Biztonság a Microsoft Power Platform alkalmazásban
A Power Platform segítségével gyorsan és egyszerűen létrehozhatóak a megoldások a nem professzionális és professzionális fejlesztők számára egyaránt. Ezeknek a megoldásoknak a biztonsága alapvető fontosságú. A Power Platform iparvezető védelmet biztosít.
A szervezetek gyorsítják az áttérést a felhőbe, és felgyorsítják a fejlett technológiák működését és az üzleti döntéshozatalt. Több alkalmazott dolgozik távolról. Az ügyfelek az online szolgáltatások iránti igénye növekvőben van. A hagyományos helyi alkalmazásbiztonsági rendszer már nem elegendő. A natív felhős, többrétegű, üzletiintelligencia-adatokra vonatkozó biztonsági megoldást kereső szervezetek a Power Platform-ot választják. A országos biztonsági szervek, pénzügyi intézmények és egészségügyi szolgáltatók megbízzák a Power Platform-ot a legérzékenyebb adataikkal.
A Microsoft a 2000-es évek közepén jelentős biztonsági befektetéseket tett. A Microsoft több mint 3500 mérnöke dolgozik a folyamatosan változó fenyegetési környezet proaktív kezelése érdekében. A Microsoft biztonsága a chipen lévő BIOS-kerneltől kezdődik, és egészen a felhasználói élményig terjed. Jelenleg a biztonsági verem a legfejlettebb az iparágban. A Microsoft széles körben vezető szerepet tölt be a rosszindulatú támadásokkal szemben. Számítógépek milliárdjait, billiónyi bejelentkezést és zettabájtnyi adatot bíznak a Microsoft védelmére.
A Power Platform ezen erős alapra épül. Ugyanazt a biztonsági veremet használja, amellyel az Azure jogot szerzett a világ legérzékenyebb adatainak kiszolgálására és védelmére, és integrálódik a Microsoft 365 legfejlettebb információvédelmi és megfelelőségi eszközeivel. A Power Platform teljes körű védelmet nyújt ügyfeleink felhőkorszak legnehezebb problémáira tervezve:
- Hogyan szabályozható, hogy ki kapcsolódhat, honnan és hogyan? Hogyan szabályozhatók a kapcsolatok?
- Az adatok tárolásának módja. Hogyan titkosított? Milyen vezérlőelemek vannak az adatokon?
- Hogyan szabályozhatók és védhetők a bizalmas adatok? Hogyan biztosítjuk, hogy az adataink ne tudjanak kiszivárogni a szervezetből?
- Hogyan naplózzuk, hogy ki mire képes? Hogyan reagáljunk gyorsan, ha észleljük a gyanús tevékenységeket?
Cégirányítás
A Power Platform szolgáltatást a Microsoft Online Services feltételei és a Microsoft vállalati adatvédelmi nyilatkozata szabályozzák. Az adatfeldolgozás helyéről tájékozódjon a Microsoft Online Services használati feltételeiben és az Adatvédelmi Kiegészítésében.
A Microsoft adatvédelmi központ a Power Platform megfelelőségi információinak elsődleges forrása. További információ a Microsoft megfelelőségi szolgáltatáscsomagjáról.
A Power Platform szolgáltatás a biztonsági fejlesztési életciklust (SDL) követi. Az SDL olyan gyakorlati tanácsok összessége, amely támogatja a biztonsági megbízhatósági és a megfelelési követelményeket. További információk: Microsoft biztonsági fejlesztési életciklusával kapcsolatos gyakorlati tudnivalók.
Általános Power Platform biztonsági koncepciók
A Power Platform több szolgáltatást is tartalmaz. A sorozatban ismertetünk néhány biztonsági koncepciót, amely mindegyikre vonatkozik. Az egyéb fogalmak az egyes szolgáltatásokra vonatkoznak. Ahol a biztonsági fogalmak eltérőek, ott hívjuk fel őket.
Az összes Power Platform szolgáltatásban közös biztonsági fogalmak a következők:
- A Power Platform szolgáltatási architektúra, illetve az információknak a rendszeren keresztüli adatfolyama
- A Power Platform szolgáltatások hitelesítése, illetve a szolgáltatásokhoz való hozzáférés felhasználókhoz való hozzáférésének
- Az adatforrások kapcsolása és hitelesítése, illetve a szolgáltatások adatforráshoz való kapcsolódásának és a felhasználók hozzáférésének lehetővé teszi az adatokhoz való hozzáférést
- Adattárolás a Power Platform rendszerben, illetve az adatok védelme, függetlenül attól, hogy a rendszerek és szolgáltatások között kipihent vagy kipihenten van-e
A Power Platform szolgáltatás architektúrája
A Power Platform-szolgáltatások az Azure felhőalapú számítástechnikája platformja, az Azure platformra épülnek. A Power Platform szolgáltatási architektúra négy összetevőből áll:
- Webes előtéri fürt
- Háttérfürt
- Prémium infrastruktúra
- Mobilplatformok
Webes előtéri fürt
A webes felhasználói felületet megjelenítő Power Platform szolgáltatásokra vonatkozik. A webes előtéri fürt az alkalmazás vagy a szolgáltatás kezdőlapját szolgálja ki a felhasználó böngészőjének. Az ügyfelek kezdeti hitelesítésére és a későbbi ügyfélkapcsolatok jogkivonatainak biztosítására szolgál Microsoft Entra a Power Platform háttérszolgáltatáshoz.
