Power Platform zabezpieczenia — często zadawane pytania
Najczęściej zadawane pytania dotyczące bezpieczeństwa Power Platform dzielą się na dwie kategorie:
W jaki sposób Power Platform został zaprojektowany, aby pomóc zminimalizować 10 największych zagrożeń Open Web Application Security Project® (OWASP)
Pytania, które zadają nasi klienci
Aby ułatwić ci znalezienie najnowszych informacji, nowe pytania są dodawane na końcu tego artykułu.
10 najważniejszych zagrożeń OWASP: ograniczenia w Power Platform
Open Web Application Security Project® (OWASP) to fundacja non-profit, która działa na rzecz poprawy bezpieczeństwa oprogramowania. Dzięki prowadzonym przez społeczność projektom oprogramowania open-source, setkom oddziałów na całym świecie, dziesiątkom tysięcy członków oraz wiodącym konferencjom edukacyjnym i szkoleniowym, Fundacja OWASP jest dla programistów i technologów źródłem wiedzy o bezpieczeństwie w sieci.
OWASP Top 10 jest standardowym dokumentem uświadamiającym dla programistów i innych osób zainteresowanych bezpieczeństwem aplikacji internetowych. Przedstawia szerokie środowiska o najważniejszych zabezpieczeniach, które nie są związane z aplikacjami sieci Web. W tej części omówimy, w jaki sposób Power Platform pomaga ograniczyć to ryzyko.
A01:2021 — przerwana kontrola dostępu
- Model bezpieczeństwa Power Platform jest zbudowany w oparciu o Least Privileged Access (LPA). LPA umożliwia klientom tworzenie aplikacji z bardziej granularną kontrolą dostępu.
- Power Platform wykorzystuje identyfikator Microsoft Entra ID (Microsoft Entra ID) Microsoft Identity Platform do autoryzacji wszystkich wywołań API za pomocą standardowego protokołu OAuth 2.0.
- Dataverse, który dostarcza dane bazowe dla Power Platform, ma bogaty model bezpieczeństwa, który obejmuje zabezpieczenia na poziomie środowiska, ról oraz rekordów i pól.
A02:2021-Niepowodzenia kryptograficzne
Dane w drodze:
- Power Platform używa TLS do szyfrowania całego ruchu sieciowego opartego na protokole HTTP. Są w nim używane inne mechanizmy szyfrowania ruchu sieciowego spoza protokołu HTTP zawierającego dane o klientach lub poufnych.
- Power Platform wykorzystuje wzmocnioną konfigurację TLS, która umożliwia stosowanie protokołu HTTP Strict Transport Security (HSTS):
- TLS 1.2 lub wyższa
- Wykorzystuje zestawy szyfrów oparte na ECDHE i krzywe NIST
- Mocne klucze
Dane magazynowane:
- Wszystkie dane klientów zostaną szyfrowane przed ich wpisem w mediach niedystrowanych.
Power Platform używa standardowych w tej branży najlepszych rozwiązań w celu zapobiegania atakom, w tym:
- Korzystanie z bezpiecznego interfejsu API z parametrami interfejsów
- Stosowanie stale rozwijających się możliwości struktury front-end do oczyszczania danych wejściowych
- Sanitowanie danych wyjściowych przy użyciu sprawdzania poprawności na serwerze
- Korzystanie z narzędzi do analizy statycznej w czasie tworzenia
- Przejrzyj model zagrożeń dla każdej usługi co 6 miesięcy, bez względu na to, czy kod/projekt/infrastruktura zostały zaktualizowane, czy nie
A04:2021 — niebezpieczny design
- Power Platform jest zbudowana na kulturze i metodologii bezpiecznego projektowania. Zarówno kultura, jak i metodologia są stale wzmacniane przez wiodące w branży praktyki firmy Microsoft Security Development Lifecycle (SDL) i Modelowanie zagrożeń.
- Proces przeglądu modelowania zagrożeń zapewnia, że zagrożenia są identyfikowane w fazie projektowania, łagodzone i zatwierdzane, aby upewnić się, że zostały zniwelowane.
