Recomendações para estabelecer uma linha de base de segurança
Aplica-se à recomendação da lista de verificação de segurança bem arquitetada: Power Platform
| SE:01 | Estabeleça uma linha de base de segurança alinhada aos requisitos de conformidade, aos padrões do setor e às recomendações da plataforma. Avalie regularmente a arquitetura e as operações da carga de trabalho em relação à linha de base para sustentar ou melhorar a postura de segurança com o passar do tempo. |
|---|
Este guia descreve as recomendações para estabelecer uma linha de base de segurança para desenvolver cargas de trabalho com o Microsoft Power Platform. Uma linha de base de segurança é um conjunto de padrões de segurança mínimos e melhores práticas aplicados por uma organização aos sistemas e serviços de TI. Uma linha de base de segurança ajuda a reduzir o risco de ataques cibernéticos, violações de dados e acesso não autorizado. Uma linha de base de segurança também ajuda a garantir a consistência, a responsabilidade e a auditabilidade em toda a organização.
Uma boa linha de base de segurança ajuda você a:
- Reduza o risco de ataques cibernéticos, violações de dados e acesso não autorizado.
- Verifique a consistência, a responsabilidade e a auditabilidade em toda a organização.
- Mantenha os dados e os sistemas protegidos.
- Atenda aos requisitos regulamentares.
- Minimize o risco de esquecimento.
As linhas de base de segurança devem ser amplamente publicadas em toda a organização para que todas as partes interessadas tenham ciência das expectativas.
O estabelecimento de uma linha de base de segurança para Microsoft Power Platform envolve diversas etapas e considerações, como:
Entender a arquitetura e os componentes de Power Platform, como ambientes, conectores, Dataverse, Power Apps, Power Automate e Copilot Studio.
Definição das configurações e funções de segurança para Power Platform no nível do locatário, do ambiente e do recurso, como políticas de Prevenção contra Perda de Dados, permissões do ambiente e grupos de segurança.
Aproveitamento da ID do Microsoft Entra para gerenciar identidades de usuário, autenticação e autorização do Power Platform, além de integração a outros recursos da ID do Entra, como acesso condicional e autenticação multifator.
A aplicação dos métodos de proteção de dados e criptografia para proteger os dados armazenados e processados pelo Power Platform, como rótulos de confidencialidade e chaves gerenciadas pelo cliente.
Monitorar e auditar as atividades e o uso do Power Platform, usando ferramentas como o Power Platform Centro de Administração, Ambientes Gerenciados e Microsoft Purview.
A implementação de políticas e processos de governança do Power Platform, como a definição das funções e das responsabilidades de stakeholders diferentes, o estabelecimento dos fluxos de trabalho de aprovação e o gerenciamento de alterações, além de oferecer diretrizes e treinamento para usuários e desenvolvedores.
Este guia ajuda você a definir uma linha de base de segurança que leva em consideração fatores internos e externos. Entre os fatores internos estão as necessidades de negócios, fatores de risco e avaliação de ativos. Entre os fatores externos estão parâmetros de comparação do setor e padrões regulatórios. Seguindo essas etapas e considerações, uma organização pode estabelecer uma linha de base de segurança para o Power Platform alinhada com os objetivos de negócios, requisitos de conformidade e apetite por risco. Uma linha de base de segurança pode ajudar uma organização a maximizar os benefícios do Power Platform ao mesmo tempo tempo em que minimiza as ameaças e os desafios em potencial.
Definições
| Termo | Definição |
|---|---|
| Linha de base | O nível mínimo de segurança que uma carga de trabalho deve ter para evitar ser explorada. |
| Parâmetro de comparação | Um padrão que indica a postura de segurança que a organização almeja. Ela é avaliada, medida e aprimorada com o passar do tempo. |
| Controles | Controles técnicos ou operacionais sobre a carga de trabalho que ajudam a evitar ataques e aumentar custos de invasor. |
| Requisitos regulatórios | Um conjunto de requisitos de negócios, orientados por padrões do setor, impostos por leis e autoridades. |
Estratégias-chave de design
Uma linha de base de segurança é uma diretriz que descreve os requisitos e recursos de segurança que a carga de trabalho deve atender para melhorar e manter a segurança. Você pode deixar uma linha de base mais avançada adicionando políticas usadas para definir limites. A linha de base deve ser o padrão usado para medir o nível de segurança. Procure sempre atingir a linha de base completa, ao mesmo tempo em que abrange um escopo amplo.
