Dela via

Rekommendationer för att fastställa en grundnivån för säkerhet

  • Artikel

Gäller för rekommendationen av checklista för Power Platform Well-Architected Security:

SE:01 Skapa en säkerhetsbaslinje som är anpassad till efterlevnadskrav, branschstandarder och plattformsrekommendationer. Du kan regelbundet mäta arbetsbelastningens arkitektur och åtgärder mot baslinjen för att förbättra säkerheten över tid.

I den här guiden beskrivs rekommendationer om hur du fastställer en säkerhetsbaslinje för att utveckla arbetsbelastningar med Microsoft Power Platform. En säkerhetsbaslinje är en uppsättning minimisäkerhetsstandarder och metodtips som en organisation tillämpar på sina IT-system och -tjänster. En säkerhetsbaslinje hjälper till att minska risken för cyberattacker, dataintrång och obehörig åtkomst. En säkerhetsbaslinje bidrar också till att säkerställa enhetlighet, ansvarighet och granskning i hela organisationen.

En bra säkerhetsbaslinje hjälper dig:

  • Minska risken för cyberattacker, dataintrång och obehörig åtkomst.
  • Säkerställa enhetlighet, ansvarighet och granskningsbarhet i hela organisationen.
  • Skydda dina data och system.
  • Följa myndighetskrav.
  • Minimera risken för förbiseende.

Säkerhetsbaslinjer bör publiceras i hela organisationen så att alla intressenter känner till förväntningarna.

Att fastställa en säkerhetsbaslinje för Microsoft Power Platform omfattar flera steg och överväganden, till exempel:

  • Förstå arkitekturen och komponenterna Power Platform i, till exempel miljöer, kopplingar, Dataverse, Power Apps, Power Automate, och Copilot Studio.

  • Konfigurera säkerhetsinställningar och roller för Power Platform på klientorganisations- , miljö- och resursnivå, till exempel principer för dataförlustskydd, miljöbehörigheter och säkerhetsgrupper.

  • Använd Microsoft Entra ID för att hantera användaridentiteter, autentisering och autentisering för Power Platform och för integrering med andra Entra ID-funktioner som villkorlig åtkomst och multifaktorautentisering.

  • Tillämpa dataskydds- och krypteringsmetoder för att skydda data som lagras och bearbetas av Power Platform, till exempel känslighetsetiketter och kundhanterade nycklar.

  • Övervaka och granska aktiviteter och användning av Power Platform, med hjälp av verktyg som Power Platform-administratörscenter, Hanterade miljöer och Microsoft Purview.

  • Implementera policyer och processer för Power Platform som att definiera olika intressenters roll och ansvarsområden, skapa godkännandearbetsflöden och ändringshantering samt ge vägledning och utbildning för användare och utvecklare.

Med hjälp av den här guiden kan du ange en säkerhetsbaslinje där både interna och externa faktorer beaktas. Interna faktorer omfattar dina affärsbehov, riskfaktorer och resursutvärdering. Externa faktorer är branschstandarder och reglerande standarder. Genom att följa de här stegen och övervägandena kan en organisation skapa en grundnivå för säkerhet för Power Platform som överensstämmer med företagets affärsmål, efterlevnadskrav och riskaptit. En säkerhetsbaslinje kan hjälpa en organisation att maximera fördelarna med Power Platform samtidigt som de minimerar de potentiella hoten och problemen.

Definitioner

Begrepp Definition
Baslinje Den minsta säkerhetsnivån som krävs för att en arbetsbelastning ska undvika att bli för utnyttjad.
Riktmärke En standard som betecknar säkerheten som organisationen vill ha. Den utvärderas, mäts och förbättras med tiden.
Kontroller Tekniska kontroller eller driftkontroller av arbetsbelastningen som hjälper till att förhindra angrepp och öka kostnaderna för dem som attackerar.
Myndighetskrav En uppsättning affärskrav som styrs av branschstandarder som lagar och myndigheter upprättar.

