หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
บทความนี้ให้รายการตรวจสอบความปลอดภัยสำหรับกิจกรรมสำคัญที่จำเป็นต่อการรักษาสภาพแวดล้อมที่ปลอดภัย Power Platform สรุปบทความในส่วนนี้ให้เป็นแผนปฏิบัติการ และครอบคลุมกิจกรรมต่างๆ เช่น การปกป้องข้อมูล การตรวจจับภัยคุกคาม การจัดการข้อมูลประจำตัวและการเข้าถึง และการปฏิบัติตามมาตรฐานการกำกับดูแล โดยการปฏิบัติตามรายการตรวจสอบนี้ ผู้ดูแลระบบและผู้เชี่ยวชาญด้านความปลอดภัยจะมั่นใจได้ว่าการปรับใช้ของพวกเขาจะแข็งแกร่ง ยืดหยุ่น และสอดคล้องกับแนวทางปฏิบัติที่ดีที่สุด Power Platform ไม่ว่าคุณจะตั้งค่าสภาพแวดล้อมใหม่หรือปรับปรุงสภาพแวดล้อมที่มีอยู่ คู่มือนี้จะช่วยให้คุณนำมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพมาใช้เพื่อปกป้องข้อมูลและแอปพลิเคชันขององค์กรของคุณ
การจัดการเสถียรภาพการรักษาความปลอดภัย
| เสร็จแล้ว? | งาน |
|---|---|
| ✓ | เข้าใจความรับผิดชอบของผู้ให้บริการในฐานะผู้ประมวลผลข้อมูลและความรับผิดชอบของลูกค้าในฐานะเจ้าของและผู้ควบคุมข้อมูล ตรวจสอบให้แน่ใจว่าทั้งสองฝ่ายปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้อง ทำความคุ้นเคยกับสถาปัตยกรรมของ Power Platform รวมถึงสภาพแวดล้อม ตัวเชื่อมต่อ Dataverse, Power Apps, Power Automate และ Copilot Studio |
| ✓ | ทำความเข้าใจข้อกำหนดด้านความปลอดภัยของคุณ และประเมินมาตรการ เครื่องมือ และแนวทางปฏิบัติด้านความปลอดภัยที่มีอยู่ เพื่อระบุช่องว่างและพื้นที่สำหรับการปรับปรุง สร้างมาตรฐานความปลอดภัยที่สอดคล้องกับข้อกำหนดการปฏิบัติตามและมาตรฐานอุตสาหกรรม |
| ✓ | ตรวจสอบหน้าความปลอดภัยในศูนย์ผู้ดูแลระบบ และประเมินการดำเนินการที่แนะนำเพื่อปรับปรุงคะแนนความปลอดภัย Power Platform |
| ✓ | ให้ความรู้แก่ผู้ผลิตและนักพัฒนาเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย การปฏิบัติตามข้อกำหนด และความเป็นส่วนตัว ให้แน่ใจว่าสามารถเข้าถึงสื่อการฝึกอบรมได้อย่างง่ายดายผ่านแหล่งข้อมูลส่วนกลาง เช่น ไซต์หรือวิกิ SharePoint |
| ✓ | กำหนดและทดสอบแผนการตอบสนองต่อเหตุการณ์ ให้แน่ใจว่ามีบทบาทและความรับผิดชอบที่ชัดเจนในการจัดการเหตุการณ์ด้านความปลอดภัย |
| ✓ | ตรวจสอบและอัปเดตนโยบายความปลอดภัยเป็นประจำเพื่อให้สอดคล้องกับภัยคุกคามและความต้องการทางธุรกิจที่เปลี่ยนแปลงไป |
การป้องกันภัยคุกคาม
| เสร็จแล้ว? | งาน |
|---|---|
| ✓ | ใช้ Power Platform ศูนย์การดูแลระบบและ Microsoft Sentinel เพื่อติดตามกิจกรรมของผู้ใช้ ดำเนินการตรวจสอบเป็นประจำเพื่อตรวจจับความผิดปกติและให้แน่ใจว่าเป็นไปตามข้อกำหนด |
| ✓ | กำหนดค่า Microsoft Sentinel และตั้งค่าการแจ้งเตือนสำหรับกิจกรรมที่น่าสงสัยและการละเมิดนโยบาย |
| ✓ | ตรวจสอบเหตุการณ์ความเสี่ยงที่เกี่ยวข้องกับตัวตนบนตัวตนที่อาจถูกบุกรุกและแก้ไขความเสี่ยงเหล่านั้น |
| ✓ | ตรวจสอบเหตุการณ์ด้านความปลอดภัยอย่างละเอียดเพื่อทำความเข้าใจสาเหตุหลักและผลกระทบ ใช้ผลการค้นพบเพื่อปรับปรุงการตรวจจับภัยคุกคามและกลยุทธ์การตอบสนอง |
| ✓ | กำหนดและทดสอบแผนการตอบสนองต่อเหตุการณ์ กำหนดบทบาทและความรับผิดชอบที่ชัดเจนในการจัดการเหตุการณ์ด้านความปลอดภัย |
การปกป้องข้อมูลและความเป็นส่วนตัว
