Recomendações para estabelecer uma linha de base de segurança
Aplica-se à Power Platform recomendação da lista de verificação de segurança bem arquitetada:
| SE:01 | Estabeleça uma linha de base de segurança alinhada com os requisitos de conformidade, as normas da indústria e as recomendações da plataforma. Meça regularmente a sua arquitetura de carga de trabalho e operações em relação à linha de base para manter ou melhorar a sua postura de segurança ao longo do tempo. |
|---|
Este guia descreve as recomendações para estabelecer uma linha de base de segurança para o desenvolvimento de cargas de trabalho com o Microsoft Power Platform. Uma linha de base de segurança é um conjunto de normas mínimas de segurança e melhores práticas que uma organização aplica aos seus sistemas e serviços de TI. Uma linha de base de segurança ajuda a reduzir o risco de ciberataques, falhas de segurança de dados e acesso não autorizado. Uma linha de base de segurança também ajuda a garantir a consistência, responsabilidade e auditabilidade em toda a organização.
Uma boa linha de base de segurança ajuda-o a:
- Reduzir o risco de ciberataques, violações de dados e acesso não autorizado.
- Assegurar a consistência, responsabilidade e auditabilidade em toda a organização.
- Manter os seus dados e sistemas seguros.
- Cumprir os requisitos regulamentares.
- Minimizar o risco de lapsos.
As linhas de base de segurança devem ser amplamente publicadas em toda a organização para que todos os intervenientes estejam cientes das expetativas.
O estabelecimento de uma linha de base de segurança para o Microsoft Power Platform envolve vários passos e considerações, tais como:
Compreender a arquitetura e os componentes de Power Platform, como ambientes, conectores, Dataverse, Power Apps,, Power Automate e Copilot Studio.
Configurar as definições e funções de segurança para o Power Platform ao nível do inquilino, ambiente e recursos, tais como políticas de Prevenção de Perda de Dados, permissões de ambiente e grupos de segurança.
Tirar partido do Microsoft Entra ID para gerir identidades, autenticação e autorização de utilizadores para o Power Platform, e integrar com outras funcionalidades do Entra ID, como o acesso condicional e a autenticação multifator.
Aplicar métodos de proteção de dados e encriptação para proteger os dados armazenados e processados pelo Power Platform, tais como etiquetas de sensibilidade e chaves geridas pelo cliente.
Monitoramento e auditoria das atividades e do uso Power Platform, usando ferramentas como o Centro de Administração, o Ambientes Geridos e Power Platform o Microsoft Purview.
Implementar políticas e processos de governação para o Power Platform, tais como definir as funções e responsabilidades dos diferentes intervenientes, estabelecer fluxos de trabalho de aprovação e gestão de alterações, e fornecer orientação e formação para utilizadores e programadores.
Este guia ajuda-o a definir uma linha de base de segurança que considera fatores internos e externos. Os fatores internos incluem as necessidades do seu negócio, os fatores de risco e a avaliação de ativos. Os fatores externos incluem referências do setor e normas regulamentares. Seguindo estes passos e considerações, uma organização pode estabelecer uma linha de base de segurança para o Power Platform que está alinhada com os seus objetivos de negócio, requisitos de conformidade e apetência pelo risco. Uma linha de base de segurança pode ajudar uma organização a maximizar os benefícios do Power Platform enquanto minimiza as potenciais ameaças e desafios.
Definições
| Termo | Definição |
|---|---|
| Linha de Base | O nível mínimo de segurança que uma carga de trabalho deve ter para evitar ser explorada. |
| Referência | Uma norma que significa a postura de segurança a que a organização aspira. É avaliada, medida e melhorada ao longo do tempo. |
| Controlos | Controlos técnicos ou operacionais da carga de trabalho que ajudam a impedir ataques e a aumentar os custos dos atacantes. |
| Requisitos regulamentares | Um conjunto de requisitos de negócio, impulsionados por normas do setor, que as leis e autoridades impõem. |
Principais estratégias de design
Uma linha de base de segurança é uma diretriz que descreve os requisitos e as funcionalidades de segurança que a carga de trabalho tem de cumprir para melhorar e manter a segurança. Pode tornar uma linha de base mais avançada adicionando as políticas que utiliza para definir limites. A linha de base deve ser a norma que utiliza para medir o seu nível de segurança. Procure sempre atingir a linha de base completa, abrangendo um âmbito alargado.
