Ambil perhatian
Akses ke halaman ini memerlukan kebenaran. Anda boleh cuba log masuk atau menukar direktori.
Akses ke halaman ini memerlukan kebenaran. Anda boleh cuba menukar direktori.
Soalan yang lazim ditanya tentang keselamatan Power Platform terbahagi kepada dua kategori:
Cara Power Platform telah direka bentuk untuk membantu mengurangkan 10 risiko teratas Open Web Application Security Project® (OWASP)
Soalan yang ditanya oleh pelanggan kami
Untuk memudahkan anda mencari maklumat terkini, soalan baharu ditambahkan pada penghujung artikel ini.
10 risiko teratas OWASP: Pengurangan dalam Power Platform
Open Web Application Security Project® (OWASP) ialah yayasan bukan untung yang berfungsi untuk meningkatkan keselamatan perisian. Melalui projek perisian sumber terbuka yang diterajui komuniti, beratus-ratus bab di seluruh dunia, berpuluh-puluh ribu ahli dan persidangan pendidikan dan latihan yang terkemuka, Yayasan OWASP ialah sumber bagi pembangun dan ahli teknologi untuk melindungi web.
10 teratas OWASP ialah dokumen kesedaran standard untuk pembangun dan orang lain yang berminat dalam keselamatan aplikasi web. Ia mewakili kesepakatan yang luas tentang risiko keselamatan yang paling kritikal untuk aplikasi web. Dalam bahagian ini, kami membincangkan cara Power Platform membantu mengurangkan risiko ini.
- Model keselamatan Power Platform dibina pada Akses Kurang Kelayakan (LPA). LPA membolehkan pelanggan membina aplikasi dengan kawalan akses yang lebih terperinci.
- Power Platform menggunakan Microsoft Entra PlatformMicrosoft Entra Identiti Microsoft ID ( ID) untuk kebenaran semua panggilan API dengan protokol 2.0 standard OAuth industri.
- Dataverse, yang menyediakan data asas untuk Power Platform, mempunyai model keselamatan yang kaya yang merangkumi peringkat persekitaran, berasaskan peranan dan keselamatan peringkat rekod dan medan.
A02:2021 Kegagalan Kriptografi
Data dalam transit:
- Power Platform menggunakan TLS untuk menyulitkan semua trafik rangkaian berasaskan HTTP. Ia menggunakan mekanisme lain untuk menyulitkan trafik rangkaian bukan HTTP yang mengandungi data pelanggan atau sulit.
- Power Platform menggunakan konfigurasi TLS keras yang mendayakan Keselamatan Pengangkutan HTTP yang Ketat (HSTS):
- TLS 1.2 atau kemudian
- Suite sifer berasaskan ECDHE dan lengkung NIST
- Kekunci kuat
Data tidak aktif:
- Semua data pelanggan disulitkan sebelum ditulis ke media storan yang tidak meruap.
Power Platform menggunakan amalan terbaik standard industri untuk mencegah serangan suntikan, termasuklah:
- Menggunakan API selamat dengan antara muka berparameter
- Menggunakan keupayaan rangka kerja bahagian hadapan yang sentiasa berkembang untuk membersihkan input
- Membersihkan output dengan pengesahan bahagian pelayan
- Menggunakan alat analisis statik ketika masa binaan
- Menyemak Model Ancaman bagi setiap perkhidmatan setiap enam bulan sama ada kod, reka bentuk atau infrastruktur telah dikemas kini atau tidak
A04:2021 Reka Bentuk Tidak Selamat
- Power Platform dibina berdasarkan budaya dan metodologi reka bentuk selamat. Budaya dan metodologi sentiasa diperkukuh melalui amalan Kitaran Hayat Pembangunan Keselamatan (SDL) dan Pemodelan Ancaman Microsoft yang menerajui industri.
- Proses kajian semula Pemodelan Ancaman memastikan bahawa ancaman dikenal pasti semasa fasa reka bentuk, dikurangkan dan disahkan untuk memastikan ia telah dikurangkan.
