Drošība platformā Microsoft Power Platform
Power Platform nodrošina iespējas ātri un ērti izveidot risinājumus profesionāļiem un amatieriem. Šo risinājumu drošība ir svarīga. Power Platform ir būvēts, lai nodrošinātu nozares vadošo atbalstu.
Organizācijas paātrinās savu pāreju uz mākoņpakalpojumu, vēloties izmantot progresīvās tehnoloģijas operāciju un uzņēmējdarbības lēmumu pieņemšanas procesā. Vairāk darbinieku strādā attālināti. Klientu pieprasījums pēc tiešsaistes pakalpojumiem pieaug. Vairs nepietiek ar tradicionālo lokālās lietojumprogrammas drošību. Organizācijas, kas meklē mākonī iebūvētu, daudzpakāpju, pamata drošības risinājumu saviem biznesa informācijas datiem Power Platform. Valsts drošības aģentūras, finanšu iestādes un veselības aprupes sniedzēji uztic Power Platform savus sensitīvos datus.
Microsoft kopš 2000. gadu vidus ir veikusi milzīgus ieguldījumus drošībā. Vairāk nekā 3,500 Microsoft inženieri strādā, lai proaktīvi risinātu pastāvīgi mainīgo draudu ainavu. Microsoft drošība sākas mikroshēmas BIOS kodolā un sniedzas līdz pat lietotāja pieredzei. Šodien mūsu drošības grupa ir vismodernākā visā nozarē. Microsoft tiek plaši uzskatīta par pasaules līderi cīņā pret ļaunprātīgiem dalībniekiem. Miljardiem datoru, triljoniem pieteikšanās datu un zetabaitu datu ir uzticēti Microsoft aizsardzībai.
Power Platform ir veidots uz šī stiprā pamata. Tas izmanto to pašu drošības kaudzi, kas nopelnīja Azure tiesības sniegt un aizsargāt visjutīgākos pasaules datus, kā arī ir integrējams ar Microsoft 365 vismoderīgāko informācijas apstrādi un apstrādes rīkiem. Power Platform sniedz aizsardzību no sākuma līdz galam, kas ir izstrādāta, risinot mūsu klientu grūtākās problēmas mākoņkrātuves laikmetā:
- Kā mēs varam kontrolēt, kuri var izveidot savienojumu, no kurienes tie veido savienojumu, un kā izveidot savienojumu? Kā mēs varam kontrolēt savienojumus?
- Kā tiek glabāti mūsu dati? Kā tos šifrē? Kādas ir mūsu datu vadīklas?
- Kā mēs varam kontrolēt un aizsargāt mūsu sensitīvos datus? Kā mēs varam nodrošināt, ka mūsu dati nenoplūst ārpus organizācijas?
- Kā varam auditēt, kurš ko var darīt? Kā varam ātri reaģēt, ja atklājam aizdomīgu darbību?
Pārvaldība
Pakalpojumu Power Platform regulē Microsoft Tiešsaistes pakalpojumu noteikumi un Microsoft Uzņēmuma paziņojums par konfidencialitāti. Datu apstrādes atrašanās vietu skatiet Microsoft Tiešsaistes pakalpojumu noteikumos un Datu aizsardzības pielikumā.
Microsoft Drošības kontroles centrs ir galvenais atbilstības informācijas resurss Power Platform . Uzziniet vairāk sadaļā Microsoft Atbilstības piedāvājumi.
Pakalpojums Power Platform atbilst Drošības izstrādes dzīves ciklam (SDL). SDL ir stingra prakses kopa, kas atbalsta drošības garantijas un prasību izpildi. Uzziniet vairāk sadaļā Microsoft Drošības izstrādes dzīves cikla prakse.
Bieži sastopamās drošības koncepcijas pakalpojumā Power Platform
Power Platform ietver vairākus pakalpojumus. Daži no drošības jēdzieniem, ko šajā sērijā ietveram, attiecas uz visiem. Citi jēdzieni ir raksturīgi atsevišķiem pakalpojumiem. Ja drošības jēdzieni atšķiras, mēs tos izsauksim.
