Freigeben über

Häufig gestellte Fragen zur Sicherheit in Power Platform

  • Artikel

Häufig gestellte Fragen zur Sicherheit in Power Platform fallen in zwei Kategorien:

  • Wie Power Platform entwickelt wurde, um die 10 größten Open Web Application Security Project®-Risiken (OWASP) zu mindern

  • Fragen, die unsere Kunden stellen

Um Ihnen das Auffinden aktueller Informationen zu erleichtern, wurden neue Fragen am Ende dieses Artikels hinzugefügt.

Top-10-OWASP-Risiken: Risikominderung in Power Platform

Das Open Web Application Security Project® (OWASP) ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Softwaresicherheit einsetzt. Durch von der Community geführte Open-Source-Softwareprojekte, Hunderte Gruppen weltweit, Zehntausende von Mitgliedern und führende Bildungs- und Schulungskonferenzen ist die OWASP Foundation die Quelle für Entwickler und Technologen zum Schutz des Internets.

Top-10-OWASP ist ein Standardaufklärungsdokument für Entwickler und andere, die an der Sicherheit von Webanwendungen interessiert sind. Es enthält einen weitgehenden Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen. In diesem Abschnitt besprechen wir, wie Power Platform hilft, diese Risiken zu mindern.

A01:2021 – defekte Zugriffssteuerung

  • Das Power Platform-SicherheitsModell basiert auf dem „Least Privileged Access“-Prinzip (LPA-Prinzip). LPA ermöglicht es Kunden, Anwendungen mit einer präziseren Zugriffskontrolle zu erstellen.
  • Power Platform verwendet die Microsoft Identity-Plattform von Microsoft Entra ID (Microsoft Entra ID) zur Autorisierung aller API-Aufrufe mit dem branchenüblichen OAuth-2.0-Protokoll.
  • Dataverse, die die zugrunde liegenden Daten für Power Platform bereitstellt, verfügt über ein umfassendes SicherheitsModell, das Sicherheit auf Umgebungsebene, rollenbasierte Sicherheit sowie Sicherheit auf Datensatz- und Feldebene umfasst.

A02:2021 – kryptografische Fehler

In Transit befindliche Daten:

  • Power Platform verwendet TLS, um den gesamten HTTP-basierten Netzwerkverkehr zu verschlüsseln. Es verwendet andere Mechanismen, um den Nicht-HTTP-Netzwerkdatenverkehr zu verschlüsseln, der Kunden- oder vertrauliche Daten enthält.
  • Power Platform verwendet eine verstärkte TLS-Konfiguration, die HTTP Strict Transport Security (HSTS) ermöglicht:
    • TLS 1.2 oder höher
    • ECDHE-basierte Verschlüsselungssammlungen und NIST-Kurven
    • Starke Schlüssel

Ruhende Daten:

  • Alle Kundendaten werden verschlüsselt, bevor sie auf permanente Speichermedien geschrieben werden.

A03:2021 – Einschleusung

Power Platform verwendet branchenübliche Best Practices, um Einschleuseangriffe zu verhindern, darunter:

  • Verwendung sicherer APIs mit parametrisierten Schnittstellen
  • Anwendung der sich ständig weiterentwickelnden Fähigkeiten von Front-End-Frameworks, um Eingaben zu bereinigen
  • Bereinigen der Ausgabe mit serverseitiger Validierung
  • Verwenden von statischen Analysetools während der Erstellungszeit
  • Überprüfen des BedrohungsModell jedes einzelnen Dienstes alle sechs Monate daraufhin, ob der Code, das Design oder die Infrastruktur aktualisiert wurde oder nicht

A04:2021 – unsicheres Design

  • Power Platform basiert auf einer Kultur und Methodik des sicheren Designs. Sowohl die Kultur als auch die Methodik werden ständig durch die Praktiken der in der Branche führenden Praktiken des Security Development Lifecycle (SDL) und der BedrohungsModellierung von Microsoft ständig verstärkt.
  • Der Überprüfungsprozess der BedrohungsModellierung stellt sicher, dass Bedrohungen während der Entwurfsphase identifiziert, eindämmt und überprüft werden, um sicherzustellen, dass sie eingedämmt wurden.
  • Die BedrohungsModellierung berücksichtigt auch alle Änderungen an Diensten, die bereits live sind, durch kontinuierliche regelmäßige Überprüfungen. Der Einsatz des STRIDE-Modells hilft, die häufigsten Probleme mit unsicherem Design zu lösen.
  • Microsofts SDL entspricht dem OWASP Software Assurance Maturity Model (SAMM). Beide basieren auf der Prämisse, dass sicheres Design ein integraler Bestandteil der Sicherheit von Webanwendungen ist.

