Megosztás:

Power Platform biztonság GYIK

A Power Platform biztonsággal kapcsolatos gyakori kérdések két kategóriába sorolhatók:

  • Hogyan lett kialakítva a Power Platform az Open Web Application Security Project® (OWASP) jelentette leggyakoribb 10 kockázat csökkentése érdekében

  • Ügyfelektől származó kérdések

A cikk végéhez új kérdéseket adunk hozzá, hogy Ön könnyebben megtalálja a legfrissebb információkat.

OWASP top 10 kockázat: kockázatcsökkentés a Power Platform szolgáltatásban

Az Open Web Application Security Project® (OWASP) egy nonprofit alapítvány, amely a szoftverbiztonság fejlesztésén dolgozik. A közösség által irányított nyílt forráskódú szoftverfejlesztési projekteken, a világszerte található több száz részlegen, a több tízezer tagon, illetve a minőségi oktatási és képzési konferenciákon keresztül az OWASP alapítvány alapot biztosít a fejlesztőknek és a szakértőknek az internet biztonságossá tételéhez.

Az OWASP top 10 egy általános ismeretterjesztő dokumentum a fejlesztők és mindazok számára, akik érdekeltek a webalkalmazások biztonságossá tételében. Ez a webalkalmazások szempontjából legkritikusabb biztonsági kockázatok általános összefoglalását képezi. Ebben a szakaszban bemutatjuk, hogyan segít a Power Platform ezeknek a kockázatoknak a csökkentésében.

A01:2021 Megszakadt hozzáférés-vezérlés

  • A Power Platform biztonsági modell a legalacsonyabb szintű hozzáférésen (LPA) alapszik. Az LPA lehetővé teszi az ügyfelek számára, hogy részletesebb hozzáférés-vezérléssel rendelkező alkalmazásokat hozzanak létre.
  • Power Platform Microsoft Entra az azonosító (Microsoft Entra ID) Microsoft Identitásplatform használja az összes API-hívás engedélyezéséhez az iparági szabványnak megfelelő OAuth 2.0 protokollal.
  • A Dataverse – amely a háttéradatokat biztosítja a Power Platform számára – gazdag biztonsági modellel rendelkezik, amely környezetszintű, szerepkörön alapuló, valamint rekord- és mezőszintű biztonságot tartalmaz.

A02:2021 Titkosítási hibák

Adatok továbbítása:

  • A Power Platform a TLS használatával titkosítja az összes HTTP-alapú hálózati forgalmat. Az olyan nem HTTP hálózati forgalom titkosítására, amely ügyféladatokat vagy bizalmas adatokat tartalmaz, más mechanizmusokat használ.
  • A Power Platform olyan szigorú TLS-konfigurációt alkalmaz, amely engedélyezi a HTTP Strict Transport Security (HSTS) biztonságot:
    • TLS 1.2 vagy újabb
    • ECDHE-alapú titkosítócsomagok és NIST-görbék
    • Erős kulcsok

Inaktív adat:

  • Minden ügyféladat titkosítva van, mielőtt nemvolatilis tárolóeszközre írnak.

A03:2021 injekció

A Power Platform az iparági szabványoknak megfelelő ajánlott eljárásokat használ a beszúrásos támadások megakadályozása érdekében, ideértve a következőket:

  • Biztonságos API-k használata paraméterezett interfészekkel
  • A frontend keretrendszerek folyamatosan fejlődő lehetőségeinek alkalmazása a beviteli adatok biztonságossá tétele érdekében
  • A kimenet biztonságossá tétele kiszolgálóoldali ellenőrzéssel
  • Statikus elemzési eszközök használata a buildelési idő során
  • Minden szolgáltatás fenyegetési modelljének hat hónaponkénti áttekintése függetlenül attól, hogy a kód, a kialakítás vagy az infrastruktúra frissült-e vagy sem