Viktiga designstrategier

En säkerhetsbaslinje är en beskrivning av de säkerhetskrav och funktioner som arbetsbelastningen måste uppfylla för att förbättra och upprätthålla säkerheten. Du kan göra en baslinje mer avancerad genom att lägga till principer som du använder för att ange gränser. Baslinjen ska vara den standard som du använder för att mäta säkerhetsnivån. Målet är att alltid uppnå fullständig baslinje samtidigt som ett brett omfång täcks.

Skapa baslinjen genom att få konsensus mellan antalet affärsledare och tekniska ledare. Baslinjen ska omfatta tekniska kontroller, men även verksamhetsaspekter på hantering och upprätthållande av säkerheten.

För att fastställa en säkerhetsbaslinje för Power Platform bör du överväga följande viktiga designstrategier:

  • Använd Microsofts molnsäkerhetsbenchmark (MCSB) som referensramverk. MCSB är en omfattande uppsättning säkerhetsrekommendationer som täcker olika aspekter av molnsäkerhet, till exempel identitets- och åtkomsthantering, dataskydd, nätverkssäkerhet, hotskydd och styrning. Med hjälp av MCSB kan du utvärdera den aktuella säkerheten och identifiera luckor och områden för förbättring.

  • Anpassa MCSB:en så att den passar dina specifika affärsbehov, krav på regelefterlevnad och riskaptit. Du kan behöva lägga till, ändra eller ta bort vissa MCSB-kontroller baserat på organisationens kontext och mål. Du kan till exempel behöva justera din säkerhetsbaslinje med branschstandarder (som ISO 27001 eller NIST 800-53) eller ramverk för regler (som GDPR, den allmänna dataskyddsförordningen, eller HIPAA, Health Insurance Portability and Accountability Act) som är relevanta för din domän eller region.

  • Ange omfattning och användbarhet för säkerhetsbaslinjen för Power Platform. Du bör tydligt ange vilka Power Platform-komponenter, funktioner och tjänster som täcks av säkerhetsbaslinjen, och vilka som inte berörs eller som kräver speciella överväganden. Du kan till exempel behöva definiera olika säkerhetskrav för olika typer av Power Platform-miljöer (till exempel produktion, utveckling eller sandbox), anslutningsprogram (som standard, anpassade eller Premium) eller appar (till exempel arbetsyteappar, modellbaserade eller sidor).

Genom att följa de här designstrategierna kan du skapa en säkerhetsbaslinje för Power Platform som återspeglar dina säkerhetsmål och standarder och hjälper dig att skydda dina data och tillgångar i molnet.

När arbetsbelastningen förändras och miljön växer är det viktigt att hålla baslinjen uppdaterad med ändringarna så att de grundläggande kontrollerna fortfarande fungerar. Här är några rekommendationer för hur du skapar en säkerhetsbaslinje:

  • Inventering av tillgångar. Identifiera intressenter för arbetsbelastningens tillgångar och säkerhetsmålen för dessa tillgångar. Kategorisera tillgångslagret efter säkerhetskrav och kritiskhet. Mer information om datatillgångar finns i Rekommendationer om dataklassificering.

  • Definiera nivåer av arbetsbelastningar. När du definierar din säkerhetsbaslinje är det viktigt att överväga hur du kategoriserar lösningar som bygger på kriticitet så att du kan utveckla processer som säkerställer att kritiska program har nödvändiga skyddsmekanismer runt sig för att stödja dem samtidigt som de inte kväver innovationen av produktivitetsscenarier.

  • Riskbedömning. Identifiera potentiella risker som är kopplade till varje tillgång och prioritera dem.

  • Krav på efterlevnad. Skapa baslinje för alla regler och efterlevnad för dessa tillgångar och använd branschrekommendationer.

  • Standarder för konfiguration. Definiera och dokumentera specifika säkerhetskonfigurationer och inställningar för varje tillgång. Om det är möjligt kan du skapa en mall eller hitta ett repeterbart, automatiskt sätt att tillämpa inställningarna konsekvent i hela miljön. Beakta konfigurationer på alla nivåer. Börja med säkerhetskonfigurationer på klientorganisationsnivå som är relaterade till åtkomst eller nätverk. Fundera sedan på Power Platform-resursspecifika säkerhetskonfigurationer t.ex. specifika Power Pages-konfigurationer, och arbetsbelastningsspecifika säkerhetskonfigurationer, till exempel hur arbetsbelastningen delas.

