Power Platformi turbe KKK
Levinumad küsimused Power Platformi turbe kohta kuuluvad kahte kategooriasse:
Kuidas on Power Platform kavandatud avatud veebirakenduste turbe projekti (Open Web Application Security Project® (OWASP)) kümne kõige levinuma riski mõju leevendamiseks.
Meie klientide esitatud küsimused.
Uusima teabe leidmise lihtsustamiseks lisatakse uued küsimused selle artikli lõppu.
OWASP-i kümme kõige levinumat riski: riskide maandamine Power Platformis.
Avatud veebirakenduste turbe projekt® (OWASP) on mittetulunduslik sihtasutus, mis püüab parandada tarkvara turvalisust. Kogukondlikult juhitud avatud lähtekoodiga tarkvara projektide, sadade ülemaailmsete rühmade, kümnete tuhandete liikmete ning juhtivate koolitus- ja väljaõppekonverentside kaasabil on OWASP-i sihtasutus arendajate ja tehnoloogide allikaks veebiteenuste turvalisuse tagamisel.
OWASP top 10 on standardne teadlikkuse tõstmise dokument arendajatele ja teistele, kes on huvitatud veebirakenduste turbest. See esindab ulatuslikku konsensust kõige kriitilisemate turvariskide kohta veebirakendustele. Selles jaotises arutletakse selle üle, kuidas Power Platform leevendab nende riskide mõju.
A01:2021 Katkine juurdepääsukontroll
- Power Platformi turbemudel on loodud miinimumpääsu (LPA) põhjal. LPA võimaldab klientidel luua rakendusi üksikasjalikuma juurdepääsu reguleerimisega.
- Power Platform kasutab Microsoft Entra ID-d (Microsoft Entra ID) Microsoft Identity Platformi kõigi API-kõnede autoriseerimiseks tööstusharu standardse OAuth 2.0 protokolliga.
- Teenusel Dataverse, mis annab alusandmed Power Platformile, on rikkalik turbemudel, mis hõlmab keskkonna tasemel, rollipõhist ning kirje- ja väljatasemel turvet.
A02:2021 Krüptograafilised tõrked
Edastamisel olevad andmed
- Power Platform kasutab TLS-i kogu HTTP-põhise võrguliikluse krüptimiseks. See kasutab teisi võimalusi mitte-HTTP võrguliikluse krüptimiseks, mis sisaldab kliendi- või konfidentsiaalseid andmeid.
- Power Platform kasutab kõrgendatud taluvusega TLS-konfiguratsiooni, mis rakendab HTTP Strict Transport Security (HSTS) poliitikat:
- TLS 1.2 või uuem
- ECDHE-põhised šifrikomplektid ja NIST-i kõver
- Tugevad võtmed
Sisestatud andmed:
- Kõik kliendiandmed krüptitakse enne kirjutamist mittehävimäluga salvestuskandjale.
Power Platform kasutab valdkonna häid tavasid, et ennetada injektsioonirünnakuid, sh:
- kasutades turvalisi parameetriga liidestega API-sid
- rakendades kasutajaliidese raamistike pidevalt arenevaid funktsioone sisendi puhastamiseks
- puhastades väljundit serveripoolse kinnitamisega
- kasutades staatilise analüüsi tööriistasid ehitamise ajal
- vaadates iga kuue kuu järel läbi iga teenuse riskimudeli, olenemata sellest, kas koodi, kujundust või taristut on värskendatud
- Power Platform põhineb turvalise kujunduse kultuuril ja metoodikal. Nii kultuuri kui ka metoodikat tugevdatakse pidevalt valdkonna juhtivate Microsoftturbearenduse elutsükli (SDL) ja ohu modelleerimise tavade kaudu .
- Riskimudelite läbivaatamine tagab ohtude tuvastamise kujundusfaasis, nende leevendamise ja kontrollimise, et riskid oleks kindlasti leevendatud.
