Consigli per stabilire una base di sicurezza
Si applica alla raccomandazione della checklist di sicurezza ben progettata: Power Platform
| SE:01 | Stabilisci una linea di base di sicurezza che sia in linea con i requisiti di conformità, agli standard di settore e ai consigli sulla piattaforma. Misura regolarmente l'architettura e le operazioni del carico di lavoro rispetto alla linea di base per sostenere o migliorare il tuo livello di sicurezza nel tempo. |
|---|
Questa guida descrive i consigli per stabilire una base di sicurezza con cui sviluppare carichi di lavoro con Microsoft Power Platform. Una base di sicurezza è un insieme di standard minimi di sicurezza e procedure consigliate che un'organizzazione applica ai propri sistemi e servizi IT. Una base di sicurezza aiuta a ridurre il rischio di attacchi informatici, violazioni dei dati e accesso non autorizzato. Una base di sicurezza aiuta inoltre a garantire coerenza, responsabilità e verificabilità all’interno dell’organizzazione.
Una buona base di sicurezza consente di:
- Ridurre il rischio di attacchi informatici, violazioni dei dati e accesso non autorizzato.
- Garantire coerenza, responsabilità e verificabilità all’interno dell’organizzazione.
- Mantenere protetti dati e sistemi
- Rispettare i requisiti normativi.
- Riduci al minimo il rischio di supervisione.
Le basi di sicurezza dovrebbero essere pubblicate ampiamente in tutta l’organizzazione in modo che tutti gli stakeholder siano consapevoli delle aspettative.
Stabilire una base di sicurezza per Microsoft Power Platform comporta diversi passaggi e considerazioni, come ad esempio:
Comprensione dell'architettura e dei componenti di Power Platform, quali ambienti, connettori, Dataverse, Power Apps, Power Automate e Copilot Studio.
Configurazione delle impostazioni e dei ruoli di sicurezza per Power Platform a livello di tenant, ambiente e risorsa, come criteri di prevenzione della perdita di dati, autorizzazioni di ambiente e gruppi di sicurezza.
Utilizzo di Microsoft Entra ID per gestire le identità utente, l'autenticazione e l'autorizzazione per Power Platform e l'integrazione con altre funzionalità Entra ID come l'accesso condizionato e l'autenticazione a più fattori.
Applicazione di metodi di protezione e crittografia dei dati per proteggere i dati archiviati ed elaborati da Power Platform, come le etichette di riservatezza e le chiavi gestite dal cliente.
Monitoraggio e verifica delle attività e dell'utilizzo di Power Platform, utilizzando strumenti quali Power Platform interfaccia di amministrazione, Ambienti gestiti, e Microsoft Purview.
Implementazione di criteri e processi di governance per Power Platform, come la definizione di ruoli e responsabilità dei diversi stakeholder, definizione dei flussi di lavoro di approvazione e gestione delle modifiche e offerta di guida e formazione per utenti e sviluppatori.
Questa guida consente di impostare una base di sicurezza che consideri sia fattori interni che esterni. I fattori interni includono le esigenze aziendali, i fattori di rischio e la valutazione delle risorse. I fattori esterni includono parametri di riferimento del settore e standard normativi. Seguendo questi passaggi e considerazioni, un'organizzazione può stabilire una base di sicurezza per Power Platform in linea con i suoi obiettivi aziendali, i requisiti di conformità e la propensione al rischio. Una base di sicurezza può aiutare un'organizzazione a massimizzare i vantaggi di Power Platform riducendo al minimo le potenziali minacce e sfide.
Definizioni
| Termine | Definizione |
|---|---|
| Linea di base | Il livello minimo di garanzie di sicurezza che un carico di lavoro deve avere per evitare di essere sfruttato. |
| Benchmark | Uno standard che indica il livello di sicurezza a cui aspira l'organizzazione. Viene valutato, misurato e migliorato nel tempo. |
| Controlli | Controlli tecnici o operativi sul carico di lavoro che aiutano a prevenire gli attacchi e ad aumentare i costi degli utenti malintenzionati. |
| Requisiti normativi | Un insieme di requisiti aziendali, basati su standard di settore, imposti dalle leggi e dalle autorità. |
Strategie di progettazione chiave
Una base di sicurezza è una linea guida che descrive i requisiti e le funzionalità di sicurezza che il carico di lavoro deve soddisfare per migliorare e mantenere la sicurezza. È possibile rendere una base più avanzata aggiungendo criteri da utilizzare per impostare i limiti. La base dovrebbe essere lo standard utilizzato per misurare il livello di sicurezza. Mira a raggiungere sempre l'intero livello di base coprendo un ampio ambito.