  • Åtkomstkontroll och autentisering. Ange krav för rollbaserad åtkomstkontroll (RBAC) och multifaktorautentisering (MFA). Dokumentera vad Endast tillräcklig åtkomst betyder på tillgångsnivå. Börja alltid med principen om minst privilegium.

  • Dokumentation och kommunikation. Dokumentera alla konfigurationer, principer och procedurer. Meddela informationen till relevanta intressenter.

  • Verkställighet och ansvarsskyldighet. Skapa tydliga tvingande mekanismer och konsekvenser om säkerhetsbaslinjen inte följs. Håll enskilda personer och team är ansvariga för att upprätthålla säkerhetsstandarder.

  • Kontinuerlig övervakning. Utvärdera säkerhetsbaslinjens effektivitet genom överskådlighet och gör förbättringar med tiden.

Sammansättning av en baslinje

Här är några vanliga kategorier som bör ingå i baslinjen. Följande lista är inte fullständig. Den är tänkt som en översikt över dokumentets omfattning

Regelverksefterlevnad

Dina designval kan påverkas av krav på regelefterlevnad för specifika branschsegment eller på grund av geografiska begränsningar. Det är viktigt att du förstår kraven på regelefterlevnad och tar med dem i arkitekturen för din arbetsbelastning.

Baslinjen bör innehålla en regelbunden utvärdering av arbetsbelastningen mot regelkrav. Dra nytta av plattformsverktygen, till exempel Microsoft Power Advisor, som kan identifiera områden som inte följer efterlevnadskraven. Arbeta med organisationens efterlevnadsteam för att se till att alla krav uppfylls och upprätthålls.

Exempel

Biovetenskapsorganisationer bygger lösningar som måste uppfylla kraven enligt Good Clinical, Laboratory, and Manufacturing Practices (GxP). Du kan utnyttja molnets effektivitet samtidigt som du skyddar patientsäkerheten, produktkvaliteten och dataintegriteten. Mer information finns i Microsoft GxP-riktlinjer för Dynamics 365 och Power Platform.

Även om det inte finns någon specifik GxP-certifiering för molntjänstleverantörer har Microsoft Azure (som är värd för Power Platform) genomgått oberoende tredjepartsgranskningar för kvalitetsstyrning och informationssäkerhet, inklusive ISO 9001- och ISO/IEC 27 001-certifieringar. Om du distribuerar program på Power Platform bör du överväga följande steg:

  • Bestäm vilka GxP-krav som gäller för det datorbaserade systemet baserat på dess avsedda användning.
  • Följ interna procedurer för kvalificering och validering för att demonstrera att GxP-kraven efterlevs.

Utvecklingsprocesser

Baslinjen måste innehålla rekommendationer om:

  • Power Platform-resurstyper som är godkända för användning.
  • Övervakning av resurserna.
  • Implementering av loggnings- och granskningsfunktioner.
  • Delning av resurser.
  • Framtvinga principer för att använda eller konfigurera resurser.
  • Dataskydd och nätverkssäkerhet.

Utvecklingsteamet måste ha en tydlig förståelse av omfattningen av säkerhetskontroller, hur de kan utforma och utveckla Power Platform-lösningar med säkerhet i åtanke och hur de kan utföra regelbundna säkerhetskontroller. Att tillämpa principen om minst privilegium, separera utvecklings- och produktionsmiljöer, använda säkra anslutningsprogram och gateways samt verifiera användarindata och utdata är krav för att säkerställa att arbetsbelastningen är säker. Kommunicera om hur potentiella hot kan identifieras och var specifik om hur kontroller utförs.

Mer information finns i Rekommendationer om hotanalys.

Utvecklingsprocessen bör också sätta standarder för olika testmetoder. Mer information finns i Rekommendationer om säkerhetstestning.

Operationer

Baslinjen måste innehålla standarder för hur hot kan upptäckas och hur varningsmeddelanden ska skickas om avvikande aktiviteter kan tyda på faktiska händelser.

