Power Platform segurtasunaren inguruan maiz egiten diren galderak
Power Platform segurtasunari buruzko ohiko galderak bi kategoriatan banatzen dira:
Nola diseinatu da Power Platform Open Web Application Security Project® (OWASP) 10 arrisku nagusiak arintzen laguntzeko
Gure bezeroek egiten dituzten galderak
Azken informazioa errazago aurkitzeko, galdera berriak gehitzen dira artikulu honen amaieran.
OWASP top 10 arriskuak: aringarriak Power Platform-en
Open Web Application Security Project® (OWASP) softwarearen segurtasuna hobetzeko lan egiten duen irabazi-asmorik gabeko fundazio bat da. Komunitateak gidatutako kode irekiko software proiektuen bidez, ehunka kapitulu mundu osoan, hamarnaka mila kide eta hezkuntza- eta prestakuntza-konferentzia nagusien bidez, OWASP Fundazioa garatzaile eta teknologoen iturria da weba ziurtatzeko.
OWASP 10 nagusiak web-aplikazioen segurtasunean interesa duten garatzaileentzako eta web-aplikazioen segurtasunean interesa duten gainerakoentzako sentsibilizazio-dokumentu estandarra da. Web aplikazioen segurtasun-arrisku kritikoenei buruzko adostasun zabala adierazten du. Atal honetan, Power Platform-ek arrisku horiek arintzen nola laguntzen duen aztertuko dugu.
A01:2021 Funtzionatzen ez duen sarbide-kontrola
- Power Platform segurtasun-eredua Pribilegio Gutxieneko Sarbidean (LPA) oinarritzen da. LPA-k bezeroei sarbide-kontrol zehatzagoa duten aplikazioak eraikitzeko aukera ematen die.
- Power Platform-ek Microsoft Entra IDaren (Microsoft Entra ID) Microsoft Identity Platform erabiltzen du API dei guztiak baimentzeko OAuth 2.0 protokolo estandarrarekin.
- Dataverse, Power Platform-ren azpiko datuak eskaintzen dituena, segurtasun-eredu aberatsa du, ingurune-mailako, rol-oinarritutako eta erregistro- eta eremu-mailako segurtasuna barne.
A02:2021 Errore kriptografikoak
Datuak trantsizioan:
- Power Platform-ek TLS erabiltzen du HTTPn oinarritutako sareko trafiko guztia enkriptatzeko. Beste mekanismo batzuk erabiltzen ditu bezeroen edo isilpeko datuak dituen HTTP ez den sareko trafikoa enkriptatzeko.
- Power Platform-ek HTTP Strict Transport Security (HSTS) gaitzen duen TLS konfigurazio gogortua erabiltzen du:
- TLS 1.2 edo berriagoa
- ECDHE-n oinarritutako zenbakizko suiteak eta NIST kurbak
- Giltza sendoak
Datuak atsedenaldian:
- Bezeroen datu guztiak enkriptatzen dira biltegiratze euskarri ez lurrunkor batean idatzi aurretik.
Power Platform industria-estandar praktika onenak erabiltzen ditu injekzio erasoak saihesteko, besteak beste:
- Parametroak dituzten interfazeekin API seguruak erabiltzea
- Front-end motako esparruen etengabeko eboluzioan dauden gaitasunak aplikatzea inputak garbitzeko
- Irteera zerbitzariaren balidazioarekin garbitzea
- Azterketa estatikoko tresnak erabiltzea eraikuntza garaian
- Zerbitzu bakoitzaren Mehatxu Eredua sei hilean behin berrikustea kodea, diseinua edo azpiegitura eguneratuta egon ala ez.
- Power Platform diseinu seguruaren kultura eta metodologia batean eraikita dago. Bai kultura eta bai metodologia etengabe indartzen dira Microsoft-en industrian liderrak diren Segurtasun Garapenaren Bizi-zikloa (SDL) eta Mehatxuen eredua praktiken bidez.
- Mehatxuen ereduaren berrikuspen-prozesuak diseinu-fasean mehatxuak identifikatu, arindu eta balioztatu direla ziurtatzen du, arindu direla ziurtatzeko.
