אבטחה ב-Microsoft Power Platform

Power Platform מאפשר למפתחים מקצועיים ולא מקצועיים ליצור במהירות ובקלות פתרונות מקצה לקצה. האבטחה קריטית לפתרונות אלה. Power Platform תוכנן כדי לספק את ההגנה המובילה בתעשייה.

ארגונים מאיצים את המעבר שלהם לענן, תוך שילוב טכנולוגיות מתקדמות בתפעול ובקבלת החלטות עסקיות. עובדים רבים יותר עובדים מרחוק. הביקוש לשירותים מקוונים מצד הלקוחות גובר. אבטחת יישומים מקומית מסורתית אינה מספיקה יותר. ארגונים שמחפשים פתרון אבטחה רב-שכבתי מותאם לענן עם הגנה מעמיקה עבור נתוני הבינה העסקית שלהם פונים אל Power Platform. סוכנויות לביטחון לאומי, מוסדות פיננסיים וספקי שירותי בריאות רבים סומכים על Power Platform עם המידע הרגיש ביותר שלהם.

חברת Microsoft השקיעה רבות באבטחה מאז אמצע שנות ה- 2000. יותר מ- 3,500 מהנדסי Microsoft עובדים כדי לטפל באופן פרואקטיבי בנוף האיומים המשתנה ללא הרף. האבטחה של Microsoft מתחילה בליבת ה- BIOS על השבבים ומתפרסת עד לחוויית המשתמש. כיום, מחסנית האבטחה שלנו היא המתקדמת ביותר בתעשייה. Microsoft נתפסת בעיני רבים כמובילה העולמית במאבק נגד גורמים זדוניים. מיליארדי מחשבים, טריליוני כניסות וזטה-בית של נתונים ש- Microsoft אמונה על אבטחתם.

Power Platform עומדת על היסוד האיתן הזה. הוא משתמש באותה מחסנית האבטחה שהקנתה ל- Azure את הזכות לשרת את הנתונים הרגישים ביותר בעולם ולהגן עליהם - ומשלב את כלי התאימות וההגנה על מידע המתקדמים ביותר של Microsoft 365. Power Platform מספק הגנה מקצה לקצה שתוכננה סביב החששות המאתגרים ביותר של הלקוחות שלנו בעידן הענן:

• כיצד נוכל לקבוע מי יכולים להתחבר, מהיכן הם מתחברים וכיצד הם מתחברים? כיצד נוכל לשלוט בחיבורים?
• כיצד מאוחסנים הנתונים? כיצד הם מוצפנים? אילו אמצעי בקרה יש לנו על הנתונים?
• כיצד נוכל לפקח על הנתונים הרגישים ולהגן עליהם? איך נוכל לוודא שהנתונים שלנו לא יוכלו לדלוף אל מחוץ לארגון?
• איך נוכל לבדוק מי יכול לעשות מה? כיצד נוכל להגיב במהירות אם אנחנו מזהים פעילות חשודה?

פיקוח

שירות Power Platform מפוקח על ידי תנאי השירותים המקוונים של Microsoft ועל ידי הצהרת הפרטיות הארגונית של Microsoft. לקבלת המיקום של עיבוד הנתונים, עיין בתנאי השירותים המקוונים של Microsoft ובתוספת ההגנה על נתונים.

מרכז האמון של Microsoft הוא המשאב העיקרי למידע על תאימות Power Platform. קבל מידע נוסף בהצעות התאימות של Microsoft.

השירות Power Platform עוקב אחר תהליך מחזור החיים של פיתוח אבטחה (SDL). SDL הוא קבוצה של נהלים מחמירים התומכים בדרישות אבטחה ותאימות. קבל מידע נוסף במקטע נוהלי מחזור החיים של הפיתוח של Microsoft.

מושגי אבטחה נפוצים של Power Platform

Power Platform כולל כמה שירותים. חלק ממושגי האבטחה שנעסוק בהם בסדרה זו חלים על כולם. מושגים אחרים יהיו ספציפייםלשירותים בודדים. כאשר מושגי האבטחה יהיו שונים, נציין אותם.

