Keselamatan dalam Microsoft Power Platform
Power Platform memberikan kuasa untuk mencipta dengan cepat dan mudah penyelesaian hujung ke hujung di tangan pembangun bukan profesional dan profesional. Keselamatan adalah kritikal untuk penyelesaian ini. Power Platform dibina untuk menyediakan perlindungan industri yang unggul.
Organisasi sedang mempercepatkan peralihan mereka ke awan, menggabungkan teknologi canggih dalam operasi dan pembuatan keputusan perniagaan. Lebih banyak pekerja bekerja dari jauh. Permintaan pelanggan untuk perkhidmatan dalam talian sedang meningkat. Keselamatan aplikasi tradisional di premis tidak lagi mencukupi. Organisasi mencari penyelesaian keselamatan asli awan, berbilang tingkat, pertahanan lebih mendalam untuk data kecerdasan perniagaan mereka bertukar kepada Power Platform. Agensi keselamatan negara, institusi kewangan, dan penyedia penjagaan kesihatan mempercayai Power Platform menggunakan maklumat paling sensitif mereka.
Microsoft telah menghasilkan pelaburan yang besar dalam keselamatan sejak pertengahan tahun 2000. Lebih daripada 3,500 jurutera Microsoft bekerja untuk menangani secara proaktif landskap ancaman yang sentiasa berubah. Keselamatan Microsoft bermula pada kernel BIOS pada cip dan memanjangkan sehingga pengalaman pengguna. Hari ini, timbunan keselamatan kami adalah terpaling maju dalam industri. Microsoft dilihat secara meluas sebagai peneraju global dalam perjuangan menentang pelakon niat jahat. Berbilion komputer, trilion log masuk dan zettabait data diamanahkan kepada perlindungan Microsoft.
Power Platform dibina atas asas yang kukuh ini. Ia menggunakan timbunan keselamatan yang sama yang memberikan Azure hak untuk berkhidmat dan melindungi data paling sensitif dunia dan berintegrasi dengan alat perlindungan dan pematuhan maklumat paling maju Microsoft 365. Power Platform memberikan perlindungan hujung ke hujung yang direka bentuk berdasarkan kebimbangan paling mencabar pelanggan kami dalam era awan:
- Bagaimanakah kita boleh mengawal orang yang boleh menyambung, dari manakah mereka menyambung, dan bagaimana mereka menyambung? Bagaimanakah kami boleh mengawal sambungan?
- Bagaimanakah data kami disimpan? Bagaimanakah ia disulitkan? Apakah kawalan yang kami ada terhadap data kami?
- Bagaimanakah kami boleh mengawal dan melindungi data sensitif kami? Bagaimanakah kami boleh memastikan data kami tidak bocor di luar organisasi?
- Bagaimanakah kami boleh audit orang yang melakukan setiap kerja? Bagaimanakah kami boleh bertindak balas dengan cepat jika kami mengesan aktiviti yang mencurigakan?
Tadbir Urus
Perkhidmatan Power Platform ditadbir urus oleh Syarat Microsoft Online Services dan Pernyataan Privasi Microsoft Enterprise. Untuk lokasi pemprosesan data, rujuk Syarat Microsoft Online Services dan Adendum Perlindungan Data.
Microsoft Trust Center ialah sumber utama untuk maklumat pematuhan Power Platform. Ketahui lebih lanjut di Penawaran Pematuhan Microsoft.
Perkhidmatan Power Platform mengikut Kitaran Hayat Pembangunan Keselamatan (SDL). SDL ialah set amalan ketat yang menyokong jaminan keselamatan dan keperluan pematuhan. Ketahui lebih lanjut di Amalan Kitaran Hayat Pembangunan Keselamatan Microsoft.
Konsep keselamatan biasa Power Platform
Power Platform termasuk beberapa perkhidmatan. Beberapa konsep keselamatan yang kita akan liputi dalam siri ini digunakan kepada semuanya. Konsep lain adalah khusus untuk perkhidmatan individu. Di mana konsep keselamatan berbeza, kami akan memanggilnya.
