Megosztás a következőn keresztül:

Biztonság a Microsoft Power Platform alkalmazásban

  • Cikk

A Power Platform segítségével gyorsan és egyszerűen létrehozhatóak a megoldások a nem professzionális és professzionális fejlesztők számára egyaránt. Ezeknek a megoldásoknak a biztonsága alapvető fontosságú. A Power Platform iparvezető védelmet biztosít.

A szervezetek gyorsítják az áttérést a felhőbe, és felgyorsítják a fejlett technológiák működését és az üzleti döntéshozatalt. Több alkalmazott dolgozik távolról. Az ügyfelek az online szolgáltatások iránti igénye növekvőben van. A hagyományos helyi alkalmazásbiztonsági rendszer már nem elegendő. A natív felhős, többrétegű, üzletiintelligencia-adatokra vonatkozó biztonsági megoldást kereső szervezetek a Power Platform-ot választják. A országos biztonsági szervek, pénzügyi intézmények és egészségügyi szolgáltatók megbízzák a Power Platform-ot a legérzékenyebb adataikkal.

A Microsoft a 2000-es évek közepén jelentős biztonsági befektetéseket tett. A Microsoft több mint 3500 mérnöke dolgozik a folyamatosan változó fenyegetési környezet proaktív kezelése érdekében. A Microsoft biztonsága a chipen lévő BIOS-kerneltől kezdődik, és egészen a felhasználói élményig terjed. Jelenleg a biztonsági verem a legfejlettebb az iparágban. A Microsoft széles körben vezető szerepet tölt be a rosszindulatú támadásokkal szemben. Számítógépek milliárdjait, billiónyi bejelentkezést és zettabájtnyi adatot bíznak a Microsoft védelmére.

A Power Platform ezen erős alapra épül. Ugyanazt a biztonsági veremet használja, amellyel az Azure jogot szerzett a világ legérzékenyebb adatainak kiszolgálására és védelmére, és integrálódik a Microsoft 365 legfejlettebb információvédelmi és megfelelőségi eszközeivel. A Power Platform teljes körű védelmet nyújt ügyfeleink felhőkorszak legnehezebb problémáira tervezve:

  • Hogyan szabályozható, hogy ki kapcsolódhat, honnan és hogyan? Hogyan szabályozhatók a kapcsolatok?
  • Az adatok tárolásának módja. Hogyan titkosított? Milyen vezérlőelemek vannak az adatokon?
  • Hogyan szabályozhatók és védhetők a bizalmas adatok? Hogyan biztosítjuk, hogy az adataink ne tudjanak kiszivárogni a szervezetből?
  • Hogyan naplózzuk, hogy ki mire képes? Hogyan reagáljunk gyorsan, ha észleljük a gyanús tevékenységeket?

Cégirányítás

A Power Platform szolgáltatást a Microsoft Online Services feltételei és a Microsoft vállalati adatvédelmi nyilatkozata szabályozzák. Az adatfeldolgozás helyéről tájékozódjon a Microsoft Online Services használati feltételeiben és az Adatvédelmi Kiegészítésében.

A Microsoft adatvédelmi központ a Power Platform megfelelőségi információinak elsődleges forrása. További információ a Microsoft megfelelőségi szolgáltatáscsomagjáról.

A Power Platform szolgáltatás a biztonsági fejlesztési életciklust (SDL) követi. Az SDL olyan gyakorlati tanácsok összessége, amely támogatja a biztonsági megbízhatósági és a megfelelési követelményeket. További információk: Microsoft biztonsági fejlesztési életciklusával kapcsolatos gyakorlati tudnivalók.

Általános Power Platform biztonsági koncepciók

A Power Platform több szolgáltatást is tartalmaz. A sorozatban ismertetünk néhány biztonsági koncepciót, amely mindegyikre vonatkozik. Az egyéb fogalmak az egyes szolgáltatásokra vonatkoznak. Ahol a biztonsági fogalmak eltérőek, ott hívjuk fel őket.

Az összes Power Platform szolgáltatásban közös biztonsági fogalmak a következők:

  • A Power Platform szolgáltatási architektúra, illetve az információknak a rendszeren keresztüli adatfolyama
  • A Power Platform szolgáltatások hitelesítése, illetve a szolgáltatásokhoz való hozzáférés felhasználókhoz való hozzáférésének
  • Az adatforrások kapcsolása és hitelesítése, illetve a szolgáltatások adatforráshoz való kapcsolódásának és a felhasználók hozzáférésének lehetővé teszi az adatokhoz való hozzáférést
  • Adattárolás a Power Platform rendszerben, illetve az adatok védelme, függetlenül attól, hogy a rendszerek és szolgáltatások között kipihent vagy kipihenten van-e