A05:2021 – Sicherheits-Fehlkonfiguration

  • Eine der Grundlagen der Power Platform Design-Prinzipien ist das standardmäßige Ablehnen. Durch die standardmäßige Ablehnungen müssen Kunden neue Funktionen und Konfigurationen überprüfen und sich dafür entscheiden.
  • Alle Fehlkonfigurationen während der Erstellungszeit werden durch die integrierte Sicherheitsanalyse mithilfe von sicheren Entwicklungstools abgefangen.
  • Darüber hinaus durchläuft Power Platform dynamische Anwendungssicherheitstests (DAST), wobei ein interner Dienst genutzt wird, der auf den Top-10-OWASP-Risiken aufbaut.

A06:2021 – anfällige und veraltete Komponenten

  • Power Platform nutzt die SDL-Methoden von Microsoft zur Verwaltung der Open-Source- und Drittanbieterkomponenten. Diese Methoden umfassen die Pflege eines vollständigen Inventars, die Durchführung von Sicherheitsanalysen, die Aktualisierung der Komponenten und ihre Ausrichtung an einem seit Langem bewährten Prozess zum Umgang mit Sicherheitsvorfällen.
  • In seltenen Fällen können einige Anwendungen aufgrund externer Abhängigkeiten Kopien veralteter Komponenten enthalten. Nachdem diese Abhängigkeiten jedoch in Übereinstimmung mit den zuvor beschriebenen Verfahren behandelt wurden, werden die Komponenten nachverfolgt und aktualisiert.

A07:2021 – Identifizierungs- und Authentifizierungsfehler

  • Power Platform ist zur Identifizierung als auch zur Authentifizierung auf Microsoft Entra ID aufgebaut und stützt sich darauf.
  • Microsoft Entra hilft Power Platform sichere Funktionen zu aktivieren. Zu diesen Funktionen zählen einmaliges Anmelden, Multi-Faktor-Authentifizierung und eine einzige Plattform, um sicherer mit internen und externen Benutzern interagieren zu können.
  • Mit der bevorstehenden Implementierung der fortlaufenden Zugriffsevaluierung (CAE) von Microsoft Entra ID in Power Platform werden die Benutzeridentifikation und -authentifizierung noch sicherer und zuverlässiger.

A08:2021 – Software- und Datenintegritätsfehler

  • Der Komponenten-Governance-Prozess von Power Platform erzwingt die sichere Konfiguration von Paketquelldateien zur Sicherstellung der Softwareintegrität.
  • Der Prozess stellt sicher, dass nur intern bezogene Pakete genutzt werden, um mit Substitutionsangriffen umzugehen. Der Substitutionsangriff, auch bekannt als Abhängigkeitsverwechslung, ist eine Technik, mit der der App-Erstellungsprozess in sicheren Unternehmensumgebungen vergiftet wird.
  • Auf alle verschlüsselten Daten wird vor der Übertragung ein Integritätsschutz angewendet. Alle Metadaten zum Integritätsschutz, die für eingehende verschlüsselte Daten vorhanden sind, werden überprüft.

Top 10 der Low-Code-/No-Code-Risiken laut OWASP: Risikominderung in Power Platform

Anleitungen zur Eindämmung der von OWASP veröffentlichten Top-10-Low-Code-/No-Code-Sicherheitsrisiken finden Sie in diesem Dokument:

Power Platform – Top 10 der Low-Code-/No-Code-Risiken laut OWASP (April 2024)

Häufige Sicherheitsfragen von Kunden

Im Folgenden finden Sie einige der Sicherheitsfragen, die unsere Kunden stellen.

Wie hilft Power Platform, vor Clickjacking zu schützen?

