Κοινή χρήση μέσω

Συνήθεις ερωτήσεις σχετικά με την ασφάλεια του Power Platform

  • Άρθρο

Οι συνήθεις ερωτήσεις σχετικά με την ασφάλεια του Power Platform εμπίπτουν σε δύο κατηγορίες:

  • Πώς έχει σχεδιαστεί το Power Platform για να βοηθήσει στον μετριασμό των κουρφαίων 10 κινδύνων Open Web Application Security Project® (OWASP)

  • Ερωτήσεις που θέτουν οι πελάτες μας

Για να μπορείτε να βρίσκετε πιο εύκολα τις πιο πρόσφατες πληροφορίες, στο τέλος αυτού του άρθρου προστίθενται νέες ερωτήσεις.

Οι 10 κορυφαίοι κίνδυνοι OWASP: Μειώσεις των επιπτώσεων στο Power Platform

Το Open Web Application Security Project® (OWASP) είναι ένα μη κερδοσκοπικό ίδρυμα που εργάζεται για τη βελτίωση της ασφάλειας του λογισμικού. Μέσω έργων λογισμικού ανοιχτού κώδικα με την ηγεσία της κοινότητας, εκατοντάδες παραρτήματα σε όλο τον κόσμο, δεκάδες χιλιάδες μέλη και κορυφαία συνέδρια εκπαίδευσης και κατάρτισης, το Ίδρυμα OWASP είναι η πηγή για προγραμματιστές και υπεύθυνους ανάπτυξης λογισμικού για την ασφάλεια του web.

Οι Κορυφαίοι 10 του OWASP είναι ένα τυπικό έγγραφο ευαισθητοποίησης για προγραμματιστές και ασφάλεια εφαρμογών Web. Αντιπροσωπεύει μια ευρεία επικρατούσα άποψη για τους πιο κρίσιμους κινδύνους ασφαλείας για τις εφαρμογές web. Στην ενότητα αυτή, θα συζητήσουμε πώς το Power Platform βοηθά στον μετριασμό αυτών των κινδύνων.

A01:2021-Παραβιασμένος έλεγχος πρόσβασης

  • Το μοντέλο ασφάλειας του Power Platform είναι ενσωματωμένο στην λιγότερο προνομιακή πρόσβαση (LPA). Η LPA επιτρέπει στους πελάτες να δημιουργήσουν εφαρμογές με πιο λεπτομερή έλεγχο πρόσβασης.
  • Το Power Platform χρησιμοποιεί το Microsoft Identity Platform του Microsoft Entra ID (Microsoft Entra) για την εξουσιοδότηση όλων των κλήσεων API με το τυποποιημένο πρωτόκολλο OAuth 2.0.
  • Το Dataverse το οποίο παρέχει τα υποκείμενα δεδομένα για το Power Platform διαθέτει ένα εμπλουτισμένο μοντέλο ασφαλείας το οποίο περιλαμβάνει ασφάλεια σε επίπεδο περιβάλλοντος, βάσει ρόλων και καρτέλας και επιπέδου πεδίου.

A02:2021-Κρυπτογραφικές αποτυχίες

Δεδομένα σε διαμετακόμιση:

  • Το Power Platform χρησιμοποιεί TLS για την κρυπτογράφηση όλης της κυκλοφορίας δικτύου που βασίζεται σε HTTP. Χρησιμοποιεί άλλους μηχανισμούς για την κρυπτογράφηση της κυκλοφορίας δικτύου μη HTTP που περιέχει δεδομένα πελατών ή εμπιστευτικά δεδομένα.
  • Το Power Platform χρησιμοποιεί μια πιο δύσκολη ρύθμιση παραμέτρων TLS που ενεργοποιεί την εφαρμογή HTTP Strict Transport Security (HSTS):
    • TLS 1.2 ή ανώτερο
    • Οικογένειες προγραμμάτων κρυπτογράφησης βάση ECDHE και τις καμπύλες NIST
    • Ισχυρά πλήκτρα

Αδρανή δεδομένα:

  • Όλα τα δεδομένα πελατών θα κρυπτογραφούνται πριν από τη εγγραφή τους σε μέσα μόνιμης αποθήκευσης.

