Vanlige spørsmål om Power Platform-sikkerhet
Vanlige spørsmål om Power Platform-sikkerhet faller inn i to kategorier:
Hvordan Power Platform er utformet for å bidra til å redusere de ti største risikoene for Open Web Application Security Project® (OWASP)
Spørsmål kundene stiller
Nye spørsmål legges til på slutten av denne artikkelen for å gjøre det enklere for deg å finne den nyeste informasjonen.
OWASPs ti største risikoer: reduksjoner i Power Platform
Open Web Application Security Project® (OWASP) er en ideell stiftelse som arbeider for å forbedre programvaresikkerheten. Med gruppeledede programvareprosjekter med åpen kildekode, hundrevis av avdelinger over hele verden, titusenvis av medlemmer og ledende utdannings- og opplæringskonferanser er OWASP-stiftelsen kilden for utviklere og teknologieksperter som vil gjøre nettet sikkert.
OWASP top 10 er et standard bevissthetsdokument for utviklere og andre som er interessert i nettprogramsikkerhet. Det representerer en bred enighet om de mest kritiske sikkerhetsrisikoene for nettprogrammer. I denne delen vil vi diskutere hvordan Power Platform bidrar til å redusere disse risikoene.
A01:2021 Ødelagt tilgangskontroll
- Power Platform-sikkerhetsmodellen er bygd på LPA (Least Privileged Access). Med LPA kan kunder bygge programmer med mer detaljert tilgangskontroll.
- Power Platform bruker Microsoft Entra ID's (Microsoft Entra ID) Microsoft Identity Platform for autorisasjon av alle API-kall med bransjestandard OAuth 2.0-protokollen.
- Dataverse, som gir de underliggende dataene for Power Platform, har en omfattende sikkerhetsmodell som omfatter miljønivå, rollebasert og oppførings- og feltnivåsikkerhet.
Data under overføring:
- Power Platform bruker TLS til å kryptere all HTTP-basert nettverkstrafikk. Den bruker andre mekanismer til å kryptere nettverkstrafikk som ikke er HTTP-basert, og som inneholder kundedata eller konfidensielle data.
- Power Platform bruker en herdet TLS-konfigurasjon som aktiverer HTTP Strict Transport Security (HSTS):
- TLS 1.2 eller nyere
- ECDHE-baserte chiffreringssamlinger og NIST-kurver
- Sterke nøkler
Inaktive data:
- Alle kundedata krypteres før de skrives til permanente lagringsmedier.
Power Platform bruker anbefalte fremgangsmåter som er standard i bransjen, til å forhindre injeksjonsangrep, inkludert følgende:
- bruk av sikre API-er med parameteriserte grensesnitt
- bruk av de stadig endrede funksjonene i frontrammeverk til å sanere inndata
- sanering av utdataene med validering på serversiden
- bruk av statiske analyseverktøy under bygging
- gjennomgang av trusselmodellen for hver tjeneste hver sjette måned uansett om koden, utformingen eller infrastrukturen er oppdatert eller ikke
- Power Platform er bygd på en kultur og metodikk for sikker design. Både kultur og metodikk forsterkes kontinuerlig gjennom Microsoft sin bransjeledende sikkerhetsutviklingslivssyklus (SDL) og trusselmodelleringspraksis .
- Gjennomgangsprosessen for trusselmodellering sikrer identifiseres i utviklingsfasen, overføres og valideres for å sikre at de er redusert.
- Trusselmodellering står også for alle endringer i tjenester som allerede vises, gjennom kontinuerlige regelmessige gjennomganger. Å være avhengig av STRIDE-modellen bidrar til å løse de vanligste problemene med usikker design.
- Microsofts SDL tilsvarer OWASP Software Assurance Maturity Model (SAMM). Begge er bygd på premisset om at sikker design er integrert i nettprogramsikkerhet.
A05:2021 Feilkonfigurasjon av sikkerhet
- Standardnedleggelse er ett av fundamentene for utformingsprinsippene for Power Platform. Med Standardnedleggelse må kundene se gjennom og velge nye funksjoner og konfigurasjoner.
- Eventuelle feilkonfigurasjoner under bygging fanges opp av integrert sikkerhetsanalyse ved hjelp av sikre utviklingsverktøy.
- Power Platform går i tillegg gjennom Dynamic Analysis Security Testing (DAST) ved å bruke en intern tjeneste som er bygd på OWASPs ti største risikoer.
A06:2021 Sårbare og utdaterte komponenter
- Power Platform følger Microsoft SDL-praksis for å administrere åpen kildekode- og tredjepartskomponenter. Disse praksisene omfatter å opprettholde en komplett beholdning, utføre sikkerhetsanalyse, holde komponentene oppdatert og justere dem med en velprøvd prosess for respons på sikkerhetshendelser.
