Udostępnij za pośrednictwem

Zalecenia dotyczące tworzenia planu bazowego zabezpieczeń

  • Artykuł

Dotyczy Power Platform zalecenia dotyczącego listy kontrolnej zabezpieczeń Well-Architected:

SE:01 Ustalenie planu bazowego zabezpieczeń zgodnego z wymaganiami zgodności, standardami branżowymi i zaleceniami platformy. Regularnie sprawdzaj architekturę i operacje obciążenia w stosunku do planu bazowego, aby zapewnić obsługi lub poprawić bezpieczeństwo w czasie.

W tym przewodniku przedstawiono zalecenia dotyczące tworzenia planu bazowego zabezpieczeń dla prac nad obciążeniami platformy Microsoft Power Platform. Plan bazowy zabezpieczeń to zestaw minimalnych norm zabezpieczeń i najlepszych rozwiązań, które organizacja stosuje do swoich systemów i usług IT. Plan bazowy zabezpieczeń pomaga zmniejszyć ryzyko utraty zabezpieczeń i nieautoryzowanego dostępu do danych. Plan bazowy zabezpieczeń pomaga również zapewnić spójność, odpowiedzialność i inspekcję w całej organizacji.

Dobrym planem bazowym zabezpieczeń jest:

  • Redukowanie ryzyka cyberataków, naruszeń danych i nieautoryzowanego dostępu.
  • Zapewnianie spójności, odpowiedzialności i inspekcji w całej organizacji.
  • Zapewnianie bezpieczeństwa danych i systemów.
  • Zgodność z wymaganiami prawnymi.
  • Minimalizowanie ryzyka związanego z przeoczeniem.

Plan bazowy zabezpieczeń należy opublikować w całej organizacji, aby wszyscy interesariusze znali oczekiwania.

Tworzenie planu bazowego zabezpieczeń dla Microsoft Power Platform obejmuje kilka kroków i rozważania, takie jak:

  • Zrozumienie architektury i składników Power Platform, takich jak środowiska, łączniki, Dataverse, Power Apps,i Power Automate Copilot Studio.

  • Konfigurowanie ustawień zabezpieczeń i ról na poziomie dzierżawcy, środowiska i zasobów dla Power Platform, takich jak zasady zapobiegania utracie danych, uprawnienia środowiska i grupy zabezpieczeń.

  • Korzystanie z Microsoft Entra ID umożliwia zarządzanie tożsamościami użytkowników, uwierzytelnianiem i autoryzacją Power Platform oraz integrowanie ich z innymi funkcjami Entra ID, takimi jak dostęp warunkowy i uwierzytelnianie wieloskładnikowe.

  • Stosowanie metod ochrony danych i szyfrowania w celu zabezpieczenia danych przechowywanych i przetwarzanych przez Power Platform, takich jak etykiety poufności czy kluczy zarządzanych przez klienta.

  • Monitorowanie i inspekcja działań oraz użytkowania przy użyciu narzędzi Power Platform, takich jak centrum administracyjne Power Platform, środowiska zarządzane i Microsoft Purview.

  • Implementacja zasad i procesów Power Platform, takich jak zdefiniowanie ról i obowiązków różnych interesariuszy, utworzenie przepływów pracy zatwierdzania i zarządzanie zmianami oraz zapewnienie pomocy i szkoleń dla użytkowników i deweloperów.

Ten przewodnik ułatwia ustawienie planu bazowego zabezpieczeń uwzględniającego czynniki wewnętrzne i zewnętrzne. Do czynników wewnętrznych należą m.in. potrzeby biznesowe, czynniki ryzyka oraz ocena zasobów. Czynniki zewnętrzne to testy porównawcze dla branży i standardy prawne. Uwzględniając te kroki i rozważania, organizacja może ustalić plan bazowy dla bezpieczeństwa Power Platform zgodny z celami biznesowymi, wymaganiami w zakresie zgodności oraz akceptowalnym poziomem ryzyka. Plan bazowy zabezpieczeń może pomóc organizacji w zmaksymalizowaniu korzyści, jakie przynosi Power Platform, minimalizując potencjalne zagrożeń i wyzwania.

