Power Platform सुरक्षा से जुड़े अक्सर पूछे जाने वाले सवाल
Power Platform सुरक्षा के बारे में अक्सर पूछे जाने वाले प्रश्न दो श्रेणियों में आते हैं:
कैसे Power Platform को शीर्ष 10 Open Web Application Security Project® (OWASP) जोखिमों को कम करने में मदद करने के लिए डिज़ाइन किया गया है
प्रश्न हमारे ग्राहक पूछते हैं
आपके लिए नवीनतम जानकारी प्राप्त करना आसान बनाने के लिए, इस आलेख के अंत में नए प्रश्न जोड़े गए हैं.
OWASP शीर्ष 10 जोखिम: Power Platform में न्यूनीकरण
Open Web Application Security Project® (OWASP) एक गैर-लाभकारी फाउंडेशन है जो सॉफ्टवेयर सुरक्षा को बेहतर बनाने के लिए काम करता है. समुदाय के नेतृत्व वाले ओपन-सोर्स सॉफ़्टवेयर प्रोजेक्ट, दुनिया भर में सैकड़ों अध्याय, दसियों हज़ार सदस्य, और प्रमुख शैक्षिक और प्रशिक्षण सम्मेलनों के माध्यम से, OWASP फाउंडेशन डेवलपर्स और प्रौद्योगिकीविदों के लिए वेब को सुरक्षित करने का स्रोत है.
OWASP शीर्ष 10 डेवलपरों और वेब ऐप्लिकेशन सुरक्षा में रुचि रखने वाले अन्य लोगों के लिए एक मानक जागरूकता दस्तावेज़ है. यह वेब ऐप्लिकेशंस के लिए सबसे महत्वपूर्ण सुरक्षा जोखिमों के बारे में व्यापक सहमति का प्रतिनिधित्व करता है. इस सेक्शन में, हम चर्चा करेंगे कि कैसे Power Platform इन जोखिमों को कम करने में मदद करता है.
A01:2021 ब्रोकन एक्सेस नियंत्रण
- Power Platform सुरक्षा मॉडल को लीस्ट प्रिविलेज्ड एक्सेस (LPA) पर बनाया गया है. LPA ग्राहकों को अधिक विस्तृत अभिगम नियंत्रण के साथ ऐप्लिकेशन बनाने में सक्षम बनाता है.
- Power Platform उद्योग-मानक OAuth 2.0 प्रोटोकॉल के साथ सभी API कॉल के प्राधिकरण के लिए Microsoft Entra ID (Microsoft Entra ID) Microsoft Identity Platform का उपयोग करता है।
- Dataverse, जो Power Platform के लिए अंतर्निहित डेटा प्रदान करता है, में एक समृद्ध सुरक्षा मॉडल है जिसमें परिवेश-स्तर, भूमिका-आधारित और रिकॉर्ड- और फ़ील्ड-स्तर की सुरक्षा शामिल है.
A02:2021 क्रिप्टोग्राफ़िक विफलता
ट्रांसिट में डेटा:
- Power Platform सभी HTTP-आधारित नेटवर्क ट्रैफ़िक को एन्क्रिप्ट करने के लिए TLS का उपयोग करता है. यह गैर-HTTP नेटवर्क ट्रैफ़िक को एन्क्रिप्ट करने के लिए अन्य तंत्रों का उपयोग करता है जिसमें ग्राहक या गोपनीय डेटा होता है.
- Power Platform कठोर TLS कॉन्फ़िगरेशन को नियोजित करता है जो HTTP सख्त परिवहन सुरक्षा (HSTS) को सक्षम करता है:
- TLS 1.2 या इससे उच्च संस्करण
- ECDHE-आधारित साइफ़र सुइट्स और NIST कर्व्स
- मजबूत कुंजियाँ
स्थिर डेटा:
- अपरिवर्तनशील संग्रहण मीडिया में लिखे जाने से पहले सभी ग्राहक डेटा को एन्क्रिप्ट किया जाता है.
