Power Platform -suojauksen usein kysytyt kysymykset

Usein Power Platform -suojauksesta kysytyt kysymykset kuuluvat kahteen luokkaan:

• Miten Power Platform on suunniteltu, jotta kymmentä suurinta Open Web Application Security Project® (OWASP) -riskiä voidaan lieventää

• Kysymyksiä, joita asiakkaamme esittävät

Tämän artikkelin loppuun lisätään uusia kysymyksiä, jotta uusimpien tietojen etsiminen olisi helpompaa.

OWASP:in 10 parasta lievennystä Power Platformissa

Open Web Application Security Project® (OWASP) on voittoa tavoittelematon perusohjelma, jonka avulla voidaan parantaa ohjelmiston suojausta. Yhteisövetoisten avoimen lähdekoodin ohjelmistoprojektien, satojen osastojen maailmanlaajuisesti, kymmenien tuhansien jäsenten ja johtavien koulutus- ja koulutuskonferenssien kautta OWASP-säätiö on kehittäjien ja tekniikkojen lähde verkon suojaamiseen.

OWASP Top 10 on vakiotietoasiakirja sovelluskehittäjille ja muille, jotka ovat kiinnostuneita verkkosovellusten suojauksesta. Se edustaa laajaa konsensusta, joka liittyy www-sovellusten kriittisiin tietoturvariskeihin. Tässä osassa käsitellään sitä, miten Power Platform auttaa näiden riskien lieventämisessä.

A01:2021 Rikkinäinen kulunvalvonta

• Power Platform -suojausmalli rakentuu vähimpien oikeuksien periaatteelle (LPA). LPA:n avulla asiakkaat voivat rakentaa sovelluksia tarkemmalla käyttöoikeuksien hallinnalla.
• Power Platform käyttää Microsoft Entra ID:n (Microsoft Entra ID) Microsoft Identity Platformia kaikkien API-kutsujen valtuuttamiseen alan standardin OAuth 2.0-protokollalla.
• Dataversessa, joka tarjoaa taustatiedot Power Platformille, on monipuolinen suojausmalli, joka sisältää ympäristötason, roolipohjaisen sekä tietue- ja kenttätason suojauksen.

A02:2021 Salausvirheet

Tietoja siirretään:

• Power Platform käyttää TLS:ää kaiken HTTP-pohjaisen verkkoliikenteen salaukseen. Se salaa muiden mekanismien avulla ei-HTTP-verkkoliikenteen, joka sisältää asiakas- tai luottamuksellisia tietoja.
• Power Platform käyttää kovia TLS-määrityksiä, jotka mahdollistavat HTTP:n ehdottoman siirtoturvan (HSTS):
  • TLS 1.2 tai uudempi
  • ECDHE-pohjaiset salausohjelmat ja NIST-käyrät
  • Vahvat avaimet

Levossa säilytettävät tiedot:

• Kaikki asiakastiedot salataan, ennen kuin ne kirjoitetaan haihtumattomille tallennusvälineille.

A03:2021 Injektio

Power Platform käyttää alan standardoituja parhaita käytäntöjä lisäyshyökkäyksiä vastaan, esimerkiksi:

• Turvallisten ohjelmointirajapintojen käyttäminen parametrisoiduissa liittymissä
• Edustan käyttöliittymäkehysten kehittyvien ominaisuuksien hyödyntäminen syötteen puhdistamiseen
• Tulosteen puhdistaminen palvelinpuolen vahvistuksella
• Staattisten analyysityökalujen käyttäminen koontiajan aikana
• Tarkista jokaisen palvelun uhkamalli kuuden kuukauden välein, onko koodi/rakenne/infrastruktuuri päivitetty vai ei

A04:2021 Epävarma muotoilu

• Power Platform perustuu suojatun suunnittelun kulttuuriin ja menetelmiin. Sekä kulttuuria että menetelmiä vahvistetaan Microsoft jatkuvasti alan johtavilla tietoturvakehityksen elinkaari - (SDL) ja uhkamallinnuskäytännöillä .
• Tehokas uhkien mallinnuksen tarkistusprosessi varmistaa, että uhat tunnistetaan suunnitteluvaiheessa, niitä lievennetään ja että varmistetaan, että niitä on lievennetty.
• Uhkien mallinnus tekee jatkuvasti arvioita, joiden perusteella se kattaa kaikki palveluiden muutokset, jotka on julkaistu. STRIDE-mallin tuella on helpompaa käsitellä epävarman suunnittelun tavallisimpia ongelmia.
• MicrosoftSDL vastaa OWASP Software Assurance Maturity Model (SAMM) -mallia . Molemmat rakentuvat lähtökohdalle, että turvallinen suunnittelu on olennainen osa verkkosovellusten suojauksessa.

