Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a esta recomendação da lista de verificação de Segurança do Power Platform Well-Architected:
| SE:01 | Estabeleça uma linha de base de segurança alinhada com os requisitos de conformidade, as normas da indústria e as recomendações da plataforma. Meça regularmente a sua arquitetura de carga de trabalho e operações em relação à linha de base para manter ou melhorar a sua postura de segurança ao longo do tempo. |
|---|
Este guia descreve as recomendações para estabelecer uma linha de base de segurança para o desenvolvimento de cargas de trabalho com o Microsoft Power Platform. Uma linha de base de segurança é um conjunto de normas mínimas de segurança e melhores práticas que uma organização aplica aos seus sistemas e serviços de TI. Uma linha de base de segurança ajuda a reduzir o risco de ciberataques, falhas de segurança de dados e acesso não autorizado. Uma linha de base de segurança também ajuda a garantir a consistência, responsabilidade e auditabilidade em toda a organização.
Uma boa linha de base de segurança ajuda-o a:
- Reduzir o risco de ciberataques, violações de dados e acesso não autorizado.
- Assegurar a consistência, responsabilidade e auditabilidade em toda a organização.
- Manter os seus dados e sistemas seguros.
- Cumprir os requisitos regulamentares.
- Minimizar o risco de lapsos.
As linhas de base de segurança devem ser amplamente publicadas em toda a organização para que todos os intervenientes estejam cientes das expetativas.
O estabelecimento de uma linha de base de segurança para o Microsoft Power Platform envolve vários passos e considerações, tais como:
Compreender a arquitetura e os componentes de Power Platform, como ambientes, conectores, Dataverse, Power Apps, Power Automate e Copilot Studio.
Definir as definições e funções de segurança para a Power Platform ao nível do inquilino, do ambiente e dos recursos, tais como políticas de dados, permissões de ambiente e grupos de segurança.
Tirar partido do Microsoft Entra ID para gerir identidades, autenticação e autorização de utilizadores para o Power Platform, e integrar com outras funcionalidades do Entra ID, como o acesso condicional e a autenticação multifator.
Aplicar métodos de proteção de dados e encriptação para proteger os dados armazenados e processados pelo Power Platform, tais como etiqueta de confidencialidade e chaves geridas pelo cliente.
Monitorização e auditoria das atividades e utilização da Power Platform, utilizando ferramentas como o centro de administração da Power Platform, Ambientes Geridos e Microsoft Purview.
Implementar políticas e processos de governação para o Power Platform, tais como definir as funções e responsabilidades dos diferentes intervenientes, estabelecer fluxos de trabalho de aprovação e gestão de alterações, e fornecer orientação e formação para utilizadores e programadores.
Este guia ajuda-o a definir uma linha de base de segurança que considera fatores internos e externos. Os fatores internos incluem as necessidades do seu negócio, os fatores de risco e a avaliação de ativos. Os fatores externos incluem referências do setor e normas regulamentares. Seguindo estes passos e considerações, uma organização pode estabelecer uma linha de base de segurança para o Power Platform que está alinhada com os seus objetivos de negócio, requisitos de conformidade e apetência pelo risco. Uma linha de base de segurança pode ajudar uma organização a maximizar os benefícios do Power Platform enquanto minimiza as potenciais ameaças e desafios.
Definições
| Termo | Definição |
|---|---|
| Linha de Base | O nível mínimo de segurança que uma carga de trabalho deve ter para evitar ser explorada. |
| Referência | Uma norma que significa a postura de segurança a que a organização aspira. É avaliada, medida e melhorada ao longo do tempo. |
| Controlos | Controlos técnicos ou operacionais da carga de trabalho que ajudam a impedir ataques e a aumentar os custos dos atacantes. |
| Requisitos regulamentares | Um conjunto de requisitos de negócio, impulsionados por normas do setor, que as leis e autoridades impõem. |
Principais estratégias de design
Uma linha de base de segurança é uma diretriz que descreve os requisitos e as funcionalidades de segurança que a carga de trabalho tem de cumprir para melhorar e manter a segurança. Pode tornar uma linha de base mais avançada adicionando as políticas que utiliza para definir limites. A linha de base deve ser a norma que utiliza para medir o seu nível de segurança. Procure sempre atingir a linha de base completa, abrangendo um âmbito alargado.