Power Platform इंजेक्शन हमलों को रोकने के लिए उद्योग-मानक सर्वोत्तम प्रक्रियाओं का उपयोग करता है, जिनमें निम्न शामिल हैं:
- पैरामिट्रीकृत इंटरफ़ेस के साथ सुरक्षित APIs का उपयोग करना
- इनपुट को साफ करने के लिए फ्रंट-एंड फ्रेमवर्क की हमेशा विकसित होने वाली क्षमताओं को लागू करना
- सर्वर-साइड प्रमाणीकरण के साथ आउटपुट को साफ करना
- बिल्ड समय के दौरान स्थैतिक विश्लेषण टूल का उपयोग करना
- हर छह महीने में हर सेवा के जोख़िम मॉडल की समीक्षा करना चाहे कोड, डिजाइन या बुनियादी ढांचा अपडेट किया गया हो या नहीं
- Power Platform सुरक्षित डिज़ाइन की संस्कृति और कार्यप्रणाली पर बनाया गया है. Microsoft के उद्योग-अग्रणी सुरक्षा विकास जीवनचक्र (SDL) और जोख़िम की मॉडलिंग प्रक्रियाओं के माध्यम से संस्कृति और कार्यप्रणाली दोनों को लगातार सुदृढ़ किया जाता है.
- जोख़िम की मॉडलिंग की समीक्षा प्रक्रिया यह सुनिश्चित करती है कि डिज़ाइन चरण के दौरान खतरों की पहचान की जाती है, उन्हें कम किया जाता है, और यह सुनिश्चित करने के लिए मान्य किया जाता है कि उन्हें कम कर दिया गया है.
- जोख़िम मॉडलिंग उन सेवाओं में सभी परिवर्तनों के लिए भी जिम्मेदार है जो निरंतर नियमित समीक्षाओं के माध्यम से पहले से ही लाइव हैं. STRIDE मॉडल पर भरोसा करने से असुरक्षित डिज़ाइन के साथ सबसे आम मुद्दों को हल करने में मदद मिलती है.
- Microsoft का SDL OWASP सॉफ़्टवेयर आश्वासन परिपक्वता मॉडल (SAMM) के समतुल्य है. दोनों को इस आधार पर बनाया गया है कि सुरक्षित डिज़ाइन वेब ऐप्लिकेशन सुरक्षा का अभिन्न अंग है.
A05:2021 सुरक्षा का गलत कॉन्फ़िगरेशन
- "डिफ़ॉल्ट इनकार" Power Platform डिज़ाइन सिद्धांतों की बुनियादों में से एक है. "डिफ़ॉल्ट इनकार" के साथ, ग्राहकों को नई सुविधाओं और कॉन्फ़िगरेशन की समीक्षा करने और उन्हें चुनने की आवश्यकता होती है.
- बिल्ड समय के दौरान किसी भी गलत कॉन्फ़िगरेशन को सुरक्षित विकास उपकरण का उपयोग करके एकीकृत सुरक्षा विश्लेषण द्वारा पकड़ा जाता है.
- इसके अलावा, Power Platform गतिशील विश्लेषण सुरक्षा परीक्षण (DAST) एक आंतरिक सेवा का उपयोग करके किया जाता है जो OWASP शीर्ष 10 जोखिमों पर निर्मित है.
- Power Platform ओपन-सोर्स और तृतीय-पक्ष घटकों को प्रबंधित करने के लिए Microsoft के SDL अभ्यासों का पालन करता है. इन अभ्यासों में संपूर्ण इन्वेंट्री को बनाए रखना, सुरक्षा विश्लेषण करना, घटकों को अद्यतित रखना, और आजमाई हुई सुरक्षा घटना प्रतिक्रिया प्रक्रिया के साथ घटकों को संरेखित करना शामिल है.
- दुर्लभ मामलों में, बाहरी निर्भरताओं के कारण कुछ ऐप्लिकेशंस में पुराने घटकों की प्रतियां हो सकती हैं. हालांकि, उन निर्भरताओं को पहले उल्लिखित प्रथाओं के अनुसार संबोधित करने के बाद, घटकों को ट्रैक और अपडेट किया जाता है.
A07:2021 पहचान और प्रमाणीकरण विफलताएँ
- Power Platform Microsoft Entra आईडी पहचान और प्रमाणीकरण पर आधारित है और इस पर निर्भर करता है।
- Microsoft Entra Power Platform सुरक्षित सुविधाओं को सक्षम करने में मदद करता है . इन सुविधाओं में एकल साइन-ऑन, बहु-कारक प्रमाणीकरण और आंतरिक और बाहरी उपयोगकर्ताओं के साथ अधिक सुरक्षित रूप से जुड़ने के लिए एक प्लेटफ़ॉर्म शामिल है.