| เสร็จแล้ว? | งาน |
|---|---|
| ✓ | สร้างนโยบายข้อมูลเพื่อควบคุมโฟลว์ข้อมูลระหว่างตัวเชื่อมต่อและสภาพแวดล้อม ตรวจทานและปรับปรุงนโยบายข้อมูลอย่างสม่ําเสมอเพื่อให้สอดคล้องกับข้อกําหนดด้านความปลอดภัย |
| ✓ | พิจารณาใช้คีย์ที่จัดการโดยลูกค้าเพื่อการควบคุมการเข้ารหัสเพิ่มเติม |
| ✓ | ผสมผสานการพิจารณาเรื่องความเป็นส่วนตัวเข้าไว้ในการออกแบบและพัฒนาแอปพลิเคชัน ให้แน่ใจว่าความเป็นส่วนตัวเป็นส่วนพื้นฐานของกระบวนการพัฒนาของคุณ |
| ✓ | กำหนดค่าการแยกผู้เช่าเพื่อควบคุมและจำกัดการเข้าถึงข้อมูลระหว่างผู้เช่าที่แตกต่างกัน |
| ✓ | ประเมินและกำหนดค่าคุณสมบัติความปลอดภัยของเครือข่าย เช่น ไฟร์วอลล์ IP และเครือข่ายเสมือน |
| ✓ | ตั้งค่า Microsoft Purview เพื่อค้นหา จัดประเภท และจัดการข้อมูลที่ละเอียดอ่อนทั่วทั้งสภาพแวดล้อม Power Platform ของคุณ |
| ✓ | ใช้โมเดลความปลอดภัย RBAC ในตัวของ Dataverse เพื่อจัดการสิทธิ์ของผู้ใช้และการเข้าถึงข้อมูลอย่างมีประสิทธิภาพ นำการรักษาความปลอดภัยระดับฟิลด์ การรักษาความปลอดภัยตามลำดับชั้น และการรักษาความปลอดภัยแบบทีมมาใช้เพื่อปรับปรุงการปกป้องข้อมูล |
ระบบบริหารจัดการตัวตนและการเข้าถึงทรัพยากร
| เสร็จแล้ว? | งาน |
|---|---|
| ✓ | สร้างกลยุทธ์การจัดการข้อมูลประจำตัวที่ครอบคลุมการเข้าถึงของผู้ใช้ บัญชีบริการ ผู้ใช้แอปพลิเคชัน ข้อกำหนดการรวมสำหรับการลงชื่อเข้าใช้ครั้งเดียว และนโยบายการเข้าถึงแบบมีเงื่อนไข |
| ✓ | สร้างนโยบายการเข้าถึงการดูแลระบบสำหรับบทบาทการดูแลระบบที่แตกต่างกันบนแพลตฟอร์ม เช่น ผู้ดูแลบริการ และ Microsoft 365 ผู้ดูแลระบบ |
| ✓ | มีการควบคุมที่จำเป็นเพื่อจัดการการเข้าถึงสภาพแวดล้อมที่เฉพาะเจาะจง |
| ✓ | กำหนดบทบาทและสิทธิ์โดยยึดตามหลักการของสิทธิ์ที่น้อยที่สุด ใช้บทบาทการรักษาความปลอดภัยเพื่อจัดการการเข้าถึงอย่างมีประสิทธิภาพ |
การปฏิบัติตามกฎระเบียบ
| เสร็จแล้ว? | งาน |
|---|---|
| ✓ | กำหนดมาตรฐานการกำกับดูแลที่จะใช้กับองค์กรของคุณ (เช่น GDPR, HIPAA, CCPA, PCI Data Security Standard) เข้าใจข้อกำหนดและภาระผูกพันที่เฉพาะเจาะจงของกฎระเบียบแต่ละข้อ |
| ✓ | ใช้ศูนย์การดูแลระบบและ Microsoft Sentinel เพื่อติดตามกิจกรรมของผู้ใช้ Power Platform ดำเนินการตรวจสอบตามปกติเพื่อตรวจจับความผิดปกติและเพื่อให้เป็นไปตามมาตรฐานการกำกับดูแล |
| ✓ | ให้ความรู้แก่ผู้ผลิตและนักพัฒนาเกี่ยวกับข้อกำหนดด้านกฎระเบียบและแนวทางปฏิบัติที่ดีที่สุดในการปฏิบัติตาม |
| ✓ | รักษาบันทึกโดยละเอียดของความพยายามปฏิบัติตามข้อกำหนด รวมถึงนโยบาย ขั้นตอน และบันทึกการตรวจสอบ ตรวจสอบให้แน่ใจว่าเอกสารเป็นปัจจุบันและพร้อมใช้งานสำหรับการตรวจสอบตามกฎระเบียบ |
ความปลอดภัยของภาระงาน
| เสร็จแล้ว? | งาน |
|---|---|
| ✓ | ใช้คำแนะนำด้านความปลอดภัยกับสถาปัตยกรรมของคุณเพื่อปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลและระบบของคุณ ทบทวน คำแนะนำด้านความปลอดภัย ของ Power Platform แนวทางที่ออกแบบมาอย่างดีเพื่อให้แน่ใจว่าปริมาณงานของคุณมีความยืดหยุ่นต่อการโจมตี และรวมเอาหลักการด้านความปลอดภัยที่เกี่ยวข้องกันของความลับ ความสมบูรณ์ และความพร้อมใช้งาน (เรียกอีกอย่างว่า CIA triad) นอกเหนือจากการบรรลุเป้าหมายทางธุรกิจ |