Защита в Microsoft Power Platform
Power Platform дава силата за бързо и лесно създаване на решения от край до край в ръцете както на непрофесионални, така и на професионални разработчици. Сигурността е критична за тези решения. Power Platform е създаден, за да осигури водеща в индустрията защита.
Организациите ускоряват прехода си към облака, като включват модерни технологии в операциите и вземането на бизнес решения. Все повече служители работят дистанционно. Търсенето на онлайн услуги от страна на клиентите нараства. Традиционната сигурност на локалните приложения вече не е достатъчна. Организациите, които търсят базирано на облака, многостепенно решение за сигурност със задълбочена защита за своите данни за бизнес разузнаване, се обръщат към него Power Platform. Агенциите за национална сигурност, финансовите институции и доставчиците на здравни грижи се доверяват Power Platform на най-чувствителната си информация.
Microsoft направи огромни инвестиции в сигурността от средата на 2000-те години. Повече от 3,500 Microsoft инженери работят за проактивно справяне с постоянно променящия се пейзаж на заплахите. Microsoft сигурността започва от ядрото на BIOS на чипа и се простира чак до потребителското изживяване. Днес нашият стек за сигурност е най-модерният в индустрията. Microsoft се счита за световен лидер в борбата със злонамерените участници. Милиарди компютри, трилиони входове и зетабайти данни са поверени на Microsoft защитата.
Power Platform се гради върху тази здрава основа. Той използва същия стек за сигурност, който спечели на Azure правото да обслужва и защитава най-чувствителните данни в света, и се интегрира с най-модерните инструменти за защита на информацията и съответствие с Microsoft 365. Power Platform осигурява защита от край до край, проектирана за най-предизвикателните проблеми на нашите клиенти в ерата на облака:
- Как можем да контролираме кой може да се свързва, откъде се свързва и как се свързва? Как можем да контролираме връзките?
- Как се съхраняват нашите данни? Как се криптира? Какъв контрол имаме върху нашите данни?
- Как можем да контролираме и защитим нашите чувствителни данни? Как можем да гарантираме, че данните ни не могат да изтекат извън организацията?
- Как можем да одитираме кой какво може да направи? Как можем да реагираме бързо, ако открием подозрителна дейност?
Управление
Услугата Power Platform се управлява от Microsoft Условията за онлайн услуги и Microsoft Декларацията за поверителност на предприятието. За мястото на обработка на данни вижте Условията Microsoft за онлайн услуги и Допълнението зазащита на данните.
Microsoft Центърът за сигурност е основният ресурс за информация за Power Platform съответствие. Научете повече на Microsoft Предложения за съответствие.
Услугата Power Platform следва жизнения цикъл на развитие на сигурността (SDL). SDL е набор от строги практики, които поддържат гарантиране на сигурността и изисквания за съответствие. Научете повече на Microsoft Практики за жизнения цикъл на разработката на защитата.
Общи концепции на защита на Power Platform
Power Platform включва няколко услуги. Някои от концепциите за сигурност, които ще разгледаме в тази серия, се отнасят за всички тях. Други концепции са специфични за отделните услуги. Там, където концепциите за сигурност са различни, ние ще ги извикаме.
Концепциите за сигурност, които са общи за всички Power Platform услуги, включват:
- Power Platform Архитектурата на услугата или как информацията протича през системата
- Удостоверяване в Power Platform услуги или как потребителите получават достъп до услуги
- Свързване и удостоверяване към източници на данни или как услугите се свързват с източници на данни и потребителите получават достъп до данни
- Съхранение на данни или Power Platform как са защитени данните, независимо дали са в покой или в процес на пренос между системи и услуги
Архитектура на услугата Power Platform
Power Platform услугите са изградени върху платформата Microsoft за облачни изчисления на Azure. Архитектурата на Power Platform услугата се състои от четири компонента:
- Уеб преден клъстер
- Back-end клъстер
- Премиум инфраструктура
- Мобилни платформи
Уеб преден клъстер
Отнася се за Power Platform услуги, които показват уеб интерфейс. Уеб предният клъстер обслужва началната страница на приложението или услугата към браузъра на потребителя. Той се използва Microsoft Entra за първоначално удостоверяване на клиенти и предоставяне на токени за последващи клиентски връзки към Power Platform сървърната услуга.
Уеб предният клъстер се състои от ASP.NET уебсайт, който работи в средата на Azure App Service. Когато потребител посети Power Platform услуга или приложение, DNS услугата на клиента може да получи най-подходящия (обикновено най-близкия) център за данни от Azure Traffic Manager. За повече информация вижте Метод за маршрутизиране на трафик за производителност за Azure Traffic Manager.
Уеб предният клъстер управлява последователността за влизане и удостоверяване. Той получава Microsoft Entra токен за достъп, след като потребителят бъде удостоверен. Компонентът ASP.NET анализира токена, за да определи към коя организация принадлежи потребителят. След това компонентът се консултира с Power Platform глобалната бек-енд услуга, за да посочи на браузъра в кой бек-енд клъстер се помещава клиентът на организацията. Последващите клиентски взаимодействия се осъществяват директно с бек-енд клъстера, без необходимост от уеб посредник на предния край.
Браузърът извлича статични ресурси, като .js, .css и файлове с изображения, главно от Azure Content Delivery Network (CDN). Внедряването на клъстери от суверенно правителство е изключение. От съображения за съответствие тези внедрявания пропускат Azure CDN. Вместо това те използват уеб преден клъстер от съвместим регион за хостване на статично съдържание.
