หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
วัตถุประสงค์หลักของทีมงานด้านความปลอดภัยไม่เปลี่ยนแปลงเมื่อมีการนำมาใช้ Power Platform อย่างไรก็ตาม วิธีการที่จะบรรลุวัตถุประสงค์เหล่านี้จะต้องมีการพัฒนาต่อไป ทีมงานด้านความปลอดภัยจะต้องดำเนินการต่อไปโดยให้ความสำคัญกับการลดความเสี่ยงทางธุรกิจจากการโจมตี และต้องแน่ใจว่าความลับ ความสมบูรณ์ และความพร้อมใช้งานนั้นถูกฝังอยู่ในระบบสารสนเทศและข้อมูลทั้งหมด
ความปลอดภัยคือการปกป้องระบบไอทีและเครือข่ายจากการโจรกรรม ความเสียหาย หรือการหยุดชะงัก Power Platform เป็นข้อเสนอระบบคลาวด์จาก Microsoft คุณเป็นเจ้าของข้อมูลของคุณเองแต่แบ่งปันการควบคุมปริมาณงานกับ Microsoft ความรับผิดชอบด้านการดำเนินงานและความปลอดภัยสำหรับภาระงานจะถูกแบ่งระหว่างคุณและ Microsoft
แผนภาพต่อไปนี้แสดงให้เห็นถึงการกระจายความรับผิดชอบด้านความปลอดภัยระหว่างคุณและ Microsoft
บทความนี้จะอธิบายหลักการและแนวทางปฏิบัติด้านความปลอดภัยที่ใช้กับ Power Platform นอกจากนี้ยังช่วยเตือนให้คุณประเมินสิ่งที่คุณกำลังทำอยู่วันนี้เพื่อรักษาความปลอดภัย Power Platform โซลูชัน และให้ขั้นตอนต่อไปในการออกแบบแผนปฏิบัติการของคุณ
มูลนิธิความปลอดภัยของ Microsoft
องค์กรไม่ได้ดำรงอยู่โดยโดดเดี่ยว พวกเขาทำงานร่วมกันและกับลูกค้าของพวกเขา พวกเขามาจากห่วงโซ่อุปทานที่สำคัญที่เราทุกคนพึ่งพา เราต้องทำงานร่วมกันเพื่อปกป้องบุคลากร ข้อมูล และโครงสร้างพื้นฐานของเรา Microsoft มีแนวทางที่กล้าหาญและครอบคลุมในการรักษาความปลอดภัยแบบครบวงจร ดีที่สุดในระดับเดียวกัน และขับเคลื่อนด้วย AI
Microsoft ได้ลงทุนมหาศาลในการรักษาความปลอดภัยตั้งแต่กลางปี 2000 วิศวกรของ Microsoft มากกว่า 3,500 คนทำงานเชิงรุกเพื่อจัดการกับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา ความปลอดภัยของ Microsoft เริ่มต้นที่ BIOS kernel บนชิปและขยายไปสู่ประสบการณ์ผู้ใช้ ทุกวันนี้ กองรักษาความปลอดภัยของเรานั้นล้ำหน้าที่สุดในอุตสาหกรรม Microsoft ถูกมองว่าเป็นผู้นำระดับโลกในการต่อสู้กับผู้มุ่งร้าย คอมพิวเตอร์หลายพันล้านเครื่อง การเข้าสู่ระบบหลายล้านล้านครั้ง และข้อมูลจำนวนนับไม่ถ้วนที่มอบหมายให้การปกป้องของ Microsoft
Microsoft ทำงานเพื่อบรรลุเป้าหมายนี้โดยมุ่งเน้นไปที่เครื่องมือและความสามารถที่รองรับเป้าหมายระดับสูงต่อไปนี้:
- ปกป้องทุกสิ่งทุกอย่าง รักษาความปลอดภัยให้กับองค์กรของคุณทั้งหมดด้วยโซลูชันการรักษาความปลอดภัยทางธุรกิจแบบบูรณาการที่ทำงานได้ดีบนแพลตฟอร์มและสภาพแวดล้อมคลาวด์ต่างๆ เป้าหมายนี้รวมถึงการทำให้โซลูชันขององค์กรของคุณเป็นส่วนหนึ่งของทรัพยากรที่ได้รับการปกป้อง Power Platform
- ลดความซับซ้อน จัดลำดับความสำคัญของความเสี่ยงให้ถูกต้องด้วยเครื่องมือการจัดการที่ใช้ประโยชน์จากความเชี่ยวชาญของมนุษย์ในบริษัทของคุณได้ดีที่สุด รวมการจัดการความปลอดภัยของแอปพลิเคชันทางธุรกิจไว้ในเครื่องมือการจัดการของคุณเพื่อหลีกเลี่ยงการเพิ่มความซับซ้อนมากขึ้น Power Platform