Crie a linha de base obtendo consensos entre os líderes técnicos e de negócios. A linha de base deve incluir controlos técnicos, mas também aspetos operacionais de gestão e manutenção da postura de segurança.
Para estabelecer uma linha de base de segurança para o Power Platform, considere as seguintes estratégias de estruturação principais:
Utilize a referência de segurança de cloud da Microsoft (MCSB) como um quadro de referência. A MCSB é um conjunto abrangente de melhores práticas de segurança que abrange vários aspetos da segurança na cloud, como gestão de identidade e acesso, proteção de dados, segurança de rede, proteção contra ameaças e governação. Pode utilizar a MCSB para avaliar a sua postura de segurança atual e identificar lacunas e áreas de melhoramento.
Personalize a MCSB para adaptar às suas necessidades específicas de negócios, requisitos de conformidade e apetência pelo risco. Talvez seja necessário adicionar, modificar ou remover alguns dos controlos da MCSB com base no contexto e nos objetivos organizacionais. Por exemplo, poderá ser necessário alinhar a sua linha de base de segurança com as normas do setor (como a ISO 27001 ou a NIST 800-53) ou com quadros regulamentares (como o RGPD, o Regulamento Geral sobre a Proteção de Dados ou a HIPAA, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde) relevantes para o seu domínio ou região.
Defina o âmbito e a aplicabilidade da sua linha de base de segurança para o Power Platform. Deve especificar claramente quais componentes, funcionalidades e serviços do Power Platform são abrangidos pela linha de base de segurança e quais estão fora do âmbito ou exigem considerações especiais. Por exemplo, poderá ser necessário definir diferentes requisitos de segurança para diferentes tipos de ambiente do Power Platform (tais como produção, desenvolvimento ou sandbox), conectores (como padrão, personalizado ou premium) ou aplicações (como tela, condicionadas por modelo ou páginas).
Seguindo estas estratégias de estruturação, pode criar um documento de linha de base de segurança para o Power Platform que reflita os seus objetivos e padrões de segurança e o ajude a proteger os seus dados e ativos na cloud.
À medida que a carga de trabalho muda e o ambiente cresce, é importante manter a sua linha de base atualizada com as alterações para garantir que os controlos básicos ainda estão a funcionar. Eis algumas recomendações para o processo de criação de uma linha de base de segurança:
Inventário de ativos. Identifique os intervenientes dos ativos de carga de trabalho e os objetivos de segurança para esses ativos. No inventário de ativos, classifique por requisitos de segurança e criticidade. Para obter informações sobre ativos de dados, consulte Recomendações de classificação de dados.
Defina escalões de cargas de trabalho. Ao definir a sua linha de base de segurança, é importante considerar como irá categorizar as soluções criadas com base na criticidade para poder desenvolver processos que garantam que as aplicações críticas têm as proteções necessárias para as suportar, ao mesmo tempo que não impedem a inovação dos cenários de produtividade.
Avaliação do risco. Identifique os riscos potenciais associados a cada ativo e priorize-os.
Requisitos de conformidade. Defina a linha de base de qualquer regulamentação ou conformidade para estes ativos e aplique as melhores práticas do setor.
Normas de configuração. Defina e documente configurações e definições de segurança específicas para cada ativo. Se possível, crie um modelo ou encontre uma forma repetível e automatizada de aplicar as definições de forma consistente em todo o ambiente. Considere as configurações a todos os níveis. Comece com as configurações de segurança ao nível do inquilino relacionadas com o acesso ou a rede. Em seguida, considere as configurações de segurança específicas de recursos do Power Platform, como as configurações específicas do Power Pages, bem como as configurações de segurança específicas da carga de trabalho, como a forma como a carga de trabalho é partilhada.
Controlo de acesso e autenticação. Especifique os requisitos de controlo de acesso baseado em funções (RBAC) e da autenticação multifator (MFA). Documente o que significa apenas o acesso suficiente ao nível do ativo. Comece sempre com o princípio do menor privilégio.
