Jaa

Suojaus Microsoft Power Platformissa

  • Artikkeli

Power Platformin avulla sekä muut kuin ammattilaiset että ammattimaiset sovelluskehittäjät voivat luoda ratkaisuja nopeasti ja helposti. Näissä ratkaisuissa suojaus on erittäin tärkeää. Power Platform on suunniteltu tarjoamaan alan johtava suojaus.

Organisaatiot nopeuttavat siirtymistään pilvitekniikkaan ja käyttävät kehittyneitä tekniikoita toiminnassa ja päätöksenteossa. Enemmän työntekijöitä työskentelee etänä. Online-palveluiden asiakaskysyntä on suuri. Yrityksen tiloissa käytössä ollut perinteinen sovelluksen suojaus ei enää riitä. Organisaatiot, jotka etsivät pilvipohjaista, monitasoista, syvällistä suojausratkaisua liiketoimintatietojensa käyttöön kääntyvät Power Platformin puoleen. Monet kansalliset turvallisuusvirastot, rahoituslaitokset ja terveydenhuollon tarjoajat antavat Power Platformille arkaluontoisimmat tietonsa.

Microsoft on tehnyt massiivisia investointeja turvallisuuteen 2000-luvun puolivälistä lähtien. Yli 3 500 Microsoft insinööriä työskentelee vastatakseen ennakoivasti jatkuvasti muuttuvaan uhkaympäristöön. Microsoft Tietoturva alkaa sirun BIOS-ytimestä ja ulottuu aina käyttökokemukseen asti. Tällä hetkellä suojausvalikoimamme on alan kehittynein. Microsoft pidetään laajalti maailmanlaajuisena johtajana pahantahtoisten toimijoiden torjunnassa. Miljardit tietokoneet, biljoonat kirjautumiset ja zettatavut dataa on uskottu sen suojaamiseen Microsoft.

Power Platform rakentuu tähän vahvaan perustaan. Se käyttää samaa suojauspinoa, joka on ansainnut Azuren oikeuden palvella ja suojata maailman arkaluonteisia tietoja. Se integroituu Microsoft 365:n kehittyneisiin tietojen suojaus- ja yhteensopivuustyökaluihin. Power Platform tarjoaa kattavan suojauksen, joka on suunniteltu asiakkaiden suurimpia pilviaikakauden huolia varten:

  • Miten hallitaan, ketkä voivat muodostaa yhteyden, mistä he voivat muodostaa yhteyden ja miten he voivat muodostaa yhteyden? Miten yhteyksiä voi hallita?
  • Miten tiedot tallennetaan? Miten se salataan? Mitä ohjausobjekteja tiedoissa on?
  • Miten luottamuksellisia tietoja hallitaan ja suojataan? Miten voidaan varmistaa, että nämä tiedot eivät vuoda organisaation ulkopuolelle?
  • Miten voidaan seurata, kuka voi tehdä ja mitä? Miten voidaan reagoida nopeasti, jos epäilyttävää toimintaa havaitaan?

Hallinto

Palveluun Power Platform sovelletaan Online-palveluiden Microsoft ehtoja ja Microsoft Yrityksen tietosuojalausuntoa. Katso tietojen käsittelyn Microsoft sijainti Online-palveluiden ehdoista ja tietosuojaliitteestä.

Valvontakeskus Microsoft on vaatimustenmukaisuustietojen ensisijainen resurssi Power Platform . Lue lisää kohdasta Microsoft Vaatimustenmukaisuustarjoukset.

Power Platform -palvelu noudattaa turvallisuuskehityksen elinkaarta (SDL). SDL koostuu joukosta tarkkoja käytäntöjä, jotka tukevat suojausta ja yhdenmukaisuutta koskevia vaatimuksia. Lue lisää tietoturvakehityksen Microsoft elinkaarikäytännöistä.

Suojaukseen liittyvät yleiset käsitteet Power Platformissa

Power Platform sisältää useita palveluita. Jotkin tässä sarjassa käsitellyt suojauskäsitteet koskevat kaikkia niitä. Jotkin liittyvät yksittäisiin palveluihin. Jos suojauskäsitteet ovat erilaiset, ilmoitamme siitä.

