Oharra
Orrialde honetara sartzeak baimena behar du. Saioa hasteko edo direktorioak aldatzen saia zaitezke.
Orrialde honetara sartzeak baimena behar du. Direktorioak aldatzen saia zaitezke.
Segurtasun Ongi Arkitektonatuari buruzko kontrol-zerrenda gomendio honi aplikatzen zaio: Power Platform
| SE:07 | Babestu aplikazioen sekretuak haien biltegiratzea gogortuz, sarbidea eta manipulazioa mugatuz eta ekintza horiek ikuskatuz. Larrialdietarako errotazioak inprobisatu ahal izateko errotazio-prozesu fidagarri eta erregular bat ezarri. |
|---|
Gida honek lan-kargetan informazio sentikorra babesteko gomendioak deskribatzen ditu. Sekretuen kudeaketa egokia ezinbestekoa da zure aplikazioaren, lan-kargaren eta lotutako datuen segurtasuna eta osotasuna mantentzeko. Sekretuen kudeaketa desegokiak datu-urraketak, zerbitzu-etenaldiak, arau-hausteak eta beste arazo batzuk ekar ditzake.
API gakoak, Open Authorization (OAuth) tokenak eta Secure Shell (SSH) gakoak bezalako kredentzialak sekretuak dira. Betetze-eskakizunek normalean sekretutzat hartzen ez diren konfigurazio-ezarpenak aplikazio-sekretu gisa hartzea eragin dezakete.
Definizioak
| Terminoa | Definizioa |
|---|---|
| Ziurtagiriak | Enkriptatzeko edo deskriptatzeko gako publikoak dituzten fitxategi digitalak. |
| Kredentzialak | Komunikazio-kanal batean argitaratzailearen edo kontsumitzailearen nortasuna egiaztatzeko erabiltzen den informazioa. |
| Kredentzialen eskaneatzea | Sekretuak barne ez daudela ziurtatzeko iturburu-kodea balioztatzeko prozesua. |
| Enkriptatzea | Datuak irakurgaitz bihurtzen eta kode sekretu batekin blokeatzen dituen prozesua. |
| Tekla | Datu enkriptatuak blokeatzeko edo desblokeatzeko erabiltzen den kode sekretua. |
| Pribilegio gutxieneko sarbidea | Zero Trust printzipio bat, lan-funtzio bat burutzeko baimen multzo bat minimizatzea helburu duena. |
| Kudeatutako identitatea | Baliabideei esleitutako eta Azure-k kudeatzen duen identitatea. |
| Ez-sekretua | Lan-kargaren segurtasun-jarrera arriskuan jartzen ez duen informazioa, filtratuz gero. |
| Biraketa | Sekretuak aldizka eguneratzeko prozesua, arriskuan jartzen badira, denbora mugatu batez bakarrik eskuragarri egon daitezen. |
| Dun & Bradstreet proiektuaren eskualdea | Lan-kargaren osagaien arteko komunikazioa errazten duen sistemaren osagai konfidentziala. Sekretuak filtratuz gero, urraketa bat eragin dezakete. |
| X.509 | Gako publikoko ziurtagirien formatua definitzen duen estandarra. |
Garrantzitsua da
Ez tratatu sekretu ez-sekretuak sekretu gisa. Sekretuek zorroztasun operatiboa behar dute, sekretu ez-sekretuentzat beharrezkoa ez dena, eta horrek kostu gehigarriak ekar ditzake.
Aplikazioaren sekretuak ez diren ezarpenak, hala nola aplikazioak behar dituen APIen URLak, aplikazioaren kodetik edo aplikazioaren sekretuetatik bereizita gorde behar dira. Aplikazioaren konfigurazioa gordetzeko, kontuan hartu konektore pertsonalizatu bat edo ingurune-aldagaiak erabiltzea. Beste aukera bat aplikazioaren konfigurazioari buruzko metadatuak gordetzeko taula bat erabiltzea da. Dataverse Hala ere, datu hauek ingurune berri batean betetzeko modu bat aurkitu beharko duzu, hala nola konfigurazio datuak garapenetik probak edo ekoizpenera transferituz. Dataflow-ak erabil ditzakezu hori lortzeko.