- Modelowanie zagrożeń uwzględnia także wszystkie zmiany w usługach, które już działają, dzięki ciągłym, regularnym przeglądom. Bazowanie na modelu STRIDE pomaga rozwiązać najczęstsze problemy związane z niezabezpieczonym projektowaniem.
- SDL Microsoftu jest odpowiednikiem Model dojrzałości OWASP zapewnienia bezpieczeństwa oprogramowania (SAMM). Oba są zbudowane w oparciu o założenie, że bezpieczny projekt jest integralną częścią bezpieczeństwa aplikacji internetowych.
05:2021-Błędna konfiguracja bezpieczeństwa
- „Domyślna odmowa” jest jednym z fundamentów zasad projektowania Power Platform. W przypadku „Domyślnej odmowy” klienci muszą sprawdzić i wyrazić zgodę na nowe funkcje i konfiguracje.
- Wszelkie błędy konfiguracji podczas tworzenia będą podlegać analizie zintegrowanej analizy zabezpieczeń przy użyciu bezpiecznego narzędzia projektowego.
- Ponadto Power Platform przechodzi testy bezpieczeństwa analizy dynamicznej Analiza dynamiczna Testy bezpieczeństwa (DAST) przy użyciu wewnętrznej usługi opartej na 10 najważniejszych zagrożeniach OWASP.
06:2021-Podatne i przestarzałe komponenty
- Power Platform stosuje się do wiodących w branży SDL praktyk firmy Microsoft w zakresie zarządzania komponentami open source i innych firm. Praktyki te obejmują utrzymywanie pełnej inwentaryzacji, przeprowadzanie analiz bezpieczeństwa, aktualizowanie komponentów oraz dostosowanie komponentów do wypróbowanego i przetestowanego procesu reagowania na incydenty bezpieczeństwa.
- W rzadkich przypadkach niektóre aplikacje mogą zawierać kopie przestarzałych komponentów ze względu na zewnętrzne zależności. Jednak po zajęciu się tymi zależnościami zgodnie z wcześniej opisanymi praktykami, komponenty są śledzone i aktualizowane.
A07:2021-Błędy identyfikacji i uwierzytelniania
- Power Platform opiera się na identyfikacji i uwierzytelnianiu Microsoft Entra i jest od nich zależna.
- Microsoft Entra pomaga Power Platform włączyć bezpieczne funkcje. Funkcje te obejmują pojedyncze logowanie, uwierzytelnianie wieloczynnikowe oraz jedną platformę, która pozwala bezpieczniej współpracować z użytkownikami wewnętrznymi i zewnętrznymi.
- Dzięki nadchodzącej implementacji Microsoft Entra ID w Power Platform Continuous Access Evaluation (CAE), identyfikacja i uwierzytelnianie użytkowników będą jeszcze bezpieczniejsze i bardziej niezawodne.
08:2021-Awarie oprogramowania i integralności danych
- Proces zarządzania składnikami w Power Platform wymusza bezpieczną konfigurację plików źródłowych pakietów w celu zachowania integralności oprogramowania.
- Proces zapewnia, że podawane są wyłącznie pakiety pochodzące ze źródeł wewnętrznych w celu rozwiązania problemu ataku substytucji. Atak substytucyjny, znany też jako pomylenie zależności, jest techniką, która może być użyta do zatrucia procesu tworzenia aplikacji w bezpiecznych środowiskach korporacyjnych.
- Wszystkie zaszyfrowane dane przed przesłaniem mają zapewnioną ochronę integralności. Wszystkie metadane chroniące integralność przychodzących zaszyfrowanych danych są weryfikowane.
OWASP 10 największych zagrożeń związanych z niskim kodem/bez kodu: Środki zaradcze w Power Platform
Wskazówki dotyczące łagodzenia 10 największych zagrożeń bezpieczeństwa (Niski kod/brak kodu) opublikowanych przez OWASP można znaleźć w tym dokumencie:
Power Platform - OWASP 10 największych zagrożeń związanych z niskim kodem: (kwiecień 2024 r.)
Typowe pytania dotyczące zabezpieczeń od klientów
Poniżej przedstawiamy niektóre z pytań dotyczących bezpieczeństwa, które zadają nasi klienci.