- Riskide tuvastamine hõlmab ka kõiki muudatusi teenustes, mis on avaldatud juba pidevate korrapäraste läbivaatamiste teel. Toetumine mudelile STRIDE aitab käsitleda kõige levinumaid probleeme ebaturvalise kujundusega.
- Microsoft’s SDL on samaväärne OWASP tarkvarakindlustuse küpsusmudeliga (SAMM). Mõlemad põhinevad eeldusel, et turvaline kujundus on veebirakenduste turbe lahutamatu osa.
A05:2021 Turvalisuse valesti konfigureerimine
- Funktsioon „Vaikimisi keelamine” on üks Power Platformi kujunduspõhimõtete alustest. Funktsiooniga „Vaikimisi keelamine” peavad kliendid vaatama läbi uued funktsioonid ja konfiguratsioonid ning need valima.
- Kõik valed konfiguratsioonid avastab ehitamise ajal integreeritud turvaanalüüs, kasutades turvalisi arendustööriistu.
- Lisaks viiakse Power Platformiga läbi dünaamilise analüüsi turvalisuse testimine (DAST), kasutades siseteenust, mis põhineb OWASPI-i kümnel levinumal riskil.
A06:2021 Haavatavad ja aegunud komponendid
- Power Platform järgib Microsoft SDL-i tavasid avatud lähtekoodiga ja kolmandate osapoolte komponentide haldamiseks. Nende tavade hulka kuuluvad täieliku inventari haldamine, turbeanalüüside teostamine, komponentide ajakohastamine ning komponentide joondamine katsetatud ja testitud turbejuhtumile reageerimise protsessiga.
- Harvadel juhtudel võivad mõned rakendused väliste sõltuvuste tõttu sisaldada aegunud komponentide koopiaid. Kui neid sõltuvusi on aga eeltoodud tavade kohaselt käsitletud, jälgitakse ja värskendatakse neid komponente.
A07:2021 Tuvastamise ja autentimise tõrked
- Power Platform on üles ehitatud ja sõltub ID-tuvastusest Microsoft Entra ja autentimisest.
- Microsoft Entra aitab Power Platform lubada turvalisi funktsioone. Need funktsioonid hõlmavad ühekordset sisselogimist, mitmetegurilist autentimist ja üksikut platvormi turvalisemaks suhtlemiseks sisemiste ning väliste kasutajatega.
- ID-pideva Power Platformjuurdepääsu hindamise Microsoft Entra (CAE) eelseisva rakendamisega on kasutaja tuvastamine ja autentimine veelgi turvalisem ja usaldusväärsem.
A08:2021 Tarkvara ja andmete terviklikkuse tõrked
- Power Platformi komponentide juhtimise protsess jõustab paketi lähtefailide turvalist konfiguratsiooni tarkvara terviklikkuse haldamiseks.
- See protsess tagab, et kasutatakse vaid sisemisi pakette asendusrünnaku käsitlemiseks. Sõltuvusrünnak, mida teatakse ka nimega sõltuvussegadus, on meetod, mida on võimalik kasutada rakenduse loomise protsessi mürgitamiseks ettevõtte turvalistes keskkondades.
- Kõigile krüptitud andmetele on enne edastamist rakendatud terviklikkuse kaitset. Kõiki terviklikkuse kaitse metaandmeid, mis on saadaval sissetulevate krüptitud andmete puhul, kontrollitakse.
OWASP top 10 madala koodiga / koodita riskid: leevendused Power Platform
OWASP avaldatud juhised 10 peamise madala koodiga / koodita turvariski leevendamiseks leiate sellest dokumendist:
Power Platform - OWASP madala koodiga koodi nr Top 10 riskid (aprill 2024)
Levinumad turbküsimused klientidelt
Järgmised on mõned turbeküsimused, mida meie kliendid esitavad.
Kuidas aitab Power Platform kaitsta klõpsukaaperdamise eest?