Konsep keselamatan yang biasa kepada semua perkhidmatan Power Platform termasuk:
- Seni bina perkhidmatan Power Platform, atau cara aliran maklumat melalui sistem
- Mengesahkan kepada Perkhidmatan Power Platform, atau cara pengguna mendapatkan akses kepada perkhidmatan
- Menyambungkan dan mengesahkan kepada sumber data, atau cara perkhidmatan bersambung kepada sumber data dan pengguna mendapatkan akses kepada data
- Storan data dalam Power Platform, atau cara data dilindungi sama ada semasa tidak bergerak atau dalam transit antara sistem dan perkhidmatan
Seni bina perkhidmatan Power Platform
Perkhidmatan Power Platform dibina pada Azure, platform pengkomputeran awan Microsoft. Seni bina perkhidmatan Power Platform terdiri daripada empat komponen:
- Gugusan hadapan web
- Gugusan belakang
- Infrastruktur premium
- Platform mudah alih
Gugusan hadapan web
Digunakan kepada perkhidmatan Power Platform yang memaparkan UI web. Gugusan hadapan web menyediakan halaman utama aplikasi atau perkhidmatan kepada pelayar pengguna. Ia digunakan Microsoft Entra untuk mengesahkan pelanggan pada mulanya, dan menyediakan token untuk sambungan pelanggan berikutnya, ke Power Platform perkhidmatan bahagian belakang.
Gugusan hadapan web terdiri daripada tapak web ASP.NET yang berjalan dalam Persekitaran Perkhidmatan Aplikasi Azure. Apabila pengguna melawat perkhidmatan Power Platform atau aplikasi, perkhidmatan DNS klien mungkin mendapat datacenter (biasanya paling hampir) yang paling sesuai daripada Pengurus Trafik Azure. Untuk maklumat lanjut, lihat Kaedah penghalaan trafik prestasi untuk Pengurus Trafik Azure.
Gugusan hadapan web menguruskan jujukan log masuk dan pengesahan. Ia memperoleh Microsoft Entra token akses selepas pengguna disahkan. Komponen ASP.NET menghurai token untuk menentukan organisasi yang tergolong kepada pengguna. Komponen kemudian merujuk perkhidmatan belakang global Power Platform untuk menentukan pelayar yang gugusan belakang menempatkan penyewa organisasi. Interaksi pelanggan berikutnya berlaku dengan gugusan belakang secara langsung, tanpa memerlukan perantara hadapan web.
Pelayar mendapatkan sumber statik, seperti .js, .css, dan fail imej, terutamanya dari Rangkaian Penghantaran Kandungan Azure (CDN). Pelaksanaan gugusan Kerajaan Berdaulat dikecualikan. Atas sebab pematuhan, pelaksanaan ini tidak memasukkan CDN Azure. Sebaliknya, ia menggunakan gugusan hadapan web daripada rantau yang mematuhi untuk mengehos kandungan statik.
Power Platform gugusan belakang
Gugusan belakang adalah tulang belakang semua fungsi yang tersedia dalam perkhidmatan Power Platform. Ia terdiri daripada titik tamat perkhidmatan, perkhidmatan kerja latar belakang, pangkalan data, cache, dan komponen lain.
Gugusan belakang tersedia dalam kebanyakan rantau Azure, dan digunakan dalam rantau baharu apabila ia menjadi tersedia. Satu rantau boleh mengehos berbilang gugusan. Konfigurasi ini membolehkan penskalaan tanpa had mendatar perkhidmatan Power Platform selepas had penskalaan gugusan tunggal menegak dan mendatar dicapai.
Gugusan belakang tidak bergantung. Gugusan belakang mengehos semua data semua penyewa yang diuntukkan kepadanya. Gugusan yang mengandungi data penyewa khusus dirujukkan kepada gugusan perumahan penyewa. Maklumat mengenai gugusan perumahan pengguna yang disahkan disediakan oleh perkhidmatan belakang global Power Platform kepada Gugusan web. Belakang web menggunakan maklumat untuk menghalakan permintaan kepada gugusan belakang perumahan penyewa.
Metadata penyewa dan data disimpan dalam had gugusan. Pengecualian adalah replikasi data kepada gugusan belakang sekunder yang terletak di rantau berpasangan dalam geografi Azure yang sama. Gugusan sekunder bertindak sebagai sandaran gagal jika terdapat gangguan serantau dan pasif pada masa lain. Perkhidmatan mikro berjalan pada mesin yang berbeza dalam rangkaian maya gugusan juga berfungsi dengan fungsi belakang. Hanya dua daripada perkhidmatan mikro ini boleh diakses dari Internet awam:
- Perkhidmatan Get Laluan
- Pengurusan API Azure
Infrastruktur Power Platform Premium
Power Platform Premium menyediakan akses kepada set yang dikembangkan penyambung sebagai perkhidmatan berbayar. Pembuat Power Platform tidak terhad dalam menggunakan penyambung premium, tetapi pengguna aplikasi. Iaitu, pengguna aplikasi yang termasuk penyambung premium mesti mempunyai lesen yang betul untuk mengaksesnya. Perkhidmatan belakang Power Platform menentukan sama ada pengguna mempunyai akses kepada penyambung premium.
