مشاركة عبر

الأسئلة المتداولة حول أمان Power Platform‏‫

  • مقالة

تقع الأسئلة الشائعة حول أمان Power Platform في فئتين:

  • كيف تم تصميم Power Platform للمساعدة في أعلى 10 مخاطر في مشروع أمان تطبيق الويب المفتوح® (OWASP)

  • أسئلة يطرحها العملاء

لكي نسهّل عليك العثور على أحدث المعلومات، تمت إضافة أسئلة جديدة في نهاية هذه المقالة.

أعلى 10 مخاطر من OWASP: عمليات تخفيف المخاطر في Power Platform

إن مشروع أمان تطبيق الويب المفتوح® (OWASP) هو مؤسسة غير ربحية تعمل على تحسين أمان البرامج. من خلال مشاريع البرمجيات مفتوحة المصدر التي يقودها المجتمع، ومئات الفصول في جميع أنحاء العالم، وعشرات الآلاف من الأعضاء، والمؤتمرات التعليمية والتدريبية الرائدة، تعد OWASP Foundation المصدر للمطورين والتقنيين لتأمين الويب.

يعد أعلى 10 في OWASP وثيقة وعي قياسية للمطورين والأشخاص الآخرين المهتمين بأمان تطبيق الويب. إنه يمثل إجماعًا واسعًا حول أكثر مخاطر الأمان أهمية لتطبيقات الويب. في هذا القسم، كيف يساعد Power Platform في التخفيف من هذه المخاطر.

A01: 2021 كسر التحكم في الوصول

  • تم بناء نموذج أمان Power Platform بالاستناد إلى الوصول الأقل امتيازًا (LPA). يسمح LPA للعملاء ببناء التطبيقات باستخدام تحكم في الوصول أكثر دقة.
  • Power Platform يستخدم Microsoft Entra النظام الأساسيMicrosoft Entra لهوية المعرف ( Microsoft ID) لتخويل جميع استدعاءات واجهة برمجة التطبيقات باستخدام بروتوكول 2.0 القياسي OAuth في الصناعة.
  • يتضمن Dataverse، الذي يوفر البيانات الأساسية لـ Power Platform، نموذج أمان غنيًا يتضمن الأمان على مستوى البيئة و المستند إلى الدور وعلى مستوى السجل والحقل.

A02: 2021 فشل التشفير

البيانات قيد النقل:

  • يقوم Power Platform باستخدام TLS لتشفير كافة بيانات الشبكة المستندة إلى HTTP. وهو يستخدم آليات أخرى لتشفير حركة مرور الشبكة بخلاف HTTP التي تحتوي على بيانات العميل أو البيانات السرية.
  • يستخدم Power Platform تكوين TLS الثابت الذي يمكّن أمان نقل HTTP الصارم (HSTS)‬:
    • TLS 1.2 أو إصدار أحدث
    • مجموعات التشفيرات المستندة إلى ECDHE ومنحنيات NIST
    • المفاتيح القوية

البيانات الثابتة:

  • يتم تشفير جميع بيانات العميل قبل كتابتها على وسائط تخزين غير متقلبة.

A03: 2021 حقن

يستخدم Power Platform أفضل الممارسات المتوافقة مع معايير الصناعة لمنع هجمات الحقن، بما في ذلك:

  • استخدام واجهات برمجة التطبيقات الآمنة مع واجهات ذات معلمات
  • تطبيق الإمكانيات الدائمة التطور لأطر العمل الأمامية لتنظيف الإدخالات
  • تنظيف المخرجات من خلال التحقق من الصحة على جانب الخادم
  • استخدام أدوات التحليل الثابتة أثناء وقت البناء
  • مراجعة نموذج التهديدات لكل خدمة كل 6 أشهر سواء تم تحديث التعليمات البرمجية أو التصميم أو البنية الأساسية أم لا

A04: 2021 تصميم غير آمن

  • تم بناء Power Platform بالاستناد إلى ثقافة ومنهجية التصميم الآمن. يتم تعزيز كل من الثقافة والمنهجية باستمرار من خلال Microsoft دورة حياة تطوير الأمان (SDL) الرائدة في الصناعة وممارسات نمذجة التهديدات.
  • تضمن عملية مراجعة نمذجة التهديدات التعرف على التهديدات أثناء مرحلة التصميم، والتخفيف منها والتحقق من صحتها للتأكد من تخفيف تأثيرها.
  • تأخذ أيضًا نمذجة التهديدات في الاعتبار جميع التغييرات التي تطرأ على الخدمات الموجودة بالفعل من خلال المراجعات المنتظمة المستمرة. كما أن الاعتماد على نموذج STRIDE يساعد على معالجة المشاكل الأكثر شيوعًا في التصميم غير الآمن.
  • MicrosoftSDL يعادل نموذج نضج ضمان برنامج OWASP (SAMM). وقد تم بناء كليهما على الموقع حيث يتكامل التصميم الآمن مع أمان تطبيق الويب.