A webes előtérfürt egy olyan ASP.NET webhelyből áll, amely az Azure App Service környezetben fut. Amikor egy felhasználó meglátogat egy Power Platform szolgáltatást vagy alkalmazást, az ügyfél DNS szolgáltatása a legmegfelelőbb (általában legközelebbi) adatközpontot kap az Azure Traffic Manager-től. További információ: Az Azure Traffic Manager „Teljesítmény” forgalom-útválasztási módja.
A webes előtérfürt kezeli a bejelentkezési és hitelesítési sorrendet. A felhasználó hitelesítése után a Microsoft Entra hozzáférési token lesz. Az ASP.NET összetevő a jogkivonat elemzési elemével határozza meg, hogy a felhasználó melyik szervezethez tartozik. Az összetevő ezután a Power Platform globális háttérszolgáltatásban egyeztetve megadja azt a böngészőt, amelyik a háttérfürtnek adja meg a szervezet bérlőjét. Az ezt követő ügyfélkapcsolati tevékenységek közvetlenül a háttérfürtöt érintik, így nem szükséges a webes előtér.
A böngésző statikus erőforrásokat (.js, .css és képfájlokat) igényel elsősorban az Azure Content Delivery Network (CDN) hálózatból. A szuverén kormányzati fürttelepítések kivételt képeznek. A megfelelési okok miatt ezek a telepítések elhagyják az Azure CDN-t. Ehelyett egy webes előtéri fürtöt használnak egy kompatibilis régióból a statikus tartalom szolgáltatásához.
Power Platform háttérfürt
A háttérfürt a Power Platform szolgáltatásban rendelkezésre álló összes funkció kulcsszála. Szolgáltatási végpontok, háttérszolgáltatások, adatbázisok, gyorsítótárak és egyéb összetevőkből áll.
A háttér elérhető a legtöbb Azure régióban, és az új régiókban van telepítve, amint elérhetővé válnak. Egy régió több fürtöt is állomásoztathat. Ez a konfiguráció lehetővé teszi a Power Platform-szolgáltatások korlátlan vízszintes skálázását az egyes fürt függőleges és vízszintes méretezési határértékének elérése után.
A háttérfürtök állapotalapúak. A háttérfürt a hozzá rendelt összes bérlő összes adatát tárolja. Az adott bérlő adatait tartalmazó fürt a bérlő otthoni fürtje. A hitelesített felhasználó otthoni fürtjére vonatkozó adatokat a Power Platform globális háttérszolgáltatás biztosítja a webes előtér fürtnek. A webes előtér az információk segítségével irányítja a kérelmeket a bérlő otthoni háttérfürtjéhez.
A bérlői metaadatok és adatok a fürtkorláton belül tárolódnak. Ez alól kivételek az adat replikációja egy másodlagos háttérfürtre, amely ugyanabban az Azure földrajzi elhelyezkedésű, párolt régióban található. A másodlagos fürt feladatátvételt szolgál helyi kimaradás esetén, és bármikor passzív. A fürt virtuális hálózatában különböző gépeken futó mikroszolgáltatások háttér-funkciókat is szolgálnak. A mikroszolgáltatások közül csak kettő érhető el a nyilvános internetről:
- Átjárószolgáltatás
- Azure API Management
Power Platform Prémium infrastruktúra
A Power Platform Premium szolgáltatás hozzáférést biztosít a bővített csatlakozókhoz fizetett szolgáltatásként. A Power Platform-készítők nem korlátozzák a felsőkategóriás csatlakozók használatát, az alkalmazásfelhasználók azonban igen. A felsőkategóriás csatlakozókat tartalmazó alkalmazás felhasználóinak megfelelő licenccel kell rendelkezik a hozzáférésükhöz. A Power Platform háttérszolgáltatás meghatározza, hogy a felhasználó rendelkezik-e hozzáféréssel a felsőkategóriás csatlakozókhoz.