Crea la base di riferimento ottenendo il consenso tra i leader aziendali e tecnici. La base dovrebbe includere controlli tecnici, ma anche aspetti operativi della gestione e del mantenimento del livello di sicurezza.
Per stabilire una base di sicurezza per Power Platform, considera le seguenti strategie di progettazione chiave:
Utilizzare il Microsoft cloud security benchmark (MCSB) come framework di riferimento. MCSB è un insieme completo di procedure consigliate sulla sicurezza che copre vari aspetti della sicurezza del cloud, come la gestione delle identità e degli accessi, la protezione dei dati, la sicurezza della rete, la protezione dalle minacce e la governance. Puoi utilizzare MCSB per valutare il tuo attuale livello di sicurezza e identificare lacune e aree di miglioramento.
Personalizza MCSB per adattarlo alle tue esigenze aziendali specifiche, ai requisiti di conformità e alla propensione al rischio. Potrebbe essere necessario aggiungere, modificare o rimuovere alcuni controlli MCSB in base al contesto e agli obiettivi dell'organizzazione. Ad esempio, potresti dover allineare la tua base di sicurezza agli standard di settore (come ISO 27001 o NIST 800-53) o ai quadri normativi (come il GDPR, il regolamento generale sulla protezione dei dati o l'HIPAA, l'Health Insurance Portability and Accountability Act). pertinenti al tuo dominio o alla tua regione.
Definisci l'ambito e l'applicabilità della base di sicurezza per Power Platform. È consigliabile specificare chiaramente quali componenti, funzionalità e servizi di Power Platform sono coperti dalla base di sicurezza e quali non rientrano nell'ambito o richiedono considerazioni speciali. Ad esempio, è consigliabile definire requisiti di sicurezza diversi per diversi tipi di ambienti Power Platform (come produzione, sviluppo o sandbox), connettori (come standard, personalizzati o premium) o app (come canvas, basate su modello o pagine).
Seguendo queste strategie di progettazione, puoi creare un documento di base sulla sicurezza per Power Platform che riflette i tuoi obiettivi e standard di sicurezza e ti aiuta a proteggere i tuoi dati e le tue risorse nel cloud.
Man mano che il carico di lavoro cambia e l'ambiente cresce, è importante mantenere la base aggiornata con le modifiche per assicurarsi che i controlli di base funzionino ancora. Ecco alcuni consigli per il processo di creazione di una base di sicurezza:
cespite inventario. Identifica gli stakeholder delle risorse del carico di lavoro e gli obiettivi di sicurezza per tali risorse. Nell'inventario delle risorse, classifica in base ai requisiti di sicurezza e alla criticità. Per ulteriori informazioni sulle risorse di dati, vedi Consigli sulla classificazione dei dati.
Definire i livelli dei carichi di lavoro. Quando definisci la base di sicurezza, è importante considerare come classificare le soluzioni costruite in base alla criticità in modo da poter sviluppare processi che garantiscano che le applicazioni critiche dispongano delle barriere necessarie per supportarle e allo stesso tempo non soffocano l'innovazione degli scenari di produttività.
Valutazione del rischio. Identifica i potenziali rischi associati a ciascuna risorsa e suddividili in base alla priorità.
Requisiti di conformità. Stabilisci eventuali normative o conformità per tali risorse e applica le procedure consigliate del settore.
Standard di configurazione. Definisci e documenta configurazioni e impostazioni di sicurezza specifiche per ciascuna risorsa. Se possibile, crea un modello o trova un modo ripetibile e automatizzato per applicare le impostazioni in modo coerente in tutto l'ambiente. Considera le configurazioni a tutti i livelli. Inizia con configurazioni di sicurezza a livello di tenant relative all'accesso o alla rete. Quindi, considera configurazioni di sicurezza specifiche per le risorse di Power Platform, come configurazioni Power Pages specifiche, nonché configurazioni di sicurezza specifiche del carico di lavoro, ad esempio il modo in cui il carico di lavoro viene condiviso.
