Ескерім
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Осы Power Platform Жақсы сәулеттелген қауіпсіздік бақылау тізімі ұсынысына қолданылады:
| SE:07 | Қолданба құпияларын сақтауды күшейту және қол жеткізуді және манипуляцияны шектеу және сол әрекеттерді тексеру арқылы қорғаңыз. Төтенше жағдайлар үшін айналуды импровизациялай алатын сенімді және тұрақты айналдыру процесін іске қосыңыз. |
|---|
Бұл нұсқаулық жұмыс жүктемелеріндегі құпия ақпаратты қорғау бойынша ұсыныстарды сипаттайды. Құпияларды дұрыс басқару қолданбаңыздың, жұмыс жүктемесінің және байланысты деректердің қауіпсіздігі мен тұтастығын сақтау үшін өте маңызды. Құпияларды дұрыс пайдаланбау деректердің бұзылуына, қызмет көрсетудің бұзылуына, нормативтік құқықтық актілердің бұзылуына және басқа мәселелерге әкелуі мүмкін.
API кілттері, Open Authorization (OAuth) таңбалауыштары және Secure Shell (SSH) кілттері сияқты тіркелгі деректері құпия болып табылады. Сәйкестік талаптары әдетте құпия болып есептелмейтін конфигурация параметрлерінің қолданба құпиялары ретінде қарастырылуына себеп болуы мүмкін.
Анықтамалар
| Термин | Анықтама |
|---|---|
| Сертификаттар | Шифрлау немесе шифрды шешу үшін ашық кілттерді ұстайтын сандық файлдар. |
| Тіркелгі деректері | Байланыс арнасындағы баспагердің немесе тұтынушының жеке басын тексеру үшін пайдаланылатын ақпарат. |
| Тіркелгі деректерін сканерлеу | Құпиялардың қосылмағанына көз жеткізу үшін бастапқы кодты тексеру процесі. |
| Шифрлау | Деректерді оқылмайтын етіп жасау және құпия кодпен құлыптау процесі. |
| Перне | Шифрланған деректерді құлыптау немесе құлпын ашу үшін пайдаланылатын құпия код. |
| Ең аз артықшылықты рұқсат | Жұмыс функциясын аяқтау үшін рұқсаттар жинағын азайтуға бағытталған Zero Trust принципі. |
| Басқарылатын идентификатор | Ресурстарға тағайындалған және Azure басқаратын сәйкестік. |
| Құпия емес | Егер ағып кетсе, жұмыс жүктемесінің қауіпсіздік жағдайына қауіп төндірмейтін ақпарат. |
| Бұрылыс | Құпияларды жүйелі түрде жаңарту процесі, егер олар бұзылса, олар шектеулі уақытқа ғана қолжетімді болады. |
| Құпия | Жұмыс жүктемесінің құрамдас бөліктері арасындағы байланысты жеңілдететін жүйенің құпия құрамдас бөлігі. Егер ағып кетсе, құпиялар бұзылуға әкелуі мүмкін. |
| X.509 | Ашық кілт сертификаттарының пішімін анықтайтын стандарт. |
Маңызды
Құпия емес нәрселерге құпия сияқты қарамаңыз. Құпиялар құпия емес нәрселер үшін қажет емес және қосымша шығындарға әкелуі мүмкін операциялық қатаңдықты талап етеді.
Қолданбаға қажет API URL мекенжайлары сияқты құпия болып табылмайтын қолданба параметрлері қолданба кодынан немесе қолданба құпияларынан бөлек сақталуы керек. Қолданба конфигурациясын сақтау үшін теңшелетін қосқышты немесе орта айнымалы мәндерін пайдалануды қарастырыңыз. Басқа опция қолданба конфигурациясы туралы метадеректерді сақтау үшін Dataverse кестені пайдалану болып табылады. Дегенмен, конфигурация деректерін әзірлеуден сынаққа немесе өндіруге тасымалдау сияқты жаңа ортада осы деректерді толтыру жолын табу керек. Мұны орындау үшін Dataflows пайдалана аласыз.
Негізгі дизайн стратегиялары
Құпияларды сақтау және басқару алдында келесі мәселелерге назар аударыңыз:
- Жасалған құпиялар қатал рұқсатты басқару элементтері бар қауіпсіз қоймада сақталуы керек.
- Жасырын айналдыру - бұл белсенді операция, ал кері қайтару - реактивті.
