Citiți în limba engleză

Partajați prin

Power Platform Întrebări frecvente despre securitate

  • Articol

Întrebările frecvente despre securitatea Power Platform se împart în două categorii:

  • Cum a fost conceput Power Platform pentru a ajuta la atenuarea primelor 10 riscuri Open Web Application Security Project® (OWASP)

  • Întrebări pe care le pun clienții noștri

Pentru a vă facilita găsirea celor mai recente informații, noi întrebări sunt adăugate la sfârșitul acestui articol.

Primele 10 riscuri OWASP: Atenuări în Power Platform

Open Web Application Security Project® (OWASP) este o fundație nonprofit care lucrează pentru a îmbunătăți securitatea software-ului. Prin proiecte de software open-source conduse de comunitate, sute de capitole din întreaga lume, zeci de mii de membri și conferințe educaționale și de instruire de top, Fundația OWASP este sursa pentru dezvoltatori și tehnologi pentru a securiza web-ul.

OWASP top 10 este un document standard de informare pentru dezvoltatori și pentru alții care sunt interesați de securitatea aplicațiilor web. Reprezintă un consens larg cu privire la cele mai critice riscuri de securitate pentru aplicațiile web. În această secțiune, vom discuta cum Power Platform ajută la atenuarea acestor riscuri.

A01:2021 Control de acces întrerupt

  • Modelul Power Platform de securitate este construit pe Acces cel mai puțin privilegiat (LPA). LPA permite clienților să creeze aplicații cu un control mai granular al accesului.
  • Power Platform folosește Microsoft Entra ID-urile (Microsoft Entra ID) Microsoft Identity Platform pentru autorizarea tuturor apelurilor API cu standardul din industrie OAuth 2.0 protocol.
  • Dataverse, care furnizează datele de bază pentru Power Platform, are un model de securitate bogat care include securitate la nivel de mediu, bazat pe roluri și la nivel de înregistrare și de câmp.

A02:2021 Eșecuri criptografice

Datele în tranzit:

  • Power Platform folosește TLS pentru a cripta tot traficul de rețea bazat pe HTTP. Utilizează alte mecanisme pentru a cripta traficul de rețea non-HTTP care conține date despre clienți sau confidențiale.
  • Power Platform folosește o configurație TLS consolidată care permite HTTP Strict Transport Security (HSTS):
    • TLS 1.2 sau mai mare
    • Suite de criptare bazate pe ECDHE și curbe NIST
    • Chei puternice

Date în repaus:

  • Toate datele clienților sunt criptate înainte de a fi scrise pe medii de stocare nevolatile.

A03:2021 Injecție

Power Platform folosește cele mai bune practici standard din industrie pentru a preveni atacurile prin injectare, inclusiv:

  • Utilizarea API-urilor sigure cu interfețe parametrizate
  • Aplicarea capabilităților în continuă evoluție ale cadrelor front-end pentru a igieniza intrarea
  • Sanitizarea ieșirii cu validare pe server
  • Utilizarea instrumentelor de analiză statică în timpul generării
  • Revizuirea modelului de amenințare al fiecărui serviciu la fiecare șase luni, indiferent dacă codul, designul sau infrastructura au fost actualizate sau nu

A04:2021 Design nesigur

  • Power Platform este construit pe o cultură și o metodologie de design sigur. Atât cultura, cât și metodologia sunt consolidate în mod constant prin Microsoftciclul de viață al dezvoltării securității (SDL) și modelarea amenințărilor, lider în industrie. practici.
  • Procesul de revizuire a modelării amenințărilor asigură că amenințările sunt identificate în timpul fazei de proiectare, atenuate și validate pentru a se asigura că au fost atenuate.
  • Modelarea amenințărilor ține cont, de asemenea, de toate modificările aduse serviciilor care sunt deja active prin revizuiri periodice continue. Bazându-vă pe modelul STRIDE el vă ajută la rezolvarea celor mai frecvente probleme cu un design nesigur.
  • MicrosoftSDL-ul lui este echivalent cu OWASP Software Assurance Maturity Model (SAMM). Ambele sunt construite pe premisa că designul securizat este parte integrantă a securității aplicațiilor web.

A05:2021 Configurare greșită de securitate

  • „Declină implicit” este unul dintre fundamentele Power Platform principiilor de proiectare. Cu „Declină implicit”, clienții trebuie să revizuiască și să se înscrie pentru noi funcții și configurații.
  • Orice configurare greșită în timpul generării este surprinsă de analiza de securitate integrată folosind Instrumente de dezvoltare de securitate.
  • În plus, Power Platform supune Testarea de securitate a analizei dinamice (DAST) folosind un serviciu intern care se bazează pe primele 10 riscuri OWASP.