- Power Platformके Microsoft Entra आईडी निरंतर पहुंच मूल्यांकन (सीएई) के आगामी कार्यान्वयन के साथ, उपयोगकर्ता की पहचान और प्रमाणीकरण और भी अधिक सुरक्षित और विश्वसनीय होगा।
A08:2021 सॉफ़्टवेयर और डेटा अखंडता विफलता
- Power Platform की घटक शासन प्रक्रिया सॉफ्टवेयर अखंडता को बनाए रखने के लिए पैकेज स्रोत फ़ाइलों के सुरक्षित विन्यास को लागू करती है.
- यह प्रक्रिया सुनिश्चित करती है कि प्रतिस्थापन हमले को संबोधित करने के लिए केवल आंतरिक स्रोत वाले पैकेज ही दिए जाएँ. प्रतिस्थापन हमला, जिसे निर्भरता भ्रम भी कहा जाता है, एक ऐसी तकनीक है जिसका उपयोग सुरक्षित उद्यम वातावरण के अंदर ऐप-बिल्डिंग प्रक्रिया को ज़हर देने के लिए किया जा सकता है.
- सभी एन्क्रिप्ट किए गए डेटा में संचारित होने से पहले अखंडता सुरक्षा लागू होती है. आने वाले एन्क्रिप्टेड डेटा के लिए मौजूद सभी अखंडता सुरक्षा मेटाडेटा मान्य है.
OWASP के शीर्ष 10 निम्न कोड/कोई कोड नहीं जोखिम: निवारण Power Platform
OWASP द्वारा प्रकाशित शीर्ष 10 निम्न कोड/कोई कोड नहीं सुरक्षा जोखिमों को कम करने के मार्गदर्शन के लिए, इस दस्तावेज़ को देखें:
Power Platform - OWASP कम कोड कोई कोड नहीं शीर्ष 10 जोखिम (अप्रैल 2024)
ग्राहकों से सामान्य सुरक्षा प्रश्न
हमारे ग्राहकों द्वारा पूछे जाने वाले कुछ सुरक्षा प्रश्न निम्नलिखित हैं.
Power Platform क्लिकजैकिंग से बचाने में कैसे मदद करता है?
क्लिकजैकिंग किसी वेब पेज के साथ उपयोगकर्ता के इंटरैक्शन को हाइजैक करने के लिए, अन्य घटकों के साथ-साथ एम्बेड किए गए iframes का उपयोग करता है. यह विशेष रूप से साइन-इन पृष्ठों के लिए महत्वपूर्ण खतरा है. Power Platform साइन-इन पृष्ठों पर iframes के उपयोग को रोकता है, क्लिकजैकिंग के जोखिम को काफी कम करता है.
इसके अलावा, संगठन विश्वसनीय डोमेन में एम्बेडिंग को प्रतिबंधित करने के लिए सामग्री सुरक्षा नीति (CSP) का उपयोग कर सकते हैं.
क्या Power Platform सामग्री सुरक्षा नीति का समर्थन करते हैं?
Power Platform मॉडल-चालित ऐप्स के लिए सामग्री सुरक्षा नीति (CSP) का समर्थन करता है. हम निम्नलिखित शीर्षलेखों का समर्थन नहीं करते हैं जिन्हें CSP द्वारा प्रतिस्थापित किया गया है:
X-XSS-ProtectionX-Frame-Options
हम SQL सर्वर से सुरक्षित रूप से कैसे जुड़ सकते हैं?
Power Apps के साथ सुरक्षित रूप से Microsoft SQL Server का उपयोग करें देखें.
Power Platform द्वारा कौन से साइफ़र समर्थित हैं? लगातार मजबूत साइफ़र की ओर बढ़ने का रोडमैप क्या है?
Microsoft क्रिप्टो बोर्ड द्वारा निर्देशित सटीक क्रम में, सभी Microsoft सेवाओं और उत्पादों को स्वीकृत साइफ़र सुइट्स का उपयोग करने के लिए कॉन्फ़िगर किया गया है. पूरी सूची और सटीक क्रम के लिए, Power Platform दस्तावेज़ीकरण देखें.
साइफ़र सुइट्स के बहिष्करण के बारे में जानकारी Power Platform के महत्वपूर्ण परिवर्तन दस्तावेज़ीकरण के माध्यम से सूचित की जाती है.
क्यों Power Platform अभी भी RSA-CBC साइफ़र (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) और TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) का समर्थन करता है, जिन्हें कमज़ोर माना जाता है?
