Power Platformi turbe KKK

Levinumad küsimused Power Platformi turbe kohta kuuluvad kahte kategooriasse:

• Kuidas on Power Platform kavandatud avatud veebirakenduste turbe projekti (Open Web Application Security Project® (OWASP)) kümne kõige levinuma riski mõju leevendamiseks.

• Meie klientide esitatud küsimused.

Uusima teabe leidmise lihtsustamiseks lisatakse uued küsimused selle artikli lõppu.

OWASP-i kümme kõige levinumat riski: riskide maandamine Power Platformis.

Avatud veebirakenduste turbe projekt® (OWASP) on mittetulunduslik sihtasutus, mis püüab parandada tarkvara turvalisust. Kogukondlikult juhitud avatud lähtekoodiga tarkvara projektide, sadade ülemaailmsete rühmade, kümnete tuhandete liikmete ning juhtivate koolitus- ja väljaõppekonverentside kaasabil on OWASP-i sihtasutus arendajate ja tehnoloogide allikaks veebiteenuste turvalisuse tagamisel.

OWASP top 10 on standardne teadlikkuse tõstmise dokument arendajatele ja teistele, kes on huvitatud veebirakenduste turbest. See esindab ulatuslikku konsensust kõige kriitilisemate turvariskide kohta veebirakendustele. Selles jaotises arutame, kuidas Power Platform aitab neid riske maandada.

A01:2021 Katkine juurdepääsukontroll

• Power Platformi turbemudel on loodud miinimumpääsu (LPA) põhjal. LPA võimaldab klientidel luua rakendusi üksikasjalikuma juurdepääsu reguleerimisega.
• Power Platform kasutab Microsoft Entra ID (Microsoft Entra ID) Microsofti identimisplatvormi kõigi API-kutsete autoriseerimiseks tööstusstandardi OAuth 2.0 protokolliga.
• Teenusel Dataverse, mis annab alusandmed Power Platformile, on rikkalik turbemudel, mis hõlmab keskkonna tasemel, rollipõhist ning kirje- ja väljatasemel turvet.

A02:2021 Krüptograafilised tõrked

Edastamisel olevad andmed

• Power Platform kasutab TLS-i kogu HTTP-põhise võrguliikluse krüptimiseks. See kasutab teisi võimalusi mitte-HTTP võrguliikluse krüptimiseks, mis sisaldab kliendi- või konfidentsiaalseid andmeid.
• Power Platform kasutab kõrgendatud taluvusega TLS-konfiguratsiooni, mis rakendab HTTP Strict Transport Security (HSTS) poliitikat:
  • TLS 1.2 või uuem
  • ECDHE-põhised šifrikomplektid ja NIST-i kõver
  • Tugevad võtmed

Sisestatud andmed:

• Kõik kliendiandmed krüpteeritakse enne püsiandmekandjale kirjutamist.

A03:2021 süstimine

Power Platform kasutab valdkonna häid tavasid, et ennetada injektsioonirünnakuid, sh:

• kasutades turvalisi parameetriga liidestega API-sid
• rakendades kasutajaliidese raamistike pidevalt arenevaid funktsioone sisendi puhastamiseks
• puhastades väljundit serveripoolse kinnitamisega
• kasutades staatilise analüüsi tööriistasid ehitamise ajal
• vaadates iga kuue kuu järel läbi iga teenuse riskimudeli, olenemata sellest, kas koodi, kujundust või taristut on värskendatud

A04:2021 Ebakindel disain

• Power Platform põhineb turvalise kujunduse kultuuril ja metoodikal. Nii kultuuri kui ka metoodikat tugevdatakse pidevalt Microsofti tipptasemel turbearendustsükli (SDL) ja riskimudeli tavade abil.
• Riskimudelite läbivaatamine tagab ohtude tuvastamise kujundusfaasis, nende leevendamise ja kontrollimise, et riskid oleks kindlasti leevendatud.
• Riskide tuvastamine hõlmab ka kõiki muudatusi teenustes, mis on avaldatud juba pidevate korrapäraste läbivaatamiste teel. Toetumine mudelile STRIDE aitab käsitleda kõige levinumaid probleeme ebaturvalise kujundusega.
• Microsofti turbearendustsükkel (SDL) on võrdväärne OWASP-i tarkvarakindlustuse küpsusmudeliga (SAMM). Mõlemad põhinevad eeldusel, et turvaline kujundus on veebirakenduste turbe lahutamatu osa.

