Zabezpečení v Microsoft Power Platform
Power Platform dává neprofesionálním i profesionálním vývojářům do rukou možnost rychle a snadno vytvářet komplexní řešení. Bezpečnost je pro tato řešení zásadní. Power Platform je navržen tak, aby poskytoval špičkovou ochranu.
Organizace urychlují svůj přechod na cloud a začleňují pokročilé technologie do provozu a obchodního rozhodování. Více zaměstnanců pracuje na dálku. Poptávka zákazníků po online službách prudce roste. Tradiční zabezpečení místních aplikací nebude stačit. Organizace hledající cloudové, vícevrstvé a hloubkové bezpečnostní řešení pro svá data business intelligence přecházejí na Power Platform. Národní bezpečnostní agentury, finanční instituce a poskytovatelé zdravotní péče svěřují řešení Power Platform své nejcitlivější informace.
Microsoft od poloviny 21. století masivně investoval do zabezpečení. Více než 3 500 techniků společnosti Microsoft pracuje na proaktivním řešení neustále se měnícího prostředí hrozeb. Zabezpečení společnosti Microsoft začíná na jádře systému BIOS na čipu a sahá až k uživatelské zkušenosti. Dnes je naše bezpečnostní sada nejpokročilejší v oboru. Microsoft je obecně považován za globálního lídra v boji proti zlomyslným aktérům. Ochraně Microsoftu jsou svěřeny miliardy počítačů, biliony přihlášení a zettabajty dat.
Power Platform staví na těchto pevných základech. Využívá stejnou sadu zabezpečení, díky které má Azure tu čest obsluhovat a chránit nejcitlivější data na světě, a integruje se s nejpokročilejšími nástroji Microsoft 365 pro ochranu informací a dodržování předpisů. Power Platform poskytuje komplexní ochranu navrženou pro nejnáročnější problémy našich zákazníků v éře cloudu:
- Jak můžeme kontrolovat, kdo se může připojit, odkud se připojuje a jak se připojuje? Jak můžeme kontrolovat připojení?
- Jak jsou uchovávána naše data? Jak jsou šifrována? Jakou kontrolu máme nad svými daty?
- Jak můžeme kontrolovat a chránit naše citlivá data? Jak zajistíme, aby naše data nemohla uniknout mimo organizaci?
- Jak můžeme kontrolovat, kdo co může dělat? Jak můžeme rychle reagovat, pokud zjistíme podezřelou aktivitu?
Řízení
Služba Power Platform se řídí podmínkami Microsoftu pro služby online a prohlášením Microsoftu o zásadách ochrany osobních údajů. Informace o umístění zpracování dat získáte v podmínkách pro služby Microsoft Online a v dodatku o ochraně dat.
Centrum zabezpečení společnosti Microsoft je hlavním zdrojem informací o dodržování shody v Power Platform. Více se dozvíte v nabídce dodržování předpisů společnosti Microsoft.
Služba Power Platform se řídí životním cyklem vývoje zabezpečení (SDL). SDL je soubor přísných postupů, které podporují zajištění bezpečnosti a požadavky na shodu. Více se dozvíte v části Postupy životního cyklu vývoje zabezpečení společnosti Microsoft.
Běžné koncepty zabezpečení Power Platform
Power Platform zahrnuje několik služeb. Některé z konceptů zabezpečení, kterými se budeme v této sérii zabývat, platí pro všechny. Některé koncepty jsou specifické pro jednotlivé služby. Pokud se koncepty zabezpečení liší, uvedeme je.