- Mehatxuen ereduak sortzeko aukera dagoeneko zuzenean dauden zerbitzuen aldaketa guztiak hartzen ditu kontuan, etengabeko berrikuspenen bidez. STRIDE ereduan konfiantza izateak diseinu segurua duten arazo ohikoenak konpontzen laguntzen du.
- Microsoft-en SDL OWASP Software Assurance Maturity Model (SAMM) zerbitzuaren baliokidea da. Biak diseinu segurua web aplikazioen segurtasunerako funtsezkoa dela oinarrian eraikita daude.
A05:2021 Segurtasun-konfigurazio okerra
- "Ezeztatze lehenetsia" Power Platform diseinu-printzipioen oinarrietako bat da. "Ezeztatze lehenetsia" aukerarekin, bezeroek eginbide eta konfigurazio berriak berrikusi eta onartu behar dituzte.
- Eraikuntza-denboran zehar edozein konfigurazio okerrak segurtasun-analisi integratuaren bidez hautematen dira Garapen-tresna seguruak erabiliz.
- Horrez gain, Power Platform analisia dinamikoaren segurtasun-probak (DAST) egiten ditu OWASP Top 10 arriskuetan eraikitako barne-zerbitzu bat erabiliz.
A06:2021 Arriskuan dauden eta zaharkitutako osagaiak
- Microsoft-en SDL praktikak jarraitzen ditu Power Platform kode irekiko eta hirugarrenen osagaiak kudeatzeko. Praktika horien artean, inbentario osoa mantentzea, segurtasun-analisiak egitea, osagaiak eguneratuta mantentzea eta osagaiak segurtasun-intzidenteen erantzun-prozesu probatu eta probatu batekin lerrokatzea daude.
- Kasu gutxitan, aplikazio batzuek osagai zaharkituen kopiak eduki ditzakete kanpoko menpekotasunengatik. Hala ere, mendekotasun horiek lehen azaldutako praktiken arabera zuzendu ondoren, osagaien jarraipena eta eguneratzea egiten da.
A07:2021 Identifikazio- eta autentifikazio-erroreak
- Power Platform Microsoft Entra ID identifikazioaren eta autentifikazioaren araberakoa da.
- Microsoft Entra Power Platform eginbide seguruak gaitzen laguntzen du. Ezaugarri horien artean, saio-hasiera bakarra, faktore anitzeko autentifikazioa eta barneko eta kanpoko erabiltzaileekin modu seguruagoan harremanetan jartzeko plataforma bakarra daude.
- Power Platformren Microsoft Entra ID Etengabeko Sarbidearen Ebaluazioa (CAE) inplementazioarekin, erabiltzaileen identifikazioa eta autentifikazioa are gehiago izango dira. segurua eta fidagarria.
A08:2021 Softwarearen eta datuen osotasunaren erroreak
- Power Platform-en Osagaien Gobernuaren prozesuak paketeen iturburu-fitxategien konfigurazio segurua behartzen du softwarearen osotasuna mantentzeko.
- Prozesuak ordezkapen-erasoa zuzentzeko barne-jatorrizko paketeak soilik zerbitzatzen direla ziurtatzen du. Ordezkapen-erasoa, mendekotasun-nahasmena izenez ere ezaguna, enpresa-ingurune seguruetan aplikazioak sortzeko prozesua pozoitzeko erabil daitekeen teknika da.
- Enkriptatutako datu guztiek osotasunaren babesa dute transmititu aurretik. Sarrerako datu enkriptatuetan dauden osotasuna babesteko metadatu guztiak balioztatu dira.
OWASP top 10 Low Code/No Code arriskuak: Aringarriak barne Power Platform
OWASPek argitaratutako 10 Kode baxuko/Koderik gabeko segurtasun-arrisku nagusiak arintzeko jarraibideak lortzeko, ikusi dokumentu hau:
Power Platform - OWASP kode baxuko 10 arriskurik handienak (2024ko apirila)
Bezeroen segurtasun galdera arruntak
Jarraian, gure bezeroek egiten dituzten segurtasun galdera batzuk daude.
Nola laguntzen du Power Platform-ek klik egiten duzunean erasoen aurka babesten?