Documentação e comunicação. Documente todas as configurações, políticas e procedimentos. Comunique os detalhes aos intervenientes relevantes.
Imposição e responsabilização. Estabeleça mecanismos de imposição claros e consequências para a não conformidade com a linha de base de segurança. Responsabilize os indivíduos e as equipas pela manutenção das normas de segurança.
Monitorização contínua. Avalie a eficácia da linha de base de segurança através da observabilidade e melhore ao longo do tempo.
Composição de uma linha de base
Aqui estão algumas categorias comuns que devem fazer parte de uma linha de base. A lista seguinte não é exaustiva. Pretende-se que seja uma descrição geral do âmbito do documento
Conformidade regulamentar
As suas escolhas de estrutura podem ser afetadas pelos requisitos de conformidade regulamentares para segmentos específicos da indústria ou devido a restrições geográficas. É fundamental compreender os requisitos de conformidade regulamentar e incluí-los na arquitetura da sua carga de trabalho.
A linha de base deve incluir uma avaliação regular da carga de trabalho em relação aos requisitos regulamentares. Aproveite as ferramentas da plataforma, como a página de ações do centro de administração da Power Platform, que pode identificar áreas de não conformidade e fazer recomendações. Trabalhe com a equipa de conformidade da sua organização para se certificar de que todos os requisitos são cumpridos e mantidos.
Exemplo
As organizações de ciências biológicas criam soluções que devem cumprir os requisitos de Boas Práticas Clínicas, Laboratoriais e de Fabrico (GxP). Pode aproveitar as eficiências da cloud e, ao mesmo tempo, proteger a segurança do paciente, a qualidade do produto e a integridade dos dados. Para obter mais informações, consulte as Diretrizes do Microsoft GxP para o Dynamics 365 e o Power Platform.
Embora não haja certificação do GxP específica para fornecedores de serviços cloud, o Microsoft Azure (que aloja o Power Platform) passou por auditorias independentes de terceiros para gestão de qualidade e segurança da informação, incluindo as certificações ISO 9001 e ISO/IEC 27.001. Se estiver a implementar aplicações no Power Platform, considere os seguintes passos:
- Determinar os requisitos do GxP aplicáveis ao seu sistema informatizado com base na sua utilização pretendida.
- Seguir os procedimentos internos para processos de qualificação e validação para demonstrar a conformidade com os requisitos do GxP.
Processo de desenvolvimento
A linha de base tem de ter recomendações sobre:
- Os tipos de recurso do Power Platform aprovados para serem utilizados.
- Monitorização dos recursos.
- Implementação de capacidades de registo e auditoria.
- Partilha de recursos.
- Imposição de políticas para a utilização ou configuração de recursos.
- Proteção de dados e segurança de redes.
A equipa de desenvolvimento precisa de ter uma compreensão clara do âmbito das verificações de segurança, como estruturar e desenvolver soluções do Power Platform com a segurança em mente e de como realizar avaliações de segurança regulares. Por exemplo, aplicar o princípio do menor privilégio, separar os ambientes de desenvolvimento e produção, utilizar conectores e gateways seguros e validar as entradas e saídas do utilizador são requisitos para garantir que a carga de trabalho está segura. Comunique como as ameaças potenciais podem ser identificadas e seja específico sobre como se realizam as verificações.
Para mais informações, consulte Recomendações sobre a análise de ameaças.
O processo de desenvolvimento deve também estabelecer normas sobre várias metodologias de teste. Para mais informações, consulte Recomendações sobre testes de segurança.
Operações
A linha de base deve incluir normas sobre a forma de detetar ameaças e de emitir alertas sobre atividades anómalas que indiquem incidentes reais.
A linha de base deve incluir recomendações para a configuração de processos de resposta a incidentes, incluindo comunicação e um plano de recuperação, e indicar quais desses processos podem ser automatizados para acelerar a deteção e a análise. Para obter exemplos, consulte Referência de segurança da cloud da Microsoft: Resposta a incidentes.
