Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Kernemålene for sikkerhedsteams ændres ikke med vedtagelsen af Power Platform. Metoderne til at nå disse mål vil dog udvikle sig. Sikkerhedsteams skal fortsætte med at prioritere at reducere forretningsrisikoen fra angreb og sikre, at fortrolighed, integritet og tilgængelighed er indlejret i alle informationssystemer og data.
Sikkerhed er beskyttelse af it-systemer og netværk mod tyveri, beskadigelse eller afbrydelse. Power Platform er et cloudtilbud fra Microsoft. Du ejer dine data, men deler styringen af arbejdsbelastninger med Microsoft. Drifts- og sikkerhedsansvaret for arbejdsbelastninger er opdelt mellem dig og Microsoft.
I følgende diagram illustreres det, hvordan sikkerhedsansvar fordeles mellem dig og Microsoft.
I denne artikel forklares de sikkerhedsprincipper og -praksisser, der gælder for Power Platform. Den beder dig også om at vurdere, hvad du gør i dag for at sikre Power Platform løsninger, og giver dig de næste trin til at designe din handlingsplan.
Microsoft sikkerhedsfundament
Organisationer eksisterer ikke isoleret. De arbejder med hinanden og deres kunder. De kommer fra de vitale forsyningskæder, vi alle er afhængige af. Vi er nødt til at arbejde sammen for at beskytte vores medarbejdere, data og infrastruktur. Microsoft tager en modig, omfattende tilgang til sikkerhed, der er komplet, bedst i racen og AI-drevet.
Microsoft har foretaget massive investeringer i sikkerhed siden midten af 2000'erne. Mere end 3.500 Microsoft teknikere arbejder proaktivt for at håndtere det stadigt skiftende trusselslandskab. Microsoft sikkerhed starter ved BIOS-kernen på chippen og udvider hele vejen op til brugeroplevelsen. I dag er vores sikkerhedsstak den mest avancerede i branchen. Microsoft betragtes bredt som den globale leder i kampen mod ondsindede aktører. Milliarder af computere, billioner af logins og zettabyte data er betroet til Microsoft beskyttelse.
Microsoft arbejder mod dette mål ved at fokusere på værktøjer og funktioner, der understøtter følgende mål på højt niveau:
- Beskyt alt. Beskyt hele din organisation med integrerede sikkerhedsløsninger til virksomheder, der fungerer godt på tværs af platforme og cloudmiljøer. Dette mål omfatter at gøre din organisations Power Platform løsninger til en del af dine beskyttede ressourcer.
- Forenkle det komplekse. Prioriter de rigtige risici med ledelsesværktøjer, der udnytter den menneskelige ekspertise i din virksomhed bedst muligt. Medtag sikkerhedsstyring af Power Platform forretningsapplikationer i dine administrationsværktøjer for at undgå at tilføje mere kompleksitet.
- Fang det, som andre går glip af. Brug førende AI, automatisering og ekspertise til hurtigt at finde og stoppe cybertrusler og styrke din sikkerhedsposition.
Disse sikkerhedsmål er drivkraften bag innovationen i følgende Microsoft integrerede sikkerhedsprodukter:
- Microsoft Defender: Stop cyberangreb på dine enheder, identiteter, apps, mail og cloudmiljøer med brancheførende XDR-produkter (Extended Detection and Response).
- Microsoft Sentinel: Vær på forkant med cybertrusler med AI-drevne sikkerhedsoplysninger og SIEM (Event Management), der samler data fra hele virksomheden for at give dig uovertruffen synlighed.
- Microsoft Entra: Kontrollér alle identitets- og adgangsanmodninger på tværs af dine cloudmiljøer, platforme og enheder med et samlet sæt identitets- og adgangsprodukter.
- Microsoft Purview: Beskyt data, uanset hvor de er, med produkter til beskyttelse af oplysninger, styring og overholdelse af angivne standarder, der er designet til at arbejde sammen.