A05: 2021 التكوين الخاطئ للأمان

  • إن "الرفض الافتراضي" هو أحد أسس مبادئ تصميم Power Platform. من خلال "الرفض الافتراضي"، يحتاج العملاء إلى مراجعة الميزات والتكوينات الجديدة، ثم الاشتراك فيها.
  • يتم اكتشاف أي تكوينات خاطئة أثناء وقت الإنشاء من خلال تحليل الأمان المتكامل باستخدام أدوات التطوير الآمنة.
  • بالإضافة إلى ذلك، يخضع Power Platform لاختبار أمان التحليل الديناميكي (DAST) باستخدام خدمة داخلية مبنية على أعلى 10 مخاطر في OWASP.

A06:2021 المكونات الضعيفة والقديمة

  • Power Platform يتبع Microsoft ممارسات SDL لإدارة مكونات المصدر المفتوح ومكونات الجهات الخارجية. وتتضمن هذه الممارسات الحفاظ على المخزون الكامل وإجراء تحليلات أمنية والحفاظ على تحديث المكونات ومواءمتها مع عملية الاستجابة للحوادث الأمنية التي تم اختبارها وتجربتها.
  • في حالات نادرة، قد تحتوي بعض التطبيقات على نسخ من مكونات قديمة بسبب تبعيات خارجية. ومع ذلك، بعد معالجة هذه التبعيات وفقًا للممارسات التي تم توضيحها سابقًا، يتم تعقب المكونات وتحديثها.

A07:2021 فشل تحديد الهوية والمصادقة

  • تم بناء Power Platform بالاستناد إلى معرف Microsoft Entra وهو يعتمد عليه لتحديد الهوية والمصادقة.
  • يقوم Microsoft Entra بمساعدة Power Platform لتمكين ميزات الأمان. تتضمن هذه الميزات تسجيل الدخول الأحادي والمصادقة متعددة العوامل والنظام الأساسي الفردي للتفاعل مع المستخدمين الداخليين والخارجيين بشكل أكثر أمانًا.
  • مع تنفيذ Power Platformالقادم لميزة تقييم الوصول المستمر‏(CAE) من معرف Microsoft Entra ، سيكون تحديد هوية المستخدم ومصادقتها أكثر أمانًا وموثوقية.

A08:2021 فشل سلامة البرامج والبيانات

  • تؤدي عملية إدارة المكونات في Power Platform تعزيز التكوين الآمن لملفات مصدر الحزمة للحفاظ على سلامة البرنامج.
  • تضمن العملية أنها لن تخدم سوى الحزم التي يتم الحصول عليها داخليًا لمعالجة هجوم الاستبدال. هجوم الاستبدال، والمعروف أيضًا باسم ارتباك التبعية، وهو تقنية يمكن استخدامها لإفساد عملية إنشاء التطبيقات داخل بيئات مؤسسية آمنة.‬
  • يتم تطبيق حماية التكامل على البيانات المشفرة قبل نقلها. يتم التحقق من صحة كافة بيانات تعريف حماية التكامل الموجودة للبيانات المشفرة الواردة.

مخاطر OWASP أعلى 10 تعليمات برمجية منخفضة/لا يوجد رمز: عمليات في Power Platform

للحصول على إرشادات حول نشر أفضل 10 مخاطر أمان لأهم 10 تعليمات برمجية منخفضة منشورة بواسطة OWASP، راجع هذا المستند:

Power Platform - OWASP منخفض الكود بدون رمز أهم 10 مخاطر (أبريل 2024)

أسئلة أمان عامة من العملاء

فيما يلي بعض أسئلة الأمان التي يطرحها عملاؤنا.

