Bendrinti naudojant

„Power Platform“ saugos DUK

  • Straipsnis

Dažnai užduodami klausimai apie „Power Platform“ saugą priklauso dviem kategorijoms:

  • Kaip „Power Platform“ buvo sukurta, kad padėtų sumažinti 10 pagrindinių „Open Web Application Security Project“® (OWASP) pavojų

  • Mūsų klientų užduodami klausimai

Kad būtų lengviau rasti naujausią informaciją, nauji klausimai įtraukiami šio straipsnio pabaigoje.

OWASP 10 pagrindinių pavojų: „Power Platform“ sumažinimai

„Open Web Application Security Project“® (OWASP) yra ne pelno fondas, skirtas programinės įrangos saugai padidinti. Vykdant bendruomenės inicijuotus atvirojo kodo programinės įrangos projektus, pasitelkiant šimtus skyrių visame pasaulyje, dešimtis tūkstančių narių ir pirmaujančių švietimo bei mokymo konferencijų, OWASP fondas yra programų kūrėjų ir technologų šaltinis, padedantis apsaugoti žiniatinklį.

OWASP 10 yra standartinis informavimo dokumentas programų kūrėjams ir kitiems, besidomintiems žiniatinklio programų sauga. Jame pateiktas svarbiausių žiniatinklio programoms gresiančių saugos pavojų konsensusas. Šiame skyriuje aptarsime, kaip „Power Platform“ padeda šiuos pavojus sumažinti.

A01:2021 Nutrauktos prieigos valdymas

  • „Power Platform“ saugos modelis sukurtas remiantis mažiausiai privilegijuota prieiga (LPA). LPA suteikia klientams galimybę kurti programas su tikslesniu prieigos valdymu.
  • Power Platform naudoja Microsoft Entra ID (Microsoft Entra ID) "Microsoft" tapatybės platformą visiems API skambučiams autorizuoti naudojant pramonės standarto "OAuth 2.0" protokolą.
  • „Dataverse“, kuri pateikia pagrindinius duomenis „Power Platform“, turi visapusišką saugos modelį, kuris apima aplinkos lygio, vaidmenimis pagrįstą ir įrašų bei laukų lygio saugą.

A02:2021 Kriptografijos triktys

Perduodami duomenys:

  • „Power Platform“ naudoja TLS, kad užšifruotų visą HTTP pagrįstą tinklo srautą. Naudoja kitus mechanizmus, kad užšifruotų ne HTTP tinklo srautą, kuriame yra kliento arba konfidencialūs duomenys.
  • „Power Platform“ naudoja sustiprintą TLS konfigūraciją, kuri įgalina HTTP griežtą transportavimo saugą (HSTS):
    • TLS 1.2 arba naujesnė versija
    • ECDHE pagrįsti šifrų rinkiniai ir NIST kreivės
    • Patikimi raktai

Neaktyvūs duomenys:

  • Visi kliento duomenys užšifruojami prieš įrašant į ilgalaikio saugojimo laikmeną.

A03:2021 Įdėjimas

„Power Platform“ naudoja pramonės standarto geriausią praktiką, kad išvengtų įdėjimo atakų, įskaitant:

  • Saugių API naudojimas su parametrizuotomis sąsajomis
  • Nuolat augančių išorinių sistemų galimybių taikymas siekiant išvalyti įvestį
  • Išvesties išvalymas naudojant tikrinimą serveryje
  • Statinės analizės įrankių naudojimas kuriant
  • Kiekvienos paslaugos grėsmių modelio peržiūra kas šešis mėnesius nepaisant to, ar kodas, dizainas arba infrastruktūra buvo atnaujinti, ar ne