- Microsoft Priva: Respekter kunde- og medarbejderbeskyttelse med produkter, der reducerer risikoen og administrerer overholdelse af angivne standarder på en enkelt platform.
- Microsoft Intune: Styrk enhedssikkerheden, og giv mulighed for problemfri hybride arbejdsoplevelser med en række slutpunktsstyringsprodukter.
Disse produkter arbejder sammen for at danne et stærkere forsvar. Power Platform bygger på dette fundament for at tilføje sikkerhed til de forretningsprogrammer, du opretter.
Sikkerhed i Power Platform
Power Platform er baseret på et stærkt sikkerhedsfundament. Den bruger den samme sikkerhedsstak, der positioner Azure som en pålidelig vogter af verdens mest følsomme data og integreres med Microsoft 365 avancerede værktøjer til beskyttelse af oplysninger og overholdelse af angivne standarder. Power Platform leverer total beskyttelse, der er designet efter vores kunders mest udfordrende behov.
Power Platform-tjenesten er underlagt vilkårene for Microsoft Onlinetjenester og Microsoft Enterprise-erklæring om beskyttelse af personlige oplysninger. Se vilkår for Microsoft onlinetjenester og Data Protection Addendum for at få oplysninger om databehandlingens placering.
Microsoft Sikkerhedscenter er den primære ressource for Power Platform-oplysninger om overholdelse af angivne standarder. Få mere at vide i Microsoft Overholdelsestilbud.
Tjenesten Power Platform følger SDL-livscyklus for sikkerhedsudvikling (Security Development Lifecycle). SDL er en række strenge fremgangsmåder, der understøtter krav til sikkerhed og overholdelse af angivne standarder. Få mere at vide: Microsoft Security Development Lifecycle Practices
Få mere at vide om individuelle sikkerhedsfunktioner, og find svar på ofte stillede sikkerhedsspørgsmål:
- Microsoft Power Platform dokumentation til sikkerhed og styring
- Overblik over Power Platform sikkerhed
- Datalagring og -styring
- Ofte stillede spørgsmål om Power Platform-sikkerhed
Evaluer din nuværende sikkerhedstilstand
Det er vigtigt at evaluere din aktuelle sikkerhedstilstand for at sikre, at dine Power Platform miljøer og arbejdsbelastninger er sikre og overholder organisatoriske og lovmæssige krav. Denne proces involverer grundig vurdering af dine eksisterende sikkerhedsforanstaltninger, værktøjer og praksis for at identificere huller og områder, der kan forbedres.
Her er et detaljeret kig på, hvad denne evaluering indebærer:
-
Sikkerhedsværktøjer og -teknologier: Undersøg de sikkerhedsværktøjer og -teknologier, du i øjeblikket bruger til at beskytte dit Power Platform miljø. Overvej:
- Datapolitikker: Bruger du datapolitikker til at forhindre uautoriseret datadeling?
- Kryptering: Er dine data krypteret både i hvile og under overførsel?
- Identity and Access Management (IAM): Bruger du avancerede funktioner i Microsoft Entra ID, f.eks. Betinget adgang eller Privileged Identity Management (PIM), til godkendelse og godkendelse?
-
Sikkerhedspolitikker og retningslinjer: Gennemgå eventuelle eksisterende sikkerhedspolitikker eller retningslinjer, der er specifikke for Power Platform. Overvej, om disse politikker er opdaterede og omfattende nok til at imødegå aktuelle trusler. Nøgleområder at evaluere omfatter:
- Brugeradgangskontrol: Er der klare politikker for, hvem der kan få adgang til hvilke data og ressourcer?
- Retningslinjer for udvikling: Har du etableret sikker kodningspraksis til udvikling af apps og arbejdsgange? Er disse retningslinjer let tilgængelige for dine udviklere? Har du processer på plads til at uddanne nye producenter i disse retningslinjer?
