Power Platform שאלות נפוצות בנושא אבטחה
השאלות הנפוצות בנושא Power Platform אבטחה מתחלקות לשתי קטגוריות:
איך תוכנן Power Platform כדי לסייע בהפחתת 10 הסיכונים המובילים של Open Web Application Security Project® (OWASP).
שאלות שלקוחותינו שואלים
כדי להקל עליך למצוא את המידע העדכני ביותר, שאלות חדשות יותר מתווספות בסוף מאמר זה.
10 הסיכונים המובילים של OWASP: פעולות צמצום ב- Power Platform
Open Web Application Security Project® (OWASP) היא קרן ללא מטרות רווח הפועלת לשיפור אבטחת התוכנה. באמצעות פרויקטים של תוכנה מבוססת קוד פתוח בהובלת הקהילה, מאות סניפים ברחבי העולם, עשרות אלפי חברים, וכנסים מובילים ללמידה והדרכה, קרן OWASP היא המקור המאפשר למפתחים וטכנולוגים לאבטח את האינטרנט.
10 המובילים של OWASP הוא מסמך סטנדרטי ליצירת מודעות עבור מפתחים ואחרים המעוניינים באבטחת אפליקציות אינטרנט. הוא מייצג הסכמה רחבה לגבי סיכוני האבטחה הקריטיים ביותר ליישומי אינטרנט. בחלק זה, נדון כיצד Power Platform עוזר לצמצם סיכונים אלו.
- מודל האבטחה Power Platform מבוסס על Least Privileged Access (LPA). LPA מאפשר ללקוחות לבנות אפליקציות עם בקרת גישה ממוקדת יותר.
- Power Platform משתמש ב Microsoft Entra מזהים (Microsoft Entra ID) Microsoft פלטפורמת זהות להרשאה של כל קריאות ה-API עם התקן התעשייה OAuth פרוטוקול 2.0.
- Dataverse, המספק את הנתונים הבסיסיים עבור Power Platform, הוא בעל מודל אבטחה עשיר הכולל אבטחה ברמת סביבה, על בסיס תפקידים וברמת הרשומה ושדה הנתונים.
נתונים בהעברה:
- Power Platform משתמש ב- TLS כדי להצפין את כל תעבורת הרשת המבוססת על HTTP. הוא משתמש במנגנונים אחרים להצפין תעבורה שאינה HTTP ואשר כוללת נתוני לקוחות או נתונים מסווגים.
- Power Platform משתמש בתצורת TLS קשיחה המאפשרת את HTTP Strict Transport Security (HSTS):
- PU 1.2 ואילך
- חבילות צופן מבוססות ECDHE ועקומות NIST
- מפתחות חזקים
נתונים במנוחה:
- כל נתוני הלקוחות מוצפנים לפני כתיבתם למדיית אחסון לא נדיפה.
Power Platform משתמש בשיטות עבודה מומלצות סטנדרטיות בענף כדי למנוע התקפות החדרה, כולל:
- שימוש בממשקי API בטוחים עם ממשקים בעלי פרמטרים
- החלת היכולות המתפתחות בהתמדה של מסגרות קצה קדמי למטרת חיטוי הקלט
- חיטוי הפלט באמצעות אימות בצד השרת
- שימוש בכלי ניתוח סטטי בזמן הבנייה
- סקירת מודל האיום של כל שירות ושירות מדי שישה חודשים, בין אם הקוד, העיצוב, או התשתית עודכנו או לא
- Power Platform בנוי על תרבות ומתודולוגיה של עיצוב מאובטח. הן התרבות והן המתודולוגיה מתחזקות כל הזמן באמצעות Microsoft מחזור החיים של פיתוח אבטחה (SDL) ו מודל איומים המובילים בתעשייה תרגול.
- תהליך הסקירה של מידול האיומים מבטיח שהאיומים יזוהו בשלב העיצוב, יצומצמו ויאומתו כדי להבטיח שהם אכן צומצמו.