Clickjacking kasutab muude komponentide hulgas manustatud iframme, et kaaperdada kasutaja suhtlus veebilehega. See on märkimisväärne oht eelkõige sisselogimislehtedele. Power Platform takistab iframe’ide kasutamist sisselogimislehtedel, vähendades sellega märkimisväärselt klõpsukaaperdamise ohtu.
Peale selle saavad organisatsioonid kasutada sisuturbepoliitikat (CSP) manustamise piiramiseks usaldatud domeenidele.
Kas Power Platform toetab sisuturbepoliitikat?
Power Platform toetab sisuturbepoliitikat (CSP) mudelipõhiste rakenduste puhul. Me ei toeta järgmisi päiseid, mille asendab CSP:
X-XSS-ProtectionX-Frame-Options
Kuidas me saame luua turvalise ühenduse SQL-serveriga?
Vt jaotist Microsoft SQL Serveri turvaline kasutamine Power Appsiga.
Milliseid šifreid toetab Power Platform? Milline on tegevuskava selleks, et liikuda pidevalt tugevamate šifrite suunas?
Kõik Microsoft teenused ja tooted on konfigureeritud kasutama heakskiidetud šifrikomplekte krüptotahvli täpses Microsoft järjekorras. Täieliku loendi ja täpse järjestuse leiate Power Platformi dokumentatsioonist.
Teave šifrikomplektide kasutuselt kõrvaldamise kohta edastatakse Power Platformi dokumentatsiooni Tähtsad muudatused kaudu.
Miks toetab Power Platform ikka veel RSA-CBC šifreid (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ja TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), mida peetakse nõrgemaks?
Microsoft kaalub suhtelist riski ja häireid kliendi toimingutes, valides toetamiseks šifrikomplektid. RSA-CBC šifrikomplekte ei ole veel murtud. Oleme võimaldanud neil tagada järjepidevuse kõikides meie teenustes ja toodetes ning toetada kõiki kliendi konfiguratsioone. Aga need on prioriteediloendi lõpus.
Me taunime neid šifreid õigel ajal, tuginedes krüptonõukogu pidevale Microsoft hindamisele.
Miks kuvab Power Automate MD5 sisuräsisid päästiku/toimingu sisendites ja väljundites?
Power Automate edastab Azure Storage’i tagastatud valikulise sisu-MD5 räsiväärtuse oma klientidele nii, nagu nad on. Seda räsi kasutab Azure Storage lehe terviklikkuse kontrollimiseks kontrollsumma algoritmina transpordi ajal ja seda ei kasutata turbekaalutlustel krüptograafilise räsifunktsioonina Power Automate’is. Lisateavet selle kohta leiate Azure’i salvestusruumi dokumentatsioonist selle kohta, kuidas saada bloobiatribuute ja kuidas töötada päringupäistega.
teKuidas kaitseb Power Platform hajusa teenusetõkestusrünnete (DDoS) eest?
Power Platform põhineb Microsoft Azure’il ja see kasutab Azure’i DDoS-kaitset, et kaitsta DDoS-rünnete eest.
Kas Power Platform tuvastab purustatud iOS seadmed ja juurdunud Android seadmed, mis aitavad organisatsiooni andmeid kaitsta?
Soovitame kasutada Intune’i Microsoft . Intune on mobiilseadme halduse lahendus. See võib aidata kaitsta organisatsiooni andmeid, nõudes kasutajatelt ja seadmetelt vastavust teatud nõuetele. Lisateavet leiate Intune’i vastavuspoliitika sätetest.
Miks laiendatakse seansiküpsiseid emadomeenile?
Power Platform laiendab seansiküpsiseid emadomeenile, et võimaldada autentimist ettevõtete vahel. Alamdomeene ei kasutata turbepiiretena. Need ei majuta ka kliendisisu.