A05:2021 Virheellinen suojausmääritys

• "Oletusesto" on yksi Power Platform -suunnitteluperiaatteiden perusasioista. Kun "Oletusesto" on käytössä, asiakkaiden on arvioitava uudet ominaisuudet ja määritykset sekä annettava suostumuksensa niihin osallistumiseen.
• Koontiajan aikana määritetyt virheelliset määritykset ovat integroitujen suojausanalyysien kautta suojattuja kehitystyökaluja.
• Lisäksi Power Platform käy läpi dynaamisen analyysin tietoturvatestauksen (DAST) käyttämällä sisäistä palvelua, joka perustuu OWASP 10 Top 10 -riskiin.

A06:2021 Haavoittuvat ja vanhentuneet komponentit

• Power Platform seuraa Microsoft SDL-käytäntöjä avoimen lähdekoodin ja kolmannen osapuolen komponenttien hallintaan. Näihin käytäntöihin sisältyy täydellisen varaston ylläpitäminen, suojausanalyysin suorittaminen, komponenttien pitäminen ajan tasalla ja osien kohdistaminen testattuun ja kokeiltuihin suojaustapausten vastausprosessiin.
• Joissakin harvoissa tapauksissa joissakin sovelluksissa saattaa olla vanhentuneiden komponenttien kopioita johtuen ulkoisista riippuvuuksista. Kun nämä riippuvuudet on käsitelty aiemmin kuvailtujen käytäntöjen mukaisesti, komponentteja seurataan ja päivitetään.

A07:2021 Tunnistus- ja todennusvirheet

• Power Platform rakentuu Microsoft Entra ID:n tunnistamiselle ja todentamiselle ja on niistä riippuvainen.
• Microsoft Entra auttaa Power Platformia suojausominaisuuksien käyttöönotossa. Nämä ominaisuudet sisältävät kertakirjautumisen, monivaiheisen todennuksen sekä yhden ympäristön, jonka avulla sisäisten ja ulkoisten käyttäjien kanssa voidaan toimia turvallisemmin.
• Tulevaisuudessa Power Platform ottaa käyttöön Microsoft Entra ID Continuous Access Evaluation (CAE) -palvelun, jolloin käyttäjien tunnistamisesta ja todentamisesta tulee vielä turvallisempaa ja luotettavampaa.

A08:2021 Ohjelmistojen ja tietojen eheysvirheet

• Power Platformin komponenttien käsittely varmistaa ohjelmiston yhtenäisyyden varmistamalla, että paketin lähdetiedostot on määritetty turvallisesti.
• Prosessi varmistaa, että vain sisäisesti hankittuja paketteja käytetään korvaushyökkäyksen käsittelyyn. Korvaushyökkäys, toiselta nimeltään riippuvuussekaannus, on tekniikka, jota voidaan käyttää sovellusten rakentamisprosessin myrkyttämiseen suojatun yritysympäristön sisällä.
• Kaikki salatut tiedot ovat eheyssuojattuja, ennen kuin ne lähetetään. Saapuvan salatun tiedon kaikki eheyssuojauksen metatiedot tarkistetaan.

OWASP:n 10 suurinta vähäisen koodin / koodittomuuden riskiä: Lievennystoimet Power Platformissa

Ohjeita OWASP:n julkaisemien 10 suurimman vähäisen koodin / koodittomuuden riskin lieventämiseen saat seuraavasta asiakirjasta:

Power Platform - OWASP Low Code No Code Top 10 -riskit (huhtikuu 2024)

Asiakkaiden yleisiä suojauskysymyksiä

Seuraavassa on joitakin asiakkaiden esittämiä suojauskysymyksiä.

Miten Power Platform auttaa suojaamaan klikkauskaappauksen aiheuttamilta riskeiltä?

