Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se à recomendação da lista de verificação Segurança Well-Architected do Power Platform:
| SE:01 | Estabeleça uma linha de base de segurança alinhada aos requisitos de conformidade, aos padrões do setor e às recomendações da plataforma. Avalie regularmente a arquitetura e as operações da carga de trabalho em relação à linha de base para sustentar ou melhorar a postura de segurança com o passar do tempo. |
|---|
Este guia descreve as recomendações para estabelecer uma linha de base de segurança para desenvolver cargas de trabalho com o Microsoft Power Platform. Uma linha de base de segurança é um conjunto de padrões de segurança mínimos e melhores práticas aplicados por uma organização aos sistemas e serviços de TI. Uma linha de base de segurança ajuda a reduzir o risco de ataques cibernéticos, violações de dados e acesso não autorizado. Uma linha de base de segurança também ajuda a garantir a consistência, a responsabilidade e a auditabilidade em toda a organização.
Uma boa linha de base de segurança ajuda você a:
- Reduza o risco de ataques cibernéticos, violações de dados e acesso não autorizado.
- Verifique a consistência, a responsabilidade e a auditabilidade em toda a organização.
- Mantenha os dados e os sistemas protegidos.
- Atenda aos requisitos regulamentares.
- Minimize o risco de esquecimento.
As linhas de base de segurança devem ser amplamente publicadas em toda a organização para que todas as partes interessadas tenham ciência das expectativas.
O estabelecimento de uma linha de base de segurança para o Microsoft Power Platform envolve diversas etapas e considerações, como:
Compreender a arquitetura e os componentes do Power Platform, como ambientes, conectores, Dataverse, Power Apps, Power Automate e Copilot Studio.
Configurando as configurações de segurança e as funções do Power Platform no nível de locatário, ambiente e recurso, como políticas de dados, permissões de ambiente e grupos de segurança.
Aproveitamento do Microsoft Entra ID para gerenciar identidades de usuário, autenticação e autorização do Power Platform, além de integração a outros recursos da ID do Entra, como acesso condicional e autenticação multifator.
A aplicação dos métodos de proteção de dados e criptografia para proteger os dados armazenados e processados pelo Power Platform, como rótulos de confidencialidade e chaves gerenciadas pelo cliente.
Monitorando e auditando as atividades e o uso do Power Platform, usando ferramentas como o Centro de administração do Power Platform, Os Ambientes Gerenciados e o Microsoft Purview.
A implementação de políticas e processos de governança do Power Platform, como a definição das funções e das responsabilidades de stakeholders diferentes, o estabelecimento dos fluxos de trabalho de aprovação e o gerenciamento de alterações, além de oferecer diretrizes e treinamento para usuários e desenvolvedores.
Este guia ajuda você a definir uma linha de base de segurança que leva em consideração fatores internos e externos. Entre os fatores internos estão as necessidades de negócios, fatores de risco e avaliação de ativos. Entre os fatores externos estão parâmetros de comparação do setor e padrões regulatórios. Seguindo essas etapas e considerações, uma organização pode estabelecer uma linha de base de segurança para o Power Platform alinhada com os objetivos de negócios, requisitos de conformidade e nível de tolerância ao risco. Uma linha de base de segurança pode ajudar uma organização a maximizar os benefícios do Power Platform ao mesmo tempo em que minimiza as ameaças e os desafios em potencial.
Definições
| Termo | Definição |
|---|---|
| Linha de base | O nível mínimo de segurança que uma carga de trabalho deve ter para evitar ser explorada. |
| Parâmetro de comparação | Um padrão que indica a postura de segurança que a organização almeja. Ela é avaliada, medida e aprimorada com o passar do tempo. |
| Controles | Controles técnicos ou operacionais sobre a carga de trabalho que ajudam a evitar ataques e aumentar custos de invasor. |
| Requisitos regulatórios | Um conjunto de requisitos de negócios, orientados por padrões do setor, impostos por leis e autoridades. |
Estratégias-chave de design
Uma linha de base de segurança é uma diretriz que descreve os requisitos e recursos de segurança que a carga de trabalho deve atender para melhorar e manter a segurança. Você pode deixar uma linha de base mais avançada adicionando políticas usadas para definir limites. A linha de base deve ser o padrão usado para medir o nível de segurança. Procure sempre atingir a linha de base completa, ao mesmo tempo em que abrange um escopo amplo.