Crie a linha de base obtendo consenso entre os líderes técnicos e de negócios. A linha de base deve incluir controles técnicos, mas também aspectos operacionais de gerenciamento e manutenção da postura de segurança.
Para estabelecer uma linha de base de segurança do Power Platform, leve em consideração as seguintes estratégias-chave de design:
Use o Microsoft cloud security benchmark (MCSB) como uma estrutura de referência. O MCSB é um conjunto abrangente de melhores práticas de segurança que abrange aspectos variados de segurança na nuvem, como gerenciamento de identidade e acesso, proteção de dados, segurança de rede, proteção contra ameaças e governança. Você pode usar o MCSB para avaliar a postura de segurança atual e identificar lacunas e áreas de melhoria.
Personalize o MCSB para atender às suas necessidades de negócios específicas, requisitos de conformidade e apetite por risco. Talvez seja necessário adicionar, modificar ou remover alguns dos controles MCSB com base no contexto organizacional e nos objetivos. Por exemplo, talvez seja necessário alinhar a linha de base da segurança com padrões do setor (como ISO 27001 ou NIST 800-53) ou estruturas regulatórias (como RGPD, o Regulamento Geral sobre a Proteção de Dados, ou HIPAA, o Health Insurance Portability and Accountability Act) que sejam relevantes para o domínio ou a região.
Defina o escopo e a aplicabilidade da linha de base de segurança para o Power Platform. Você deve especificar claramente quais componentes, recursos e serviços do Power Platform têm cobertura da linha de base de segurança e quais estão fora do escopo ou exigem considerações especiais. Por exemplo, talvez seja necessário definir requisitos de segurança para diferentes tipos de ambientes do Power Platform (como produção, desenvolvimento ou área restrita), conectores (como padrão, personalizado ou premium) ou aplicativos (como tela, baseado em modelo ou páginas).
Seguindo essas estratégias de design, você pode criar um documento de linha de base de segurança para o Power Platform que reflete as metas e os padrões de segurança, além de ajudar a proteger os dados e os ativos na nuvem.
À medida que a carga de trabalho muda e o ambiente cresce, é importante manter a linha de base atualizada com as alterações para garantir que os controles básicos ainda estejam funcionando. Aqui estão algumas recomendações para o processo de criação de uma linha de base de segurança:
ativo estoque. Identifique os stakeholders dos ativos da carga de trabalho e os objetivos de segurança desses ativos. No inventário de ativos, classifique por requisitos de segurança e gravidade. Para obter informações sobre ativos de dados, consulte Recomendações de classificação de dados.
Defina níveis de cargas de trabalho. À medida que você define a linha de base de segurança, é importante levar em consideração como você vai categorizar as soluções compiladas com base na gravidade, de maneira que possa desenvolver processos que garantam que os aplicativos críticos tenham as proteções necessárias para dar suporte a eles e, ao mesmo tempo, não asfixiem a inovação dos cenários de produtividade.
Avaliação de risco. Identifique os riscos em potencial associados a cada ativo e os priorize.
Requisitos de conformidade. Estabeleça uma base regulatória ou de conformidade para esses ativos e aplique as melhores práticas do setor.
Padrões de configuração. Defina e documente configurações e definições de segurança específicas para cada ativo. Se possível, crie um modelo ou encontre uma maneira repetível e automatizada de aplicar as configurações de maneira consistente no ambiente. Leve em consideração as configurações em todos os níveis. Comece com as configurações de segurança no nível de locatário relacionadas ao acesso ou à rede. Em seguida, leve em consideração as configurações de segurança específicas do recurso do Power Platform, como configurações do Power Pages específicas, bem como configurações de segurança específicas da carga de trabalho, como a maneira como a carga de trabalho é compartilhada.