- จับสิ่งที่คนอื่นพลาด ใช้ AI ชั้นนำ ระบบอัตโนมัติ และความเชี่ยวชาญเพื่อค้นหาและหยุดภัยคุกคามทางไซเบอร์อย่างรวดเร็ว และเสริมความแข็งแกร่งให้กับสถานะความปลอดภัยของคุณ
เป้าหมายด้านความปลอดภัยเหล่านี้ผลักดันนวัตกรรมในผลิตภัณฑ์ด้านความปลอดภัยที่บูรณาการของ Microsoft ต่อไปนี้:
- Microsoft Defender: หยุดการโจมตีทางไซเบอร์บนอุปกรณ์ ข้อมูลประจำตัว แอป อีเมล และคลาวด์ของคุณด้วยผลิตภัณฑ์การตรวจจับและตอบสนองขยาย (XDR) ชั้นนำของอุตสาหกรรม
- Microsoft Sentinel: ก้าวล้ำหน้าภัยคุกคามทางไซเบอร์ด้วยระบบการจัดการเหตุการณ์และข้อมูลด้านความปลอดภัยที่ขับเคลื่อนด้วย AI (SIEM) ซึ่งรวบรวมข้อมูลจากองค์กรทั้งหมดของคุณเพื่อให้คุณมองเห็นภาพรวมที่ไม่มีใครเทียบได้
- Microsoft Entra:ตรวจสอบทุกคำขอข้อมูลประจำตัวและการเข้าถึงบนคลาวด์ แพลตฟอร์ม และอุปกรณ์ของคุณโดยใช้ผลิตภัณฑ์ข้อมูลประจำตัวและการเข้าถึงแบบรวม
- Microsoft Purview: ปกป้องข้อมูลทุกที่ด้วยผลิตภัณฑ์การปกป้องข้อมูล การกำกับดูแล และการปฏิบัติตามข้อกำหนดที่ออกแบบมาเพื่อทำงานร่วมกัน
- Microsoft Priva: เคารพความเป็นส่วนตัวของลูกค้าและพนักงานด้วยผลิตภัณฑ์ที่ลดความเสี่ยงและจัดการการปฏิบัติตามข้อกำหนดบนแพลตฟอร์มเดียว
- Microsoft Intune: เสริมสร้างความปลอดภัยของอุปกรณ์และเปิดใช้งานประสบการณ์การทำงานไฮบริดที่ราบรื่นด้วยกลุ่มผลิตภัณฑ์การจัดการปลายทาง
ผลิตภัณฑ์เหล่านี้ทำงานร่วมกันเพื่อสร้างการป้องกันที่แข็งแกร่งยิ่งขึ้น Power Platform สร้างขึ้นบนรากฐานนี้เพื่อเพิ่มความปลอดภัยให้กับแอปพลิเคชันทางธุรกิจที่คุณสร้างขึ้น
การรักษาความปลอดภัยใน Power Platform
Power Platform ถูกสร้างขึ้นบนรากฐานการรักษาความปลอดภัยที่แข็งแกร่ง ใช้ชุดความปลอดภัยเดียวกันที่ทำให้ Azure เป็นผู้ดูแลข้อมูลที่ละเอียดอ่อนที่สุดในโลกที่เชื่อถือได้ และบูรณาการกับเครื่องมือการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดขั้นสูงของ Microsoft 365 Power Platform มอบการป้องกันแบบครอบคลุมที่ออกแบบโดยคำนึงถึงข้อกังวลที่ท้าทายที่สุดของลูกค้า
บริการนี้อยู่ภายใต้ Power Platform ข้อกำหนดบริการออนไลน์ของ Microsoft และ คำชี้แจงความเป็นส่วนตัวขององค์กร Microsoft สำหรับตำแหน่งที่ตั้งของการประมวลผลข้อมูล โปรดอ้างอิงเงื่อนไขบริการออนไลน์ของ Microsoft และ เอกสารแนบท้ายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
ศูนย์ความเชื่อถือของ Microsoft เป็นทรัพยากรหลักสำหรับข้อมูลการปฏิบัติตามกฎระเบียบ Power Platform เรียนรู้เพิ่มเติมได้ที่ ข้อเสนอการปฏิบัติตามข้อกำหนดของ Microsoft
บริการ Power Platform เป็นไปตามวัฏจักรการพัฒนาความปลอดภัย (SDL) SDL คือชุดของแนวทางปฏิบัติที่เข้มงวดซึ่งสนับสนุนข้อกำหนดด้านการประกันความปลอดภัยและการปฏิบัติตามข้อกำหนด เรียนรู้เพิ่มเติม: แนวทางปฏิบัติวงจรชีวิตการพัฒนาความปลอดภัยของ Microsoft
เรียนรู้เพิ่มเติมเกี่ยวกับคุณลักษณะด้านความปลอดภัยแต่ละรายการและค้นหาคำตอบสำหรับคำถามด้านความปลอดภัยที่พบบ่อย:
- เอกสารความปลอดภัยและการกำกับดูแล Microsoft Power Platform
- ภาพรวมของ Power Platform ความปลอดภัย
