Dalintis per

„Power Platform“ saugos DUK

Dažnai užduodami klausimai apie „Power Platform“ saugą priklauso dviem kategorijoms:

  • Kaip „Power Platform“ buvo sukurta, kad padėtų sumažinti 10 pagrindinių „Open Web Application Security Project“® (OWASP) pavojų

  • Mūsų klientų užduodami klausimai

Kad būtų lengviau rasti naujausią informaciją, nauji klausimai įtraukiami šio straipsnio pabaigoje.

OWASP 10 pagrindinių pavojų: „Power Platform“ sumažinimai

„Open Web Application Security Project“® (OWASP) yra ne pelno fondas, skirtas programinės įrangos saugai padidinti. Vykdant bendruomenės inicijuotus atvirojo kodo programinės įrangos projektus, pasitelkiant šimtus skyrių visame pasaulyje, dešimtis tūkstančių narių ir pirmaujančių švietimo bei mokymo konferencijų, OWASP fondas yra programų kūrėjų ir technologų šaltinis, padedantis apsaugoti žiniatinklį.

OWASP 10 yra standartinis informavimo dokumentas programų kūrėjams ir kitiems, besidomintiems žiniatinklio programų sauga. Jame pateiktas svarbiausių žiniatinklio programoms gresiančių saugos pavojų konsensusas. Šiame skyriuje aptariame, kaip "Power Platform" padeda sumažinti šią riziką.

A01:2021 Sugedusi prieigos kontrolė

  • „Power Platform“ saugos modelis sukurtas remiantis mažiausiai privilegijuota prieiga (LPA). LPA suteikia klientams galimybę kurti programas su tikslesniu prieigos valdymu.
  • Power Platform naudoja Microsoft Entra ID (Microsoft Entra ID) „Microsoft Identity Platform“ visų API skambučių autorizacijai su pramonės standartu OAuth 2.0 protokolu.
  • „Dataverse“, kuri pateikia pagrindinius duomenis „Power Platform“, turi visapusišką saugos modelį, kuris apima aplinkos lygio, vaidmenimis pagrįstą ir įrašų bei laukų lygio saugą.

A02:2021 Kriptografiniai gedimai

Perduodami duomenys:

  • „Power Platform“ naudoja TLS, kad užšifruotų visą HTTP pagrįstą tinklo srautą. Naudoja kitus mechanizmus, kad užšifruotų ne HTTP tinklo srautą, kuriame yra kliento arba konfidencialūs duomenys.
  • „Power Platform“ naudoja sustiprintą TLS konfigūraciją, kuri įgalina HTTP griežtą transportavimo saugą (HSTS):
    • TLS 1.2 arba naujesnė versija
    • ECDHE pagrįsti šifrų rinkiniai ir NIST kreivės
    • Patikimi raktai

Neaktyvūs duomenys:

  • Visi klientų duomenys yra užšifruojami prieš įrašant į nepastovią laikmeną.

A03:2021 Įpurškimas

„Power Platform“ naudoja pramonės standarto geriausią praktiką, kad išvengtų įdėjimo atakų, įskaitant:

  • Saugių API naudojimas su parametrizuotomis sąsajomis
  • Nuolat augančių išorinių sistemų galimybių taikymas siekiant išvalyti įvestį
  • Išvesties išvalymas naudojant tikrinimą serveryje
  • Statinės analizės įrankių naudojimas kuriant
  • Kiekvienos paslaugos grėsmių modelio peržiūra kas šešis mėnesius nepaisant to, ar kodas, dizainas arba infrastruktūra buvo atnaujinti, ar ne

A04:2021 Nesaugus dizainas

  • „Power Platform“ sukurta remiantis saugaus dizaino kultūra ir metodika. Ir kultūra, ir metodika nuolat stiprinamos naudojant „Microsoft“ pavyzdinę Saugos kūrimo ciklo (SDL) ir Grėsmių modeliavimo praktiką.
  • Grėsmių modeliavimo peržiūros procesas užtikrina, kad grėsmės būtų nustatytos kuriant dizainą, sumažintos ir patikrinta, ar tikrai sumažintos.
  • Grėsmių modeliavimas taip pat atsižvelgia į visus reguliariai peržiūrint taikomus paslaugų pakeitimus. Pasikliaudami STRIDE modeliu galite išspręsti dažniausiai pasitaikančias nesaugaus dizaino problemas.
  • „Microsoft“ SDL prilygsta OWASP programinės įrangos naujumo garantijos mokėjimo termino modeliui (SAMM). Abu sukurti laikantis prielaidos, kad saugus dizainas yra neatskiriama žiniatinklio programų saugos dalis.

