Nejčastější otázky ohledně zabezpečení Power Platform
Časté otázky k zabezpečení Power Platform spadají do dvou kategorií:
Jak byl Power Platform navržen tak, aby pomohl zmírnit 10 hlavních rizik projektu Open Web Application Security Project® (OWASP).
Otázky, které kladou naši zákazníci
Abychom vám usnadnili hledání nejnovějších informací, jsou na konci tohoto článku přidány nové otázky.
10 hlavních rizik OWASP a jejich zmírnění v Power Platform
Open Web Application Security Project® (OWASP) je nezisková nadace, která se snaží zlepšit zabezpečení softwaru. Prostřednictvím komunitně vedených open source softwarových projektů, stovek poboček po celém světě, desítek tisíc členů a předních vzdělávacích a školicích konferencí je OWASP Foundation pro vývojáře a technology zdrojem pro zabezpečení webu.
OWASP top 10 je standardní informační dokument pro vývojáře a ostatní, které zajímá zabezpečení webových aplikací. Představuje široký konsenzus na nejkritičtějších bezpečnostních rizicích pro webové aplikace. V této části probereme jak Power Platform pomáhá tato rizika zmírňovat.
A01:2021 Poškozená kontrola přístupu
- Model zabezpečení Power Platform je postaven na nejméně privilegovaném přístupu (LPA). LPA umožňuje zákazníkům vytvářet aplikace s podrobnějším řízením přístupu.
- Power Platform používá Microsoft Entra ID (Microsoft Entra ID) Microsoft Identity Platform pro autorizaci všech volání API s průmyslovým standardem OAuth 2.0 protokol.
- Dataverse, který poskytuje podkladová data pro Power Platform, má bohatý model zabezpečení, který zahrnuje zabezpečení na úrovni prostředí, na základě rolí a na úrovni záznamů a polí.
A02:2021 Kryptografická selhání
Přenášená data:
- Power Platform používá TLS k šifrování veškerého síťového provozu založeného na HTTP. K šifrování jiného síťového provozu než HTTP, který obsahuje zákaznická nebo důvěrná data.
- Power Platform využívá zesílenou konfiguraci TLS, která umožňuje HTTP Strict Transport Security (HSTS):
- TLS 1.2 nebo vyšší
- Sady šifer ECDHE a křivky NIST
- Silné klíče
Neaktivní uložená data:
- Všechna zákaznická data budou zašifrována před zápisem na energeticky nezávislé úložné médium.
Power Platform používá standardní osvědčené postupy k prevenci útoků prostřednictvím injektáže, včetně následujících:
- Použití bezpečných rozhraní API s parametrizovanými rozhraními
- Použití neustále se vyvíjejících funkcí front-endových rámců k očištění vstupů
- Očištění výstupu pomocí ověření na straně serveru
- Použití nástrojů statické analýzy během doby sestavení
- Kontrola modelu ohrožení každé služby každých šest měsíců, ať už byl kód/návrh/infrastruktura aktualizována či nikoli
- Power Platform je postaven na kultuře a metodologii bezpečného designu. Jak kultura, tak metodika jsou neustále posilovány prostřednictvím Microsoftvedoucího životního cyklu vývoje zabezpečení (SDL) a modelování hrozeb cvičí.
- Robustní proces kontroly modelování hrozeb zajišťuje, že hrozby jsou identifikovány během fáze návrhu, zmírňovány a ověřovány pro zajištění, že byly zmírněny.
- Modelování hrozeb také zohledňuje všechny změny služeb, které jsou již aktivní prostřednictvím průběžných pravidelných kontrol. Spoléhání se na model STRIDE pomáhá řešit nejčastější problémy s nezabezpečeným designem.
- MicrosoftSDL je ekvivalentní OWASP Software Assurance Maturity Model (SAMM). Oba jsou postaveny na předpokladu, že bezpečný design je nedílnou součástí zabezpečení webových aplikací.
A05:2021 Chybná konfigurace zabezpečení
- "Default Deny" je jedním ze základů principů návrhu Power Platform. Díky funkci „Default Deny“ si zákazníci potřebují zkontrolovat a přihlásit se k novým funkcím a konfiguracím.
- Jakákoli nesprávná konfigurace během doby sestavení bude zachycena pomocí integrované bezpečnostní analýzy pomocí nástrojů pro zabezpečený vývoj
- Navíc Power Platform prochází testem zabezpečení dynamické analýzy (DAST) využívající interní službu, která je postavena na 10 hlavních rizicích OWASP.
A06:2021 Zranitelné a zastaralé součásti
- Power Platform dodržuje Microsoft postupy SDL pro správu open source komponent a komponent třetích stran. Tyto postupy zahrnují správu kompletního inventáře, provádění bezpečnostních analýz, udržování komponent v aktuálním stavu a jejich sladění s testovaným a vyzkoušeným procesem reakce na bezpečnostní incidenty.