- การจัดเก็บและการกำกับดูแลข้อมูล
- Power Platform คำถามที่ถามบ่อยเกี่ยวกับความปลอดภัย
ประเมินสถานะความปลอดภัยปัจจุบันของคุณ
การประเมินสถานะความปลอดภัยปัจจุบันของคุณเป็นสิ่งสำคัญเพื่อให้แน่ใจว่า Power Platform สภาพแวดล้อมและปริมาณงานของคุณปลอดภัยและเป็นไปตามข้อกำหนดขององค์กรและกฎระเบียบ กระบวนการนี้เกี่ยวข้องกับการประเมินมาตรการความปลอดภัย เครื่องมือ และแนวทางปฏิบัติที่มีอยู่ของคุณอย่างละเอียดถี่ถ้วน เพื่อระบุช่องว่างและพื้นที่สำหรับการปรับปรุง
ต่อไปนี้เป็นรายละเอียดเกี่ยวกับสิ่งที่การประเมินนี้ครอบคลุม:
-
เครื่องมือและเทคโนโลยีด้านความปลอดภัย: ตรวจสอบเครื่องมือและเทคโนโลยีด้านความปลอดภัยที่คุณกำลังใช้เพื่อปกป้อง Power Platform สภาพแวดล้อมของคุณ พิจารณา:
- นโยบายข้อมูล: คุณใช้นโยบายข้อมูลเพื่อป้องกันการแชร์ข้อมูลที่ไม่ได้รับอนุญาตใช่หรือไม่
- การเข้ารหัส: ข้อมูลของคุณได้รับการเข้ารหัสทั้งขณะพักและระหว่างการส่งหรือไม่
- การจัดการการระบุตัวตนและการเข้าถึง (IAM): คุณกำลังใช้คุณลักษณะขั้นสูงของ Microsoft Entra ID เช่น การเข้าถึงแบบมีเงื่อนไขหรือการจัดการการระบุตัวตนที่มีสิทธิพิเศษ (PIM) สำหรับการตรวจสอบสิทธิ์และการอนุญาตหรือไม่
-
นโยบายและแนวปฏิบัติด้านความปลอดภัย: ตรวจสอบนโยบายหรือแนวปฏิบัติด้านความปลอดภัยที่มีอยู่ที่เฉพาะเจาะจงสำหรับ Power Platform พิจารณาว่านโยบายเหล่านี้ทันสมัยและครอบคลุมเพียงพอที่จะจัดการกับภัยคุกคามในปัจจุบันหรือไม่ ประเด็นสำคัญที่ต้องประเมิน ได้แก่:
- การควบคุมการเข้าถึงของผู้ใช้: มีนโยบายที่ชัดเจนเกี่ยวกับใครสามารถเข้าถึงข้อมูลและทรัพยากรใดบ้างหรือไม่
- แนวทางการพัฒนา: คุณได้สร้างแนวทางการเขียนโค้ดที่ปลอดภัยสำหรับการพัฒนาแอปและเวิร์กโฟลว์แล้วหรือยัง? ผู้สร้างของคุณสามารถเข้าถึงแนวทางเหล่านี้ได้อย่างง่ายดายหรือไม่? คุณมีกระบวนการในการฝึกอบรมผู้ผลิตรายใหม่เกี่ยวกับแนวปฏิบัติเหล่านี้หรือไม่?
-
การติดตามและตรวจสอบ: ประเมินวิธีที่คุณติดตามและตรวจสอบกิจกรรมภายใน Power Platformในปัจจุบัน การติดตามและตรวจสอบที่มีประสิทธิภาพมีความจำเป็นสำหรับการตรวจจับและตอบสนองต่อเหตุการณ์ด้านความปลอดภัย คำถามสำคัญที่ควรถาม ได้แก่ :
- บันทึกกิจกรรม: คุณกำลังบันทึกรายละเอียดของกิจกรรมผู้ใช้และการเปลี่ยนแปลงภายในแพลตฟอร์มหรือไม่
- กลไกการแจ้งเตือน: คุณได้ตั้งค่าการแจ้งเตือนสำหรับกิจกรรมที่น่าสงสัยหรือการละเมิดนโยบายหรือไม่
-
ข้อกำหนดด้านกฎระเบียบและการปฏิบัติตาม: ระบุข้อกำหนดด้านกฎระเบียบหรือการปฏิบัติตามเฉพาะใดๆ ที่ใช้บังคับกับองค์กรของคุณ ตัวอย่างเช่น ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล (GDPR) ความสามารถในการพกพาและความรับผิดชอบของประกันสุขภาพ (HIPAA) หรือมาตรฐานเฉพาะอุตสาหกรรมอื่นๆ ตรวจสอบให้แน่ใจว่ามาตรการรักษาความปลอดภัยของคุณสอดคล้องกับข้อกำหนดเหล่านี้ Power Platform พิจารณา:
- การตรวจสอบการปฏิบัติตามข้อกำหนด: คุณดำเนินการตรวจสอบเพื่อให้มั่นใจถึงการปฏิบัติตามข้อกำหนดเป็นประจำหรือไม่