A04:2021 Nem biztonságos kialakítás

  • A Power Platform a biztonságos kialakítás kultúrája és módszertana alapján készült. A kultúra és a módszertan folyamatosan a fejlődik a Microsoft iparágvezető biztonsági fejlesztési életciklusának (SDL) és fenyegetési modellezési gyakorlatainak köszönhetően.
  • A fenyegetésmodellezés felülvizsgálatának folyamata biztosítja, hogy a tervezési fázisban azonosítják és csökkentik a fenyegetéseket, és ellenőrzi azok megfelelő kezelését.
  • A fenyegetésmodellezés az üzemben lévő szolgáltatások módosításait is figyelembe veszi, a rendszeres ellenőrzéseknek köszönhetően. A STRIDE modellre támaszkodva a rendszer kezelni tudja a nem biztonságos kialakítással kapcsolatos leggyakoribb problémákat.
  • A Microsoft SDL-je megfelel az OWASP Software Assurance Maturity Model (SAMM) modelljének. Mindkettő azon az elképzelésen alapszik, hogy a biztonságos kialakítás alapvető része a webalkalmazás biztonságának.

A05:2021 Biztonsági hibás konfiguráció

  • Az „Alapértelmezett tiltás” a Power Platform tervezési elveinek egyik alapja. Az „Alapértelmezett tiltás” funkcióval az ügyfeleknek meg kell vizsgálniuk és jóvá kell hagyniuk az új funkciókat és konfigurációkat.
  • A biztonságos fejlesztési eszközök használatával a beépített biztonsági elemzési eszközök észlelik a buildelési idő során felmerülő nem megfelelő konfigurációkat.
  • Emellett a Power Platform végrehajtja a Dinamikus elemzésen alapuló biztonsági teszteket (DAST) a beépített szolgáltatás használatával, amely az OWASP Top 10 kockázatán alapul.

A06:2021 Sebezhető és elavult alkatrészek

  • A Power Platform a Microsoft SDL-gyakorlatainak megfelelően kezeli a nyílt forráskódú és a harmadik felektől származó összetevőket. Ezen eljárások közé tartozik a teljes készlet fenntartása, a biztonsági elemzések végrehajtása, az összetevők naprakészen tartása és az összetevőknek a biztonsági eseményekre adott válaszfolyamatok kipróbált és tesztelt folyamatához igazítása.
  • Ritkán előfordulhat, hogy bizonyos alkalmazások külső függőségek miatt elavult összetevőket tartalmazhatnak. Azonban miután a korábbiakban ismertetett gyakorlatnak megfelelően kezelték a függőségeket, a rendszer nyomon követi és frissíti az összetevőket.

A07:2021 Azonosítási és hitelesítési hibák

  • Power Platform az azonosító azonosítására és hitelesítésére épül, és attól Microsoft Entra függ.
  • Microsoft Entra segít Power Platform a biztonságos funkciók engedélyezésében. Ezek a funkciók magukban foglalják az egyszeri bejelentkezést, a többtényezős hitelesítést és a belső és külső felhasználókkal való biztonságosabb kapcsolattartást lehetővé tevő egyetlen platformot.
  • Az ID Power PlatformContinuous Access Evaluation Microsoft Entra (CAE) közelgő bevezetésével a felhasználói azonosítás és hitelesítés még biztonságosabb és megbízhatóbb lesz.

A08:2021 Szoftver- és adatintegritási hibák

  • A Power Platform összetevőirányítási folyamata gondoskodik a csomag forrásfájljainak biztonságos konfigurálásáról a szoftverintegritás megőrzése érdekében.
  • A folyamat biztosítja, hogy a helyettesítéses támadások kezelésére a rendszer kizárólag belső forrású csomagokat használjon. A függőségzavaró támadások néven is ismert helyettesítő támadások olyan technikát alkalmaznak, amelyek megzavarják az alkalmazásbuildelési folyamatot a biztonságos vállalati környezeteken belül.
  • A rendszer a titkosított adatokra integritásvédelmet alkalmaz, mielőtt továbbítaná azokat. A rendszer ellenőrzi a bejövő titkosított adatokban jelen lévő integritásvédelmi metaadatokat.

Az OWASP 10 legfontosabb kockázata alacsony kódolású/kód nélkül: Kockázatcsökkentés Power Platform

Az OWASP által közzétett 10 legfontosabb alacsony kódolású/kód nélküli biztonsági kockázat mérsékléséhez tekintse meg ezt a dokumentumot:

Power Platform - OWASP Low Code No Code A 10 legfontosabb kockázat (2024. április)

Biztonsággal kapcsolatos gyakori kérdések az ügyfelektől

A következőkben az ügyfelektől származó néhány biztonsági kérdést ismertetünk.