Crie a linha de base obtendo consenso entre os líderes técnicos e de negócios. A linha de base deve incluir controles técnicos, mas também aspectos operacionais de gerenciamento e manutenção da postura de segurança.
Para estabelecer uma linha de base de segurança do Power Platform, leve em consideração as seguintes estratégias-chave de design:
Use o Microsoft Cloud Security Benchmark (MCSB) como uma estrutura de referência. O MCSB é um conjunto abrangente de melhores práticas de segurança que abrange aspectos variados de segurança na nuvem, como gerenciamento de identidade e acesso, proteção de dados, segurança de rede, proteção contra ameaças e governança. Você pode usar o MCSB para avaliar a postura de segurança atual e identificar lacunas e áreas de melhoria.
Personalize o MCSB para atender às suas necessidades de negócios específicas, requisitos de conformidade e apetite por risco. Talvez seja necessário adicionar, modificar ou remover alguns dos controles MCSB com base no contexto organizacional e nos objetivos. Por exemplo, talvez seja necessário alinhar a linha de base da segurança com padrões do setor (como ISO 27001 ou NIST 800-53) ou estruturas regulatórias (como RGPD, o Regulamento Geral sobre a Proteção de Dados, ou HIPAA, o Health Insurance Portability and Accountability Act) que sejam relevantes para o domínio ou a região.
Defina o escopo e a aplicabilidade da linha de base de segurança para o Power Platform. Você deve especificar claramente quais componentes, recursos e serviços do Power Platform têm cobertura da linha de base de segurança e quais estão fora do escopo ou exigem considerações especiais. Por exemplo, talvez seja necessário definir requisitos de segurança para diferentes tipos de ambientes do Power Platform (como produção, desenvolvimento ou área restrita), conectores (como padrão, personalizado ou premium) ou aplicativos (como tela, baseado em modelo ou páginas).
Seguindo essas estratégias de design, você pode criar um documento de linha de base de segurança para o Power Platform que reflete as metas e os padrões de segurança, além de ajudar a proteger os dados e os ativos na nuvem.
À medida que a carga de trabalho muda e o ambiente cresce, é importante manter a linha de base atualizada com as alterações para garantir que os controles básicos ainda estejam funcionando. Aqui estão algumas recomendações para o processo de criação de uma linha de base de segurança:
Estoque do ativo. Identifique os stakeholders dos ativos da carga de trabalho e os objetivos de segurança desses ativos. No inventário de ativos, classifique por requisitos de segurança e gravidade. Para obter informações sobre ativos de dados, consulte Recomendações de classificação de dados.
Definir níveis de cargas de trabalho. À medida que você define a linha de base de segurança, é importante levar em consideração como você vai categorizar as soluções compiladas com base na gravidade, de maneira que possa desenvolver processos que garantam que os aplicativos críticos tenham as proteções necessárias para dar suporte a eles e, ao mesmo tempo, não asfixiem a inovação dos cenários de produtividade.
Avaliação de risco. Identifique os riscos em potencial associados a cada ativo e os priorize.
Requisitos de conformidade. Estabeleça uma base regulatória ou de conformidade para esses ativos e aplique as melhores práticas do setor.
Padrões de configuração. Defina e documente configurações e definições de segurança específicas para cada ativo. Se possível, crie um modelo ou encontre uma maneira repetível e automatizada de aplicar as configurações de maneira consistente no ambiente. Leve em consideração as configurações em todos os níveis. Comece com as configurações de segurança no nível de locatário relacionadas ao acesso ou à rede. Em seguida, leve em consideração as configurações de segurança específicas do recurso do Power Platform, como configurações do Power Pages específicas, bem como configurações de segurança específicas da carga de trabalho, como a maneira como a carga de trabalho é compartilhada.