W jaki sposób Power Platform pomaga chronić się przed zagrożeniami Clickjacking?
Clickjacking używa osadzonych iframe'ów, między innymi do przejęcia interakcji użytkownika ze stroną internetową. Jest to duże zagrożenie zwłaszcza dla stron logowania. Power Platform zapobiega używaniu ramek iframe na stronach logowania, co znacznie zmniejsza ryzyko clickjackingu.
Ponadto zasady Content Security Policy (CSP) mogą służyć do ograniczania osadzania do zaufanych domen z ustawieniami organizacji.
Czy Power Platform obsługuje politykę bezpieczeństwa treści (CSP)?
Power Platform wspiera Politykę bezpieczeństwa treści (CSP) dla aplikacji opartych na modelu. Nie obsługujemy następujących nagłówków, które zostały zastąpione przez CSP:
X-XSS-ProtectionX-Frame-Options
Jak można bezpiecznie nawiązywać połączenie z programem SQL Server?
Zobacz: Bezpieczne używanie programu Microsoft SQL Server z usługą Power Apps.
Jakie szyfry są obsługiwane przez Power Platform? Jaka jest mapa drogowa ciągłego przechodzenia w kierunku silniejszych szyfrów?
Wszystkie usługi i produkty firmy Microsoft są skonfigurowane do korzystania z zatwierdzonych zestawów szyfrowania, w dokładnej kolejności, o której mowa na tablicy Microsoft Crypto. Pełną listę i dokładne zamówienie można znaleźć w dokumentacji Power Platform.
Wszelkie zmiany związane z wycofywaniem pakietów szyfrowania będą przekazywane w dokumentacji Ważne zmiany usługi Power Platform.
Dlaczego Power Platform nadal obsługuje szyfry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), które są uważane za słabsze?
Wybierając zestawy szyfrów, które mają być obsługiwane, Microsoft bierze pod uwagę względne ryzyko i zakłócenia w pracy klientów. Zestawy szyfrów RSA-CBC nie zostały jeszcze złamane. Umożliwiliśmy im zapewnienie spójności naszych usług i produktów oraz wsparcie wszystkich konfiguracji klientów. Są one jednak na dole listy priorytetów.
Wycofamy te szyfry w odpowiednim czasie, na podstawie ciągłej oceny przez Microsoft Crypto Board.
Dlaczego usługa Power Automate ujawnia skróty zawartości MD5 w wejściach i wyjściach wyzwalacza/akcji?
Power Automate przekazuje opcjonalną wartość skrótu zawartość-DHCP5 zwracaną przez magazyn Azure do jej klientów. To skrót jest używany przez magazyn Azure w celu sprawdzenia integralności strony podczas transportu jako algorytmu testowego i nie jest używany jako funkcja kryptograficzna skrótu dla celów bezpieczeństwa w usłudze Power Automate. Więcej informacji na ten temat można znaleźć w dokumentacji usługi Azure Storage dotyczącej sposobu Pobierz właściwości obiektu Blob i sposobu pracy z Nagłówki żądania.
Jak chronić Power Platform przed rozproszonymi odmowami dostępu do usługi (DDoS)?
Power Platform jest zbudowany na platformie Microsoft Azure i używa Azure DDoS Protection do ochrony przed atakami DDoS.
Czy Power Platform wykrywa urządzenia iOS i rootowane urządzenia Android i pomagają chronić dane organizacyjne?
Zaleca się użycie usługi Microsoft Intune. Intune to rozwiązanie do zarządzania urządzeniami mobilnymi. Może pomóc w ochronie danych organizacyjnych, wymagając od użytkowników i urządzeń spełnienia określonych wymagań. Aby uzyskać więcej informacji, zobacz ustawienia zasad Intune zgodności z usługą.
Dlaczego zakres plików cookie sesji jest ograniczony do domeny nadrzędnej?
Power Platform przypisuje ciasteczka sesji do domeny nadrzędnej, aby umożliwić uwierzytelnianie w różnych organizacjach. Subdomeny nie są używane jako granice bezpieczeństwa. Nie udostępniają też treści klientów.
Jak możemy ustawić limit czasu sesji aplikacji po powiedzmy 15 minutach?
