Nejčastější otázky ohledně zabezpečení Power Platform
Časté otázky k zabezpečení Power Platform spadají do dvou kategorií:
Jak byl Power Platform navržen tak, aby pomohl zmírnit 10 hlavních rizik projektu Open Web Application Security Project® (OWASP).
Otázky, které kladou naši zákazníci
Abychom vám usnadnili hledání nejnovějších informací, jsou na konci tohoto článku přidány nové otázky.
10 hlavních rizik OWASP a jejich zmírnění v Power Platform
Open Web Application Security Project® (OWASP) je nezisková nadace, která se snaží zlepšit zabezpečení softwaru. Prostřednictvím komunitně vedených open source softwarových projektů, stovek poboček po celém světě, desítek tisíc členů a předních vzdělávacích a školicích konferencí je OWASP Foundation pro vývojáře a technology zdrojem pro zabezpečení webu.
OWASP top 10 je standardní informační dokument pro vývojáře a ostatní, které zajímá zabezpečení webových aplikací. Představuje široký konsenzus na nejkritičtějších bezpečnostních rizicích pro webové aplikace. V této části probereme jak Power Platform pomáhá tato rizika zmírňovat.
A01:2021 – Poškozené řízení přístupu
- Model zabezpečení Power Platform je postaven na nejméně privilegovaném přístupu (LPA). LPA umožňuje zákazníkům vytvářet aplikace s podrobnějším řízením přístupu.
- Power Platform používá platformu Microsoft Identity Platform řešení Microsoft Entra ID (Microsoft Entra ID) pro autorizaci všech volání rozhraní API se standardním protokolem OAuth 2.0.
- Dataverse, který poskytuje podkladová data pro Power Platform, má bohatý model zabezpečení, který zahrnuje zabezpečení na úrovni prostředí, na základě rolí a na úrovni záznamů a polí.
A02:2021 – Kryptografická selhání
Přenášená data:
- Power Platform používá TLS k šifrování veškerého síťového provozu založeného na HTTP. K šifrování jiného síťového provozu než HTTP, který obsahuje zákaznická nebo důvěrná data.
- Power Platform využívá zesílenou konfiguraci TLS, která umožňuje HTTP Strict Transport Security (HSTS):
- TLS 1.2 nebo vyšší
- Sady šifer ECDHE a křivky NIST
- Silné klíče
Neaktivní uložená data:
- Všechna zákaznická data budou zašifrována před zápisem na energeticky nezávislé úložné médium.
Power Platform používá standardní osvědčené postupy k prevenci útoků prostřednictvím injektáže, včetně následujících:
- Použití bezpečných rozhraní API s parametrizovanými rozhraními
- Použití neustále se vyvíjejících funkcí front-endových rámců k očištění vstupů
- Očištění výstupu pomocí ověření na straně serveru
- Použití nástrojů statické analýzy během doby sestavení
- Kontrola modelu ohrožení každé služby každých šest měsíců, ať už byl kód/návrh/infrastruktura aktualizována či nikoli
A04:2021 – Nezabezpečený návrh
- Power Platform je postaven na kultuře a metodologii bezpečného designu. Kultura i metodologie jsou konstantně posilovány prostřednictvím předního vývojového cyklu zabezpečení (SDL) společnosti Microsoft Modelování hrozeb practices.
- Robustní proces kontroly modelování hrozeb zajišťuje, že hrozby jsou identifikovány během fáze návrhu, zmírňovány a ověřovány pro zajištění, že byly zmírněny.
- Modelování hrozeb také zohledňuje všechny změny služeb, které jsou již aktivní prostřednictvím průběžných pravidelných kontrol. Spoléhání se na model STRIDE pomáhá řešit nejčastější problémy s nezabezpečeným designem.
- SDL společnosti je ekvivalentní Model zralosti OWASP Software Assurance (SAMM). Oba jsou postaveny na předpokladu, že bezpečný design je nedílnou součástí zabezpečení webových aplikací.
A05:2021 – Nesprávná konfigurace zabezpečení
- "Default Deny" je jedním ze základů principů návrhu Power Platform. Díky funkci „Default Deny“ si zákazníci potřebují zkontrolovat a přihlásit se k novým funkcím a konfiguracím.
- Jakákoli nesprávná konfigurace během doby sestavení bude zachycena pomocí integrované bezpečnostní analýzy pomocí nástrojů pro zabezpečený vývoj
- Navíc Power Platform prochází testem zabezpečení dynamické analýzy (DAST) využívající interní službu, která je postavena na 10 hlavních rizicích OWASP.
A06:2021 – Zranitelné a zastaralé komponenty
- Power Platform následuje špičkové postupy společnosti Microsoft ke správě open source komponent a komponent třetích stran. Tyto postupy zahrnují správu kompletního inventáře, provádění bezpečnostních analýz, udržování komponent v aktuálním stavu a jejich sladění s testovaným a vyzkoušeným procesem reakce na bezpečnostní incidenty.