- เอกสาร: คุณมีเอกสารที่จำเป็นเพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดระหว่างการตรวจสอบหรือไม่
ประเมินประเด็นเหล่านี้และทำความเข้าใจสถานะความปลอดภัยปัจจุบันของคุณให้ชัดเจน จากนั้นพัฒนากลยุทธ์เพื่อเสริมมาตรการรักษาความปลอดภัยของคุณ
เคล็ดลับ
ทำการประเมิน Power Platform Well-Architected เพื่อตรวจสอบความปลอดภัยของการออกแบบเวิร์กโหลดของคุณ
การเข้าใจระดับความสมบูรณ์ของการรักษาความปลอดภัยของคุณถือเป็นสิ่งสำคัญสำหรับการพัฒนากลยุทธ์การรักษาความปลอดภัยที่แข็งแกร่งสำหรับ Power Platform ประเมินสถานะความปลอดภัยปัจจุบันของคุณเพื่อระบุว่าคุณอยู่ในจุดใดในแง่ของแนวทางปฏิบัติและการควบคุมด้านความปลอดภัย จัดหมวดหมู่องค์กรของคุณตามระดับความสมบูรณ์แบบที่เฉพาะเจาะจง—เริ่มต้น มีความสามารถ หรือมีประสิทธิภาพ—เพื่อสร้างฐานข้อมูลพื้นฐานที่ชัดเจน เส้นฐานนี้ช่วยให้คุณระบุรายการการดำเนินการที่เฉพาะเจาะจงซึ่งจำเป็นในการก้าวไปสู่ระดับความครบถ้วนถัดไป การจัดการกับรายการการดำเนินการเหล่านี้จะช่วยปรับปรุงมาตรการรักษาความปลอดภัยของคุณและรับประกันการปกป้องข้อมูล แอปพลิเคชัน และผู้ใช้ของคุณได้ดียิ่งขึ้น
| แรกเริ่ม | มีความสามารถ | มีประสิทธิภาพ | |
|---|---|---|---|
| การจัดการข้อมูลประจำตัวและการเข้าถึง (IAM) | ใช้ Microsoft Entra ID พื้นฐานสำหรับการยืนยันตัวตนและการควบคุมการเข้าถึงของผู้ใช้ | ใช้คุณลักษณะ ID ขั้นสูง เช่น การเข้าถึงแบบมีเงื่อนไข การจัดการข้อมูลประจำตัวที่มีสิทธิพิเศษ (PIM) และอาจรวมถึงการประเมินการเข้าถึงอย่างต่อเนื่อง (CAE) เพื่อการควบคุมการเข้าถึงแบบละเอียด Microsoft Entra | การจัดการการระบุตัวตนและการเข้าถึงที่ครอบคลุม นำกรอบการทำงานการกำกับดูแลข้อมูลประจำตัวที่สมบูรณ์มาใช้งานด้วยการจัดเตรียม/ยกเลิกการจัดเตรียม การตรวจสอบการเข้าถึง และการจัดการสิทธิ์โดยอัตโนมัติ |
| กลยุทธ์ด้านสิ่งแวดล้อม | กลยุทธ์ด้านสิ่งแวดล้อมที่จำกัด ใช้สภาพแวดล้อมไม่กี่แห่งที่มีการมอบหมายกลุ่มความปลอดภัยที่กว้างขวาง | กลยุทธ์สภาพแวดล้อมที่มีโครงสร้าง ใช้กลยุทธ์สภาพแวดล้อมที่กำหนดไว้อย่างชัดเจนโดยมีการกำหนดกลุ่มความปลอดภัยที่ชัดเจนและการควบคุมการเข้าถึงตามบทบาท (RBAC) สำหรับเวิร์กโหลดที่แตกต่างกัน | การจัดการสภาพแวดล้อมที่ได้รับการเพิ่มประสิทธิภาพ ใช้การจัดการวงจรชีวิตสภาพแวดล้อม ไพพ์ไลน์การปรับใช้ และการกำหนดเส้นทางสภาพแวดล้อมเพื่อการปรับใช้แอปพลิเคชันที่มีประสิทธิภาพและปลอดภัย |
| Dataverse ความปลอดภัย | นำบทบาทความปลอดภัยและสิทธิ์การเข้าถึงตารางพื้นฐานแบบพร้อมใช้งานมาใช้ Dataverse | ปรับแต่งบทบาทความปลอดภัย Dataverse ใช้การรักษาความปลอดภัยระดับคอลัมน์ และใช้การแชร์ระดับเรกคอร์ดเพื่อการควบคุมการเข้าถึงข้อมูลแบบละเอียด | การรักษาความปลอดภัยข้อมูลขั้นสูง: ใช้การปกปิดข้อมูล คีย์ที่จัดการโดยลูกค้า (CMK) และอาจรวมถึง Customer Lockbox เพื่อการปกป้องข้อมูลที่ได้รับการปรับปรุง ใช้ Microsoft Purview สำหรับการจำแนกประเภทและการติดฉลากข้อมูล |