- Құпияларға тек сенімді тұлғалар ғана қол жеткізе алады.
- Құпияларға қол жеткізуді тексеру және растау үшін аудит ізін жүргізу керек.
Жеке деректерді ұрлауды болдырмауға, бас тартуды болдырмауға және ақпаратқа қажетсіз әсер етуді азайтуға көмектесу үшін осы нүктелердің айналасында стратегия жасаңыз.
Құпия басқаруға арналған қауіпсіз тәжірибелер
Кілттердің үш түрлі рөлі болуын ұсынамыз: пайдаланушы, әкімші және аудитор. Рөлді ажырату рұқсаттың сәйкес деңгейі бар құпияларға тек сенімді сәйкестіктердің қол жеткізуін қамтамасыз етуге көмектеседі. Әзірлеушілерді, әкімшілерді және басқа тиісті қызметкерлерді құпия басқарудың маңыздылығы және қауіпсіздікті қамтамасыз етудің озық тәжірибелері туралы оқытыңыз.
Алдын ала ортақ кілттер
Әрбір тұтынушы үшін бөлек кілттер жасау арқылы қатынасты басқаруға болады. Мысалы, қолданба немесе ағын сияқты клиент алдын ала ортақ кілт арқылы үшінші тарап API интерфейсімен байланысады. Басқа клиентке бірдей API кіруі қажет болса, олар басқа кілтті пайдалануы керек. Екі тұтынушының қатынас үлгілері немесе рөлдері бірдей болса да, кілттерді бөліспеңіз. Тұтыну ауқымдары уақыт өте келе өзгеруі мүмкін және кілт ортақ болғаннан кейін рұқсаттарды дербес жаңарта алмайсыз немесе пайдалану үлгілерін ажырата алмайсыз. Айрықша қол жеткізу де кері қайтаруды жеңілдетеді. Тұтынушының кілті бұзылған болса, басқа тұтынушыларға әсер етпестен бұл кілтті қайтарып алу немесе айналдыру оңайырақ.
Бұл нұсқаулық әртүрлі орталарға қолданылады. Бірдей кілтті өндіріске дейінгі және өндірістік орталар үшін пайдаланбау керек. Алдын ала ортақ кілттерді жасауға жауапты болсаңыз, бірнеше клиентке қолдау көрсету үшін бірнеше кілт жасағаныңызға көз жеткізіңіз.
Қосымша ақпарат алу үшін Сәйкестендіру және қол жеткізуді басқару бойынша ұсыныстар бөлімін қараңыз.
Құпия сақтау
Құпияларды күшейтілген ортада сақтау, демалыс және тасымалдау кезінде шифрлау және құпияларға кіруді және өзгертулерді тексеру үшін құпия басқару жүйесін пайдаланыңыз. Қолданба құпияларын сақтау қажет болса, оңай айналдыру үшін оларды бастапқы кодтан тыс сақтаңыз.
Арнайы құпияны басқару жүйесі қолданба құпияларын сақтауды, таратуды және қол жеткізуді басқаруды жеңілдетеді. Құпия дүкендерге тек рұқсат етілген идентификаторлар мен қызметтер ғана қол жеткізе алады. Жүйеге кіру рұқсаттар арқылы шектелуі мүмкін. Рұқсаттарды тағайындау кезінде әрқашан ең аз артықшылықты тәсілді қолданыңыз.
Сондай-ақ құпия деңгейде қол жеткізуді басқару қажет. Әрбір құпияның тек бір ресурс ауқымына қатынасы болуы керек. Құрамдас тек өзіне қажет құпияларды пайдалана алатындай оқшаулау шекараларын жасаңыз. Егер оқшауланған құрамдас бұзылса, ол басқа құпияларды және ықтимал бүкіл жұмыс жүктемесін басқара алмайды. Құпияларды оқшаулаудың бір жолы - бірнеше кілт қоймаларын пайдалану. Қосымша кілт қоймаларын жасау үшін қосымша шығындар жоқ.
Құпия қол жеткізу үшін аудит пен мониторингті жүзеге асыру. Құпияларға кім кіретінін және рұқсат етілмеген немесе күдікті әрекетті қашан анықтау керектігін журнал. Қауіпсіздік тұрғысынан тіркеу туралы ақпаратты қараңыз Қауіпті бақылау және анықтау бойынша ұсыныстар.
