Oharra
Orrialde honetara sartzeak baimena behar du. Saioa hasteko edo direktorioak aldatzen saia zaitezke.
Orrialde honetara sartzeak baimena behar du. Direktorioak aldatzen saia zaitezke.
Power Platform segurtasunari buruzko ohiko galderak bi kategoriatan banatzen dira:
Nola diseinatu da Power Platform Open Web Application Security Project® (OWASP) 10 arrisku nagusiak arintzen laguntzeko
Gure bezeroek egiten dituzten galderak
Azken informazioa errazago aurkitzeko, galdera berriak gehitzen dira artikulu honen amaieran.
OWASP top 10 arriskuak: aringarriak Power Platform-en
Open Web Application Security Project® (OWASP) softwarearen segurtasuna hobetzeko lan egiten duen irabazi-asmorik gabeko fundazio bat da. Komunitateak gidatutako kode irekiko software proiektuen bidez, ehunka kapitulu mundu osoan, hamarnaka mila kide eta hezkuntza- eta prestakuntza-konferentzia nagusien bidez, OWASP Fundazioa garatzaile eta teknologoen iturria da weba ziurtatzeko.
OWASP 10 nagusiak web-aplikazioen segurtasunean interesa duten garatzaileentzako eta web-aplikazioen segurtasunean interesa duten gainerakoentzako sentsibilizazio-dokumentu estandarra da. Web aplikazioen segurtasun-arrisku kritikoenei buruzko adostasun zabala adierazten du. Atal honetan, Power Platform-ek arrisku horiek arintzen nola laguntzen duen eztabaidatuko dugu.
A01:2021 Sarbide-kontrol hautsia
- Power Platform segurtasun-eredua Pribilegio Gutxieneko Sarbidean (LPA) oinarritzen da. LPA-k bezeroei sarbide-kontrol zehatzagoa duten aplikazioak eraikitzeko aukera ematen die.
- Power Platform Microsoft Entra IDak (Microsoft Entra ID) Microsoft Identity Platform erabiltzen ditu API dei guztiak baimentzeko, industria-estandarreko OAuth 2.0 protokoloarekin.
- Dataverse, Power Platform-ren azpiko datuak eskaintzen dituena, segurtasun-eredu aberatsa du, ingurune-mailako, rol-oinarritutako eta erregistro- eta eremu-mailako segurtasuna barne.
A02:2021 Kriptografia-hutsegiteak
Datuak trantsizioan:
- Power Platform-ek TLS erabiltzen du HTTPn oinarritutako sareko trafiko guztia enkriptatzeko. Beste mekanismo batzuk erabiltzen ditu bezeroen edo isilpeko datuak dituen HTTP ez den sareko trafikoa enkriptatzeko.
- Power Platform-ek HTTP Strict Transport Security (HSTS) gaitzen duen TLS konfigurazio gogortua erabiltzen du:
- TLS 1.2 edo berriagoa
- ECDHE-n oinarritutako zenbakizko suiteak eta NIST kurbak
- Giltza sendoak
Datuak atsedenaldian:
- Bezeroen datu guztiak enkriptatuta daude biltegiratze euskarri ez-hegazkorretan idatzi aurretik.
Power Platform industria-estandar praktika onenak erabiltzen ditu injekzio erasoak saihesteko, besteak beste:
- Parametroak dituzten interfazeekin API seguruak erabiltzea
- Front-end motako esparruen etengabeko eboluzioan dauden gaitasunak aplikatzea inputak garbitzeko
- Irteera zerbitzariaren balidazioarekin garbitzea
- Azterketa estatikoko tresnak erabiltzea eraikuntza garaian
- Zerbitzu bakoitzaren Mehatxu Eredua sei hilean behin berrikustea kodea, diseinua edo azpiegitura eguneratuta egon ala ez.
- Power Platform diseinu seguruaren kultura eta metodologia batean eraikita dago. Bai kultura eta bai metodologia etengabe indartzen dira Microsoft-en industrian liderrak diren Segurtasun Garapenaren Bizi-zikloa (SDL) eta Mehatxuen eredua praktiken bidez.
- Mehatxuen ereduaren berrikuspen-prozesuak diseinu-fasean mehatxuak identifikatu, arindu eta balioztatu direla ziurtatzen du, arindu direla ziurtatzeko.
