Seguranza en Microsoft Power Platform
Power Platform pon o poder de crear de forma rápida e sinxela solucións de extremo a extremo en mans de programadores non profesionais e profesionais. A seguridade é fundamental para estas solucións. Power Platform está construído para proporcionar protección líder na industria.
As organizacións están acelerando a súa transición á nube, incorporando tecnoloxías avanzadas nas operacións e na toma de decisións comerciais. Máis empregados traballan a distancia. A demanda dos clientes de servizos en liña está aumentando. A seguranza tradicional das aplicacións locais xa non é suficiente. As organizacións que buscan unha solución de seguridade nativa na nube, de varios niveis e de defensa en profundidade para os seus datos de intelixencia empresarial recorren a Power Platform. As axencias de seguridade nacional, as institucións financeiras e os fornecedores de atención sanitaria confían a Power Platform a súa información máis confidencial.
Microsoft fixo investimentos masivos en seguridade desde mediados da década de 2000. Máis de 3500 enxeñeiros de Microsoft traballan para abordar de forma proactiva o panorama de ameazas en constante cambio. A seguridade de Microsoft comeza no núcleo da BIOS do chip e esténdese ata a experiencia do usuario. Hoxe, a nosa pila de seguridade é a máis avanzada do sector. Microsoft é visto en xeral como o líder mundial na loita contra actores maliciosos. Miles de millóns de ordenadores, billóns de inicios de sesión e zetabytes de datos confíanse á protección de Microsoft.
Power Platform constrúe sobre esta sólida base. Utiliza a mesma pila de seguranza que outorgou a Azure o dereito de servir e protexer os datos máis confidenciais do mundo, e intégrase coas ferramentas de cumprimento e protección da información máis avanzadas de Microsoft 365. Power Platform ofrece protección de extremo a extremo deseñada en torno ás preocupacións máis desafiantes dos nosos clientes na era da nube:
- Como podemos controlar quen se pode conectar, desde onde se conecta e como se conecta? Como podemos controlar as conexións?
- Como se almacenan os nosos datos? Como se cifran? Que controis temos sobre os nosos datos?
- Como podemos controlar e protexer os nosos datos confidenciais? Como podemos garantir que os nosos datos non poidan filtrarse fóra da organización?
- Como podemos auditar quen pode facer que? Como podemos reaccionar rapidamente se detectamos actividade sospeitosa?
Regulación
O servizo de Power Platform réxese polas Condicións de Microsoft Online Services e a Declaración de privacidade de Microsoft Enterprise. Para coñecer a localización do procesamento de datos, consulte as Condicións dos servizos en liña de Microsoft e o Anexo de protección de datos.
O Microsoft Trust Center é o recurso principal para a información de conformidade de Power Platform. Obteña máis información en Microsoft Compliance Offerings.
O servizo Power Platform segue o ciclo de vida de desenvolvemento de seguridade (SDL). O SDL é un conxunto de prácticas estritas que admiten os requisitos de garantía e cumprimento de seguridade. Obteña máis información en Prácticas de ciclo de vida de desenvolvemento de seguridade de Microsoft.
Conceptos comúns de seguranza de Power Platform
Power Platform inclúe varios servizos. Algúns dos conceptos de seguridade que trataremos nesta serie aplícanse a todos eles. Outros conceptos son específicos dos servizos individuais. Cando os conceptos de seguridade sexan diferentes, indicarémolo.