كيف يساعد Power Platform في الحماية من مخاطر اصطياد النقرات؟

يستخدم Clickjacking إطارات iframe مضمنة ، من بين مكونات أخرى ، لاختطاف تفاعلات المستخدم مع صفحة ويب. إنه عبارة عن تهديد كبير لصفحات تسجيل الدخول على وجه الخصوص. يمنع Power Platform استخدام iframes على صفحات تسجيل الدخول، مما يقلل إلى حد كبير من مخاطر اصطياد النقرات.

بالإضافة إلى ذلك ، بإمكان المؤسسات استخدام سياسة أمان المحتوى (CSP) لتقييد التضمين في المجالات الموثوقة.

هل يدعم Power Platform سياسة أمان المحتوى؟

يدعم Power Platform سياسة أمان المحتوى (CSP) للتطبيقات المستندة إلى النماذج. لا ندعم الرؤوس التالية التي تم استبدالها بواسطة CSP:

  • X-XSS-Protection
  • X-Frame-Options

كيف يمكننا الاتصال بـ SQL Server بشكل آمن؟

راجع استخدام Microsoft SQL Server بأمان مع Power Apps.

ما التشفيرات التي يدعمها Power Platform؟ ما هي خارطة الطريق للتحرك باستمرار نحو أقوى تشفيرات؟

يتم تكوين جميع Microsoft الخدمات والمنتجات لاستخدام مجموعات التشفير المعتمدة ، بالترتيب الدقيق الذي يوجهه Microsoft مجلس التشفير. للحصول على القائمة الكاملة والترتيب الدقيق، راجع وثائق Power Platform.

يمكن العثور على معلومات تتعلق بإهمال مجموعات التشفير من خلال وثائق التغييرات المهمة في Power Platform.

لماذا لا يزال Power Platform يدعم تشفيرات RSA-CBC (TLS_ECDHE_RSA_مع AES_128_CBC_SHA256 (0xC028) و TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) التي تعتبر أقل قوة؟

Microsoft يزن المخاطر النسبية وتعطل عمليات العملاء في اختيار مجموعات التشفير للدعم. لم يحصل أي عطل بعد في مجموعات التشفير RSA-CBC. لقد قمنا بتمكينها لضمان التناسق عبر خدماتنا ومنتجاتنا، ودعم كافة تكوينات العملاء. ومع ذلك، فهي في أسفل قائمة الأولويات.

سنقوم بإهمال هذه الأصفار في الوقت المناسب ، بناء على Microsoft التقييم المستمر لمجلس التشفير.

لماذا يعرض Power Automate علامات تجزئة محتوى MD5 في مدخلات ومخرجات المشغل/الإجراء؟

يقوم Power Automate بتمرير قيمة التجزئة لمحتوى MD5 التي تم إرجاعها بواسطة Azure Storage كما هي لعملائه. يتم استخدام علامة التجزئة هذه بواسطة Azure Storage للتحقق من تكامل الصفحة أثناء النقل كخوارزمية المجموع الاختباري‬، ولا يتم استخدامها كوظيفة تجزئة تشفيرية لأغراض أمنية في Power Automate. يمكنك العثور على مزيد من التفاصيل عن ذلك في وثائق Azure Storage حول كيفية الحصول على خصائص Blob وكيفية العمل مع رؤوس الطلبات.

كيف يقوم Power Platform بالحماية من هجمات رفض الخدمة الموزع (DDoS)؟

تم بناء Power Platform بالاستناد إلى Microsoft Azure وهو يستخدم حماية Azure DDoS للحماية من هجمات DDoS.

هل يكتشف Power Platform أجهزة iOS التي تم كسر حمايتها وأجهزة Android الجذر للمساعدة في حماية البيانات التنظيمية؟

نوصي باستخدام Microsoft Intune. Intune هو حل لإدارة أجهزة المحمول. ويمكنه المساعدة على حماية البيانات المؤسسية من خلال مطالبة المستخدمين والأجهزة بالوفاء بمتطلبات معينة. لمزيد من المعلومات، راجع إعدادات سياسة التوافق من Intune.

لماذا يتم تحديد نطاق ملفات تعريف الارتباط لجلسة العمل بالمجال الأصل؟

يقوم Power Platform بتحديد نطاق ملفات تعريف ارتباط جلسة عمل بالمجال الأصل للسماح بالمصادقة عبر المؤسسات. لا يتم استخدام المجالات الفرعية كحدود أمان. كما أنها لا تستضيف محتوى العميل.