Definicje

Termin Definicja
Model odniesienia Minimalny poziom zabezpieczeń, które obciążenie musi mieć, aby uniknąć wykorzystywania luk w zabezpieczeniach.
Wzorzec Standard, który jest stanem zabezpieczeń, do którego aspiruje organizacja. Jest ono szacowany, mierzony i poprawiany w czasie.
Kontrolki Kontrola techniczna lub operacyjna w obciążeniu, uniemożliwiająca ataki i zwiększająca koszty dla atakującego.
Wymagania prawne Zbiór wymagań biznesowych opartych na standardach branżowych, ustawach i różnych ustawieniach.

Kluczowe strategie projektowania

Plan bazowy zabezpieczeń to wytyczne opisujące wymagania zabezpieczeń i funkcje, które obciążenie muszą spełniać, aby poprawić i zachować bezpieczeństwo. Plan bazowy można bardziej zaawansowany po dodaniu zasad, których używasz do ustawienia granic. Plan bazowy powinien być standardem miary poziomu zabezpieczeń użytkownika. Celem jest zawsze osiągnięcie pełnego planu bazowego przy jednoczesnym zachowaniu szerokiego zakresu.

Utwórz plan bazowy, osiągając kompromis między liderami biznesowymi i technicznymi. Plan bazowy powinien obejmować kontrolę techniczną, ale także operacyjne aspekty zarządzania stanem zabezpieczeń i jego utrzymania.

Aby utworzyć plan bazowy dla zabezpieczeń Power Platform, należy rozważyć następujące kluczowe strategie projektowania:

  • Skorzystaj z wzorca zabezpieczeń w chmurze Microsoft Cloud (MCSB) jako struktury odwołania. MCSB to kompleksowy zestaw najlepszych rozwiązań w zakresie zabezpieczeń, które obejmują różne aspekty zabezpieczeń w chmurze, takie jak zarządzanie tożsamością i dostępem, ochrona danych, zabezpieczenia sieci, ochrona przed zagrożeniami oraz ład. Można użyć funkcji MCSB do oceny bieżącej sytuacji zabezpieczeń oraz zidentyfikowania luk i obszarów do poprawy.

  • Dostosuj program MCSB do własnych potrzeb biznesowych, wymagań dotyczących zgodności z wymaganiami oraz ryzyka. Niektóre kontrolki MCSB mogą być potrzebne do dodania, zmodyfikowania lub usunięcia w zależności od kontekstu i celów organizacyjnych. Na przykład może być konieczne dostosowanie planu bazowego zabezpieczeń do standardów branżowych (takich jak ISO 27001 lub TOP 800-53) lub ram prawnych (takich jak RODO, Ogólne rozporządzenie o ochronie danych, lub HIPAA, Ustawa o odpowiedzialności i przechowaniu danych w ubezpieczeniach zdrowotnych) dotyczących domeny lub regionu.

  • Zdefiniuj zakres i możliwość zastosowania planu bazowego zabezpieczeń Power Platform. Należy dokładnie określić, które składniki, funkcje i usługi Power Platform są objęte planem bazowym zabezpieczeń, a które są poza zakresem lub muszą być uwzględnione specjalnie. Na przykład może być konieczne zdefiniowanie różnych wymagań dotyczących zabezpieczeń dla różnych typów środowisk Power Platform (takich jak produkcja, development lub piaskownica), łączników (takich jak standardowe, niestandardowe lub Premium) albo aplikacji (na przykład kanwy, opartych na modelu lub stron).

Następujących strategii projektowania można użyć do tworzenia dokumentu planu bazowego dla Power Platform. Odzwierciedla ona cele i standardy zabezpieczeń. a także zapewnia ochronę danych i zasobów w chmurze.

W miarę zmiany obciążenia i rozwoju środowiska ważne jest, aby uaktualniać plan bazowy o zmiany, aby podstawowe kontrolki mogły nadal działać. Oto kilka zaleceń dotyczących procesu tworzenia planu bazowego zabezpieczeń:

  • Inwentaryzacja składników majątku. Określenie interesariuszy zasobów obciążenia i celów bezpieczeństwa tych zasobów. W spisie zasobów klasyfikacja według wymagań zabezpieczeń i krytyczności. Aby uzyskać informacje na temat zasobów danych, zobacz Zalecenia dotyczące klasyfikacji danych.