Diseinu estrategia nagusiak
Sekretuak gorde eta kudeatu aurretik, kontuan hartu kezka-arlo hauek:
- Sortutako sekretuak biltegi seguru batean gorde behar dira, sarbide-kontrol zorrotzekin.
- Errotazio sekretua eragiketa proaktiboa da, eta ezeztapena, berriz, erreaktiboa.
- Identitate fidagarriek bakarrik izan beharko lukete sekretuetarako sarbidea.
- Sekretuetarako sarbidea ikuskatu eta balioztatzeko auditoria-aztarna bat mantendu beharko zenuke.
Sortu estrategia bat puntu hauen inguruan identitate-lapurreta saihesteko, arbuiatzea saihesteko eta informazioarekiko esposizio beharrezkoa gutxitzeko.
Sekretuen kudeaketarako praktika seguruak
Giltzek hiru rol bereizi izatea gomendatzen dugu: erabiltzailea, administratzailea eta auditorea. Rol bereizketak identitate fidagarriek bakarrik dutela baimen-maila egokiarekin sekretuetarako sarbidea ziurtatzen laguntzen du. Hezi garatzaileak, administratzaileak eta bestelako langile garrantzitsuak sekretuen kudeaketaren eta segurtasun-jardunbide egokien garrantziaz.
Aurrez partekatutako giltzak
Kontsumitzaile bakoitzarentzat gako desberdinak sortuz kontrola dezakezu sarbidea. Adibidez, bezero batek, aplikazio edo fluxu batek bezala, hirugarrenen API batekin komunikatzen da aurrez partekatutako gako bat erabiliz. Beste bezero batek API bera behar badu, beste gako bat erabili beharko du. Ez partekatu giltzak, bi kontsumitzaileek sarbide-eredu edo rol berdinak badituzte ere. Kontsumitzaileen esparruak denboran zehar alda daitezke, eta ezin dituzu baimenak modu independentean eguneratu edo erabilera-ereduak bereizi gako bat partekatu ondoren. Sarbide bereiziak ezeztapena ere errazten du. Kontsumitzaile baten giltza arriskuan badago, errazagoa da giltza hori ezeztatu edo biratzea beste kontsumitzaileei eragin gabe.
Gida hau ingurune desberdinetan aplikatzen da. Ez da gako bera erabili behar aurre-ekoizpen eta ekoizpen inguruneetarako. Aurrez partekatutako gakoak sortzeaz arduratzen bazara, ziurtatu hainbat gako sortzen dituzula hainbat bezero onartzeko.
Informazio gehiago lortzeko, ikus Identitate eta sarbide kudeaketarako gomendioak.
Biltegiratze sekretua
Erabili sekretuen kudeaketa sistema bat, Azure Key Vault bezalakoa, sekretuak ingurune gogortu batean gordetzeko, atsedenaldian eta trantsizioan dauden datuak enkriptatzeko, eta sekretuen sarbidea eta aldaketak auditatzeko. Aplikazio-sekretuak gorde behar badituzu, gorde itzazu iturburu-kodetik kanpo, erraz biratzeko.
Sekretuen kudeaketa sistema dedikatu batek aplikazioen sekretuak gordetzea, banatzea eta horietarako sarbidea kontrolatzea errazten du. Baimendutako identitate eta zerbitzuek bakarrik izan beharko lukete biltegi sekretuetarako sarbidea. Sistemarako sarbidea baimenen bidez mugatu daiteke. Baimenak esleitzerakoan, beti erabili pribilegio gutxienekoen ikuspegia.
Maila sekretuan sarbidea ere kontrolatu behar duzu. Sekretu bakoitzak baliabide-esparru bakar baterako sarbidea izan behar du soilik. Sortu isolamendu-mugak, osagai batek behar dituen sekretuak bakarrik erabili ahal izan ditzan. Osagai isolatu bat arriskuan jartzen bada, ezin izango ditu beste sekretuen kontrola lortu eta, agian, lan-karga osoarena. Sekretuak isolatzeko modu bat hainbat giltza-biltegi erabiltzea da. Ez dago kostu gehigarririk giltza-biltegi gehigarriak sortzeagatik.