A05:2021 Turvalisuse vale konfiguratsioon

• Funktsioon „Vaikimisi keelamine” on üks Power Platformi kujunduspõhimõtete alustest. Funktsiooniga „Vaikimisi keelamine” peavad kliendid vaatama läbi uued funktsioonid ja konfiguratsioonid ning need valima.
• Kõik valed konfiguratsioonid avastab ehitamise ajal integreeritud turvaanalüüs, kasutades turvalisi arendustööriistu.
• Lisaks viiakse Power Platformiga läbi dünaamilise analüüsi turvalisuse testimine (DAST), kasutades siseteenust, mis põhineb OWASPI-i kümnel levinumal riskil.

A06:2021 Haavatavad ja vananenud komponendid

• Power Platform järgib Microsofti SDL-i tavasid avatud lähtekoodi ja kolmanda osapoole komponentide haldamisel. Nende tavade hulka kuuluvad täieliku inventari haldamine, turbeanalüüside teostamine, komponentide ajakohastamine ning komponentide joondamine katsetatud ja testitud turbejuhtumile reageerimise protsessiga.
• Harvadel juhtudel võivad mõned rakendused väliste sõltuvuste tõttu sisaldada aegunud komponentide koopiaid. Kui neid sõltuvusi on aga eeltoodud tavade kohaselt käsitletud, jälgitakse ja värskendatakse neid komponente.

A07:2021 Tuvastamise ja autentimise tõrked

• Power Platform on üles ehitatud ja sõltub Microsoft Entra ID tuvastamisest ja autentimisest.
• Microsoft Entra aitab Power Platform lubada turvalisi funktsioone. Nende funktsioonide hulka kuuluvad ühekordne sisselogimine, mitmefaktoriline autentimine ja üks platvorm sise- ja väliskasutajatega turvalisemaks suhtlemiseks.
• Power PlatformID pideva juurdepääsu hindamise Microsoft Entra (CAE) eelseisva juurutamisega on kasutajate tuvastamine ja autentimine veelgi turvalisem ja usaldusväärsem.

A08:2021 Tarkvara ja andmete terviklikkuse tõrked

• Power Platformi komponentide juhtimise protsess jõustab paketi lähtefailide turvalist konfiguratsiooni tarkvara terviklikkuse haldamiseks.
• See protsess tagab, et kasutatakse vaid sisemisi pakette asendusrünnaku käsitlemiseks. Sõltuvusrünnak, mida teatakse ka nimega sõltuvussegadus, on meetod, mida on võimalik kasutada rakenduse loomise protsessi mürgitamiseks ettevõtte turvalistes keskkondades.
• Kõigile krüptitud andmetele on enne edastamist rakendatud terviklikkuse kaitset. Kõiki terviklikkuse kaitse metaandmeid, mis on saadaval sissetulevate krüptitud andmete puhul, kontrollitakse.

OWASP-i 10 peamist madala koodi/koodita riski: leevendusmeetmed Power Platform

Juhiseid OWASP-i avaldatud 10 peamise madala koodita/koodita turvariski maandamiseks leiate sellest dokumendist:

Power Platform - OWASP Low Code No Code 10 peamist riski (aprill 2024)

Levinumad turbküsimused klientidelt

Järgmised on mõned turbeküsimused, mida meie kliendid esitavad.

Kuidas aitab Power Platform kaitsta klõpsukaaperdamise eest?