-
Overvågning og revision: Vurder, hvordan du i øjeblikket overvåger og reviderer aktiviteter inden for Power Platform. Effektiv overvågning og revision er afgørende for at opdage og reagere på sikkerhedshændelser. Vigtige spørgsmål at stille omfatter:
- Aktivitetslogfiler: Registrerer du detaljerede logfiler over brugeraktiviteter og ændringer på platformen?
- Advarselsmekanismer: Har du konfigureret beskeder om mistænkelige aktiviteter eller politikovertrædelser?
-
Lovmæssige krav og krav til overholdelse af angivne standarder: Identificer eventuelle specifikke lovmæssige krav eller krav til overholdelse af angivne standarder, der gælder for din organisation. For eksempel General Data Protection Regulation (GDPR), Health Insurance Portability and Accountability (HIPAA) eller andre branchespecifikke standarder. Sørg for, at dine Power Platform sikkerhedsforanstaltninger er i overensstemmelse med disse krav. Overvej:
- Compliance-revisioner: Gennemfører du regelmæssigt revisioner for at sikre overholdelse?
- Dokumentation: Har du den nødvendige dokumentation til at demonstrere overholdelse under revisioner?
Evaluer disse aspekter og få en klar forståelse af din nuværende sikkerhedsstilling, og udvikl derefter en strategisk plan for at forbedre dine sikkerhedsforanstaltninger.
Tips
Tag Power Platform Well-Architected-vurderingen for at undersøge sikkerheden i dine arbejdsbelastningsdesign.
At forstå dit sikkerhedsmodenhedsniveau er afgørende for at udvikle en robust sikkerhedsstrategi for Power Platform. Vurder din nuværende sikkerhedsstilling for at identificere, hvor du står med hensyn til sikkerhedspraksis og -kontroller. Kategoriser din organisation i et bestemt modenhedsniveau – oprindelig, kompetent eller effektiv – for at etablere en klar baseline. Denne oprindelige plan hjælper dig med at identificere specifikke handlingspunkter, der er nødvendige for at gå videre til det næste modenhedsniveau. Ved at adressere disse handlingspunkter forbedrer du dine sikkerhedsforanstaltninger og sikrer bedre beskyttelse af dine data, applikationer og brugere.
| Oprettet | Dygtig | Effektiv | |
|---|---|---|---|
| Identitets- og adgangsstyring (IAM) | Bruger grundlæggende Microsoft Entra ID til brugergodkendelse og adgangskontrol. | Bruger avancerede Microsoft Entra ID-funktioner, f.eks. Betinget adgang, Privileged Identity Management (PIM) og potentielt CAE (Continuous Access Evaluation) til detaljeret kontrol over adgang. | Omfattende identitets- og adgangsstyring. Implementerer en moden identitetsstyringsstruktur med automatiseret klargøring/fjernelse, adgangsgennemgange og rettighedsstyring. |
| Miljøstrategi | Begrænset miljøstrategi. Anvender nogle få miljøer med brede sikkerhedsgruppetildelinger. | Struktureret miljøstrategi. Bruger en veldefineret miljøstrategi med klare sikkerhedsgruppetildelinger og rollebaseret adgangskontrol (RBAC) til forskellige arbejdsbelastninger. | Optimeret miljøstyring. Bruger administration af miljølivscyklus, udrulningspipelines og potentielt miljørouting til effektiv og sikker programudrulning. |
| Dataverse sikkerhed | Implementerer indbyggede Dataverse sikkerhedsroller og grundlæggende tabeltilladelser. | Tilpasser Dataverse sikkerhedsroller, implementerer sikkerhed på kolonneniveau og bruger deling på postniveau til detaljeret dataadgangskontrol. | Avanceret datasikkerhed: Implementerer datamaskering, kundeadministrerede nøgler (CMK) og potentielt Customer Lockbox for forbedret databeskyttelse. Bruger Microsoft Purview til dataklassificering og mærkning. |
| Databeskyttelse | Har datapolitikker på plads, men med begrænsede connectorhandlinger og slutpunktsfiltrering. | Avanceret DLP (forebyggelse af datatab) og Netværkssikkerhed. Anvender udvidede datapolitikker med connectorhandlingskontrol og slutpunktsfiltrering. Implementerer IP-firewall og potentielt understøttelse af virtuelle netværk til netværksisolering. | Robust netværkssikkerhed. Implementerer en dybdegående forsvarsstrategi for netværkssikkerhed med Azure Firewall, NSG'er (Network Security Groups) og Azure Policy. |