Clickjacking käyttää muun muassa upotettuja iframe-kehyksiä kaapatakseen käyttäjän vuorovaikutuksen verkkosivun kanssa. Se on merkittävä uhka varsinkin kirjautumissivuille. Power Platform estää iframes-kehyksien käytön kirjautumissivuilla, mikä vähentää merkittävästi klikkauskaappauksen riskiä.

Lisäksi organisaatiot voivat käyttää sisällön suojauskäytäntöä (CSP) rajoittaakseen upottamista luotettuihin toimialueisiin.

Tukeeko Power Platform sisällön suojauskäytäntöä?

Power Platform tukee mallipohjaisten sovellusten sisällön suojauskäytäntöä (CSP). Emme tue seuraavia otsikkoja, jotka CSP korvaa:

• X-XSS-Protection
• X-Frame-Options

Miten SQL Serveriin voi muodostaa suojatun yhteyden?

Katso Käytä Microsoft SQL Serveriä suojatusti Power Appsin kanssa.

Mitä salausta tuetaan Power Platformissa? Mikä on jatkuva eteneminen kohti vahvempia salauksia?

Kaikki Microsoft palvelut ja tuotteet on määritetty käyttämään hyväksyttyjä salauspaketteja Crypto Boardin Microsoft määräämässä järjestyksessä. Täysi luettelo ja tarkka järjestys: Power Platform -ohjeet.

Kaikki salaustekniikoiden vanhentumiin liittyvät tiedot ilmoitetaan Power Platformin tärkeiden muutosten dokumentaatiossa.

Miksi Power Platform tukee edelleen RSA-CBC-salauksia (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ja TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), joita pidetään heikompina?

Microsoft punnitsee suhteellista riskiä ja häiriöitä asiakkaan toiminnalle valittaessa tuettavia salauspaketteja. RSA-CBC-salausohjelmistopaketteja ei ole vielä rikottu. Olemme varmistaneet, että ne ovat yhteensopivia palveluissamme ja tuotteissamme ja tukevat kaikkia asiakasmäärityksiä. Nämä ovat kuitenkin prioriteettiluettelon alareunassa.

Poistamme nämä salaukset käytöstä oikeaan aikaan Crypto Boardin jatkuvan arvioinnin perusteella Microsoft .

Miksi Power Automate näyttää MD5-sisällön hajautusarvot käynnistimen/toiminnon syötteissä ja tuloksissa?

Power Automate välittää Azure-tallennustilan palauttaman valinnaisen content-MD5-hajautusarvon asiakkailleen. Azure-tallennustila käyttää tätä hajautusarvoa sivun eheyden varmistamiseen siirron aikana tarkistussumma-algoritmina, eikä sitä käytetä kryptografisena hajautusarvofunktiona tietoturvatarkoituksiin Power Automatessa. Löydät lisätietoja tästä Azure-tallennustilan dokumentaatiosta, jossa on tietoja Blob-ominaisuuksien noutamisesta ja pyyntöotsikoiden käytöstä.

Miten Power Platform suojaa palvelun hajautettuja palvelunestohyökkäyksiä (DDoS) vastaan?

Power Platform rakentuu Microsoft Azurelle ja käyttää Azure DDoS -suojausta DDoS-hyökkäyksiä vastaan.

Tunnistaako Power Platform murretut iOS- ja Android-laitteet, jotka auttavat suojaamaan organisaatiotietoja?

Suosittelemme, että käytät Microsoft Intunea. Intune on mobiililaitteiden hallintaratkaisu. Se auttaa suojaamaan organisaatiotietoja siten, että se vaatii käyttäjien ja laitteiden täyttävän tietyt vaatimukset. Lisätietoja on ohjeaiheessa Intunen yhteensopivuuskäytäntöasetukset.

Miksi istuntokohtaiset evästeet rajataan päätoimialueelle?

Power Platform käyttää päätoimialueelle istuntoevästeitä todentamista varten organisaation laajuudelta. Alitoimialueita ei käytetä suojausrajoina. Ne eivät myöskään isännöi asiakassisältöä.

Miten sovellusistunnon voi määrittää aikakatkaisuun vaikkapa 15 minuutin kuluttua?

Power Platform käyttää Microsoft Entra ID:tä tunnistetietojen ja käytön hallintaan. Se seuraa Microsoft Entra ID:n suositeltuja istunnon hallintamäärityksiä optimaalisen käyttökokemuksen saamiseksi.