Құпия айналым
Құпия гигиенаны сақтайтын процесс бар. Құпияның ұзақ өмір сүруі сол құпияны басқаруға әсер етеді. Шабуыл векторларын азайту үшін құпияларды мүмкіндігінше жиі өшіріп, жаңа құпиялармен ауыстыру керек.
Тұтқаны OAuth олардың өмір сүру уақытын ескере отырып, токендерге мұқият қол жеткізіңіз. Экспозиция терезесін қысқа мерзімге реттеу қажет пе екенін қарастырыңыз. Жаңарту таңбалауыштары қолданбаға шектеулі әсер етумен қауіпсіз сақталуы керек. Жаңартылған сертификаттар да жаңа кілтті пайдалануы керек. Жаңарту таңбалауыштары туралы ақпаратты қараңыз Қауіпсіз OAuth 2.0 Жаңарту таңбалауыштары атынан.
Құпияларды өмірінің соңына жеткеннен кейін, жұмыс жүктемесі бұдан былай пайдаланбайтын болса немесе олар бұзылған жағдайда ауыстырыңыз. Керісінше, төтенше жағдай болмаса, белсенді құпияларды өшірмеңіз. Құпия күйді кіру журналдарын көру арқылы анықтауға болады. Жасырын айналдыру процестері жұмыс жүктемесінің сенімділігіне немесе өнімділігіне әсер етпеуі керек. Бірқалыпты айналдыру үшін құпияларда, тұтынушыларда және кіру әдістерінде артықшылықты құрайтын стратегияларды пайдаланыңыз.
Құпияларды пайдаланудың қауіпсіз әдістері
Құпия генератор немесе оператор ретінде сіз құпияларды қауіпсіз түрде тарата алуыңыз керек. Көптеген ұйымдар құпияларды ұйым ішінде де, сыртқы серіктестермен де қауіпсіз бөлісу үшін құралдарды пайдаланады. Құрал болмаған жағдайда, авторизацияланған алушыларға тіркелгі деректерін дұрыс тапсыру процесіне ие болыңыз. Апатты қалпына келтіру жоспарлары құпия қалпына келтіру процедураларын қамтуы керек. Кілт бұзылған немесе ағып кеткен және сұраныс бойынша қайта қалпына келтірілуі қажет жағдайларға арналған процеске ие болыңыз. Құпияларды пайдалану кезінде қауіпсіздік үшін келесі ең жақсы тәжірибелерді қарастырыңыз:
Қатты кодтауды болдырмау
Құпияларды статикалық мәтін ретінде қатаң кодтамаңыз бұлт ағындары және кенеп қолданбалары, конфигурация файлдары және құрастыру-орналастыру құбырлары сияқты код артефактілерінде. Бұл жоғары тәуекелді тәжірибе кодты осал етеді, себебі құпиялар оқуға рұқсаты бар барлығына ашылады.
Қолданба кодыңызда ашылған құпияларды мезгіл-мезгіл анықтайтын құралдарды пайдаланыңыз және артефактілер жасаңыз. Бастапқы код орналастыруды орындамас бұрын тіркелгі деректерін сканерлеу үшін осы құралдарды орналастыру құбырларының бөлігі ретінде қосуға болады. Ешбір құпияның байқаусызда жазылмауын қамтамасыз ету үшін қолданба журналдарын жүйелі түрде қарап шығыңыз және зарарсыздандырыңыз. Сондай-ақ әріптестік шолулар арқылы анықтауды күшейте аласыз.
Ескертпе
Егер сканерлеу құралдары құпияны анықтаса, бұл құпия бұзылған деп есептелуі керек. Оның күшін жою керек.
Жасырын айналымға жауап беріңіз
Жұмыс жүктемесінің иесі ретінде сізге құпия ротация жоспары мен саясаттарын түсіну керек, осылайша пайдаланушыларға аз кедергі келтіре отырып, жаңа құпияларды қосуға болады. Құпия айналдырылған кезде, ескі құпия жарамсыз, бірақ жаңа құпия орнатылмаған кезде терезе пайда болуы мүмкін. Бұл терезеде жұмыс жүктемесі жетуге тырысатын құрамдас сұрауларды қабылдамайды. Кодқа қайталау логикасын құру арқылы бұл мәселелерді азайтуға болады. Сондай-ақ, бір-біріне әсер етпестен қауіпсіз өзгертуге болатын бірнеше тіркелгі деректеріне ие болуға мүмкіндік беретін бір мезгілде қол жеткізу үлгілерін пайдалануға болады.
