Zabezpečení v Microsoft Power Platform
Power Platform dává neprofesionálním i profesionálním vývojářům do rukou možnost rychle a snadno vytvářet komplexní řešení. Bezpečnost je pro tato řešení zásadní. Power Platform je navržen tak, aby poskytoval špičkovou ochranu.
Organizace urychlují svůj přechod na cloud a začleňují pokročilé technologie do provozu a obchodního rozhodování. Více zaměstnanců pracuje na dálku. Poptávka zákazníků po online službách prudce roste. Tradiční zabezpečení místních aplikací nebude stačit. Organizace hledající cloudové, vícevrstvé a hloubkové bezpečnostní řešení pro svá data business intelligence přecházejí na Power Platform. Národní bezpečnostní agentury, finanční instituce a poskytovatelé zdravotní péče svěřují řešení Power Platform své nejcitlivější informace.
Microsoft od poloviny 21. století masivně investovala do bezpečnosti. Více než 3 500 Microsoft inženýrů pracuje na proaktivním řešení neustále se měnícího prostředí hrozeb. Microsoft zabezpečení začíná v jádře BIOS na čipu a sahá až k uživatelskému prostředí. Dnes je naše bezpečnostní sada nejpokročilejší v oboru. Microsoft je obecně považována za globálního lídra v boji proti zlovolným aktérům. Miliardy počítačů, biliony přihlášení a zettabajty dat jsou svěřeny ochraně Microsoft.
Power Platform staví na těchto pevných základech. Využívá stejnou sadu zabezpečení, díky které má Azure tu čest obsluhovat a chránit nejcitlivější data na světě, a integruje se s nejpokročilejšími nástroji Microsoft 365 pro ochranu informací a dodržování předpisů. Power Platform poskytuje komplexní ochranu navrženou pro nejnáročnější problémy našich zákazníků v éře cloudu:
- Jak můžeme kontrolovat, kdo se může připojit, odkud se připojuje a jak se připojuje? Jak můžeme kontrolovat připojení?
- Jak jsou uchovávána naše data? Jak jsou šifrována? Jakou kontrolu máme nad svými daty?
- Jak můžeme kontrolovat a chránit naše citlivá data? Jak zajistíme, aby naše data nemohla uniknout mimo organizaci?
- Jak můžeme kontrolovat, kdo co může dělat? Jak můžeme rychle reagovat, pokud zjistíme podezřelou aktivitu?
Řízení
Služba Power Platform se řídí Microsoft Podmínkami online služeb a Microsoft Prohlášením o ochraně osobních údajů pro podniky. Informace o místě zpracování dat naleznete v Microsoft Podmínkách online služeb a Dodatku o ochraně dat.
Microsoft Centrum důvěryhodnosti je primárním zdrojem informací o shodě Power Platform . Další informace naleznete na stránce Microsoft Nabídky dodržování předpisů.
Služba Power Platform se řídí životním cyklem vývoje zabezpečení (SDL). SDL je soubor přísných postupů, které podporují zajištění bezpečnosti a požadavky na shodu. Další informace najdete na Microsoft Postupy životního cyklu vývoje zabezpečení.
Běžné koncepty zabezpečení Power Platform
Power Platform zahrnuje několik služeb. Některé z konceptů zabezpečení, kterými se budeme v této sérii zabývat, platí pro všechny. Některé koncepty jsou specifické pro jednotlivé služby. Pokud se koncepty zabezpečení liší, uvedeme je.