Platform mudah alih
Power Platform Androidmenyokong, iOS, dan aplikasi Windows (UWP). Pertimbangan keselamatan untuk aplikasi mudah alih terdiri daripada dua kategori:
- Komunikasi peranti
- Aplikasi dan data pada peranti
Komunikasi peranti
Aplikasi mudah alih Power Platform menggunakan sambungan yang sama dan jujukan pengesahan digunakan oleh pelayar. Android dan iOS apl membuka sesi penyemak imbas dalam apl. Aplikasi Windows menggunakan broker untuk mewujudkan saluran komunikasi dengan perkhidmatan Power Platform untuk proses daftar masuk.
Jadual berikut menunjukkan sokongan pengesahan berdasarkan sijil (CBA) bagi aplikasi mudah alih:
| Sokongan CBA | iOS | Android | Tetingkap |
|---|---|---|---|
| Daftar masuk ke perkhidmatan | Disokong | Disokong | Tidak disokong |
| SSRS ADFS di premis (sambung ke pelayan SSRS) | Tidak disokong | Disokong | Tidak disokong |
| Proksi Aplikasi SSRS | Disokong | Disokong | Tidak disokong |
Aplikasi mudah alih berkomunikasi secara aktif dengan perkhidmatan Power Platform. Statistik penggunaan aplikasi dan data yang sama dihantar kepada perkhidmatan yang memantau penggunaan dan aktiviti. Tiada data pelanggan disertakan.
Aplikasi dan data pada peranti
Aplikasi mudah alih dan data yang diperlukan disimpan dengan selamat pada peranti. Microsoft Entra dan token segar semula disimpan menggunakan langkah keselamatan standard industri.
Data dicache pada peranti termasuk data aplikasi, tetapan pengguna, dan papan pemuka dan laporan yang diakses dalam sesi sebelumnya. Cache disimpan dalam kotak pasir dalam storan dalaman. Cache hanya boleh diakses oleh aplikasi dan boleh disulitkan oleh OS.
- iOS: Penyulitan adalah automatik apabila pengguna menetapkan kod laluan.
- Android: Penyulitan boleh dikonfigurasikan dalam tetapan.
- Windows: Penyulitan diuruskan oleh BitLocker.
Microsoft Intune penyulitan aras fail boleh digunakan untuk meningkatkan penyulitan data. Intune ialah perkhidmatan perisian yang menyediakan peranti mudah alih dan pengurusan aplikasi. Semua tiga platform mudah alih menyokong Intune. Dengan Intune didayakan dan dikonfigurasikan, data pada peranti mudah alih disulitkan, dan aplikasi Power Platform tidak boleh dipasang pada kad SD.
Aplikasi Windows juga menyokong Windows Information Protection (WIP).
Data dicache dipadam apabila pengguna:
- nyahpasang aplikasi
- daftar keluar daripada perkhidmatan Power Platform
- gagal untuk daftar masuk selepas menukar kata laluan atau token tamat tempoh
Geolokasi didayakan atau dinyahdaya dengan jelas oleh pengguna. Jika didayakan, data geolokasi tidak disimpan pada peranti dan tidak dikongsi dengan Microsoft.
Pemberitahuan didayakan atau dinyahdaya dengan jelas oleh pengguna. Jika pemberitahuan didayakan Android dan iOS tidak menyokong keperluan residensi data geografi.
Perkhidmatan mudah alih Power Platform tidak mengakses folder aplikasi atau fail lain pada peranti.
Sesetengah data pengesahan berdasarkan token tersedia kepada aplikasi Microsoft lain, seperti Authenticator, untuk mendayakan rakam masuk tunggal. Data ini diuruskan oleh Microsoft Entra Pustaka Pengesahan SDK.
Artikel berkaitan
Mengesahkan perkhidmatan Power Platform
Menyambung dan mengesahkan sumber data
Storan data dalam Power Platform
Soalan Lazim keselamatan Power Platform
Lihat juga
- Keselamatan dalam Microsoft Dataverse
- Syarat Microsoft Online Services
- Pernyataan Privasi Microsoft Enterprise
- Adendum Perlindungan data
- Amalan Kitaran Hayat Pembangunan Keselamatan Microsoft
- Kaedah penghalaan trafik prestasi untuk Pengurus Trafik Azure
- Microsoft Intune
- Windows Information Protection (WIP)