Clickjacking aukerak iframe elementu txertatuak erabiltzen ditu, beste osagai batzuen artean, erabiltzaileak web orri batekin dituen interakzioak bahitzeko. Mehatxu nabarmena da saioa hasteko orriak bereziki. Power Platform-ek saioa hasteko orrietan iframes erabiltzea eragozten du, clickjacking arriskua nabarmen murriztuz.
Horrez gain, erakundeek Edukien Segurtasun-Politika (CSP) erabil ditzakete kapsulatzeak domeinu fidagarrietara mugatzeko.
Edukiaren segurtasun-gidalerroak onartzen ditu Power Platform-ek?
Power Platform-ek onartzen ditu Edukien segurtasun-gidalerroak (CSP) ereduetan oinarritutako aplikazioetarako. Ez ditugu onartzen CSP-k ordezkatzen dituen goiburu hauek:
X-XSS-ProtectionX-Frame-Options
Nola konekta gaitezke SQL Server-era modu seguruan?
Ikusi Erabili Microsoft SQL Server segurtasunez Power Apps-ekin.
Zein zifrak onartzen dituzte Power Platform? Zein da zifraketa sendoagotara etengabe aurrera egiteko bide-orria?
Microsoft zerbitzu eta produktu guztiak onartutako zifra-multzoak erabiltzeko konfiguratuta daude, Microsoft Crypto Board-ek agindutako ordena zehatzean. Zerrenda osoa eta ordena zehatza ikusteko, ikusi Power Platform dokumentazioa.
Zifratze-multzoen zaharkitzeei buruzko informazioa Power Platform-ren Aldaketa garrantzitsuak dokumentazioaren bidez helarazten da.
Zergatik onartzen ditu Power Platform-ek oraindik RSA-CBC zifraketak (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) eta TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), zeintzuk ahulagoak diren?
Microsoft-ek bezeroen eragiketen arrisku erlatiboa eta etenaldia neurtzen ditu laguntzarako zifratu multzoak aukeratzerakoan. RSA-CBC zifra-multzoak oraindik ez dira hautsi. Gure zerbitzu eta produktuen koherentzia bermatzeko eta bezeroen konfigurazio guztiak onartzen dituzte. Hala ere, lehentasunen zerrendaren behealdean daude.
Zifratze hauek une egokian kenduko ditugu, Microsoft Crypto Board-en etengabeko ebaluazioan oinarrituta.
Zergatik erakusten ditu Power Automate-ek MD5 edukiaren hash elementuak abiarazte/ekintzen sarrera eta irteeretan?
Power Automate Azure Storage-k itzultzen duen edukiaren aukerako MD5 hash balioa bere bezeroei pasatzen die. Hash hau Azure Storage-k erabiltzen du garraioan orriaren osotasuna egiaztatzeko batura algoritmo gisa eta ez da hash kriptografiko funtzio gisa erabiltzen segurtasun-helburuetarako Power Automate-en. Honen xehetasun gehiago aurki ditzakezu Azure Storage dokumentazioan: Blob propietateak lortu eta Goiburuak eskatzea.
Nola babesten da Power Platform Zerbitzuaren Ukapen Banatutako (DDoS) erasoetatik?
Power Platform Microsoft Azure-en eraikita dago eta Azure DDoS Protection erabiltzen du DDoS erasoen aurka babesteko.
Power Platform Jailbreak dauden iOS gailuak eta errotuta dauden Android gailuak hautematen al ditu antolakuntzako datuak babesten laguntzeko?
Gomendatzen dizugu Microsoft Intune erabiltzea. Intune gailu mugikorren kudeaketa irtenbide bat da. Antolakuntzako datuak babesten lagun dezake, erabiltzaileei eta gailuei baldintza batzuk bete ditzaten eskatuz. Informazio gehiago lortzeko, ikusi Intune-ren betetze-gidalerroen ezarpenak.
Zergatik sartzen dira saioko cookieak domeinu nagusira?
Power Platform saio-cookieak domeinu nagusira eramaten ditu erakundeen autentifikazioa ahalbidetzeko. Azpidomeinuak ez dira segurtasun-muga gisa erabiltzen. Gainera, ez dute bezeroen edukia hartzen.
Nola ezarri dezakegu aplikazioaren saioa denbora-muga iraun dezan, esate baterako, 15 minuturen buruan?