| Overvågning | Grundlæggende overvågning. Er afhængig af grundlæggende overvågningslogge og er muligvis ikke integreret Power Platform i deres bredere SOC (Security Operations Center). | Proaktiv overvågning. Integrerer Power Platform-logge med Microsoft Sentinel eller en lignende SIEM-løsning (security information and event management) til trusselsregistrering og svar på hændelser. | Avanceret trusselsbeskyttelse og overvågning. Anvender avancerede funktioner til trusselsbeskyttelse, f.eks. Microsoft Defender for Cloud Apps. Bruger AI og automatisering til trusselsregistrering og -respons i deres SOC. Deltager aktivt i Security Development Lifecycle (SDL) og bruger Well-Architected Power Platform Framework til løbende forbedringer. |
Typiske sikkerhedsudfordringer i forretningsapplikationer
I AI's tidsalder udvikler databeskyttelseslandskabet sig hurtigt. Efterhånden som angreb bliver mere sofistikerede, og virksomheder i stigende grad bruger data i AI-drevne scenarier, vokser efterspørgslen efter dataadgang. Samtidig tilpasses regler og krav for at imødekomme disse nye behov. Virksomhedsapplikationer står over for unikke sikkerhedsudfordringer, der spænder over alle brancher.
Her er nogle af de typiske udfordringer, og hvordan Power Platform du kan hjælpe med at løse dem:
- Begrænsede kontroller til at stoppe angribere: De fleste forretningsapplikationer har minimale kontroller for at forhindre angribere, når de først får adgang. Traditionelle sikkerhedsforanstaltninger kommer ofte til kort med hensyn til at stoppe sofistikerede angreb, der udnytter sårbarheder i systemet.
- Insidertrusler: Angribere er ofte insidere, der har legitime tilladelser til at bruge systemerne. Disse insidere ved, hvordan man omgår indbyggede kontroller og udnytter undtagelser i organisationen. Registrering og afbødning af insidertrusler kræver avancerede sikkerhedsforanstaltninger, der går ud over standardadgangskontrol.
- Subtile angreb: De mest udfordrende angreb at opdage er dem, der foretager mindre justeringer, hvilket gavner angriberen og samtidig forårsager skade på organisationen. Disse subtile ændringer kan nemt gå ubemærket hen uden robust overvågning og analyse.
Power Platform tilbyder en række sikkerhedskontroller og værktøjer, der er designet til at tackle disse udfordringer effektivt – her er nogle eksempler på, hvordan Power Platform funktioner, der understøtter din sikkerhedsstilling. Gennemse de andre artikler i denne serie for at få en dybere dækning af disse områder, og gennemse vores dokumentation til sikkerhed og styring for at få mere at vide om, hvordan du konfigurerer og vedligeholder sikkerhed og styring for Power Platform.
Omfattende overvågning og integration: Det er ikke nok udelukkende at stole på overvågning af aktiviteterne i dine forretningsapplikationer til at opdage problemer. Du skal integrere disse programmer med andre datakilder for at identificere og reagere på mistænkelige aktiviteter, der ellers kan gå ubemærket hen. Det er f.eks. ikke mistænkeligt i sig selv at se, at et cloudflow henter kundeoplysninger fra Dataverse og sender en mail. Men når det kombineres med andre signaler, f.eks. hyppigheden af cloudflowkørsler, usædvanlige geografiske placeringer eller aktivitet uden for arbejdstiden, kan du registrere mere komplekse insidertrusler. Integration af Power Platform med Microsoft Sentinel giver mulighed for avanceret trusselsregistrering og svar. Ved at korrelere data fra forskellige kilder kan Microsoft Sentinel identificere mønstre og uregelmæssigheder, der indikerer potentielle sikkerhedstrusler, hvilket muliggør proaktive foranstaltninger for at afhjælpe risici.