A Power Platform szolgáltatás architektúrája

A Power Platform-szolgáltatások az Azure felhőalapú számítástechnikája platformja, az Azure platformra épülnek. A Power Platform szolgáltatási architektúra négy összetevőből áll:

  • Webes előtéri fürt
  • Háttérfürt
  • Prémium infrastruktúra
  • Mobilplatformok

Webes előtéri fürt

A webes felhasználói felületet megjelenítő Power Platform szolgáltatásokra vonatkozik. A webes előtéri fürt az alkalmazás vagy a szolgáltatás kezdőlapját szolgálja ki a felhasználó böngészőjének. Az ügyfelek kezdeti hitelesítésére és a későbbi ügyfélkapcsolatok jogkivonatainak biztosítására szolgál Microsoft Entra a Power Platform háttérszolgáltatáshoz.

Egy diagram, amely bemutatja, hogyan működik a webes előtér-fürt a Azure App Service Environment Power Platform és ASP.NETa Power Platform szolgáltatás háttérfürtjeivel.

A webes előtérfürt egy olyan ASP.NET webhelyből áll, amely az Azure App Service környezetben fut. Amikor egy felhasználó meglátogat egy Power Platform szolgáltatást vagy alkalmazást, az ügyfél DNS szolgáltatása a legmegfelelőbb (általában legközelebbi) adatközpontot kap az Azure Traffic Manager-től. További információ: Az Azure Traffic Manager „Teljesítmény” forgalom-útválasztási módja.

A webes előtérfürt kezeli a bejelentkezési és hitelesítési sorrendet. A felhasználó hitelesítése után a Microsoft Entra hozzáférési token lesz. Az ASP.NET összetevő a jogkivonat elemzési elemével határozza meg, hogy a felhasználó melyik szervezethez tartozik. Az összetevő ezután a Power Platform globális háttérszolgáltatásban egyeztetve megadja azt a böngészőt, amelyik a háttérfürtnek adja meg a szervezet bérlőjét. Az ezt követő ügyfélkapcsolati tevékenységek közvetlenül a háttérfürtöt érintik, így nem szükséges a webes előtér.

A böngésző statikus erőforrásokat (.js, .css és képfájlokat) igényel elsősorban az Azure Content Delivery Network (CDN) hálózatból. A szuverén kormányzati fürttelepítések kivételt képeznek. A megfelelési okok miatt ezek a telepítések elhagyják az Azure CDN-t. Ehelyett egy webes előtéri fürtöt használnak egy kompatibilis régióból a statikus tartalom szolgáltatásához.

Power Platform háttérfürt

A háttérfürt a Power Platform szolgáltatásban rendelkezésre álló összes funkció kulcsszála. Szolgáltatási végpontok, háttérszolgáltatások, adatbázisok, gyorsítótárak és egyéb összetevőkből áll.

A háttér elérhető a legtöbb Azure régióban, és az új régiókban van telepítve, amint elérhetővé válnak. Egy régió több fürtöt is állomásoztathat. Ez a konfiguráció lehetővé teszi a Power Platform-szolgáltatások korlátlan vízszintes skálázását az egyes fürt függőleges és vízszintes méretezési határértékének elérése után.

A háttérfürtök állapotalapúak. A háttérfürt a hozzá rendelt összes bérlő összes adatát tárolja. Az adott bérlő adatait tartalmazó fürt a bérlő otthoni fürtje. A hitelesített felhasználó otthoni fürtjére vonatkozó adatokat a Power Platform globális háttérszolgáltatás biztosítja a webes előtér fürtnek. A webes előtér az információk segítségével irányítja a kérelmeket a bérlő otthoni háttérfürtjéhez.

A bérlői metaadatok és adatok a fürtkorláton belül tárolódnak. Ez alól kivételek az adat replikációja egy másodlagos háttérfürtre, amely ugyanabban az Azure földrajzi elhelyezkedésű, párolt régióban található. A másodlagos fürt feladatátvételt szolgál helyi kimaradás esetén, és bármikor passzív. A fürt virtuális hálózatában különböző gépeken futó mikroszolgáltatások háttér-funkciókat is szolgálnak. A mikroszolgáltatások közül csak kettő érhető el a nyilvános internetről:

  • Átjárószolgáltatás
  • Azure API Management

A háttérszolgáltatások diagramja Power Platform , amely három fő elemet mutat be: API- és átjárószolgáltatások, amelyek elérhetők a nyilvános internetről, valamint mikroszolgáltatások gyűjteménye, amelyek privátak.

