Drošība platformā Microsoft Power Platform
Power Platform nodrošina iespējas ātri un ērti izveidot risinājumus profesionāļiem un amatieriem. Šo risinājumu drošība ir svarīga. Power Platform ir būvēts, lai nodrošinātu nozares vadošo atbalstu.
Organizācijas paātrinās savu pāreju uz mākoņpakalpojumu, vēloties izmantot progresīvās tehnoloģijas operāciju un uzņēmējdarbības lēmumu pieņemšanas procesā. Vairāk darbinieku strādā attālināti. Klientu pieprasījums pēc tiešsaistes pakalpojumiem pieaug. Vairs nepietiek ar tradicionālo lokālās lietojumprogrammas drošību. Organizācijas, kas meklē mākonī iebūvētu, daudzpakāpju, pamata drošības risinājumu saviem biznesa informācijas datiem Power Platform. Valsts drošības aģentūras, finanšu iestādes un veselības aprupes sniedzēji uztic Power Platform savus sensitīvos datus.
Kopš 2000. gada vidū Korporācija Microsoft ir veikusi ieguldījumus drošības nozarē. Vairāk nekā 3500 Microsoft izstrādātāju darbojas, lai proaktīvi risinātu pastāvīgo draudu iespējamo rašanos. Microsoft drošība sākas ar skaidaS UNDUSdu un paplašina visu veidu līdz lietotāja pieredzei. Šodien mūsu drošības grupa ir vismodernākā visā nozarē. Korporācija Microsoft ir plaši apskatīta kā globālais līderis cīņā pret ļaunprāšiem. Miljardiem datoru, triljoniem pieteikšanos un datu zetabaiti tiek uzticēti Microsoft, lai tos pasargātu.
Power Platform ir veidots uz šī stiprā pamata. Tas izmanto to pašu drošības kaudzi, kas nopelnīja Azure tiesības sniegt un aizsargāt visjutīgākos pasaules datus, kā arī ir integrējams ar Microsoft 365 vismoderīgāko informācijas apstrādi un apstrādes rīkiem. Power Platform sniedz aizsardzību no sākuma līdz galam, kas ir izstrādāta, risinot mūsu klientu grūtākās problēmas mākoņkrātuves laikmetā:
- Kā mēs varam kontrolēt, kuri var izveidot savienojumu, no kurienes tie veido savienojumu, un kā izveidot savienojumu? Kā mēs varam kontrolēt savienojumus?
- Kā tiek glabāti mūsu dati? Kā tos šifrē? Kādas ir mūsu datu vadīklas?
- Kā mēs varam kontrolēt un aizsargāt mūsu sensitīvos datus? Kā mēs varam nodrošināt, ka mūsu dati nenoplūst ārpus organizācijas?
- Kā varam auditēt, kurš ko var darīt? Kā varam ātri reaģēt, ja atklājam aizdomīgu darbību?
Pārvaldība
Power Platform pakalpojumu pārvalda Microsoft Online Services Terms un Microsoft Enterprise paziņojums par konfidencialitāti. Datu apstrādes atrašanās vietu skatiet Microsoft Online Services Terms un Datu aizsardzības pielikumā.
Microsoft drošības kontroles centrs ir primārais resurss, kas paredzēts informācijas nodrošināšanai Power Platform . Uzziniet vairāk Microsoft Atbilstības piedāvājumi.
Pakalpojums Power Platform atbilst Drošības izstrādes dzīves ciklam (SDL). SDL ir stingra prakses kopa, kas atbalsta drošības garantijas un prasību izpildi. Papildu informāciju skatiet Microsoft Drošības izstrādes cikla prakses.
Bieži sastopamās drošības koncepcijas pakalpojumā Power Platform
Power Platform ietver vairākus pakalpojumus. Daži no drošības jēdzieniem, ko šajā sērijā ietveram, attiecas uz visiem. Citi jēdzieni ir raksturīgi atsevišķiem pakalpojumiem. Ja drošības jēdzieni atšķiras, mēs tos izsauksim.
Visiem Power Platform pakalpojumiem lietotie drošības jēdzieni iekļauj:
- Pakalpojuma Power Platform sniegtā informācija un veids, kā tā plūst caur sistēmu
- Autentificēšanās ar Power Platform pakalpojumiem vai veids, kā lietotāji iegūst piekļuvi pakalpojumiem
- Datu avotu savienojuma izveide un autentifikācijavai veids, kā pakalpojumi izveido savienojumu ar datu avotiem un lietotāji iegūst piekļuvi datiem
- Datu krātuve Power Platform vai kā tiek aizsargāti dati neatkarīgi no tā, vai tie ir neaktīvi, vai tiek pārvietoti starp sistēmām un pakalpojumiem
Power Platform pakalpojuma arhitektūra
Power Platform pakalpojumi ir būvēti uz Azure, Microsoft mākoņskaitļošanas platformas. Power Platform pakalpojuma arhitektūru veido četri komponenti:
- Tīmekļa priekšpuses klasteris
- Aizmugurējais klasteris
- Augstākās kvalitātes infrastruktūra
- Mobilās platformas
Tīmekļa priekšpuses klasteris
Attiecas uz Power Platform pakalpojumiem, kas rāda tīmekļa lietotāja interfeisu (UI). Tīmekļa priekšpuses klasteris lietotāja pārlūkam izmanto lietojumprogrammu vai pakalpojuma sākumlapu. Tas tiek izmantots Microsoft Entra , lai sākotnēji autentificētu klientus un nodrošinātu marķierus turpmākiem klientu savienojumiem ar Power Platform aizmugursistēmas pakalpojumu.