  • Definiowanie warstw obciążeń. Podczas definiowania planu bazowego zabezpieczeń należy się zastanowić, w jaki sposób należy sklasyfikować rozwiązania oparte na znaczeniu krytycznym, tak aby można było opracować procesy zapewniające, że aplikacje o znaczeniu krytycznym będą używać niezbędnych do ich obsługi aplikacji, jednocześnie nie wpływając na tworzenie scenariuszy produktywności.

  • Ocena ryzyka. Potencjalne tożsamości, które są związane z każdym zasobem i mają priorytet.

  • Wymagania dotyczące zgodności. Należy planować wszelkie przepisy i zgodność z tymi zasobami i stosować najlepsze praktyki branżowe.

  • Standardy konfiguracji. Definiuj i dokumentuj konkretne konfiguracje zabezpieczeń oraz ustawienia dla każdego zasobu. W miarę możliwości można utworzyć szablon lub znaleźć powtarzalny, zautomatyzowany sposób spójnego stosowania ustawień w środowisku. Rozważ konfiguracje na wszystkich poziomach. Zacznij od konfiguracji zabezpieczeń na poziomie dzierżawcy dotyczących dostępu do sieci lub ich sieci. Następnie należy rozważyć konfiguracje zabezpieczeń Power Platform specyficzne dla zasobów, takie jak określone konfiguracje Power Pages, a także konfiguracje zabezpieczeń specyficzne dla obciążenia, takie jak sposób udostępniania obciążenia.

  • Kontrola dostępu i uwierzytelnianie. Określ wymagania kontroli dostępu na podstawie ról (RBAC) oraz uwierzytelniania wieloskładnikowego (MFA). Należy dokumentować, co wystarczy, aby uzyskać dostęp na poziomie zasobu. Zawsze należy rozpocząć od zasady najmniejszego uprawnienia.

  • Dokumentacja i komunikacja. Należy dokumentować wszystkie konfiguracje, zasady i procedury. Przekazuj szczegółowe informacje odpowiednim interesariuszom.

  • Egzekwowanie i rozliczalność. Ustalenie czytelnych mechanizmów i konsekwencji dla niezgodności z planem bazowym zabezpieczeń. Utrzymywanie poszczególnych osób i zespołów odpowiedzialnych za postępowanie zgodnie ze standardami zabezpieczeń.

  • Ciągłe monitorowanie. Ocenianie skuteczności planu bazowego zabezpieczeń za pomocą skalowalności i udoskonalanie w miarę upływu czasu.

Skład planu bazowego

Oto kilka typowych kategorii, które powinny być częścią planu bazowego. Następująca lista nie jest wyczerpująca. Ma być ona omówieniem zakresu dokumentu

Zgodność z przepisami

Na wybór projektu mogą mieć wpływ wymagania zgodności z przepisami dla określonych segmentów branży lub z powodu ograniczeń geograficznych. Kluczowe znaczenie ma zrozumienie wymagań zgodności z przepisami i uwzględnianie ich w architekturze obciążenia.

Plan bazowy powinien zawierać regularną ocenę obciążenia w stosunku do wymagań przepisami. Należy skorzystać z zalet narzędzi dostępnych na platformach, takich jak Microsoft Power Advisor, które pozwalają zidentyfikować obszary niezgodności. Należy pracować z zespołem zapewnienia zgodności z organizacją w celu zapewnienia, że wszystkie wymagania zostaną spełnione i utrzymywane.

Przykład

Organizacje ds. nauk przyrodniczych nie muszą tworzyć rozwiązań spełniających wymagania w ramach praktyk w zakresie rozwiązań klinicznych, laboratoryjnych i produkcyjnych (GxP). Dzięki tej kontroli można korzystać z zalet chmury, jednocześnie zapewniając bezpieczeństwo pacjenta, jakość produktów i integralność danych. Aby uzyskać więcej informacji, zobacz wytyczne Microsoft GxP dla Dynamics 365 i Power Platform.