- מידול האיומים אחראי גם לכל השינויים בשירותים שכבר פועלים באמצעות ביקורות שוטפות. הסתמכות על דגם STRIDE עוזרת לטפל בבעיות הנפוצות ביותר הנובעות מעיצוב לא מאובטח.
- Microsoftה-SDL של ה- OWASP Software Assurance Maturity Model (SAMM). שניהם בנויים על הנחת היסוד שעיצוב מאובטח הוא חלק בלתי נפרד מאבטחת אפליקציות לאינטרנט.
- "דחייה כברירת מחדל" היא אחת היסודות של עקרונות העיצוב של Power Platform. עם "דחיית ברירת מחדל", הלקוחות צריכים לבדוק ולבחור להצטרף לתכונות ותצורות חדשות.
- כל תצורה שגויה במהלך זמן הבנייה תיתפס באמצעות ניתוח אבטחה משולב באמצעות תוך שימוש בכלי פיתוח מאובטחים.
- בנוסף, Power Platform עובר בדיקת אבטחה של ניתוח דינמי (DAST) באמצעות שירות פנימי המבוסס על 10 הסיכונים המובילים של OWASP.
A06:2021 רכיבים פגיעים ומיושנים
- Power Platform עוקב אחר נוהלי SDL של Microsoft לניהול רכיבי קוד פתוח וצד שלישי. הנהלים כוללים שמירה על מלאי שלם, ביצוע ניתוח אבטחה, שמירה על עדכניות הרכיבים והתאמתם לתהליך בדוק ומוכח של מענה לתקריות אבטחה.
- במקרים נדירים, יישומים מסוימים עשויים להכיל עותקים של רכיבים מיושנים בגלל יחסי תלות חיצוניים. עם זאת, לאחר טיפול באותם יחסי תלות בהתאם לנהלים שפורטו לעיל, הרכיבים מנוטרים ומתעדכנים.
- Power Platform בנוי על ותלוי בזיהוי ואימות של Microsoft Entra ID.
- Microsoft Entra עוזר ל- Power Platform להפעיל תכונות מאובטחות. תכונות אלה כוללות כניסה יחידה (SSO), אימות רב-גורמי ופלטפורמה אחת ליצירת קשר עם משתמשים פנימיים וחיצוניים באופן מאובטח יותר.
- עם היישום הקרוב בידי Power Platform של Microsoft Entra ID הערכת גישה מתמשכת(CAE), זיהוי ואימות המשתמש יהיו בטוחים ואמינים אפילו יותר.
- תהליך הפיקוח על רכיבים של Power Platform אוכף תצורה מאובטחת של קובצי המקור בחבילה כדי לשמור על שלמות התוכנה.
- התהליך מבטיח שרק חבילות ממקור ישמשו לטיפול במתקפת החלפה. מתקפת החלפה, הידועה גם כבלבול ביחסי תלות, היא טכניקה שניתן להשתמש בה כדי לשבש את תהליך בניית האפליקציות בתוך סביבות ארגוניות מאובטחות.
- על כל הנתונים המוצפנים מיושמת הגנת שלמות לפני שידורם. כל המטא נתונים של הגנת השלמות המוצגים בפני נתונים מוצפנים נכנסים, מאומתים.
OWASP Top 10 סיכונים של תכנות פשוט/ללא קוד: פעולות צמצום ב- Power Platform
להדרכה על הפחתת 10 סיכוני האבטחה העיקריים בתכנות פשוט/ללא קוד שפורסם על ידי OWASP, עיין במסמך זה:
Power Platform - OWASP Low Code ללא קוד 10 הסיכונים המובילים (אפריל 2024)
שאלות נפוצות של לקוחות בנושא אבטחה
להלן כמה משאלות האבטחה שלקוחותינו שואלים.
כיצד Power Platform עוזר להגן מפני Clickjacking?
Clickjacking משתמש ב-iframes משובצים, בין שאר הרכיבים, כדי לחטוף אינטראקציות של משתמש עם דף אינטרנט. זהו איום משמעותי לדפי כניסה במיוחד. Power Platform מונע שימוש ברכיבי iframe בדפי כניסה, ומפחית באופן משמעותי את הסיכון לחטיפת קליקים.
