Microsoft Power Platform бағдарламасындағы қауіпсіздік
Power Platform кәсіби және кәсіби емес әзірлеушілерге кешенді шешімдерді жылдам және оңай жасауға мүмкіндік береді. Бұл шешімдер үшін қауіпсіздік маңызды. Power Platform саладағы жетекші қорғанысты қамтамасыз ету үшін жасалған.
Ұйымдар операцияларға және бизнес шешімдерін қабылдауға озық технологияларды ендіре отырып, бұлтқа өтуді жеделдетуде. Қашықтан жұмыс істейтін қызметкерлер саны артып келеді. Тұтынушылардың онлайн қызметтерге сұранысы да артып келеді. Дәстүрлі жергілікті қолданба қауіпсіздігі енді жеткіліксіз. Ұйымдар бизнес сараптау деректері үшін бұлтқа негізделген, көп деңгейлі, терең қорғаныс шешімін іздеп, Power Platform қызметіне өтуде. Ұлттық қауіпсіздік агенттіктері, қаржы институттары және медициналық қызмет жеткізушілері Power Platform қызметіне өздерінің ең құпия ақпаратын сеніп тапсырады.
Microsoft 2000 жылдардың ортасынан бастап қауіпсіздікке ауқымды инвестиция салды. 3500-нан астам Microsoft инженерлері үнемі өзгеріп отыратын қауіп ландшафттарын шешу үшін белсенді түрде жұмыс істеуде. Microsoft қауіпсіздігі чиптегі BIOS ядросынан басталады және пайдаланушы тәжірибесіне дейін қамтиды. Бүгінгі таңда біздің қауіпсіздік стекіміз саладағы ең озық болып табылады. Microsoft зиянкестермен күрес бойынша глобалдық көшбасшы болып саналады. Миллиардтаған компьютерлер, триллиондаған логиндер және зеттабайт деректер Microsoft корпорациясының қорғауына сеніп тапсырылған.
Power Platform осы берік негізге сүйенеді. Ол Azure жүйесіне әлемдегі ең құпия деректерге қызмет көрсету және қорғау құқығын берген қауіпсіздік стегін пайдаланады және Microsoft 365 қызметінің ең озық ақпаратты қорғау және сәйкестік құралдарымен біріктіріледі. Power Platform бұлт дәуіріндегі тұтынушыларымыздың ең күрделі мәселелерін ескере отырып жасалған өтпелі қорғанысты қамтамасыз етеді:
- Кім, қайдан және қалай қосыла алатынын қалай басқарамыз? Қосылымдарды қалай басқарамыз?
- Деректеріміз қалай сақталады? Олар қалай шифрланады? Деректерімізге арналған қандай бақылау құралдары бар?
- Құпия деректерімізді қалай басқарамыз және қорғаймыз? Деректеріміздің ұйымнан тыс ағып кетпеуін қалай қамтамасыз етеміз?
- Кімнің не істей алатынын қалай тексере аламыз? Күдікті әрекетті анықтасақ, қалай тез әрекет ете аламыз?
Басқару
Power Platform қызметі Microsoft Online Services пайдалану шарттары және Microsoft корпоративтік құпиялылық мәлімдемесі арқылы реттеледі. Деректерді өңдеу орнын білу үшін Microsoft Online Services пайдалану шарттарын және Деректерді қорғау бойынша қосымшаны қараңыз.
Microsoft сенім орталығы Power Platform сәйкестік ақпаратының негізгі ресурсы болып табылады. Қосымша ақпаратты Microsoft сәйкестік ұсыныстары бөлімінен қараңыз.
Power Platform қызметі Қауіпсіздікті дамытудың жарамдылық кезеңіне (SDL) бағынады. SDL — қауіпсіздікті қамтамасыз ету және сәйкестік талаптарын қолдайтын қатаң тәжірибелер жиынтығы. Қосымша ақпаратты Microsoft қауіпсіздікті дамытудың жарамдылық кезеңі бойынша тәжірибелер бөлімінен қараңыз.
