Bieži uzdoti jautājumi par Power Platform drošību
Bieži uzdotie jautājumi par Power Platform drošību ir iedalīti divās kategorijās:
Kā Power Platform izstrādāts, lai nodrošinātu 10 galvenos Open Web Application Security Project® (OWASP) riskus
Jautājumi, ko vaicā mūsu klienti
Lai būtu vienkāršāk atrast jaunāko informāciju, šī raksta beigās tiek pievienoti jauni jautājumi.
OWASP 10 galvenie riski: novēršanas pasākumi programmā Power Platform
Open Web Application Security Project® (OWASP) ir bezpeļņas fonds, kad darbojas, lai uzlabotu programmatūru drošību. Kopienas vadītos atvērtā koda programmatūras projektos ar simtiem nodaļu visā pasaulē, desmitiem tūkstošu dalībnieku un vadošu mācību un mācību konferencēm OWASP fonds ir izstrādātāju un tehnisko darbinieku avots, lai padarītu tīmekli drošāku.
OWASP TOP 10 ir standarta dokuments, kas tiek lietots, lai informētu izstrādātājus un citus, kurus interesē tīmekļa lietojumprogrammu drošība. Tas atspoguļo vispārēju vienošanos attiecībā uz kritiskākajiem tīmekļa programmu drošības riskiem. Šajā sadaļā mēs apspriedīsim, kā Power Platform palīdz novērst šos riskus.
A01:2021 Lauzta piekļuves vadīkla
- Power Platform drošības modelis ir veidots uz mazāk priviliģēto piekļuvi (LPA). LPA ļauj klientiem būvēt lietojumprogrammas ar smalkāku piekļuves vadību.
- Power Platform izmanto Microsoft Entra ID (Microsoft Entra ID) Microsoft identitātes platformu , lai autorizētu visus API zvanus ar nozares standarta OAuth 2.0 protokolu.
- Dataverse, kas nodrošina pamatā esošos datus Power Platform, ir bagātīgs drošības modelis, kas ietver vides līmeņa, lomu, kā arī ierakstu un lauka līmeņa drošību.
A02:2021 kriptogrāfiskas kļūmes
Dati tranzītā:
- Power Platform Izmanto TLS, lai šifrētu visu HTTP bāzes tīkla datplūsmu. Tā izmanto citus mehānismus, lai šifrētu ar HTTP nesaistīto tīkla datplūsmu, kurā ir ietverti klientu vai konfidenciāli dati.
- Power Platform izmanto stabilu TLS konfigurāciju, kas nodrošina HTTP stingro transporta drošību (HSTS):
- TLS 1.2 vai lielāks
- ECDHE bāzēti šifru komplekti un NIST līknes
- Spēcīgas atslēgas
Dati dīkstāves režīmā:
- Visi klientu dati tiek šifrēti, pirms tie tiek pārrakstīti uz krātuves līdzekli, kas nav gaistošs.
Power Platform izmanto nozares standarta labāko praksi, lai novērstu injekciju uzbrukumus, tostarp:
- Izmantojot drošus API ar parametru saskarnēm
- Piemērojot attīstībā esošas priekšgalsistēmas satvaru iespējas, lai attīrītu ievadi
- Izvades attīrīšana ar servera puses validāciju
- Statiskas analīzes rīku izmantošana veidošanas laikā
- Katra servisa draudu modeļa pārskatīšana ik pēc sešiem mēnešiem neatkarīgi no tā, vai ir atjaunināts kods, dizains vai infrastruktūra
- Power Platform ir būvēts uz droša noformējuma kultūras un metodoloģijas bāzes Gan kultūru, gan metodoloǵiju nemitīgi stiprina, izmantojot Microsoft vadošo Security Development Lifecycle(SDL) un apdraudējuma modelēšanas praksi.
- Apdraudējuma modelēšanas izvērtējuma process nodrošina, ka apdraudējums tiek identificēts noformēšanas posmā, novērsts un pārbaudīts, lai pārliecinātos, ka draudu vairs nav.