- I sjeldne tilfeller kan noen programmer inneholde kopier av utdaterte komponenter på grunn av eksterne avhengigheter. Når disse avhengighetene er behandlet i henhold til fremgangsmåtene som ble skissert tidligere, spores og oppdateres imidlertid komponentene.
A07:2021 Identifikasjons- og godkjenningsfeil
- Power Platform er bygd på og avhengig av Microsoft Entra ID til både identifisering og autentisering.
- Microsoft Entra hjelper Power Platform med å aktivere sikre funksjoner. Disse funksjonene inkluderer enkel pålogging (SSO), flerfaktorautentisering og én plattform for å samhandle med interne og eksterne brukere på en sikrere måte.
- Med Power Platforms kommende implementering av Microsoft Entra ID kontinuerlig tilgangsevaluering (CAE), blir identifisering og godkjenning av brukere enda sikrere og pålitelige.
A08:2021 Programvare- og dataintegritetsfeil
- Power Platforms komponentstyringsprosess håndhever den sikre konfigurasjonen av pakkekildefiler for å opprettholde programvareintegritet.
- Prosessen sikrer at bare pakker som er hentet internt, får behandling for substitusjonsangrep. Substitusjonsangrep, også kalt avhengighetsforveksling, er en teknikk som kan brukes til å forringe appbyggingsprosessen i sikre virksomhetsmiljøer.
- Alle krypterte data har integritetsbeskyttelse før de overføres. Alle integritetsbeskyttelsesmetadata som finnes for innkommende krypterte data, valideres.
OWASPs 10 største risikoer ved lav kode / ingen kode: Reduksjoner i Power Platform
Hvis du vil ha veiledning for hvordan du reduserer de 10 største sikkerhetsrisikoene ved Lav kode/Ingen kode som publiseres av OWASP, kan du se dette dokumentet:
Power Platform - OWASP Low Code No Code Topp 10 risikoer (april 2024)
Vanlige sikkerhetsspørsmål fra kunder
Her er noen av sikkerhetsspørsmålene kundene stiller.
Hvordan bidrar Power Platform til å beskytte mot klikknappingsrisiko?
Clickjacking bruker blant annet innebygde iframes for å kapre en brukers interaksjoner med en nettside. Det er spesielt en betydelig trussel mot påloggingssider. Power Platform forhindrer bruk av iframes på påloggingssider og reduserer risikoen for klikknapping.
I tillegg kan organisasjoner bruke sikkerhetspolicyer for innhold (CSP) til å begrense innbygging til klarerte domener med organisasjonsinnstillinger.
Har Power Platform støtte for sikkerhetspolicy for innhold?
Power Platform har støtte for sikkerhetspolicy for innhold for modelldrevne apper. Vi støtter ikke følgende hoder som erstattes av sikkerhetspolicy for innhold:
X-XSS-ProtectionX-Frame-Options
Hvordan kan vi koble til SQL Server på en sikker måte?
Se Bruk Microsoft SQL Server sikkert med Power Apps.
Hvilke chiffreringer støttes av Power Platform? Hva er veikartet for kontinuerlig overgang til sterkere chiffreringer?
Alle Microsoft tjenester og produkter er konfigurert til å bruke de godkjente chiffersuitene, i nøyaktig rekkefølge anvist av Microsoft Crypto Board. Du finner den fullstendige listen og den nøyaktige rekkefølgen i Power Platform-dokumentasjonen.
Informasjon om avskrivninger av chiffreringssamlinger, meddeles via Viktige endringer-dokumentasjonen i Power Platform.
Hvorfor støtter Power Platform fortsatt RSA-CBC-chiffreringer (TLS_ECDHE_RSA_with_AES_128_CBC_SHA256 (0xC027) og TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) som regnes som svakere?
Microsoft veier den relative risikoen og forstyrrelsen i kundeoperasjoner ved valg av chifferserier som skal støttes. RSA-CBC-chiffreringsseriene er ikke brutt ennå. Vi har gjort det mulig for dem å sikre konsekvens på tvers av tjenestene og produktene, og for å støtte alle kundekonfigurasjoner. Du finner imidlertid disse nederst i prioritetslisten.
Vi vil avvikle disse chiffrene til rett tid, basert på Microsoft Crypto Boards kontinuerlige vurdering.
Hvorfor eksponerer Power Automate MD5-innhold emnenumre i utløser-/handlingsinndata og -utdata?
Power Automate sender den valgfrie hashverdien innholds-MD5 som returneres av Azure Storage slik den er, til klientene. Dette hash-feltet brukes av Azure Storage til å kontrollere integriteten til siden under transport som en kontrollsumalgoritme, og det brukes ikke som en kryptografisk hash-funksjon for sikkerhetsformål i Power Automate. Du finner mer informasjon om dette i Dokumentasjonen for Azure Storage om hvordan du skaffer deg Blob-egenskaper og hvordan du arbeider med Forespørselshoder.