- Mehatxuen ereduak sortzeko aukera dagoeneko zuzenean dauden zerbitzuen aldaketa guztiak hartzen ditu kontuan, etengabeko berrikuspenen bidez. STRIDE ereduan konfiantza izateak diseinu segurua duten arazo ohikoenak konpontzen laguntzen du.
- Microsoft-en SDL OWASP Software Assurance Maturity Model (SAMM) zerbitzuaren baliokidea da. Biak diseinu segurua web aplikazioen segurtasunerako funtsezkoa dela oinarrian eraikita daude.
A05:2021 Segurtasun konfigurazio okerra
- "Ezeztatze lehenetsia" Power Platform diseinu-printzipioen oinarrietako bat da. "Ezeztatze lehenetsia" aukerarekin, bezeroek eginbide eta konfigurazio berriak berrikusi eta onartu behar dituzte.
- Eraikuntza-denboran zehar edozein konfigurazio okerrak segurtasun-analisi integratuaren bidez hautematen dira Garapen-tresna seguruak erabiliz.
- Horrez gain, Power Platform analisia dinamikoaren segurtasun-probak (DAST) egiten ditu OWASP Top 10 arriskuetan eraikitako barne-zerbitzu bat erabiliz.
A06:2021 Osagai Zaurgarriak eta Zaharkituak
- Microsoft-en SDL praktikak jarraitzen ditu Power Platform kode irekiko eta hirugarrenen osagaiak kudeatzeko. Praktika horien artean, inbentario osoa mantentzea, segurtasun-analisiak egitea, osagaiak eguneratuta mantentzea eta osagaiak segurtasun-intzidenteen erantzun-prozesu probatu eta probatu batekin lerrokatzea daude.
- Kasu gutxitan, aplikazio batzuek osagai zaharkituen kopiak eduki ditzakete kanpoko menpekotasunengatik. Hala ere, mendekotasun horiek lehen azaldutako praktiken arabera zuzendu ondoren, osagaien jarraipena eta eguneratzea egiten da.
A07:2021 Identifikazio eta Autentifikazio Akatsak
- Power Platform NAN identifikazioan eta autentifikazioan oinarrituta dago eta horien araberakoa da. Microsoft Entra
- Microsoft Entra funtzio seguruak gaitzen laguntzen du. Power Platform Ezaugarri horien artean daude saio-hasiera bakarra, faktore anitzeko autentifikazioa eta plataforma bakarra barneko eta kanpoko erabiltzaileekin segurtasun handiagoz harremanetan jartzeko.
- IDaren Power PlatformJarraipen Sarbidearen Ebaluazioa Microsoft Entra (CAE) ezarpenarekin, erabiltzaileen identifikazioa eta autentifikazioa are seguruagoak eta fidagarriagoak izango dira. ...
A08:2021 Softwarearen eta Datuen Osotasunaren Akatsak
- Power Platform-en Osagaien Gobernuaren prozesuak paketeen iturburu-fitxategien konfigurazio segurua behartzen du softwarearen osotasuna mantentzeko.
- Prozesuak ordezkapen-erasoa zuzentzeko barne-jatorrizko paketeak soilik zerbitzatzen direla ziurtatzen du. Ordezkapen-erasoa, mendekotasun-nahasmena izenez ere ezaguna, enpresa-ingurune seguruetan aplikazioak sortzeko prozesua pozoitzeko erabil daitekeen teknika da.
- Enkriptatutako datu guztiek osotasunaren babesa dute transmititu aurretik. Sarrerako datu enkriptatuetan dauden osotasuna babesteko metadatu guztiak balioztatu dira.
OWASP-en 10 kode gutxiko/koderik gabeko arrisku nagusiak: Arintzeak Power Platform
OWASPek argitaratutako 10 Low Code/No Code segurtasun arrisku nagusiak arintzeko orientazioa lortzeko, ikusi dokumentu hau:
Power Platform - OWASP Kode Baxuko Koderik Gabeko 10 Arrisku Nagusiak (2024ko apirila)
Bezeroen segurtasun galdera arruntak
Jarraian, gure bezeroek egiten dituzten segurtasun galdera batzuk daude.
Nola laguntzen du Power Platform-ek klik egiten duzunean erasoen aurka babesten?