Os conceptos de seguridade que son comúns a todos os servizos de Power Platform inclúen:
- A arquitectura do servizo de Power Platform, ou como a información flúe polo sistema
- Autenticación nos servizos de Power Platform ou como acceden os usuarios aos servizos
- Conectarse e autenticarse con orixes de datos, ou como os servizos se conectan a orixes de datos e os usuarios acceden aos datos
- Almacenamento de datos en Power Platform, ou como se protexen os datos tanto se están en repouso como en tránsito entre sistemas e servizos
A arquitectura de servizos de Power Platform
Os servizos de Power Platform están construídos en Azure, a plataforma de computación na nube de Microsoft. A arquitectura de servizos de Power Platform componse de catro compoñentes:
- Clúster de interface web
- Clúster de back-end
- Infraestrutura Premium
- Plataformas móbiles
Clúster de interface web
Aplícase aos servizos de Power Platform que amosan unha IU web. O clúster de interface web serve á páxina de inicio da aplicación ou do servizo ao explorador do usuario. Utiliza Microsoft Entra para autenticar clientes inicialmente, e proporcionar fichas para posteriores conexións de clientes, ao Power Platform servizo back-end.
Un clúster de interface web consiste nun sitio web de ASP.NET que se executa no ambiente de servizo de aplicacións de Azure. Cando un usuario visita un servizo ou aplicación de Power Platform, o servizo DNS do cliente pode obter o centro de datos máis axeitado (normalmente o máis próximo) desde o xestor de tráfico de Azure. Para obter máis información, consulte Método de encamiñamento do tráfico de rendemento para o xestor de tráfico de Azure.
O clúster de interface web xestiona a secuencia de inicio de sesión e autenticación. Obtén un Microsoft Entra token de acceso despois de que o usuario estea autenticado. O compoñente ASP.NET analiza o token para determinar a que organización pertence o usuario. A seguir, o compoñente consulta o servizo de back-end global de Power Platform para especificar ao navegador o clúster de back-end que aloxa o arrendatario da organización. As interaccións posteriores do cliente prodúcense directamente co clúster de back-end, sen necesidade do intermediario da interface web.
O explorador obtén recursos estáticos, como .js, .css e ficheiros de imaxe, principalmente dunha rede de entrega de contido (CDN) de Azure. Os despregamentos de clúster do goberno soberano son unha excepción. Por motivos de conformidade, estes despregamentos omiten a CDN de Azure. Pola contra, usan un clúster de interface web dunha rexión compatible para aloxar contido estático.
Clúster de back-end de Power Platform
O clúster de back-end é a columna vertebral de todas as funcionalidades dispoñibles nun servizo de Power Platform. Consta de puntos finais de servizo, servizos de traballo en segundo plano, bases de datos, cachés e outros compoñentes.
O back-end está dispoñible na maioría das rexións de Azure e implantarase en novas rexións a medida que estean dispoñibles. Unha rexión pode aloxar varios clústeres. Esta configuración permite o escalado horizontal ilimitado dos servizos de Power Platform despois de alcanzar os límites de escalado vertical e horizontal dun único clúster.
Os clústeres de back-end teñen estado. Un clúster de back-end aloxa todos os datos de todos os arrendatarios asignados a el. O clúster que contén os datos dun arrendatario específico denomínase clúster de orixe do inquilino. A información sobre o clúster de inicio dun usuario autenticado a proporciona o servizo de back-end global de Power Platform ao clúster de interface web. A interface web usa a información para dirixir as solicitudes ao clúster de back-end do arrendatario.
Os metadatos e os datos do arrendatario almacénanse dentro dos límites do clúster. A excepción é a replicación de datos nun clúster de back-end secundario que se atopa nunha rexión emparellada na mesma xeografía de Azure. O clúster secundario serve como conmutación por fallo se hai unha interrupción rexional e é pasivo en calquera outro momento. Os microservizos que se executan en diferentes máquinas da rede virtual do clúster tamén ofrecen funcións de back-end. Só dous destes microservizos son accesibles desde a Internet pública:
- Servizo de pasarela
- Xestión de API de Azure
Infraestrutura de Power Platform Premium
Power Platform Premium ofrece acceso a un conxunto ampliado de conectores como servizo de pago. Os creadores de Power Platform non están restrinxidos ao uso de conectores premium, pero os usuarios de aplicacións si. É dicir, os usuarios dunha aplicación que inclúa conectores premium deben ter a licenza correcta para acceder a eles. O servizo de back-end de Power Platform determina se un usuario ten acceso a conectores premium.