Controle de acesso e autenticação. Especifique os requisitos de controle de acesso baseado em função (RBAC) e autenticação multifator (MFA). Documente o que somente acesso suficiente significa no nível do ativo. Comece sempre pelo princípio do privilégio mínimo.
Documentação e comunicação. Documente todas as configurações, políticas e procedimentos. Comunique os detalhes aos stakeholders relevantes.
Imposição e responsabilização. Estabeleça mecanismos de imposição claros e consequências para a não conformidade com a linha de base de segurança. Responsabilize indivíduos e equipes pela manutenção dos padrões de segurança.
Monitoramento contínuo. Avalie a eficácia da linha de base de segurança por meio da observabilidade e faça melhorias com o passar do tempo.
Composição de uma linha de base
Aqui estão algumas categorias comuns que devem fazer parte de uma linha de base. A lista a seguir não é abrangente. Ela se destina a ser uma visão geral do escopo do documento
Conformidade regulatória
As opções de design podem ser afetadas por requisitos de conformidade regulatória para segmentos de setor específico ou por causa de restrições geográficas. É fundamental compreender os requisitos de conformidade regulatória e incluí-los na arquitetura da carga de trabalho.
A linha de base deve incluir uma avaliação regular da carga de trabalho em relação aos requisitos regulatórios. Aproveite as ferramentas de plataforma, como a página de ações do centro de administração do Power Platform, que pode identificar áreas de não conformidade e fazer recomendações. Trabalhe com a equipe de conformidade da organização para garantir que todos os requisitos sejam atendidos e mantidos.
Exemplo
As organizações de ciências naturais compilam soluções que devem atender aos requisitos de Good Clinical, Laboratory, and Manufacturing Practices (GxP). Você pode aproveitar as eficiências da nuvem, ao mesmo tempo em que protege a segurança do paciente, a qualidade do produto e a integridade dos dados. Para obter mais informações, consulte as Diretrizes do Microsoft GxP para Dynamics 365 e Power Platform.
Embora não haja uma certificação GxP específica para provedores de serviços da nuvem, o Microsoft Azure (que hospeda o Power Platform) passou por auditorias de terceiros independentes para gerenciamento de qualidade e segurança da informação, inclusive certificações ISO 9001 e ISO/IEC 27.001. Se você estiver implantando aplicativos no Power Platform, leve em consideração as seguintes etapas:
- Determine os requisitos de GxP aplicáveis ao sistema computadorizado com base no uso desejado.
- Siga os procedimentos internos para processos de qualificação e validação a fim de demonstrar a conformidade com os requisitos de GxP.
Processos de desenvolvimento
A linha de base deve ter recomendações sobre:
- Os tipos de recurso do Power Platform aprovados para serem usados.
- Monitoramento dos recursos.
- Implementação de capacidades de registro em log e auditoria.
- Compartilhamento de recursos.
- Imposição das políticas de uso ou configuração de recursos.
- Proteção de dados e segurança de rede.
A equipe de desenvolvimento precisa ter uma compreensão clara do escopo das verificações de segurança, de como projetar e desenvolver soluções do Power Platform com a segurança em mente e de como realizar avaliações de segurança regulares. Por exemplo, a aplicação do princípio do privilégio mínimo, a separação dos ambientes de produção e desenvolvimento, o uso de conectores e gateways seguros e a validação das entradas e saídas do usuário são requisitos para garantir que a carga de trabalho esteja segura. Comunique como as ameaças em potencial podem ser identificadas e seja específico quanto à maneira de realizar as verificações.
Para obter mais informações, consulte Recomendações sobre a análise de ameaças.
O processo de desenvolvimento também deve estabelecer padrões sobre metodologias de teste variadas. Para obter mais informações, consulte Recomendações sobre testes de segurança.
Operações
A linha de base deve incluir padrões sobre como detectar ameaças e como gerar alertas sobre atividades anômalas que indiquem incidentes reais.
A linha de base deve incluir recomendações para a configuração dos processos de resposta a incidentes, inclusive comunicação e um plano de recuperação, além de observar quais desses processos podem ser automatizados para agilizar a detecção e a análise. Para obter exemplos, consulte Microsoft Cloud Security Benchmark: resposta a incidentes.