| การคุ้มครองข้อมูล | มีนโยบายข้อมูลมีอยู่แล้ว แต่มีการดำเนินการเชื่อมต่อที่จำกัดและการกรองจุดปลายทางข้อมูล | DLP (การป้องกันการสูญหายของข้อมูล) ขั้นสูงและความปลอดภัยของเครือข่าย ใช้นโยบายข้อมูลขยายด้วยการควบคุมการดําเนินการของตัวเชื่อมต่อและการกรองปลายทาง ใช้ไฟร์วอลล์ IP และการสนับสนุนเครือข่ายเสมือนเพื่อแยกเครือข่าย | ความปลอดภัยเครือข่ายที่แข็งแกร่ง ใช้กลยุทธ์การป้องกันความปลอดภัยเครือข่ายเชิงลึกด้วย Azure Firewall, กลุ่มความปลอดภัยเครือข่าย (NSG) และนโยบาย Azure |
| การติดตาม | การตรวจสอบขั้นพื้นฐาน อาศัยบันทึกการตรวจสอบพื้นฐานและอาจไม่ได้รวมเข้ากับศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ที่กว้างขึ้น Power Platform | การติดตามเชิงรุก บูรณาการบันทึก Power Platform กับ Microsoft Sentinel หรือโซลูชันการจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM) ที่คล้ายกันเพื่อการตรวจจับภัยคุกคามและการตอบสนองต่อเหตุการณ์ | การป้องกันและการตรวจสอบภัยคุกคามขั้นสูง ใช้ความสามารถในการป้องกันภัยคุกคามขั้นสูง เช่น Microsoft Defender สำหรับ Cloud Apps ใช้ AI และระบบอัตโนมัติเพื่อตรวจจับและตอบสนองต่อภัยคุกคามใน SOC ของตน มีส่วนร่วมอย่างแข็งขันในวงจรชีวิตการพัฒนาความปลอดภัย (SDL) และใช้ Power Platform กรอบงานที่มีสถาปัตยกรรมที่ดี เพื่อการปรับปรุงอย่างต่อเนื่อง |
ความท้าทายด้านความปลอดภัยทั่วไปในแอปพลิเคชันทางธุรกิจ
ในยุค AI ภูมิทัศน์ของการปกป้องข้อมูลกำลังพัฒนาอย่างรวดเร็ว เนื่องจากการโจมตีมีความซับซ้อนมากขึ้น และองค์กรต่างๆ ใช้ข้อมูลในสถานการณ์ที่ขับเคลื่อนด้วย AI มากขึ้น ความต้องการในการเข้าถึงข้อมูลจึงเพิ่มมากขึ้น ในเวลาเดียวกัน กฎระเบียบและข้อกำหนดต่างๆ กำลังปรับตัวเพื่อตอบสนองความต้องการใหม่ๆ เหล่านี้ แอปพลิเคชันทางธุรกิจต้องเผชิญกับความท้าทายด้านความปลอดภัยที่เป็นเอกลักษณ์ซึ่งครอบคลุมทุกอุตสาหกรรม
ต่อไปนี้คือความท้าทายทั่วไปบางประการและวิธีช่วยแก้ไขปัญหาเหล่านั้นได้: Power Platform
- การควบคุมที่จำกัดเพื่อหยุดการโจมตี: แอปพลิเคชันทางธุรกิจส่วนใหญ่มีการควบคุมขั้นต่ำเพื่อป้องกันการโจมตีเมื่อพวกเขาเข้าถึงได้ มาตรการรักษาความปลอดภัยแบบดั้งเดิมมักจะไม่สามารถหยุดยั้งการโจมตีที่ซับซ้อนซึ่งใช้ประโยชน์จากช่องโหว่ภายในระบบได้
- ภัยคุกคามจากภายใน: ผู้โจมตีมักเป็นผู้ที่อยู่ในระบบซึ่งมีสิทธิ์ถูกต้องในการใช้ระบบ ผู้ที่อยู่ภายในองค์กรเหล่านี้รู้วิธีหลีกเลี่ยงการควบคุมภายในและใช้ประโยชน์จากข้อยกเว้นภายในองค์กร การตรวจจับและลดภัยคุกคามจากภายในต้องใช้มาตรการรักษาความปลอดภัยขั้นสูงที่เหนือกว่าการควบคุมการเข้าถึงมาตรฐาน
- การโจมตีแบบละเอียดอ่อน: การโจมตีที่ตรวจจับได้ยากที่สุดคือการโจมตีที่มีการปรับเปลี่ยนเล็กๆ น้อยๆ ซึ่งเป็นประโยชน์ต่อผู้โจมตีในขณะที่ก่อให้เกิดอันตรายต่อองค์กร การเปลี่ยนแปลงเล็กๆ น้อยๆ เหล่านี้อาจไม่ได้รับการสังเกตหากไม่มีการตรวจสอบและวิเคราะห์อย่างเข้มงวด