Controle de acesso e autenticação. Especifique os requisitos de controle de acesso baseado em função (RBAC) e autenticação multifator (MFA). Documente o que somente acesso suficiente significa no nível do ativo. Comece sempre pelo princípio do privilégio mínimo.
Documentação e comunicação. Documente todas as configurações, políticas e procedimentos. Comunique os detalhes aos stakeholders relevantes.
Aplicação e responsabilização. Estabeleça mecanismos de imposição claros e consequências para a não conformidade com a linha de base de segurança. Responsabilize indivíduos e equipes pela manutenção dos padrões de segurança.
Monitoramento contínuo. Avalie a eficácia da linha de base de segurança por meio da observabilidade e faça melhorias com o passar do tempo.
Composição de uma linha de base
Aqui estão algumas categorias comuns que devem fazer parte de uma linha de base. A lista a seguir não é abrangente. Ela se destina a ser uma visão geral do escopo do documento
Conformidade regulatória
As opções de design podem ser afetadas por requisitos de conformidade regulatória para segmentos de setor específico ou por causa de restrições geográficas. É fundamental compreender os requisitos de conformidade regulatória e incluí-los na arquitetura da carga de trabalho.
A linha de base deve incluir uma avaliação regular da carga de trabalho em relação aos requisitos regulatórios. Aproveite as ferramentas fornecidas pela plataforma, como o Power consultor, que pode identificar áreas de não conformidade. Microsoft Trabalhe com a equipe de conformidade da organização para garantir que todos os requisitos sejam atendidos e mantidos.
Exemplo
As organizações de ciências naturais compilam soluções que devem atender aos requisitos de Good Clinical, Laboratory, and Manufacturing Practices (GxP). Você pode aproveitar as eficiências da nuvem, ao mesmo tempo em que protege a segurança do paciente, a qualidade do produto e a integridade dos dados. Para obter mais informações, consulte as Microsoft Diretrizes GxP para Dynamics 365 e Power Platform.
Embora não haja uma certificação GxP específica para provedores de serviços de nuvem, o Microsoft Azure (que hospeda o Power Platform) passou por auditorias de terceiros independentes para gerenciamento de qualidade e segurança da informação, inclusive certificações ISO 9001 e ISO/IEC 27.001. Se você estiver implantando aplicativos no Power Platform, leve em consideração as seguintes etapas:
- Determine os requisitos de GxP aplicáveis ao sistema computadorizado com base no uso desejado.
- Siga os procedimentos internos para processos de qualificação e validação a fim de demonstrar a conformidade com os requisitos de GxP.
Processos de desenvolvimento
A linha de base deve ter recomendações sobre:
- Os tipos de recurso do Power Platform aprovados para serem usados.
- Monitoramento dos recursos.
- Implementação de capacidades de registro em log e auditoria.
- Compartilhamento de recursos.
- Imposição das políticas de uso ou configuração de recursos.
- Proteção de dados e segurança de rede.
A equipe de desenvolvimento precisa ter uma compreensão clara do escopo das verificações de segurança, de como projetar e desenvolver soluções do Power Platform com a segurança em mente e de como realizar avaliações de segurança regulares. Por exemplo, a aplicação do princípio do privilégio mínimo, a separação dos ambientes de produção e desenvolvimento, o uso de conectores e gateways seguros e a validação das entradas e saídas do usuário são requisitos para garantir que a carga de trabalho esteja segura. Comunique como as ameaças em potencial podem ser identificadas e seja específico quanto à maneira de realizar as verificações.
Para obter mais informações, consulte Recomendações sobre a análise de ameaças.
O processo de desenvolvimento também deve estabelecer padrões sobre metodologias de teste variadas. Para obter mais informações, consulte Recomendações sobre testes de segurança.
Operações
A linha de base deve incluir padrões sobre como detectar ameaças e como gerar alertas sobre atividades anômalas que indiquem incidentes reais.