Power Platform Microsoft Entra ID identitatea eta sarbideen kudeaketa erabiltzen du. Microsoft Entra ID-en gomendatutako saioak kudeatzeko konfigurazioari jarraitzen dio erabiltzaileen esperientzia ezin hobea izateko.
Hala ere, inguruneak pertsonaliza ditzakezu saio eta/edo jardueren denbora-muga esplizitua izateko. Informazio gehiago lortzeko, ikusi Segurtasun-hobekuntzak: Erabiltzaile saioan zehar eta sarbidea kudeaketa.
Power Platformren Microsoft Entra ID Etengabeko Sarbide Ebaluazioaren inplementazioarekin, erabiltzaileen identifikazioa eta autentifikazioa are seguru eta fidagarriagoak izango dira. .
Aplikazioari esker, erabiltzaile bera makina edo nabigatzaile batetik baino gehiagotan sartzeko aukera ematen du aldi berean. Nola saihestu dezakegu hori?
Aplikaziora gailu edo arakatzaile batetik baino gehiagotik aldi berean sartzea erosotasuna da erabiltzaileentzat. Power Platform Microsoft Entra ID Etengabeko Sarbidearen Ebaluazioa ren hurrengo inplementazioak baimendutako gailu eta arakatzaileetatik atzitzea eta oraindik balio duela ziurtatzen lagunduko du.
Zergatik Power Platform zerbitzu batzuek zerbitzariaren goiburuak erakusten dituzte informazio zehatzarekin?
Power Platform zerbitzuak zerbitzariaren goiburuan beharrezkoa ez den informazioa kentzeko lanean aritu dira. Xehetasun-maila orekatzea da segurtasun-jarrera orokorra ahul dezakeen informazioa erakusteko arriskuarekin.
Nola eragiten dute Log4j ahulguneek Power Platform? Zer egin behar dute bezeroek zentzu honetan?
Microsoft-ek ebaluatu du Log4j-ren ahultasunik ez duela eraginik Power Platform. Ikusi gure blogeko argitalpena Log4j ahultasunak saihesteari, detektatzeari eta ehizatzeari buruz.
Nola ziurta dezakegu baimenik gabeko transakziorik ez dagoela arakatzaileen luzapenengatik edo Interfaze bateratu Bezeroaren APIak desgaitutako kontrolak gaitu ahal izateko?
Power Apps segurtasun-ereduak ez du desgaitutako kontrolen kontzeptua sartzen. Kontrolak desgaitzea UI hobekuntza bat da. Ez zenuke desgaitutako kontroletan fidatu behar segurtasuna emateko. Horren ordez, erabili Dataverse kontrolak, hala nola eremu mailako segurtasuna, baimenik gabeko transakzioak saihesteko.
Zein HTTP segurtasun goiburu erabiltzen dira erantzunen datuak babesteko?
| Eman izena | Xehetasunak |
|---|---|
| Zorrotza-Garraio-Segurtasuna | Hau ezarrita dago max-age=31536000; includeSubDomains erantzun guztietan. |
| X-Frame-Aukerak | Hau zaharkituta dago CSPren alde. |
| X-Eduki-Mota-Aukerak | Hau ezarrita dago nosniff aktiboen erantzun guztietan. |
| Edukia-Segurtasun-Politika | Hau ezartzen da erabiltzaileak CSP gaitzen badu. |
| X-XSS-Babesa | Hau zaharkituta dago CSPren alde. |
Non aurki ditzaket Power Platform edo Dynamics 365 sartze-probak?
Azken sartze-probak eta segurtasun-ebaluazioak Microsoft Service Trust Portal aurki daitezke.
Oharra
Zerbitzu fidagarriaren atariko baliabide batzuetara sartzeko, autentifikatutako erabiltzaile gisa hasi behar duzu saioa zure Microsoft hodeiko zerbitzuen kontuarekin (Microsoft Entra erakunde-kontua) eta berrikusi eta onartu Microsoft-en ez-adierazpen-akordioa betetzeko materialetarako. .
Erlazionatutako artikuluak
Segurtasuna Microsoft Power Platform
Power Platform zerbitzuetan autentifikatzea
Datu-iturburuetara konektatzea eta horiek autentifikatzea
Datu-biltegia Power Platform