Power Platform қызметіндегі қауіпсіздік туралы негізгі ұғымдар
Power Platform бірнеше қызметтерді қамтиды. Осы серияда қарастырылатын кейбір қауіпсіздік ұғымдары олардың барлығына қолданылады. Кейбір ұғымдар жекелеген қызметтерге тән. Қауіпсіздік ұғымдары әртүрлі болған жағдайда, біз оларды атап көрсетеміз.
Барлық Power Platform қызметтері үшін ортақ қауіпсіздік ұғымдарына мыналар жатады:
- Power Platform қызметінің құрылымы немесе жүйедегі ақпарат ағынының жұмыс істеу жолы
- Power Platform қызметтеріндегі аутентификация немесе пайдаланушылардың қызметтерге қол жеткізу жолдары
- Деректер көздеріне қосылу және аутентификация немесе қызметтерді деректер көздеріне қосу және пайдаланушылардың деректерге қол жеткізу жолдары
- Деректерді Power Platform қызметінде сақтау немесе сақтау немесе жүйелер мен қызметтер арасында тасымалдау кезінде деректерді қорғау жолдары
Power Platform қызметінің құрылымы
Power Platform қызметтері Microsoft корпорациясының бұлттық есептеулер платформасы Azure негізінде жасалған. Power Platform қызметінің құрылымы төрт құрамдас бөліктен тұрады:
- Веб-интерфейс кластері
- Серверлік кластер
- Премиум инфрақұрылым
- Мобильді платформалар
Веб-интерфейс кластері
Веб интерфейсті көрсететін Power Platform қызметтеріне қолданылады. Веб-интерфейс кластері пайдаланушының браузеріндегі бағдарламаның немесе қызметтің басты бетіне қызмет көрсетеді. Ол бастапқыда клиенттерді аутентификациялау үшін және кейінгі клиенттік қосылымдар үшін жетондарды, back-end қызметіне ұсыну үшін Microsoft Entra пайдаланады Power Platform .
Веб-интерфейс кластері Azure бағдарлама қызметі ортасында жұмыс істейтін ASP.NET веб-сайтынан тұрады. Пайдаланушы Power Platform қызметіне немесе бағдарламасына кірген кезде, клиенттің DNS қызметі Azure трафик менеджерінен ең сәйкес (әдетте ең жақын) деректер орталығын алуы мүмкін. Қосымша ақпарат алу үшін Azure трафик менеджері үшін өнімділік трафигін маршруттау әдісі бөлімін қараңыз.
Веб-интерфейс кластері кіру және аутентификация тәртібін басқарады. Пайдаланушы аутентификацияланғаннан кейін қол жеткізу жетонын алады Microsoft Entra . ASP.NET құрамдасы пайдаланушы қай ұйымға жататынын анықтау үшін токенді талдайды. Содан кейін құрамдас ұйым қатысушысы орналасқан серверлік кластерді браузерге көрсету үшін Power Platform глобалдық серверлік қызметімен кеңеседі. Клиенттердің кейінгі өзара әрекеттесулері веб-интерфейс делдалынсыз тікелей серверлік кластермен жүзеге асырылады.
Браузер .js, .css және кескін файлдары сияқты статикалық ресурстарды негізінен Azure мазмұнды жеткізу желісінен (CDN) алады. Ұлттық мемлекеттік кластерді орналастыру ерекшелік болып табылады. Сәйкестік себептеріне байланысты бұл орналастырулар Azure CDN опциясын қамтымайды. Оның орнына олар статикалық мазмұнды орналастыру үшін үйлесімді аймақтағы веб-интерфейс кластерін пайдаланады.
