ЧЗВ относно защитата на Power Platform
Често задаваните въпроси относно Power Platform сигурността попадат в две категории:
Как Power Platform е проектиран да помогне за смекчаване на 10-те най-големи рискове на Open Web Application Security Project® (OWASP)
Въпроси, задавани от нашите клиенти
За да ви улесним при намирането на най-новата информация, в края на тази статия се добавят нови въпроси.
Топ 10 на рисковете на OWASP: смекчаване в Power Platform
Open Web Application Security Project® (OWASP) е фондация с нестопанска цел, която работи за подобряване на софтуерната сигурност. Чрез ръководени от общността софтуерни проекти с отворен код, стотици глави по целия свят, десетки хиляди членове и водещи образователни и обучителни конференции, OWASP Foundation е източникът за разработчици и технолози за защита на мрежата.
OWASP топ 10 е стандартен документ за информираност за разработчици и други, които се интересуват от сигурността на уеб приложенията. Той представлява широк консенсус относно най-критичните рискове за сигурността на уеб приложенията. В този раздел ще обсъдим как Power Platform помага за смекчаване на тези рискове.
A01:2021 Нарушен контрол на достъпа
- Моделът на защита на Power Platform е изграден върху най-малко привилегирован достъп (LPA). LPA позволява на клиентите да създават приложения с по-подробен контрол на достъпа.
- Power Platform използва Microsoft Entra ID (Microsoft Entra ID) Microsoft Identity Platform за оторизация на всички API повиквания с индустриалния стандартен OAuth 2.0 протокол.
- Dataverse, който предоставя основните данни за Power Platform, има богат модел на сигурност, който включва сигурност на ниво среда, ролева защита и сигурност на ниво запис и поле.
Транзитни данни:
- Power Platform използва TLS за криптиране на целия HTTP базиран мрежов трафик. Той използва други механизми за криптиране на не-HTTP мрежов трафик, който съдържа клиентски или поверителни данни.
- Power Platform използва заздравена TLS конфигурация, която позволява HTTP Strict Transport Security (HSTS):
- TLS 1.2 или повече
- Базирани на ECDHE комплекти шифри и NIST криви
- Силни ключове
Данни в покой:
- Всички клиентски данни се криптират, преди да бъдат записани на енергонезависими носители за съхранение.
Power Platform използва стандартни за индустрията най-добри практики за предотвратяване на атаки чрез инжектиране, включително:
- Използване на безопасни API с параметризирани интерфейси
- Прилагане на непрекъснато развиващите се възможности на предните рамки за дезинфекция на входа
- Саниране на изхода с валидиране от страна на сървъра
- Използване на инструменти за статичен анализ по време на изграждане
- Преглед на модела на заплахи за всяка услуга на всеки шест месеца, независимо дали кодът, дизайнът или инфраструктурата са актуализирани или не
- Power Platform е изграден върху култура и методология на защитен дизайн. Както културата, така и методологията непрекъснато се подсилват чрез водещите в индустрията жизнен цикъл на развитие на сигурността (SDL) и моделиране на заплахи практики на Microsoft.
- Процесът на преглед на моделирането на заплахи гарантира, че заплахите са идентифицирани по време на фазата на проектиране, смекчени и валидирани, за да се гарантира, че са смекчени.
- Моделирането на заплахи също отчита всички промени в услугите, които вече са активни чрез непрекъснати редовни прегледи. Разчитането на модела STRIDE помага за справяне с най-често срещаните проблеми с несигурния дизайн.
- SDL на Microsoft е еквивалентен на OWASP Software Assurance Maturity Model (SAMM). И двете са изградени на предпоставката, че защитеният дизайн е неразделна част от сигурността на уеб приложенията.
A05:2021 Грешна конфигурация на сигурността
- „Отказ по подразбиране“ е една от основите на Power Platform принципите на проектиране. С „Отказ по подразбиране“ клиентите трябва да прегледат и да се включат за нови функции и конфигурации.
- Всички неправилни конфигурации по време на изграждането се улавят от интегриран анализ на сигурността с помощта на инструменти за защитена разработка.
- Освен това Power Platform преминава тестване за сигурност на динамичен анализ (DAST) с помощта на вътрешна услуга, която е изградена на OWASP Топ 10 рискове.
A06:2021 Уязвими и остарели компоненти
- Power Platform следва SDL практиките на Microsoft за управление на компоненти с отворен код и на трети страни. Тези практики включват поддържане на пълна инвентаризация, извършване на анализи на сигурността, поддържане на компонентите актуални и привеждане в съответствие на компонентите с изпитан и тестван процес за реакция при инциденти със сигурността.