Hvordan beskytter Power Platform mot DDoS-angrep (distribuert tjenestenektangrep)?
Power Platform er bygd på Microsoft Azure og bruker Azure DDoS Protection til å beskytte mot DDoS-angrep.
Oppdager Power Platform iOS-enheter som er jailbreaket, og Android-enheter som er rootet, for å bidra til å beskytte organisasjonsdata?
Vi anbefaler at du bruker Microsoft Intune. Intune er en løsning for administrasjon av mobilenheter. Den kan bidra til å beskytte organisasjonsdata ved at brukere og enheter må oppfylle visse krav. Hvis du vil ha mer informasjon, kan du se Intunes policyinnstillinger for forskriftssamsvar.
Hvorfor begrenses øktinformasjonskapslene til det overordnede domenet?
Power Platform omfanger øktinformasjonskapsler til det overordnede domenet for å tillate godkjenning på tvers av organisasjoner. Underdomener brukes ikke som sikkerhetsgrenser. De er heller ikke vert for kundeinnhold.
Hvordan kan vi angi at programøkten skal tidsavbrytes etter for eksempel 15 minutter?
Power Platform bruker Microsoft Entra ID for identitets- og tilgangsstyring. Den følger Microsoft Entra IDs anbefalte konfigurasjon for administrasjon av økter for å gi en optimal brukeropplevelse.
Du kan imidlertid tilpasse miljøer slik at de har eksplisitte tidsavbrudd for økter og/eller aktiviteter. Hvis du vil ha mer informasjon, kan du se Administrasjon av brukerøkt og tilgang.
Med Power Platforms kommende implementering av Microsoft Entra ID kontinuerlig tilgangsevaluering, blir identifisering og godkjenning av brukere enda sikrere og pålitelige.
Programmet gir den samme brukeren tilgang til flere maskiner eller nettlesere samtidig. Hvordan kan vi forhindre dette?
Det er bekvemmelig å ha tilgang til programmet fra flere enheter eller nettlesere samtidig for brukere. Power Platforms kommende implementering av Microsoft Entra ID kontinuerlig tilgangsevaluering bidrar til å sikre at tilgangen kommer fra autoriserte enheter og nettlesere og fremdeles er gyldig.
Hvorfor eksponerer enkelte Power Platform-tjenester serverhoder med detaljert informasjon?
Vi har arbeidet med Power Platform-tjenestene for å fjerne unødvendig informasjon i serverhodet. Målet er å balansere detaljnivået med risikoen for å utsette informasjon som kan forkorte den samlede sikkerhetsstillingen.
Hvordan påvirker Log4j-sikkerhetsproblemer Power Platform? Hva bør kunder gjøre i denne sammenhengen?
Microsoft har vurdert at ingen Log4j-sårbarheter påvirker Power Platform. Se blogginnlegget om hvordan du forhindrer, oppdager og oppdager utnyttelse av Log4j-sårbarheter.
Hvordan kan vi sikre at det ikke forekommer uautoriserte transaksjoner på grunn av nettleserutvidelser eller klient-API-er for Enhetlig grensesnitt som gjør at deaktiverte kontroller kan aktiveres?
Power Apps-sikkerhetsmodellen inkluderer ikke konseptet med deaktiverte kontroller. Deaktivering av kontroller er en forbedring i brukergrensesnittet. Du bør ikke stole på deaktiverte kontroller til å gi sikkerhet. Bruk i stedet Dataverse-kontroller som sikkerhet på feltnivå for å forhindre uautoriserte transaksjoner.
Hvilke HTTP-sikkerhetshoder brukes til å beskytte svardata?
| Name | Details |
|---|---|
| Streng transportsikkerhet | Dette er satt til max-age=31536000; includeSubDomains for alle svar. |
| X-Frame-alternativer | Denne er avskrevet i favør av CSP. |
| X-Innhold-Type-Alternativer | Denne er satt til nosniff for alle aktivasvar. |
| Retningslinjer for innhold-sikkerhet | Dette angis hvis brukeren aktiverer CSP. |
| X-XSS-beskyttelse | Denne er avskrevet i favør av CSP. |
Hvor kan jeg finne Power Platform eller Dynamics 365-inntrengingstester?
De siste penetrasjonstestene og sikkerhetsvurderingene finner du på Service Trust Portal. Microsoft
Merk
Hvis du vil ha tilgang til noen av ressursene på Service Trust Portal, må du logge på som en godkjent bruker med Microsoft skytjenestekontoen din (Microsoft Entra organisasjonskonto) og se gjennom og godta taushetserklæringen Microsoft for samsvarsmateriell.
Relaterte artikler
Sikkerhet i Microsoft Power Platform
Godkjenning til Power Platform tjenester
Koble til og godkjenne datakilder
Datalagring i Power Platform