הערה
גישה לעמוד זה דורשת אישור. אתה יכול לנסות להיכנס או לשנות תיקיות.
גישה לעמוד זה דורשת אישור. אתה יכול לנסות לשנות מדריכים.
השאלות הנפוצות בנושא Power Platform אבטחה מתחלקות לשתי קטגוריות:
איך תוכנן Power Platform כדי לסייע בהפחתת 10 הסיכונים המובילים של Open Web Application Security Project® (OWASP).
שאלות שלקוחותינו שואלים
כדי להקל עליך למצוא את המידע העדכני ביותר, שאלות חדשות יותר מתווספות בסוף מאמר זה.
10 הסיכונים המובילים של OWASP: פעולות צמצום ב- Power Platform
Open Web Application Security Project® (OWASP) היא קרן ללא מטרות רווח הפועלת לשיפור אבטחת התוכנה. באמצעות פרויקטים של תוכנה מבוססת קוד פתוח בהובלת הקהילה, מאות סניפים ברחבי העולם, עשרות אלפי חברים, וכנסים מובילים ללמידה והדרכה, קרן OWASP היא המקור המאפשר למפתחים וטכנולוגים לאבטח את האינטרנט.
10 המובילים של OWASP הוא מסמך סטנדרטי ליצירת מודעות עבור מפתחים ואחרים המעוניינים באבטחת אפליקציות אינטרנט. הוא מייצג הסכמה רחבה לגבי סיכוני האבטחה הקריטיים ביותר ליישומי אינטרנט. בסעיף זה, נדון באופן שבו Power Platform עוזר לצמצם סיכונים אלה.
- מודל האבטחה Power Platform מבוסס על Least Privileged Access (LPA). LPA מאפשר ללקוחות לבנות אפליקציות עם בקרת גישה ממוקדת יותר.
- Power Platform משתמש במזהיי Microsoft Entra ID (Microsoft Entra ID) בפלטפורמת הזהויות של Microsoft למתן הרשאה לכל כל קריאות API באמצעות פרוטוקול OAuth 2.0 הסטנדרטי לענף.
- Dataverse, המספק את הנתונים הבסיסיים עבור Power Platform, הוא בעל מודל אבטחה עשיר הכולל אבטחה ברמת סביבה, על בסיס תפקידים וברמת הרשומה ושדה הנתונים.
נתונים בהעברה:
- Power Platform משתמש ב- TLS כדי להצפין את כל תעבורת הרשת המבוססת על HTTP. הוא משתמש במנגנונים אחרים להצפין תעבורה שאינה HTTP ואשר כוללת נתוני לקוחות או נתונים מסווגים.
- Power Platform משתמש בתצורת TLS קשיחה המאפשרת את HTTP Strict Transport Security (HSTS):
- PU 1.2 ואילך
- חבילות צופן מבוססות ECDHE ועקומות NIST
- מפתחות חזקים
נתונים במנוחה:
- כל נתוני הלקוחות מוצפנים לפני שהם נכתבים במדיה לא נדיפה.
Power Platform משתמש בשיטות עבודה מומלצות סטנדרטיות בענף כדי למנוע התקפות החדרה, כולל:
- שימוש בממשקי API בטוחים עם ממשקים בעלי פרמטרים
- החלת היכולות המתפתחות בהתמדה של מסגרות קצה קדמי למטרת חיטוי הקלט
- חיטוי הפלט באמצעות אימות בצד השרת
- שימוש בכלי ניתוח סטטי בזמן הבנייה
- סקירת מודל האיום של כל שירות ושירות מדי שישה חודשים, בין אם הקוד, העיצוב, או התשתית עודכנו או לא
- Power Platform בנוי על תרבות ומתודולוגיה של עיצוב מאובטח. הן התרבות והן המתודולוגיה מקבלים חיזוק מתמיד מנוהלי מחזור החיים של פיתוח האבטחה (SDL) ומידול האיומים של המובילים בענף של Microsoft.
- תהליך הסקירה של מידול האיומים מבטיח שהאיומים יזוהו בשלב העיצוב, יצומצמו ויאומתו כדי להבטיח שהם אכן צומצמו.