Visiem Power Platform pakalpojumiem lietotie drošības jēdzieni iekļauj:
- Pakalpojuma Power Platform sniegtā informācija un veids, kā tā plūst caur sistēmu
- Pakalpojumu autentificēšana Power Platform vai tas, kā lietotāji iegūst piekļuvi pakalpojumiem
- Savienojuma izveide un autentificēšana ar datu avotiem vai veids, kā pakalpojumi veido savienojumu ar datu avotiem un kā lietotāji iegūst piekļuvi datiem
- Datu glabāšana Power Platform vai datu aizsardzība neatkarīgi no tā, vai tie atrodas miera stāvoklī vai pārsūtīšanas laikā starp sistēmām un pakalpojumiem
Power Platform pakalpojuma arhitektūra
Power Platform pakalpojumi ir veidoti, izmantojot Azure Microsoft mākoņskaitļošanas platformu. Power Platform pakalpojuma arhitektūru veido četri komponenti:
- Tīmekļa priekšpuses klasteris
- Aizmugurējais klasteris
- Augstākās kvalitātes infrastruktūra
- Mobilās platformas
Tīmekļa priekšpuses klasteris
Attiecas uz Power Platform pakalpojumiem, kas rāda tīmekļa lietotāja interfeisu (UI). Tīmekļa priekšpuses klasteris lietotāja pārlūkam izmanto lietojumprogrammu vai pakalpojuma sākumlapu. Tas tiek izmantots Microsoft Entra , lai sākotnēji autentificētu klientus un nodrošinātu marķierus turpmākiem klientu savienojumiem ar Power Platform aizmugursistēmas pakalpojumu.
Tīmekļa priekšējās daļas klasteris sastāv no vietnes ASP.NET, kas darbojas Azure App Service Environment. Kad lietotājs apmeklē Power Platform pakalpojumu vai lietojumprogrammu, klienta DNS pakalpojums var iegūt vispiemērotāko (parasti tuvāko) datu centru no Azure datplūsmas pārvaldnieka. Papildu informāciju skatiet rakstā Veiktspējas maršrutēšanas metode Azure Traffic Manager.
Tīmekļa priekšpuses klasteris pārvalda pieteikšanās un autentifikācijas secību. Tas iegūst Microsoft Entra piekļuves pilnvaru pēc tam, kad lietotājs ir autentificēts. Komponents ASP.NET parsē marķieri, lai noteiktu, kurā organizācijā lietotājs pieder. Komponents pēc tam atbalsta globālo Power Platform aizmugures pakalpojumu, lai norādītu pārlūkprogrammu, kuras aizmugures klasteris izmitina organizācijas nomnieku. Nākamās klientu mijiedarbības notiek ar aizmugurpuses klasteru tieši, bez tīmekļa priekšpuses starpniecības.
Pārlūkprogramma tver statiskos resursus, piemēram, .js, .css un attēlu failus galvenokārt no Azure Content Delivery Network (CDN). Suverēnās valdības klasteru izvietošana ir izņēmums. Atbilstības iemelu dēļ Azure CDN izlaiž šos izvietojumus. Tā vietā viņi izmanto tīmekļa priekšējās daļas klasteru no saderīga reģiona, lai viesotu statisku saturu.
Power Platform aizmugurējais klasteris
Aizmugures klasteris ir visu pakalpojumā Power Platform pieejamo funkciju pamats. To veido servisa galapunkti, fona darba pakalpojumi, datu bāzes, kešatmiņas un citi komponenti.
Aizmugures klasteris ir pieejams lielākajā daļā Azure reģionu, un tiks izvietoti jaunos reģionos, kad tie kļūs pieejami. Viens reģions var viesot vairākus klasterus. Šī konfigurācija ļauj Power Platform pakalpojumiem veikt neierobežotu pakalpojumu horizontālo mērogošanu pēc tam, kad ir sasniegti viena klastera vertikālie un horizontālie mērogošanas ierobežojumi.
Aizmugures klasteri ir piesaistīti. Aizmugures klasteris vieso visus tam piešķirto nomnieku datus. Klasteris, kurā ir noteikta nomnieka dati, tiek saukts par nomnieka sākuma klasteru. Informācija par autentificēta lietotāja sākuma klasteru tiek nodrošināta, izmantojot Power Platform globālo aizmugurpuses pakalpojumu tīmekļa priekšējā klasterā. Tīmekļa priekšpuses klasteris izmanto informāciju, lai maršrutēt pieprasījumus uz nomnieka sākuma aizmugures klasteru.
Nomnieka metadati un dati tiek glabāti klasteru ierobežojumos. Izņēmums ir datu replicēšana sekundāram aizmugures klasteram, kas atrodas pārotā Azure ģeogrāfiskajā apgabalā. Sekundārais klasteris kalpo kā kļūmjpārlēce, ja pastāv reģionāls pārtraukums, un jebkurā citā laikā tas ir pasīvs. Mikropakalpojumi, kas darbojas dažādās mašīnās klastera virtuālajā tīklā, arī kalpo kā aizmugurējā klastera funkcionalitāte. No publiskā interneta ir pieejami tikai divi mikropakalpojumi:
- Gateway Service
- Azure API Management
Power Platform Augstākās kvalitātes infrastruktūra
Power Platform Augstākās kvalitātes versija sniedz piekļuvi paplašinātai savienotāju kopai kā apmaksātu pakalpojumu. Power Platform veidotājiem nav ierobežotas iespējas izmantot connectors lietojumlīnijas, taču ir programmas lietotāji. Tas nozīmē, ka programmas lietotājiem, kas ietver augstākās kvalitātes savienotājus, ir jābūt pareizai licencei, lai tiem piekļūtu. Power Platform aizmugures klastera pakalpojums nosaka, vai lietotājam ir piekļuve augstākās kvalitātes savienotājiem.