Hogyan segít a Power Platform a kattintáseltérítési támadásokkal szembeni védelemben?

A clickjacking többek között beágyazott iframe-eket használ a felhasználó weboldallal való interakcióinak eltérítésére. Ez jelentős fenyegetést jelent a bejelentkezési oldalakra nézve. A Power Platform nem engedélyezi az iframe-ek használatát a bejelentkezési oldalakon, jelentősen csökkentve a kattintáseltérítés kockázatát.

A szervezetek emellett tartalomra vonatkozó biztonsági házirendeket (CSP-ket) is használhatnak, hogy a beágyazást csak a megbízható tartományokra korlátozzák.

A Power Platform támogatja a tartalomra vonatkozó biztonsági házirendeket?

A Power Platform támogatja a tartalomra vonatkozó biztonsági irányelveket (CSP-ket) a modellvezérelt alkalmazások esetében. Nem támogatjuk a CSP által lecserélt következő fejléceket:

  • X-XSS-Protection
  • X-Frame-Options

Hogyan lehet biztonságos módon csatlakozni a SQL Serverhez?

További információ: A Microsoft SQL Server használata biztonságos módon a Power Apps-szolgáltatással.

Milyen titkosítási elemeket támogat a Power Platform? Milyen ütemtervet alkalmazunk az egyre erősebb titkosítási elemek használata céljából?

Minden Microsoft szolgáltatás és termék úgy van konfigurálva, hogy a jóváhagyott titkosítócsomagokat használja, a Microsoft Crypto Board által meghatározott szigorú sorrendnek megfelelően. A teljes lista és a pontos sorrend a Power Platform dokumentációjában olvasható.

A titkosítócsomagok elavulásával kapcsolatos információkat a Power Platform Fontos változtatások című dokumentációjában közöljük.

Miért támogatja a Power Platform továbbra is az RSA-CBC titkosítási elemeket (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) és TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), amelyek gyengébbnek minősülnek?

A Microsoft az ügyfélműveletekre gyakorolt relatív kockázatot és zavart is mérlegeli a támogatni kívánt titkosítócsomagok kiválasztása során. Az RSA-CBC titkosítócsomagokat még nem törték fel. Azért engedélyeztük őket, hogy biztosítsuk a következetességet a szolgáltatások és a termékek között, valamint hogy támogatást biztosíthassunk az összes ügyfélkonfigurációnak. Ezek azonban a prioritási lista alján helyezkednek el.

Ezeket a titkosítási elemeket a megfelelő időben elavulttá tesszük, a Microsoft Crypto Board folyamatos értékelése alapján.

Miért teszi közzé a Power Automate az MD5 tartalomkivonatokat az aktiválási/műveleti bemenetekben és kimenetekben?

A Power Automate az Azure Storage által visszaadott tartalom-MD5 kivonatértékét adott állapotban továbbítja az ügyfeleknek. Az Azure Storage ezt a kivonatot használja ellenőrzőösszegi algoritmusként az oldal integritásának ellenőrzéséhez a szállítás során, és nem használatos kriptográfiai kivonati funkcióként biztonsági célokból a Power Automate-ben. Erről az Azure Storage dokumentációjában talál további részleteket a blobtulajdonságok lekéréséről és a kérelemfejlécek használatáról.

Hogyan véd a Power Platform az elosztott szolgáltatásmegtagadásos (DDoS-) támadásokkal szemben?

A Power Platform a Microsoft Azure-on alapszik és Azure DDoS Protectiont használ a DDoS-támadásokkal szembeni védelemhez.

Észleli Power Platform a feltört iOS eszközöket és a rootolt Android eszközöket a szervezeti adatok védelme érdekében?

Javasoljuk, hogy használja a Microsoft Intune szolgáltatást. Az Intune egy mobileszköz-kezelési megoldás. Segítheti a szervezeti adatok védelmét azzal, hogy a felhasználóknak és készülékeknek bizonyos követelményeknek kell megfelelniük. További információ: Az Intune szolgáltatás megfelelőségi házirendjének beállításai.

Mért képezi le a rendszer a munkamenethez tartozó cookie-kat a szülőtartományba?

A Power Platform azért képezi le a munkamenethez tartozó cookie-kat a szülőtartományba, hogy a szervezeten keresztül is lehetővé tegye a hitelesítést. A rendszer nem használ altartományokat biztonsági határként. Ugyanakkor az ügyfelek tartalmát sem hosztolja.