Tīmekļa priekšējās daļas klasteris sastāv no vietnes ASP.NET, kas darbojas Azure App Service Environment. Kad lietotājs apmeklē Power Platform pakalpojumu vai lietojumprogrammu, klienta DNS pakalpojums var iegūt vispiemērotāko (parasti tuvāko) datu centru no Azure datplūsmas pārvaldnieka. Papildu informāciju skatiet rakstā Veiktspējas maršrutēšanas metode Azure Traffic Manager.
Tīmekļa priekšpuses klasteris pārvalda pieteikšanās un autentifikācijas secību. Tas iegūst Microsoft Entra piekļuves pilnvaru pēc tam, kad lietotājs ir autentificēts. Komponents ASP.NET parsē marķieri, lai noteiktu, kurā organizācijā lietotājs pieder. Komponents pēc tam atbalsta globālo Power Platform aizmugures pakalpojumu, lai norādītu pārlūkprogrammu, kuras aizmugures klasteris izmitina organizācijas nomnieku. Nākamās klientu mijiedarbības notiek ar aizmugurpuses klasteru tieši, bez tīmekļa priekšpuses starpniecības.
Pārlūkprogramma tver statiskos resursus, piemēram, .js, .css un attēlu failus galvenokārt no Azure Content Delivery Network (CDN). Suverēnās valdības klasteru izvietošana ir izņēmums. Atbilstības iemelu dēļ Azure CDN izlaiž šos izvietojumus. Tā vietā viņi izmanto tīmekļa priekšējās daļas klasteru no saderīga reģiona, lai viesotu statisku saturu.
Power Platform aizmugurējais klasteris
Aizmugures klasteris ir visu pakalpojumā Power Platform pieejamo funkciju pamats. To veido servisa galapunkti, fona darba pakalpojumi, datu bāzes, kešatmiņas un citi komponenti.
Aizmugures klasteris ir pieejams lielākajā daļā Azure reģionu, un tiks izvietoti jaunos reģionos, kad tie kļūs pieejami. Viens reģions var viesot vairākus klasterus. Šī konfigurācija ļauj Power Platform pakalpojumiem veikt neierobežotu pakalpojumu horizontālo mērogošanu pēc tam, kad ir sasniegti viena klastera vertikālie un horizontālie mērogošanas ierobežojumi.
Aizmugures klasteri ir piesaistīti. Aizmugures klasteris vieso visus tam piešķirto nomnieku datus. Klasteris, kurā ir noteikta nomnieka dati, tiek saukts par nomnieka sākuma klasteru. Informācija par autentificēta lietotāja sākuma klasteru tiek nodrošināta, izmantojot Power Platform globālo aizmugurpuses pakalpojumu tīmekļa priekšējā klasterā. Tīmekļa priekšpuses klasteris izmanto informāciju, lai maršrutēt pieprasījumus uz nomnieka sākuma aizmugures klasteru.
Nomnieka metadati un dati tiek glabāti klasteru ierobežojumos. Izņēmums ir datu replicēšana sekundāram aizmugures klasteram, kas atrodas pārotā Azure ģeogrāfiskajā apgabalā. Sekundārais klasteris kalpo kā kļūmjpārlēce, ja pastāv reģionāls pārtraukums, un jebkurā citā laikā tas ir pasīvs. Mikropakalpojumi, kas darbojas dažādās mašīnās klastera virtuālajā tīklā, arī kalpo kā aizmugurējā klastera funkcionalitāte. No publiskā interneta ir pieejami tikai divi mikropakalpojumi:
- Gateway Service
- Azure API Management
Power Platform Augstākās kvalitātes infrastruktūra
Power Platform Augstākās kvalitātes versija sniedz piekļuvi paplašinātai savienotāju kopai kā apmaksātu pakalpojumu. Power Platform veidotājiem nav ierobežotas iespējas izmantot connectors lietojumlīnijas, taču ir programmas lietotāji. Tas nozīmē, ka programmas lietotājiem, kas ietver augstākās kvalitātes savienotājus, ir jābūt pareizai licencei, lai tiem piekļūtu. Power Platform aizmugures klastera pakalpojums nosaka, vai lietotājam ir piekļuve augstākās kvalitātes savienotājiem.