A04:2021 Nesaugus dizainas

  • „Power Platform“ sukurta remiantis saugaus dizaino kultūra ir metodika. Ir kultūra, ir metodika nuolat stiprinamos naudojant „Microsoft“ pavyzdinę Saugos kūrimo ciklo (SDL) ir Grėsmių modeliavimo praktiką.
  • Grėsmių modeliavimo peržiūros procesas užtikrina, kad grėsmės būtų nustatytos kuriant dizainą, sumažintos ir patikrinta, ar tikrai sumažintos.
  • Grėsmių modeliavimas taip pat atsižvelgia į visus reguliariai peržiūrint taikomus paslaugų pakeitimus. Pasikliaudami STRIDE modeliu galite išspręsti dažniausiai pasitaikančias nesaugaus dizaino problemas.
  • „Microsoft“ SDL prilygsta OWASP programinės įrangos naujumo garantijos mokėjimo termino modeliui (SAMM). Abu sukurti laikantis prielaidos, kad saugus dizainas yra neatskiriama žiniatinklio programų saugos dalis.

A05:2021 Netinkama saugos konfigūracija

  • „Numatytasis atmetimas“ yra vienas iš pagrindinių „Power Platform“ dizaino principų. Naudojant „Numatytąjį atmetimą“ klientams reikia peržiūrėti ir pasirinkti naujas funkcijas bei konfigūracijas.
  • Bet kokį netinkamą konfigūravimą kuriant užfiksuoja integruota saugos analizė naudodama Saugaus kūrimo įrankius.
  • Be to, „Power Platform“ atlieka Dinaminės analizės saugos patikrą (DAST) naudodama vidaus tarnybą, sukurtą atsižvelgiant į OWASP 10 pagrindinių pavojų.

A06:2021 Pažeidžiami ir pasenę komponentai

  • „Power Platform“ taiko „Microsoft“ SDL praktiką siekdama valdyti atvirojo kodo ir trečiųjų šalių komponentus. Ši praktika apima visų atsargų priežiūrą, saugos analizę, komponentų naujinimą ir derinimą su išbandytu ir patikrintu reagavimo į saugos incidentus procesu.
  • Kartais pasitaiko programų su pasenusių komponentų kopijomis, nes yra išorinių priklausomybių. Tačiau kai šios priklausomybės sutvarkomos pagal anksčiau aprašytą praktiką, komponentai yra sekami ir atnaujinami.

A07:2021 Identifikavimo ir autentifikavimo triktys

  • Power Platform yra pagrįstas ir priklauso nuo Microsoft Entra ID identifikavimo ir autentifikavimo.
  • Microsoft Entra padeda Power Platform įjungti saugias funkcijas. Šios funkcijos apima bendrąją autentifikaciją, kelių dalių autentifikaciją ir vieną platformą, kurioje galima saugiau bendrauti su vidaus ir išorės vartotojais.
  • Netrukus Power Platform įdiegus Microsoft Entra ID nuolatinės prieigos vertinimą (CAE), vartotojo identifikavimas ir autentifikavimas bus dar saugesnis ir patikimesnis.

A08:2021 Programinės įrangos ir duomenų vientisumo triktys

  • „Power Platform“ komponentų valdymo procesas užtikrina saugų paketo šaltinio failų konfigūravimą, kad būtų išlaikytas programinės įrangos vientisumas.
  • Procesas užtikrina, kad tik viduje gauti paketai naudojami siekiant atremti pakaito ataką. Pakaito ataka, taip pat vadinama priklausomybės painiava, yra metodas, naudojamas programos kūrimo procesui užteršti saugiose įmonės aplinkose.
  • Prieš persiunčiant visiems užšifruotiems duomenims pritaikoma vientisumo apsauga. Patikrinami visi gaunamų užšifruotų duomenų vientisumo apsaugos metaduomenys.

OWASP 10 geriausių žemo kodo / be kodo rizikų: poveikio mažinimas Power Platform

Norėdami gauti patarimų, kaip sumažinti 10 pagrindinių OWASP paskelbtų žemo kodo / be kodo saugos rizikų, žiūrėkite šį dokumentą:

Power Platform - OWASP žemo kodo be kodo Top 10 rizikų (Balandis 2024)

Dažnai klientų užduodami saugos klausimai

Toliau pateikiami keli saugos klausimai, kuriuos užduoda klientai.

Kaip „Power Platform“ padeda apsisaugoti nuo klaidinančių spustelėjimų?