Koncepty zabezpečení, které jsou společné celé platformě Power Platform, zahrnují následující:
- Architektura služby Power Platform – neboli jak proudí informace systémem
- Ověřování ke Power Platform službám nebo jak uživatelé získávají přístup ke službám
- Připojování a ověřování zdrojů dat nebo jak se služby připojují ke zdrojům dat a jak uživatelé získávají přístup k datům
- Ukládání dat v Power Platform aneb jak jsou data chráněna, ať už jsou v klidu nebo při přenosu mezi systémy a službami
Architektura služby Power Platform
Power Platform služby jsou postaveny na platformě cloud computingu Microsoft Azure. Architektura služby Power Platform se skládá ze čtyř komponent:
- Webový front-endový cluster
- Back-endový cluster
- Infrastruktura Premium
- Mobilní platformy
Webový front-endový cluster
Platí pro služby Power Platform, které zobrazují webové uživatelské rozhraní. Webový front-endový cluster poskytuje domovskou stránku aplikace nebo služby do prohlížeče uživatele. Používá Microsoft Entra k prvotní autentizaci klientů a poskytování tokenů pro následná připojení klientů k back-endové službě Power Platform.
Webový front-endový cluster se skládá z webu ASP.NET běžící v prostředí Azure App Service Environment. Když uživatel navštíví službu nebo aplikaci Power Platform, může klientská služba DNS získat nejvhodnější (obvykle nejbližší) datové centrum z Azure Traffic Manager. Další informace najdete v článku o metodách efektivního směrování provozu prostřednictvím Azure Traffic Manageru.
Webový front-endový cluster spravuje sekvenci přihlášení a ověřování. Získává přístupový token Microsoft Entra poté, co je uživatel ověřen. Komponenta ASP.NET analyzuje token, aby určila, ke které organizaci uživatel patří. Komponenta pak konzultuje globální back-endovou službu Power Platform, která prohlížeči určí, který back-endový cluster ukrývá klienta organizace. Následné klientské interakce probíhají přímo s back-endovým clusterem, bez potřeby webového front-endového prostředníka.
Prohlížeč načítá statické prostředky, jako jsou .js, .css a soubory obrázků, hlavně z Azure Content Delivery Network (CDN). Nasazení clusteru pro suverénní státní správu je výjimkou. Z důvodu dodržování předpisů tato nasazení vynechávají Azure CDN. Místo toho používají webový front-endový cluster z vyhovující oblasti k hostování statického obsahu.
Back-endový cluster Power Platform
Back-endový cluster pro službu Power Platform je páteří všech funkcí dostupných ve službě. Skládá se z koncových bodů služeb, služeb pracujících na pozadí, databází, mezipamětí a dalších komponent.
Back-end je k dispozici ve většině oblastí Azure a bude nasazen v nových oblastech, jakmile budou k dispozici. Jedna oblast může hostovat více clusterů. Tato konfigurace umožňuje službám Power Platform neomezené horizontální škálování po dosažení limitů vertikálního a horizontálního škálování jednoho clusteru.
Back-endové clustery jsou stavové. Back-endový cluster hostuje všechna data všech k němu přiřazených klientů. Cluster, který obsahuje data konkrétního klienta, se nazývá domovský cluster klienta. Informace o domovském clusteru ověřeného uživatele poskytuje globální back-endová služba Power Platform a používá je webové rozhraní ke směrování požadavků na domovský cluster klienta. Webový front-end používá informace ke směrování požadavků do domovského back-endového clusteru klienta.
Metadata a data klientů jsou uložena v rámci limitů clusteru. Výjimkou je replikace dat do sekundárního back-endového clusteru, který se nachází ve spárované oblasti ve stejné geografické oblasti Azure. Sekundární back-endový cluster slouží jako cluster pro převzetí služeb při selhání v případě oblastního výpadku a jinak je vždy pasivní. Mikroslužby běžící na různých počítačích ve virtuální síti clusteru také slouží k back-endovým funkcím. Pouze dvě z těchto mikroslužeb jsou přístupné z veřejného internetu:
- Služba brány
- Azure API Management
Infrastruktura Power Platform Premium
Power Platform Premium poskytuje přístup k rozšířené sadě konektorů jako placená služba. Tvůrci Power Platform nejsou omezeni v používání prémiových konektorů, ale uživatelé aplikací ano. To znamená uživatelé aplikace vytvořené pomocí prémiových konektorů musí mít správnou licenci pro přístup k nim. Back-endová služba Power Platform určuje, zda má uživatel přístup k prémiovým konektorům či nikoli.