Baslinjen bör innehålla rekommendationer för hur du upprättar processer för incidentsvar, inklusive kommunikation och en återställningsplan, och notera vilka av dessa processer som kan automatiseras för att underlätta identifiering och analys. Exempel finns i Microsofts molnsäkerhetsbenchmark: Incidentsvar.

Använd branschstandarder när du tar fram planer för säkerhetsincidenter och dataintrång, och se till att driftteamet har en fullödig plan att följa när ett intrång upptäcks. Se efter i organisationen om det finns någon täckning via cyberförsäkring.

Utbildning

Utbildning är mycket viktig. Tänk på att de som utvecklar programmen ofta inte är helt medvetna om säkerhetsrisker. Om organisationen gör någon utbildning om hur man bygger upp arbetsbelastningen med Power Platform, bör du införliva din säkerhetsbaslinje i dessa åtgärder. Alternativt, om organisationen genomför organisationsövergripande säkerhetsutbildning, ska du inkludera din Power Platform-säkerhetsbaslinje i den utbildningen.

Utbildningen ska innehålla utbildning om skyddsmekanismer och konfigurationer för hela klientorganisationen som kan påverka arbetsbelastningen som byggs upp. De behöver också utbildning om konfigurationer som tillverkarna behöver göra för sina arbetsbelastningar, till exempel säkerhetsroller och hur de kan ansluta till data. Fastställa hur processen ska se ut för att samarbeta med dem om eventuella förfrågningar de har.

Utveckla och underhålla ett säkerhetsutbildningsprogram så att arbetsbelastningsteamet har rätt kompetens för att uppfylla säkerhetsmålen och kraven. Teamet behöver grundläggande säkerhetsutbildning och utbildning om säkerhetskoncept i Power Platform.

Använd baslinjen

Använd baslinjen när du vill driva fram åtgärder och beslut. Här är några sätt att använda baslinjen för att förbättra arbetsbelastningens säkerhet:

  • Förbered designbeslut. Använd säkerhetsbaslinjen för att förstå säkerhetskraven och förväntningarna för dina Power Platform-arbetsbelastningar. Se till att teammedlemmarna är utbildade om förväntningarna innan de startar arkitekturdesignen. Förhindra dyra justeringar under implementeringsfasen genom att se till att teammedlemmarna känner till säkerhetsbaslinjen och sin roll när det gäller att uppfylla säkerhetskraven. Använd säkerhetsbaslinjen som arbetsbelastningskrav och utforma arbetsbelastningen inom de gränser och begränsningar som definieras av baslinjen.

  • Mät din design. Använd säkerhetsbaslinjen för att utvärdera den aktuella säkerheten och identifiera luckor och områden för förbättring. Dokumentera eventuella avvikelser som skjuts upp eller anses acceptabla på lång sikt, och ange tydligt eventuella beslut om avvikelser.

  • Driv förbättringar. Säkerhetsbaslinjen definierar dina mål, men du kanske inte kan uppfylla alla omedelbart. Dokumentera eventuella luckor och prioritera dem baserat på hur viktiga de är. Ange tydligt vilka luckor som kan accepteras på kort eller lång sikt och motivera dessa beslut.

  • Spåra dina framsteg mot baslinjen. Övervaka dina säkerhetsåtgärder mot säkerhetsbaslinjen för att identifiera trender och visa avvikelser från baslinjen. Använd automatisering där det är möjligt och använd de data som samlas in från att spåra förloppet för att identifiera och åtgärda aktuella problem och förbereda för framtida hot.

  • Ställ in skyddsräcken. Använd din säkerhetsbaslinje för att skapa och hantera skyddsmekanismer och ett styrningsramverk för dina Power Platform-arbetsbelastningar. Skyddsmekanismer genomdriver obligatoriska säkerhetskonfigurationer, tekniker och åtgärder baserat på interna faktorer och externa faktorer. Skyddsmekanismer hjälper till att minimera risken för oavsiktliga missar och straff för bristande efterlevnad. Du kan använda de inbyggda funktionerna i Power Platform-administratörscenter och Hanterade miljöer för att etablera skyddsmekanismer, eller bygga egna med hjälp av coE Starter Kit-referensimplementering eller dina egna skript/verktyg. Du kommer förmodligen att använda en kombination av användningsklara och anpassade verktyg för att konfigurera ramverket för skyddsmekanismer och styrning. Fundera på vilka delar av säkerhetsbaslinjen som kan genomdrivas proaktivt och vilka som ska övervakas reaktivt.