Clickjacking kasutab muude komponentide hulgas manustatud iframe’e, et kaaperdada kasutaja suhtlus veebilehega. See on märkimisväärne oht eelkõige sisselogimislehtedele. Power Platform takistab iframe’ide kasutamist sisselogimislehtedel, vähendades sellega märkimisväärselt klõpsukaaperdamise ohtu.

Peale selle saavad organisatsioonid kasutada sisuturbepoliitikat (CSP) manustamise piiramiseks usaldatud domeenidele.

Kas Power Platform toetab sisuturbepoliitikat?

Power Platform toetab sisuturbepoliitikat (CSP) mudelipõhiste rakenduste puhul. Me ei toeta järgmisi päiseid, mis on asendatud CSP-ga:

• X-XSS-Protection
• X-Frame-Options

Kuidas me saame luua turvalise ühenduse SQL-serveriga?

Vt jaotist Microsoft SQL Serveri turvaline kasutamine Power Appsiga.

Milliseid šifreid toetab Power Platform? Milline on tegevuskava selleks, et liikuda pidevalt tugevamate šifrite suunas?

Kõik Microsofti teenused ja tooted on konfigureeritud kasutama heakskiidetud šifrikomplekte täpselt sellises järjestuses, mille on määranud Microsoft Crypto Board. Täieliku loendi ja täpse järjestuse leiate Power Platformi dokumentatsioonist.

Teave šifrikomplektide kasutuselt kõrvaldamise kohta edastatakse Power Platformi dokumentatsiooni Tähtsad muudatused kaudu.

Miks toetab Power Platform ikka veel RSA-CBC šifreid (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ja TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), mida peetakse nõrgemaks?

Microsoft kaalub suhtelisi riske ja katkestusi klienditoimingutele šifrikomplektide toetusi valides. RSA-CBC šifrikomplekte ei ole veel murtud. Oleme võimaldanud neil tagada järjepidevuse kõikides meie teenustes ja toodetes ning toetada kõiki kliendi konfiguratsioone. Aga need on prioriteediloendi lõpus.

Me eemaldame need šifrid kasutuselt õigel ajal Microsoft Crypto Boardi pideva hindamise põhjal.

Miks kuvab Power Automate MD5 sisuräsisid päästiku/toimingu sisendites ja väljundites?

Power Automate edastab Azure Storage’i tagastatud valikulise sisu-MD5 räsiväärtuse oma klientidele nii, nagu nad on. Seda räsi kasutab Azure Storage lehe terviklikkuse kontrollimiseks kontrollsumma algoritmina transpordi ajal ja seda ei kasutata turbekaalutlustel krüptograafilise räsifunktsioonina Power Automate’is. Lisateavet selle kohta leiate Azure Storage’i dokumentatsioonist selle kohta, kuidas saada bloobi atribuute ja kuidas töötada taotluse päistega.

teKuidas kaitseb Power Platform hajusa teenusetõkestusrünnete (DDoS) eest?

Power Platform põhineb Microsoft Azure’il ja see kasutab Azure’i DDoS-kaitset, et kaitsta DDoS-rünnete eest.

Kas Power Platform tuvastab jailbreakitud iOS seadmed ja juurdunud Android seadmed, mis aitavad kaitsta organisatsiooni andmeid?

Soovitame kasutada Microsoft Intune’i. Intune on mobiilseadme halduse lahendus. See võib aidata kaitsta organisatsiooni andmeid, nõudes kasutajatelt ja seadmetelt vastavust teatud nõuetele. Lisateavet leiate Intune’i vastavuspoliitika sätetest.

Miks laiendatakse seansiküpsiseid emadomeenile?

Power Platform laiendab seansiküpsiseid emadomeenile, et võimaldada autentimist ettevõtete vahel. Alamdomeene ei kasutata turbepiiretena. Need ei majuta ka kliendisisu.

Kuidas on võimalik määrata ajalõppu rakenduseseansile (nt 15 minutit)?

Power Platform kasutab Microsoft Entra ID identiteedi- ja juurdepääsuhaldust. Optimaalse kasutajakogemuse tagamiseks järgib Microsoft Entra see ID soovitatud seansihalduse konfiguratsiooni.

