor dat het operationele team een alomvattend plan heeft dat moet worden gevolgd wanneer een schending wordt ontdekt. Controleer bij uw organisatie of er dekking is via een cyberverzekering.

-training

Training is essentieel. Houd er rekening mee dat degenen die de applicaties ontwikkelen zich vaak niet volledig bewust zijn van de beveiligingsrisico's. Als uw organisatie een training volgt over het opbouwen van workloads met Power Platform, neem dan uw basislijn voor beveiliging in deze inspanningen op. Als uw organisatie organisatiebrede beveiligingstrainingen geeft, kunt u ook uw basislijn voor Power Platform-beveiliging in die training opnemen.

Uw training moet voorlichting omvatten over de vangrails en configuraties voor de hele tenant die van invloed kunnen zijn op de workloads die worden gebouwd. Ze vereisen ook training voor de configuraties die de makers moeten maken voor hun werklasten, zoals beveiligingsrollen en hoe ze verbinding kunnen maken met gegevens. Bepaal het proces voor samenwerking met hen bij eventuele verzoeken.

Ontwikkel en onderhoud een beveiligingstrainingsprogramma om ervoor te zorgen dat het workloadteam over de juiste vaardigheden beschikt om de beveiligingsdoelstellingen en -vereisten te ondersteunen. Het team heeft fundamentele beveiligingstraining nodig, evenals training over beveiligingsconcepten in Power Platform.

De basislijn gebruiken

Gebruik de basislijn om initiatieven en beslissingen te stimuleren. Hier volgen enkele manieren waarop u de basislijn kunt gebruiken om verbeteringen in de beveiliging van uw workload te bewerkstelligen:

  • Ontwerpbeslissingen voorbereiden. Gebruik de basislijn voor beveiliging om inzicht te krijgen in de beveiligingsvereisten en -verwachtingen voor uw Power Platform-workloads. Zorg ervoor dat teamleden op de hoogte zijn van de verwachtingen voordat ze beginnen met het architectuurontwerp. Voorkom dure aanpassingen tijdens de implementatiefase door ervoor te zorgen dat teamleden zich bewust zijn van de basislijn voor beveiliging en hun rol bij het voldoen aan beveiligingsvereisten. Gebruik de basislijn voor beveiliging als workloadvereiste en ontwerp uw workload binnen de grenzen en beperkingen die door de basislijn zijn gedefinieerd.

  • Meet uw ontwerp op. Gebruik de basislijn voor beveiliging om uw huidige beveiligingspositie te beoordelen en hiaten en verbeterpunten te identificeren. Documenteer eventuele afwijkingen die worden uitgesteld of op lange termijn aanvaardbaar worden geacht en vermeld duidelijk alle beslissingen die met betrekking tot afwijkingen zijn genomen.

  • Verbeteringen aandrijven. De basislijn voor beveiliging definieert uw doelen, maar het kan zijn dat u ze niet allemaal onmiddellijk kunt verwezenlijken. Documenteer eventuele hiaten en geef hier prioriteit aan op basis van belangrijkheid. Geef duidelijk aan welke hiaten op korte of lange termijn aanvaardbaar zijn en motiveer deze beslissingen.

  • Volg uw voortgang ten opzichte van de basislijn. Controleer uw beveiligingsmaatregelen ten opzichte van de basislijn voor beveiliging om trends te identificeren en afwijkingen van de basislijn aan het licht te brengen. Maak waar mogelijk gebruik van automatisering en gebruik de gegevens die zijn verzameld door het volgen van de voortgang om huidige problemen te identificeren en aan te pakken en u voor te bereiden op toekomstige bedreigingen.

  • Plaats leuningen. Gebruik uw basislijn voor beveiliging om voor uw Power Platform-workloads vangrails en een governancekader op te zetten en te beheren. Guardrails dwingen de vereiste beveiligingsconfiguraties, -technologieën en -activiteiten af, op basis van interne en externe factoren. Vangrails helpen het risico van onbedoeld toezicht en boetes voor niet-naleving te minimaliseren. U kunt kant-en-klare functies in het Power Platform-beheercentrum en Beheerde omgevingen gebruiken om vangrails op te zetten, of uw eigen vangrails bouwen met behulp van de referentie-implementatie van CoE Starter Kit of uw eigen scripts/tools. U gebruikt waarschijnlijk een combinatie van kant-en-klare en aangepaste tools om uw vangrails en governancekader op te zetten. Denk na over welke delen van uw basislijn voor beveiliging proactief kunnen worden afgedwongen en welke u reactief gaat monitoren.