Crie a linha de base obtendo consensos entre os líderes técnicos e de negócios. A linha de base deve incluir controlos técnicos, mas também aspetos operacionais de gestão e manutenção da postura de segurança.
Para estabelecer uma linha de base de segurança para o Power Platform, considere as seguintes estratégias de estruturação principais:
Use o benchmark de segurança na Microsoft nuvem (MCSB) como uma estrutura de referência. A MCSB é um conjunto abrangente de melhores práticas de segurança que abrange vários aspetos da segurança na cloud, como gestão de identidade e acesso, proteção de dados, segurança de rede, proteção contra ameaças e governação. Pode utilizar a MCSB para avaliar a sua postura de segurança atual e identificar lacunas e áreas de melhoramento.
Personalize a MCSB para adaptar às suas necessidades específicas de negócios, requisitos de conformidade e apetência pelo risco. Talvez seja necessário adicionar, modificar ou remover alguns dos controlos da MCSB com base no contexto e nos objetivos organizacionais. Por exemplo, poderá ser necessário alinhar a sua linha de base de segurança com as normas do setor (como a ISO 27001 ou a NIST 800-53) ou com quadros regulamentares (como o RGPD, o Regulamento Geral sobre a Proteção de Dados ou a HIPAA, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde) relevantes para o seu domínio ou região.
Defina o âmbito e a aplicabilidade da sua linha de base de segurança para o Power Platform. Deve especificar claramente quais componentes, funcionalidades e serviços do Power Platform são abrangidos pela linha de base de segurança e quais estão fora do âmbito ou exigem considerações especiais. Por exemplo, poderá ser necessário definir diferentes requisitos de segurança para diferentes tipos de ambiente do Power Platform (tais como produção, desenvolvimento ou sandbox), conectores (como padrão, personalizado ou premium) ou aplicações (como tela, condicionadas por modelo ou páginas).
Seguindo estas estratégias de estruturação, pode criar um documento de linha de base de segurança para o Power Platform que reflita os seus objetivos e padrões de segurança e o ajude a proteger os seus dados e ativos na cloud.
À medida que a carga de trabalho muda e o ambiente cresce, é importante manter a sua linha de base atualizada com as alterações para garantir que os controlos básicos ainda estão a funcionar. Eis algumas recomendações para o processo de criação de uma linha de base de segurança:
Inventário de ativos. Identifique os intervenientes dos ativos de carga de trabalho e os objetivos de segurança para esses ativos. No inventário de ativos, classifique por requisitos de segurança e criticidade. Para obter informações sobre ativos de dados, consulte Recomendações de classificação de dados.
Defina níveis de cargas de trabalho. Ao definir a sua linha de base de segurança, é importante considerar como irá categorizar as soluções criadas com base na criticidade para poder desenvolver processos que garantam que as aplicações críticas têm as proteções necessárias para as suportar, ao mesmo tempo que não impedem a inovação dos cenários de produtividade.
Avaliação de riscos. Identifique os riscos potenciais associados a cada ativo e priorize-os.
Requisitos de conformidade. Defina a linha de base de qualquer regulamentação ou conformidade para estes ativos e aplique as melhores práticas do setor.
Padrões de configuração. Defina e documente configurações e definições de segurança específicas para cada ativo. Se possível, crie um modelo ou encontre uma forma repetível e automatizada de aplicar as definições de forma consistente em todo o ambiente. Considere as configurações a todos os níveis. Comece com as configurações de segurança ao nível do inquilino relacionadas com o acesso ou a rede. Em seguida, considere as configurações de segurança específicas de recursos do Power Platform, como as configurações específicas do Power Pages, bem como as configurações de segurança específicas da carga de trabalho, como a forma como a carga de trabalho é partilhada.
