Ten artykuł zawiera listę kontrolną zabezpieczeń dotyczącą kluczowych działań niezbędnych do utrzymania bezpiecznego Power Platform środowiska. Podsumowuje artykuły w tej sekcji w plan działania i obejmuje działania, takie jak ochrona danych, wykrywanie zagrożeń, zarządzanie tożsamością i dostępem oraz zgodność ze standardami regulacyjnymi. Postępując zgodnie z tą listą kontrolną, administratorzy i specjaliści ds. zabezpieczeń mogą upewnić się, że ich Power Platform wdrożenia są solidne, odporne i zgodne z najlepszymi rozwiązaniami. Niezależnie od tego, czy konfigurujesz nowe środowiska, czy ulepszasz istniejące, ten przewodnik pomoże Ci wdrożyć skuteczne środki zabezpieczeń w celu ochrony danych i aplikacji organizacji.
Zarządzanie rolami bezpieczeństwa
| Gotowy? |
Task |
| ✓ |
Zapoznaj się z obowiązkami usługodawcy jako podmiotu przetwarzającego dane oraz obowiązkami klienta jako właściciela i administratora danych. Upewnij się, że obie strony przestrzegają odpowiednich przepisów ustawowych i wykonawczych. Zapoznaj się z Power Platform architekturą, w tym środowiskami, łącznikami, Dataverse, Power Apps,i Power Automate Copilot Studio. |
| ✓ |
Zapoznaj się z wymaganiami dotyczącymi zabezpieczeń i oceń istniejące środki, narzędzia i praktyki bezpieczeństwa, aby zidentyfikować luki i obszary wymagające poprawy. Utwórz punkt odniesienia zabezpieczeń zgodny z wymaganiami dotyczącymi zgodności i standardami branżowymi. |
| ✓ |
Przejrzyj stronę Zabezpieczenia w centrum administracyjnym Power Platform i oceń zalecane akcje w celu poprawy wyniku zabezpieczeń. |
| ✓ |
Edukuj twórców i deweloperów w zakresie najlepszych praktyk w zakresie zabezpieczeń, zgodności i prywatności. Upewnij się, że materiały szkoleniowe są łatwo dostępne za pośrednictwem centralnego źródła, takiego jak witryna SharePoint lub wiki. |
| ✓ |
Definiowanie i testowanie planów reagowania na zdarzenia. Zapewnij jasne role i obowiązki w zakresie obsługi incydentów związanych z bezpieczeństwem. |
| ✓ |
Regularnie przeglądaj i aktualizuj zasady zabezpieczeń, aby dostosować je do zmieniających się zagrożeń i potrzeb biznesowych. |
Ochrona przed zagrożeniami
| Gotowy? |
Task |
| ✓ |
Użyj centrum administracyjnego Power Platform i usługi Microsoft Sentinel, aby śledzić działania użytkowników. Przeprowadzaj regularne audyty w celu wykrycia anomalii i zapewnienia zgodności. |
| ✓ |
Skonfiguruj usługę Microsoft Sentinel i skonfiguruj alerty dotyczące podejrzanych działań i naruszeń zasad. |
| ✓ |
Monitorowanie zdarzeń ryzyka związanych z tożsamością w przypadku potencjalnie naruszonych tożsamości i korygowanie tych zagrożeń |
| ✓ |
Dokładnie zbadaj incydenty związane z bezpieczeństwem, aby zrozumieć główną przyczynę i wpływ. Wykorzystaj wyniki, aby ulepszyć strategie wykrywania zagrożeń i reagowania na nie. |
| ✓ |
Definiowanie i testowanie planów reagowania na zdarzenia. Zdefiniuj jasne role i obowiązki związane z obsługą incydentów związanych z bezpieczeństwem. |
Ochrona i prywatność danych
| Gotowy? |
Task |
| ✓ |
Tworzenie zasad danych w celu kontrolowania przepływu danych między łącznikami i środowiskami. Regularnie sprawdzaj i aktualizuj zasady danych zgodnie z wymaganiami dotyczącymi zabezpieczeń. |
| ✓ |
Rozważ użycie kluczy zarządzanych przez klienta w celu uzyskania dodatkowej kontroli nad szyfrowaniem. |
| ✓ |
Uwzględnianie kwestii związanych z prywatnością podczas projektowania i tworzenia aplikacji. Upewnij się, że prywatność jest podstawowym aspektem procesu programowania. |
| ✓ |
Skonfiguruj izolację dzierżawy, aby kontrolować i ograniczać dostęp do danych między różnymi dzierżawcami. |
| ✓ |
Oceń i skonfiguruj funkcje zabezpieczeń sieci, takie jak zapora IP i sieć wirtualna. |
| ✓ |
Skonfiguruj usługę Microsoft Purview, aby odnajdywać i klasyfikować poufne dane oraz zarządzać nimi w Power Platform całym środowisku. |
| ✓ |
Korzystaj Dataverse z wbudowanego modelu zabezpieczeń RBAC, aby efektywnie zarządzać uprawnieniami użytkowników i dostępem do danych. Zaimplementuj zabezpieczenia na poziomie pola, zabezpieczenia hierarchiczne i zabezpieczenia zespołowe, aby zwiększyć ochronę danych. |
Zarządzanie tożsamościami i dostępem
| Gotowy? |
Task |
| ✓ |
Utwórz strategię zarządzania tożsamościami, która obejmuje dostęp użytkowników, konta usług, użytkowników aplikacji, wymagania federacji dotyczące logowania jednokrotnego i zasady dostępu warunkowego. |
| ✓ |
Utwórz zasady dostępu administracyjnego dla różnych ról administratora na platformie, takich jak administrator usługi i Microsoft 365 administrator. |
| ✓ |
Posiadanie niezbędnych mechanizmów kontroli do zarządzania dostępem do określonych środowisk. |
| ✓ |
Przypisywanie ról i uprawnień w oparciu o zasadę najniższych uprawnień. Korzystaj z ról zabezpieczeń, aby efektywnie zarządzać dostępem. |
Zgodność
| Gotowy? |
Task |
| ✓ |
Określ, które standardy regulacyjne mają zastosowanie do Twojej organizacji (na przykład RODO, HIPAA, CCPA, PCI Data Security Standard). Zapoznaj się ze szczegółowymi wymaganiami i obowiązkami wynikającymi z każdego rozporządzenia. |
| ✓ |
Użyj centrum administracyjnego Power Platform i usługi Microsoft Sentinel, aby śledzić działania użytkowników. Przeprowadzaj regularne audyty w celu wykrycia anomalii i zapewnienia zgodności ze standardami regulacyjnymi. |
| ✓ |
Edukuj twórców i deweloperów w zakresie wymagań prawnych i najlepszych praktyk w zakresie zgodności. |
| ✓ |
Utrzymuj szczegółowe rejestry działań związanych ze zgodnością, w tym zasady, procedury i dzienniki inspekcji. Upewnij się, że dokumentacja jest aktualna i łatwo dostępna na potrzeby audytów regulacyjnych. |
Zabezpieczenia obciążeń
| Gotowy? |
Task |
| ✓ |
Zastosowanie wskazówek dotyczących zabezpieczeń do architektury w celu ochrony poufności, integralności i dostępności danych i systemów. Zapoznaj się z zaleceniami dotyczącymi zabezpieczeń zawartymi w Power Platform dobrze zaprojektowanych wskazówkach, aby upewnić się, że obciążenie jest odporne na ataki i obejmuje wzajemnie powiązane zasady zabezpieczeń poufności, integralności i dostępności (znane również jako triada CIA) oprócz spełniania celów biznesowych. |