- Ve vzácných případech mohou některé aplikace obsahovat kopie zastaralých součástí z důvodu externích závislostí. Avšak poté, co byly tyto závislosti vyřešeny v souladu s postupy popsanými výše, jsou komponenty sledovány a aktualizovány.
A07:2021 – Selhání identifikace a ověřování
- Power Platform je postaven na službě Microsoft Entra ID a závisí na ní z hlediska identifikace i ověřování.
- Microsoft Entra pomáhá Power Platform umožnit zabezpečené funkce. Tyto funkce zahrnují jednotné přihlášení, vícefaktorové ověřování a jediná platforma pro bezpečnější komunikaci s interními i externími uživateli.
- S nadcházející implementací Microsoft Entra ID Power Platform Průběžné hodnocení přístupu (CAE) bude identifikace a ověřování uživatelů ještě bezpečnější a spolehlivější.
A08:2021 – Selhání integrity softwaru a dat
- Proces správy komponent Power Platform vynucuje bezpečnou konfiguraci zdrojových souborů balíčků, aby byla zachována integrita softwaru.
- Tento proces zajišťuje, že na adresu budou doručeny pouze balíčky z interních zdrojů substituční útok . Substituční útok, také známý jako zmatek závislostí, je technika, kterou lze použít k otravě procesu vytváření aplikací v zabezpečených podnikových prostředích.
- Všechna zašifrovaná data mají před odesláním ochranu integrity. Všechna metadata ochrany integrity přítomná pro příchozí šifrovaná data jsou ověřena.
OWASP top 10 rizik minimálního kódu/žádného kódu: Zmírnění v Power Platform
Pokyny ke zmírnění 10 hlavních bezpečnostních rizik s nízkým kódem/bez kódu zveřejněných OWASP naleznete v tomto dokumentu:
Power Platform - OWASP 10 top rizik minimálního kódu / žádného kódu (duben 2024)
Běžné otázky zákazníků ohledně zabezpečení
Níže jsou uvedeny některé z otázek na zabezpečení, které naši zákazníci kladou.
Jak Power Platform pomáhá chránit před riziky clickjackingu?
Clickjacking používá mimo jiné vložené prvky iframe k únosu interakcí uživatele s webovou stránkou. Je to významná hrozba zejména pro přihlašovací stránky. Power Platform zabraňuje používání prvků iframe na přihlašovacích stránkách, čímž výrazně snižuje riziko clickjackingu.
Kromě toho lze použít zásady zabezpečení obsahu (CSP) k omezení vkládání jen do důvěryhodných domén pomocí nastavení organizace.
Podporuje Power Platform zásady zabezpečení obsahu (CSP)?
Power Platform podporuje zásady zabezpečení obsahu (CSP) u modelem řízených aplikací. Nepodporujeme následující hlavičky, které jsou nahrazeny CSP:
X-XSS-ProtectionX-Frame-Options
Jak se můžeme bezpečně připojit k SQL Serveru?
Viz Bezpečné používání Microsoft SQL Server s Power Apps.
Jaké šifry podporovuje Power Platform? Jaký je plán průběžného směřování k silnějším šifrám?
Všechny služby a produkty společnosti Microsoft jsou nakonfigurovány tak, aby používaly schválené šifrovací sady v přesném pořadí, jak uvádí Microsoft Crypto Board. Úplný seznam a přesné pořadí viz dokumentace Power Platform.
Informace o ukončení podpory šifrovacích sad budou oznámeny prostřednictvím důležitých změn k Power Platform.
Proč Power Platform stále podporuje šifry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) a TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), které jsou považovány za slabší?
Microsoft při výběru podpory šifrovacích sad zvažuje relativní riziko a nepohodlí zákazníků. Šifrovací sady RSA-CBC ještě nebyly prolomeny. Umožnili jsme jim zajistit konzistenci napříč našimi službami a produkty a podporovat všechny konfigurace zákazníků. Jsou však na samotném konci seznamu priorit.
Podporu těchto šifrovacích sad ve správný čas ukončíme; Microsoft Crypto Board provádí čas od času průběžné hodnocení.
Proč ano Power Automate odhaluje hashe obsahu MD5 ve vstupech a výstupech spouštění/akce?
Power Automate předává volitelnou hodnotu hash content-MD5 vrácenou Azure Storage tak, jak je, svým klientům. Tento hash používá Azure Storage k ověření integrity stránky během přenosu jako algoritmus kontrolního součtu a nepoužívá se jako kryptografická hašovací funkce pro účely zabezpečení v Power Automate. Další podrobnosti o tom najdete v dokumentaci k Azure Storage o tom, jak získat vlastnosti blob a jak pracovat se záhlavími požadavků.