Controlo de acessos e autenticação. Especifique os requisitos de controlo de acesso baseado em funções (RBAC) e da autenticação multifator (MFA). Documente o que significa apenas o acesso suficiente ao nível do ativo. Comece sempre com o princípio do menor privilégio.
Documentação e comunicação. Documente todas as configurações, políticas e procedimentos. Comunique os detalhes aos intervenientes relevantes.
Aplicação e responsabilização. Estabeleça mecanismos de imposição claros e consequências para a não conformidade com a linha de base de segurança. Responsabilize os indivíduos e as equipas pela manutenção das normas de segurança.
Monitorização contínua. Avalie a eficácia da linha de base de segurança através da observabilidade e melhore ao longo do tempo.
Composição de uma linha de base
Aqui estão algumas categorias comuns que devem fazer parte de uma linha de base. A lista seguinte não é exaustiva. Pretende-se que seja uma descrição geral do âmbito do documento
Conformidade regulamentar
As suas escolhas de estrutura podem ser afetadas pelos requisitos de conformidade regulamentares para segmentos específicos da indústria ou devido a restrições geográficas. É fundamental compreender os requisitos de conformidade regulamentar e incluí-los na arquitetura da sua carga de trabalho.
A linha de base deve incluir uma avaliação regular da carga de trabalho em relação aos requisitos regulamentares. Aproveite as ferramentas fornecidas pela plataforma, como Microsoft o Power consultor, que podem identificar áreas de não conformidade. Trabalhe com a equipa de conformidade da sua organização para se certificar de que todos os requisitos são cumpridos e mantidos.
Exemplo
As organizações de ciências biológicas criam soluções que devem cumprir os requisitos de Boas Práticas Clínicas, Laboratoriais e de Fabrico (GxP). Pode aproveitar as eficiências da cloud e, ao mesmo tempo, proteger a segurança do paciente, a qualidade do produto e a integridade dos dados. Para obter mais informações, consulte as diretrizes GxP Microsoft para Dynamics 365 e Power Platform.
Embora não haja certificação do GxP específica para fornecedores de serviços cloud, o Microsoft Azure (que aloja o Power Platform) passou por auditorias independentes de terceiros para gestão de qualidade e segurança da informação, incluindo as certificações ISO 9001 e ISO/IEC 27.001. Se estiver a implementar aplicações no Power Platform, considere os seguintes passos:
- Determinar os requisitos do GxP aplicáveis ao seu sistema informatizado com base na sua utilização pretendida.
- Seguir os procedimentos internos para processos de qualificação e validação para demonstrar a conformidade com os requisitos do GxP.
Processo de desenvolvimento
A linha de base tem de ter recomendações sobre:
- Os tipos de recurso do Power Platform aprovados para serem utilizados.
- Monitorização dos recursos.
- Implementação de capacidades de registo e auditoria.
- Partilha de recursos.
- Imposição de políticas para a utilização ou configuração de recursos.
- Proteção de dados e segurança de redes.
A equipa de desenvolvimento precisa de ter uma compreensão clara do âmbito das verificações de segurança, como estruturar e desenvolver soluções do Power Platform com a segurança em mente e de como realizar avaliações de segurança regulares. Por exemplo, aplicar o princípio do menor privilégio, separar os ambientes de desenvolvimento e produção, utilizar conectores e gateways seguros e validar as entradas e saídas do utilizador são requisitos para garantir que a carga de trabalho está segura. Comunique como as ameaças potenciais podem ser identificadas e seja específico sobre como se realizam as verificações.
Para mais informações, consulte Recomendações sobre a análise de ameaças.
O processo de desenvolvimento deve também estabelecer normas sobre várias metodologias de teste. Para mais informações, consulte Recomendações sobre testes de segurança.
Operações
A linha de base deve incluir normas sobre a forma de detetar ameaças e de emitir alertas sobre atividades anómalas que indiquem incidentes reais.
A linha de base deve incluir recomendações para a configuração de processos de resposta a incidentes, incluindo comunicação e um plano de recuperação, e indicar quais desses processos podem ser automatizados para acelerar a deteção e a análise. Para obter exemplos, consulte Microsoft Benchmark de segurança na nuvem: resposta de incidentes.