Power Platform Prémium infrastruktúra

A Power Platform Premium szolgáltatás hozzáférést biztosít a bővített csatlakozókhoz fizetett szolgáltatásként. A Power Platform-készítők nem korlátozzák a felsőkategóriás csatlakozók használatát, az alkalmazásfelhasználók azonban igen. A felsőkategóriás csatlakozókat tartalmazó alkalmazás felhasználóinak megfelelő licenccel kell rendelkezik a hozzáférésükhöz. A Power Platform háttérszolgáltatás meghatározza, hogy a felhasználó rendelkezik-e hozzáféréssel a felsőkategóriás csatlakozókhoz.

Mobilplatformok

Power Platform Androidtámogatja, iOS, és Windows (UWP) alkalmazásokat. A mobilalkalmazások biztonsági megfontolásai két kategóriába sorolhatók:

  • Eszközkommunikáció
  • Az eszközön található alkalmazás és adatok

Eszközkommunikáció

A Power Platform mobilalkalmazások ugyanazt a kapcsolat- és hitelesítési sorozatot használják, mint a böngészők. Android és iOS az alkalmazások megnyitnak egy böngésző-munkamenetet az alkalmazásban. A Windows-alkalmazások egy közvetítő segítségével hoznak létre kommunikációs csatornát a bejelentkezési folyamat Power Platform szolgáltatásaival.

A következő táblázat a mobilalkalmazások tanúsítványalapú hitelesítésének (CBA) támogatását mutatja be:

CBA-támogatás iOS Android Ablakok
Jelentkezzen be a szolgáltatásba Támogatott Támogatott Nem támogatott
SSRS ADFS helyi (csatlakozás az SSRS szerverhez) Nem támogatott Támogatott Nem támogatott
SSRS alkalmazás proxy Támogatott Támogatott Nem támogatott

A mobilalkalmazások aktívan kommunikálnak a Power Platform szolgáltatásokkal. Az alkalmazáshasználati statisztikákat és hasonló adatokat a rendszer továbbítja a használatot és tevékenységet figyelő szolgáltatásoknak. Nem tartalmaz ügyféladatokat.

Az eszközön található alkalmazás és adatok

A mobilalkalmazást és a szükséges adatokat a rendszer biztonságos helyen tárolja az eszközön. Microsoft Entra A frissítési jogkivonatok tárolása pedig az iparági szabványoknak megfelelő biztonsági intézkedésekkel történik.

Az eszközön gyorsítótárazott adatok az előző munkamenetekben használt alkalmazásadatokat, felhasználói beállításokat, irányítópultokat és jelentéseket tartalmaznak. A gyorsítótár egy védőfalban található a belső tárolóban. A gyorsítótár csak az alkalmazás számára érhető el, és az operációs rendszer titkosítható.

  • iOS: A titkosítás automatikus, ha a felhasználó PIN-kódot állít be.
  • Android: A titkosítást a beállításoknál lehet beállítani.
  • Windows: A titkosítást a BitLocker kezeli.

A Microsoft Intune fájlszintű titkosítással fokozható az adattitkosítás. Az Intune egy szoftverszolgáltatás, amely mobileszközöket és alkalmazáskezelést biztosít. Mindhárom mobil platform támogatja az Intune-t. Az Intune engedélyezésével és konfigurálásával a mobileszköz adatai titkosítva vannak, a Power Platform alkalmazás pedig nem telepíthető SD-kártyákra.

A Windows-alkalmazások támogatják a Windows Information Protection (WIP) rendszert is.

A gyorsítótárban lévő adatok azonnal törlődnek, ha a felhasználó:

  • eltávolítja az alkalmazást
  • kielentkezik Power Platform szolgáltatásból
  • jelszó vagy jogkivonat lejárata után nem tud bejelentkezni

A földrajzi helymeghatározást kifejezetten a felhasználó engedélyezheti vagy tilthatja le. Engedélyezése esetén a rendszer nem menti a földrajzi adatokat az eszközön, és nem osztja meg a Microsofttal.

Az értesítéseket kifejezetten a felhasználó engedélyezheti vagy tilthatja le. Ha az értesítések engedélyezve vannak, Android és iOS nem támogatják a földrajzi adatok tárolási helyére vonatkozó követelményeket.

A Power Platform mobilszolgáltatások nem férnek hozzá a készüléken található egyéb alkalmazásmappákhoz vagy fájlokhoz.

Egyes jogkivonat alapú hitelesítési adatok más Microsoft-alkalmazások számára, például a Hitelesítő alkalmazás számára is elérhetők az egyszeri bejelentkezés engedélyezéséhez. Ezeket az adatokat az Microsoft Entra Authentication Library SDK kezeli.

A Power Platform-szolgáltatások hitelesítése
Kapcsolódás és hitelesítés adatforrásokhoz
Adattárolás a Power Platform rendszerében
Power Platform biztonság GYIK

Kapcsolódó információk