A05:2021 Neteisinga saugumo konfigūracija

  • „Numatytasis atmetimas“ yra vienas iš pagrindinių „Power Platform“ dizaino principų. Naudojant „Numatytąjį atmetimą“ klientams reikia peržiūrėti ir pasirinkti naujas funkcijas bei konfigūracijas.
  • Bet kokį netinkamą konfigūravimą kuriant užfiksuoja integruota saugos analizė naudodama Saugaus kūrimo įrankius.
  • Be to, „Power Platform“ atlieka Dinaminės analizės saugos patikrą (DAST) naudodama vidaus tarnybą, sukurtą atsižvelgiant į OWASP 10 pagrindinių pavojų.

A06:2021 Pažeidžiami ir pasenę komponentai

  • „Power Platform“ taiko „Microsoft“ SDL praktiką siekdama valdyti atvirojo kodo ir trečiųjų šalių komponentus. Ši praktika apima visų atsargų priežiūrą, saugos analizę, komponentų naujinimą ir derinimą su išbandytu ir patikrintu reagavimo į saugos incidentus procesu.
  • Kartais pasitaiko programų su pasenusių komponentų kopijomis, nes yra išorinių priklausomybių. Tačiau kai šios priklausomybės sutvarkomos pagal anksčiau aprašytą praktiką, komponentai yra sekami ir atnaujinami.

A07:2021 Identifikavimo ir autentifikavimo triktys

  • Power Platform yra pagrįstas ir priklauso nuo Microsoft Entra ID identifikavimo ir autentifikavimo.
  • Microsoft Entra padeda Power Platform įjungti saugias funkcijas. Šios funkcijos apima bendrąją autentifikaciją, kelių dalių autentifikavimą ir vieną platformą, leidžiančią saugiau bendrauti su vidiniais ir išoriniais vartotojais.
  • Įdiegus **ID** nuolatinės prieigos vertinimo (CAE)** technologiją, naudotojų identifikavimas ir autentifikavimas bus dar saugesnis ir patikimesnis. Power Platform Microsoft Entra

A08:2021 Programinės įrangos ir duomenų vientisumo sutrikimai

  • „Power Platform“ komponentų valdymo procesas užtikrina saugų paketo šaltinio failų konfigūravimą, kad būtų išlaikytas programinės įrangos vientisumas.
  • Procesas užtikrina, kad tik viduje gauti paketai naudojami siekiant atremti pakaito ataką. Pakaito ataka, taip pat vadinama priklausomybės painiava, yra metodas, naudojamas programos kūrimo procesui užteršti saugiose įmonės aplinkose.
  • Prieš persiunčiant visiems užšifruotiems duomenims pritaikoma vientisumo apsauga. Patikrinami visi gaunamų užšifruotų duomenų vientisumo apsaugos metaduomenys.

OWASP 10 didžiausių mažo kodo / jokio kodo rizikų: mažinimo priemonės Power Platform

Norėdami gauti gairių, kaip sušvelninti 10 didžiausių OWASP paskelbtų mažai koduotų / be kodo sukeliamų saugumo rizikų, žr. šį dokumentą:

Power Platform - OWASP mažai kodo be kodo 10 didžiausių rizikų (2024 m. balandžio mėn.)

Dažnai klientų užduodami saugos klausimai

Toliau pateikiami keli saugos klausimai, kuriuos užduoda klientai.

Kaip „Power Platform“ padeda apsisaugoti nuo klaidinančių spustelėjimų?