- Ve vzácných případech mohou některé aplikace obsahovat kopie zastaralých součástí z důvodu externích závislostí. Avšak poté, co byly tyto závislosti vyřešeny v souladu s postupy popsanými výše, jsou komponenty sledovány a aktualizovány.
A07:2021 Selhání identifikace a ověření
- Power Platform je postaven na službě Microsoft Entra ID a závisí na ní z hlediska identifikace i ověřování.
- Microsoft Entra pomáhá Power Platform umožnit zabezpečené funkce. Tyto funkce zahrnují jednotné přihlášení, vícefaktorové ověřování a jediná platforma pro bezpečnější komunikaci s interními i externími uživateli.
- S nadcházející implementací Microsoft Entra ID Power Platform Průběžné hodnocení přístupu (CAE) bude identifikace a ověřování uživatelů ještě bezpečnější a spolehlivější.
A08:2021 Selhání integrity softwaru a dat
- Proces správy komponent Power Platform vynucuje bezpečnou konfiguraci zdrojových souborů balíčků, aby byla zachována integrita softwaru.
- Tento proces zajišťuje, že na adresu budou doručeny pouze balíčky z interních zdrojů substituční útok . Substituční útok, také známý jako zmatek závislostí, je technika, kterou lze použít k otravě procesu vytváření aplikací v zabezpečených podnikových prostředích.
- Všechna zašifrovaná data mají před odesláním ochranu integrity. Všechna metadata ochrany integrity přítomná pro příchozí šifrovaná data jsou ověřena.
OWASP top 10 rizik minimálního kódu/žádného kódu: Zmírnění v Power Platform
Pokyny ke zmírnění 10 hlavních bezpečnostních rizik s nízkým kódem/bez kódu zveřejněných OWASP naleznete v tomto dokumentu:
Power Platform - OWASP Low Code No Code Top 10 Risks (duben 2024)
Běžné otázky zákazníků ohledně zabezpečení
Níže jsou uvedeny některé z otázek na zabezpečení, které naši zákazníci kladou.
Jak Power Platform pomáhá chránit před riziky clickjackingu?
Clickjacking využívá mimo jiné vložené prvky iframe ke zneužití interakcí uživatele s webovou stránkou. Je to významná hrozba zejména pro přihlašovací stránky. Power Platform zabraňuje používání prvků iframe na přihlašovacích stránkách, čímž výrazně snižuje riziko clickjackingu.
Kromě toho lze použít zásady zabezpečení obsahu (CSP) k omezení vkládání jen do důvěryhodných domén pomocí nastavení organizace.
Podporuje Power Platform zásady zabezpečení obsahu (CSP)?
Power Platform podporuje zásady zabezpečení obsahu (CSP) u modelem řízených aplikací. Nepodporujeme následující hlavičky, které jsou nahrazeny CSP:
X-XSS-ProtectionX-Frame-Options
Jak se můžeme bezpečně připojit k SQL Serveru?
Viz Bezpečné používání Microsoft SQL Server s Power Apps.
Jaké šifry podporovuje Power Platform? Jaký je plán průběžného směřování k silnějším šifrám?
Všechny Microsoft služby a produkty jsou nakonfigurovány tak, aby používaly schválené šifrovací sady, v přesném pořadí podle pokynů Microsoft Crypto Board. Úplný seznam a přesné pořadí viz dokumentace Power Platform.
Informace o ukončení podpory šifrovacích sad budou oznámeny prostřednictvím důležitých změn k Power Platform.
Proč Power Platform stále podporuje šifry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) a TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), které jsou považovány za slabší?
Microsoft zvažuje relativní riziko a narušení zákaznických operací při výběru šifrovacích sad pro podporu. Šifrovací sady RSA-CBC ještě nebyly prolomeny. Umožnili jsme jim zajistit konzistenci napříč našimi službami a produkty a podporovat všechny konfigurace zákazníků. Jsou však na samotném konci seznamu priorit.
Na základě průběžného hodnocení Crypto Board Microsoft tyto šifry ve správný čas ukončíme.
Proč ano Power Automate odhaluje hashe obsahu MD5 ve vstupech a výstupech spouštění/akce?
Power Automate předává volitelnou hodnotu hash content-MD5 vrácenou Azure Storage tak, jak je, svým klientům. Tento hash používá Azure Storage k ověření integrity stránky během přenosu jako algoritmus kontrolního součtu a nepoužívá se jako kryptografická hašovací funkce pro účely zabezpečení v Power Automate. Další podrobnosti o tom najdete v dokumentaci k Azure Storage o tom, jak získat vlastnosti blob a jak pracovat se záhlavími požadavků.