A linha de base deve incluir recomendações para a configuração dos processos de resposta a incidentes, inclusive comunicação e um plano de recuperação, além de observar quais desses processos podem ser automatizados para agilizar a detecção e a análise. Para obter exemplos, consulte Microsoft benchmark de segurança em nuvem: Incidente resposta.
Use os padrões do setor para desenvolver planos de incidentes de segurança e violação de dados, além de garantir que a equipe de operações tenha um plano abrangente a ser seguido quando uma violação for descoberta. Consulte a organização para saber se há cobertura do seguro cibernético.
Treinamento
O treinamento é crítico. Tenha em mente que, muitas vezes, aqueles que desenvolvem os aplicativos não estão totalmente cientes dos riscos à segurança. Se a organização realiza algum treinamento sobre como compilar cargas de trabalho com o Power Platform, incorpore a linha de base de segurança a esses esforços. Como alternativa, se a organização realiza um treinamento de segurança em toda a organização, inclua a linha de base de segurança do Power Platform nesse treinamento.
O treinamento deve incluir educação sobre proteções em todo o locatário e configurações que possam afetar as cargas de trabalho que estão sendo compiladas. Eles também exigem treinamento sobre configurações que os criadores precisam fazer para as cargas de trabalho, como funções de segurança e como se conectar aos dados. Determine o processo para colaborar com eles em todas as solicitações que possam ter.
Desenvolva e mantenha um programa de treinamento de segurança para garantir que a equipe da carga de trabalho esteja equipada com as habilidades indicadas para dar suporte às metas e aos requisitos de segurança. A equipe precisa de treinamento em segurança fundamental e treinamento sobre conceitos de segurança no Power Platform.
Usar a linha de base
Use a linha de base para orientar iniciativas e decisões. Aqui estão algumas maneiras de usar a linha de base para orientar melhorias na postura de segurança da carga de trabalho:
Preparar decisões de design. Use a linha de base da segurança para compreender os requisitos de segurança e as expectativas para as cargas de trabalho do Power Platform. Verifique se os membros da equipe receberam instrução sobre as expectativas antes de iniciar o design de arquitetura. Evite ajustes caros durante a fase de implementação, garantindo que os membros da equipe estejam cientes da linha de base da segurança e da função no atendimento aos requisitos de segurança. Use a linha de base de segurança como um requisito da carga de trabalho e projete a carga de trabalho dentro dos limites e restrições definidos pela linha de base.
Meça seu design. Use a linha de base de segurança para avaliar a postura de segurança atual e identificar lacunas e áreas de melhoria. Documente eventuais desvios adiados ou considerados aceitáveis a longo prazo e indique claramente eventuais decisões tomadas em relação aos desvios.
Impulsione melhorias. A linha de base de segurança define as metas, mas talvez você não consiga atingi-las todas imediatamente. Documente eventuais lacunas e as priorize com base na importância. Especifique claramente quais lacunas são aceitáveis a curto ou longo prazo e fundamente essas decisões.
Acompanhe seu progresso em relação à linha de base. Monitore as medidas de segurança em relação à linha de base da segurança para identificar tendências e revelar desvios em relação à linha de base. Use a automação sempre que possível e use os dados coletados do acompanhamento do progresso para identificar e resolver problemas atuais e se preparar para ameaças futuras.
Coloque guarda-corpos. Use a linha de base da segurança para estabelecer e gerenciar proteções e uma estrutura de governança para as cargas de trabalho do Power Platform. As proteções impõem configurações, tecnologias e operações de segurança necessárias, com base em fatores internos e externos. As grades de proteção ajudam a minimizar o risco de esquecimento inadvertido e multas punitivas por não conformidade. Você pode usar recursos prontos para uso no Centro de Administração e Ambientes Gerenciados do Power Platform para estabelecer proteções ou compilar os próprios usando a implementação de referência do Kit de Início CoE ou os próprios scripts/ferramentas. Você provavelmente vai usar uma combinação de ferramentas out-of-the-box e personalizadas para configurar as proteções e a estrutura de governança. Pense em quais partes da linha de base de segurança podem ser impostas proativamente e quais você vai monitorar de maneira reativa.