„Clickjacking“ (liet. „paspaudimų grobimas“) naudoja įterptuosius „iframe“ elementus ir kitus komponentus, kad užgrobtų vartotojo sąveiką su tinklalapiu. Tai labai reikšminga grėsmė prisijungimo puslapiams. „Power Platform“ neleidžia naudoti „iframe“ prisijungimo puslapiuose ir stipriai sumažina klaidinančių spustelėjimų pavojų.

Be to, organizacijos gali naudoti Turinio saugos strategiją (CSP), kad apribotų įdėjimą į patikimus domenus.

Ar „Power Platform“ palaiko turinio saugos strategiją?

„Power Platform“ palaiko Turinio saugos strategiją (CSP) modeliu pagrįstose programose. Nepalaikome šių antraščių, kurios pakeičiamos CSP:

  • X-XSS-Protection
  • X-Frame-Options

Kaip saugiai prisijungti prie „SQL Server“?

Žr. Saugus „Microsoft SQL Server“ naudojimas su „Power Apps“.

Kokius šifrus palaiko „Power Platform“? Koks yra veiksmų planas taikyti vis patikimesnius šifrus?

Visos „Microsoft“ paslaugos ir produktai sukonfigūruoti taip, kad naudotų patvirtintus šifrų rinkinius tiksliai nurodyta „Microsoft Crypto Board“ tvarka. Visą sąrašą ir tikslią tvarką žr. „Power Platform“ dokumentuose.

Informacija apie nebenaudojamus šifrų rinkinius perduodama naudojant „Power Platform“ Svarbių pakeitimų dokumentus.

Kodėl „Power Platform“ vis dar palaiko RSA-CBC šifrus (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ir TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), kurie laikomi mažiau patikimais?

Pasirinkdama palaikomus šifrų rinkinius „Microsoft“ pasveria santykinę riziką ir poveikį klientų operacijoms. RSA-CBC šifrų rinkiniai dar nebuvo nulaužti. Įgalinome juos užtikrinti mūsų paslaugų ir produktų nuoseklumą bei palaikyti visas klientų konfigūracijas. Tačiau jie yra prioritetų sąrašo apačioje.

Tinkamu metu atsisakysime šių šifrų atsižvelgdami į nuolatinį „Microsoft Crypto Board“ vertinimą.

Kodėl „Power Automate“ atskleidžia MD5 turinio maišą paleidiklio / veiksmo įvestyse ir išvestyse?

„Power Automate“ perduoda pasirenkamą turinio MD5 maišos reikšmę, kurią „Azure“ saugykla grąžino savo klientams tokią, kokia yra. Šią maišą „Azure“ saugykla naudoja, kad patikrintų puslapio vientisumą transportuojant, kaip kontrolinės sumos algoritmą – ji naudojama kaip kriptografinė maišos funkcija „Power Automate“ saugos tikslams. Daugiau informacijos apie tai galite rasti „Azure Storage“ dokumentacijoje, kurioje aprašoma, kaip gauti „Blob Properties“ (Būtinų objektų) ypatybes (BLOb Properties) ir kaip dirbti su „Request Headers“ (Užklausų antraštėmis) ( )....

Kaip „Power Platform“ apsaugo nuo paskirstytosios aptarnavimo perkrovos (DDoS) atakų?

„Power Platform“ yra pagrįsta „Microsoft Azure“ ir naudoja „Azure“ apsaugą nuo DDoS, kad apsaugotų nuo DDoS atakų.

Ar **aptinka** atrakinamas** ir root** prieigos neturinčius** įrenginius, kad padėtų apsaugoti organizacijos duomenis? Power Platform iOS Android

Rekomenduojame naudoti „Microsoft Intune“. „Intune“ yra mobiliųjų įrenginių valdymo sprendimas. Jis gali padėti apsaugoti organizacijos duomenis reikalaudamas, kad vartotojai ir įrenginiai atitiktų tam tikrus reikalavimus. Daugiau informacijos žr. „Intune“ atitikties strategijos parametrai.

Kodėl seansų slapukai apsiriboja pirminiu domenu?

„Power Platform“ apriboja seansų slapukus pirminiu domenu, kad organizacijose būtų galima autentifikuoti. Padomeniai nenaudojami kaip saugos ribos. Juose taip pat nelaikomas kliento turinys.