A03:2021-Παρεμβολή

Το Power Platform χρησιμοποιεί αντιπροσωπευτικές του κλάδου βέλτιστες πρακτικές για την αποτροπή επιθέσεων όπως:

  • Χρήση ασφαλών API με παραμετροποιημένες διεπαφές
  • Εφαρμογή των συνεχώς εξελισσόμενων δυνατοτήτων των πλαισίων υποστήριξης για εξυγίανση στοιχείων εισόδου
  • Εξυγίναση του αποτελέσματος με επικύρωση από την πλευρά του διακομιστή
  • Χρήση εργαλείων στατικής ανάλυσης κατά το χρόνο δόμησης
  • Εξέταση του μοντέλου απειλής για κάθε υπηρεσία κάθε 6 μήνες αν ο κώδικας/ο σχεδιασμός/υποδομή έχει ενημερωθεί ή όχι

A04:2021–Μη ασφαλής σχεδίαση

  • Το Power Platform είναι ενσωματωμένο σε ένα σύστημα παρακολούθησης και μεθοδολογίας ασφαλούς σχεδιασμού. Τόσο η κουλτούρα όσο και η μεθοδολογία ασφαλούς σχεδίασης ενισχύονται διαρκώς μέσω των κορυφαίων πρακτικών Κύκλου ζωής ανάπτυξης ασφάλειας της Microsoft και της Μοντελοποίησης εφαρμογής.
  • Η ισχυρή διαδικασία αναθεώρησης της μοντελοποίησης απειλής εξασφαλίζει ότι οι απειλές εντοπίζονται κατά τη φάση σχεδιασμού, τις αμβλύνει και τις επικυρώνει, ώστε να βεβαιώνεται ότι οι απειλές έχουν μετριαστεί.
  • Η μοντελοποίηση απειλών περιλαμβάνει επίσης και λογαριασμούς για όλες τις αλλαγές στις υπηρεσίες που ήδη υπάρχουν μέσω συνεχόμενων τακτικών ελέγχων. Αν βασιστείτε στο μοντέλο STRIDE θα σας βοηθήσει να αντιμετωπίσετε τα πιο συνηθισμένα προβλήματα που σχετίζονται με τη μη ασφαλή σχεδίαση.
  • Η SDL της Microsoft είναι ισοδύναμη με το Μοντέλο ωρίμανσης διασφάλισης λογισμικού του OWASP (SAMM). Και τα δύο είναι ενσωματωμένα στην προϋπόθεση ότι η ασφαλής σχεδίαση είναι ενσωματωμένη στην ασφάλεια της εφαρμογής web.

A05:2021- Εσφαλμένη ρύθμιση παραμέτρων ασφαλείας

  • Η "Προεπιλεγμένη απόρριψη" αποτελεί θεμελιώδη λίθο των αρχών σχεδιασμού του Power Platform. Με την επιλογή "Προεπιλεγμένη απόρριψη", οι πελάτες πρέπει να επανεξετάσουν και να δηλώσουν συμμετοχή σε νέες δυνατότητες και ρυθμίσεις παραμέτρων.
  • Τυχόν λανθασμένες ρυθμίσεις παραμέτρων κατά το χρόνο δημιουργίας θα είναι εντοπίζονται μέσω ενσωματωμένης ανάλυσης ασφάλειας με χρήση Εργαλείων ασφαλούς ανάπτυξης.
  • Επιπλέον, το Power Platform περνάει από τις Δοκιμές ασφάλειας δυναμικής ανάλυσης (DAST) χρησιμοποιώντας μια εσωτερική υπηρεσία που είναι ενσωματωμένη στους 10 κορυφαίους κινδύνους του OWASP.