Kaikille Power Platform -palveluille yhteisiä suojauskäsitteitä ovat:

  • Power Platformin palveluarkkitehtuuri eli miten tiedot kulkevat järjestelmässä
  • Palveluihin Power Platform todentaminentai se, miten käyttäjät pääsevät palveluihin
  • Tietolähteiden yhdistäminen ja todentaminen tai se, miten palvelut muodostavat yhteyden tietolähteisiin ja käyttäjät voivat käyttää tietoja
  • Tietojen tallennus Power Platform tai miten tiedot suojataan, olivatpa ne sitten levossa tai siirrettävissä järjestelmien ja palveluiden välillä

Power Platform -palveluarkkitehtuuri

Power Platform palvelut on rakennettu Azuren Microsoft pilvipalvelualustalle. Power Platform -palveluarkkitehtuuri koostuu neljästä komponentista:

  • WWW-edustaklusteri
  • Taustaklusteri
  • Premium -infrastruktuuri
  • Mobiilialustat

WWW-edustaklusteri

Koskee Power Platform -palveluita, jotka näyttävät verkkokäyttöliittymän. Verkon etuklusteri toimittaa sovelluksen tai palvelun kotisivun käyttäjän selaimeen. Se käyttää Microsoft Entraa asiakkaiden alkuperäiseen todennukseen ja tarjoaa myöhemmille asiakasyhteyksille tunnukset Power Platform -taustapalveluun.

Kaavio osoittaa, miten Power Platformin verkon edustaklusteri toimii Azuren sovelluspalveluympäristön, ASP.NETin ja Power Platform -palvelun taustaklusterien kanssa.

Verkon edustaklusteri koostuu Azuren sovelluspalveluympäristössä suoritettavan ASP.NET-sivuston klusterista. Kun käyttäjä käy Power Platform -palvelussa tai -sovelluksessa, asiakkaan DNS-palvelu voi saada sopivimman (yleensä lähimmän) datakeskuksen Azuren liikennehallinnasta. Katso lisätietoja artikkelista Suorituskyvyn liikenteen reititysmenetelmä Azure-liikennehallinnalle.

Verkon edustaklusteri hallitsee kirjautumis- ja todentamisjärjestystä. Se hankkii Microsoft Entra -käyttöoikeustietueen, kun käyttäjä on todennettu. ASP.NET-komponentti jäsentää tunnuksen, jotta voidaan määrittää, mille organisaatiolle käyttäjä kuuluu. Sitten komponentti konsultoi Power Platformin yleistä taustapalvelua, jotta voidaan määrittää selaimelle, missä taustaklusterissa organisaation vuokraajaa säilytetään. Seuraavat asiakkaan vuorovaikutukset taustaklusterin kanssa tapahtuvat suoraan, eikä verkon edustaa tarvita välittäjäksi.

Selain noutaa staattisia resursseja (.js, .css, kuvatiedostot) pääasiassa Azuren sisällön jakeluverkosta (CDN). Valtionhallinnon klusterikäyttöönotot ovat poikkeus. Yhteensopivuussyistä nämä käyttöönotot eivät käytä Azure-sisältöverkkoa. Ne käyttävät sen sijaan yhteensopivan alueen verkon etuklusteria staattisen sisällön isännöintiin.

Power Platform -taustaklusteri

Tietyn palvelun taustaklusteri on Power Platform -palvelun kaikkien käytettävissä olevien toimintojen taustatoiminto. Se koostuu palvelupäätepisteistä, taustapalveluista, tietokannoista, välimuisteista ja muista komponenteista.

Tausta on käytettävissä useimmilla Azure-alueilla, ja se otetaan käyttöön uusilla alueilla, kun niitä on saatavilla. Yhdellä alueella voi olla useita klustereita. Tämän määrityksen ansiosta rajaton vaakasuuntainen skaalaus on mahdollista Power Platform -palveluille, kun yksittäisen klusterin pysty- ja vaakasuuntaiset skaalausrajat tulevat vastaan.

Taustaklusterit ovat tilallisia. Taustaklusteri sisältää kaikki sille määritettyjen vuokraajien tiedot. Klusteria, joka sisältää tietyn vuokraajan tiedot, kutsutaan vuokraajan kotiklusteriksi. Power Platformin yleinen taustapalvelu tarjoaa tiedot todennetun käyttäjän kotiklusterista verkon edustaklusterille. Verkon edusta käyttää tietoja pyyntöjen reitittämiseksi vuokraajan kotitaustaklusteriin.

Vuokraajan metatiedot ja tiedot tallennetaan klusterirajoituksiin. Poikkeuksena tästä on tietojen replikointi toissijaiseen taustaklusteriin, joka sijaitsee yhdistetyllä alueella samassa Azure-paikkatiedossa. Toissijainen klusteri toimii vikasietoklusterina alueellisen käyttökatkon varalta, ja se on passiivinen muina aikoina. Klusterin näennäisverkon eri koneilla toimivat mikropalvelut palvelevat myös taustatoimintoja. Julkisesta internetistä voi käyttää vain kahta mikropalvelua:

  • Yhdyskäytäväpalvelu
  • Azuren API-hallinta

Power Platform -taustapalveluista kaaviossa näkyy kolme keskeistä osaa: ohjelmointirajapinta- ja yhdyskäytäväpalvelut, jotka ovat käytettävissä julkisesta internetistä, ja kokoelma yksityisiä mikropalveluja.