Power Platform серверлік кластері
Серверлік кластер Power Platform қызметінде қолжетімді барлық функциялардың негізі болып табылады. Ол қызметтің соңғы нүктелерінен, фондық режимде жұмыс істейтін қызметтерден, дерекқорлардан, кэштерден және басқа құрамдастардан тұрады.
Ол көптеген Azure аймақтарында қолжетімді және қолжетімді болған бойда жаңа аймақтарда орналастырылады. Бір аймақ бірнеше кластерді орналастыра алады. Бұл конфигурация бір кластердің тік және көлденең масштабтау шектеріне жеткеннен кейін Power Platform қызметтеріне шексіз көлденең масштабтауға мүмкіндік береді.
Серверлік кластерлердің күйін бақылауға болады. Серверлік кластер оған тағайындалған барлық қатысушылардың барлық деректерін орналастырады. Белгілі бір қатысушы деректерін қамтитын кластер қатысушының басты кластері деп аталады. Аутентификациядан өткен пайдаланушының басты кластері туралы ақпаратты Power Platform глобалдық серверлік қызметі веб-интерфейс кластеріне береді. Веб-интерфейс ақпаратты қатысушының басты серверлік кластеріне сұрауларды маршруттау үшін пайдаланады.
Қатысушы метадеректері мен деректері кластер шегінде сақталады. Бірақ бұған дәл сол Azure географиясындағы жұптастырылған аймақта орналасқан қосалқы серверлік кластерге деректерді репликациялау кірмейді. Қосалқы кластер аймақтық үзіліс болса, ауыстырып-қосқыш ретінде қызмет етеді, ал басқа уақытта белсенді болмайды. Кластердің виртуалды желісіндегі әртүрлі машиналарда жұмыс істейтін микроқызметтер де серверлік функцияларды орындайды. Бұл микроқызметтердің тек екеуіне жалпыға қолжетімді интернеттен қол жеткізуге болады:
- Шлюз қызметі
- Azure API басқаруы
Power Platform премиум инфрақұрылымы
Power Platform премиум ақылы қызмет ретінде қосқыштардың кеңейтілген жинағына қол жеткізу мүмкіндігін ұсынады. Power Platform авторлары премиум қосқыштарды пайдалануда шектелмейді, бірақ мұндай шектеу бағдарлама пайдаланушыларына қолданылады. Яғни премиум қосқыштары бар бағдарлама пайдаланушылары осы қосқыштарға қол жеткізуі үшін, олардың тиісті лицензиясы болуы керек. Power Platform серверлік қызметі пайдаланушының премиум қосқыштарға қатынасу рұқсатының бар-жоғын анықтайды.
Мобильді платформалар
Power Platform қолдау көрсету Android және iOS Windows (UWP) қолданбалары. Мобильді құрылғы бағдарламаларының қауіпсіздік мәселелері екі санатқа бөлінеді:
- Құрылғылардың байланысы
- Құрылғыдағы бағдарламалар мен деректер
Құрылғылардың байланысы
Power Platform мобильді құрылғы бағдарламалары браузерлер пайдаланатын қосылым мен аутентификация ретін пайдаланады. Android және iOS бағдарламалар бағдарламада браузер сеансын ашады. Windows бағдарламалары кіру процесі үшін Power Platform қызметтерімен байланыс арнасын орнату үшін брокерді пайдаланады.
Келесі кестеде мобильді құрылғы бағдарламаларына арналған сертификатқа негізделген аутентификация (CBA) қолдауы көрсетілген:
| CBA қолдауын | iOS | Android | Терезелер |
|---|---|---|---|
| Қызметке кіру | Қолдау көрсетіледі | Қолдау көрсетіледі | Қолдау көрсетілмейді |
| Жергілікті SSRS ADFS (SSRS серверіне қосылу) | Қолдау көрсетілмейді | Қолдау көрсетіледі | Қолдау көрсетілмейді |
| SSRS бағдарлама проксиі | Қолдау көрсетіледі | Қолдау көрсетіледі | Қолдау көрсетілмейді |
Мобильді құрылғы бағдарламалары Power Platform қызметтерімен белсенді түрде байланысады. Бағдарламаны пайдалану статистикасы және сол сияқты деректер пайдалану мен белсенділікті бақылайтын қызметтерге жіберіледі. Тұтынушы деректері қосылмайды.