Databeskyttelse: Implementering af datapolitikker i Power Platform hjælper med at forhindre uautoriseret datadeling og sikrer, at følsomme oplysninger er beskyttet. Disse politikker kan skræddersys til at opfylde specifikke organisatoriske behov og krav til overholdelse af angivne standarder. IP-firewall-funktionen i Power Platform giver administratorer mulighed for at definere og håndhæve IP-baseret adgangskontrol, hvilket sikrer, at kun autoriserede IP-adresser kan få adgang til Power Platform miljøet. Med IP-firewall kan organisationer mindske risici forbundet med uautoriseret adgang og databrud, hvilket forbedrer den overordnede sikkerhed for deres Power Platform implementeringer. virtuelt netværk support i Power Platform gør det muligt for organisationer at isolere deres netværkstrafik og gennemtvinge strenge sikkerhedspolitikker. virtuelt netværk integration gør det muligt for Power Platform-miljøer at oprette sikker forbindelse til netværk i det lokale miljø og andre Azure tjenester, så det sikres, at data forbliver inden for netværksgrænser, der er tillid til.
Identity and Access Management (IAM): Brug Microsoft Entra ID til robust identitets- og adgangsstyring. Funktioner som betinget adgang og multifaktorgodkendelse øger sikkerheden ved at sikre, at kun autoriserede brugere kan få adgang til kritiske ressourcer.
Sikker udviklingspraksis: Det er vigtigt at etablere sikker kodningspraksis til udvikling af arbejdsbelastninger. Sørg for, at disse retningslinjer er let tilgængelige for dine udviklere, og giv nye udviklere undervisning i disse fremgangsmåder. Denne strategi hjælper med at opbygge sikre applikationer fra bunden.
Administreret sikkerhed: Administreret sikkerhed er en pakke med premium-funktioner, der tilbyder avanceret beskyttelse og giver sikkerhedsadministratorer mulighed for effektivt at administrere og sikre adgang til kundedata og ressourcer. Den samler Microsoft mest avancerede trusselsbeskyttelse, databeskyttelse og beskyttelse af personlige oplysninger, identitets- og adgangsstyring samt funktioner til overholdelse af angivne standarder for at hjælpe kunder med at håndtere nutidens udfordringer inden for cybersikkerhed.
Overvej OWASP Top 10 sikkerhedsrisici
Open Worldwide Application Security Project ® (OWASP) er en nonprofitfond, der er dedikeret til at forbedre softwaresikkerheden. OWASP identificerede de 10 største risici for borgerudvikling i forbindelse med platforme med lav kode/ingen kode. Denne liste opdateres regelmæssigt baseret på feedback fra sikkerhedsfællesskabet for at sikre, at den forbliver relevant og omfattende.
Disse risici er fælles på tværs af alle low-code/no-code-platforme, og håndtering af dem kræver en kombination af platformsspecifikke sikkerhedsfunktioner og organisatoriske sikkerhedsprocesser. Selvom brug af en low-code/no-code-platform kan afbøde nogle sikkerhedsrisici, eliminerer det ikke dem alle.