Power Platform back-end клъстер
Back-end клъстерът е гръбнакът на цялата налична функционалност в Power Platform услуга. Състои се от крайни точки на услугата, работещи във фонов режим услуги, бази данни, кешове и други компоненти.
Бек-ендът е наличен в повечето региони на Azure и се внедрява в нови региони, когато станат налични. Един регион може да хоства множество клъстери. Тази конфигурация позволява на Power Platform услугите неограничено хоризонтално мащабиране след достигане на границите на вертикално и хоризонтално мащабиране на един клъстер.
Back-end клъстерите са със състояние. Back-end клъстер хоства всички данни на всички клиенти, които са му присвоени. Клъстерът, който съдържа данните на конкретен клиент, се нарича домашен клъстер на клиента. Информацията за домашния клъстер на удостоверен потребител се предоставя от Power Platform глобалната бек-енд услуга на уеб предния клъстер. Уеб предният край използва информацията, за да насочва заявките към домашния бекенд клъстер на клиента.
Метаданните и данните на клиента се съхраняват в границите на клъстера. Изключение е репликацията на данни към вторичен бек-енд клъстер, който се намира в сдвоен регион в същата география на Azure. Вторичният клъстер служи като резервен, ако има регионално прекъсване, и е пасивен по всяко друго време. Микроуслугите, работещи на различни машини във виртуалната мрежа на клъстера, също обслужват функционалността на задния край. Само две от тези микроуслуги са достъпни от публичния интернет:
- Услуга за шлюз
- Управление на API в Azure
Power Platform Премиум инфраструктура
Power Platform Premium предоставя достъп до разширен набор от конектори като платена услуга. Power Platform производителите не са ограничени в използването на премиум конектори, но потребителите на приложения са. Тоест потребителите на приложение, което включва премиум конектори, трябва да имат правилния лиценз за достъп до тях. Услугата Power Platform back-end определя дали даден потребител има достъп до премиум конектори.
Мобилни платформи
Power Platform поддържа Android iOS и Windows (UWP) приложения. Съображенията за сигурност за мобилни приложения попадат в две категории:
- Комуникация с устройството
- Приложението и данните на устройството
Комуникация с устройството
Power Platform мобилните приложения използват същата връзка и последователности за удостоверяване, използвани от браузърите. Android и iOS приложенията отварят сесия на браузъра в приложението. Приложенията на Windows използват брокер, за да установят комуникационен канал с Power Platform услугите за процеса на влизане.
Следващата таблица показва поддръжка за удостоверяване, базирано на сертификат (CBA) за мобилни приложения:
| Поддръжка за CBA | iOS | Android | Прозорци |
|---|---|---|---|
| Влезте в услугата | Поддържани | Поддържани | Не се поддържа |
| SSRS ADFS on-prem (свързване със сървъра на SSRS) | Не се поддържа | Поддържани | Не се поддържа |
| SSRS App Proxy | Поддържани | Поддържани | Не се поддържа |
Мобилните приложения активно комуникират с Power Platform услугите. Статистиката за използване на приложението и подобни данни се предават на услуги, които наблюдават употребата и активността. Не са включени данни за клиентите.
Приложението и данните на устройството
Мобилното приложение и данните, които изисква, се съхраняват сигурно на устройството. Microsoft Entra и опресняващите токени се съхраняват с помощта на стандартни за индустрията мерки за сигурност.
Данните, кеширани на устройството, включват данни за приложения, потребителски настройки и табла за управление и отчети, достъпни в предишни сесии. Кешът се съхранява в пясъчна кутия във вътрешно хранилище. Кешът е достъпен само за приложението и може да бъде криптиран от операционната система.
- iOS: Шифроването е автоматично, когато потребителят зададе парола.
- Android: Шифроването може да се конфигурира в настройките.
- Windows: Шифроването се управлява от BitLocker.
Microsoft Шифроването на ниво файл Intune може да се използва за подобряване на шифроването на данни. Intune е софтуерна услуга, която осигурява управление на мобилни устройства и приложения. И трите мобилни платформи поддържат Intune. С активиран и конфигуриран Intune, данните на мобилното устройство са криптирани и Power Platform приложението не може да се инсталира на SD карта.
Приложенията за Windows също поддържат Windows Information Protection (WIP).
Кешираните данни се изтриват, когато потребителят:
- деинсталира приложението
- излиза от Power Platform услугата
- не успява да влезе след промяна на парола или токенът изтича
Геолокацията се активира или деактивира изрично от потребителя. Ако е активирано, данните за геолокация не се запазват на устройството и не се споделят с него Microsoft.
Известията се активират или деактивират изрично от потребителя. Ако известията са активирани Android и iOS не поддържат изисквания за пребиваване на географски данни.
Power Platform Мобилните услуги нямат достъп до папки или файлове на други приложения на устройството.
Някои данни за удостоверяване, базирани на маркери, са достъпни за други Microsoft приложения, като например удостоверител, за да се разреши еднократно влизане. Тези данни се управляват от Microsoft Entra SDK на библиотеката за удостоверяване.
Свързани статии
Удостоверяване на Power Platform услугите
Свързване и удостоверяване към източници на данни
Съхранение на данни в Power Platform
Power Platform Често задавани въпроси за сигурността
Вижте също
- Сигурност в Microsoft Dataverse
- Microsoft Условия за онлайн услуги
- Microsoft Декларация за поверителност на предприятието
- Допълнение за защита на данните
- Microsoft Практики за жизнения цикъл на разработката на защитата
- Метод за маршрутизиране на трафика на производителността за Azure Traffic Manager
- Microsoft Интюн
- Защита на информацията в Windows (WIP)