Kaip nustatyti, kad programos seanso skirtasis laikas būtų 15 minučių?

Power Platform naudoja Microsoft Entra ID tapatybės ir prieigos valdymą. Tai atitinka Microsoft Entra ID rekomenduojamą sesijos valdymo konfigūraciją, kad būtų užtikrinta optimali naudotojo patirtis.

Tačiau galite tinkinti aplinkas, kad būtų nustatytas tikslus seansų ir (arba) veiklos skirtasis laikas. Daugiau informacijos žr. Vartotojo seansų ir prieigos valdymas.

Įdiegus **ID** nuolatinės prieigos vertinimo** (**ID**) funkciją, vartotojų identifikavimas ir autentifikavimas bus dar saugesnis ir patikimesnis. Power Platform Microsoft Entra

Programa leidžia tam pačiam vartotojui tuo pačiu metu pasiekti daugiau nei vieną kompiuterį arba naršyklę. Kaip to išvengti?

Vartotojams patogu vienu metu pasiekti programą iš daugiau nei vieno įrenginio arba naršyklės. Power PlatformBūsimas **ID** nuolatinės prieigos vertinimo** (**Continuous Access Evaluation**)** įdiegimas padės užtikrinti, kad prieiga būtų vykdoma iš įgaliotų įrenginių ir naršyklių ir vis dar galiotų. Microsoft Entra

Kodėl kai kurios „Power Platform“ paslaugos parodo serverio antraštes su daugiažode informacija?

„Power Platform“ paslaugos siekia pašalinti nebūtiną informaciją iš serverio antraštės. Tikslas yra subalansuoti detalumą rizikuojant atskleisti informaciją, kuri gali susilpninti bendrą saugos padėtį.

Kaip „Log4j“ pažeidžiamumas paveikia „Power Platform“? Ką klientai turėtų daryti šiuo atžvilgiu?

„Microsoft“ įvertino, kad joks „Log4j“ pažeidžiamumas nepaveiks „Power Platform“. Žr. mūsų interneto dienoraščio pranešimą apie „Log4j“ pažeidžiamumo išnaudojimo išvengimą, aptikimą ir paiešką.

Kaip užtikrinti, kad nebus neįgaliotų operacijų dėl naršyklių plėtinių ar vieningosios sąsajos kliento API, leidžiančių įgalinti išjungtus valdiklius?

Į „Power Apps“ saugos modelį neįtraukta išjungtų valdiklių sąvoka. Valdiklių išjungimas yra UI patobulinimas. Norėdami užtikrinti saugą, neturėtumėte pasikliauti išjungtais valdikliais. Verčiau naudokite „Dataverse“ valdiklius, pvz., lauko lygio saugą, kad išvengtumėte neįgaliotųjų operacijų.

Kurios HTTP saugumo antraštės naudojamos atsakymo duomenims apsaugoti?

Pavadinimą Informacija
Griežtas transporto saugumas Tai nustatyta į max-age=31536000; includeSubDomains visuose atsakymuose.
X formos rėmo parinktys Tai nepageidaujama CSP naudai.
X turinio tipo parinktys Tai nustatyta į nosniff visiems išteklių atsakymams.
Turinio saugumo politika Tai nustatoma, jei naudotojas įjungia CSP.
X-XSS apsauga Tai nepageidaujama CSP naudai.

Kur galiu rasti „Power Platform“ arba „Dynamics 365“ įsilaužimo testus?

Naujausius įsilaužimo testus ir saugos vertinimus galima rasti „Microsoft“ paslaugų patikimumo portale.

Pastaba.

Norėdami pasiekti kai kuriuos „Service Trust“ portalo išteklius, turite prisijungti kaip patvirtintas vartotojas su savo „Microsoft“ debesies paslaugų paskyra (Microsoft Entra organizacijos paskyra) ir peržiūrėti bei sutikti su „Microsoft“ neatskleidimo sutartimi dėl atitikties medžiagų.

Saugos apžvalga
Autentifikavimas paslaugoms Power Platform
Prisijungimas prie duomenų šaltinių ir autentifikavimas
Duomenų saugojimas Power Platform

Taip pat žr.

  • Last updated on