Sikkerhet i Microsoft Power Platform
Med Power Platform kan både ikke-profesjonelle og profesjonelle utviklere raskt og enkelt lage ende-til-ende-løsninger. Det er svært viktig med sikkerhet for disse løsningene. Power Platform er bygd for å gi bransjeledende beskyttelse.
Organisasjoner akselererer overføringen til skyen og integrerer avansert teknologi i operasjoner og beslutningstaking. Flere ansatte jobber eksternt. Kundebehovet for nettbaserte tjenester er økende. Tradisjonell, lokal programsikkerhet er ikke lenger nok. Organisasjoner som ser etter en skybasert sikkerhetsløsning med flere nivåer og beskyttelse i dybden for forretningsanalysedataene, velger Power Platform. Power Platform brukes av nasjonale sikkerhetsorganisasjoner, finansinstitusjoner og helsetjenesteytere til å beskytte den mest sensitive informasjonen.
Microsoft har gjort massive investeringer i sikkerhet siden midten av 2000-tallet. Mer enn 3,500 Microsoft ingeniører jobber proaktivt med å håndtere det stadig skiftende trussellandskapet. Microsoft sikkerhet starter ved BIOS-kjernen på brikken og strekker seg helt opp til brukeropplevelsen. I dag er sikkerhetsstakken den mest avanserte i bransjen. Microsoft er bredt sett på som den globale lederen i kampen mot ondsinnede aktører. Milliarder av datamaskiner, billioner av pålogginger og zettabyte med data er betrodd beskyttelse Microsoft.
Power Platform bygger på dette sterke fundamentet. Den bruker den samme sikkerhetsstabelen som gav Azure rett til å beskytte de mest sensitive dataene i verden, og den integreres med Microsoft 365s mest avanserte verktøy for informasjonsbeskyttelse og forskriftssamsvar. Power Platform gir ende-til-ende-beskyttelse utviklet i forhold til kundenes mest utfordrende problem i skyen:
- Hvordan kan vi styre hvem som kan koble seg til, hvor de kobler seg til fra, og hvordan de kobler seg til? Hvordan kan vi styre tilkoblingene?
- Hvordan lagres dataene? Hvordan krypteres de? Hvilke kontroller har vi over dataene?
- Hvordan kan vi kontrollere og beskytte sensitive data? Hvordan kan vi sikre at disse dataene ikke havner utenfor organisasjonen?
- Hvordan kan vi overvåke hvem som kan gjøre hva? Hvordan kan vi reagere raskt hvis vi oppdager aktivitet på stedet?
Styring
Tjenesten Power Platform styres av vilkårene Microsoft for elektroniske tjenester og personvernerklæringen Microsoft for bedrifter. For plassering av databehandling kan du se vilkårene for Microsoft elektroniske tjenester og tillegget omdatabeskyttelse.
Microsoft Klareringssenteret er den primære ressursen for Power Platform samsvarsinformasjon. Finn ut mer under Microsoft Samsvarstilbud.
Power Platform-tjenesten følger livssyklusen for sikkerhetsutvikling (SDL). SDL er et sett med strenge fremgangsmåter som støtter sikkerhetssikring og samsvarskrav. Finn ut mer under Microsoft Livssykluspraksis for sikkerhetsutvikling.
Felles Power Platform-sikkerhetskonsepter
Power Platform inneholder flere tjenester. Noen av sikkerhetskonseptene vi dekker i denne serien, gjelder for alle. Andre konsepter er spesifikke for enkelttjenester. Når sikkerhetskonsepter er forskjellige, kaller vi dem opp.