Microsoft समर्थन करने के लिए साइफ़र सूट चुनने में ग्राहक के संचालन के सापेक्ष जोखिम और व्यवधान पर ज़ोर देता है. RSA-CBC साइफ़र सूट अभी तक तोड़ा नहीं गया है. हमने उन्हें हमारी सेवाओं और उत्पादों में निरंतरता सुनिश्चित करने और सभी ग्राहक कॉन्फ़िगरेशन का समर्थन करने के लिए सक्षम किया है. हालाँकि, वे प्राथमिकता सूची में सबसे नीचे हैं.
Microsoft क्रिप्टो बोर्ड के निरंतर मूल्यांकन के आधार पर, हम इन साइफ़र को सही समय पर हटा देंगे.
Power Automate ट्रिगर/क्रिया इनपुट और आउटपुट में MD5 सामग्री हैश को क्यों प्रदर्शित करता है?
Power Automate वैकल्पिक सामग्री-MD5 हैश मान को पास करता है जो Azure Storage द्वारा अपने ग्राहकों को लौटाया जाता है. इस हैश का उपयोग Azure संग्रहण द्वारा चेकसम एल्गोरिथम के रूप में परिवहन के दौरान पृष्ठ की अखंडता को सत्यापित करने के लिए किया जाता है और इसे Power Automate में सुरक्षा उद्देश्यों के लिए क्रिप्टोग्राफ़िक हैश फ़ंक्शन के रूप में उपयोग नहीं किया जाता है. आप इसके बारे में अधिक जानकारी Azure स्टोरेज दस्तावेज़ में पा सकते हैं कि कैसे ब्लॉब गुण प्राप्त करें और अनुरोध हेडर के साथ कैसे काम करें।
कैसे Power Platform डिस्ट्रीब्यूटेड डेनियल ऑफ सर्विस (DDoS) हमलों से बचाव करता है?
Power Platform Microsoft Azure पर बनाया गया है और Azure DDoS सुरक्षा का उपयोग DDoS हमलों से बचाव के लिए किया जाता है.
क्या यह संगठनात्मक डेटा की सुरक्षा में सहायता के लिए जेलब्रेक किए गए डिवाइसों और रूट किए गए डिवाइसों का पता लगाता है? Power Platform iOS Android
हम सुझाव देते हैं कि आप Microsoft Intune का इस्तेमाल करें. Intune एक मोबाइल डिवाइस प्रबंधन समाधान है. यह कुछ आवश्यकताओं को पूरा करने के लिए उपयोगकर्ताओं और डिवाइसों की आवश्यकता के द्वारा संगठनात्मक डेटा को सुरक्षित रखने में मदद कर सकता है. अधिक जानकारी के लिए, Intune की अनुपालन नीति सेटिंग्स देखें.
सेशन कुकीज़ को पैरेंट डोमेन के दायरे में क्यों रखा गया है?
Power Platform संगठनों में प्रमाणीकरण की अनुमति देने के लिए सत्र कुकीज़ को पैरेंट डोमेन में स्कोप करता है. उप डोमेन का उपयोग सुरक्षा सीमाओं के रूप में नहीं किया जाता है. वे ग्राहक सामग्री भी होस्ट नहीं करते हैं.
15 मिनट के बाद हम ऐप्लिकेशन सत्र को टाइम आउट पर कैसे सेट कर सकते हैं?
Power Platform Microsoft Entra आईडी पहचान और पहुँच प्रबंधन का उपयोग करता है। यह इष्टतम उपयोगकर्ता अनुभव के लिए ID के अनुशंसित सत्र प्रबंधन कॉन्फ़िगरेशन का अनुसरण करता है। Microsoft Entra
हालाँकि, आप स्पष्ट सत्र और/या गतिविधि टाइमआउट के लिए परिवेश को अनुकूलित कर सकते हैं. अधिक जानकारी के लिए: उपयोगकर्ता सत्र और पहुँच प्रबंधन देखें.
Power Platformके Microsoft Entra आईडी निरंतर पहुंच मूल्यांकन के आगामी कार्यान्वयन के साथ, उपयोगकर्ता की पहचान और प्रमाणीकरण और भी अधिक सुरक्षित और विश्वसनीय होगा।
ऐप्लिकेशन एक ही उपयोगकर्ता को एक ही समय में एक से अधिक मशीन या ब्राउज़र से एक्सेस करने की अनुमति देता है. हम इसे कैसे रोक सकते हैं?