Mimo że nie istnieje żaden konkretny certyfikat GxP dla dostawców usług w chmurze, platforma Microsoft Azure (hostująca Power Platform) przeszła niezależne zewnętrzne audyty w zakresie zarządzania jakością i zabezpieczeń informacji, w tym certyfikaty ISO 9001 i ISO/IEC 27001. Jeśli wdrażasz aplikacje na Power Platform, rozważ następujące kroki:

  • Na podstawie zamierzonego zastosowania należy określić wymagania GxP mające zastosowanie do systemu komputerowego.
  • W celu zademonstrowania zgodności z wymaganiami standardu GxP należy postępować zgodnie z wewnętrznymi procedurami procesów kwalifikowania i sprawdzania poprawności.

Procesy developmentu

W planie bazowym muszą zostać zawarte zalecenia dotyczące następujących elementów:

  • Typy zasobów Power Platform zatwierdzonych do użycia.
  • Monitorowanie zasobów.
  • Implementacja funkcji rejestrowania i inspekcji.
  • Udostępnianie zasobów.
  • Wymuszanie zasad używania i konfigurowania zasobów.
  • Ochrona danych i bezpieczeństwo sieci.

Zespół ds. developmentu musi jasno sprawdzić zakres testów bezpieczeństwa, opracować i zaprojektować rozwiązania Power Platform z myślą o zabezpieczeniach oraz określić sposób regularnego wykonywania ocen zabezpieczeń. Na przykład zastosowanie zasady minimalnego uprawnienia, dzielenie środowisk projektowych i produkcyjnych, korzystanie z bezpiecznych łączników i portali oraz sprawdzanie poprawności danych wejściowych i wyjściowych użytkowników to wymagania w celu zapewnienia bezpieczeństwa obciążenia. Informacje o identyfikowaniu potencjalnych zagrożeń oraz o sposobach wykonywania poszczególnych testów.

Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące analizy zagrożeń.

Proces developmentu powinien także ustawić standardy dla różnych testów. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące testowania zabezpieczeń.

Operacje

Plan bazowy musi zawierać standardy dotyczące sposobu wykrywania zagrożeń i zgłaszania alertów dotyczących anomalnych działań wskazujących na faktyczne zdarzenia.

Plan bazowy powinien zawierać zalecenia dotyczące konfigurowania procesów odpowiedzi na zdarzenia, w tym komunikacji i planu naprawy, oraz podkreślić, które z tych procesów można zautomatyzować, aby umożliwić wykrywanie i analizę. Przykłady można znaleźć w temacie Wzorzec zabezpieczeń w chmurze Microsoft Cloud: odpowiedź na zdarzenie.

Standardy branżowe są wykorzystywane do tworzenia planów naruszeń zdarzeń zabezpieczeń i planowania wykorzystania danych oraz zapewnienia, że zespół operacyjny ma kompleksowy plan do zastosowania w przypadku gdy zostanie wykryte naruszenie. Należy sprawdzić, czy w organizacji jest dostępne cyberubezpieczenie.

Szkolenia

Szkolenie jest kluczowe. Należy pamiętać, że często osoby opracowujące aplikacje nie są w pełni świadome ryzyka związanego z bezpieczeństwem. Jeśli w organizacji jest szkolenie dotyczące tworzenia obciążeń przy użyciu Power Platform, należy wykorzystać plan bazowy zabezpieczeń do tych działań. Alternatywnie, jeśli organizacja prowadzi szkolenie w zakresie zabezpieczeń dla całej organizacji, należy w tym szkoleniu uwzględnić plan bazowy zabezpieczeń Power Platform.

Szkolenie powinno obejmować usługi na wszystkich dzierżawcach i konfiguracjach, które mogą mieć wpływ na wbudowane obciążenia. Wymagają oni również szkoleń w zakresie konfiguracji, które muszą wykonać twórcy obciążenia, takich jak role zabezpieczeń i sposób łączenia się z danymi. Należy określić proces ich przetwarzania dla wszystkich ewentualnych żądań.