Sikkerhetskonsepter som er vanlig i alle Power Platform-tjenester, omfatter følgende:
- Tjenestearkitekturen i Power Platform eller hvordan informasjon flyter gjennom systemet
- Autentisering til Power Platform tjenester, eller hvordan brukere får tilgang til tjenester
- Koble til og godkjenne datakilder, eller hvordan tjenester kobler til datakilder og brukere får tilgang til data
- Datalagring i Power Platform, eller hvordan data beskyttes, enten de er inaktive eller i overføring mellom systemer og tjenester
Power Platform-tjenestearkitekturen
Power Platform tjenester er bygd på Azures Microsoft plattform for databehandling i skyen. Power Platform-tjenestearkitekturen består av fire komponenter:
- Nettfrontklynge
- Serverdelklynge
- Premium-infrastruktur
- Mobilplattformer
Nettfrontklynge
Gjelder Power Platform-tjenester som viser et nettbrukergrensesnitt. Nettfrontklyngen betjener program- eller tjenestestartsiden i brukerens nettleser. Den bruker Microsoft Entra til å godkjenne klienter til å begynne med og leverer tokener for påfølgende klienttilkoblinger, til Power Platform-serverdeltjenesten.
En nettfrontklynge består av et ASP.NET-nettsted som kjører i Azure App Service-miljøet. Når en bruker går til Power Platform-tjeneste eller -program, kan klientens DNS-tjeneste få det mest hensiktsmessige (vanligvis nærmeste) datasenteret fra Azure Traffic Manager. Hvis du vil ha mer informasjon, kan du se Rutingsmetode for ytelsestrafikk for Azure Traffic Manager.
Nettfrontklyngen administrerer påloggings- og godkjenningssekvensen. Det hentes et Microsoft Entra-tilgangstoken etter at brukeren er godkjent. Komponenten ASP.NET analyserer tokenet for å avgjøre hvilken organisasjon brukeren tilhører. Komponenten konsulterer deretter den globale Power Platform.serverdeltjenesten for å angi hvilken nettleser som er en del av organisasjonens leietaker. Påfølgende klientsamhandling forekommer direkte med serverdelklyngen, uten behov for nettfrontsamhandling.
Nettleseren henter statiske ressurser, for eksempel JS, CSS og bildefiler, hovedsakelig fra et Azure Content Delivery Network (CDN). Distribuering av offentlige klynger på nasjonalt nivå er et unntak. Av samsvarsårsaker utelater disse distribusjonene Azure CDN. I stedet bruker de en nettfrontklynge fra et kompatibelt område til å være vert for statisk innhold.
Power Platform-serverdelklynge
Serverdelklyngen er ryggraden i all funksjonalitet i en Power Platform-tjeneste. Den består av tjenesteendepunkter, bakgrunnstjenester, databaser, buffere og andre komponenter.
Serverdelen er tilgjengelig i de fleste Azure-områder og distribueres i nye områder etter hvert som de blir tilgjengelige. Ett område kan være vert for flere klynger. Denne konfigurasjonen tillater Power Platform-tjenester ubegrenset vannrett skalering etter at grensene for loddrett og vannrett skalering for én enkelt klynge er nådd.
Serverdelklynger er tilstandsfulle. En serverdelklynge er vert for alle dataene for alle leiere som er tilordnet den. Klyngen som inneholder dataene for en bestemt leier, kan også kalles leierens hjemmeklynge. Informasjon om en autentisert bruker leveres av den globale Power Platform-serverdeltjenesten til nettfrontklygen. Nettfronten bruker informasjonen til å rute forespørsler til leierens serverdelklynge.
Leierens metadata og data lagres innenfor klyngegrensene. Unntaket er datareplisering til en sekundær serverdelklynge som er plassert i et paret område i samme Azure-geografi. Den sekundære klyngen fungerer som en failover i tilfelle driftsstans i området, og er passiv på ethvert annet tidspunkt. Mikrotjenester som kjører på forskjellige maskiner i klyngens virtuelle nettverk, betjener også serverdelfunksjonalitet. Bare to av disse mikrotjenestene er tilgjengelige fra det offentlige Internett:
- Gatewaytjeneste
- Azure API Management
Power Platform Premium-infrastruktur
Power Platform Premium gir tilgang til et utvidet sett med koblinger som en betalt tjeneste. Power Platform-utviklere er ikke begrenset til å bruke Premium-koblinger, men appbrukere er det. Det vil si at brukere av en app som omfatter Premium-koblinger, må ha riktig lisens for å kunne få tilgang til dem. Serverdeltjenesten i Power Platform fastsetter om en bruker har tilgang til Premium-koblinger.