Jak Power Platform chrání před útoky typu DDoS (Distributed Denial of Service)?
Power Platform je postaven na Microsoft Azure a používá ochranu Azure DDoS a brání před útoky DDoS.
Rozpozná platforma Power Platform zařízení iOS s jailbreakem a zařízení Android s rootem, aby ochránila data organizace?
Doporučujeme používat Microsoft Intune. Intune je řešení pro správu mobilních zařízení. Může pomoci chránit data organizace tím, že vyžaduje, aby uživatelé a zařízení splňovali určité požadavky. Další informace najdete v části Nastavení zásad dodržování předpisů v sekci o Intune.
Proč jsou soubory cookie relace vymezeny pro nadřazenou doménu?
Power Platform zahrne soubory cookie relace do nadřazené domény, aby umožnila ověřování napříč organizacemi. Subdomény se nepoužívají jako hranice zabezpečení. Také nehostují zákaznický obsah.
Jak můžeme nastavit relaci aplikace, aby vypršela například po 15 minutách?
Power Platform používá Microsoft Entra ID pro správu identit a přístupu (IAM). Vychází z doporučované konfigurace správy relací Microsoft Entra ID k zajištění optimální funkčnosti pro uživatele.
Můžete však přizpůsobit prostředí tak, aby měla explicitní časové limity relací a/nebo aktivit. Další informace najdete v tématu Vylepšení v oblasti zabezpečení: Správa uživatelských relací a přístupu.
S nadcházející implementací Microsoft Entra ID Power Platform Průběžné hodnocení přístupu bude identifikace a ověřování uživatelů ještě bezpečnější a spolehlivější.
Aplikace umožňuje stejnému uživateli přístup z více než jednoho počítače nebo prohlížeče současně. Jak tomu můžeme zabránit?
Přístup k aplikaci z více než jednoho zařízení nebo prohlížeče současně je pro uživatele užitečná věc. Nadcházející implementace Microsoft Entra ID Průběžné hodnocení přístupu Power Platform pomůže zajistit, že přístup je z autorizovaných zařízení a prohlížečů a je stále platný.
Proč některé ze služeb Power Platform zpřístupňují záhlaví serverů s podrobnými informacemi?
Služby Power Platform pracují na odstranění nepotřebných informací v záhlaví serveru. Cílem je vyvážit úroveň detailů s rizikem vystavování informací což by mohlo oslabit celkovou pozici zabezpečení.
Jaký dopad mají chyby zabezpečení Log4j na Power Platform? Co by měli zákazníci v tomto ohledu dělat?
Společnost Microsoft vyhodnotila, že žádné chyby zabezpečení Log4j nemají vliv na Power Platform. Podívejte se na náš příspěvek na blogu prevence, detekce a hledání zneužití chyb zabezpečení Log4j.
Jak můžeme zajistit, že nedochází k žádným neoprávněným transakcím prostřednictvím rozšíření prohlížeče nebo klientských rozhraní API Sjednoceného rozhraní, které by umožnili povolit zakázané ovládací prvky?
Model zabezpečení Power Apps nezahrnuje koncept zakázaných ovládacích prvků. Zakázání ovládacích prvků je vylepšením uživatelského rozhraní. Na zakázané ovládací prvky by se nemělo spoléhat jako na zabezpečení. Abyste zabránili neoprávněným transakcím, používejte ovládací prvky zabezpečení Dataverse, jako je zabzpečení na úrovni pole.
Která záhlaví zabezpečení HTTP se používají k ochraně dat odpovědí?
| Name | Detaily |
|---|---|
| Strict-Transport-Security | Toto je nastaveno na max-age=31536000; includeSubDomains pro všechny odpovědi. |
| X-Frame-Options | Toto je zastaralé kvůli CSP. |
| X-Content-Type-Options | Toto je nastaveno na nosniff pro všechny odpovědi majetku. |
| Content-Security-Policy | Toto je nastaveno, pokud uživatel povolí CSP. |
| X-XSS-Protection | Toto je zastaralé kvůli CSP. |
Kde mohu najít penetrační testy Power Platform nebo Dynamics 365?
Nejnovější penetrační testy a posouzení zabezpečení lze nalézt na portálu Microsoft Service Trust Portal.
Poznámka:
Chcete-li získat přístup k některým prostředkům na portálu Service Trust Portal, musíte se přihlásit jako ověřený uživatel pomocí účtu cloudových služeb Microsoft (účet organizace Microsoft Entra) a prostudujte si a přijměte smlouvu Microsoft o mlčenlivosti ohledně materiálů pro dodržování předpisů.
Související články
Zabezpečení v Microsoft Power Platform
Ověřování pro služby Power Platform
Připojování a ověřování přístupu ke zdrojům dat
Úložiště dat v Power Platform