Klaidinantys spustelėjimai naudoja įdėtuosius „iframe“, neskaitant kitų komponentų, kad užvaldytų vartotojo sąveiką su žiniatinklio puslapiu. Tai labai reikšminga grėsmė prisijungimo puslapiams. „Power Platform“ neleidžia naudoti „iframe“ prisijungimo puslapiuose ir stipriai sumažina klaidinančių spustelėjimų pavojų.

Be to, organizacijos gali naudoti Turinio saugos strategiją (CSP), kad apribotų įdėjimą į patikimus domenus.

Ar „Power Platform“ palaiko turinio saugos strategiją?

„Power Platform“ palaiko Turinio saugos strategiją (CSP) modeliu pagrįstose programose. Mes nepalaikome nurodytų antraščių, kurias pakeičia CSP:

  • X-XSS-Protection
  • X-Frame-Options

Kaip saugiai prisijungti prie „SQL Server“?

Žr. Saugus „Microsoft SQL Server“ naudojimas su „Power Apps“.

Kokius šifrus palaiko „Power Platform“? Koks yra veiksmų planas taikyti vis patikimesnius šifrus?

Visos „Microsoft“ paslaugos ir produktai sukonfigūruoti taip, kad naudotų patvirtintus šifrų rinkinius tiksliai nurodyta „Microsoft Crypto Board“ tvarka. Visą sąrašą ir tikslią tvarką žr. „Power Platform“ dokumentuose.

Informacija apie nebenaudojamus šifrų rinkinius perduodama naudojant „Power Platform“ Svarbių pakeitimų dokumentus.

Kodėl „Power Platform“ vis dar palaiko RSA-CBC šifrus (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ir TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), kurie laikomi mažiau patikimais?

Pasirinkdama palaikomus šifrų rinkinius „Microsoft“ pasveria santykinę riziką ir poveikį klientų operacijoms. RSA-CBC šifrų rinkiniai dar nebuvo nulaužti. Įgalinome juos užtikrinti mūsų paslaugų ir produktų nuoseklumą bei palaikyti visas klientų konfigūracijas. Tačiau jie yra prioritetų sąrašo apačioje.

Tinkamu metu atsisakysime šių šifrų atsižvelgdami į nuolatinį „Microsoft Crypto Board“ vertinimą.

Kodėl „Power Automate“ atskleidžia MD5 turinio maišą paleidiklio / veiksmo įvestyse ir išvestyse?

„Power Automate“ perduoda pasirenkamą turinio MD5 maišos reikšmę, kurią „Azure“ saugykla grąžino savo klientams tokią, kokia yra. Šią maišą „Azure“ saugykla naudoja, kad patikrintų puslapio vientisumą transportuojant, kaip kontrolinės sumos algoritmą – ji naudojama kaip kriptografinė maišos funkcija „Power Automate“ saugos tikslams. Daugiau informacijos apie tai galite rasti "Azure" saugyklos dokumentacijoje, kaip gauti didelių dvejetainių objektų ypatybes ir kaip dirbti su užklausų antraštėmis.

Kaip „Power Platform“ apsaugo nuo paskirstytosios aptarnavimo perkrovos (DDoS) atakų?

„Power Platform“ yra pagrįsta „Microsoft Azure“ ir naudoja „Azure“ apsaugą nuo DDoS, kad apsaugotų nuo DDoS atakų.

Ar Power Platform aptinkami sugadinti iOS įrenginiai ir įsišakniję Android įrenginiai, padedantys apsaugoti organizacijos duomenis?

Rekomenduojame naudoti „Microsoft Intune“. „Intune“ yra mobiliųjų įrenginių valdymo sprendimas. Jis gali padėti apsaugoti organizacijos duomenis reikalaudamas, kad vartotojai ir įrenginiai atitiktų tam tikrus reikalavimus. Daugiau informacijos žr. „Intune“ atitikties strategijos parametrai.

Kodėl seansų slapukai apsiriboja pirminiu domenu?

„Power Platform“ apriboja seansų slapukus pirminiu domenu, kad organizacijose būtų galima autentifikuoti. Padomeniai nenaudojami kaip saugos ribos. Juose taip pat nelaikomas kliento turinys.