- Pemodelan Ancaman juga mengambil kira semua perubahan kepada perkhidmatan yang telah pun hidup melalui semakan tetap yang berterusan. Bergantung pada model STRIDE membantu menangani isu yang paling biasa dengan reka bentuk yang tidak selamat.
- SDL Microsoft adalah bersamaan dengan Model Kematangan Jaminan Perisian (SAMM) OWASP. Kedua-duanya dibina pada premis yang reka bentuk selamat adalah penting bagi keselamatan aplikasi web.
A05:2021 Salah Konfigurasi Keselamatan
- "Tolak Lalai" ialah salah satu asas prinsip reka bentuk Power Platform. Dengan "Tolak Lalai", pelanggan perlu menyemak dan memilih ciri dan konfigurasi baharu.
- Sebarang salah konfigurasi pada masa binaan direkodkan oleh analisis keselamatan bersepadu menggunakan Alat Pembangunan Selamat.
- Selain itu, Power Platform menjalani Pengujian Keselamatan Analisis Dinamik (DAST) menggunakan perkhidmatan dalaman yang dibina pada 10 risiko teratas OWASP.
A06:2021 Komponen Terdedah dan Ketinggalan Zaman
- Power Platform mengikuti amalan SDL Microsoft untuk mengurus komponen sumber terbuka dan pihak ketiga. Amalan ini termasuk mengekalkan inventori yang lengkap, melaksanakan analisis keselamatan, memastikan komponen adalah yang terkini dan menjajarkan komponen dengan proses tindak balas insiden keselamatan yang telah dicuba dan diuji.
- Dalam keadaan yang jarang berlaku, sesetengah aplikasi mungkin mengandungi salinan komponen yang sudah lapuk kerana kebersandaran luaran. Namun, selepas kebersandaran tersebut ditangani mengikut amalan yang digariskan sebelum ini, komponen tersebut akan dijejak dan dikemas kini.
A07:2021 Kegagalan Pengenalpastian dan Pengesahan
- Power Platform dibina di atas dan bergantung pada Microsoft Entra pengenalan dan pengesahan ID.
- Microsoft Entra Power Platform membantu mendayakan ciri selamat. Ciri-ciri ini termasuk log masuk tunggal, pengesahan berbilang faktor dan platform tunggal untuk berinteraksi dengan pengguna dalaman dan luaran dengan lebih selamat.
- Dengan Power Platform pelaksanaan Microsoft Entra Penilaian Akses Berterusan ID (CAE) yang akan datang, pengenalan dan pengesahan pengguna akan menjadi lebih selamat dan boleh dipercayai.
A08:2021 Kegagalan Perisian dan Integriti Data
- Proses Tadbir Urus Komponen Power Platform menguatkuasakan konfigurasi selamat fail sumber pakej untuk mengekalkan integriti perisian.
- Proses ini memastikan bahawa hanya pakej sumber dalaman disediakan untuk menangani serangan penggantian. Serangan penggantian, juga dikenali sebagai kekeliruan kebersandaran, ialah teknik yang boleh digunakan untuk meracuni proses pembinaan aplikasi dalam persekitaran perusahaan yang selamat.
- Semua data yang disulitkan telah diterapkan dengan perlindungan integriti sebelum ia dihantar. Semua metadata perlindungan integriti yang ada untuk data disulitkan yang akan masuk, disahkan.
10 risiko Kod Rendah/Tiada Kod teratas OWASP: Pengurangan dalam Power Platform
Untuk panduan tentang mengurangkan 10 risiko keselamatan Kod Rendah/Tiada Kod teratas yang diterbitkan oleh OWASP, lihat dokumen ini:
Power Platform - Kod Rendah OWASP Tiada Kod 10 Risiko Teratas (April 2024)
Soalan keselamatan biasa daripada pelanggan
Berikut ialah beberapa soalan keselamatan yang ditanya oleh pelanggan kami.
Bagaimanakah Power Platform membantu untuk melindungi daripada perampasan klik?