Plataformas móbiles
Power Platform Admite Android, iOS e aplicacións de Windows (UWP). As consideracións de seguridade para as aplicacións móbiles divídense en dúas categorías:
- Comunicación de dispositivos
- A aplicación e os datos do dispositivo
Comunicación de dispositivos
As aplicacións móbiles de Power Platform usan as mesmas secuencias de conexión e autenticación que usan os exploradores. Android e iOS as aplicacións abren unha sesión do navegador na aplicación. As aplicacións de Windows usan un intermediario para establecer unha canle de comunicación cos servizos de Power Platform para o proceso de inicio de sesión.
A seguinte táboa mostra a compatibilidade coa autenticación baseada en certificados (CBA) para aplicacións móbiles:
Asistencia técnica de CBA | iOS | Android | Ventás |
---|---|---|---|
Inicio de sesión no servizo | Compatible | Compatible | Non compatible |
SSRS ADFS on-prem (conectar ao servidor SSRS) | Non compatible | Compatible | Non compatible |
Proxy de aplicación SSRS | Compatible | Compatible | Non compatible |
As aplicacións móbiles comunícanse activamente cos servizos de Power Platform. As estatísticas de uso das aplicacións e datos similares transmítense aos servizos que supervisan o uso e a actividade. Non hai datos de cliente incluídos.
A aplicación e os datos do dispositivo
A aplicación móbil e os datos que precisa almacénanse de forma segura no dispositivo. Microsoft Entra e os tokens de refresco almacénanse usando medidas de seguridade estándar da industria.
Os datos almacenados no dispositivo inclúen datos de aplicacións, configuracións de usuario e paneis e informes aos que se accedeu en sesións anteriores. A caché gárdase nun illamento de procesos no almacenamento interno. A caché só é accesible para a aplicación e pode ser cifrada polo SO.
- iOSA encriptación é automática cando o usuario establece un código de acceso.
- Android: O cifrado pódese configurar na configuración.
- Windows: BitLocker xestiona o cifrado.
O cifrado a nivel de ficheiro de Microsoft Intune pódese usar para mellorar o cifrado de datos. Intune é un servizo de software que ofrece xestión de aplicacións e dispositivos móbiles. As tres plataformas móbiles admiten Intune. Con Intune activado e configurado, os datos do dispositivo móbil están cifrados e a aplicación Power Platform non se pode instalar nunha tarxeta SD.
As aplicacións de Windows tamén admiten Windows Information Protection (WIP).
Os datos da caché elimínanse cando o usuario:
- desisnstala a aplicación
- pecha sesión do servizo de Power Platform
- non inicia sesión despois de cambiar un contrasinal ou caduca un token
A xeolocalización está activada ou desactivada explicitamente polo usuario. Se está activada, os datos de xeolocalización non se gardan no dispositivo e non se comparten con Microsoft.
As notificacións están activadas ou desactivadas explicitamente polo usuario. Se as notificacións están habilitadas Android e non soportan iOS requisitos de residencia de datos xeográficos.
Os servizos móbiles de Power Platform non acceden a outros cartafoles de aplicacións ou ficheiros do dispositivo.
Algúns datos de autenticación baseados en tokens están dispoñibles para outras aplicacións de Microsoft, como Authenticator, para activar o inicio de sesión único. Estes datos son xestionados Microsoft Entra pola Biblioteca de Autenticación SDK.
Artigos relacionados
Autenticación para servizos de Power Platform
Conexión e autenticación con orixes de datos
Almacenamento de datos en Power Platform
Preguntas máis frecuentes sobre seguranza de Power Platform
Consulte tamén
- Seguranza en Microsoft Dataverse
- Condicións de Microsoft Online Services
- Declaración de privacidade de Microsoft Enterprise
- Anexo de protección de datos
- Prácticas de ciclo de vida de desenvolvemento de seguridade de Microsoft
- Método de encamiñamento do tráfico de rendemento para o xestor de tráfico de Azure
- Microsoft Intune
- Windows Information Protection (WIP)