- В редки случаи някои приложения може да съдържат копия на остарели компоненти поради външни зависимости. Въпреки това, след като тези зависимости са разгледани в съответствие с практиките, описани по-рано, компонентите се проследяват и актуализират.
A07:2021 Неуспехи в идентификацията и удостоверяването на автентичността
- Power Platform е изграден върху и зависи от идентификацията и удостоверяването на Microsoft Entra самоличността.
- Microsoft Entra помага Power Platform за активиране на защитените функции. Тези функции включват единично влизане, многофакторно удостоверяване и единна платформа за по-сигурно взаимодействие с вътрешни и външни потребители.
- С Power Platform предстоящото внедряване на ID Microsoft Entra Continuous Access Evaluation (CAE), идентификацията и удостоверяването на потребителите ще бъдат още по-сигурни и надеждни.
A08:2021 Сривове в целостта на софтуера и данните
- Процесът на управление на компонентите на Power Platform налага сигурната конфигурация на изходните файлове на пакета, за да поддържа целостта на софтуера.
- Процесът гарантира, че се обслужват само пакети с вътрешен източник за справяне с заместваща атака. Субституционната атака, известна още като объркване на зависимости, е техника, която може да се използва за отравяне на процеса на изграждане на приложения в защитени корпоративни среди.
- Всички криптирани данни имат защита на целостта, приложена преди да бъдат предадени. Всички налични метаданни за защита на целостта за входящи криптирани данни са валидирани.
OWASP топ 10 Нисък код / Без код рискове: Смекчаване в Power Platform
За насоки за смекчаване на топ 10 Low Code/No Code рисковете за сигурността, публикувани от OWASP, вижте този документ:
Power Platform - OWASP нисък код без код Топ 10 рискове (април 2024 г.)
Често срещани въпроси за сигурност от клиенти
Следват някои от въпросите за сигурността, които нашите клиенти задават.
Как Power Platform помага за предпазване от щракване?
Clickjacking използва вградени iframes, наред с други компоненти, за да отвлече взаимодействията на потребителя с уеб страница. Това е сериозна заплаха по-специално за страниците за влизане. Power Platform предотвратява използването на вградени рамки на страниците за влизане, като значително намалява риска от щракване.
Освен това организациите могат да използват Правила за сигурност на съдържанието (CSP), за да ограничат вграждането до доверени домейни.
Поддържа Power Platform ли политика за сигурност на съдържанието?
Power Platform поддържа Правила за сигурност на съдържанието (CSP) за управлявани от модел приложения. Не поддържаме следните заглавки, които са заменени от CSP:
X-XSS-ProtectionX-Frame-Options
Как можем да се свържем със SQL Server сигурно?
Вижте Използване на Microsoft SQL Server сигурно с Power Apps.
Какви шифри се поддържат Power Platform? Каква е пътната карта за непрекъснато преминаване към по-силни шифри?
Всички услуги и продукти на Microsoft са конфигурирани да използват одобрените пакети за шифроване в точния ред, указан от Microsoft Crypto Board. За пълния списък и точния ред вижте Power Platform документацията.
Информацията относно отхвърлянето на пакети за шифроване се съобщава чрез Важни промени документацията на Power Platform.
Защо Power Platform все още поддържа RSA-CBC шифри (TLS_ECDHE_RSA_с AES_128_CBC_SHA256 (0xC027) и TLS_ECDHE_RSA_с_AES_256_CBC_SHA384 (0xC028)), които се считат за по-слаби?
Microsoft претегля относителния риск и прекъсването на операциите на клиентите при избора на пакети за шифроване, които да поддържа. Пакетите за шифроване RSA-CBC все още не са разбити. Дадохме им възможност да осигурят последователност в нашите услуги и продукти и да поддържат всички клиентски конфигурации. Те обаче са на дъното на списъка с приоритети.
Ние ще отхвърлим тези шифри в подходящия момент въз основа на непрекъснатата оценка на Microsoft Crypto Board.
Защо Power Automate излага хешовете на съдържанието на MD5 във входовете и изходите за задействане/действие?
Power Automate предава незадължителната хеш стойност на content-MD5, върната от Azure Storage такава, каквато е, на своите клиенти. Този хеш се използва от Azure Storage за проверка на целостта на страницата по време на транспортиране като алгоритъм за контролна сума и не се използва като криптографска хеш функция за целите на сигурността в Power Automate. Можете да намерите повече подробности за това в документацията на Azure Storage за това как да получите свойства на блоб и как да работите със заглавките на заявките.