Clickjacking-ek, besteak beste, txertatutako iframe-ak erabiltzen ditu erabiltzaile batek web orri batekin dituen interakzioak bahitzeko. Mehatxu nabarmena da saioa hasteko orriak bereziki. Power Platform-ek saioa hasteko orrietan iframes erabiltzea eragozten du, clickjacking arriskua nabarmen murriztuz.
Horrez gain, erakundeek Edukien Segurtasun-Politika (CSP) erabil ditzakete kapsulatzeak domeinu fidagarrietara mugatzeko.
Edukiaren segurtasun-gidalerroak onartzen ditu Power Platform-ek?
Power Platform-ek onartzen ditu Edukien segurtasun-gidalerroak (CSP) ereduetan oinarritutako aplikazioetarako. Ez ditugu onartzen CSPk ordezkatzen dituen goiburu hauek:
X-XSS-ProtectionX-Frame-Options
Nola konekta gaitezke SQL Server-era modu seguruan?
Ikusi Erabili Microsoft SQL Server segurtasunez Power Apps-ekin.
Zein zifrak onartzen dituzte Power Platform? Zein da zifraketa sendoagotara etengabe aurrera egiteko bide-orria?
Microsoft zerbitzu eta produktu guztiak onartutako zifra-multzoak erabiltzeko konfiguratuta daude, Microsoft Crypto Board-ek agindutako ordena zehatzean. Zerrenda osoa eta ordena zehatza ikusteko, ikusi Power Platform dokumentazioa.
Zifratze-multzoen zaharkitzeei buruzko informazioa Power Platform-ren Aldaketa garrantzitsuak dokumentazioaren bidez helarazten da.
Zergatik onartzen ditu Power Platform-ek oraindik RSA-CBC zifraketak (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) eta TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), zeintzuk ahulagoak diren?
Microsoft-ek bezeroen eragiketen arrisku erlatiboa eta etenaldia neurtzen ditu laguntzarako zifratu multzoak aukeratzerakoan. RSA-CBC zifra-multzoak oraindik ez dira hautsi. Gure zerbitzu eta produktuen koherentzia bermatzeko eta bezeroen konfigurazio guztiak onartzen dituzte. Hala ere, lehentasunen zerrendaren behealdean daude.
Zifratze hauek une egokian kenduko ditugu, Microsoft Crypto Board-en etengabeko ebaluazioan oinarrituta.
Zergatik erakusten ditu Power Automate-ek MD5 edukiaren hash elementuak abiarazte/ekintzen sarrera eta irteeretan?
Power Automate Azure Storage-k itzultzen duen edukiaren aukerako MD5 hash balioa bere bezeroei pasatzen die. Hash hau Azure Storage-k erabiltzen du garraioan orriaren osotasuna egiaztatzeko batura algoritmo gisa eta ez da hash kriptografiko funtzio gisa erabiltzen segurtasun-helburuetarako Power Automate-en. Xehetasun gehiago aurki ditzakezu Azure Storage dokumentazioan, nola lortu Blob propietateak eta nola erabili Eskaera goiburuekin.
Nola babesten da Power Platform Zerbitzuaren Ukapen Banatutako (DDoS) erasoetatik?
Power Platform Microsoft Azure-en eraikita dago eta Azure DDoS Protection erabiltzen du DDoS erasoen aurka babesteko.
Jailbroken Power Platform gailuak eta errotuta iOS gailuak detektatzen al ditu erakundearen datuak babesten laguntzeko? Android
Gomendatzen dizugu Microsoft Intune erabiltzea. Intune gailu mugikorren kudeaketa irtenbide bat da. Antolakuntzako datuak babesten lagun dezake, erabiltzaileei eta gailuei baldintza batzuk bete ditzaten eskatuz. Informazio gehiago lortzeko, ikusi Intune-ren betetze-gidalerroen ezarpenak.
Zergatik sartzen dira saioko cookieak domeinu nagusira?
Power Platform saio-cookieak domeinu nagusira eramaten ditu erakundeen autentifikazioa ahalbidetzeko. Azpidomeinuak ez dira segurtasun-muga gisa erabiltzen. Gainera, ez dute bezeroen edukia hartzen.
Nola ezarri dezakegu aplikazioaren saioa denbora-muga iraun dezan, esate baterako, 15 minuturen buruan?