Power Platform Premium -infrastruktuuri

Power Platform Premium tarjoaa laajennetun yhdistinten joukon maksullisena palveluna. Power Platform -sovelluksen käyttäjät voivat käyttää vain premium-yhdistimiä, mutta rajoitus ei koske tekijöitä. Se tarkoittaa, että premium-yhdistimiä sisältävän sovelluksen käyttäjällä on oltava oikea lisenssi niiden käyttämistä varten. Power Platform -taustapalvelu määrittää, onko käyttäjällä premium-yhdistinten käyttöoikeus vai ei.

Mobiilialustat

Power Platform tukee Android-, iOS- ja Windows (UWP) -sovelluksia. Mobiilisovellusten suojausta tulee harkita kahdesta näkökulmasta:

  • Laitteiden välinen tietoliikenne
  • Laitteessa olevat sovellukset ja tiedot

Laitteiden välinen tietoliikenne

Power Platform -mobiilisovellukset käyttävät samoja yhteys- ja todentamissarjoja kuin selaimetkin. Android- ja iOS-sovellukset avaavat sovelluksessa selainistunnon. Windows-sovellukset käyttävät välittäjää viestintäkanavan muodostamiseksi Power Platform -palveluiden kanssa kirjautumisprosessissa.

Seuraava taulukko näyttää varmennepohjaisen todennuksen (CBA) tuen mobiilisovelluksia varten:

CBA-tuki iOS Android Ikkunat
Kirjaudu palveluun Tuettu Tuettu Ei tueta
SSRS ADFS paikallinen (muodosta yhteys SSRS-palvelimeen) Ei tueta Tuettu Ei tueta
SSRS-sovellusvälityspalvelin Tuettu Tuettu Ei tueta

Mobiilisovellukset kommunikoivat aktiivisesti Power Platform -palveluiden kanssa. Sovellusten käyttötilastot ja vastaavat tiedot lähetetään palveluihin, jotka valvovat käyttöä ja aktiviteetteja. Asiakastietoja ei sisällytetä.

Laitteessa olevat sovellukset ja tiedot

Mobiilisovellus ja sitä varten edellytetyt tiedot tallentuvat turvallisesti laitteeseen. Microsoft Entra- ja päivitystunnukset tallennetaan alan standardoitujen suojaustoimenpiteiden avulla.

Laitteen välimuistiin tallennettuja tietoja ovat sovelluksen tiedot ja käyttäjän asetukset sekä edellisissä istunnoissa käytetyt koontinäytöt ja raportit. Välimuisti tallennetaan sisäisen tallennustilan eristykseen. Välimuisti on vain sovelluksen käytettävissä, ja käyttöjärjestelmä voi salata sen.

  • iOS: Salaus tapahtuu automaattisesti, kun käyttäjä määrittää tunnuskoodin.
  • Android: Salauksen voi määrittää asetuksissa.
  • Windows: Salauksen käsittelee BitLocker.

Microsoft Intune-tiedostotason salausta voidaan käyttää tietojen salauksen parantamiseen. Intune on ohjelmistopalvelu, joka tarjoaa mobiililaitteiden ja sovellusten hallintaa. Kaikki kolme mobiilialustaa tukevat Intunea. Kun Intune on otettu käyttöön ja määritetty, mobiililaitteen tiedot salataan, eikä itse Power Platform -sovellusta voi asentaa SD-kortille.

Windows-sovellukset tukevat myös Windows Information Protection (WIP) -suojausta.

Välimuistiin tallennetut tiedot poistetaan, kun käyttäjä:

  • poistaa sovelluksen asennuksen
  • kirjautuu ulos Power Platform -palvelusta
  • ei kirjaudu sisään salasanan vaihtamisen tai tunnuksen vanhentumisen jälkeen

Käyttäjä ottaa maantieteellisen paikan käyttöön tai poistaa sen käytöstä erikseen. Jos tämä asetus on käytössä, maantieteellistä sijaintia koskevia tietoja ei tallenneta laitteeseen eikä jaeta niiden kanssa Microsoft.

Käyttäjä ottaa ilmoitukset käyttöön tai poistaa ne käytöstä erikseen. Jos ilmoitukset on otettu käyttöön, Android ja iOS eivät tue ilmoitusten paikkatietovaatimuksia.

Power Platform -mobiilipalvelut eivät käytä laitteen muita sovelluskansioita tai tiedostoja.

Jotkin tunnuspohjaiset todennustiedot ovat muiden Microsoft sovellusten, kuten Authenticatorin, käytettävissä kertakirjautumisen käyttöönottoa varten. Microsoft Entra:n todentamiskirjaston SDK hallinnoi näitä tietoja.

Palveluihin todentaminen Power Platform
Tietolähteisiin yhdistäminen ja todentaminen
Tietojen tallennus Power Platform
Power Platform Tietoturvaa koskevat usein kysytyt kysymykset

Katso myös