Controllo degli accessi e autenticazione. Specifica i requisiti di controllo degli accessi in base al ruolo (RBAC) e di autenticazione a più fattori (MFA). Documenta cosa significa accesso appena sufficiente a livello di risorsa. Inizia sempre con il principio del privilegio minimo.
Documentazione e comunicazione. Documenta tutte le configurazioni, i criteri e le procedure. Comunica i dettagli agli stakeholder interessati.
Applicazione e responsabilità. Stabilisci chiari meccanismi di applicazione e conseguenze in caso di mancato rispetto delle norme di sicurezza. Ritieni individui e team responsabili del mantenimento degli standard di sicurezza.
Monitoraggio continuo. Valuta l'efficacia della base di sicurezza attraverso l'osservabilità e apporta miglioramenti nel tempo.
Composizione di una base
Ecco alcune categorie comuni che dovrebbero far parte di una base. Il seguente elenco non è esaustivo. È inteso come una panoramica dell'ambito del documento
Conformità alle normative
Le tue scelte di progettazione potrebbero essere influenzate dai requisiti di conformità normativa per segmenti industriali specifici o da restrizioni geografiche. È fondamentale comprendere i requisiti di conformità normativa e includerli nell'architettura del carico di lavoro.
La base dovrebbe includere una valutazione regolare del carico di lavoro rispetto ai requisiti normativi. Sfrutta gli strumenti forniti dalla piattaforma, come Microsoft Power consulente, in grado di identificare le aree di non conformità. Collabora con il team di conformità della tua organizzazione per assicurarti che tutti i requisiti siano soddisfatti e mantenuti.
Esempio
Le organizzazioni del settore delle scienze biologiche creano soluzioni che devono soddisfare i requisiti delle buone pratiche cliniche, di laboratorio e di produzione (GxP). Puoi sfruttare l'efficienza del cloud proteggendo allo stesso tempo la sicurezza dei pazienti, la qualità dei prodotti e l'integrità dei dati. Per ulteriori informazioni, consultare le Microsoft linee guida GxP per Dynamics 365 e Power Platform.
Sebbene non esista una certificazione GxP specifica per i provider di servizi cloud, Microsoft Azure (che ospita Power Platform) è stato sottoposto a controlli di terze parti indipendenti per la gestione della qualità e la sicurezza delle informazioni, comprese le certificazioni ISO 9001 e ISO/IEC 27.001. Se stai distribuendo applicazioni su Power Platform, considera i seguenti passaggi:
- Determina i requisiti GxP applicabili al tuo sistema informativo in base all'uso previsto.
- Segui le procedure interne per i processi di qualificazione e convalida per dimostrare la conformità ai requisiti GxP.
Processi di sviluppo
La base deve contenere raccomandazioni su:
- Tipi di risorsa Power Platform approvati per l'uso.
- Monitoraggio delle risorse.
- Implementazione di funzionalità di registrazione e controllo.
- Condivisione delle risorse.
- Applicazione di criteri per l'utilizzo o la configurazione delle risorse.
- Protezione dei dati e sicurezza della rete.
Il team di sviluppo deve avere una chiara comprensione dell'ambito dei controlli di sicurezza e di come progettare e sviluppare soluzioni Power Platform con la sicurezza in mente e su come eseguire valutazioni periodiche della sicurezza. Ad esempio, l'applicazione del principio del privilegio minimo, la separazione degli ambienti di sviluppo e di produzione, l'utilizzo di connettori e gateway sicuri e la convalida di input e output degli utenti sono requisiti per garantire che il carico di lavoro sia sicuro. Comunica la modalità di identificazione di potenziali minacce e illustra in dettaglio come eseguire i controlli.
Per ulteriori informazioni, vedi Consigli sull'analisi delle minacce.
Il processo di sviluppo dovrebbe anche stabilire standard su varie metodologie di test. Per ulteriori informazioni, vedi Consigli sui test di sicurezza.
Operazioni
La base deve includere standard su come rilevare le minacce e su come lanciare avvisi su attività anomale che indicano incidenti reali.
La base dovrebbe includere raccomandazioni per l’impostazione di processi di risposta agli incidenti, inclusa la comunicazione e un piano di ripristino, e annotare quali di questi processi possono essere automatizzati per accelerare il rilevamento e l’analisi. Per alcuni esempi, vedere Microsoft benchmark sulla sicurezza del cloud: incidente risposta.