A06:2021-Ευάλωτα και ξεπερασμένα στοιχεία

  • Το Power Platform ακολουθεί τις πρακτικές SDL της Microsoft για τη διαχείριση στοιχείων ανοιχτού κώδικα και τρίτων. Αυτές οι πρακτικές περιλαμβάνουν ολοκληρωμένο απόθεμα, αναλύσεις ασφαλείας, ενημέρωση των στοιχείων και τη στοίχισή τους με στοιχεία με μια δοκιμασμένη διαδικασία απόκρισης περιστατικού ασφαλείας.
  • Σε σπάνιες περιπτώσεις, ορισμένες εφαρμογές ενδέχεται να περιέχουν αντίγραφα ξεπερασμένων στοιχείων λόγω εξωτερικών εξαρτήσεων. Ωστόσο, αφού η αντιμετώπιση αυτών των εξαρτήσεων γίνει σύμφωνα με τις πρακτικές που περιγράφτηκαν προηγουμένως, τα στοιχεία παρακολουθούνται και ενημερώνονται.

A07:2021-Αποτυχίες αναγνώρισης και ελέγχου ταυτότητας

  • Το Power Platform έχει βασιστεί και εξαρτάται από το Microsoft Entra ID για την αναγνώριση και τον έλεγχο ταυτότητας.
  • Το Microsoft Entra βοηθά το Power Platform να ενεργοποιήσει δυνατότητες ασφαλείας. Αυτές οι δυνατότητες περιλαμβάνουν καθολική σύνδεση (SSO), έλεγχο ταυτότητας πολλών παραγόντων και ενιαία πλατφόρμα για πιο ασφαλή σύνδεση τόσο με εσωτερικούς όσο και με εξωτερικούς χρήστες.
  • Με την επερχόμενη εφαρμογή του Power Platform της Αξιολόγησης συνεχούς πρόσβασης του του Microsoft Entra ID (CAE), η αναγνώριση και ο έλεγχος ταυτότητας των χρηστών θα είναι ακόμη πιο ασφαλείς και αξιόπιστοι.

A08:2021-Αποτυχίες λογισμικού και ακεραιότητας δεδομένων

  • Η διεργασία διαχείρισης στοιχείων του Power Platform ενισχύει την ασφαλή διαμόρφωση των αρχείων προέλευσης πακέτου για τη διατήρηση της ακεραιότητας λογισμικού.
  • Η διαδικασία διασφαλίζει ότι εξυπηρετούνται μόνο πακέτα εσωτερικής προέλευσης για την αντιμετώπιση της επίθεσης αντικατάστασης. Η επίθεση αντικατάστασης, γνωστή επίσης και ως σύγχυση εξάρτησης, είναι μια τεχνική που μπορεί να χρησιμοποιηθεί για την επεξεργασία της διεργασίας κατασκευής εφαρμογών μέσα σε ασφαλή εταιρικά περιβάλλοντα.
  • Όλα τα κρυπτογραφημένα δεδομένα έχουν προστασία ακεραιότητας, προτού μεταδοθούν. Όλα τα μετα-δεδομένα προστασίας ακεραιότητας που υπάρχουν για εισερχόμενα κρυπτογραφημένα δεδομένα επικυρώνονται.

OWASP - Οι 10 κορυφαίοι κίνδυνοι για χαμηλό κώδικα/χωρίς κώδικα: Περιορισμοί επιπτώσεων στο Power Platform

Για οδηγίες σχετικά με τον περιορισμό των επιπτώσεων των 10 κορυφαίων κινδύνων ασφαλείας με χαμηλό κώδικα/χωρίς κώδικα που έχουν δημοσιευτεί από το OWASP, ανατρέξτε στο παρόν έγγραφο:

Power Platform - OWASP Οι 10 κορυφαίοι κίνδυνοι για χαμηλό κώδικα/χωρίς κώδικα (Απρίλιος 2024)

Συνήθεις ερωτήσεις ασφαλείας από πελάτες

Ακολουθούν ορισμένες από τις ερωτήσεις ασφαλείας που ρωτούν οι πελάτες μας.