Use os padrões do setor para desenvolver planos de incidentes de segurança e violação de dados, além de garantir que a equipe de operações tenha um plano abrangente a ser seguido quando uma violação for descoberta. Consulte a organização para saber se há cobertura do seguro cibernético.
Treinamento
O treinamento é crítico. Tenha em mente que, muitas vezes, aqueles que desenvolvem os aplicativos não estão totalmente cientes dos riscos à segurança. Se a organização realiza algum treinamento sobre como compilar cargas de trabalho com o Power Platform, incorpore a linha de base de segurança a esses esforços. Como alternativa, se a organização realiza um treinamento de segurança em toda a organização, inclua a linha de base de segurança do Power Platform nesse treinamento.
O treinamento deve incluir educação sobre proteções em todo o locatário e configurações que possam afetar as cargas de trabalho que estão sendo compiladas. Eles também exigem treinamento sobre configurações que os criadores precisam fazer para as cargas de trabalho, como funções de segurança e como se conectar aos dados. Determine o processo para colaborar com eles em todas as solicitações que possam ter.
Desenvolva e mantenha um programa de treinamento de segurança para garantir que a equipe da carga de trabalho esteja equipada com as habilidades indicadas para dar suporte às metas e aos requisitos de segurança. A equipe precisa de treinamento em segurança fundamental e treinamento sobre conceitos de segurança no Power Platform.
Usar a linha de base
Use a linha de base para orientar iniciativas e decisões. Aqui estão algumas maneiras de usar a linha de base para orientar melhorias na postura de segurança da carga de trabalho:
Prepare decisões de design. Use a linha de base da segurança para compreender os requisitos de segurança e as expectativas para as cargas de trabalho do Power Platform. Verifique se os membros da equipe receberam instrução sobre as expectativas antes de iniciar o design de arquitetura. Evite ajustes caros durante a fase de implementação, garantindo que os membros da equipe estejam cientes da linha de base da segurança e da função no atendimento aos requisitos de segurança. Use a linha de base de segurança como um requisito da carga de trabalho e projete a carga de trabalho dentro dos limites e restrições definidos pela linha de base.
Avalie o design. Use a linha de base de segurança para avaliar a postura de segurança atual e identificar lacunas e áreas de melhoria. Documente eventuais desvios adiados ou considerados aceitáveis a longo prazo e indique claramente eventuais decisões tomadas em relação aos desvios.
Gere melhorias. A linha de base de segurança define as metas, mas talvez você não consiga atingi-las todas imediatamente. Documente eventuais lacunas e as priorize com base na importância. Especifique claramente quais lacunas são aceitáveis a curto ou longo prazo e fundamente essas decisões.
Acompanhe o progresso em relação à linha de base. Monitore as medidas de segurança em relação à linha de base da segurança para identificar tendências e revelar desvios em relação à linha de base. Use a automação sempre que possível e use os dados coletados do acompanhamento do progresso para identificar e resolver problemas atuais e se preparar para ameaças futuras.
Defina verificadores de integridade. Use a linha de base da segurança para estabelecer e gerenciar proteções e uma estrutura de governança para as cargas de trabalho do Power Platform. As proteções impõem configurações, tecnologias e operações de segurança necessárias, com base em fatores internos e externos. As grades de proteção ajudam a minimizar o risco de esquecimento inadvertido e multas punitivas por não conformidade. Você pode usar recursos prontos para uso no Centro de administração do Power Platform e nos Ambientes Gerenciados para estabelecer verificadores de integridade, ou compilar os próprios recursos usando a implementação de referência do Kit de Início do CoE (Centro de Excelência) do Power Platform ou os próprios scripts/ferramentas. Você provavelmente vai usar uma combinação de ferramentas out-of-the-box e personalizadas para configurar as proteções e a estrutura de governança. Pense em quais partes da linha de base de segurança podem ser impostas proativamente e quais você vai monitorar de maneira reativa.