Как Power Platform предпазва от атаки с разпределен отказ от услуга (DDoS)?
Power Platform е изграден върху Microsoft Azure и използва Azure DDoS защита за защита срещу DDoS атаки.
Открива Power Platform ли джейлбрейк iOS устройства и вкоренени Android устройства, които да помогнат за защитата на организационните данни?
Ние препоръчваме да използвате Microsoft Intune. Intune е решение за управление на мобилни устройства. Може да помогне за защитата на организационните данни, като изисква потребителите и устройствата да отговарят на определени изисквания. За повече информация вижте Настройките на правилата за съответствие на Intune.
Защо сесийните бисквитки са обхванати от родителския домейн?
Power Platform обхваща сесийните бисквитки към родителския домейн, за да позволи удостоверяване в организациите. Поддомейните не се използват като граници за сигурност. Те също така не хостват клиентско съдържание.
Как можем да настроим сесията на приложението да изтече след, да речем, 15 минути?
Power Platform използва Microsoft Entra ID идентичност и управление на достъпа. Той следва Microsoft Entra препоръчаната конфигурация за управление на сесията на ID за оптимално потребителско изживяване.
Въпреки това можете да персонализирате среди, за да имате изрични изчаквания на сесии и/или дейности. За повече информация вижте Потребителска сесия и управление на достъпа.
С Power Platform предстоящото внедряване на ID Microsoft Entra Continuous Access Evaluation , идентификацията и удостоверяването напотребителите ще бъдат още по-сигурни и надеждни.
Приложението позволява на един и същ потребител достъп от повече от една машина или браузър едновременно. Как можем да предотвратим това?
Достъпът до приложението от повече от едно устройство или браузър едновременно е удобство за потребителите. Power PlatformПредстоящото внедряване на Microsoft Entra ID Continuous Access Evaluation ще помогне да се гарантира, че достъпът е от оторизирани устройства и браузъри и все още е валиден.
Защо някои Power Platform услуги излагат сървърни заглавки с подробна информация?
Power Platform услугите работят за премахване на ненужната информация в заглавката на сървъра. Целта е да се балансира нивото на детайлност с риска от разкриване на информация която може да отслаби цялостната позиция на сигурност.
Как се отразяват уязвимостите на Log4j Power Platform? Какво трябва да направят клиентите в това отношение?
Microsoft прецени, че уязвимостите на Log4j не оказват влияние Power Platform. Вижте нашата публикация в блога за предотвратяване, откриване и търсене на експлоатация на уязвимости на Log4j.
Как можем да гарантираме, че няма неоторизирани транзакции поради разширения на браузъра или Унифициран интерфейс клиентски API, позволяващи активирането на деактивирани контроли?
Моделът на Power Apps сигурност не включва концепцията за дезактивирани контроли. Деактивирането на контролите е подобрение на потребителския интерфейс. Не трябва да разчитате на деактивирани контроли, за да осигурите сигурност. Вместо това използвайте Dataverse контроли като сигурност на ниво поле за предотвратяване на неоторизирани транзакции.
Кои HTTP заглавки за сигурност се използват за защита на данните за отговора?
| Име | Подробни данни |
|---|---|
| Стриктна транспортна сигурност | Това е зададено max-age=31536000; includeSubDomains на всички отговори. |
| Опции за X-рамка | Това е отхвърлено в полза на CSP. |
| X-съдържание-тип-опции | Това е зададено nosniff на всички отговори на активи. |
| Политика за защита на съдържанието | Това се задава, ако потребителят разреши CSP. |
| X-XSS-защита | Това е отхвърлено в полза на CSP. |
Къде мога да намеря Power Platform или Dynamics 365 тестове за проникване?
Най-новите тестове за проникване и оценки на сигурността могат да бъдат намерени на Microsoft Service Trust Portal.
Бележка
За да получите достъп до някои от ресурсите в портала за сигурност на услугите, трябва да влезете като удостоверен потребител с вашия акаунт за услуги в облака на Microsoft (Microsoft Entra организационен акаунт) и да прегледате и приемете споразумението за неразкриване на Microsoft за материали за съответствие.
Свързани статии
Защита в Microsoft Power Platform
Удостоверяване на услуги на Power Platform
Свързване и удостоверяване към източници на данни
Съхранение на данни в Power Platform