Hogyan állíthatjuk be azt, hogy az alkalmazás munkamenete például 15 perc után időtúllépéssel véget érjen?

Power Platform azonosítóidentitást és hozzáférés-kezelést használ. Microsoft Entra Az optimális felhasználói élmény érdekében az ID által ajánlott munkamenet-kezelési konfigurációt Microsoft Entra követi .

A környezetek azonban testreszabhatók úgy, hogy explicit munkamenet- és/vagy tevékenységi időtúllépéseket tartalmazzanak. További információ: Felhasználói munkamenet és hozzáférés-kezelés.

Az ID Power PlatformContinuous Access Evaluation Microsoft Entra közelgő bevezetésével a felhasználói azonosítás és hitelesítés még biztonságosabb és megbízhatóbb lesz.

Az alkalmazás lehetővé teszi, hogy ugyanazon felhasználó egyszerre több gépről vagy böngészőből is hozzáférjen a szolgáltatáshoz. Hogyan akadályozható meg ez?

A felhasználók számára kényelmet jelent, ha egyszerre egynél több eszközről vagy böngészőből is hozzáférhetnek az alkalmazáshoz. Power PlatformAz ID Microsoft Entra Continuous Access Evaluation közelgő megvalósítása segít biztosítani, hogy a hozzáférés engedélyezett eszközökről és böngészőkből történjen, és továbbra is érvényes legyen.

Miért tesznek elérhetővé egyes Power Platform szolgáltatások kiszolgálófejléceket részletes információkkal?

A Power Platform szolgáltatások dolgoznak a kiszolgáló fejlécében található szükségtelen információk eltávolításán. A cél kiegyenlíteni a részletesség szintjét az információk közzétételének kockázatával, ami meggyengítheti az általános biztonsági helyzetet.

Hogyan befolyásolják a Log4j sebezhetőségek a Power Platform-ot? Mit kell tenniük az ügyfeleknek ebből a szempontból?

A Microsoft értékelése szerint a Log4j sebezhetőségek nem érintetik a Power Platform-ot. Tekintse meg a Log4j sebezhetőségek megelőzéséről, észleléséről és kihasználásának megelőzéséről szóló blogbejegyzésünket.

Hogyan biztosítható, hogy a böngészőbővítmények vagy az egyesített felület API-jai által ne lehessen engedélyezni a korábban már letiltott vezérlőket, ami így jogosulatlan tranzakciókhoz vezetne?

A Power Apps biztonsági modellje nem tartalmazza a letiltott vezérlők fogalmát. A vezérlők letiltása UI-fejlesztésnek minősül. A biztonság érdekében nem szabad letiltott vezérlőkre támaszkodnia. Ehelyett használja a Dataverse-vezérlőket, például a mezőszintű biztonsági intézkedéseket az illetéktelen tranzakciók megakadályozásához.

Milyen HTTP biztonsági fejléceket használnak a válaszadatok védelmére?

Name Details
Szigorú szállítási biztonság Ez minden válaszra van beállítva max-age=31536000; includeSubDomains .
X-Frame-opciók Ez elavult a CSP javára.
X-tartalom-típus-opciók Ez az összes eszközválaszra van beállítva nosniff .
Tartalom-biztonság-szabályzat Ez akkor van beállítva, ha a felhasználó engedélyezi a CSP-t.
X-XSS-védelem Ez elavult a CSP javára.

Hol találok Power Platform vagy Dynamics 365 behatolási teszteket?

A legújabb behatolási tesztek és biztonsági értékelések a Microsoft Service Trust portálján találhatók.

Feljegyzés

A Szolgáltatásmegbízhatósági portál egyes erőforrásainak eléréséhez hitelesített felhasználóként kell bejelentkeznie a Microsoft felhőszolgáltatás-fiókjával (Microsoft Entra szervezeti fiókjával), és át kell tekintenie és el kell fogadnia a Microsoft megfelelőségi anyagokra vonatkozó titoktartási szerződését.

Biztonsági áttekintés
Hitelesítés a szolgáltatásokhoz Power Platform
Csatlakozás és hitelesítés adatforrásokhoz
Adattárolás Power Platform

Kapcsolódó információk

  • Last updated on