Koncepty zabezpečení, které jsou společné celé platformě Power Platform, zahrnují následující:
- Architektura služby Power Platform – neboli jak proudí informace systémem
- Ověřování ve službách Power Platform nebo jak uživatelé získávají přístup ke službám
- Připojování a ověřování zdrojů dat nebo jak se služby připojují ke zdrojům dat a uživatelé získávají přístup k datům
- Datové úložiště v Power Platform nebo jak jsou data chráněna, ať už jsou v klidu nebo při přenosu mezi systémy a službami
Architektura služby Power Platform
Služby Power Platform jsou postaveny na Azure, platformě typu cloud computing společnosti Microsoft. Architektura služby Power Platform se skládá ze čtyř komponent:
- Webový front-endový cluster
- Back-endový cluster
- Infrastruktura Premium
- Mobilní platformy
Webový front-endový cluster
Platí pro služby Power Platform, které zobrazují webové uživatelské rozhraní. Webový front-endový cluster poskytuje domovskou stránku aplikace nebo služby do prohlížeče uživatele. Používá Microsoft Entra k prvotní autentizaci klientů a poskytování tokenů pro následná připojení klientů k back-endové službě Power Platform.
Webový front-endový cluster se skládá z webu ASP.NET běžící v prostředí Azure App Service Environment. Když uživatel navštíví službu nebo aplikaci Power Platform, může klientská služba DNS získat nejvhodnější (obvykle nejbližší) datové centrum z Azure Traffic Manager. Další informace najdete v článku o metodách efektivního směrování provozu prostřednictvím Azure Traffic Manageru.
Webový front-endový cluster spravuje sekvenci přihlášení a ověřování. Získává přístupový token Microsoft Entra poté, co je uživatel ověřen. Komponenta ASP.NET analyzuje token, aby určila, ke které organizaci uživatel patří. Komponenta pak konzultuje globální back-endovou službu Power Platform, která prohlížeči určí, který back-endový cluster ukrývá klienta organizace. Následné klientské interakce probíhají přímo s back-endovým clusterem, bez potřeby webového front-endového prostředníka.
Prohlížeč načítá statické prostředky, jako jsou .js, .css a soubory obrázků, hlavně z Azure Content Delivery Network (CDN). Nasazení clusteru pro suverénní státní správu je výjimkou. Z důvodu dodržování předpisů tato nasazení vynechávají Azure CDN. Místo toho používají webový front-endový cluster z vyhovující oblasti k hostování statického obsahu.
Back-endový cluster Power Platform
Back-endový cluster pro službu Power Platform je páteří všech funkcí dostupných ve službě. Skládá se z koncových bodů služeb, služeb pracujících na pozadí, databází, mezipamětí a dalších komponent.
Back-end je k dispozici ve většině oblastí Azure a bude nasazen v nových oblastech, jakmile budou k dispozici. Jedna oblast může hostovat více clusterů. Tato konfigurace umožňuje službám Power Platform neomezené horizontální škálování po dosažení limitů vertikálního a horizontálního škálování jednoho clusteru.
Back-endové clustery jsou stavové. Back-endový cluster hostuje všechna data všech k němu přiřazených klientů. Cluster, který obsahuje data konkrétního klienta, se nazývá domovský cluster klienta. Informace o domovském clusteru ověřeného uživatele poskytuje globální back-endová služba Power Platform a používá je webové rozhraní ke směrování požadavků na domovský cluster klienta. Webový front-end používá informace ke směrování požadavků do domovského back-endového clusteru klienta.
Metadata a data klientů jsou uložena v rámci limitů clusteru. Výjimkou je replikace dat do sekundárního back-endového clusteru, který se nachází ve spárované oblasti ve stejné geografické oblasti Azure. Sekundární back-endový cluster slouží jako cluster pro převzetí služeb při selhání v případě oblastního výpadku a jinak je vždy pasivní. Mikroslužby běžící na různých počítačích ve virtuální síti clusteru také slouží k back-endovým funkcím. Pouze dvě z těchto mikroslužeb jsou přístupné z veřejného internetu:
- Služba brány
- Azure API Management
Infrastruktura Power Platform Premium
Power Platform Premium poskytuje přístup k rozšířené sadě konektorů jako placená služba. Tvůrci Power Platform nejsou omezeni v používání prémiových konektorů, ale uživatelé aplikací ano. To znamená uživatelé aplikace vytvořené pomocí prémiových konektorů musí mít správnou licenci pro přístup k nim. Back-endová služba Power Platform určuje, zda má uživatel přístup k prémiovým konektorům či nikoli.