- מידול האיומים אחראי גם לכל השינויים בשירותים שכבר פועלים באמצעות ביקורות שוטפות. הסתמכות על דגם STRIDE עוזרת לטפל בבעיות הנפוצות ביותר הנובעות מעיצוב לא מאובטח.
- ה- SDL של מיקרוסופט מקביל ל- OWASP Software Assurance Maturity Model (SAMM). שניהם בנויים על הנחת היסוד שעיצוב מאובטח הוא חלק בלתי נפרד מאבטחת אפליקציות לאינטרנט.
- "דחייה כברירת מחדל" היא אחת היסודות של עקרונות העיצוב של Power Platform. עם "דחיית ברירת מחדל", הלקוחות צריכים לבדוק ולבחור להצטרף לתכונות ותצורות חדשות.
- כל תצורה שגויה במהלך זמן הבנייה תיתפס באמצעות ניתוח אבטחה משולב באמצעות תוך שימוש בכלי פיתוח מאובטחים.
- בנוסף, Power Platform עובר בדיקת אבטחה של ניתוח דינמי (DAST) באמצעות שירות פנימי המבוסס על 10 הסיכונים המובילים של OWASP.
A06:2021 רכיבים פגיעים ומיושנים
- Power Platform עוקב אחר נוהלי ה- SDL של Microsoft כדי לנהל רכיבים המבוססים על קוד פתוח ורכיבים של ספקים חיצוניים. הנהלים כוללים שמירה על מלאי שלם, ביצוע ניתוח אבטחה, שמירה על עדכניות הרכיבים והתאמתם לתהליך בדוק ומוכח של מענה לתקריות אבטחה.
- במקרים נדירים, יישומים מסוימים עשויים להכיל עותקים של רכיבים מיושנים בגלל יחסי תלות חיצוניים. עם זאת, לאחר טיפול באותם יחסי תלות בהתאם לנהלים שפורטו לעיל, הרכיבים מנוטרים ומתעדכנים.
- Power Platform בנוי על ותלוי בזיהוי ואימות של Microsoft Entra ID.
- Microsoft Entra עוזר ל- Power Platform להפעיל תכונות מאובטחות. תכונות אלה כוללות כניסה יחידה, אימות רב גורמי ופלטפורמה אחת העוסקת במשתמשים פנימיים ובמשתמשים חיצוניים בצורה מאובטחת יותר.
- עם היישום הקרוב בידי Power Platform של Microsoft Entra ID הערכת גישה מתמשכת(CAE), זיהוי ואימות המשתמש יהיו בטוחים ואמינים אפילו יותר.
A08:2021 כשלי שלמות נתונים ותוכנה
- תהליך הפיקוח על רכיבים של Power Platform אוכף תצורה מאובטחת של קובצי המקור בחבילה כדי לשמור על שלמות התוכנה.
- התהליך מבטיח שרק חבילות ממקור ישמשו לטיפול במתקפת החלפה. מתקפת החלפה, הידועה גם כבלבול ביחסי תלות, היא טכניקה שניתן להשתמש בה כדי לשבש את תהליך בניית האפליקציות בתוך סביבות ארגוניות מאובטחות.
- על כל הנתונים המוצפנים מיושמת הגנת שלמות לפני שידורם. כל המטא נתונים של הגנת השלמות המוצגים בפני נתונים מוצפנים נכנסים, מאומתים.
OWASP Top 10 סיכונים של תכנות פשוט/ללא קוד: פעולות צמצום ב- Power Platform
להדרכה על הפחתת 10 סיכוני האבטחה העיקריים בתכנות פשוט/ללא קוד שפורסם על ידי OWASP, עיין במסמך זה:
Power Platform - OWASP 10 הסיכונים העיקריים של תכנות פשוט/ללא קוד (אפריל 2024)
שאלות נפוצות של לקוחות בנושא אבטחה
להלן כמה משאלות האבטחה שלקוחותינו שואלים.
כיצד Power Platform עוזר להגן מפני Clickjacking?