Kaip nustatyti, kad programos seanso skirtasis laikas būtų 15 minučių?

Power Platform naudoja Microsoft Entra ID tapatybės ir prieigos valdymą. Jis atitinka Microsoft Entra ID rekomenduojamą seansų valdymo konfigūraciją , kad būtų užtikrinta optimali vartotojo patirtis.

Tačiau galite tinkinti aplinkas, kad būtų nustatytas tikslus seansų ir (arba) veiklos skirtasis laikas. Daugiau informacijos žr. Vartotojo seansų ir prieigos valdymas.

Ateityje Power Platform įdiegus Microsoft Entra ID nuolatinės prieigos vertinimą, vartotojo identifikavimas ir autentifikavimas bus dar saugesnis ir patikimesnis.

Programa leidžia tam pačiam vartotojui tuo pačiu metu pasiekti daugiau nei vieną kompiuterį arba naršyklę. Kaip to išvengti?

Vartotojams patogu vienu metu pasiekti programą iš daugiau nei vieno įrenginio arba naršyklės. Power Platform"Būsimas ID Microsoft Entra nuolatinės prieigos vertinimo diegimas padės užtikrinti, kad prieiga būtų iš įgaliotų įrenginių ir naršyklių ir vis dar galiojanti.

Kodėl kai kurios „Power Platform“ paslaugos parodo serverio antraštes su daugiažode informacija?

„Power Platform“ paslaugos siekia pašalinti nebūtiną informaciją iš serverio antraštės. Tikslas yra subalansuoti detalumą rizikuojant atskleisti informaciją, kuri gali susilpninti bendrą saugos padėtį.

Kaip „Log4j“ pažeidžiamumas paveikia „Power Platform“? Ką klientai turėtų daryti šiuo atžvilgiu?

„Microsoft“ įvertino, kad joks „Log4j“ pažeidžiamumas nepaveiks „Power Platform“. Žr. mūsų interneto dienoraščio pranešimą apie „Log4j“ pažeidžiamumo išnaudojimo išvengimą, aptikimą ir paiešką.

Kaip užtikrinti, kad nebus neįgaliotų operacijų dėl naršyklių plėtinių ar vieningosios sąsajos kliento API, leidžiančių įgalinti išjungtus valdiklius?

Į „Power Apps“ saugos modelį neįtraukta išjungtų valdiklių sąvoka. Valdiklių išjungimas yra UI patobulinimas. Norėdami užtikrinti saugą, neturėtumėte pasikliauti išjungtais valdikliais. Verčiau naudokite „Dataverse“ valdiklius, pvz., lauko lygio saugą, kad išvengtumėte neįgaliotųjų operacijų.

Kurios HTTP saugos antraštės naudojamos atsakymų duomenims apsaugoti?

Pavadinimą Informacija
Griežto transportavimo saugumas Tai nustatyta max-age=31536000; includeSubDomains visuose atsakymuose.
X kadro parinktys Tai nebenaudojama CSP naudai.
X turinio tipo parinktys Tai nustatyta nosniff visiems turto atsakymams.
Turinio saugumo politika Tai nustatoma, jei vartotojas įgalina CSP.
X-XSS apsauga Tai nebenaudojama CSP naudai.

Kur galiu rasti „Power Platform“ arba „Dynamics 365“ įsilaužimo testus?

Naujausius įsilaužimo testus ir saugos vertinimus galima rasti „Microsoft“ paslaugų patikimumo portale.

Pastaba.

Norėdami pasiekti kai kuriuos tarnybų patikimumo portalo išteklius, turite prisijungti kaip autentifikuotas vartotojas naudodami savo "Microsoft" debesies paslaugų paskyrą (Microsoft Entra organizacijos paskyrą) ir peržiūrėti bei sutikti su "Microsoft" neatskleidimo sutartimi dėl atitikties medžiagos.

Sauga Microsoft Power Platform
„Power Platform“ paslaugų autentifikavimas
Prisijungimas prie duomenų šaltinių ir autentifikavimas
„Power Platform“ duomenų saugykla

Taip pat žr.