Mobilní platformy
Power Platform podporuje aplikace pro Android, iOS a Windows (UWP). Aspekty zabezpečení týkající se mobilních aplikací spadají do dvou kategorií:
- Komunikace zařízení
- Aplikace a data v zařízení
Komunikace zařízení
Mobilní aplikace Power Platform používají stejné sekvence připojení a ověřování, jaké používají prohlížeče. Aplikace pro Android a iOS otevírají relaci prohlížeče v aplikaci. Aplikace pro Windows používají zprostředkovatele k navázání komunikačního kanálu se službami Power Platform pro proces přihlášení.
V následující tabulce je uvedena podpora ověřování na základě certifikátu (CBA) pro mobilní aplikace:
| Podpora CBA | iOS | Android | Okna |
|---|---|---|---|
| Přihlášení ke službě | Podporováno | Podporováno | Nepodporováno |
| Místní SSRS ADFS (připojení k serveru SSRS) | Nepodporováno | Podporováno | Nepodporováno |
| Proxy aplikace SSRS | Podporováno | Podporováno | Nepodporováno |
Mobilní aplikace aktivně komunikují se službami Power Platform. Statistiky používání aplikací a podobná data se přenášejí do služeb, které monitorují využití a aktivitu. Nejsou zahrnuty žádné údaje o zákazníkovi.
Aplikace a data v zařízení
Mobilní aplikace a data, která vyžaduje, jsou bezpečně uloženy v zařízení. Microsoft Entra a obnovovací tokeny jsou uloženy pomocí standardních bezpečnostních opatření.
Data uložená v mezipaměti zařízení zahrnují data aplikací, uživatelská nastavení a řídicí panely a sestavy, ke kterým se přistupovalo v předchozích relacích. Mezipaměť je uložena v sandboxu v interním úložišti. Mezipaměť je přístupná pouze aplikaci a operační systém ji může zašifrovat.
- iOS: Šifrování je automatické, když uživatel nastaví heslo.
- Android: Šifrování lze nakonfigurovat v nastavení.
- Windows: Šifrování zajišťuje nástroj BitLocker.
Microsoft Šifrování na úrovni souborů Intune lze použít k vylepšení šifrování dat. Intune je softwarová služba, která poskytuje správu mobilních zařízení a aplikací. Všechny tři mobilní platformy podporují Intune. Pokud je služba Intune povolena a nakonfigurovaná, data na mobilním zařízení se šifrují a aplikaci Power Platform nelze instalovat na kartu SD.
Aplikace pro Windows také podporují Windows Information Protection (WIP).
Data v mezipaměti se odstraní, když uživatel:
- odinstaluje aplikaci
- odhlásí se ze služby Power Platform
- se nepodaří přihlásit po změně hesla nebo vyprší platnost tokenu
Geolokace je povolena nebo zakázána explicitně uživatelem. Pokud je povoleno, geolokační údaje se neukládají do zařízení a nejsou sdíleny s Microsoft.
Oznámení jsou povolena nebo zakázána explicitně uživatelem. Pokud jsou povolena oznámení, systémy Android a iOS pro ně nepodporují požadavky na geografickou rezidenci dat.
Služby Power Platform Mobile nemají přístup k jiným složkám aplikací nebo souborům v zařízení.
Některá ověřovací data založená na tokenech jsou k dispozici pro jiné Microsoft aplikace, jako je Authenticator, aby bylo možné jednotné přihlášení. Tato data jsou spravována sadou Microsoft Entra Authentication Library SDK.
Související články
Ověřování u Power Platform služeb
Připojování a ověřování zdrojů dat
Ukládání dat v Power Platform
Power Platform často kladené otázky o zabezpečení
Viz také
- Bezpečnost v Microsoft Dataverse
- Microsoft Podmínky online služeb
- Microsoft Prohlášení o ochraně osobních údajů v podniku
- Dodatek o ochraně osobních údajů
- Microsoft Postupy životního cyklu vývoje zabezpečení
- Metoda směrování provozu výkonu pro Azure Traffic Manager
- Microsoft Intune
- Windows Information Protection (WIP)