Najčešća pitanja o Power Platform sigurnosti
Često postavljana pitanja o Power Platform sigurnosti spadaju u dvije kategorije:
Kako je servis Power Platform osmišljen da pomogne ublažiti 10 najvećih rizika zaklade Open Web Application Security Project® (OWASP)
Pitanja koja postavljaju naši kupci
Kako bismo vam olakšali pronalaženje najnovijih informacija, na kraju ovog članka dodana su nova pitanja.
OWASP 10 najvećih rizika: Ublažavanje u servisu Power Platform
Open Web Application Security Project® (OWASP) je neprofitna zaklada koja radi na poboljšanju sigurnosti softvera. Kroz softverske projekte otvorenog koda koje vodi zajednica, stotine ogranaka diljem svijeta, desetke tisuća članova i vodeće obrazovne konferencije i konferencije za obuku, Zaklada OWASP izvor je za programere i tehnologe koji štite web.
OWASP top 10 je standardni dokument za podizanje svijesti za programere i druge koji su zainteresirani za sigurnost web aplikacija. Predstavlja široki konsenzus o najkritičnijim sigurnosnim rizicima za web aplikacije. U ovom odjeljku raspravljat ćemo o tome kako Power Platform pomaže u ublažavanju ovih rizika.
A01:2021 Slomljena kontrola pristupa
- Sigurnosni model Power Platform izgrađen je na najmanje privilegiranom pristupu (LPA). LPA omogućuje korisnicima izradu aplikacija s preciznijom kontrolom pristupa.
- Power Platform koristi Microsoft Entra ID-ovu (Microsoft Entra ID) Microsoft Identity Platform za autorizaciju svih API poziva s industrijskim standardom OAuth 2.0 protokola.
- Dataverse, koji pruža temeljne podatke za Power Platform ima bogat sigurnosni model koji uključuje sigurnost na razini okruženja, na temelju uloga te sigurnost na razini zapisa i polja.
A02:2021 Kriptografski kvarovi
Podaci u prijenosu:
- Power Platform koristi TLS za šifriranje cjelokupnog mrežnog prometa temeljenog na HTTP-u. Koristi druge mehanizme za šifriranje ne-HTTP mrežnog prometa koji sadrži korisničke ili povjerljive podatke.
- Power Platform koristi ojačanu TLS konfiguraciju koja omogućuje HTTP Strict Transport Security (HSTS):
- TLS 1.2 ili više
- Skupovi šifri temeljeni na ECDHE i NIST krivulje
- Snažne tipke
Podaci u mirovanju:
- Svi podaci o klijentima šifrirani su prije nego što se zapišu na trajni medij za pohranu.
Power Platform koristi standardne najbolje prakse za sprječavanje napada ubacivanjem, uključujući:
- Korištenje sigurnih API-ja s parametriziranim sučeljima
- Primjena neprestano razvijajućih mogućnosti pristupnih okvira za trajno uklanjanje unosa
- Trajno uklanjanje izlaza s provjerom valjanosti na strani poslužitelja
- Korištenje alata za statičku analizu tijekom izgradnje
- Pregled modela prijetnji svake usluge svakih šest mjeseci bez obzira jesu li kôd, dizajn ili infrastruktura ažurirani ili ne
- Power Platform izgrađen je na kulturi i metodologiji sigurnog dizajna. I kultura i metodologija neprestano se jačaju kroz Microsoft vodeće prakse životnog ciklusa razvoja sigurnosti (SDL) i modeliranja prijetnji.
- Proces pregleda modeliranja prijetnji osigurava da su prijetnje identificirane tijekom faze dizajna, ublažene i potvrđene kako bi se osiguralo da su ublažene.
- Modeliranje prijetnji također uzima u obzir sve promjene usluga koje su već aktivne putem stalnih redovitih pregleda. Oslanjanje na STRIDE model pomaže u rješavanju najčešćih problema s nesigurnim dizajnom.
- MicrosoftSDL je ekvivalentan modelu dospijeća OWASP Software Assurance (SAMM). Oba su izgrađena na premisi da je siguran dizajn sastavni dio sigurnosti web aplikacija.
A05:2021 Sigurnosna pogrešna konfiguracija
- "Default Deny" jedan je od temelja Power Platform načela dizajna. Uz "Default Deny" korisnici moraju pregledati i uključiti se u nove značajke i konfiguracije.
- Sve pogrešne konfiguracije tijekom vremena izgradnje uhvaćene su integriranom sigurnosnom analizom pomoću Sigurnih razvojnih alata.
- Osim toga, Power Platform podvrgava se sigurnosnom testiranju dinamičke analize (DAST) koristeći internu uslugu koja je izgrađena na OWASP Top 10 rizicima.
A06:2021 Ranjive i zastarjele komponente
- Power Platform slijedi Microsoft SDL prakse za upravljanje komponentama otvorenog koda i komponentama trećih strana. Ove prakse uključuju održavanje kompletnog inventara, provođenje sigurnosnih analiza, održavanje komponenti ažurnim i usklađivanje komponenti s isprobanim i testiranim postupkom odgovora na sigurnosne incidente.