Mobilās platformas
Power Platform atbalsta un Android Windows (UWP) lietojumprogrammas iOS. Drošības apsvērumi mobilajām programmām ir iedalīti divās kategorijās:
- Saziņa ierīcēs
- Lietojumprogramma un dati ierīcē
Saziņa ierīcēs
Power Platform mobilās programmas izmanto tādas pašas savienojumu un autentifikācijas secības, ko izmanto pārlūkprogrammas. Android un iOS lietotnes lietotnē atver pārlūkprogrammas sesiju. Windows programmas izmanto starpnieku, lai izveidotu saziņas kanālu ar Power Platform pakalpojumiem, lai pierakstītos.
Tālāk sniegtajā tabulā ir parādīts uz sertifikātu bāzes veidots autentifikācijas (CBA) atbalsts mobilajām programmām.
CBA atbalsts | iOS | Android | Logi |
---|---|---|---|
Pierakstieties pakalpojumā | Atbalstīts | Atbalstīts | Netiek atbalstīts |
SSRS ADFS on-prem (izveidot savienojumu ar SSRS serveri) | Netiek atbalstīts | Atbalstīts | Netiek atbalstīts |
SSRS programmu starpnieks | Atbalstīts | Atbalstīts | Netiek atbalstīts |
Mobilās programmas aktīvi sazinās ar Power Platform pakalpojumiem. Programmu lietojuma statistika un līdzīgi dati tiek pārsūtīti uz pakalpojumiem, kas pārrauga lietošanu un darbību. Nav ietverti nekādi klientu dati.
Lietojumprogramma un dati ierīcē
Mobilā programma un tai pieprasītie dati tiek droši glabāti ierīcē. Microsoft Entra un atsvaidzinātie marķieri tiek glabāti, izmantojot nozares standarta drošības pasākumus.
Ierīces kešatmiņā saglabātie dati ietver programmas datus, lietotāja iestatījumus, kā arī informācijas paneļus un atskaites, piekļuvi iepriekšējām sesijām. Kešatmiņa tiek glabāta smilškastē iekšējā krātuvē. Kešatmiņa ir pieejama tikai lietojumprogrammai, un to var šifrēt operētājsistēma.
- iOS: šifrēšana notiek automātiski, kad lietotājs iestata ieejas kodu.
- Android: šifrēšana var tikt konfigurēta iestatījumos.
- Windows: šifrēšana tiek veikta, izmantojot BitLocker.
Microsoft Intune faila līmeņa šifrēšanu var izmantot, lai uzlabotu datu šifrēšanu. Intune ir programmatūras pakalpojums, kas nodrošina mobilo ierīču un lietojumprogrammu pārvaldību. Visas trīs mobilās platformas atbalsta Intune. Ja Intune ir iespējots un konfigurēts, dati mobilajā ierīcē ir šifrēti, un Power Platform programmu nevar instalēt SD kartē.
Windows programmas atbalsta arī Windows informācijas aizsardzību (WIP).
Kešddarbes dati tiek dzēsti, ja lietotājs:
- atinstalē programmu
- izrakstas no pakalpojuma Power Platform
- neizdodas pieteikties pēc paroles maiņas vai marķiera derīguma termiņa beigām
pats iespējo vai atspējo ģeolokāciju. Ja tas ir iespējots, ģeogrāfiskās atrašanās vietas dati netiek saglabāti ierīcē un netiek kopīgoti ar to Microsoft.
pats iespējo vai atspējo paziņojumus. Ja paziņojumi ir iespējoti Android un iOS neatbalsta ģeogrāfisko datu rezidences vietas prasības.
Power Platform mobilie pakalpojumi nevar piekļūt citām ierīces lietojumprogrammu mapēm vai failiem.
Daži uz marķieriem balstīti autentifikācijas dati ir pieejami citām Microsoft lietotnēm, piemēram, autentifikatoram, lai iespējotu vienoto pierakstīšanos. Šos datus pārvalda autentifikācijas Microsoft Entra bibliotēkas SDK.
Saistītie raksti
Pakalpojumu autentificēšana Power Platform
Savienojuma izveide un autentificēšana ar datu avotiem
Datu glabāšana Power Platform
Power Platform drošības BUJ
Skatiet arī:
- Drošība Microsoft Dataverse
- Microsoft Tiešsaistes pakalpojumu noteikumi
- Microsoft Uzņēmuma paziņojums par konfidencialitāti
- Pielikums par datu aizsardzību
- Microsoft Drošības izstrādes dzīves cikla prakse
- Veiktspējas trafika maršrutēšanas metode pakalpojumam Azure Traffic Manager
- Microsoft Intune
- Windows informācijas aizsardzība (WIP)