Utforska Microsoft Purview för Power Platform, Power Advisor, inbyggda koncept i Power Platform-administratörscenter som Datapolicyer och Isolering av klientorganisation, och referensimplementeringar som CoE Starter Kit för att implementera och framtvinga säkerhetskonfigurationer och krav på regelefterlevnad.

Utvärdera baslinjen regelbundet

Förbättra säkerhetsstandarderna kontinuerligt i riktning mot ett idealt läge för att säkerställa en kontinuerlig riskreduktion. Håll koll på de senaste säkerhetsuppdateringarna i Power Platform genom att regelbundet kontrollera produktvägledningen och meddelanden. Identifiera sedan vilka nya funktioner som kan förbättra din säkerhetsbaslinje och planera hur du implementerar dem. Alla ändringar av baslinjen måste godkännas officiellt och gå igenom lämpliga ändringshanteringsprocesser.

Mät systemet mot den nya baslinjen och prioritera åtgärder baserat på deras relevans och effekt på arbetsbelastningen.

Se till att säkerheten inte försämras med tiden genom att granska och övervaka att organisationsstandarder efterlevs.

Säkerhet i Microsoft Power Platform

Power Platform bygger på en stabil grund för säkerhet. Den använder samma säkerhetsstack som har gjort Azure till en betrodd beskyddare av världens mest känsliga data, och den integrerar med Microsoft 365s mest avancerade verktygen för informationsskydd och regelefterlevnad. Power Platform ger ett komplett skydd som är utformat för kundernas största utmaningar.

Power Platform-tjänsten regleras av villkoren för Microsoft Online Services och Microsoft sekretesspolicy för företag. Information om platsen för databearbetning finns i villkoren för Microsoft Online Services och Dataskyddstillägg.

När det gäller information om efterlevnad är Microsoft Trust Center den primära resursen för Power Platform. Mer information finns i Microsofts efterlevnadserbjudanden.

Tjänsten Power Platform följer Säkerhetsutvecklingslivscykel (SDL). SDL är en uppsättning säkerhetspraxis som stöder krav på säkerhet och regelefterlevnad. Mer information finns i Microsofts Security Development Lifecycle-metoder.

Underlätta Power Platform

Microsofts molnsäkerhetsbenchmark (MCSB) är ett omfattande ramverk med de bästa säkerhetsmetoderna som du kan använda som utgångspunkt för din säkerhetsbaslinje. Använd den tillsammans med andra resurser som ger indata till baslinjen. Mer information finns i Introduktion till Microsofts molnsäkerhetsbenchmark.

Sidan Säkerhet i Power Platform administrationscentret hjälper dig att hantera organisationens säkerhet med metodtips och en omfattande uppsättning funktioner för att säkerställa maximal säkerhet. Till exempel för att:

  • Bedöm din säkerhetsstatus: Förstå och förbättra din organisations säkerhetspolicyer för att möta dina specifika behov.
  • Agera på rekommendationer: Identifiera och implementera de mest effektiva rekommendationerna för att förbättra bedömningen.
  • Ställ in proaktiva policyer: Använd den rika uppsättningen verktyg och säkerhetsfunktioner som finns tillgängliga för att få djup synlighet, upptäcka hot och proaktivt upprätta policyer för att skydda organisationen från sårbarheter och risker.

Organisationsanpassning

Se till att den säkerhetsbaslinje som du upprättar för Power Platform är korrekt anpassad till organisationens säkerhetsbaslinjer. Arbeta tätt ihop med IT-säkerhetsteam i organisationen för att använda deras expertis.

Checklista för säkerhet

Se den fullständiga uppsättningen med rekommendationer.

Checklista för säkerhet