- U rijetkim slučajevima, neke aplikacije mogu sadržavati kopije zastarjelih komponenti zbog vanjskih ovisnosti. Međutim, nakon što se te ovisnosti riješe u skladu s ranije navedenim praksama, komponente se prate i ažuriraju.
A07:2021 Pogreške u identifikaciji i provjeri autentičnosti
- Power Platform nadograđuje se i ovisi o Microsoft Entra identifikaciji i provjeri autentičnosti ID-a.
- Microsoft Entra Power Platform pomaže u omogućavanju sigurnih značajki. Ove značajke uključuju jedinstvenu prijavu, višestruku provjeru autentičnosti i jedinstvenu platformu za sigurniju interakciju s unutarnjim i vanjskim korisnicima.
- S Power Platform nadolazećom implementacijom ID Microsoft Entra kontinuirane procjene pristupa (CAE), identifikacija i autentifikacija korisnika bit će još sigurniji i pouzdaniji.
A08:2021 Kvarovi u integritetu softvera i podataka
- Power Platform proces upravljanja komponentama provodi sigurnu konfiguraciju izvornih datoteka paketa kako bi se održao integritet softvera.
- Proces osigurava da se poslužuju samo paketi s internim izvorom za rješavanje napada supstitucijom. Napad supstitucijom, poznat i kao konfuzija ovisnosti, tehnika je koja se može koristiti za trovanje procesa izgradnje aplikacije unutar sigurnih poslovnih okruženja.
- Svi šifrirani podaci imaju zaštitu integriteta primijenjenu prije prijenosa. Provjeravaju se svi metapodaci zaštite integriteta prisutni za dolazne šifrirane podatke.
OWASP top 10 rizika s niskim kodom/bez koda: Ublažavanja u Power Platform
Za smjernice za ublažavanje 10 najvećih sigurnosnih rizika s niskim kodom/bez koda koje je objavio OWASP, pogledajte ovaj dokument:
Power Platform - OWASP Low Code No Code Top 10 rizika (travanj 2024.)
Uobičajena sigurnosna pitanja kupaca
Slijede neka od sigurnosnih pitanja koja postavljaju naši korisnici.
Kako Power Platform pomaže u zaštiti od clickjackinga?
Clickjacking koristi ugrađene iframeove, između ostalih komponenti, za otmicu korisnikovih interakcija s web stranicom. To je značajna prijetnja posebno stranicama za prijavu. Power Platform sprječava korištenje iframeova na stranicama za prijavu, značajno smanjujući rizik od clickjackinga.
Osim toga, organizacije mogu koristiti Politiku sigurnosti sadržaja (CSP) za ograničavanje ugrađivanja na pouzdane domene.
Podržava li Power Platform Politiku sigurnosti sadržaja?
Power Platform podržava Politiku sigurnosti sadržaja (CSP) za aplikacije stvorene prema modelu. Ne podržavamo sljedeća zaglavlja koja su zamijenjena CSP-om:
X-XSS-ProtectionX-Frame-Options
Kako se možemo sigurno povezati na SQL Server?
Pogledajte Sigurna uporaba usluge Microsoft SQL Server koristeći Power Apps.
Koje šifre podržava Power Platform? Koji je putokaz stalnog kretanja prema jačim šiframa?
Sve Microsoft usluge i proizvodi konfigurirani su za korištenje odobrenih paketa za šifriranje, točnim redoslijedom koji usmjerava Microsoft Crypto Board. Za potpuni popis i točan redoslijed pogledajte Power Platform dokumentaciju.
Informacije o zastarjelim paketima šifri priopćuju se putem dokumentacije o Power Platformvažnim promjenama.
Zašto Power Platform još uvijek podržava RSA-CBC šifre (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), koje se smatraju slabijima?
Microsoft Vaga relativni rizik i poremećaje u poslovanju kupaca pri odabiru paketa za šifriranje za podršku. RSA-CBC paketi šifri još nisu provaljeni. Omogućili smo im da osiguraju dosljednost u našim uslugama i proizvodima te da podrže sve korisničke konfiguracije. Međutim, oni su na dnu liste prioriteta.
Ove ćemo šifre odbaciti u pravo vrijeme, na temelju kontinuirane procjene Crypto Boarda Microsoft .
Zašto Power Automate izlaže raspršivanja sadržaja MD5 u ulazima i izlazima okidača/radnje?
Power Automate prosljeđuje neobaveznu vrijednost raspršivanja sadržaja MD5 koju vraća Azure Storage kakva jest svojim klijentima. Ovo raspršivanje koristi Azure Storage za provjeru integriteta stranice tijekom prijenosa kao algoritam kontrolne sume i ne koristi se kao kriptografska funkcija raspršivanja u sigurnosne svrhe u servisu Power Automate. Više pojedinosti o tome možete pronaći u dokumentaciji za Azure Storage o tome kako dohvatiti svojstva blobova i kako raditi sa zaglavljima zahtjeva.