בנוסף, ארגונים יכולים להשתמש במדיניות אבטחת תוכן (CSP) כדי להגביל הטמעה בתחומים מהימנים.
האם Power Platform תומך במדיניות אבטחת תוכן?
Power Platform תומך במדיניות אבטחת תוכן (CSP) עבור יישומים מונחי דגמים. אנחנו לא תומכים בכותרות הבאות שמוחלפות ב- CSP:
X-XSS-ProtectionX-Frame-Options
כיצד ניתן להתחבר ל- SQL Server בצורה מאובטחת?
ראה שימוש ב- Microsoft SQL Server באופן מאובטח עם Power Apps.
אילו צפנים נתמכים ע"י Power Platform? מהי מפת הדרכים של ההתקדמות המתמדת לצפנים חזקים יותר?
כל Microsoft השירותים והמוצרים מוגדרים לשימוש בחבילות הצופן המאושרות, לפי הסדר המדויק של ה Microsoft לוח הקריפטו. לרשימה המלאה ולסדר המדויק, ראה את התיעוד של Power Platform.
מידע לגבי הוצאה משימוש של חבילות צופן יועבר באמצעות תיעוד Power Platform של שינויים חשובים.
מדוע Power Platform עדיין תומך בצפני RSA-CBC (TLS_ECDHE_RSA_עם AES_128_CBC_SHA256 (0xC027) ו- TLS_ECDHE_RSA_עם_AES_256_CBC_SHA384 (0xC028)) הנחשבים לחלשים יותר?
Microsoft שוקל את הסיכון היחסי ואת ההפרעה לפעילות הלקוח בבחירת חבילות צופן לתמיכה. חבילות הצופן של RSA-CBC לא נשברו עדיין. אפשרנו אותן כדי להבטיח עקביות בין השירותים והמוצרים שלנו, ולתמוך בכל תצורות הלקוחות. עם זאת, הן נמצאות בתחתית רשימת העדיפויות.
אנו נבטל את הצפנים הללו בזמן הנכון, בהתבסס על ההערכה המתמשכת של Microsoft לוח הקריפטו.
מדוע Power Automate חושף קודי Hash של תוכן MD5 בקלט ובפלט של גורם מפעיל/פעולה?
Power Automate מעביר את ערך ה-Hash האופציונלי של content-MD5 המוחזר על ידי Azure Storage כפי שהוא ללקוחותיה. קוד Hash זה משמש את Azure Storage כדי לאמת את תקינות הדף במהלך ההעברה כאלגוריתם של סכום בדיקה והוא אינו משמש כפונקציית Hash קריפטוגרפית למטרות אבטחה ב- Power Automate. תוכל למצוא פרטים נוספים על כך בתיעוד של Azure Storage על אופן קבלת נכסי Blob ואיך לעבוד עם כותרות בקשה.
כיצד Power Platform מגן מפני מתקפות Distributed Denial of Service (DDoS)?
Power Platform בנוי על Microsoft Azure ומשתמש בהגנת Azure DDoS כדי להתגונן מפני התקפות DDoS.
האם Power Platform מזהה מכשירי iOS שבוצעה בהם פריצת Jailbreak ומכשירי Android שבוצעה בהם פריצת Root כדי לסייע בהגנה על נתונים ארגוניים?
אנו ממליצים להשתמש ב Microsoft Intune. Intune הוא פתרון לניהול מכשירים ניידים. הוא יכול לעזור בהגנה על נתונים ארגוניים על ידי חיוב משתמשים ומכשירים לעמוד בדרישות מסוימות. למידע נוסף, ראה הגדרות מדיניות התאימות של Intune.
מדוע קובצי ה- Cookie של ההפעלה נמצאים בטוח של תחום האב?
Power Platform קובע את טווח קובצי ה- Cookie של הפעלה לדומיין האב כדי לאפשר אימות בין ארגונים. תחומי משנה אינם משמשים כגבולות לצורכי אבטחה. הם גם לא מארחים תוכן של לקוחות.