מושגי האבטחה המשותפים לכל שירותי Power Platform כוללים:

• ארכיטקטורת השירות של Power Platform, או כיצד המידע עובר במערכת
• אימות לשירותי Power Platform, או כיצד משתמשים מקבלים גישה לשירותים
• חיבור ואימות למקורות נתונים, או כיצד שירותים מתחברים למקורות נתונים ומשתמשים מקבלים גישה לנתונים
• אחסון נתונים ב- Power Platform, או כיצד הנתונים מוגנים בין אם הם במנוחה או במעבר בין מערכות ושירותים

ארכיטקטורת השירות של Power Platform

שירותי Power Platform בנויים על Azure, פלטפורמת מחשוב הענן של Microsoft. ארכיטקטורת השירות של Power Platform מורכבת מארבעה רכיבים:

• אשכול אינטרנט חזיתי
• אשכול עורפי
• תשתית פרימיום
• פלטפורמות מכשירים ניידים

אשכול אינטרנט חזיתי

חל על שירותי Power Platform שמציגים ממשק משתמש של אתר. ‏‫אשכול האינטרנט החזיתי משרת את דף הבית של היישום או של השירות בדפדפן של המשתמש. הוא משתמש ב- Microsoft Entra כדי לאמת לקוחות בהתחלה ולספק אסימונים עבור חיבורי לקוח עוקבים לשירות העורפי של Power Platform.

אשכול אינטרנט חזיתי מורכב מאתר ASP.NET הפועל בסביבת שירותי היישומים של Azure. כאשר משתמש מבקר בשירות או ביישום של Power Platform, שירות ה-DNS של הלקוח עשוי לקבל את מרכז הנתונים המתאים ביותר (בדרך כלל, הקרוב ביותר) מ- Azure Traffic Manager. לפרטים נוספים, ראה ביצועי שיטת ניתוב התעבורה עבור Azure Traffic Manager.

‏‫אשכול האינטרנט החזיתי מנהל את רצף הכניסה והאימות. הוא מקבל אסימון גישה של Microsoft Entra לאחר אימות המשתמש. רכיב ה- ASP.NET מנתח את האסימון כדי לקבוע לאיזה ארגון שייך המשתמש. לאחר מכן הרכיב מתייעץ עם השירות העורפי הכללי של Power Platform כדי לציין לדפדפן איזה אשכול עורפי מארח את הדייר של הארגון. אינטראקציות לקוח עוקבות מתרחשות עם האשכול העורפי באופן ישיר, ללא צורך בתיווך של אשכול האינטרנט החזיתי.

הדפדפן מביא משאבים סטטיים, כגון ‎.js‏, ‎.css וקובצי תמונה, בעיקר מרשת אספקת התוכן (CDN) של Azure. פריסת אשכולות של ממשלות ריבוניות חורגת מהכלל. מסיבות תאימות, פריסות אלה משמיטות את ה- CDN של Azure. במקום זאת, הן משתמשות באשכול אינטרנט חזיתי מאזור תאימות לאירוח התוכן הסטטי.

אשכול עורפי של Power Platform

האשכול העורפי הוא עמוד השדרה של כל הפונקציונליות הזמינה בשירות Power Platform. הוא מורכב מנקודות קצה של שירות, משירותים העובדים ברקע, ממסדי נתונים, ממטמונים ומרכיבים אחרים.

הקצה העורפי זמין ברוב אזורי Azure, והוא נפרס באזורים רבים כשהם הופכים לזמינים. אזור אחד יכול לארח כמה אשכולות. תצורה זו מאפשרת לשירותי Power Platform שינוי אופקי בלתי מוגבל בקנה המידה לאחר מיצוי המגבלות האופקיות והאנכיות של קנה המידה של אשכול יחיד.

אשכולות עורפיים כוללים מצב. אשכול עורפי מארח את כל הנתונים של כל הדיירים המוקצים לו. האשכול שמכיל את הנתונים של דייר ספציפי מכונה אשכול הבית של הדייר. מידע על אשכול בית של משתמש מאומת מסופק על ידי השירות העורפי הכללי של Power Platform לאשכול האינטרנט החזיתי. שרת חזיתי של אתר משתמש במידע כדי לנתב בקשות לאשכול העורפי של בית הדייר.

‏‫המטה-נתונים והנתונים של הדייר מאוחסנים בגבולות האשכול. היוצא מהכלל הוא שכפול הנתונים לאשכול עורפי משני שנמצא באזור משויך כמו האזור גיאוגרפי של Azure.‬ האשכול המשני משמש כמעבר לגיבוי בעת כשל אם יש השבתה אזורית והוא פסיבי בכל זמן אחר. מיקרו-שירותים הפועלים במכונות אחרות בתוך הרשת הווירטואלית של האשכול משרתים ‏‫גם את הפונקציונליות העורפית. רק שניים ממיקרו-שירותים אלה נגישים מהאינטרנט הציבורי:

• Gateway Service
• Azure API Management

תשתית פרימיום של Power Platform

Power Platform פרימיום מספק גישה לקבוצת מחברים מורחבת כשירות בתשלום. יוצרים ב- Power Platform אינם מוגבלים בשימוש במחברי פרימיום, אם משתמשי היישום כן מוגבלים. כלומר, משתמשים ביישום שכולל מחברי פרימיום חייבים להחזיק ברישיון המתאים כדי לגשת אליהם. השירות העורפי של Power Platform קובע אם למשתמש יש גישה למחברי פרימיום.