Utilize as normas do setor para desenvolver planos de falha de segurança de dados e incidentes de segurança e garantir que a equipa de operações tem um plano abrangente a ser seguido quando uma falha de segurança for detetada. Verifique com a sua organização se há cobertura através de um seguro cibernético.
Formação
A formação é fundamental. Tenha em mente que, muitas vezes, aqueles que desenvolvem as aplicações não estão totalmente cientes dos riscos de segurança. Se a sua organização fizer alguma formação sobre como criar cargas de trabalho com o Power Platform, incorpore a sua linha de base de segurança nesses esforços. Em alternativa, se a sua organização realizar formação de segurança ao nível da organização, inclua a linha de base de segurança do Power Platform nessa formação.
A sua formação deve incluir informações sobre proteções e configurações ao nível do inquilino que poderão afetar as cargas de trabalho que estão a ser criadas. Também requerem formação sobre as configurações que os criadores precisam de fazer para as suas cargas de trabalho, tais como direitos de acesso e como ligar a dados. Determine o processo para colaborar com eles em quaisquer pedidos que possam apresentar.
Desenvolva e mantenha um programa de formação de segurança para garantir que a equipa de carga de trabalho está equipada com as competências apropriadas para apoiar as metas e os requisitos de segurança. A equipa precisa de formação de segurança essencial e formação sobre conceitos de segurança no Power Platform.
Utilizar a linha de base
Utilize a linha de base para orientar iniciativas e decisões. Eis algumas formas de utilizar a linha de base para impulsionar melhorias na postura de segurança da carga de trabalho:
Prepare decisões de design. Utilize a linha de base de segurança para compreender os requisitos de segurança e as expetativas para as suas cargas de trabalho do Power Platform. Certifique-se de que os membros da equipa são educados sobre as expetativas antes de iniciar a estruturação da arquitetura. Impeça ajustes dispendiosos durante a fase de implementação, assegurando que os membros da equipa conhecem a linha de base de segurança e a respetivo função no cumprimento dos requisitos de segurança. Utilize a linha de base de segurança como um requisito de carga de trabalho e estruture a sua carga de trabalho dentro dos limites e restrições definidos pela linha de base.
Meça a sua estrutura. Utilize a linha de base de segurança para avaliar a sua postura de segurança atual e identificar lacunas e áreas de melhoria. Documente quaisquer desvios que sejam adiados ou considerados aceitáveis a longo prazo e indique claramente quaisquer decisões tomadas relativamente a desvios.
Promova as melhorias. A linha de base de segurança define os seus objetivos, mas poderá não conseguir atingi-los imediatamente. Documente quaisquer lacunas e priorize-as com base na importância. Especifique claramente quais as lacunas aceitáveis a curto ou longo prazo e fundamente estas decisões.
Monitorize o seu progresso em relação à linha de base. Monitorize as suas medidas de segurança em relação à linha de base de segurança para identificar tendências e revelar desvios em relação à linha de base. Utilize a automatização sempre que possível e utilize os dados recolhidos a partir da monitorização do progresso para identificar e resolver problemas atuais e preparar-se para ameaças futuras.
Defina salvaguardas. Utilize a sua linha de base de segurança para estabelecer e gerir salvaguardas e uma estrutura de governação para as suas cargas de trabalho do Power Platform. As proteções impõem as configurações, tecnologias e operações de segurança necessárias, com base em fatores internos e externos. As proteções ajudam a minimizar o risco de lapsos inadvertidos e multas punitivas por não conformidade. Você pode usar recursos prontos para uso no centro de administração da Power Platform e nos Ambientes Gerenciados para estabelecer proteções ou criar as suas próprias usando a implementação de referência do Power Platform Center of Excellence (CoE) Starter Kit ou seus próprios scripts/ferramentas. Provavelmente irá utilizar uma combinação de ferramentas prontas a utilizar e personalizadas para configurar as proteções e a estrutura de governação. Pense quais partes da linha de base de segurança podem ser aplicadas proativamente e quais monitorizará reativamente.
Explore o Microsoft Purview para o Power Platform, caraterísticas incorporadas do centro de administração do Power Platform para políticas de dados e isolamento de inquilinos, recomendações personalizadas na página de ações e implementações de referência, como o Kit de Iniciação do CoE para implementar e impor configurações de segurança e requisitos de conformidade.