Clickjacking (חטיפת קליטים) משתמש ברכיבי iframe משובצים, בין היתר, כדי לחטוף אינטראקציות של משתמש עם דף אינטרנט. זהו איום משמעותי לדפי כניסה במיוחד. Power Platform מונע שימוש ברכיבי iframe בדפי כניסה, ומפחית באופן משמעותי את הסיכון לחטיפת קליקים.
בנוסף, ארגונים יכולים להשתמש במדיניות אבטחת תוכן (CSP) כדי להגביל הטמעה בתחומים מהימנים.
האם Power Platform תומך במדיניות אבטחת תוכן?
Power Platform תומך במדיניות אבטחת תוכן (CSP) עבור יישומים מונחי דגמים. איננו תומכים בכותרות הבאות שהוחלפו ב- CSP:
X-XSS-ProtectionX-Frame-Options
כיצד ניתן להתחבר ל- SQL Server בצורה מאובטחת?
ראה שימוש ב- Microsoft SQL Server באופן מאובטח עם Power Apps.
אילו צפנים נתמכים ע"י Power Platform? מהי מפת הדרכים של ההתקדמות המתמדת לצפנים חזקים יותר?
כל השירותים והמוצרים של Microsoft מוגדרים לשימוש בחבילות הצופן המאושרות, בסדר המדויק שהוכתב על-ידי Microsoft Crypto Board. לרשימה המלאה ולסדר המדויק, ראה את התיעוד של Power Platform.
מידע לגבי הוצאה משימוש של חבילות צופן יועבר באמצעות תיעוד Power Platform של שינויים חשובים.
מדוע Power Platform עדיין תומך בצפני RSA-CBC (TLS_ECDHE_RSA_עם AES_128_CBC_SHA256 (0xC027) ו- TLS_ECDHE_RSA_עם_AES_256_CBC_SHA384 (0xC028)) הנחשבים לחלשים יותר?
Microsoft שוקלת את ההפרעה ללקוח והסיכון היחסיים בבחירת התמיכה בחבילות צופן. חבילות הצופן של RSA-CBC לא נשברו עדיין. אפשרנו אותן כדי להבטיח עקביות בין השירותים והמוצרים שלנו, ולתמוך בכל תצורות הלקוחות. עם זאת, הן נמצאות בתחתית רשימת העדיפויות.
הן ייצאו משימוש במועד הנכון, בהתבסס על ההערכה המתמשכת של מועצת ההצפנה של Microsoft.
מדוע Power Automate חושף קודי Hash של תוכן MD5 בקלט ובפלט של גורם מפעיל/פעולה?
Power Automate מעביר את ערך ה-Hash האופציונלי של content-MD5 המוחזר על ידי Azure Storage כפי שהוא ללקוחותיה. קוד Hash זה משמש את Azure Storage כדי לאמת את תקינות הדף במהלך ההעברה כאלגוריתם של סכום בדיקה והוא אינו משמש כפונקציית Hash קריפטוגרפית למטרות אבטחה ב- Power Automate. תוכל למצוא פרטים נוספים על כך בתיעוד של Azure Storage על אופן קבלת נכסי Blob ואיך לעבוד עם כותרות בקשה.
כיצד Power Platform מגן מפני מתקפות Distributed Denial of Service (DDoS)?
Power Platform בנוי על Microsoft Azure ומשתמש בהגנת Azure DDoS כדי להתגונן מפני התקפות DDoS.
האם Power Platform מזהה מכשירי iOS שבוצעה בהם פריצת Jailbreak ומכשירי Android שבוצעה בהם פריצת Root כדי לסייע בהגנה על נתונים ארגוניים?
אנו ממליצים להשתמש ב- Microsoft Intune. Intune הוא פתרון לניהול מכשירים ניידים. הוא יכול לעזור בהגנה על נתונים ארגוניים על ידי חיוב משתמשים ומכשירים לעמוד בדרישות מסוימות. למידע נוסף, ראה הגדרות מדיניות התאימות של Intune.
מדוע קובצי ה- Cookie של ההפעלה נמצאים בטוח של תחום האב?