- Apdraudējuma modelēšanā arī tiek ņemtas vērā visas pakalpojumu izmaiņas, kas jau ir aktīvas, izmantojot nepārtrauktu, regulāru izvērtēšanu. Paļaujoties uz STRIDE modeli, jūs varat risināt biežākās nedroša noformējuma problēmas.
- Microsoft SDL ir ekvivalents OWASP Software Assurance Maturity Model (SAMM). Abi ir veidoti uz premisas, ka drošs noformējums ir būtisks tīmekļa programmas drošībai.
A05:2021 Drošības nepareiza konfigurācija
- "Liegums pēc noklusējuma" ir viens no Power Platform noformēšanas principu pamatiem. Ar iestatījumu "Liegums pēc noklusējuma" klientiem ir jāpārskata jaunie līdzekļi un konfigurācijas un tie jāizvēlas.
- Būvēšanas laikā visas nepareizās konfigurācijas tiek fiksētas, izmantojot integrēto drošības analīzi, izmantojotdrošas izstrādes rīkus.
- Turklāt Power Platform izmanto Dinamiskās analīzes drošības testēšanu (DAST), izmantojot iekšēju pakalpojumu, kas veidots uz OWASP 10 galveno risku bāzes.
A06:2021 Neaizsargāti un novecojuši komponenti
- Power Platform seko Korporācijas Microsoft SDL praksei pārvaldīt atvērtā koda un trešo pušu komponentus. Šāda prakse ietver visa inventāra uzturēšanu, drošības analīžu veikšanu, komponentu jaunināšanu un salāgošanu ar komponentiem, kuriem ir izmēǵināts un pārbaudīts drošības incidentu reaģēšanas process.
- Retos gadījumos dažās lietojumprogrammās var būt novecojušu komponentu kopijas, jo ir ārējas atkarības. Tomēr pēc tam, kad šīs atkarības ir novērstas atbilstoši iepriekš aprakstītajām darbībām, komponenti tiek izsekoti un atjaunināti.
A07:2021 Identificēšanas un autentificēšanas kļūmes
- Power Platform ir veidots un atkarīgs no Microsoft Entra ID identifikācijas un autentifikācijas.
- Microsoft Entra palīdz Power Platform iespējot drošus līdzekļus. Šie līdzekļi ir vienotā pierakstīšanās, vairāku faktoru autentifikācija un atsevišķa platforma, lai ar iekšējiem un ārējiem lietotājiem mijiedarbotos drošākā veidā.
- Līdz ar Power Platform gaidāmo ID Microsoft Entra nepārtrauktas piekļuves novērtēšanas (CAE) ieviešanu, lietotāju identifikācija un autentifikācija būs vēl drošāka un uzticamāka.
A08:2021 programmatūras un datu integritātes kļūmes
- Power Platform komponentu pārvaldības process nodrošina drošu pakotnes avota failu konfigurāciju, lai saglabātu programmatūras integritāti.
- Process nodrošina, ka tiek apkalpotas tikai iekšējas avota pakotnes, lai risinātu aizstāšanas uzbrukumus. Aizstāšanas uzbrukums jeb atkarības apjukums ir metode, ko var izmantot, lai bojātu programmas veidošanas procesu drošās uzņēmumu vidēs.
- Visiem šifrētajiem datiem ir integritātes aizsardzība, ko lieto pirms to pārsūtīšanas. Tiek validēti visi ienākošajiem šifrētajiem datiem sniegtie integritātes metadati.
OWASP top 10 zema koda/bez koda riski: mazināšanas Power Platform
Norādījumus par OWASP publicēto 10 populārāko zema koda/bez koda drošības risku mazināšanu skatiet šajā dokumentā:
Power Platform - OWASP zema koda Nr. koda top 10 riski (Aprīlis 2024)
Bieži uzdotie jautājumi par klientu drošību
Tālāk ir iekļauti daži no mūsu klientiem uzdotajiem drošības jautājumiem.
Kā Power Platform palīdz aizsargāties pret slēptajiem klikšķiem?