Conheça o Microsoft Purview para Power Platform, os recursos internos do Centro de administração do Power Platform para políticas de dados e isolamento do locatário, as recomendações personalizadas na página de ações e implementações de referência, como o Kit de Início do CoE, para implementar e impor configurações de segurança e requisitos de conformidade.
Avaliar regularmente a linha de base
Melhorar continuamente os padrões de segurança em direção ao estado ideal para garantir uma redução de riscos contínua. Acompanhe as atualizações de segurança feitas mais recentemente no Power Platform verificando regularmente o roteiro e os anúncios. Em seguida, identifique quais novos recursos podem aprimorar a linha de base de segurança e planeje como implementá-los. Quaisquer modificações feitas na linha de base devem ser aprovadas oficialmente e passar pelos processos de gerenciamento de alterações indicados.
Meça o sistema em relação à nova linha de base e priorize as correções com base na relevância e no efeito sobre a carga de trabalho.
Verifique se a postura de segurança não se degrada com o passar do tempo instituindo a auditoria e monitorando a conformidade com os padrões organizacionais.
Segurança no Microsoft Power Platform
O Power Platform é construído sobre uma base sólida de segurança. Ele usa a mesma pilha de segurança que deixou o Azure na posição de detentor confiável dos dados mais confidenciais do mundo e se integra às ferramentas de conformidade e proteção de informações mais avançadas do Microsoft 365. O Power Platform oferece proteção de ponta a ponta projetada com base nas preocupações mais desafiadoras de nossos clientes na era da nuvem.
O serviço do Power Platform é controlado pelos Termos dos Serviços Online da Microsoft e a Política de Privacidade da Microsoft Empresarial. Para o local de processamento de dados, consulte os Termos de Serviços Online da Microsoft e o Adendo de Proteção de Dados.
O Microsoft Trust Center é o principal recurso para obter informações de conformidade do Power Platform. Para obter mais informações, consulte Ofertas de Conformidade da Microsoft.
O serviço do Power Platform segue o Security Development Lifecycle (SDL). O SDL é um conjunto de práticas rígidas que permitem a garantia de segurança e os requisitos de conformidade. Para obter mais informações, consulte Microsoft Security Development Lifecycle Practices.
Facilitação do Power Platform
O Microsoft Cloud Security Benchmark (MCSB) é uma estrutura abrangente de melhores práticas de segurança que você pode usar como ponto de partida para a linha de base da segurança. Use-o com outros recursos que ofereçam entrada para a linha de base. Para obter mais informações, consulte Introdução ao Microsoft Cloud Security Benchmark.
A página Segurança no Centro de administração do Power Platform ajuda você a gerenciar a segurança da organização com as melhores práticas e um conjunto abrangente de recursos para garantir a segurança máxima. Por exemplo, para:
- Avaliar o status de segurança: compreenda e melhore as políticas de segurança da organização para atender às necessidades específicas.
- Agir de acordo com as recomendações: identifique e implemente as recomendações mais impactantes para melhorar a avaliação.
- Configurar políticas proativas: use o conjunto avançado de ferramentas e recursos de segurança disponíveis para obter visibilidade aprofundada, detectar ameaças e estabelecer políticas de maneira proativa para ajudar a proteger a organização contra vulnerabilidades e riscos.
Alinhamento organizacional
Verifique se a linha de base de segurança estabelecida por você para o Power Platform está bem alinhada com as linhas de base de segurança da organização. Trabalhe em estreita colaboração com as equipes de segurança de TI na organização para aproveitar o conhecimento.
- Visão geral da disciplina da linha de base da segurança
- Modelo de disciplina da linha de base da segurança
Informações relacionadas
- Conformidade da Microsoft
- Documentação de segurança e governança do Microsoft Power Platform
- Documentação de segurança e governança do Microsoft Copilot Studio
- Oferta de conformidade do Microsoft Copilot Studio
- Perguntas frequentes sobre IA Responsável para o Microsoft Power Platform
- Perguntas Frequentes sobre IA Responsável para o Copilot Studio
- Visão geral do parâmetro de comparação da segurança do Microsoft Cloud
- O que é resposta a incidentes? Plano e etapas
- Entender sua postura de segurança e os desafios
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.