Utilize as normas do setor para desenvolver planos de falha de segurança de dados e incidentes de segurança e garantir que a equipa de operações tem um plano abrangente a ser seguido quando uma falha de segurança for detetada. Verifique com a sua organização se há cobertura através de um seguro cibernético.
Formação
A formação é fundamental. Tenha em mente que, muitas vezes, aqueles que desenvolvem as aplicações não estão totalmente cientes dos riscos de segurança. Se a sua organização fizer alguma formação sobre como criar cargas de trabalho com o Power Platform, incorpore a sua linha de base de segurança nesses esforços. Em alternativa, se a sua organização realizar formação de segurança ao nível da organização, inclua a linha de base de segurança do Power Platform nessa formação.
A sua formação deve incluir informações sobre proteções e configurações ao nível do inquilino que poderão afetar as cargas de trabalho que estão a ser criadas. Também requerem formação sobre as configurações que os criadores precisam de fazer para as suas cargas de trabalho, tais como direitos de acesso e como ligar a dados. Determine o processo para colaborar com eles em quaisquer pedidos que possam apresentar.
Desenvolva e mantenha um programa de formação de segurança para garantir que a equipa de carga de trabalho está equipada com as competências apropriadas para apoiar as metas e os requisitos de segurança. A equipa precisa de formação de segurança essencial e formação sobre conceitos de segurança no Power Platform.
Utilizar a linha de base
Utilize a linha de base para orientar iniciativas e decisões. Eis algumas formas de utilizar a linha de base para impulsionar melhorias na postura de segurança da carga de trabalho:
Preparar decisões de projeto. Utilize a linha de base de segurança para compreender os requisitos de segurança e as expetativas para as suas cargas de trabalho do Power Platform. Certifique-se de que os membros da equipa são educados sobre as expetativas antes de iniciar a estruturação da arquitetura. Impeça ajustes dispendiosos durante a fase de implementação, assegurando que os membros da equipa conhecem a linha de base de segurança e a respetivo função no cumprimento dos requisitos de segurança. Utilize a linha de base de segurança como um requisito de carga de trabalho e estruture a sua carga de trabalho dentro dos limites e restrições definidos pela linha de base.
Meça o seu design. Utilize a linha de base de segurança para avaliar a sua postura de segurança atual e identificar lacunas e áreas de melhoria. Documente quaisquer desvios que sejam adiados ou considerados aceitáveis a longo prazo e indique claramente quaisquer decisões tomadas relativamente a desvios.
Impulsione melhorias. A linha de base de segurança define os seus objetivos, mas poderá não conseguir atingi-los imediatamente. Documente quaisquer lacunas e priorize-as com base na importância. Especifique claramente quais as lacunas aceitáveis a curto ou longo prazo e fundamente estas decisões.
Acompanhe o seu progresso em relação à linha de base. Monitorize as suas medidas de segurança em relação à linha de base de segurança para identificar tendências e revelar desvios em relação à linha de base. Utilize a automatização sempre que possível e utilize os dados recolhidos a partir da monitorização do progresso para identificar e resolver problemas atuais e preparar-se para ameaças futuras.
Defina guarda-corpos. Utilize a sua linha de base de segurança para estabelecer e gerir proteções e uma estrutura de governação para as suas cargas de trabalho do Power Platform. As proteções impõem as configurações, tecnologias e operações de segurança necessárias, com base em fatores internos e externos. As proteções ajudam a minimizar o risco de lapsos inadvertidos e multas punitivas por não conformidade. Pode utilizar as funcionalidades prontas a utilizar do Centro de Administração do Power Platform e em Ambientes Geridos para estabelecer proteções ou criar as suas próprias proteções utilizando a implementação de referência do Kit de Iniciação CoE ou os seus próprios scripts/ferramentas. Provavelmente irá utilizar uma combinação de ferramentas prontas a utilizar e personalizadas para configurar as proteções e a estrutura de governação. Pense quais partes da linha de base de segurança podem ser aplicadas proativamente e quais monitorizará reativamente.