Należy opracować i utrzymywać program szkolenia w zakresie zabezpieczeń, aby zapewnić, że zespół ds. obciążenia zostanie wyposażony w odpowiednie umiejętności wspierające cele i wymagania zabezpieczeń. Zespół musi ukończyć podstawowe szkolenia z zakresu zabezpieczeń i szkolenia na temat koncepcji zabezpieczeń na platformie Power Platform.

Korzystanie z planu bazowego

Plan bazowy można wykorzystywać do podejmowania inicjatyw i decyzji. Oto kilka sposobów korzystania z planu bazowego do usprawnienia zabezpieczeń w zakresie obciążenia:

  • Przygotowanie decyzji projektowych. Plan bazowy zabezpieczeń jest wykorzystywany do zrozumienia wymagań i oczekiwań zabezpieczeń dotyczących obciążeń Power Platform. Przed rozpoczęciem projektowania architektury należy się upewnić, że członkowie zespołu znają oczekiwania. Zapobieganie zmianom zabezpieczeń na etapie implementacji przez upewnienie się, że członkowie zespołu mają świadomość plan bazowy zabezpieczeń i swoją rolę w spełnieniu wymagań zabezpieczeń. Planu bazowego zabezpieczeń należy użyć jako wymagania w zakresie obciążenia i zaprojektować obciążenie w granicach i ograniczeniach zdefiniowanych w planie bazowym.

  • Zmierz swój projekt. Użyj planu bazowego zabezpieczeń do oceny bieżącej sytuacji zabezpieczeń oraz zidentyfikowania luk i obszarów do poprawy. Udokumentuj wszelkie odchylenia odroczone lub uznawane za dopuszczalne przez dłuższy okres i w sposób jednoznaczny przedstaw decyzje dotyczące tych odchyleń.

  • Ulepszenia napędu. Plan bazowy zabezpieczeń definiuje cele, ale może nie być w stanie od razu ich wszystkich osiągnąć. Należy dokumentować wszystkie luki i ich priorytety, zgodnie z ich ważnością. Należy określić, które luki są akceptowalne w krótkim lub dłuższym okresie, oraz podać powody tych decyzji.

  • Śledź swoje postępy w stosunku do punktu odniesienia. Monitoruj miary zabezpieczeń w celu zidentyfikowania trendów i ujawnienia odchyleń od planu bazowego. W miarę możliwości użyj automatyzacji i korzystaj z zebranych danych śledzenia postępu w celu identyfikowania i rozwiązania bieżących problemów oraz przygotowania się do przyszłych zagrożeń.

  • Ustaw barierki ochronne. Plan bazowy zabezpieczeń umożliwia ustanowienie barier zabezpieczających i struktury ładu oraz zarządzanie nimi na potrzeby obciążeń Power Platform. Bariery zabezpieczające wymuszają wymagane konfiguracje zabezpieczeń, technologie i operacje, oparte na czynnikach wewnętrznych i czynnikach zewnętrznych. Bariery zabezpieczające pomagają zminimalizować ryzyko nieumyślnego przegapienia i kar za niezgodność. Funkcje dostępne w Centrum administracyjnym Power Platform i środowiskach zarządzanych mogą służyć do tworzenia własnych danych, używając implementacji odwołania do zestawu startowego centrum doskonałości lub własnych skryptów/narzędzi. Najprawdopodobniej do skonfigurowania zestawu narzędzi i struktury ustawień sieciowych będzie można użyć kombinacji już dostępnych narzędzi oraz niestandardowych narzędzi. Zastanów się, które części planu bazowego zabezpieczeń można wymuszać w sposób aktywny, a które z nich należy reaktywnie monitorować.

Zapoznaj się z Microsoft Purview dla Power Platform, Power Advisor, koncepcjami wbudowanymi w centrum administracyjnym Power Platform, takimi jak zasady dotyczące danych i izolacji dzierżawcy, oraz implementacjami referencyjnymi, takimi jak zestaw startowy centrum doskonałości, w celu implementowania i wymuszania konfiguracji zabezpieczeń oraz wymagań dotyczących zgodności.