Explore o Microsoft Purview for Power Platform, Power consultor, conceitos integrados no Power Platform Centro de administração, como Políticas de dados e isolamento do locatário, e implementações de referência, como o CoE Starter Kit, para implementar e aplicar configurações de segurança e requisitos de conformidade.
Avaliar regularmente a linha de base
Melhorar continuamente os padrões de segurança em direção ao estado ideal para garantir uma redução de riscos contínua. Acompanhe as atualizações de segurança feitas mais recentemente no Power Platform verificando regularmente o roteiro e os anúncios. Em seguida, identifique quais novos recursos podem aprimorar a linha de base de segurança e planeje como implementá-los. Quaisquer modificações feitas na linha de base devem ser aprovadas oficialmente e passar pelos processos de gerenciamento de alterações indicados.
Meça o sistema em relação à nova linha de base e priorize as correções com base na relevância e no efeito sobre a carga de trabalho.
Verifique se a postura de segurança não se degrada com o passar do tempo instituindo a auditoria e monitorando a conformidade com os padrões organizacionais.
Segurança na Microsoft Power Platform
O Power Platform é construído sobre uma base sólida de segurança. Ele usa a mesma pilha de segurança que deixou o Azure na posição de custodiante confiável dos dados mais confidenciais do mundo e se integra às ferramentas de conformidade e proteção de informações mais avançadas do Microsoft 365. A Power Platform oferece proteção de ponta a ponta projetada com base nas preocupações mais desafiadoras de nossos clientes.
O Power Platform serviço é regido pelos Microsoft Termos dos Serviços Online e pela Microsoft Declaração de Privacidade Empresarial. Para saber o local do processamento de dados, consulte os Microsoft Termos dos Serviços Online e o Adendo de Proteção de Dados.
O Microsoft Trust Center é o principal recurso para Power Platform informações sobre conformidade. Para obter mais informações, consulte Microsoft Ofertas de conformidade.
O serviço da Power Platform segue o Security Development Lifecycle (SDL). O SDL é um conjunto de práticas rígidas que permitem a garantia de segurança e os requisitos de conformidade. Para obter mais informações, consulte Microsoft Práticas do ciclo de vida de desenvolvimento de segurança.
Facilitação do Power Platform
O benchmark de segurança em nuvem (MCSB) é uma estrutura abrangente de práticas recomendadas de segurança que você pode usar como ponto de partida para sua linha de base de segurança. Microsoft Use-o com outros recursos que ofereçam entrada para a linha de base. Para obter mais informações, consulte Introdução ao Microsoft benchmark de segurança em nuvem.
A página Segurança no Power Platform centro de administração ajuda você a gerenciar a segurança da sua organização com as melhores práticas e um conjunto abrangente de recursos para garantir a segurança máxima. Por exemplo, para:
- Avalie seu status de segurança: Entenda e melhore as políticas de segurança da sua organização para atender às suas necessidades específicas.
- Agir de acordo com as recomendações: Identificar e implementar as recomendações mais impactantes para melhorar a avaliação.
- Configure políticas proativas: Use o amplo conjunto de ferramentas e recursos de segurança disponíveis para obter visibilidade profunda, detectar ameaças e estabelecer políticas proativamente para ajudar a proteger a organização contra vulnerabilidades e riscos.
Alinhamento organizacional
Verifique se a linha de base de segurança estabelecida por você para o Power Platform está bem alinhada com as linhas de base de segurança da organização. Trabalhe em estreita colaboração com as equipes de segurança de TI na organização para aproveitar o conhecimento.
- Visão geral da disciplina de linha de base de segurança
- Modelo de disciplina de linha de base de segurança
Informações relacionadas
- Microsoft conformidade
- Microsoft Power Platform documentação de segurança e governança
- Microsoft Copilot Studio documentação de segurança e governança
- Microsoft Copilot Studio ofertas de conformidade
- Perguntas frequentes sobre IA responsável para Microsoft Power Platform
- Perguntas frequentes sobre IA responsável para Copilot Studio
- Visão geral do benchmark de segurança em nuvem Microsoft
- O que é resposta a incidentes? Plano e etapas
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.