Kuidas on võimalik määrata ajalõppu rakenduseseansile (nt 15 minutit)?
Power Platform kasutab Microsoft Entra ID-identiteeti ja juurdepääsuhaldust. See järgib Microsoft Entra ID soovitatud seansihalduse konfiguratsiooni optimaalse kasutuskogemuse saamiseks.
Teil on siiski võimalik kohandada keskkondi nii, et seal oleks selged seansi ja/või tegevuse ajalõpud. Lisateavet leiate jaotisest Kasutaja seansi- ja juurdepääsuhaldus.
ID-pideva Power Platformjuurdepääsu hindamise Microsoft Entra eelseisva rakendamisega on kasutaja tuvastamine ja autentimine veelgi turvalisem ja usaldusväärsem.
Rakendus võimaldab samale kasutajale juurdepääsu rohkem kui ühest seadmest või brauserist samal ajal. Kuidas on võimalik seda vältida?
Juurdepääs rakendusele rohkem kui ühest seadmest või brauserist samal ajal on kasutajale mugav. Power PlatformID-pideva Microsoft Entra juurdepääsu hindamise eelseisev rakendamine aitab tagada, et juurdepääs pärineb volitatud seadmetest ja brauseritest ning on endiselt kehtiv.
Miks kuvavad mõned Power Platformi teenused serveri päiseid paljusõnalise teabega?
Power Platformi teenused on teinud tööd ebavajaliku teabe eemaldamiseks serveri päisest. Eesmärgiks on tasakaalustada üksikasjade taset teabe paljastamise riskidega teabe puhul, mis võib nõrgestada üldiseid turbelahendusi.
Kuidas mõjutavad Log4j haavatavused Power Platformi? Mida peaksid kliendid antud juhul tegema?
Microsoft on hinnanud, et log4j haavatavused ei mõjuta Power Platform. Vaadake meie blogipostitust Log4j haavatavuste vältimise, avastamise ja ärakasutamise tuvastamise kohta.
Kuidas on võimalik tagada, et aset ei leiaks ühtegi autoriseerimata kannet brauseri laienduste või nende Unified Interface’i kliendi API-de tõttu, mis lubavad keelatud juhtelementide aktiveerimist?
Power Appsi turbemudel ei sisalda keelatud juhtelementide kontseptsiooni. Juhtelementide keelamine on kasutajaliidese täiendus. Turbe tagamisel ei tohiks loota keelatud juhtelementidele. Selle asemel kasutage Dataverse’i juhtelemente, nagu väljataseme turve, autoriseerimata kannete vältimiseks.
Milliseid HTTP-turvapäiseid kasutatakse andmete kaitsma vastus?
| Nimetus | Üksikasjad |
|---|---|
| Range-transport-turvalisus | See on seatud kõigile max-age=31536000; includeSubDomains vastustele. |
| X-Frame-Options | See on CSP kasuks aegunud. |
| X-sisu tüüpi valikud | See on seatud kõigile nosniff vara vastustele. |
| Sisu-turvalisus-poliitika | See määratakse, kui kasutaja lubab CSP. |
| X-XSS-kaitse | See on CSP kasuks aegunud. |
Kust on võimalik leida Power Platformi või Dynamics 365 läbitungitavuse teste?
Uusimad läbistustestid ja turbehinnangud leiate teenuse usaldusväärsuse portaalist Microsoft .
Märkus.
Teenuse usaldusväärsuse portaali mõnele ressursile juurdepääsemiseks peate oma Microsoft pilveteenuste kontoga (Microsoft Entra organisatsiooni kontoga) sisse logima autenditud kasutajana ning vaatama üle ja nõustuma Microsoft nõuetele vastavuse materjalide mitteavaldamise lepinguga.
Seotud artiklid
Turvalisus Microsoft Power Platform
Teenuste autentimine Power Platform
Andmeallikatega ühenduse loomine ja autentimine
Andmete säilitamine Power Platform