Explore Microsoft o Purview para Power Platform, Power consultor, conceitos incorporados no Power Platform Centro de Administração, como Políticas de Dados e isolamento de inquilinos, e implementações de referência, como o CoE Starter Kit, para implementar e impor configurações de segurança e requisitos de conformidade.
Avaliar a linha de base regularmente
Melhorar continuamente as normas de segurança rumo ao estado ideal para garantir a redução contínua de riscos. Controle as atualizações de segurança mais recentes no Power Platform verificando regularmente o mapa e os anúncios. Em seguida, identifique quais novas funcionalidades podem melhorar a sua linha de base de segurança e planeie como implementá-las. Quaisquer modificações na linha de base devem ser oficialmente aprovadas e passar pelos processos de gestão de alterações adequados.
Meça o sistema em relação à nova linha de base e priorize as remediações com base na sua relevância e no efeito na carga de trabalho.
Assegure-se de que a postura de segurança não se degrada com o tempo, instituindo a auditoria e monitorizando a conformidade com as normas organizacionais.
Segurança no Microsoft Power Platform
O Power Platform assenta numa base sólida de segurança. Utiliza a mesma pilha de segurança que posicionou o Azure como um depositário fiável dos dados mais confidenciais do mundo e integra-se com as ferramentas de proteção e conformidade de informações mais avançadas do Microsoft 365. O Power Platform fornece proteção de ponto a ponto concebida em torno das preocupações mais desafiantes dos nossos clientes.
O Power Platform serviço é regido pelos Termos Microsoft dos Serviços Online e pela Microsoft Declaração de Privacidade Empresarial. Para saber o local do processamento de dados, consulte os Termos dos Microsoft Serviços Online e o Adendo deProteção de Dados.
A Microsoft Central de Confiabilidade é o principal recurso para Power Platform informações de conformidade. Para obter mais informações, consulte Microsoft Ofertas de conformidade.
O serviço do Power Platform segue o Ciclo de Vida de Desenvolvimento Centrado na Segurança (SDL). O SDL é um conjunto de práticas rigorosas que suportam requisitos de garantia de segurança e conformidade. Para obter mais informações, consulte Microsoft Práticas do ciclo de vida do desenvolvimento de segurança.
Facilitação do Power Platform
O Microsoft benchmark de segurança na nuvem (MCSB) é uma estrutura abrangente de práticas recomendadas de segurança que você pode usar como ponto de partida para sua linha de base de segurança. Utilize-o juntamente com outros recursos que fornecem contributos para a sua linha de base. Para obter mais informações, consulte Introdução ao benchmark Microsoft de segurança nanuvem.
A página Segurança no centro de administração ajuda-o a gerir a Power Platform segurança da sua organização com práticas recomendadas e um conjunto abrangente de funcionalidades para garantir a máxima segurança. Por exemplo, para:
- Avalie seu estatuto de segurança: Compreenda e melhore as políticas de segurança da sua organização para atender às suas necessidades específicas.
- Agir de acordo com as recomendações: Identificar e implementar as recomendações mais impactantes para melhorar a avaliação.
- Configurar políticas proativas: Use o rico conjunto de ferramentas e recursos de segurança disponíveis para obter visibilidade profunda, detetar ameaças e estabelecer políticas proativamente para ajudar a proteger a organização contra vulnerabilidades e riscos.
Alinhamento organizacional
Certifique-se de que a linha de base de segurança que estabelecer para o Power Platform está bem alinhada com as linhas de base de segurança da sua organização. Trabalhe em estreita colaboração com as equipas de segurança de TI da sua organização para tirar partido dos respetivos conhecimentos.
- Visão geral da disciplina de linha de base de segurança
- Modelo de disciplina da Linha de Base de Segurança
Informações relacionadas
- Microsoft conformidade
- Microsoft Power Platform Documentação de segurança e governança
- Microsoft Copilot Studio Documentação de segurança e governança
- Microsoft Copilot Studio Ofertas de conformidade
- Perguntas frequentes sobre IA responsável Microsoft Power Platform
- Perguntas frequentes sobre IA responsável Copilot Studio
- Visão geral do benchmark de segurança na Microsoft nuvem
- O que é a resposta a incidentes? Plano e passos
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.