Voit kuitenkin mukauttaa ympäristöjä siten, että niissä on eksplisiittisiä istunnon ja/tai aktiviteetin aikakatkaisuja. Lisätietoja: Käyttäjän istunnon ja käyttöoikeuksien hallinta.

Tulevaisuudessa Power Platform ottaa käyttöön Microsoft Entra ID Continuous Access Evaluation (CAE) -palvelun, jolloin käyttäjien tunnistamisesta ja todentamisesta tulee vielä turvallisempaa ja luotettavampaa.

Sovelluksen avulla sama käyttäjä voi käyttää samanaikaisesti useita koneita tai selainta. Miten tämän voi estää?

Sovelluksen käyttäminen useammalta kuin yhdeltä koneelta tai selaimelta samanaikaisesti on käyttäjälle kätevää. Power Platformin tuleva Microsoft Entra ID Continuous Access Evaluation -käyttöönotto auttaa sen varmistamisessa, että käyttö tulee sallituista laitteista ja selaimista ja että se on edelleen kelvollinen.

Miksi jotkin Power Platform -palvelut altistavat palvelinotsikot suullisesti?

Power Platform -palvelut ovat työstäneet tarpeettomien tietojen poistamista palvelinotsikosta. Tavoite on vahvistaa yleistä suojausta tasapainottamalla yksityiskohtien tasoa ja tietojen paljastumisen riskiä.

Miten Log4j-heikkoudet vaikuttavat Power Platformiin? Mitä asiakkaiden tulisi tehdä tässä suhteessa?

Microsoft on arvioinut, että Log4j-haavoittuvuuksilla ei ole vaikutusta Power Platform. Katso blogipostaus: Log4j-heikkouksien hyväksikäytön ehkäiseminen, havaitseminen ja etsiminen.

Kuinka voimme varmistaa, ettei selainlaajennuksista tai Unified Interface Client -sovellusliittymistä johdu luvattomia tapahtumia, jotka mahdollistavat käytöstä poistettujen ohjainten käyttöönoton?

Power Apps -suojausmalli ei sisällä käytöstä poistettujen ohjausobjektien käsitettä. Ohjausobjektien poistaminen käytöstä on käyttöliittymän parannus. Käytöstä poistettujen ohjausobjektien tarjoamaan suojaukseen ei tulisi luottaa. Käytä sen sijaan Dataverse-ohjausobjekteja, kuten kenttätason suojausta, luvattomien tapahtumien ehkäisemiseen.

Mitä HTTP-suojausotsikoita vastaustietojen suojaamisessa käytetään?

Name	Details
Tiukka kuljetusten turvallisuus	Tämä määritetään arvoon max-age=31536000; includeSubDomains kaikille vastauksille.
X-Frame-vaihtoehdot	Tämä on vanhentunut, nyt käytössä on CSP.
X-Content-Type-Options	Tämä määritetään arvoon nosniff kaikille resurssivastauksille.
Sisältö-turvallisuuspolitiikka	Tämä määritetään, jos käyttäjä ottaa CSP:n käyttöön.
X-XSS-suojaus	Tämä on vanhentunut, nyt käytössä on CSP.

Mistä voin etsiä Power Platformin tai Dynamics 365:n penetraatiotestejä?

Uusimmat tunkeutumistestit ja tietoturva-arvioinnit löytyvät Service Trust -portaalista Microsoft .

Muistiinpano

Jos haluat käyttää joitakin Service Trust -portaalin resursseja, sinun on kirjauduttava sisään todennettuna käyttäjänä pilvipalvelutililläsi Microsoft (Microsoft Entra organisaatiotililläsi) ja luettava ja hyväksyttävä Microsoft vaatimustenmukaisuusmateriaalien salassapitosopimus.

Liittyvät artikkelit

Turvallisuus Microsoft Power Platform
Palveluihin todentaminen Power Platform
Tietolähteisiin yhdistäminen ja todentaminen
Tietojen tallennus Power Platform

Katso myös

• Microsoft Identiteetin alusta
• Tietoturvakehityksen elinkaari
• Uhkien mallinnus
• Microsoft Entra Jatkuva käyttöoikeuksien arviointi
• sisällön suojauskäytäntö
• Azure DDoS Protection
• Intunen yhteensopivuuskäytäntöasetukset