Teil on siiski võimalik kohandada keskkondi nii, et seal oleks selged seansi ja/või tegevuse ajalõpud. Lisateavet leiate jaotisest Kasutaja seansi- ja juurdepääsuhaldus.

Power PlatformID pideva juurdepääsu hindamise Microsoft Entra eelseisva juurutamisegaon kasutaja tuvastamine ja autentimine veelgi turvalisem ja usaldusväärsem.

Rakendus võimaldab samale kasutajale juurdepääsu rohkem kui ühest seadmest või brauserist samal ajal. Kuidas on võimalik seda vältida?

Juurdepääs rakendusele rohkem kui ühest seadmest või brauserist samal ajal on kasutajale mugav. Power Platformeelseisev ID Microsoft Entra pideva juurdepääsu hindamise rakendamine aitab tagada, et juurdepääs toimub volitatud seadmetest ja brauseritest ning on endiselt kehtiv.

Miks kuvavad mõned Power Platformi teenused serveri päiseid paljusõnalise teabega?

Power Platformi teenused on teinud tööd ebavajaliku teabe eemaldamiseks serveri päisest. Eesmärgiks on tasakaalustada üksikasjade taset teabe paljastamise riskidega teabe puhul, mis võib nõrgestada üldiseid turbelahendusi.

Kuidas mõjutavad Log4j haavatavused Power Platformi? Mida peaksid kliendid antud juhul tegema?

Microsoft on hinnanud, et mitte ükski Log4j haavatavus ei mõjuta Power Platformi. Vaadake meie blogipostitust Log4j haavatavuste vältimise, avastamise ja ärakasutamise tuvastamise kohta.

Kuidas on võimalik tagada, et aset ei leiaks ühtegi autoriseerimata kannet brauseri laienduste või nende Unified Interface’i kliendi API-de tõttu, mis lubavad keelatud juhtelementide aktiveerimist?

Power Appsi turbemudel ei sisalda keelatud juhtelementide kontseptsiooni. Juhtelementide keelamine on kasutajaliidese täiendus. Turbe tagamisel ei tohiks loota keelatud juhtelementidele. Selle asemel kasutage Dataverse’i juhtelemente, nagu väljataseme turve, autoriseerimata kannete vältimiseks.

Milliseid HTTP turbepäiseid kasutatakse vastuseandmete kaitsmiseks?

Nimetus	Üksikasjad
Range transpordi turvalisus	See on seatud max-age=31536000; includeSubDomains kõikidele vastustele.
X-raami valikud	See on CSP kasuks aegunud.
X-sisu-tüübi valikud	See on seatud nosniff kõigile varade vastustele.
Sisu-turvalisuse poliitika	See määratakse, kui kasutaja lubab CSP.
X-XSS-kaitse	See on CSP kasuks aegunud.

Kust on võimalik leida Power Platformi või Dynamics 365 läbitungitavuse teste?

Uusimad läbitungitavuse testid ja turvalisuse hinnangud on leitavad Microsofti teenuse usaldusportaalist.

Märkus.

Teenuse usaldusportaali mõnele ressursile juurdepääsuks peate oma Microsofti pilveteenuste kontoga (Microsoft Entra organisatsiooni kontoga) autenditud kasutajana sisse logima ning üle vaatama ja nõustuma Microsofti mitteavaldamise lepinguga nõuetele vastavuse materjalide kohta.

Seotud artiklid

Turvalisuse ülevaade
Teenuste autentimine Power Platform
Andmeallikatega ühenduse loomine ja autentimine
Andmete salvestamine Power Platform

Vt ka

• Microsofti identiteediplatvorm
• Turvalisuse arendamise elutsükkel
• Ohtude modelleerimine
• Microsoft Entra Pidev juurdepääsu hindamine
• Sisu turbepoliitika
• Azure’i DDoS-kaitse
• Intune’i vastavuspoliitika sätted