Sarbide sekretuaren auditoria eta monitorizazioa ezartzea. Erregistratu nork eta noiz sartzen diren sekretuak, baimenik gabeko edo susmagarriak diren jarduerak identifikatzeko. Segurtasun ikuspegitik erregistroari buruzko informazioa lortzeko, ikus Jarraipenerako eta mehatxuak detektatzeko gomendioak.
Errotazio sekretua
Higiene sekretua mantentzen duen prozesu bat izan. Sekretu baten iraupenak eragina du sekretu horren kudeaketan. Eraso bektoreak murrizteko, sekretuak erretiratu eta ahalik eta maizen berriekin ordezkatu behar dira.
Heldulekua OAuth Atzitu tokenak arretaz, haien bizi-denbora kontuan hartuta. Kontuan hartu esposizio-leihoa denbora-tarte laburrago batera egokitu behar den ala ez. Freskatze-tokenak modu seguruan gorde behar dira, aplikazioarekiko esposizio mugatuarekin. Ziurtagiri berrituek ere gako berri bat erabili beharko lukete. Freskatze-tokenei buruzko informazioa lortzeko, ikus Segurua OAuth 2.0 Izenean freskatze-tokenak.
Ordeztu sekretuak bizitza-amaierara iritsi direnean, lan-kargak erabiltzen ez dituenean edo arriskuan jarri badira. Alderantziz, ez erretiratu sekretu aktiboak larrialdi bat ez bada izan ezik. Sekretu baten egoera zehaztu dezakezu sarbide-erregistroak ikusita. Errotazio-prozesu sekretuek ez lukete lan-kargaren fidagarritasunean edo errendimenduan eragin behar. Erabili sekretuetan, kontsumitzaileetan eta sarbide-metodoetan erredundantzia sortzen duten estrategiak, errotazio leuna lortzeko.
Sekretuak erabiltzeko praktika seguruak
Sekretu-sortzaile edo -operadore gisa, sekretuak modu seguruan banatu ahal izan beharko zenuke. Erakunde askok tresnak erabiltzen dituzte sekretuak modu seguruan partekatzeko, bai erakundearen barruan, bai kanpoan bazkideekin. Tresnarik ezean, izan prozesu bat kredentzialak baimendutako hartzaileei behar bezala emateko. Zure hondamendien berreskuratze planek berreskuratze prozedura sekretuak izan beharko lituzkete. Gako bat arriskuan edo filtrazio bat dagoenean eta eskaeraren arabera birsortu behar denean, prozesu bat izan. Sekretuak erabiltzean, kontuan hartu segurtasunerako jardunbide egokiak hauek:
Saihestu gogor kodetzea
Ez sartu sekretuak testu estatiko gisa hodeiko fluxuen eta mihise aplikazioen, konfigurazio fitxategien eta eraikuntza-hedapen bideen kodeetan. Arrisku handiko praktika honek kodea zaurgarri bihurtzen du, sekretuak irakurtzeko sarbidea duen edonorentzat agerian geratzen baitira.
Erabili zure aplikazioaren kodean aldian-aldian sekretu agerian daudenak detektatzen dituzten tresnak eta objektuak eraikitzen dituztenak. Tresna hauek zure inplementazio-kanalizazioen barruan gehi ditzakezu iturburu-kodearen konpromisoak inplementatu aurretik kredentzialak eskaneatzeko. Berrikusi eta garbitu aplikazioen erregistroak aldizka, nahi gabe sekreturik grabatu ez dadin. Parekideen berrikuspenen bidez ere indartu dezakezu detekzioa.
Oharra
Eskaneatze tresnek sekretu bat aurkitzen badute, sekretu hori arriskuan jarritzat jo behar da. Ezeztatu egin beharko litzateke.
Erantzun errotazio sekretuari
Lan-kargaren jabea zarenez, sekretuen errotazio plana eta politikak ulertu behar dituzu, erabiltzaileentzako ahalik eta etenaldi txikiena emanez sekretu berriak txertatu ahal izateko. Sekretu bat errotatzen denean, baliteke leiho bat egotea sekretu zaharra baliozkoa ez den arren, sekretu berria ez den jarri. Leiho horretan, lan-kargak iristen saiatzen ari den osagaiak ez ditu eskaerak onartzen. Arazo hauek gutxitu ditzakezu berriro saiatzeko logika kodean txertatuz. Aldibereko sarbide-ereduak ere erabil ditzakezu, elkarri eragin gabe segurtasunez alda daitezkeen hainbat kredentzial izateko aukera ematen dizutenak.