A06:2021 Componente vulnerabile și învechite

  • Power Platform urmează practicile SDL ale Microsoft pentru a gestiona componentele open source și terțe. Aceste practici includ menținerea unui inventar complet, efectuarea de analize de securitate, menținerea la zi a componentelor și alinierea componentelor cu un proces de răspuns la incident de securitate încercat și testat.
  • În cazuri rare, unele aplicații pot conține copii ale componentelor învechite din cauza dependențelor externe. Cu toate acestea, după ce aceste dependențe au fost abordate în conformitate cu practicile prezentate mai devreme, componentele sunt urmărite și actualizate.

A07:2021 Eșecuri de identificare și autentificare

  • Power Platform este construit pe și depinde de Microsoft Entra identificarea și autentificarea ID.
  • Microsoft Entra ajută la Power Platform activarea funcții securizate. Aceste caracteristici includ sign-on unic, autentificare cu mai mulți factori și o singură platformă pentru a interacționa mai sigur cu utilizatorii interni și externi.
  • Odată cu implementarea viitoare de către Power Platform a Microsoft Entra ID Evaluarea continuă a accesului (CAE), identificarea și autentificarea utilizatorilor vor fi și mai mari sigur și de încredere.

A08:2021 Eșecuri de integritate software și date

  • Procesul de guvernare a componentelor a Power Platform impune configurarea sigură a fișierelor sursă a pachetului pentru a menține integritatea software-ului.
  • Procesul asigură că numai pachetele din surse interne sunt servite pentru a aborda atacul de substituire. Atacul de substituție, cunoscut și sub denumirea de confuzie de dependență, este o tehnică care poate fi folosită pentru a otrăvi procesul de creare a aplicației în mediile securizate ale întreprinderii.
  • Toate datele criptate au protecție a integrității aplicată înainte de a fi transmise. Toate metadatele de protecție a integrității prezente pentru datele criptate primite sunt validate.

OWASP top 10 riscuri Low Code/No Code: Atenuări în Power Platform

Pentru îndrumări privind atenuarea primelor 10 riscuri de securitate Low Code/No Code publicate de OWASP, consultați acest document:

Power Platform - OWASP Low Code No Code Top 10 Riscs (aprilie 2024)

Întrebări frecvente de securitate de la clienți

Iată câteva dintre întrebările de securitate pe care le pun clienții noștri.

Cum vă ajută Power Platform la protejarea împotriva clickjacking-ului?

Clickjacking folosește cadre iframe încorporate, printre alte componente, pentru a deturna interacțiunile unui utilizator cu o pagină web. Este o amenințare semnificativă în special pentru paginile de acreditări de conectare. Power Platform previne utilizarea iframe-urilor pe paginile de conectare, reducând semnificativ riscul de clickjacking.

În plus, organizațiile pot folosi Politica de securitate a conținutului (CSP) pentru a restricționa încorporarea la domenii de încredere.

Power Platform acceptă Politica de securitate a conținutului?

Power Platform acceptă Politica de securitate a conținutului (CSP) pentru aplicațiile proiectate pe bază de model. Nu acceptăm următoarele antete care sunt înlocuite cu CSP:

  • X-XSS-Protection
  • X-Frame-Options

Cum ne putem conecta la SQL Server în siguranță?

Consultați Utilizați Microsoft SQL Server securizat cu Power Apps.

Cu ce cifruri sunt acceptate de Power Platform? Care este foaia de parcurs pentru trecerea continuă către cifruri mai puternice?

Toate Microsoft serviciile și produsele sunt configurate pentru a utiliza suitele de cifrare aprobate, în ordinea exactă indicată de Microsoft Crypto Board. Pentru lista completă și ordinea exactă, consultați documentația Power Platform.

Informațiile despre deprecierea suitelor de cifruri sunt comunicate prin documentația Power Platform Modificări importante.

De ce Power Platform încă acceptă cifrurile RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) și TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), care sunt considerate mai slabe?

Microsoft cântărește riscul relativ și perturbarea operațiunilor clienților în alegerea suitelor de criptare pe care să le suporte. Suitele de cifruri RSA-CBC nu au fost încă rupte. Le-am permis să asigure coerența între serviciile și produsele noastre și să sprijine toate configurațiile clienților. Cu toate acestea, ele se află în partea de jos a listei de priorități.

Vom renunța la aceste cifruri la momentul potrivit, pe baza evaluării continue a Microsoft Crypto Board.

De ce Power Automate expune hashurile de conținut MD5 în intrările și ieșirile de declanșare/acțiune?

Power Automate transmite clienților săi valoarea hash opțională de conținut-MD5 returnată de Azure Storage așa cum este. Acest hash este utilizat de Azure Storage pentru a verifica integritatea paginii în timpul transportului ca algoritm de sumă de verificare și nu este folosit ca funcție hash criptografică în scopuri de securitate în Power Automate. Puteți găsi mai multe detalii despre acest lucru în documentația Azure Storage despre cum să Obțineți proprietățile blob și cum să lucrați cu Anteturi de solicitare.