एक ही समय में एक से अधिक डिवाइस या ब्राउज़र से ऐप्लिकेशन तक पहुँचना उपयोगकर्ताओं के लिए एक सुविधा है. Power Platform Microsoft Entra आईडी निरंतर पहुंच मूल्यांकन के आगामी कार्यान्वयन से यह सुनिश्चित करने में मदद मिलेगी कि पहुंच अधिकृत उपकरणों और ब्राउज़रों से है और अभी भी मान्य है।
कुछ Power Platform सेवाएँ वर्बोज़ जानकारी वाले सर्वर हेडर क्यों दिखाती हैं?
Power Platform सर्वर हेडर में अनावश्यक जानकारी को हटाने के लिए सेवाएँ काम कर रही हैं. लक्ष्य विवरण के स्तर को जानकारी उजागर करने के जोखिम के साथ संतुलित करना है जो समग्र सुरक्षा स्थिति को कमजोर कर सकता है.
Log4j भेद्यताएँ Power Platform को कैसे प्रभावित करती हैं? ग्राहकों को इस संबंध में क्या करना चाहिए?
Microsoft ने आकलन किया है कि कोई Log4j भेद्यता Power Platform प्रभावित नहीं करती है. Log4j भेद्यताओं के शोषण को रोकने, पता लगाने और दूर करने पर हमारा ब्लॉग पोस्ट देखें.
हम यह कैसे सुनिश्चित कर सकते हैं कि ब्राउज़र एक्सटेंशन या एकीकृत इंटरफ़ेस क्लाइंट APIs द्वारा अक्षम नियंत्रणों को सक्षम किए जाने के कारण कोई अनधिकृत लेन-देन न हो?
Power Apps सुरक्षा मॉडल में अक्षम नियंत्रणों की अवधारणा शामिल नहीं है. नियंत्रण अक्षम करना एक UI एन्हांसमेंट है. सुरक्षा प्रदान करने के लिए आपको अक्षम नियंत्रणों पर भरोसा नहीं करना चाहिए. इसके बजाय, अनधिकृत लेन-देन को रोकने के लिए क्षेत्र-स्तरीय सुरक्षा जैसे Dataverse नियंत्रणों का उपयोग करें.
प्रतिक्रिया डेटा की सुरक्षा के लिए कौन से HTTP सुरक्षा हेडर का उपयोग किया जाता है?
| Name | Details |
|---|---|
| सख्त-परिवहन-सुरक्षा | यह सभी प्रतिक्रियाओं पर max-age=31536000; includeSubDomains सेट है। |
| एक्स फ़्रेम-विकल्पों को | इसे CSP के पक्ष में अस्वीकृत कर दिया गया है। |
| X-सामग्री-प्रकार-विकल्प | यह सभी परिसंपत्ति प्रतिक्रियाओं पर nosniff सेट है. |
| सामग्री-सुरक्षा-नीति | यह तब सेट किया जाता है जब उपयोगकर्ता CSP को सक्षम करता है। |
| एक्स-XSS-संरक्षण | इसे CSP के पक्ष में अस्वीकृत कर दिया गया है। |
मुझे Power Platform या Dynamics 365 प्रवेश परीक्षण कहाँ मिल सकता है?
नवीनतम पैठ परीक्षण और सुरक्षा मूल्यांकन Microsoft सेवा ट्रस्ट पोर्टल पर देखे जा सकते हैं.
नोट
सेवा ट्रस्ट पोर्टल पर कुछ संसाधनों तक पहुँचने के लिए, आपको अपने Microsoft क्लाउड सेवा खाते (Microsoft Entra संगठन खाता) के साथ एक प्रमाणीकृत उपयोगकर्ता के रूप में लॉग इन करना होगा और अनुपालन सामग्रियों के लिए Microsoft गैर-प्रकटीकरण अनुबंध की समीक्षा करनी होगी और उसे स्वीकार करना होगा।
संबंधित आलेख
Microsoft Power Platform में सुरक्षा
Power Platform सेवाओं को प्रमाणित किया जा रहा है
डेटा स्रोतों से जुड़ना और प्रमाणित करना
Power Platform में डेटा संग्रहण
भी देखें
प्रतिक्रिया
जल्द आ रहा है: 2024 के दौरान हम सामग्री के लिए फीडबैक तंत्र के रूप में GitHub मुद्दों को चरणबद्ध तरीके से समाप्त कर देंगे और इसे एक नई फीडबैक प्रणाली से बदल देंगे. अधिक जानकारी के लिए, देखें: https://aka.ms/ContentUserFeedback.
के लिए प्रतिक्रिया सबमिट करें और देखें