Power Platform wykorzystuje zarządzanie tożsamością i dostępem Microsoft Entra ID. Jest on zgodny z Zalecaną przez Microsoft Entra ID konfiguracją zarządzania sesją dla optymalnego doświadczenia użytkownika.
Można jednak dostosować środowiska w celu wyraźnego ustawienia sesji i/lub limitu czasu działania. Więcej informacji znajdziesz na Ulepszenie poziomu zabezpieczeń: Zarządzanie sesją i dostępem użytkowników.
Dzięki nadchodzącej implementacji Microsoft Entra ID w Power Platform Continuous Access Evaluation, identyfikacja i uwierzytelnianie użytkowników będą jeszcze bezpieczniejsze i bardziej niezawodne.
Aplikacja umożliwia jednemu użytkownikowi dostęp jednocześnie z więcej niż jednego komputera/przeglądarki. Jak można zapobiec tym problemom?
Dostęp do aplikacji z więcej niż jednego urządzenia lub przeglądarki w tym samym czasie to wygoda dla użytkowników. Nadchodzące wdrożenie Microsoft Entra ID przez Power Platform Continuous Access Evaluation pomoże zapewnić, że dostęp pochodzi z autoryzowanych urządzeń i przeglądarek i jest nadal ważny.
Dlaczego niektóre usługi Power Platform uwidaczniają nagłówki serwera z pełnymi informacjami?
Power Platform służby pracują nad usunięciem niepotrzebnych informacji z nagłówka serwera. Celem jest zrównoważenie poziomu szczegółowości z ryzykiem ujawnienia informacji, które może osłabić ogólną postawę bezpieczeństwa.
Jak luki w Log4j wpływają na Power Platform? Co w tym zakresie powinni zrobić klienci?
Microsoft ocenił, że żadne luki w Log4j nie mają wpływu na Power Platform. Zobacz nasz wpis na blogu na temat zapobiegania, wykrywania i polowania na wykorzystanie luk w Log4j.
Jak możemy upewnić się, że nie ma nieautoryzowanych transakcji z powodu rozszerzeń przeglądarki lub interfejsów API klienta ujednoliconego interfejsu, które umożliwiają włączenie wyłączonych kontroli?
Model bezpieczeństwa Power Apps nie zawiera pojęcia wyłączonych kontroli. Wyłączanie formantów poprawia interfejs użytkownika. Nie powinieneś polegać na wyłączonych kontrolach, by zapewnić sobie bezpieczeństwo. Zamiast tego wykorzystaj mechanizmy Dataverse, takie jak zabezpieczenia na poziomie pól, aby zapobiec nieautoryzowanym transakcjom.
Które nagłówki zabezpieczeń HTTP są używane do ochrony danych odpowiedzi?
| Nazwa/nazwisko | Details |
|---|---|
| Strict-Transport-Security | Ta wartość jest ustawiana na max-age=31536000; includeSubDomains dla wszystkich odpowiedzi. |
| X-Frame-Options | To zostało określone po stronie CSP. |
| X-Content-Type-Options | Ta wartość jest ustawiana na nosniff dla wszystkich zasobów. |
| Content-Security-Policy | Ta wartość jest ustawiana, jeśli użytkownik włącza CSP. |
| X-XSS-Protection | To zostało określone po stronie CSP. |
Gdzie mogę znaleźć testy penetracyjne Power Platform lub Dynamics 365 albo ich użyć?
Najnowsze testy penetracyjne i oceny zabezpieczeń można znaleźć w portalu zaufania usług Microsoft.
Uwaga
Aby uzyskać dostęp do niektórych zasobów w portalu zaufania usług, musisz zalogować się jako użytkownik uwierzytelniony przy użyciu konta Usługi firmy Microsoft w chmurze (konto organizacji Microsoft Entra) oraz przejrzeć i zaakceptować umowę Microsoft o nieujawnianiu dla materiałów dotyczących zgodności.
Powiązane artykuły
Zabezpieczenia w Microsoft Power Platform
Uwierzytelnianie w usługach platformy Power Platform
Nawiązywanie połączeń ze źródłami danych i uwierzytelnianie się w nich
Magazyn danych na platformie Power Platform