Mobilní platformy
Power Platform podporuje aplikace pro Android, iOS a Windows (UWP). Aspekty zabezpečení týkající se mobilních aplikací spadají do dvou kategorií:
- Komunikace zařízení
- Aplikace a data v zařízení
Komunikace zařízení
Mobilní aplikace Power Platform používají stejné sekvence připojení a ověřování, jaké používají prohlížeče. Aplikace pro Android a iOS otevírají relaci prohlížeče v aplikaci. Aplikace pro Windows používají zprostředkovatele k navázání komunikačního kanálu se službami Power Platform pro proces přihlášení.
V následující tabulce je uvedena podpora ověřování na základě certifikátu (CBA) pro mobilní aplikace:
| Podpora CBA | iOS | Android | Okna |
|---|---|---|---|
| Přihlášení ke službě | Podporováno | Podporováno | Nepodporováno |
| Místní SSRS ADFS (připojení k serveru SSRS) | Nepodporováno | Podporováno | Nepodporováno |
| Proxy aplikace SSRS | Podporováno | Podporováno | Nepodporováno |
Mobilní aplikace aktivně komunikují se službami Power Platform. Statistiky používání aplikací a podobná data se přenášejí do služeb, které monitorují využití a aktivitu. Nejsou zahrnuty žádné údaje o zákazníkovi.
Aplikace a data v zařízení
Mobilní aplikace a data, která vyžaduje, jsou bezpečně uloženy v zařízení. Microsoft Entra a obnovovací tokeny jsou uloženy pomocí standardních bezpečnostních opatření.
Data uložená v mezipaměti zařízení zahrnují data aplikací, uživatelská nastavení a řídicí panely a sestavy, ke kterým se přistupovalo v předchozích relacích. Mezipaměť je uložena v sandboxu v interním úložišti. Mezipaměť je přístupná pouze aplikaci a operační systém ji může zašifrovat.
- iOS: Šifrování je automatické, když uživatel nastaví heslo.
- Android: Šifrování lze nakonfigurovat v nastavení.
- Windows: Šifrování zajišťuje nástroj BitLocker.
Microsoft Intune šifrování na úrovni souboru lze použít k vylepšení šifrování dat. Intune je softwarová služba, která poskytuje správu mobilních zařízení a aplikací. Všechny tři mobilní platformy podporují Intune. Pokud je služba Intune povolena a nakonfigurovaná, data na mobilním zařízení se šifrují a aplikaci Power Platform nelze instalovat na kartu SD.
Aplikace pro Windows také podporují Windows Information Protection (WIP).
Data v mezipaměti se odstraní, když uživatel:
- odinstaluje aplikaci
- odhlásí se ze služby Power Platform
- se nepodaří přihlásit po změně hesla nebo vyprší platnost tokenu
Geolokace je povolena nebo zakázána explicitně uživatelem. Pokud je povolena, geolokační data se neukládají do zařízení a nejsou sdílena se společností Microsoft.
Oznámení jsou povolena nebo zakázána explicitně uživatelem. Pokud jsou povolena oznámení, systémy Android a iOS pro ně nepodporují požadavky na geografickou rezidenci dat.
Služby Power Platform Mobile nemají přístup k jiným složkám aplikací nebo souborům v zařízení.
Některá ověřovací data založená na tokenech jsou k dispozici dalším aplikacím Microsoftu, jako je Authenticator, aby bylo možné jednotné přihlašování. Tato data jsou spravována sadou Microsoft Entra Authentication Library SDK.
Související články
Ověřování pro služby Power Platform
Připojování a ověřování přístupu ke zdrojům dat
Úložiště dat v Power Platform
Nejčastější dotazy k zabezpečení Power Platform
Viz také
- Zabezpečení v Microsoft Dataverse
- Podmínky služeb Microsoft Online
- Prohlášení o zásadách ochrany osobních údajů služeb Microsoft Enterprise
- Dodatek k ochraně údajů
- Postupy životního cyklu vývoje zabezpečení společnosti Microsoft
- Metody efektivního směrování provozu prostřednictvím Azure Traffic Manageru
- Microsoft Intune
- Windows Information Protection (WIP)