Πώς μπορεί το Power Platform να βοηθήσει στην προστασία από κινδύνους "Clickjacking";

Το Clickjacking χρησιμοποιεί ενσωματωμένα iframes, μεταξύ άλλων στοιχείων, για την καταγραφή των αλληλεπιδράσεων ενός χρήστη με μια ιστοσελίδα. Αποτελεί σημαντική απειλή ειδικά για την είσοδο στις σελίδες. Το Power Platform αποτρέπει τη χρήση των σελίδων πρόσβασης iframes στις σελίδες είσοδου, μειώνοντας σημαντικά τον κίνδυνο της χρήσης του clickjacking.

Επιπλέον, οι οργανισμοί μπορούν να χρησιμοποιήσουν Πολιτική ασφάλειας περιεχομένου (CSP) για τον περιορισμό της ενσωμάτωσης σε αξιόπιστους τομείς.

Το Power Platform υποστηρίζει Πολιτική ασφάλειας περιεχομένου;

Το Power Platform υποστηρίζει την Πολιτική ασφαλείας περιεχομένου (CSP) για εφαρμογές που βασίζονται σε μοντέλο. Δεν υποστηρίζουμε τις ακόλουθες κεφαλίδες που αντικαθίστανται από CSP:

  • X-XSS-Protection
  • X-Frame-Options

Πώς μπορούμε να συνδεθούμε με ασφάλεια στον SQL Server;

Δείτε Χρήση του Microsoft SQL Server με ασφάλεια με το Power Apps.

Ποια κρυπτογράφηση υποστηρίζεται από το Power Platform; Ποιος είναι ο οδικός χάρτης της συνεχούς μετακίνησης προς ισχυρή κρυπτογράφηση;

Όλες οι υπηρεσίες και τα προϊόντα της Microsoft έχουν ρυθμιστεί ώστε να χρησιμοποιούν τις εγκεκριμένες οικογένειες προγραμμάτων κρυπτογράφησης, με την ακριβή σειρά που αναφέρεται στον Πίνακα Κρυπτογράφησης της Microsoft. Για την πλήρη λίστα και την ακριβή παραγγελία, ανατρέξτε στην τεκμηρίωση Power Platform.

Οι πληροφορίες που σχετίζονται με τις αποσύρσεις οικογενειών προγραμμάτων κρυπτογράφησης θα κοινοποιούνται μέσω των Σημαντικών αλλαγών του Power Platform.

Γιατί εξακολουθεί το Power Platform να υποστηρίζει τις κρυπτογταφήσεις RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) και TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) που θεωρούνται πιο αδύναμες;

Η Microsoft ζυγίζει το σχετικό κίνδυνο και την ενόχληση των πελατών κατά την επιλογή της υποστήριξης των οικογενειών προγραμμάτων κρυπτογράφησης. Οι οικογένειες προγραμματάτων κρυπτογράφησης RSA-CBC δεν έχουν διακοπεί ακόμα. Τις έχουμε ενεργοποιήσει για να διασφαλίσουμε τη συνέπεια στις υπηρεσίες και τα προϊόντα μας και να υποστηρίξουμε όλες τις ρυθμίσεις παραμέτρων των πελατών. Ωστόσο, αυτές βρίσκονται στο κάτω μέρος της λίστας προτεραιότητας.

Θα αποσυρθούν την κατάλληλη στιγμή. Ο Πίνακας Κρυπτογράφησης της Microsoft κάνει συνεχόμενη αξιολόγηση.

Γιατί εκθέτει το Power Automate κατακερματισμού περιεχομένου MD5 στις εισόδους και τις εξόδους εναύσματος/ενέργειας;

Το Power Automate περνά την προαιρετική τιμή κατακερματισμού MD5 που επιστρέφεται από τον Χώρο αποθήκευσης Azure ως έχει στα προγράμματα-πελάτες του. Αυτός ο κατακερματισμός χρησιμοποιείται από τον Χώρο αποθήκευσης Azure για την επαλήθευση της ακεραιότητας της σελίδας κατά τη μεταφορά ως αλγόριθμος checksum και δεν χρησιμοποιείται ως κρυπτογραφική συνάρτηση κατακερματισμού για λόγους ασφαλείας στο Power Automate. Μπορείτε να βρείτε περισσότερες λεπτομέρειες σχετικά με αυτό το θέμα στην τεκμηρίωση του Χώρου αποθήκευσης Azure σχετικά με τον τρόπο λήψης ιδιοτήτων αντικειμένου Blob και τον τρόπο εργασίας με κεφαλίδες αιτήματος.