פלטפורמות מכשירים ניידים

Power Platform תומך באפליקציות ב- Android, ב- iOS וב- Windows‏ (UWP). שיקולי האבטחה עבור אפליקציות לנייד מתחלקים לשתי קטגוריות:

• תקשורת של מכשירים
• האפליקציה והנתונים במכשיר

תקשורת של מכשירים

אפליקציות למכשירים ניידים של Power Platform משתמשות באותם רצפי חיבור ואימות שבהם משתמשים דפדפנים. אפליקציות של Android ו- iOS פותחות הפעלת דפדפן באפליקציה. אפליקציות Windows משתמשות במתווך כדי ליצור ערוץ תקשורת עם השירותים של Power Platform עבור תהליך הכניסה.

הטבלה הבאה מציגה תמיכה באימות מבוסס אישור (CBA) עבור אפליקציות למכשירים ניידים:

תמיכה ב- CBA	iOS	Android	חלונות
כניסה לשירות	נתמך	נתמך	לא נתמך
SSRS ADFS מקומי (חיבור לשרת SSRS)	לא נתמך	נתמך	לא נתמך
SSRS App Proxy	נתמך	נתמך	לא נתמך

האפליקציות למכשירים ניידים מקיימים תקשורת פעילה עם שירותי Power Platform. סטטיסטיקות שימוש באפליקציה ונתונים דומים משודרים לשירותים המנטרים את השימוש ואת הפעילות. נתוני לקוחות לא נכללים.

האפליקציה והנתונים במכשיר

האפליקציה למכשירים ניידים והנתונים שהיא דורשת מאוחסנים באופן מאובטח במכשיר. Microsoft Entra ואסימוני רענון מאוחסנים באמצעות אמצעי אבטחה סטנדרטיים לענף.

נתונים המאוחסנים במטמון המכשיר כוללים נתוני אפליקציות, הגדרות משתמש ולוחות מחוונים ודוחות שבוצעה אליהם גישה בהפעלות קודמות. המטמון מאוחסן בארגז חול באחסון פנימי. המטמון נגיש רק לאפליקציה ומערכת ההפעלה יכולה להצפין אותו.

• iOS: ההצפנה מבוצעת באופן אוטומטי כאשר המשתמש מגדיר קוד סיסמה.
• Android: ניתן להגדיר את ההצפנה בהגדרות.
• Windows: ההצפנה מטופלת על ידי BitLocker.

ניתן להשתמש בהצפנה ברמת הקובץ ב- Microsoft Intune כדי לשפר את הצפנת הנתונים. Intune הוא שירות תוכנה המספק ניהול מכשירים ניידים ואפליקציות. כל שלוש הפלטפורמות למכשירים ניידים תומכות ב- Intune. כאשר Intune מופעל ומוגדר, הנתונים במכשיר הנייד מוצפנים, ולא ניתן להתקין את אפליקציית Power Platform בכרטיס SD.

אפליקציות של Windows תומכות גם ב- Windows Information Protection‏ (WIP).

נתונים המאוחסנים במטמון נמחקים כאשר המשתמש:

• מסיר את התקנת האפליקציה
• מתנתק משירות Power Platform
• לא מצליח להיכנס לאחר שינוי סיסמה או פקיעת תוקף אסימון

מיקום גיאוגרפי מופעל או מושבת במפורש על-ידי המשתמש. אם מופעל, נתוני המיקום הגיאוגרפי לא נשמרים במכשיר ואינם משותפים עם Microsoft.

הודעות מופעלות או מושבתות במפורש על-ידי המשתמש. אם ההודעות מופעלות, Android ו- iOS לא תומכות בדרישות של מרכזי נתונים גיאוגרפיים.

שירותי Power Platform למכשירים ניידים לא ניגשים לתיקיות או לקבצים של אפליקציות אחרות במכשיר.

חלק מנתוני אימות מבוססי אסימון זמינים לאפליקציות Microsoft אחרות, כגון Authenticator, כדי להפוך כניסה יחידה לזמינה. נתונים אלו מנוהלים על ידי Microsoft Entra Authentication Library SDK.

מאמרים קשורים

אימות לשירותי Power Platform
חיבור ואימות למקורות נתונים
אחסון נתונים ב- Power Platform
שאלות נפוצות בנושא אבטחה ב- Power Platform

למידע נוסף‬

• אבטחה ב- Microsoft Dataverse
• תנאי השירותים המקוונים של Microsoft
• הצהרת הפרטיות הארגונית של Microsoft
• תוספת הגנה על נתונים
• נוהלי מחזור החיים של הפיתוח של Microsoft
• ביצועי שיטת ניתוב התעבורה עבור Azure Traffic Manager
• Microsoft Intune
• Windows Information Protection‏ (WIP)