Lan egin eragiketa-taldearekin eta izan aldaketa-kudeaketa prozesuan parte. Kredentzialen jabeei jakinarazi beharko zenieke jada beharrezkoak ez diren kredentzialak erabiltzen dituen lan-kargaren zati bat desgaitzen duzunean.
Integratu sekretuen berreskurapena eta konfigurazioa zure hedapen-hodi automatizatuan. Sekretuen berreskurapenak sekretuak automatikoki lortzen direla ziurtatzen laguntzen du hedapenean. Aplikazioaren kodean edo konfigurazioan sekretuak txertatzeko sekretuak exekuzio-garaian ere erabil ditzakezu, eta horrek sekretuak nahi gabe erregistroetara edo bertsio-kontrolera agertzea eragozten du.
Power Platform erraztapena
Hurrengo atalek aplikazioen sekretuak kudeatzeko erabil ditzakezun ezaugarriak eta gaitasunak deskribatzen dituzte. Power Platform
Erabili Azure Key Vault sekretuak
Inguruko aldagaiek Azure Key Vault-en gordetako sekretuak erreferentzia egiteko aukera ematen dute. Ondoren, sekretu horiek erabilgarri jartzen dira barruan erabiltzeko Power Automate fluxuak eta konektore pertsonalizatuak. Kontuan izan sekretuak ez daudela erabilgarri beste pertsonalizazio batzuetan edo, oro har, APIaren bidez erabiltzeko.
Benetako sekretuak Azure Key Vault-en gordetzen dira eta ingurune-aldagaiak gako-gangaren sekretuaren kokapenari egiten dio erreferentzia. Azure Key Vault sekretuak ingurune-aldagaiekin erabiltzeak horrela konfiguratu behar duzu Azure Key Vault Power Platform erreferentzia egin nahi dituzun sekretu zehatzak irakur ditzakezu. Informazio gehiago lortzeko, ikus Ingurune-aldagaiak erabili irtenbideetan eta Ingurune-aldagaiak erabili irtenbide pertsonalizatuen konektoreetan.
Erabili Soluzio-egiaztatzailea
Ezaugarriarekin soluzio integraturik, eskatu ahala practice arau onena multzoa soluzioak editagarriek demografikoetarako estatiko bat kontrol edo dezakezu modu bizkor batean horiek problematic ereduak identifikatzeko. Begiratu osatu ondoren, jasotzen arazoak identifikatu dituena txosten xehatuak, osagaiak eta kontuek kodea eta dokumentazioa pertsonalizatuei arazo bakoitzak konpontzeko estekak. Berrikusi Segurtasun kategorian eskuragarri dauden irtenbide-egiaztatzaileen arauak. Informazio gehiago lortzeko, ikus Erabili soluzio-egiaztatzailea zure soluzioak balioztatzeko.
Erabili ekintzak CyberArk
CyberArk giza eta makina identitateak muturretik muturreraino babesten dituen identitate-segurtasun plataforma bat eskaintzen du. Power Automate mahaigaineko fluxuek kredentzialak berreskuratzeko aukera ematen dizute hemendik: CyberArk. Informazio gehiago lortzeko, ikus CyberArk ekintzak.
Erlazionatutako informazioa
- Erabili ingurune-aldagaiak irtenbideetan
- Erabili ingurune-aldagaiak soluzio-konektore pertsonalizatuetan
- Erabili irtenbideen egiaztatzailea zure irtenbideak balioztatzeko
- CyberArk ekintzak
- Azure DevOps Kredentzial eskaner zeregina
- Konfiguratu Microsoft Security DevOps Azure DevOps luzapena
- Konfiguratu GitHub-eko Segurtasun Aurreratua honetarako: Azure DevOps
- Jarraipen eta mehatxuak detektatzeko gomendioak
- Identitate eta sarbide kudeaketarako gomendioak
Segurtasun-zerrenda
Ikusi gomendio multzo osoa.