Πώς το Power Platform προστατεύει από επιθέσεις διανεμημένης άρνησης υπηρεσίας (DDoS);

Το Power Platform είναι ενσωματωμένο στο Microsoft Azure και χρησιμοποιεί Προστασία Azure DDoS για την προστασία από επιθέσεις DDoS.

Εντοπίζει το Power Platform jailbroken συσκευές iOS και συσκευές με ρίζα Android ώστε να βοηθήσει στην προστασία των δεδομένων του οργανισμού;

Συνιστούμε να χρησιμοποιήσετε το Microsoft Intune. Το Intune είναι μια λύση διαχείρισης κινητών συσκευών. Μπορεί να βοηθήσει στην προστασία των δεδομένων του οργανισμού, απαιτώντας από τους χρήστες και τις συσκευές να ανταποκριθούν σε ορισμένες απαιτήσεις. Για περισσότερες πληροφορίες, ανατρέξτε στις ρυθμίσεις πολιτικής συμμόρφωσης του Intune.

Γιατί τα cookie περιόδων λειτουργίας εεξετάζονται στον γονικό τομέα;

Τα cookies περιόδων λειτουργίας του Power Platform στον γονικό τομέα ώστε να επιτρέπεται ο έλεγχος ταυτότητας σε όλους τους οργανισμούς. Οι δευτερεύοντες τομέαι δεν χρησιμοποιούνται ως όρια ασφαλείας. Επίσης, δεν φιλοξενούν περιεχόμενο πελατών.

Πώς μπορούμε να ρυθμίσουμε τη λήξη χρόνου της περιόδου λειτουργίας της εφαρμογής μετά από 15 λεπτά;

Το Power Platform χρησιμοποιεί το Microsoft Entra ID για διαχείριση ταυτότητας και πρόσβασης. Ακολουθεί τη συνιστώμενη ρύθμιση παραμέτρων διαχείρισης περιόδου λειτουργίας του Microsoft Entra ID για βέλτιστη εμπειρία χρήστη.

Ωστόσο, μπορείτε να προσαρμόσετε περιβάλλοντα για να έχετε ρητή περίοδο λειτουργίας ή/και χρονικά όριο δραστηριοτήτων. Για περισσότερες πληροφορίες, δείτε: Διαχείριση περιόδων λειτουργίας και πρόσβασης χρήστη.

Με την επερχόμενη εφαρμογή του Power Platform της Αξιολόγησης συνεχούς πρόσβασης του του Microsoft Entra ID (CAE), η αναγνώριση και ο έλεγχος ταυτότητας των χρηστών θα είναι ακόμη πιο ασφαλείς και αξιόπιστοι.

Η εφαρμογή επιτρέπει στον ίδιο χρήστη την πρόσβαση από περισσότερες από μία μηχανές ή προγράμματα περιήγησης ταυτόχρονα. Πώς μπορούμε να το αποτρέψετε;

Η πρόσβαση στην εφαρμογή από περισσότερες από μία συσκευή ή πρόγραμμα περιήγησης ταυτόχρονα είναι εύκολη για χρήστες. Η επερχόμενη εφαρμογή του Power Platform της Αξιολόγησης συνεχούς πρόσβασης του Microsoft Entra ID θα βοηθήσει ώστε η πρόσβαση να προέρχεται από εξουσιοδοτημένες συσκευές και προγράμματα περιήγησης και να εξακολουθεί να είναι έγκυρη.