Құрылғыдағы бағдарламалар мен деректер
Мобильді құрылғы бағдарламалары және оған қажетті деректер құрылғыда қауіпсіз сақталады. Microsoft Entra және жаңарту жетондары салалық стандартты қауіпсіздік шараларын қолдана отырып сақталады.
Құрылғыда кэштелген деректер бағдарлама деректерін, пайдаланушы параметрлерін және алдыңғы сеанстарда қаралған бақылау тақталары мен есептерді қамтиды. Кэш ішкі жадтағы сынақ данасында сақталады. Кэш тек бағдарлама үшін қолжетімді және оны операциялық жүйе шифрлай алады.
- iOS: Пайдаланушы құпия кодты орнатқанда шифрлау автоматты түрде жүзеге асырылады.
- Android: шифрлауды параметрлер бөлімінде конфигурациялауға болады.
- Windows: шифрлауды BitLocker өңдейді.
Microsoft Intune файл деңгейіндегі шифрлау деректерді шифрлауды жақсарту үшін пайдаланылуы мүмкін. Intune — мобильді құрылғылар мен бағдарламаларды басқаруды қамтамасыз ететін бағдарламалық құрал қызметі. Мобильді платформалардың үшеуі де Intune жүйесіне қолдау көрсетеді. Intune қосылған және конфигурацияланған кезде, мобильді құрылғыдағы деректер шифрланады және Power Platform бағдарламасын SD картасына орнату мүмкін болмайды.
Сондай-ақ Windows бағдарламалары Windows мәлімет қорғау (WIP) қызметіне қолдау көрсетеді.
Кэштелген деректер пайдаланушы мына әрекеттерді орындағанда жойылады:
- бағдарламаны жойғанда
- Power Platform қызметінен шыққанда
- құпиясөзді өзгерткеннен кейін немесе токен мерзімі аяқталғаннан кейін жүйеге кіре алмағанда
Геолокацияны пайдаланушының өзі қосады немесе өшіреді. Егер ол қосулы болса, геолокация деректері құрылғыда сақталмайды және Microsoft корпорациясына жіберілмейді.
Хабарландыруларды пайдаланушының өзі қосады немесе өшіреді. Егер хабарландырулар қосулы Android болса және iOS деректердің географиялық резиденттігіне қойылатын талаптарды қолдамаса.
Power Platform мобильді қызметтері құрылғыдағы басқа бағдарлама қалталарына немесе файлдарына кірмейді.
Кейбір токен негізіндегі аутентификация деректері құпиясөзді бір рет енгізу арқылы кіруді қосу үшін Authenticator сияқты басқа Microsoft бағдарламаларында қолжетімді болады. Бұл деректерді басқару SDK аутентификация кітапханасы арқылы Microsoft Entra жүзеге асырылады.
Қатысты мақалалар
Power Platform қызметтерін аутентификациялау
Дереккөздерге қосылу және аутентификациялау
Power Platform ішіндегі деректер қоймасы
Power Platform қауіпсіздігіне қатысты жиі қойылатын сұрақтар
Сонымен қатар қараңыз
- Microsoft Dataverse бағдарламасындағы қауіпсіздік
- Microsoft Online Services пайдалану шарттары
- Microsoft корпоративтік құпиялылық мәлімдемесі
- Деректерді қорғау бойынша қосымша
- Microsoft қауіпсіздікті дамытудың жарамдылық кезеңі бойынша тәжірибелер
- Azure трафик менеджері үшін өнімділік трафигін маршруттау әдісі
- Microsoft Intune
- Windows мәлімет қорғау (WIP)