Clickjacking menggunakan iframe terbenam, antara komponen lain, untuk merampas interaksi pengguna dengan halaman web. Ini merupakan ancaman besar kepada halaman daftar masuk khususnya. Power Platform mencegah penggunaan iframes pada halaman daftar masuk, mengurangkan risiko perampasan klik dengan ketara.
Selain itu, organisasi boleh menggunakan Dasar Keselamatan Kandungan (CSP) untuk mengehadkan pembenaman kepada domain yang dipercayai.
Adakah Power Platform menyokong Dasar Keselamatan Kandungan?
Power Platform menyokong Dasar keselamatan kandungan (CSP) untuk aplikasi berpandukan model. Kami tidak menyokong pengepala berikut yang digantikan oleh CSP:
X-XSS-ProtectionX-Frame-Options
Bagaimanakah kita boleh menyambung ke SQL Server dengan selamat?
Lihat Gunakan Microsoft SQL Server dengan selamat dengan Power Apps.
Apakah sifer yang disokong oleh Power Platform? Apakah hala tuju untuk terus bergerak ke arah sifer yang lebih kukuh?
Semua perkhidmatan dan produk Microsoft dikonfigurasikan untuk menggunakan suite sifer yang diluluskan, dalam aturan tepat yang diarahkan oleh Microsoft Crypto Board. Untuk senarai penuh dan aturan yang tepat, lihat Dokumentasi Power Platform.
Maklumat tentang penamatan suite sifer disampaikan melalui dokumentasi Perubahan Penting Power Platform.
Mengapakah Power Platform masih menyokong sifer RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) dan TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), yang dianggap lebih lemah?
Microsoft mempertimbangkan risiko relatif dan gangguan kepada operasi pelanggan dalam memilih suite sifer untuk disokong. Suite sifer RSA-CBC masih belum rosak lagi. Kami telah mendayakannya untuk memastikan keseragaman pada semua perkhidmatan dan produk kami serta menyokong semua konfigurasi pelanggan. Walau bagaimanapun, ia berada di bahagian bawah senarai keutamaan.
Kami akan menghentikan sifer ini pada masa yang tepat, berdasarkan penilaian berterusan Microsoft Crypto Board.
Mengapakah Power Automate mendedahkan cincangan kandungan MD5 dalam input dan output pencetus/tindakan?
Power Automate menghantar nilai cincangan kandungan MD5 pilihan yang dikembalikan oleh Azure Storage sebagaimana adanya kepada pelanggannya. Cincangan ini digunakan oleh Storan Azure untuk mengesahkan integriti halaman semasa pengangkutan sebagai algoritma hasil tambah semak dan ia tidak digunakan sebagai fungsi cincangan kriptografi untuk tujuan keselamatan dalam Power Automate. Anda boleh mendapatkan butiran lanjut tentang ini dalam dokumentasi Azure Storage tentang cara Mendapatkan Sifat Blob dan cara bekerja dengan Pengepala Permintaan.
Bagaimanakah Power Platform melindungi daripada serangan Penafian Perkhidmatan Teragih (DDoS)?
Power Platform dibina pada Microsoft Azure dan menggunakan Perlindungan Azure DDoS untuk melindungi daripada serangan DDoS.
Adakah Power Platform mengesan peranti jailbreak iOS dan peranti berakar untuk Android membantu melindungi data organisasi?
Kami mengesyorkan agar anda menggunakan Microsoft Intune. Intune ialah penyelesaian pengurusan peranti mudah alih. Ia boleh membantu melindungi data organisasi dengan menghendaki pengguna dan peranti memenuhi keperluan tertentu. Untuk mendapatkan maklumat lanjut, lihat Tetapan dasar pematuhan Intune.
Mengapakah kuki sesi diskopkan kepada domain induk?
Power Platform menskopkan kuki sesi kepada domain induk untuk membenarkan pengesahan pada seluruh organisasi. Subdomain tidak digunakan sebagai sempadan keselamatan. Ia juga tidak mengehoskan kandungan pelanggan.
Bagaimanakah kita boleh menetapkan sesi aplikasi kepada tamat masa selepas, katakan, 15 minit?