Power Platform קובע את טווח קובצי ה- Cookie של הפעלה לדומיין האב כדי לאפשר אימות בין ארגונים. תחומי משנה אינם משמשים כגבולות לצורכי אבטחה. הם גם לא מארחים תוכן של לקוחות.
כיצד נוכל לקצוב את זמן הפעלת האפליקציה ל- 15 דקות, למשל?
Power Platform משתמש בניהול זהויות וגישה של Microsoft Entra ID . הוא עוקב אחר התצורה המומלצת לניהול הפעלות של Microsoft Entra ID כדי לספק חוויית משתמש מיטבית.
עם זאת, אפשר להתאים אישית סביבות כך שיהיו זמנים קצובים מפורשים של הפעלה ו/או פעילות. למידע נוסף, ראה ניהול הפעלה וגישה של משתמש.
עם היישום הקרוב בידי Power Platform של Microsoft Entra ID הערכת גישה מתמשכת, זיהוי ואימות המשתמש יהיו בטוחים ואמינים אפילו יותר.
האפליקציה מאפשרת לאותו משתמש לגשת מיותר ממחשב או דפדפן אחד בו-זמנית. איך נוכל למנוע זאת?
האפשרות לגשת לאפליקציה מיותר ממחשב או דפדפן אחד בו-זמנית נוחה למשתמשים. היישום הקרוב בידי Power Platform של Microsoft Entra ID הערכת גישה מתמשכת יעזור להבטיח שהגישה תהיה ממכשירים ודפדפנים מורשים ועדיין תקפה.
מדוע חלק משירותי Power Platform חושפים כותרות שרתים עם מידע מילולי?
שירותי Power Platform עובדים על זה ומסירים מידע מיותר בכותרת השרת. המטרה היא לאזן בין רמת הפירוט לבין הסיכון שלחשיפת מידע העלולה להחליש את מצב האבטחה הכללי.
כיצד משפיעות פגיעויות Log4j על Power Platform? מה הלקוחות צריכים לעשות בנושא?
Microsoft העריכה שאין פגיעויות של Log4j המשפיעות על Power Platform. ראה את הפוסט בבלוג שלנו על מניעה, זיהוי ומרדף אחר ניצול של פגיעויות של Log4j.
כיצד נוכל להבטיח שאין עסקאות לא מורשות עקב הרחבות דפדפן או עקב ממשקי API מאוחדים של לקוחות שמאפשרים הפעלה של פקדים מושבתים?
מודל האבטחה של Power Apps לא כולל את התפיסה של פקדים מושבתים. השבתת פקדים היא שיפור בממשק המשתמש. אין לסמוך על פקדים מושבתים לצורך אבטחה. כדי למנוע עסקאות לא מורשות, יש להשתמש במקום זאת בפקדי אבטחה של Dataverse כגון אבטחה ברמת השדה.
באילו כותרות אבטחת HTTP נעשה שימוש כדי להגן על נתוני תגובה?
| Name | פרטים |
|---|---|
| באבטחת תעבורה קפדנית | הוא מוגדר לmax-age=31536000; includeSubDomains בכל התגובות. |
| X-Frame-Options | כותרת זו יצאה משימוש לטובת CSP. |
| X-Content-Type-Options | הוא מוגדר לnosniff בכל התגובות של נכסים. |
| Content-Security-Policy | זה מוגדר אם משתמש הופך את CSP לזמין. |
| הגנה על נתוני X-XSS | כותרת זו יצאה משימוש לטובת CSP. |
איפה אוכל למצוא את Power Platform או בדיקות חדירה של Dynamics 365?
ניתן למצוא את בדיקות החדירה ואת הערכות האבטחה העדכניות ביותר ב- Microsoft Service Trust Portal.
הערה
כדי לגשת לחלק מהמשאבים ב- Service Trust Portal, עליך להיכנס כמשתמש מאומת עם חשבון שירותי הענן של Microsoft שלך (חשבון ארגון של Microsoft Entra), לעיין ולקבל את הסכם הסודיות של Microsoft עבור חומרי תאימות.
מאמרים קשורים
מבט כולל על אבטחה
אימות לשירותי Power Platform
חיבור ואימות למקורות נתונים
אחסון נתונים ב- Power Platform