Slēptie klikšķi, citu starpā, izmanto iegultus iframe, lai pārņemtu lietotāja mijiedarbību ar tīmekļa vietni. Tas ir būtisks drauds pierakstīšanās lapās. Power Platform neļauj iframes izmantošanu pierakstīšanās lapās, būtiski samazinot slēpto klikšķu risku.
Turklāt organizācijas var izmantot Satura drošības politiku (CSP), lai ierobežotu iegulšanu uzticamos domēnos.
Vai Power Platform atbalsta Satura drošības politiku?
Power Platform atbalsta satura drošības politiku (CSP) modeļa vadītām programmām. Mēs neatbalstām tālāk norādītos virsrakstus, kas tiek aizstāti ar CSP:
X-XSS-ProtectionX-Frame-Options
Kā droši izveidot savienojumu ar SQL Server?
Skat. Microsoft SQL Server droša izmantošana kopā ar Power Apps.
Kādus šifrus atbalsta Power Platform? Kāds ir plāns, lai turpinātu stiprināt šifrus?
Visi Microsoft pakalpojumi un produkti ir konfigurēti, lai izmantotu apstiprinātos šifrēšanas produktus tieši tādā secībā, kādu nosaka Microsoft Cripto Board. Pilnu sarakstu un precīzu secību skatiet Power Platform dokumentācijā.
Informācija par šifru produktu novecojošām versijām tiek publicēta ar Power Platform dokumentāciju Būtiskas izmaiņas.
Kāpēc Power Platform joprojām atbalsta RSA-CBC šifrus (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) un TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), kurus uzskata par vājākiem?
Korporācija Microsoft, izvēloties atbalstāmos šifru produktus, izsver relatīvo risku un klientu operāciju traucējumus. RSA-CBC šifru produkti vēl nav bijuši uzlauzti. Esam tiem ļāvuši nodrošināt konsekvenci visos mūsu pakalpojumos un produktos, kā arī atbalstīs visas klientu konfigurācijas. Taču tie atrodas prioritātes saraksta apakšdaļā.
Šos šifrus padarīsim par novecojušiem īstajā laikā, balstoties Microsoft Crypto Board nepārtrauktajā novērtējumā.
Kāpēc Power Automate atklāj MD5 satura jaucējus izraisīšanas/darbību ievadēs un izvadēs?
Power Automate nodod neobligāto satura MD5 jaucējvērtību, ko Azure Storage tādu, kādu tā ir, atgriež klientiem. Šo jaucēju izmanto Azure Storage, lai verificētu lapas integritāti transportēšanas laikā kā kontrolsummas algoritmu, un drošības apsvērumu dēļ to Power Automate neizmanto kā kriptogrāfisku jaucējfunkciju. Papildinformāciju par to varat atrast Azure krātuves dokumentācijā par to, kā iegūt Blob rekvizītus un kā strādāt ar pieprasījuma galvenēm.
Kā Power Platform aizsargā pret izplatīto pakalpojuma liegumu (DDoS) uzbrukumiem?
Power Platform ir veidota uz Microsoft Azure bāzes un izmanto Azure DDoS aizsardzību, lai aizsargātos pret DDoS uzbrukumiem.
Vai Power Platform noteikt jailbroken iOS ierīces un sakņotas Android ierīces, lai palīdzētu aizsargāt organizācijas datus?
Iesakām lietot Microsoft Intune. Intune ir mobilo ierīču pārvaldības risinājums. Tas var palīdzēt aizsargāt organizācijas datus, pieprasot lietotājiem un ierīcēm izpildīt noteiktas prasības. Papildinformāciju skatiet Intune drošības politikas iestatījumos.
Kāpēc sesijas sīkfaili tiek tverti attiecībā uz primāro domēnu?
Power Platform attiecina sesijas sīkfaili līdz primārajam domēnam, lai atļautu autentifikāciju dažādās organizācijās. Apakšdomēni netiek izmantoti kā drošības robežas. Tāpat tie nevieso klienta saturu.
Kā iestatīt lietojumprogrammas sesijas taimautu pēc, teiksim, 15 minūtēm?