Mobilplatformok
Power Platform Androidtámogatja, iOS, és Windows (UWP) alkalmazásokat. A mobilalkalmazások biztonsági megfontolásai két kategóriába sorolhatók:
- Eszközkommunikáció
- Az eszközön található alkalmazás és adatok
Eszközkommunikáció
A Power Platform mobilalkalmazások ugyanazt a kapcsolat- és hitelesítési sorozatot használják, mint a böngészők. Android és iOS az alkalmazások megnyitnak egy böngésző-munkamenetet az alkalmazásban. A Windows-alkalmazások egy közvetítő segítségével hoznak létre kommunikációs csatornát a bejelentkezési folyamat Power Platform szolgáltatásaival.
A következő táblázat a mobilalkalmazások tanúsítványalapú hitelesítésének (CBA) támogatását mutatja be:
CBA-támogatás | iOS | Android | Ablakok |
---|---|---|---|
Jelentkezzen be a szolgáltatásba | Támogatott | Támogatott | Nem támogatott |
SSRS ADFS helyi (csatlakozás az SSRS szerverhez) | Nem támogatott | Támogatott | Nem támogatott |
SSRS alkalmazás proxy | Támogatott | Támogatott | Nem támogatott |
A mobilalkalmazások aktívan kommunikálnak a Power Platform szolgáltatásokkal. Az alkalmazáshasználati statisztikákat és hasonló adatokat a rendszer továbbítja a használatot és tevékenységet figyelő szolgáltatásoknak. Nem tartalmaz ügyféladatokat.
Az eszközön található alkalmazás és adatok
A mobilalkalmazást és a szükséges adatokat a rendszer biztonságos helyen tárolja az eszközön. Microsoft Entra A frissítési jogkivonatok tárolása pedig az iparági szabványoknak megfelelő biztonsági intézkedésekkel történik.
Az eszközön gyorsítótárazott adatok az előző munkamenetekben használt alkalmazásadatokat, felhasználói beállításokat, irányítópultokat és jelentéseket tartalmaznak. A gyorsítótár egy védőfalban található a belső tárolóban. A gyorsítótár csak az alkalmazás számára érhető el, és az operációs rendszer titkosítható.
- iOS: A titkosítás automatikus, ha a felhasználó PIN-kódot állít be.
- Android: A titkosítást a beállításoknál lehet beállítani.
- Windows: A titkosítást a BitLocker kezeli.
A Microsoft Intune fájlszintű titkosítással fokozható az adattitkosítás. Az Intune egy szoftverszolgáltatás, amely mobileszközöket és alkalmazáskezelést biztosít. Mindhárom mobil platform támogatja az Intune-t. Az Intune engedélyezésével és konfigurálásával a mobileszköz adatai titkosítva vannak, a Power Platform alkalmazás pedig nem telepíthető SD-kártyákra.
A Windows-alkalmazások támogatják a Windows Information Protection (WIP) rendszert is.
A gyorsítótárban lévő adatok azonnal törlődnek, ha a felhasználó:
- eltávolítja az alkalmazást
- kielentkezik Power Platform szolgáltatásból
- jelszó vagy jogkivonat lejárata után nem tud bejelentkezni
A földrajzi helymeghatározást kifejezetten a felhasználó engedélyezheti vagy tilthatja le. Engedélyezése esetén a rendszer nem menti a földrajzi adatokat az eszközön, és nem osztja meg a Microsofttal.
Az értesítéseket kifejezetten a felhasználó engedélyezheti vagy tilthatja le. Ha az értesítések engedélyezve vannak, Android és iOS nem támogatják a földrajzi adatok tárolási helyére vonatkozó követelményeket.
A Power Platform mobilszolgáltatások nem férnek hozzá a készüléken található egyéb alkalmazásmappákhoz vagy fájlokhoz.
Egyes jogkivonat alapú hitelesítési adatok más Microsoft-alkalmazások számára, például a Hitelesítő alkalmazás számára is elérhetők az egyszeri bejelentkezés engedélyezéséhez. Ezeket az adatokat az Microsoft Entra Authentication Library SDK kezeli.
Kapcsolódó cikkek
A Power Platform-szolgáltatások hitelesítése
Kapcsolódás és hitelesítés adatforrásokhoz
Adattárolás a Power Platform rendszerében
Power Platform biztonság GYIK
Kapcsolódó információk
- Biztonság a Microsoft Dataverse szolgáltatásban
- Microsoft online szolgáltatások feltételei
- A Microsoft vállalati adatvédelmi nyilatkozata
- Adatvédelmi erőforrások kiegészítése
- Microsoft biztonsági fejlesztési életciklusával kapcsolatos gyakorlati tudnivalók
- Az Azure Traffic Manager Teljesítmény forgalom-útválasztási módja
- Microsoft Intune
- Windows Information Protection (WIP)