Kako se Power Platform štiti od napada Distributed Denial of Service (DDoS)?
Power Platform izgrađen je na servisu Microsoft Azure i koristi Azure DDoS zaštitu za zaštitu od DDoS napada.
Otkriva li Power Platform jailbreaknute iOS uređaje i rootane Android uređaje kako bi pomogao u zaštiti podataka tvrtke ili ustanove?
Preporučujemo da koristite Microsoft Intune. Intune je rješenje za upravljanje mobilnim uređajima. Može pomoći u zaštiti organizacijskih podataka zahtijevajući od korisnika i uređaja da ispunjavaju određene zahtjeve. Dodatne informacije potražite u poglavlju Postavke pravila usklađenosti Intunea.
Zašto su kolačići sesije ograničeni na nadređenu domenu?
Power Platform obuhvaća kolačiće sesije na nadređenu domenu kako bi se omogućila provjera autentičnosti u više organizacija. Poddomene se ne koriste kao sigurnosne granice. One također ne hostiraju korisnički sadržaj.
Kako možemo postaviti sesiju aplikacije da istekne nakon, recimo, 15 minuta?
Power Platform koristi Microsoft Entra ID identitet i upravljanje pristupom. Slijedi Microsoft Entra ID-ovu preporučenu konfiguraciju upravljanja sesijama za optimalno korisničko iskustvo.
Međutim, možete prilagoditi okruženja tako da imaju eksplicitna ograničenja sesije i/ili aktivnosti. Dodatne infromacije potražite u poglavlju Korisničke sesije i upravljanje pristupom.
S Power Platform nadolazećom implementacijom procjene Microsoft Entra kontinuiranog pristupa ID-u, identifikacija i autentifikacija korisnika bit će još sigurniji i pouzdaniji.
Aplikacija omogućuje istom korisniku pristup s više od jednog računala ili preglednika u isto vrijeme. Kako to možemo spriječiti?
Pristup aplikaciji s više od jednog uređaja ili preglednika u isto vrijeme je pogodnost za korisnike. Power PlatformNadolazeća implementacija procjene kontinuiranog pristupa Microsoft Entra ID-a pomoći će osigurati da pristup dolazi s ovlaštenih uređaja i preglednika i da je još uvijek valjan.
Zašto neke Power Platform usluge izlažu zaglavlja poslužitelja s opširnim informacijama?
Power Platform usluge rade na uklanjanju nepotrebnih informacija u zaglavlju poslužitelja. Cilj je uravnotežiti razinu detalja s rizikom razotkrivanja informacija koje bi mogle oslabiti cjelokupni sigurnosni položaj.
Kako ranjivosti Log4j utječu na Power Platform? Što klijenti trebaju učiniti u tom pogledu?
Microsoft procijenio je da nema utjecaja Power Platform na ranjivosti Log4j. Pogledajte našu objavu na blogu o sprečavanju, otkrivanju i traženju iskorištavanja Log4j ranjivosti.
Kako možemo osigurati da nema neovlaštenih transakcija zbog proširenja preglednika ili objedinjenog sučelja API-ja klijenta koji dopuštaju omogućavanje onemogućenih kontrola?
Sigurnosni model Power Apps ne uključuje koncept onemogućenih kontrola. Onemogućavanje kontrola je poboljšanje korisničkog sučelja. Ne biste se trebali oslanjati na onemogućene kontrole za pružanje sigurnosti. Umjesto toga, koristite Dataverse kontrole kao što je sigurnost na razini polja za sprječavanje neovlaštenih transakcija.
Koja se HTTP sigurnosna zaglavlja koriste za zaštitu podataka o odgovor?
| Ime/naziv | Pojedinosti |
|---|---|
| Stroga sigurnost prijevoza | To je postavljeno na max-age=31536000; includeSubDomains sve odgovore. |
| Opcije X-okvira | Ovo je zastarjelo u korist CSP-a. |
| X-Content-Type-Options | To je postavljeno na nosniff sve odgovore na imovinu. |
| Politika sigurnosti-sadržaja | To se postavlja ako korisnik omogući CSP. |
| X-XSS-zaštita | Ovo je zastarjelo u korist CSP-a. |
Gdje mogu pronaći Power Platform ili Dynamics 365 testove prodora?
Najnoviji penetracijski testovi i sigurnosne procjene mogu se pronaći na portalu Microsoft Service Trust.
Napomena
Da biste pristupili nekim resursima na portalu za pouzdanost usluga, morate se prijaviti kao korisnik s provjerom autentičnosti s računom Microsoft za usluge u oblaku (Microsoft Entra računom tvrtke ili ustanove) te pregledati i prihvatiti Microsoft ugovor o povjerljivosti za materijale o usklađenosti.
Povezani članci
Sigurnost u Microsoft Power Platform
Autentifikacija za Power Platform usluge
Povezivanje i provjera autentičnosti s izvorima podataka
Pohrana podataka u Power Platform