Power Platform นำเสนอการควบคุมความปลอดภัยและเครื่องมือต่างๆ ที่ออกแบบมาเพื่อรับมือกับความท้าทายเหล่านี้อย่างมีประสิทธิภาพ - ต่อไปนี้คือตัวอย่างบางส่วนของ Power Platform ฟีเจอร์ที่รองรับมาตรการรักษาความปลอดภัยของคุณ ตรวจสอบบทความอื่นๆ ในชุดนี้เพื่อเจาะลึกในบางพื้นที่เหล่านี้ และตรวจสอบ เอกสารความปลอดภัยและการกำกับดูแล ของเราเพื่อเรียนรู้วิธีการตั้งค่าและรักษาความปลอดภัยและการกำกับดูแลสำหรับ Power Platform
การติดตามและบูรณาการแบบครอบคลุม: การพึ่งพาการติดตามกิจกรรมภายในแอปพลิเคชันทางธุรกิจของคุณเพียงอย่างเดียวไม่เพียงพอที่จะตรวจพบปัญหา คุณต้องรวมแอปพลิเคชันเหล่านี้กับแหล่งข้อมูลอื่นเพื่อระบุและตอบสนองต่อกิจกรรมที่น่าสงสัยซึ่งอาจไม่ถูกสังเกตเห็นได้ในกรณีอื่น ตัวอย่างเช่น การเห็นว่าโฟลว์บนคลาวด์กำลังรับข้อมูลลูกค้าจาก Dataverse และการส่งอีเมลอาจไม่น่าสงสัยด้วยตัวมันเอง อย่างไรก็ตาม เมื่อนำมารวมกับสัญญาณอื่นๆ เช่น ความถี่ของการไหลของคลาวด์ ตำแหน่งทางภูมิศาสตร์ที่ผิดปกติ หรือกิจกรรมนอกเวลาทำการ คุณสามารถตรวจจับภัยคุกคามภายในที่ซับซ้อนยิ่งขึ้นได้ Power Platformการบูรณาการกับ Microsoft Sentinel ช่วยให้สามารถตรวจจับและตอบสนองภัยคุกคามขั้นสูงได้ Microsoft Sentinel สามารถระบุรูปแบบและความผิดปกติที่บ่งชี้ถึงภัยคุกคามความปลอดภัยที่อาจเกิดขึ้นได้โดยการเชื่อมโยงข้อมูลจากแหล่งต่างๆ ช่วยให้สามารถใช้มาตรการเชิงรุกเพื่อบรรเทาความเสี่ยงได้
การปกป้องข้อมูล: การใช้ นโยบายข้อมูล ภายใน Power Platform จะช่วยป้องกันการแชร์ข้อมูลที่ไม่ได้รับอนุญาตและรับประกันว่าข้อมูลที่สําคัญได้รับการป้องกัน นโยบายเหล่านี้สามารถปรับแต่งเพื่อให้ตรงตามความต้องการเฉพาะขององค์กรและข้อกำหนดการปฏิบัติตามได้ คุณลักษณะไฟร์วอลล์ IP ใน ช่วยให้ผู้ดูแลระบบสามารถกำหนดและบังคับใช้การควบคุมการเข้าถึงตาม IP เพื่อให้แน่ใจว่าเฉพาะที่อยู่ IP ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงสภาพแวดล้อม ได้ Power Platform Power Platform ด้วยไฟร์วอลล์ IP องค์กรต่างๆ สามารถบรรเทาความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงโดยไม่ได้รับอนุญาตและการละเมิดข้อมูลได้ ส่งผลให้ความปลอดภัยโดยรวมของการปรับใช้ดีขึ้น Power Platform การสนับสนุนเครือข่ายเสมือน ใน Power Platform ช่วยให้องค์กรสามารถแยกการรับส่งข้อมูลบนเครือข่ายและบังคับใช้นโยบายความปลอดภัยที่เข้มงวดได้ การรวมเครือข่ายเสมือนช่วยให้สภาพแวดล้อม Power Platform สามารถเชื่อมต่อกับเครือข่ายภายในองค์กรและบริการ Azure อื่นๆ ได้อย่างปลอดภัย เพื่อให้มั่นใจว่าข้อมูลยังคงอยู่ภายในขอบเขตของเครือข่ายที่เชื่อถือได้
การจัดการการระบุตัวตนและการเข้าถึง (IAM): ใช้ Microsoft Entra ID เพื่อการจัดการการระบุตัวตนและการเข้าถึงที่แข็งแกร่ง คุณสมบัติต่างๆ เช่น การเข้าถึงแบบมีเงื่อนไขและการตรวจสอบปัจจัยหลายประการช่วยเพิ่มความปลอดภัยโดยรับรองว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงทรัพยากรที่สำคัญได้
แนวทางการพัฒนาที่ปลอดภัย: การกำหนด แนวทางการเขียนโค้ดที่ปลอดภัย สำหรับการพัฒนาเวิร์กโหลดนั้นมีความจำเป็น ให้แน่ใจว่าผู้ผลิตของคุณเข้าถึงแนวปฏิบัตินี้ได้ง่าย และจัดการฝึกอบรมให้กับผู้ผลิตใหม่เกี่ยวกับแนวทางปฏิบัตินี้ กลยุทธ์นี้ช่วยสร้างแอปพลิเคชันที่ปลอดภัยตั้งแต่พื้นฐาน