Avaliar a linha de base regularmente
Melhorar continuamente as normas de segurança rumo ao estado ideal para garantir a redução contínua de riscos. Controle as atualizações de segurança mais recentes no Power Platform verificando regularmente o mapa de objetivos e os anúncios. Em seguida, identifique quais novas funcionalidades podem melhorar a sua linha de base de segurança e planeie como implementá-las. Quaisquer modificações na linha de base devem ser oficialmente aprovadas e passar pelos processos de gestão de alterações adequados.
Meça o sistema em relação à nova linha de base e priorize as remediações com base na sua relevância e no efeito na carga de trabalho.
Assegure-se de que a postura de segurança não se degrada com o tempo, instituindo a auditoria e monitorizando a conformidade com as normas organizacionais.
Segurança no Microsoft Power Platform
O Power Platform assenta numa base sólida de segurança. Utiliza a mesma pilha de segurança que posicionou o Azure como um depositário fiável dos dados mais confidenciais do mundo e integra-se com as ferramentas de proteção e conformidade de informações mais avançadas do Microsoft 365. O Power Platform fornece proteção de ponto a ponto concebida em torno das preocupações mais desafiantes dos nossos clientes.
O serviço do Power Platform é governado pelos Termos dos Serviços Online da Microsoft e a Declaração de Privacidade do Microsoft Enterprise. Para obter a localização do processamento de dados, consulte os Termos dos Serviços Online da Microsoft e a Adenda de Proteção de Dados.
O Centro de Confiança da Microsoft é o principal recurso para as informações de conformidade do Power Platform. Para obter mais informações, consulte Ofertas de Conformidade da Microsoft.
O serviço do Power Platform segue o Ciclo de Vida de Desenvolvimento Centrado na Segurança (SDL). O SDL é um conjunto de práticas rigorosas que suportam requisitos de garantia de segurança e conformidade. Para mais informações, consulte Práticas de Ciclo de Vida de Desenvolvimento de Segurança da Microsoft.
Facilitação do Power Platform
O Microsoft Cloud Security Benchmark (MCSB) é um quadro abrangente de melhores práticas de segurança que pode utilizar como ponto de partida para a sua linha de base de segurança. Utilize-o juntamente com outros recursos que fornecem contributos para a sua linha de base. Para obter mais informações, consulte Introdução à referência de segurança da cloud da Microsoft.
A página Segurança no centro de Administração do Power Platform ajuda a gerir a segurança da sua organização com melhores práticas e um conjunto abrangente de caraterísticas para garantir a máxima segurança. Por exemplo, para:
- Avaliar o estado de segurança: compreenda e melhore as políticas de segurança da sua organização para satisfazerem as suas necessidades específicas.
- Agir sobre recomendações: identifique e implemente as recomendações mais impactantes para melhorar a avaliação.
- Configurar políticas proativas: use o conjunto de ferramentas avançado e capacidades de segurança disponíveis para obter visibilidade profunda, detetar ameaças e estabelecer políticas proactivamente para ajudar a proteger a organização contra vulnerabilidades e riscos.
Alinhamento organizacional
Certifique-se de que a linha de base de segurança que estabelecer para o Power Platform está bem alinhada com as linhas de base de segurança da sua organização. Trabalhe em estreita colaboração com as equipas de segurança de TI da sua organização para tirar partido dos respetivos conhecimentos.
- Descrição geral da disciplina da Linha de Base de Segurança
- Modelo da disciplina da Linha de Base de Segurança
Informações relacionadas
- Conformidade da Microsoft
- Documentação de segurança e governação do Microsoft Power Platform
- Documentação de segurança e governação do Microsoft Copilot Studio
- Ofertas de conformidade do Microsoft Copilot Studio
- Perguntas frequentes sobre IA responsável para o Microsoft Power Platform
- FAQ sobre IA responsável para Copilot Studio
- Descrição geral da segurança da cloud da Microsoft
- O que é a resposta a incidentes? Plano e passos
- Compreender a sua postura de segurança e os seus desafios
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.