Power Platform erabiltzen ditu Microsoft Entra ID identitatea eta sarbide kudeaketa. Erabiltzaile esperientzia optimoa lortzeko, IDak gomendatutako saioak kudeatzeko konfigurazioari jarraitzen dio. Microsoft Entra
Hala ere, inguruneak pertsonaliza ditzakezu saio eta/edo jardueren denbora-muga esplizitua izateko. Informazio gehiago lortzeko, ikusi Segurtasun-hobekuntzak: Erabiltzaile saioan zehar eta sarbidea kudeaketa.
Power Platform-k Microsoft Entra ID Sarbide Jarraituaren Ebaluazioa ezartzearekin, erabiltzaileen identifikazioa eta autentifikazioa are seguruagoak eta fidagarriagoak izango dira.
Aplikazioari esker, erabiltzaile bera makina edo nabigatzaile batetik baino gehiagotan sartzeko aukera ematen du aldi berean. Nola saihestu dezakegu hori?
Aplikaziora gailu edo arakatzaile batetik baino gehiagotik aldi berean sartzea erosotasuna da erabiltzaileentzat. Power Platform-ren Microsoft Entra ID Sarbide Jarraituaren Ebaluazioa -ren ezarpenak sarbidea baimendutako gailu eta arakatzaileetatik datorrela eta oraindik baliozkoa dela ziurtatzen lagunduko du.
Zergatik Power Platform zerbitzu batzuek zerbitzariaren goiburuak erakusten dituzte informazio zehatzarekin?
Power Platform zerbitzuak zerbitzariaren goiburuan beharrezkoa ez den informazioa kentzeko lanean aritu dira. Xehetasun-maila orekatzea da segurtasun-jarrera orokorra ahul dezakeen informazioa erakusteko arriskuarekin.
Nola eragiten dute Log4j ahulguneek Power Platform? Zer egin behar dute bezeroek zentzu honetan?
Microsoft-ek ebaluatu du Log4j-ren ahultasunik ez duela eraginik Power Platform. Ikusi gure blogeko argitalpena Log4j ahultasunak saihesteari, detektatzeari eta ehizatzeari buruz.
Nola ziurta dezakegu baimenik gabeko transakziorik ez dagoela arakatzaileen luzapenengatik edo Interfaze bateratu Bezeroaren APIak desgaitutako kontrolak gaitu ahal izateko?
Power Apps segurtasun-ereduak ez du desgaitutako kontrolen kontzeptua sartzen. Kontrolak desgaitzea UI hobekuntza bat da. Ez zenuke desgaitutako kontroletan fidatu behar segurtasuna emateko. Horren ordez, erabili Dataverse kontrolak, hala nola eremu mailako segurtasuna, baimenik gabeko transakzioak saihesteko.
Zein HTTP segurtasun-goiburu erabiltzen dira erantzun-datuak babesteko?
| Eman izena | Xehetasunak |
|---|---|
| Garraio Segurtasun Zorrotza | Hau erantzun guztietan max-age=31536000; includeSubDomains ezarrita dago. |
| X-Frame-Aukerak | Hau CSPren alde baztertuta dago. |
| X-Eduki-Mota-Aukerak | Hau aktibo guztien erantzunetan nosniff ezarrita dago. |
| Edukiaren Segurtasun Politika | Hau erabiltzaileak CSP gaitzen badu ezartzen da. ... |
| X-XSS-Babesa | Hau CSPren alde baztertuta dago. |
Non aurki ditzaket Power Platform edo Dynamics 365 sartze-probak?
Azken sartze-probak eta segurtasun-ebaluazioak Microsoft Service Trust Portal aurki daitezke.
Oharra
Zerbitzuen Konfiantza Atarian dauden baliabide batzuetara sartzeko, zure Microsoft hodeiko zerbitzuen kontuarekin (Microsoft Entra erakundearen kontua) autentifikatutako erabiltzaile gisa saioa hasi behar duzu, eta betetze-materialei buruzko Microsoft-en ez-dibulgazio-hitzarmena berrikusi eta onartu.
Erlazionatutako artikuluak
Segurtasun ikuspegi orokorra
Zerbitzuetara autentifikatzea Power Platform
Datu-iturrietara konektatzea eta autentifikatzea
Datuen biltegiratzea hemen Power Platform