Операциялық топпен жұмыс жасаңыз және өзгерістерді басқару процесінің бөлігі болыңыз. Тіркелгі деректерінің иелеріне енді қажет емес тіркелгі деректерін пайдаланатын жұмыс жүктемесінің бір бөлігін пайдаланудан шығарған кезде хабарлау керек.
Құпия іздеу мен конфигурацияны автоматтандырылған орналастыру құбырына біріктіріңіз. Құпия іздеу енгізу кезінде құпиялардың автоматты түрде алынуын қамтамасыз етуге көмектеседі. Сондай-ақ құпияларды енгізу уақытында бағдарлама кодына немесе конфигурацияға құпияларды енгізу үшін құпия енгізу үлгілерін пайдалануға болады, бұл құпиялардың журналдарға немесе нұсқаларды басқаруға кездейсоқ әсер етуіне жол бермейді.
Power Platform жеңілдету
Келесі бөлімдер қолданба құпияларын басқару үшін пайдалануға болатын Power Platform мүмкіндіктер мен мүмкіндіктерді сипаттайды.
Azure Key Vault құпияларын пайдалану
Ортаның айнымалы мәндері Azure Key Vault ішінде сақталған құпияларға сілтеме жасауға мүмкіндік береді. Содан кейін бұл құпияларды Power Automate ағындарында және арнайы қосқыштарда пайдалануға болады. Құпияларды басқа теңшеулерде немесе әдетте API арқылы пайдалану мүмкін емес екенін ескеріңіз.
Нақты құпиялар Azure Key Vault ішінде сақталады және ортаның айнымалы мәні кілттер қоймасының құпия орнына сілтеме жасайды. Azure Key Vault құпияларын ортаның айнымалы мәндерімен пайдалану үшін Azure Key Vault параметрін Power Platform платформасы сілтеме бергіңіз келетін нақты құпияларды оқи алатындай етіп конфигурациялау керек. Қосымша ақпаратты Шешімдердегі орта айнымалы мәндерін пайдалану және Шешім реттелетін қосқыштардағы орта айнымалы мәндерін пайдалану бөлімін қараңыз.
Шешім тексеру құралын пайдаланыңыз
Шешімді тексеру құралы мүмкіндігімен шешімдерде үздік тәжірибе ережелері жинағына қарсы статикалық талдау жүргізіп, осы мәселелік үлгілерді жылдам анықтаңыз. Тексеру аяқталғаннан кейін, анықталған мәселелер, әсер етілген құрамдастар мен код және әрбір мәселені шешу жолын сипаттайтын құжаттамаға сілтемелер тізімделген толық есепті аласыз. Қауіпсіздік санатындағы қолжетімді шешімді тексеру ережелерін қарап шығыңыз. Қосымша ақпарат алу үшін Шешімдерді тексеру үшін шешімді тексеру құралын пайдалану бөлімін қараңыз.
CyberArk әрекеттерді пайдаланыңыз
CyberArk адам мен машинаның сәйкестіктерін басынан аяғына дейін қорғайтын сәйкестендіру қауіпсіздігі платформасын ұсынады. Power Automate жұмыс үстелі ағындары тіркелгі деректерін CyberArk ішінен алуға мүмкіндік береді. Қосымша ақпаратты CyberArk әрекеттер бөлімінен қараңыз.
Қатысты ақпарат
- Шешімдерде ортаның айнымалы мәндерін пайдаланыңыз
- Шешім реттелетін қосқыштардағы орта айнымалы мәндерін пайдаланыңыз
- Шешімдерді тексеру үшін шешімді тексеру құралын пайдаланыңыз
- CyberArk әрекеттер
- Azure DevOps Тіркелгі деректерін сканерлеу тапсырмасы
- Microsoft Security DevOps Azure DevOps кеңейтімін теңшеңіз
- үшін GitHub Advanced Security теңшеңіз Azure DevOps
- Қауіпті бақылау және анықтау бойынша ұсыныстар
- Сәйкестендіру және қол жеткізуді басқару бойынша ұсыныстар
Қауіпсіздікті тексеру тізімі
Ұсыныстардың толық жинағын қараңыз.