Selvom OWASP's vejledning er generisk og gælder for alle produkter og organisationer, udgiver Microsoft en specifik vejledning i at afhjælpe de 10 største sikkerhedsrisici med lav kode/ingen kode, der er skræddersyet til Power Platform. Denne vejledning indeholder detaljerede strategier og bedste fremgangsmåder, der kan hjælpe dig med at sikre dit Power Platform miljø effektivt. Få mere at vide: Microsoft vejledning til lave kode-/ingen kodesikkerhedsrisici for Power Platform
Ved at forstå og håndtere disse top 10 sikkerhedsrisici kan du forbedre sikkerheden i dine low-code/no-code-løsninger betydeligt. Overvej dine nuværende sikkerhedsudfordringer, og hvordan de stemmer overens med disse risici. Implementering af de anbefalede sikkerhedsforanstaltninger hjælper med at beskytte din organisations data og applikationer og sikrer et sikkert og robust Power Platform miljø.
Find det rigtige niveau af sikkerhedsfriktion
Find den rette balance i sikkerhedsforanstaltninger for at opretholde både produktivitet og sikkerhed i din organisation. Brugerne har brug for tilstrækkelig sikkerhedsvejledning til at beskytte deres aktiver, men alt for restriktive foranstaltninger kan hæmme deres effektivitet. Når sikkerhedsprotokoller er for besværlige eller ikke godt forstået, kan brugerne blive frustrerede og forsøge at omgå dem, hvilket fører til risikabel "skygge-it"-praksis. En sådan praksis underminerer ikke kun sikkerhedsindsatsen, men øger også den samlede risiko for organisationen. Derfor er det vigtigt at implementere robuste, men brugervenlige sikkerhedsforanstaltninger, der sikrer, at brugerne kan arbejde effektivt, samtidig med at deres aktiver holdes sikre.
Sikkerhed skaber naturligvis friktion, der kan bremse processer. Det er vigtigt at identificere, hvilke elementer der er sunde i dine it-processer, og hvilke der ikke er.
Sund friktion: Ligesom træningsmodstand styrker en muskel, styrker integration af det rigtige niveau af sikkerhedsfriktion systemet eller applikationen ved at tvinge kritisk tænkning på det rigtige tidspunkt. Denne proces indebærer overvejelser om, hvordan og hvorfor en hacker kan forsøge at kompromittere et program eller system under design (kendt som trusselsmodellering), og gennemgang, identifikation og rettelse af potentielle sårbarheder, som hackere kan udnytte i softwarekode, konfigurationer eller driftspraksis.
Usund friktion: Usund friktion hæmmer værdi mere, end den beskytter. Eksempler omfatter sikkerhedsfejl, der genereres af værktøjer, der returnerer en høj falsk positivrate (såsom falske alarmer), eller når indsatsen for at opdage eller løse sikkerhedsproblemer langt overstiger den potentielle effekt af et angreb.
Gør sikkerhed til en prioritet
Sikkerhed bør være din første bekymring, når du starter din Power Platform adoption, ikke en eftertanke. Hvis du ignorerer sikkerhedskrav, kan det medføre alvorlige juridiske, økonomiske og forretningsmæssige risici og forsinkelser i dit projekt. Det kan også påvirke løsningens overordnede skalerbarhed og ydeevne.
Gør sikkerhed til en prioritet fra dag ét. Overvej sikkerhedspåvirkningen på skalerbarhed, ydeevne, overholdelse, udrulningsplaner, rapportering og driftsmæssige aspekter. Medtag specifikke eksempler fra hvert produkt, der bygger på de diskuterede begreber.
Næste trin
En omfattende sikkerhedsstrategi til Power Platform ibrugtagning skaber en struktur, der beskytter følsomme data, overholder lovmæssige standarder og understøtter virksomhedens skalerbarhed.
Relaterede oplysninger
- Low-code sikkerhed og styring
- Microsoft Compliance
- Microsoft Power Platform dokumentation til sikkerhed og styring
- Microsoft Copilot Studio dokumentation til sikkerhed og styring
- Microsoft Copilot Studio tilbud om overholdelse af angivne standarder
- Ofte stillede spørgsmål om kunstig intelligens til Microsoft Power Platform
- Ofte stillede spørgsmål om kunstig intelligens for Copilot Studio