Utilizza gli standard di settore per sviluppare piani per incidenti di sicurezza e violazioni dei dati e garantire che il team operativo disponga di un piano completo da seguire quando viene rilevata una violazione. Rivolgiti alla tua organizzazione per verificare se esiste una copertura tramite l'assicurazione informatica.
Training
La formazione è fondamentale. Tieni presente che spesso chi sviluppa le applicazioni non è pienamente consapevole dei rischi per la sicurezza. Se la tua organizzazione segue corsi di formazione su come creare carichi di lavoro con Power Platform, incorpora le tue linee guida di sicurezza in tali iniziative. In alternativa, se la tua organizzazione conduce corsi di formazione sulla sicurezza a livello di tutta l'organizzazione, includi la tua base di sicurezza di Power Platform in tale formazione.
La tua formazione dovrebbe includere informazioni sulle protezioni e sulle configurazioni a livello di tenant che potrebbero avere un impatto sui carichi di lavoro in fase di creazione. Richiedono inoltre formazione sulle configurazioni che i produttori devono effettuare per i loro carichi di lavoro, come i ruoli di sicurezza e come connettersi ai dati. Determina il processo per collaborare con loro su eventuali richieste che potrebbero avere.
Sviluppa e mantieni un programma di formazione sulla sicurezza per garantire che il team del carico di lavoro sia dotato delle competenze adeguate per supportare gli obiettivi e i requisiti di sicurezza. Il team necessita di una formazione fondamentale sulla sicurezza e di una formazione sui concetti di sicurezza Power Platform.
Usa la base
Utilizza la base per guidare iniziative e decisioni. Ecco alcuni modi per utilizzare la base per promuovere miglioramenti nel livello di sicurezza del carico di lavoro:
Preparare le decisioni di progettazione. Utilizza la base di sicurezza per comprendere i requisiti e le aspettative di sicurezza per i tuoi carichi di lavoro Power Platform . Verifica che i membri del team siano informati sulle aspettative prima di iniziare la progettazione dell'architettura. Previeni costosi aggiustamenti durante la fase di implementazione assicurando che i membri del team siano consapevoli della base di sicurezza e del loro ruolo nel soddisfare i requisiti di sicurezza. Utilizza la base di sicurezza come requisito del carico di lavoro e progetta il tuo carico di lavoro entro i limiti e i vincoli definiti dalla base.
Misura il tuo progetto. Utilizza la base della sicurezza per valutare il tuo attuale livello di sicurezza e identificare lacune e aree di miglioramento. Documenta eventuali deviazioni differite o ritenute accettabili a lungo termine e indica chiaramente eventuali decisioni prese in merito alle deviazioni.
Miglioramenti dell'unità. La base della sicurezza definisce i tuoi obiettivi, ma potresti non essere in grado di raggiungerli tutti immediatamente. Documenta eventuali lacune e dai loro la priorità in base all'importanza. Specifica chiaramente quali lacune sono accettabili nel breve o nel lungo termine e motiva tali decisioni.
Tieni traccia dei tuoi progressi rispetto alla linea di base. Monitora le tue misure di sicurezza rispetto alla base di sicurezza per identificare le tendenze e rivelare le deviazioni dalla linea di base. Utilizza l'automazione ove possibile e utilizza i dati raccolti monitorando i progressi per identificare e affrontare i problemi attuali e prepararsi alle minacce future.
Installare i guardrail. Utilizza la tua base di sicurezza per stabilire e gestire barriere e un quadro di governance per i tuoi carichi di lavoro Power Platform . Le protezioni applicano le configurazioni, le tecnologie e le operazioni di sicurezza richieste, in base a fattori interni ed esterni. Le protezioni contribuiscono a ridurre al minimo il rischio di controlli involontari e di sanzioni pecuniarie in caso di non conformità. Puoi utilizzare le funzionalità predefinite nell'interfaccia di amministrazione di Power Platform e negli ambienti gestiti per stabilire protezioni o crearne di tue utilizzando l'implementazione di riferimento del CoE Starter Kit o i tuoi script/strumenti. Probabilmente utilizzerai una combinazione di strumenti predefiniti e personalizzati per impostare le tue protezioni e il framework di governance. Pensa a quali parti della tua base di sicurezza possono essere applicate in modo proattivo e quali monitorerai in modo reattivo.