Ontdek Microsoft Purview for Power Platform, Power adviseur, ingebouwde concepten in de Power Platform Beheercentrum zoals Data Policies en tenantisolatie, en referentie-implementaties zoals de CoE Starter Kit om beveiligingsconfiguraties en nalevingsvereisten te implementeren en af te dwingen.

De basislijn regelmatig evalueren

Verbeter voortdurend de beveiligingsnormen tot het niveau van de ideale staat om voortdurende risicovermindering te garanderen. Blijf op de hoogte van de nieuwste beveiligingsupdates in Power Platform door de roadmap en aankondigingen regelmatig te bekijken. Bepaal vervolgens welke nieuwe functies uw basislijn voor beveiliging kunnen verbeteren en plan hoe u deze kunt implementeren. Eventuele wijzigingen aan de basislijn moeten officieel worden goedgekeurd en u moet de juiste verandermanagementprocessen doorlopen.

Meet het systeem ten opzichte van de nieuwe basislijn en geef prioriteit aan herstelmaatregelen op basis van hun relevantie en effect op de workload.

Zorg ervoor dat de beveiligingsstatus in de loop van de tijd niet verslechtert door auditing en bewaking van de naleving op basis van organisatorische standaarden in te stellen.

Beveiliging in Microsoft Power Platform

Power Platform is gebouwd op een sterk fundament van beveiliging. Het maakt gebruik van dezelfde beveiligingsstack die Azure de status van een betrouwbare beheerder heeft gegeven om 's werelds meest gevoelige gegevens te leveren en te beschermen. Daarnaast kan het worden geïntegreerd met de meest geavanceerde informatiebeveiligings- en compliancetools van Microsoft 365. Power Platform levert end-to-end bescherming die is ontworpen rond de meest uitdagende problemen van onze klanten.

De Power Platform service wordt beheerd door de Microsoft Online Servicevoorwaarden en de Microsoft Privacyverklaring voor ondernemingen. Voor de locatie van de gegevensverwerking verwijzen wij u naar de Microsoft Online Servicevoorwaarden en het Addendum Gegevensbescherming.

Het Microsoft Vertrouwenscentrum is de primaire bron voor Power Platform informatie over naleving. Voor meer informatie, zie Microsoft Compliance Offerings.

De Power Platform-service volgt de Security Development Lifecycle (SDL). De SDL is een reeks strikte procedures ter ondersteuning van beveiligingsgaranties en nalevingsvereisten. Voor meer informatie, zie Microsoft Security Development Lifecycle Practices.

Power Platform-facilitering

De Microsoft cloud security benchmark (MCSB) is een uitgebreid raamwerk met best practices voor beveiliging dat u kunt gebruiken als uitgangspunt aanwijzen voor uw beveiligingsbasislijn. Gebruik het samen met andere bronnen die input leveren voor uw basislijn. Zie Inleiding tot de Microsoft cloudbeveiligingsbenchmark voor meer informatie.

De beveiligingspagina in de Power Platform Beheercentrum helpt u bij het beheren van de beveiliging van uw organisatie met best practices en een uitgebreide set functies om maximale beveiliging te garanderen. Bijvoorbeeld om:

  • Beoordeel uw beveiligingsstatus: Begrijp en verbeter het beveiligingsbeleid van uw organisatie om aan uw specifieke behoeften te voldoen.
  • Onderneem actie op basis van aanbevelingen: Identificeer en implementeer de meest impactvolle aanbevelingen om de beoordeling te verbeteren.
  • Stel proactief beleid in: gebruik de uitgebreide set hulpmiddelen en beveiligingsmogelijkheden die beschikbaar zijn om diepgaand inzicht te krijgen, bedreigingen te detecteren en proactief beleid in te stellen om de organisatie te beschermen tegen kwetsbaarheden en risico's.

Organisatorische afstemming

Zorg ervoor dat de basislijn voor beveiliging die u voor Power Platform vaststelt goed is afgestemd op de basislijnen voor beveiliging van uw organisatie. Werk nauw samen met IT-beveiligingsteams in uw organisatie om hun expertise te benutten.

Controlelijst voor beveiliging

Raadpleeg de volledige reeks aanbevelingen.

Veiligheidscontrolelijst