Regularnie oceniaj plan bazowy

Stale poprawiaj standardy zabezpieczeń, tak aby ciągle podnosić poziom zabezpieczeń i zmniejszać ryzyko. Regularnie kontroluj najnowsze aktualizacje zabezpieczeń na platformie Power Platform, sprawdzając plan rozwoju i ogłoszenia. Następnie należy określić, które nowe funkcje mogą rozbudować plan bazowy zabezpieczeń, i zaplanować ich implementację. Wszystkie modyfikacje wprowadzone w planie bazowym muszą zostać oficjalnie zatwierdzone i przejść przez odpowiednie procesy zarządzania zmianami.

Zmierz system względem nowego planu bazowego i ustal priorytety prac na podstawie ich istotności i wpływu na obciążenie.

Upewnij się, że stan zabezpieczeń nie pogarsza się na przestrzeni czasu, rozpoczynając inspekcję i monitorując zgodność ze standardami organizacyjnymi.

Zabezpieczenia w usłudze Microsoft Power Platform

Platforma Power Platform jest zbudowania na solidnej podstawie bezpieczeństwa. Używa tego samego stosu zabezpieczeń, który pełnił pozycję platformy Azure jako zaufanego użytkownika zasobów danych poufnych na świecie i integruje się z najbardziej zaawansowanymi narzędziami do ochrony informacji i zgodności Microsoft 365. Power Platform zapewnia kompleksową ochronę opracowaną z myślą o najbardziej wymagających klientach.

Usługa Power Platform podlega warunkom świadczenia usług online przez firmę Microsoft i oświadczeniu o ochronie prywatności przez firmę Microsoft dla przedsiębiorstw. Informacje na temat miejsca przetwarzania danych znajdują się w Warunkach świadczenia usług online przez Microsoft oraz w Uzupełniającej informacji o ochronie danych.

Microsoft Trust Center jest głównym źródłem informacji na temat zgodności Power Platform. Aby uzyskać więcej informacji, zobacz Oferty rozwiązań Microsoft do zapewniania zgodności.

Usługa Power Platform jest zgodna z cyklem rozwoju bezpieczeństwa (Security Development Lifecycle – SDL). SDL to zestaw ścisłych praktyk, które wspierają zapewnienie bezpieczeństwa i wymogi zgodności. Aby uzyskać więcej informacji, zobacz Praktyki cyklu życia rozwoju zabezpieczeń Microsoft.

Ułatwienia Power Platform

Test porównawczy zabezpieczeń w chmurze Microsoft Cloud (MCSB) to kompleksowa struktura najlepszych praktyk w zakresie zabezpieczeń, które mogą pomóc w rozpoczęciu planu bazowego zabezpieczeń. Należy jej użyć wraz z innymi zasobami, które dostarczają informacji wejściowych do planu bazowego. Aby uzyskać więcej informacji, zobacz Wprowadzenie do wzorca zabezpieczeń w chmurze Microsoft Cloud.

Strona Zabezpieczenia w centrum administracyjnym Power Platform ułatwia zarządzanie zabezpieczeniami organizacji za pomocą najlepszych rozwiązań i kompleksowego zestawu funkcji zapewniających maksymalne bezpieczeństwo. Na przykład, aby:

  • Oceń swój stan zabezpieczeń: Zapoznaj się z zasadami zabezpieczeń organizacji i ulepsz je, aby spełnić określone potrzeby.
  • Działanie na podstawie zaleceń: Zidentyfikuj i zaimplementuj najbardziej wpływowe zalecenia, aby poprawić ocenę.
  • Skonfiguruj proaktywne zasady: Korzystaj z bogatego zestawu dostępnych narzędzi i funkcji zabezpieczeń, aby uzyskać szczegółową widoczność, wykrywać zagrożenia i proaktywnie ustanawiać zasady, które pomogą chronić organizację przed lukami w zabezpieczeniach i zagrożeniami.

Dopasowanie organizacyjne

Upewnij się, że plan bazowy zabezpieczeń ustanawiany dla Power Platform jest dobrze dopasowany do planów bazowych zabezpieczeń organizacji. Ściśle współpracuj z zespołami zabezpieczeń IT w organizacji, aby wykorzystać ich specjalistyczną wiedzę.

Lista kontrolna zabezpieczeń

Zapoznaj się z kompletną zestawem zaleceń.

Lista kontrolna zabezpieczeń