Cum protejează Power Platform împotriva atacurilor Distributed Denial of Service (DDoS)?

Power Platform este construit pe Microsoft Azure și folosește Azure DDoS Protection pentru a se proteja împotriva atacurilor DDoS.

Detectează Power Platform dispozitivele jailbreak iOS și dispozitivele înrădăcinate Android pentru a ajuta la protejarea datelor organizaționale?

Vă recomandăm să utilizați Microsoft Intune. Intune este o soluție de management a dispozitivelor mobile. Poate ajuta la protejarea datelor organizaționale solicitând utilizatorilor și dispozitivelor să îndeplinească anumite cerințe. Pentru mai multe informații, consultați Setările politicii de conformitate Intune.

De ce cookie-urile de sesiune sunt incluse în domeniul părinte?

Power Platform întinde cookie-urile de sesiune către domeniul părinte pentru a permite autentificarea între organizații. Subdomeniile nu sunt folosite ca limite de securitate. De asemenea, nu găzduiesc conținut pentru clienți.

Cum putem seta sesiunea de aplicare să expire după, să zicem, 15 minute?

Power Platform folosește Microsoft Entra identitatea ID și gestionarea accesului. Urmează Microsoft Entra configurația de gestionare a sesiunii recomandată de ID pentru o experiență optimă a utilizatorului.

Cu toate acestea, puteți personaliza mediile pentru a avea expirări explicite ale sesiunii și/sau activității. Pentru informații suplimentare, consultați Sesiunea de utilizator și gestionarea accesului.

Odată cu implementarea viitoare de către Power Platform a Microsoft Entra ID Evaluarea continuă a accesului, identificarea și autentificarea utilizatorilor vor fi și mai sigure și mai fiabile.

Aplicația permite aceluiași utilizator să acceseze de pe mai multe mașini sau browser în același timp. Cum putem preveni asta?

Accesarea aplicației de pe mai multe dispozitive sau browser în același timp este o comoditate pentru utilizatori. Power PlatformImplementarea viitoare a Microsoft Entra ID Evaluarea continuă a accesului va contribui la asigurarea faptului că accesul este de pe dispozitive și browsere autorizate și că este încă valabil.

De ce unele servicii Power Platform expun antetele serverului cu informații detaliate?

Power Platform serviciile au lucrat pentru a elimina informațiile inutile din antetul serverului. Scopul este de a echilibra nivelul de detaliu cu riscul de a expune informații care ar putea slăbi postura generală de securitate.

Cum afectează vulnerabilitățile Log4j Power Platform? Ce ar trebui să facă clienții în acest sens?

Microsoft a evaluat că nicio vulnerabilitate Log4j nu are impact Power Platform. Consultați postarea noastră de blog despre prevenirea, detectarea și urmărirea exploatării vulnerabilităților Log4j.

Cum ne putem asigura că nu există tranzacții neautorizate din cauza extensiilor de browser sau a API-urilor client Interfață unificată care permit activarea controalelor dezactivate?

Modelul de securitate Power Apps nu include conceptul de comenzi dezactivate. Dezactivarea comenzilor este o îmbunătățire a UI. Nu ar trebui să vă bazați pe comenzile dezactivate pentru a oferi securitate. În schimb, utilizați controale Dataverse, cum ar fi securitatea la nivel de câmp, pentru a preveni tranzacțiile neautorizate.

Ce anteturi de securitate HTTP sunt folosite pentru proteja răspuns date?

Nume Details
Strict-Transport-Securitate Acesta este setat la max-age=31536000; includeSubDomains pentru toate răspunsurile.
X-Frame-Opțiuni Acest lucru este depreciat în favoarea CSP.
X-Opțiuni-Tip de conținut Acesta este setat la nosniff pentru toate răspunsurile la material.
Conținut-Securitate-Politică Acesta este setat dacă utilizatorul activează CSP.
X-XSS-Protecție Acest lucru este depreciat în favoarea CSP.

Unde pot găsi teste de penetrare Power Platform sau Dynamics 365?

Cele mai recente teste de penetrare și evaluări de securitate pot fi găsite pe Microsoft Portalul de încredere în servicii.

Notă

Pentru a accesa unele dintre resursele de pe Portalul de încredere în servicii, trebuie să vă conectați ca utilizator autentificat cu Microsoft contul dvs. de servicii cloud (Microsoft Entra contul organizației) și să examinați și să acceptați Microsoft acord de nedivulgare pentru materialele de conformitate.

Securitate în Microsoft Power Platform
Autentificarea la Power Platform servicii
Conectarea și autentificarea la sursele de date
Stocarea datelor în Power Platform

Consultați și