כיצד נוכל לקצוב את זמן הפעלת האפליקציה ל- 15 דקות, למשל?
Power Platform משתמש בניהול זהויות וגישה של Microsoft Entra ID . הוא עוקב אחר התצורה המומלצת לניהול הפעלות של Microsoft Entra ID כדי לספק חוויית משתמש מיטבית.
עם זאת, אפשר להתאים אישית סביבות כך שיהיו זמנים קצובים מפורשים של הפעלה ו/או פעילות. למידע נוסף, ראה ניהול הפעלה וגישה של משתמש.
עם היישום הקרוב בידי Power Platform של Microsoft Entra ID הערכת גישה מתמשכת, זיהוי ואימות המשתמש יהיו בטוחים ואמינים אפילו יותר.
האפליקציה מאפשרת לאותו משתמש לגשת מיותר ממחשב או דפדפן אחד בו-זמנית. איך נוכל למנוע זאת?
האפשרות לגשת לאפליקציה מיותר ממחשב או דפדפן אחד בו-זמנית נוחה למשתמשים. היישום הקרוב בידי Power Platform של Microsoft Entra ID הערכת גישה מתמשכת יעזור להבטיח שהגישה תהיה ממכשירים ודפדפנים מורשים ועדיין תקפה.
מדוע חלק משירותי Power Platform חושפים כותרות שרתים עם מידע מילולי?
שירותי Power Platform עובדים על זה ומסירים מידע מיותר בכותרת השרת. המטרה היא לאזן בין רמת הפירוט לבין הסיכון שלחשיפת מידע העלולה להחליש את מצב האבטחה הכללי.
כיצד משפיעות פגיעויות Log4j על Power Platform? מה הלקוחות צריכים לעשות בנושא?
Microsoft העריך שאין פגיעויות של Log4j משפיעות על Power Platform. ראה את הפוסט בבלוג שלנו על מניעה, זיהוי ומרדף אחר ניצול של פגיעויות של Log4j.
כיצד נוכל להבטיח שאין עסקאות לא מורשות עקב הרחבות דפדפן או עקב ממשקי API מאוחדים של לקוחות שמאפשרים הפעלה של פקדים מושבתים?
מודל האבטחה של Power Apps לא כולל את התפיסה של פקדים מושבתים. השבתת פקדים היא שיפור בממשק המשתמש. אין לסמוך על פקדים מושבתים לצורך אבטחה. כדי למנוע עסקאות לא מורשות, יש להשתמש במקום זאת בפקדי אבטחה של Dataverse כגון אבטחה ברמת השדה.
באילו כותרות אבטחת HTTP נעשה שימוש כדי להגן על נתוני תגובה?
| Name | פרטים |
|---|---|
| קפדני-תחבורה-אבטחה | הוא מוגדר לmax-age=31536000; includeSubDomains בכל התגובות. |
| X-Frame-Options | כותרת זו יצאה משימוש לטובת CSP. |
| X-Content-Type-Options | הוא מוגדר לnosniff בכל התגובות של נכסים. |
| תוכן-אבטחה-מדיניות | זה מוגדר אם משתמש הופך את CSP לזמין. |
| X-XSS-הגנה | כותרת זו יצאה משימוש לטובת CSP. |
איפה אוכל למצוא את Power Platform או בדיקות חדירה של Dynamics 365?
ניתן למצוא את בדיקות החדירה והערכות האבטחה העדכניות ביותר ב Microsoft פורטל אמון שירות.
הערה
כדי לגשת לחלק מהמשאבים ב-Service Trust Portal, עליך להיכנס כמשתמש מאומת עם חשבון שירותי הענן שלך ( Microsoft חשבון הארגון) ולעיין ולקבל את הMicrosoft Entra הסכם סודיות לחומרי תאימות. Microsoft
מאמרים קשורים
אבטחה ב Microsoft Power Platform
אימות לשירותי Power Platform
חיבור ואימות למקורות נתונים
אחסון נתונים ב Power Platform