Esplora Microsoft l'ambito di applicazione per Power Platform, Power consulente, i concetti integrati in Power Platform interfaccia di amministrazione come le policy sui dati e isolamento del tenant e le implementazioni di riferimento come il CoE Starter Kit per implementare e applicare configurazioni di sicurezza e requisiti di conformità.
Valuta regolarmente la base
Migliora continuamente gli standard di sicurezza verso lo stato ideale per garantire una continua riduzione del rischio. Tieni traccia degli ultimi aggiornamenti di sicurezza in Power Platform controllando regolarmente la roadmap e gli annunci. Quindi, identifica quali nuove funzionalità potrebbero migliorare la tua sicurezza di base e pianifica come implementarle. Qualsiasi modifica alla base deve essere approvata ufficialmente e passare attraverso gli appropriati processi di gestione delle modifiche.
Misura il sistema rispetto alla nuova base e dai priorità alle soluzioni correttive in base alla loro rilevanza e all'effetto sul carico di lavoro.
Verifica che la posizione di sicurezza non si degradi nel tempo istituendo controlli e monitorando la conformità agli standard organizzativi.
Sicurezza in Microsoft Power Platform
Power Platform è basato su una solita base di sicurezza. Utilizza lo stesso stack di sicurezza che consente ad Azure di essere il custode affidabile dei dati più sensibili al mondo e si integra con gli strumenti di protezione e conformità delle informazioni più avanzati di Microsoft 365. Power Platform offre una protezione end-to-end progettata in base alle preoccupazioni più impegnative dei nostri clienti:
Il Power Platform servizio è regolato dai Microsoft Termini dei servizi online e dall' Microsoft Informativa sulla privacy aziendale. Per conoscere la sede di elaborazione dei dati, fare riferimento ai Microsoft Termini dei servizi online e all' Addendum sulla protezione dei dati.
Il Microsoft Trust Center è la risorsa principale per le Power Platform informazioni sulla conformità. Per ulteriori informazioni, vedere Microsoft Offerte di conformità.
Il servizio Power Platform segue il Security Development Lifecycle (SDL). SDL è un insieme di procedure rigorose che supportano la garanzia della sicurezza e i requisiti di conformità. Per ulteriori informazioni, vedere Microsoft Pratiche del ciclo di vita dello sviluppo della sicurezza.
Facilitazione di Power Platform
Il Microsoft cloud security benchmark (MCSB) è un framework completo di best practice di sicurezza che puoi utilizzare come punto di partenza per la tua linea di base di sicurezza. Usalo insieme ad altre risorse che forniscono input alla tua base. Per ulteriori informazioni, vedere Introduzione al Microsoft benchmark sulla sicurezza del cloud.
La pagina Sicurezza in Power Platform puntare ti aiuta a gestire la sicurezza della tua organizzazione con le best practice e un set completo di funzionalità per garantire la massima sicurezza. Ad esempio, per:
- Valuta il tuo stato di sicurezza: Comprendi e migliora le policy di sicurezza della tua organizzazione per soddisfare le tue esigenze specifiche.
- Agire sulle raccomandazioni: identificare e attuare le raccomandazioni più efficaci per migliorare la valutazione.
- Imposta policy proattive: utilizza l'ampia gamma di strumenti e funzionalità di sicurezza disponibili per ottenere una visibilità approfondita, rilevare le minacce e stabilire in modo proattivo policy che aiutino a proteggere l'organizzazione da vulnerabilità e rischi.
Allineamento organizzativo
Verifica che la base di sicurezza stabilita per Power Platform sia ben allineata con le basi di sicurezza della tua organizzazione. Lavora a stretto contatto con i team di sicurezza IT della tua organizzazione per sfruttare la loro esperienza.
Informazioni correlate
- Microsoft conformità
- Microsoft Power Platform documentazione sulla sicurezza e la governance
- Microsoft Copilot Studio documentazione sulla sicurezza e la governance
- Microsoft Copilot Studio offerte di conformità
- Domande frequenti sull'intelligenza artificiale responsabile per Microsoft Power Platform
- Domande frequenti sull'intelligenza artificiale responsabile per Copilot Studio
- Panoramica del benchmark sulla sicurezza del cloud Microsoft
- Cos'è la risposta agli incidenti? Piano e passaggi
Elenco di controllo della sicurezza
Fai riferimento alla serie completa di elementi consigliati.