Γιατί ορισμένες υπηρεσίες του Power Platform εκθέτουν κεφαλίδες διακομιστή με αναλυτικές πληροφορίες;

Οι υπηρεσίες του Power Platform εργάζονται προς την κατάργηση περιττών πληροφοριών στην κεφαλίδα του διακομιστή. Ο στόχος είναι η εξισορρόπηση του επιπέδου λεπτομέρειας με τον κίνδυνο της αποκάλυψης πληροφοριών που ενδέχεται να έχει ως αποτέλεσμα τη συνολική αποδυνάμωση του συστήματος ασφαλείας.

Πώς επηρεάζουν τα σημεία ευπάθειας του Log4j το Power Platform; Τι πρέπει να κάνουν οι πελάτες από την άποψη αυτή;

Η Microsoft έχει αξιολογήσει ότι δεν υπάρχουν σημεία ευπάθειας log4j που να επηρεάζουν το Power Platform. Ανατρέξτε στην καταχώρηση ιστολογίου μας σχετικά με την αποτροπή, τον εντοπισμό και την αντιμετώπιση προβλημάτων ευπάθειας του Log4j.

Πώς μπορούμε να διασφαλίσουμε ότι δεν υπάρχουν μη εξουσιοδοτημένες συναλλαγές λόγω επεκτάσεων προγραμμάτων περιήγησης ή λόγω API προγράμματος-πελάτη ενοποιημένου περιβάλλοντος που να επιτρέπουν την ενεργοποίηση απενεργοποιημένων στοιχείων ελέγχου;

Το μοντέλο ασφάλειας του Power Apps δεν περιλαμβάνει την έννοια απενεργοποιημένων ελέγχων. Η απενεργοποίηση των στοιχείων ελέγχου αποτελεί βελτίωση του περιβάλλοντος εργασίας χρήστη. Δεν πρέπει να βασίζεστε σε απενεργοποιημενα στοιχεία ελέγχου για την παροχή ασφάλειας. Αντίθετα, χρησιμοποιήστε στοιχεία ελέγχου Dataverse, όπως π.χ. ασφάλεια επιπέδου πεδίου, για να αποτρέψετε τη μη εξουσιοδοτημένη συναλλαγή.

Ποιες κεφαλίδες ασφαλείας HTTP χρησιμοποιούνται για την προστασία των δεδομένων απόκρισης;

Ονομασία Details
Αυστηρή-Μεταφορική-Ασφάλεια Η ρύθμιση έχει οριστεί σε max-age=31536000; includeSubDomains όλες τις αποκρίσεις.
X-Frame-Options Αυτό δεν χρησιμοποιείται έναντι του CSP.
X-Content-Type-Options Η ρύθμιση έχει οριστεί σε nosniff όλες τις αποκρίσεις πάγιων στοιχείων.
Content-Security-Policy Αυτή η ρύθμιση ορίζεται εάν ο χρήστης ενεργοποιεί το CSP.
X-XSS-Protection Αυτό δεν χρησιμοποιείται έναντι του CSP.

Πού μπορώ να βρω δοκιμές διείσδυσης Power Platform ή Dynamics 365;

Μπορείτε να βρείτε τις πιο πρόσφατες δοκιμές διείσδυσης και αξιολογήσεις ασφάλειας στην Πύλη αξιοπιστίας υπηρεσίας Microsoft.

Σημείωμα

Για να αποκτήσετε πρόσβαση σε ορισμένους από τους πόρους της Πύλης αξιοπιστίας υπηρεσίας, πρέπει να συνδεθείτε ως χρήστης που έχει υποβληθεί σε έλεγχο ταυτότητας με το λογαριασμό Microsoft Cloud Services (λογαριασμός οργανισμού Microsoft Entra) και να εξετάσετε και να αποδεχτείτε τη σύμβαση εχεμύθειας της Microsoft όσον αφορά το υλικό συμμόρφωσης.

Ασφάλεια στο Microsoft Power Platform
Έλεγχος ταυτότητας σε υπηρεσίες Power Platform
Σύνδεση και έλεγχος ταυτότητας σε προελεύσεις δεδομένων
Χώρος αποθήκευσης δεδομένων στο Power Platform

Δείτε επίσης