การจัดการความปลอดภัย: การจัดการความปลอดภัย คือชุดความสามารถระดับพรีเมียมที่เสนอการป้องกันขั้นสูงและช่วยให้ผู้ดูแลระบบความปลอดภัยสามารถจัดการและรักษาความปลอดภัยการเข้าถึงข้อมูลและทรัพยากรของลูกค้าได้อย่างมีประสิทธิภาพ นำการป้องกันภัยคุกคาม การปกป้องข้อมูลและความเป็นส่วนตัว การจัดการข้อมูลประจำตัวและการเข้าถึง และความสามารถในการปฏิบัติตามข้อกำหนดที่ล้ำหน้าที่สุดของ Microsoft มารวมไว้เพื่อช่วยให้ลูกค้ารับมือกับความท้าทายด้านความปลอดภัยทางไซเบอร์ในปัจจุบัน
พิจารณาความเสี่ยงด้านความปลอดภัย 10 อันดับแรกของ OWASP
Open Worldwide Application Security Project® (OWASP) เป็นมูลนิธิไม่แสวงหากำไรที่มุ่งมั่นที่จะปรับปรุงความปลอดภัยของซอฟต์แวร์ OWASP ระบุ ความเสี่ยงด้านความปลอดภัย 10 อันดับแรก ที่เกี่ยวข้องกับแพลตฟอร์มแบบ low-code/no-code รายการนี้ได้รับการอัปเดตเป็นประจำตามคำติชมจากชุมชนด้านความปลอดภัยเพื่อให้แน่ใจว่ายังคงมีความเกี่ยวข้องและครอบคลุม
ความเสี่ยงเหล่านี้เป็นเรื่องปกติในแพลตฟอร์มแบบ low-code/no-code ทั้งหมด และการจัดการความเสี่ยงเหล่านี้ต้องใช้การผสมผสานระหว่างคุณลักษณะด้านความปลอดภัยเฉพาะแพลตฟอร์มและกระบวนการรักษาความปลอดภัยขององค์กร แม้ว่าการใช้แพลตฟอร์มแบบ low-code หรือ no-code จะช่วยบรรเทาความเสี่ยงด้านความปลอดภัยได้บางส่วน แต่ก็ไม่สามารถขจัดความเสี่ยงทั้งหมดได้
แม้ว่าคำแนะนำของ OWASP จะเป็นแนวทางทั่วไปและใช้ได้กับผลิตภัณฑ์และองค์กรใดๆ ก็ตาม แต่ Microsoft เผยแพร่คำแนะนำเฉพาะในการบรรเทาความเสี่ยงด้านความปลอดภัยแบบ low-code/no-code 10 อันดับแรกที่ปรับแต่งสำหรับ Power Platform คำแนะนำนี้ให้กลยุทธ์โดยละเอียดและแนวทางปฏิบัติที่ดีที่สุดเพื่อช่วยให้คุณรักษาความปลอดภัยสภาพแวดล้อมของคุณได้อย่างมีประสิทธิภาพ Power Platform เรียนรู้เพิ่มเติม: คำแนะนำของ Microsoft เกี่ยวกับความเสี่ยงด้านความปลอดภัยของโค้ดต่ำ/ไม่มีโค้ดสำหรับ Power Platform
การทำความเข้าใจและการจัดการความเสี่ยงด้านความปลอดภัย 10 อันดับแรกเหล่านี้ จะช่วยเพิ่มความปลอดภัยให้กับโซลูชันแบบ low-code/no-code ของคุณได้อย่างมีนัยสำคัญ พิจารณาความท้าทายด้านความปลอดภัยปัจจุบันของคุณและความสอดคล้องกับความเสี่ยงเหล่านี้ การนำมาตรการรักษาความปลอดภัยที่แนะนำมาใช้จะช่วยปกป้องข้อมูลและแอปพลิเคชันขององค์กรของคุณ ทำให้มั่นใจได้ถึงสภาพแวดล้อมที่ปลอดภัยและยืดหยุ่น Power Platform
ค้นหาระดับความเสียดทานด้านความปลอดภัยที่เหมาะสม
ค้นหาสมดุลที่เหมาะสมในมาตรการรักษาความปลอดภัยเพื่อรักษาทั้งประสิทธิภาพการทำงานและความปลอดภัยภายในองค์กรของคุณ ผู้ใช้จำเป็นต้องมีคำแนะนำด้านความปลอดภัยที่เพียงพอเพื่อปกป้องทรัพย์สินของตน แต่มาตรการที่เข้มงวดเกินไปอาจขัดขวางประสิทธิภาพของพวกเขาได้ เมื่อโปรโตคอลด้านความปลอดภัยมีความซับซ้อนเกินไปหรือไม่ได้รับการเข้าใจอย่างดี ผู้ใช้จะรู้สึกหงุดหงิดและพยายามหลีกเลี่ยง ส่งผลให้เกิดการปฏิบัติแบบ "Shadow IT" ที่มีความเสี่ยง แนวทางปฏิบัติดังกล่าวไม่เพียงแต่ทำลายความพยายามด้านความปลอดภัยเท่านั้น แต่ยังเพิ่มความเสี่ยงโดยรวมให้กับองค์กรอีกด้วย ดังนั้น จึงจำเป็นต้องใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งและเป็นมิตรต่อผู้ใช้ เพื่อให้แน่ใจว่าผู้ใช้สามารถทำงานได้อย่างมีประสิทธิภาพพร้อมทั้งรักษาความปลอดภัยสินทรัพย์ของตน