Power Platform izmanto Microsoft Entra ID identitātes un piekļuves pārvaldību. Tas atbilst Microsoft Entra ID ieteiktajai sesiju pārvaldības konfigurācijai , lai nodrošinātu optimālu lietotāja pieredzi.
Tomēr vidēs var pielāgot skaidru sesijas un/vai darbības taimautu. Papildinformāciju skatiet Lietotāja sesiju un piekļuves pārvaldība.
Ar Power Platform gaidāmo ID Microsoft Entra nepārtrauktas piekļuves novērtēšanas ieviešanu lietotāju identifikācija un autentifikācija būs vēl drošāka un uzticamāka.
Šī lietojumprogramma ļauj vienam lietotājam vienlaikus piekļūt no vairākām mašīnām vai pārlūkprogrammas. Kā to novērst?
Piekļuve lietojumprogrammai no vairāk nekā vienas ierīces vai pārlūka vienlaikus ir lietotāju ērtība. Power Platform"gaidāmā ID Microsoft Entra nepārtrauktas piekļuves novērtēšanas ieviešana palīdzēs nodrošināt, ka piekļuve ir no autorizētām ierīcēm un pārlūkprogrammām un joprojām ir derīga.
Kāpēc daži Power Platform pakalpojumi atklāj serveru virsrakstus ar verbālu informāciju?
Power Platform pakalpojumi darbojas, lai no servera virsraksta noņemtu lieku informāciju. Mērķis ir līdzsvarot detalizēto detalizēto līmeni ar ar informācijas atklāšanas risku, kas var mazināt vispārējo drošības līmeni.
Kā log4j ievainojamība ietekmē Power Platform? Kas klientiem ir jādara šajā saistībā?
Korporācija Microsoft ir izvērtējusi, ka neviena Log4j neietekmē Power Platform. Skatiet mūsu emuāru ziņu par to, kā novērst, konstatēt un meklēt Log4j ievainojamības lietojumu.
Kā mēs varam nodrošināt, ka pārlūkprogrammas paplašinājumu vai vienotā interfeisa klientu API dēļ nav nepilnvarotu transakciju, kas atļautu iespējot atspējotas vadīklas?
Power Apps drošības modelis neietver atspējoto vadīklu jēdzienu. Vadīklu atspējošana ir UI uzlabojums. Lai nodrošinātu drošību, jums nevajadzētu paļauties uz atspējotām vadīklām. Tā vietā izmantojiet Dataverse vadīklas, piemēram, lauka līmeņa drošību, lai novērstu neatļautas transakcijas.
Kuras HTTP drošības galvenes tiek izmantotas, lai aizsargātu atbildes datus?
| Nosaukums/vārds | Detalizēta informācija |
|---|---|
| Stingra transporta drošība | Tas ir iestatīts uz max-age=31536000; includeSubDomains visām atbildēm. |
| X-Frame opcijas | Tas ir novecojis par labu CSP. |
| X-satura tipa opcijas | Tas attiecas uz nosniff visām aktīvu atbildēm. |
| Satura drošība-politika | Tas tiek iestatīts, ja lietotājs iespējo CSP. |
| X-XSS aizsardzība | Tas ir novecojis par labu CSP. |
Kur var atrast Power Platform vai Dynamics 365 penetrācijas testus?
Jaunākos penetrācijas testus un drošības novērtējumu var atrast Microsoft Service Trust portālā.
Note
Lai piekļūtu dažiem pakalpojumu drošības kontroles portāla resursiem, jums ir jāpiesakās kā autentificētam lietotājam ar savu Microsoft mākoņpakalpojumu kontu (Microsoft Entra organizācijas kontu), kā arī jāpārskata un jāpiekrīt Microsoft neizpaušanas līgumam par atbilstības materiāliem.
Saistītie raksti
Drošība pakalpojumā Microsoft Power Platform
Autentificēšanās Power Platform pakalpojumos
Savienojuma izveide un autentifikācija datu avotos
Datu krātuve pakalpojumā Power Platform