كيف يمكننا ضبط جلسة التطبيق على مهلة بعد 15 دقيقة على سبيل المثال؟

يقوم Power Platform باستخدام معرف Microsoft Entra لإدارة الهوية والوصول. إنه يتبع التكوين الموصى به لإدارة جلسات العمل في معرف Microsoft Entra للحصول على تجربة مستخدم مثالية.

ومع ذلك، يمكن تخصيص البيئات من أجل الحصول على جلسة عمل و/أو مهلات زمنية واضحة للنشاط. للمزيد من المعلومات، راجع إدارة جلسة عمل المستخدم والوصول.

مع تنفيذ Power Platformالقادم لميزة تقييم الوصول المستمر‏ من Microsoft Entra ، سيكون تحديد هوية المستخدم ومصادقتها أكثر أمانًا وموثوقية.

يسمح التطبيق لنفس المستخدم بالوصول من أكثر من جهاز أو مستعرض واحد في نفس الوقت. كيف يمكننا منع ذلك؟

يعد الوصول إلى التطبيق من أكثر من جهاز أو مستعرض في نفس الوقت أمرًا مريحًا للمستخدمين. سيساعد تنفيذ Power Platformالقادم لميزة تقييم الوصول المستمر من معرف Microsoft Entra على ضمان الوصول من أجهزة ومستعرضات معتمدين وهو ما زال صالحًا.

لماذا تعرض بعض خدمات Power Platform رؤوس الخادم بمعلومات مطولة؟

تعمل خدمات Power Platform على إزالة المعلومات غير الضرورية في رأس الخادم. الهدف هو موازنة مستوى التفاصيل مع خطر عرض المعلومات التي قد تضعف الأمان الكلي.

كيف تؤثر ثغرات Log4j الأمنية على Power Platform؟ ما الذي يجب على العملاء فعله في هذا الشأن؟

Microsoft أنه لا يوجد تأثير Power Platform على نقاط الضعف في Log4j. راجع منشور مدونتنا حول منع ثغرات Log4j الأمنية واكتشافها والبحث عنها.

كيف يمكننا ضمان عدم وجود معاملات غير مصرح بها بسبب امتدادات المتصفح أو واجهات برمجة تطبيقات عميل الواجهة الموحدة التي تسمح بتمكين عناصر التحكم المعطلة؟

لا يتضمن نموذج أمان Power Apps مفهوم عناصر التحكم المعطلة. تعطيل عناصر التحكم هو تحسين واجهة المستخدم. لا ينبغي الاعتماد على عناصر التحكم المعطلة لتوفير الأمان. بدلاً من ذلك، استخدام عناصر تحكم Dataverse مثل الأمان على مستوى الحقل لمنع المعاملات غير المصرح بها.

ما هي رؤوس أمان HTTP المستخدمة لحماية بيانات الاستجابة؟

الاسم التفاصيل
أمن النقل الصارم يتم تعيين هذا إلى max-age=31536000; includeSubDomains على كافة الاستجابات.
خيارات الإطار X تم إهمال هذا الخيار لصالح CSP.
خيارات نوع المحتوى X يتم تعيين هذا إلى nosniff على كافة استجابات الأصول.
سياسة أمن المحتوى يتم تعيين ذلك إذا قام المستخدم بتمكين CSP.
X-XSS-الحماية تم إهمال هذا الخيار لصالح CSP.

أين يمكنني العثور على اختبارات اختراق Power Platform أو Dynamics 365؟

يمكن العثور على أحدث اختبارات الاختراق وتقييمات الأمان على Microsoft بوابة ثقة الخدمة.

‏‫ملاحظة

للوصول إلى بعض الموارد الموجودة على مدخل الثقة في الخدمة، يجب عليك تسجيل الدخول كمستخدم مصادق عليه باستخدام حساب الخدمات السحابية ( Microsoft Microsoft Entra حساب المؤسسة) ومراجعة اتفاقية عدم الإفصاح الخاصة بمواد التوافق وقبولها Microsoft .

الأمن في Microsoft Power Platform
المصادقة على Power Platform الخدمات
الاتصال بمصادر البيانات والمصادقة عليها
تخزين البيانات في Power Platform

(راجع أيضًا)