ความปลอดภัยจะสร้างความขัดแย้งซึ่งอาจทำให้กระบวนการต่างๆ ดำเนินไปช้าลง สิ่งสำคัญคือการระบุว่าองค์ประกอบใดที่เหมาะสมและองค์ประกอบใดที่ไม่เหมาะสมในกระบวนการไอทีของคุณ
แรงเสียดทานที่ดีต่อสุขภาพ: เช่นเดียวกับความต้านทานในการออกกำลังกายที่ช่วยเสริมสร้างกล้ามเนื้อ การบูรณาการแรงเสียดทานในระดับความปลอดภัยที่เหมาะสมจะช่วยเสริมสร้างระบบหรือแอปพลิเคชันด้วยการบังคับให้เกิดการคิดอย่างมีวิจารณญาณในเวลาที่เหมาะสม กระบวนการนี้เกี่ยวข้องกับการพิจารณาว่าผู้โจมตีจะพยายามบุกรุกแอปพลิเคชันหรือระบบอย่างไรและเพราะเหตุใดในระหว่างการออกแบบ (เรียกว่าการสร้างแบบจำลองภัยคุกคาม) และการตรวจสอบ ระบุ และแก้ไขช่องโหว่ที่อาจเกิดขึ้นซึ่งผู้โจมตีสามารถใช้ประโยชน์ได้ในโค้ดซอฟต์แวร์ การกำหนดค่า หรือแนวทางปฏิบัติในการทำงาน
แรงเสียดทานที่ไม่ดีต่อสุขภาพ: แรงเสียดทานที่ไม่ดีต่อสุขภาพจะขัดขวางมูลค่ามากกว่าที่จะปกป้อง ตัวอย่าง ได้แก่ ข้อบกพร่องด้านความปลอดภัยที่สร้างขึ้นโดยเครื่องมือที่ส่งกลับอัตราผลบวกปลอมที่สูง (เช่น การแจ้งเตือนเท็จ) หรือเมื่อความพยายามในการค้นพบหรือแก้ไขปัญหาความปลอดภัยเกินกว่าผลกระทบที่อาจเกิดขึ้นจากการโจมตีมาก
ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก
ความปลอดภัยควรเป็นข้อกังวลอันดับแรกของคุณเมื่อคุณเริ่ม Power Platform การรับเลี้ยงบุตรบุญธรรม ไม่ใช่เรื่องที่คิดภายหลัง การละเลยข้อกำหนดด้านความปลอดภัยอาจนำไปสู่ความเสี่ยงทางกฎหมาย การเงิน และธุรกิจที่ร้ายแรง และอาจเกิดความล่าช้าในโครงการของคุณได้ นอกจากนี้ยังสามารถส่งผลต่อความสามารถในการปรับขนาดโดยรวมและประสิทธิภาพการทำงานของโซลูชันได้อีกด้วย
ให้ความปลอดภัยเป็นเรื่องสำคัญตั้งแต่วันแรก พิจารณาผลกระทบของความปลอดภัยต่อความสามารถในการปรับขนาด ประสิทธิภาพ การปฏิบัติตาม แผนการเปิดตัว การรายงาน และด้านปฏิบัติการ รวมตัวอย่างเฉพาะเจาะจงจากแต่ละผลิตภัณฑ์ที่สร้างขึ้นจากแนวคิดที่กล่าวถึง
ขั้นตอนถัดไป
กลยุทธ์ด้านความปลอดภัยที่ครอบคลุมสำหรับการนำไปใช้สร้างกรอบงานที่ปกป้องข้อมูลที่ละเอียดอ่อน ปฏิบัติตามมาตรฐานการกำกับดูแล และรองรับการปรับขนาดขององค์กร Power Platform
ข้อมูลที่เกี่ยวข้อง
- การรักษาความปลอดภัยและการกำกับดูแลแบบ low code
- การปฏิบัติตามข้อกำหนดของ Microsoft
- เอกสารความปลอดภัยและการกำกับดูแล Microsoft Power Platform
- Microsoft Copilot Studio เอกสารความปลอดภัยและการกำกับดูแล
- Microsoft Copilot Studio ข้อเสนอการปฏิบัติตามข้อกำหนด
- คำถามที่พบบ่อยเกี่ยวกับ AI ที่มีความรับผิดชอบสำหรับ Microsoft Power Platform
- คำถามที่ถามบ่อยเกี่ยวกับ AI ที่รับผิดชอบสำหรับ Copilot Studio