Jak Power Platform chrání před útoky typu DDoS (Distributed Denial of Service)?
Power Platform je postaven na Microsoft Azure a používá ochranu Azure DDoS a brání před útoky DDoS.
Rozpozná platforma Power Platform zařízení iOS s jailbreakem a zařízení Android s rootem, aby ochránila data organizace?
Doporučujeme používat Microsoft Intune. Intune je řešení pro správu mobilních zařízení. Může pomoci chránit data organizace tím, že vyžaduje, aby uživatelé a zařízení splňovali určité požadavky. Další informace najdete v části Nastavení zásad dodržování předpisů v sekci o Intune.
Proč jsou soubory cookie relace vymezeny pro nadřazenou doménu?
Power Platform zahrne soubory cookie relace do nadřazené domény, aby umožnila ověřování napříč organizacemi. Subdomény se nepoužívají jako hranice zabezpečení. Také nehostují zákaznický obsah.
Jak můžeme nastavit relaci aplikace, aby vypršela například po 15 minutách?
Power Platform používá Microsoft Entra ID pro správu identit a přístupu (IAM). Vychází z doporučované konfigurace správy relací Microsoft Entra ID k zajištění optimální funkčnosti pro uživatele.
Můžete však přizpůsobit prostředí tak, aby měla explicitní časové limity relací a/nebo aktivit. Další informace najdete v tématu Vylepšení v oblasti zabezpečení: Správa uživatelských relací a přístupu.
S nadcházející implementací Microsoft Entra ID Power Platform Průběžné hodnocení přístupu bude identifikace a ověřování uživatelů ještě bezpečnější a spolehlivější.
Aplikace umožňuje stejnému uživateli přístup z více než jednoho počítače nebo prohlížeče současně. Jak tomu můžeme zabránit?
Přístup k aplikaci z více než jednoho zařízení nebo prohlížeče současně je pro uživatele užitečná věc. Nadcházející implementace Microsoft Entra ID Průběžné hodnocení přístupu Power Platform pomůže zajistit, že přístup je z autorizovaných zařízení a prohlížečů a je stále platný.
Proč některé ze služeb Power Platform zpřístupňují záhlaví serverů s podrobnými informacemi?
Služby Power Platform pracují na odstranění nepotřebných informací v záhlaví serveru. Cílem je vyvážit úroveň detailů s rizikem vystavování informací což by mohlo oslabit celkovou pozici zabezpečení.
Jaký dopad mají chyby zabezpečení Log4j na Power Platform? Co by měli zákazníci v tomto ohledu dělat?
Microsoft vyhodnotil, že žádná zranitelnost Log4j nemá vliv Power Platform. Podívejte se na náš příspěvek na blogu prevence, detekce a hledání zneužití chyb zabezpečení Log4j.
Jak můžeme zajistit, že nedochází k žádným neoprávněným transakcím prostřednictvím rozšíření prohlížeče nebo klientských rozhraní API Sjednoceného rozhraní, které by umožnili povolit zakázané ovládací prvky?
Model zabezpečení Power Apps nezahrnuje koncept zakázaných ovládacích prvků. Zakázání ovládacích prvků je vylepšením uživatelského rozhraní. Na zakázané ovládací prvky by se nemělo spoléhat jako na zabezpečení. Abyste zabránili neoprávněným transakcím, používejte ovládací prvky zabezpečení Dataverse, jako je zabzpečení na úrovni pole.
Která záhlaví zabezpečení HTTP se používají k ochraně dat odpovědí?
| Name | Detaily |
|---|---|
| Přísná doprava-bezpečnost | Toto je nastaveno na max-age=31536000; includeSubDomains pro všechny odpovědi. |
| X-Frame-Options | Toto je zastaralé kvůli CSP. |
| X-Content-Type-Options | Toto je nastaveno na nosniff pro všechny odpovědi majetku. |
| Content-Security-Policy | Toto je nastaveno, pokud uživatel povolí CSP. |
| X-XSS-ochrana | Toto je zastaralé kvůli CSP. |
Kde mohu najít penetrační testy Power Platform nebo Dynamics 365?
Nejnovější penetrační testy a bezpečnostní hodnocení lze nalézt na Microsoft Service Trust Portal.
Poznámka:
Chcete-li získat přístup k některým zdrojům na portálu Service Trust Portal, musíte se přihlásit jako ověřený uživatel pomocí svého Microsoft účtu cloudových služeb (Microsoft Entra účet organizace) a přečíst si a přijmout Microsoft dohoda o mlčenlivosti pro materiály shody.
Související články
Bezpečnost v Microsoft Power Platform
Ověřování u Power Platform služeb
Připojování a ověřování zdrojů dat
Ukládání dat v Power Platform