Mobilās platformas
Power Platform atbalsta un Android Windows (UWP) lietojumprogrammas iOS. Drošības apsvērumi mobilajām programmām ir iedalīti divās kategorijās:
- Saziņa ierīcēs
- Lietojumprogramma un dati ierīcē
Saziņa ierīcēs
Power Platform mobilās programmas izmanto tādas pašas savienojumu un autentifikācijas secības, ko izmanto pārlūkprogrammas. Android un iOS lietotnes lietotnē atver pārlūkprogrammas sesiju. Windows programmas izmanto starpnieku, lai izveidotu saziņas kanālu ar Power Platform pakalpojumiem, lai pierakstītos.
Tālāk sniegtajā tabulā ir parādīts uz sertifikātu bāzes veidots autentifikācijas (CBA) atbalsts mobilajām programmām.
| CBA atbalsts | iOS | Android | Logi |
|---|---|---|---|
| Pierakstieties pakalpojumā | Atbalstīts | Atbalstīts | Netiek atbalstīts |
| SSRS ADFS on-prem (izveidot savienojumu ar SSRS serveri) | Netiek atbalstīts | Atbalstīts | Netiek atbalstīts |
| SSRS programmu starpnieks | Atbalstīts | Atbalstīts | Netiek atbalstīts |
Mobilās programmas aktīvi sazinās ar Power Platform pakalpojumiem. Programmu lietojuma statistika un līdzīgi dati tiek pārsūtīti uz pakalpojumiem, kas pārrauga lietošanu un darbību. Nav ietverti nekādi klientu dati.
Lietojumprogramma un dati ierīcē
Mobilā programma un tai pieprasītie dati tiek droši glabāti ierīcē. Microsoft Entra un atsvaidzinātie marķieri tiek glabāti, izmantojot nozares standarta drošības pasākumus.
Ierīces kešatmiņā saglabātie dati ietver programmas datus, lietotāja iestatījumus, kā arī informācijas paneļus un atskaites, piekļuvi iepriekšējām sesijām. Kešatmiņa tiek glabāta smilškastē iekšējā krātuvē. Kešatmiņa ir pieejama tikai lietojumprogrammai, un to var šifrēt operētājsistēma.
- iOS: šifrēšana notiek automātiski, kad lietotājs iestata ieejas kodu.
- Android: šifrēšana var tikt konfigurēta iestatījumos.
- Windows: šifrēšana tiek veikta, izmantojot BitLocker.
Microsoft Intune faila līmeņa šifrēšana var tikt izmantota, lai uzlabotu datu šifrēšanas līmeni. Intune ir programmatūras pakalpojums, kas nodrošina mobilo ierīču un lietojumprogrammu pārvaldību. Visas trīs mobilās platformas atbalsta Intune. Ja Intune ir iespējots un konfigurēts, dati mobilajā ierīcē ir šifrēti, un Power Platform programmu nevar instalēt SD kartē.
Windows programmas atbalsta arī Windows informācijas aizsardzību (WIP).
Kešddarbes dati tiek dzēsti, ja lietotājs:
- atinstalē programmu
- izrakstas no pakalpojuma Power Platform
- neizdodas pieteikties pēc paroles maiņas vai marķiera derīguma termiņa beigām
pats iespējo vai atspējo ģeolokāciju. Ja šī opcija ir iespējota, ģeolokācijas dati netiek saglabāti ierīcē un netiek kopīgoti ar Microsoft.
pats iespējo vai atspējo paziņojumus. Ja paziņojumi ir iespējoti Android un iOS neatbalsta ģeogrāfisko datu rezidences vietas prasības.
Power Platform mobilie pakalpojumi nevar piekļūt citām ierīces lietojumprogrammu mapēm vai failiem.
Daži uz marķieriem balstīti autentifikācijas dati ir pieejami citām Microsoft programmām, piemēram, Authenticator, lai iespējotu vienoto pierakstīšanās informāciju. Šos datus pārvalda autentifikācijas Microsoft Entra bibliotēkas SDK.
Saistītie raksti
Autentificēšanās Power Platform pakalpojumos
Savienojuma izveide un autentifikācija datu avotos
Datu krātuve pakalpojumā Power Platform
Power Platform bieži uzdotie jautājumi par drošību
Skatiet arī:
- Drošība pakalpojumā Microsoft Dataverse
- Microsoft Online Services Terms
- Microsoft Enterprise paziņojums par konfidencialitāti
- Datu aizsardzības pielikums
- Microsoft Drošības izstrādes cikla prakses
- Veiktspējas maršrutēšanas metode Azure Traffic Manager
- Microsoft Intune
- Windows informācijas aizsardzība (WIP)