Clickjacking verwendet neben anderen Komponenten eingebettete iFrames, um die Interaktionen eines Benutzers mit einer Webseite zu kapern. Dies ist insbesondere für Anmeldeseiten eine erhebliche Bedrohung. Power Platform verhindert die Verwendung von iFrames auf Anmeldeseiten und reduziert so das Clickjacking-Risiko erheblich.

Darüber hinaus können Organisationen Inhaltssicherheitsrichtlinien (CSP) verwenden, um die Einbettung auf vertrauenswürdige Domänen zu beschränken.

Unterstützt Power Platform die Inhaltssicherheitsrichtlinie?

Power Platform unterstützt die Inhaltssicherheitsrichtlinie (CSP) für Modellgesteuerte Apps. Wir unterstützen die folgenden Header nicht, die durch CSP ersetzt werden:

  • X-XSS-Protection
  • X-Frame-Options

Wie können wir eine sichere Verbindung zum SQL Server herstellen?

Siehe Microsoft SQL Server sicher mit Power Apps verwenden.

Welche Verschlüsselungsverfahren werden von Power Platform unterstützt? Wie sieht die Roadmap für eine kontinuierliche Entwicklung hin zu stärkeren Verschlüsselungsverfahren aus?

Alle Microsoft-Dienste und -Produkte sind so konfiguriert, dass sie die genehmigten Verschlüsselungssammlungen in der genauen Reihenfolge verwenden, die vom Microsoft Crypto Board vorgegeben ist. Die vollständige Liste und die genaue Reihenfolge finden Sie in der Power Platform Dokumentation.

Informationen über veraltete Verschlüsselungssammlungen werden über die Dokumentation zu wichtigen Änderungen von Power Platform kommuniziert.

Warum unterstützt Power Platform immer noch RSA-CBC-Verschlüsselungsverfahren (TLS_ECDHE_RSA_with_AES_128_CBC_SHA256 [0xC027] und TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 [0xC028]), die als schwächer gelten?

Microsoft wägt das relative Risiko und die Störung der Vorgänge der Kunden bei der Auswahl von Verschlüsselungssammlungen ab, die unterstützt werden sollen. Die RSA-CBC-Verschlüsselungssammlungen wurden noch nicht geknackt. Wir haben sie aktiviert, um die Konsistenz unserer Dienste und Produkte sicherzustellen und alle Kundenkonfigurationen zu unterstützen. Sie stehen jedoch ganz unten auf der Prioritätenliste.

Wir lassen diese Verschlüsselungssammlungen zum gegebenen Zeitpunkt, auf Grundlage der kontinuierlichen Überprüfung des Microsoft Crypto Board, veralten.

Warum macht Power Automate MD5-Content-Hashes in Trigger-/Aktionseingaben und -ausgaben verfügbar?

Power Automate übergibt den optionalen MD5-Hashwert-Inhalt, der von Azure Storage zurückgegeben wird, unverändert an seine Clients. Dieser Hash wird von Azure Storage verwendet, um die Integrität der Seite während des Transports als Prüfsummenalgorithmus zu überprüfen. Er wird nicht als kryptografische Hashfunktion für Sicherheitszwecke in Power Automate verwendet. Weitere Details dazu finden Sie in der Azure Storage-Dokumentation zur Vorgehensweise Holen Sie sich Blob-Eigenschaften und wie man mit Anfrage-Header arbeitet.

Wie schützt Power Platform vor Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen)?

Power Platform ist auf Microsoft Azure aufgebaut und verwendet Azure DDoS Protection zum Schutz vor DDoS-Angriffen.

Erkennt Power Platform jailbroken iOS-Geräte und gerootete Android-Geräte, um den Schutz von Unternehmensdaten zu unterstützen?

Wir empfehlen die Verwendung von Microsoft Intune. Intune ist eine Lösung zur mobilen Geräteverwaltung. Es kann zum Schutz von Unternehmensdaten beitragen, indem es an Benutzer und Geräte bestimmte Anforderungen stellt. Weitere Informationen finden Sie in den Compliance-Richtlinieneinstellungen von Intune.

Warum sind Sitzungscookies auf die übergeordnete Domäne beschränkt?

Power Platform ordnet Sitzungscookies der übergeordneten Domäne zu, um eine organisationsübergreifende Authentifizierung zu ermöglichen. Unterdomänen werden nicht als Sicherheitsgrenzen verwendet. Sie hosten auch keine Kundeninhalte.