Mobilplattformer
Power Platform støtter Android, iOS og Windows-programmer (UWP). Sikkerhetsvurderinger for mobilapper faller innenfor to kategorier:
- Enhetskommunikasjon
- Programmet og dataene på enheten
Enhetskommunikasjon
Power Platform-mobilapper bruker de samme tilkoblings- og godkjenningssekvensene som brukes av nettlesere. Android- og iOS-apper åpner en nettleserøkt i appen. Windows-apper bruker en megler til å opprette en kommunikasjonskanal med Power Platform-tjenestene for påloggingsprosessen.
Tabellen nedenfor viser støtte for sertifikatbasert autentisering (CBA) for mobilapper:
| Støtte for sertifikatbasert autentisering | iOS | Android | Vinduer |
|---|---|---|---|
| Pålogging på tjenesten | Støttes | Støttes | Støttes ikke |
| SSRS ADFS lokalt (tilkobling til SSRS-server) | Støttes ikke | Støttes | Støttes ikke |
| SSRS-approxy | Støttes | Støttes | Støttes ikke |
Mobilapper kommuniserer aktivt med Power Platform-tjenestene. Statistikk for appbruk og lignende data overføres til tjenester som overvåker bruk og aktivitet. Ingen kundedata er inkludert.
Programmet og dataene på enheten
Mobilappen og dataene den krever, lagres sikkert på enheten. Microsoft Entra og oppdateringstoken lagres ved hjelp av sikkerhetstiltak som er bransjestandard.
Data som er hurtigbufret på enheten, inkluderer appdata, brukerinnstillinger og instrumentbord samt rapporter du har tilgang til i tidligere økter. Hurtigbufferen lagres i en sandkasse i internt lager. Hurtigbufferen er bare tilgjengelig for appen og kan krypteres av operativsystemet.
- iOS: Kryptering er automatisk når brukeren angir et passord.
- Android: Kryptering kan konfigureres i innstillingene.
- Windows: Kryptering håndteres av BitLocker.
Microsoft Intune-kryptering på filnivå kan brukes til å forbedre datakryptering. Intune er en programvaretjeneste som leverer administrasjon av mobilenheter og programmer. Alle tre mobilplattformer støtter Intune. Med Intune aktivert og konfigurert krypteres dataene på den mobile enheten, og Power Platform-appen kan ikke installeres på et SD-kort.
Windows-apper støtter også Windows Information Protection (WIP).
Hurtigbufrede data slettes når brukeren:
- avinstallerer appen
- logger seg av Power Platform-tjenesten
- ikke kan logge seg på etter at et passord er endre eller et token utløper
Geoplassering aktiveres eller deaktiveres eksplisitt av brukeren. Hvis dette er aktivert, lagres ikke geolokaliseringsdata på enheten og deles ikke med Microsoft.
Varslinger aktiveres eller deaktiveres eksplisitt av brukeren. Hvis varslinger aktiveres, støtter ikke Android og iOS krav til geografisk datalagring for varslinger.
Power Platform-mobiltjenestene har ikke tilgang til andre programmapper eller filer på enheten.
Noen tokenbaserte godkjenningsdata er tilgjengelige for andre Microsoft apper, for eksempel Authenticator, for å aktivere enkel pålogging. Disse dataene administreres av SDK-en for Microsoft Entra-godkjenningsbiblioteket.
Relaterte artikler
Godkjenning til Power Platform tjenester
Koble til og godkjenne datakilder
Datalagring i Power Platform
Power Platform Vanlige spørsmål om sikkerhet
Se også
- Sikkerhet i Microsoft Dataverse
- Microsoft Vilkår for elektroniske tjenester
- Microsoft Personvernerklæring for bedrifter
- Tillegg om databeskyttelse
- Microsoft Livssykluspraksis for sikkerhetsutvikling
- Ytelsestrafikkrutingsmetode for Azure Traffic Manager
- Microsoft Intune
- Windows informasjonsbeskyttelse (WIP)