Power Platform menggunakan Microsoft Entra identiti ID dan pengurusan akses. Ia mengikut Microsoft Entra konfigurasi pengurusan sesi yang disyorkan ID untuk pengalaman pengguna yang optimum.
Walau bagaimanapun, anda boleh menyesuaikan persekitaran untuk mempunyai sesi yang jelas dan/atau tamat masa aktiviti. Untuk mendapatkan maklumat lanjut, lihat Sesi pengguna dan pengurusan akses.
Dengan Power Platform pelaksanaan Microsoft Entra Penilaian Akses Berterusan IDyang akan datang, pengenalan dan pengesahan pengguna akan menjadi lebih selamat dan boleh dipercayai.
Aplikasi ini membenarkan pengguna yang sama mengakses dari lebih daripada satu mesin atau pelayar pada masa yang sama. Bagaimana kita boleh mengelakkannya?
Mengakses aplikasi dari lebih daripada satu peranti atau pelayar pada masa yang sama adalah kemudahan untuk pengguna. Power PlatformPelaksanaan Microsoft Entra Penilaian Akses Berterusan ID yang akan datang akan membantu memastikan bahawa akses adalah daripada peranti dan penyemak imbas yang dibenarkan dan masih sah.
Mengapakah sesetengah perkhidmatan Power Platform mendedahkan pengepala pelayan dengan maklumat yang berjela-jela?
Perkhidmatan Power Platform telah berusaha untuk mengalih keluar maklumat yang tidak diperlukan dalam pengepala pelayan. Matlamatnya adalah untuk mengimbangi tahap perincian dengan risiko mendedahkan maklumat yang mungkin melemahkan postur keselamatan keseluruhan.
Bagaimanakah kelemahan Log4j memberi kesan kepada Power Platform? Apakah yang perlu dilakukan oleh pelanggan dalam hal ini?
Microsoft telah menilai bahawa tiada kelemahan Log4j memberi kesan kepada Power Platform. Lihat siaran blog kami tentang mencegah, mengesan dan memburu eksploitasi kelemahan Log4j.
Bagaimanakah kita boleh memastikan tiada transaksi tidak sah disebabkan oleh sambungan pelayar atau API Pelanggan Antara Muka Disatukan membenarkan kawalan yang dinyahdaya didayakan?
Model keselamatan Power Apps tidak termasuk konsep kawalan yang dinyahdaya. Menyahdayakan kawalan ialah peningkatan UI. Anda tidak seharusnya bergantung pada kawalan yang dinyahdaya untuk menyediakan keselamatan. Sebaliknya, gunakan kawalan Dataverse seperti keselamatan peringkat medan untuk mencegah transaksi yang tidak dibenarkan.
Pengepala keselamatan HTTP manakah yang digunakan untuk melindungi data respons?
| Nama | Details |
|---|---|
| Keselamatan Pengangkutan yang Ketat | Ini ditetapkan pada max-age=31536000; includeSubDomains semua respons. |
| Pilihan Bingkai-X | Ini ditamatkan memihak kepada CSP. |
| X-Content-Type-Options | Ini ditetapkan pada nosniff semua respons aset. |
| Dasar Keselamatan Kandungan | Ini ditetapkan jika pengguna mendayakan CSP. |
| Perlindungan X-XSS | Ini ditamatkan memihak kepada CSP. |
Di manakah saya boleh menemukan ujian penembusan Power Platform atau Dynamics 365?
Ujian penembusan dan penilaian keselamatan terkini boleh didapati pada Portal Amanah Perkhidmatan Microsoft.
Nota
Untuk mengakses beberapa sumber pada Portal Amanah Perkhidmatan, anda mesti log masuk sebagai pengguna yang disahkan dengan akaun perkhidmatan awan Microsoft anda (Microsoft Entra akaun organisasi) dan menyemak serta menerima perjanjian kerahsiaan Microsoft untuk bahan pematuhan.
Artikel berkaitan
Gambaran keseluruhan keselamatan
Mengesahkan kepada Power Platform perkhidmatan
Menyambung dan mengesahkan kepada sumber data
Penyimpanan data dalam Power Platform