Wie können wir die Anwendungssitzung so einstellen, dass sie beispielsweise nach 15 Minuten abläuft?

Power Platform verwendet Microsoft Entra ID für die Identitäts- und Zugriffsverwaltung. Sie folgt der empfohlenen Konfiguration für die Sitzungsverwaltung von Microsoft Entra ID, um ein optimales Benutzererlebnis zu bieten.

Sie können Umgebungen jedoch so anpassen, dass sie explizite Sitzungs- und/oder Aktivitäts-Timeouts haben. Weitere Informationen finden Sie unter Benutzersitzungs- und Zugangsverwaltung.

Mit der bevorstehenden Implementierung der fortlaufenden Zugriffsevaluierung von Microsoft Entra ID in Power Platform werden die Benutzeridentifikation und -authentifizierung noch sicherer und zuverlässiger.

Die Anwendung erlaubt demselben Benutzer den Zugriff von mehr als einem Computer oder Browser gleichzeitig. Wie können wir das verhindern?

Der Zugriff von mehr als einem Gerät oder Browser gleichzeitig geschieht, weil es für Benutzer angenehm ist. Die bevorstehende Implementierung der fortlaufenden Zugriffsevaluierung von Microsoft Entra ID durch Power Platform hilft sicherzustellen, dass der Zugriff von autorisierten Geräten und Browsern erfolgt und weiterhin gültig ist.

Warum blenden einige Power Platform-Dienste Serverheader mit ausführlichen Informationen ein?

Power Platform-Dienste haben sind dabei, unnötige Informationen im Serverheader zu entfernen. Das Ziel ist es, einen Ausgleich zwischen dem Grad der Detailliertheit und dem Risiken ungewollt Informationen weiterzugeben zu schaffen, was die allgemeine Sicherheitslage schwächen könnte.

Wie wirken sich Log4j-Schwachstellen auf Power Platform aus? Was sollten Kunden diesbezüglich tun?

Microsoft hat festgestellt, dass sich keine Log4j-Schwachstellen auf Power Platform auswirken. Weitere Informationen finden Sie in unserem Blogbeitrag zum Verhindern, Erkennen und Suchen nach ausgenutzten Log4j-Schwachstellen.

Wie können wir sicherstellen, dass es keine nicht autorisierten Transaktionen aufgrund von Browsererweiterungen oder Client-APIs der einheitlichen Oberfläche gibt, die die Aktivierung deaktivierter Steuerelemente ermöglichen?

Das Konzept der deaktivierten Steuerelemente gehört nicht zum Power Apps-SicherheitsModell. Das Deaktivieren von Steuerelementen ist eine Erweiterung der Benutzeroberfläche. Sie sollten sich zur Gewährleistung der Sicherheit nicht auf deaktivierte Steuerelemente verlassen. Benutzen Sie stattdessen Dataverse-Steuerelemente, wie Sicherheit auf Feldebene, um unbefugte Transaktionen zu verhindern.

Welche HTTP-Sicherheitsheader werden verwendet, um Antwortdaten zu schützen?

Name des Dataflows Informationen
Strict-Transport-Security Dies ist für alle Antworten auf max-age=31536000; includeSubDomains gesetzt.
X-Frame-Options Diese ist zugunsten von CSP veraltet.
X-Content-Type-Options Dies ist für alle Ressourcenantworten auf nosniff gesetzt.
Content-Security-Policy Dies wird festgelegt, wenn Benutzer CSP aktivieren.
X-XSS-Protection Diese ist zugunsten von CSP veraltet.

Wo kann ich Power Platform oder Dynamics 365 Penetrationstests finden?

Die neuesten Penetrationstests und Sicherheitsbewertungen finden Sie im Microsoft Service Trust-Portal.

Notiz

Um auf einige der Ressourcen im Service Trust Portal zuzugreifen, müssen Sie sich als authentifizierter Benutzer mit Ihrem Microsoft Cloud Services-Konto anmelden (Microsoft Entra Organisationskonto) und die Microsoft-Vertraulichkeitsvereinbarung für Compliance-Materialien lesen und akzeptieren.

Sicherheit in Microsoft Power Platform
Authentifizierung für Power Platform-Dienste
Mit Datenquellen verbinden und authentifizieren
Datenspeicherung in Power Platform

Siehe auch