Notă
Accesul la această pagină necesită autorizare. Puteți încerca să vă conectați sau să modificați directoarele.
Accesul la această pagină necesită autorizare. Puteți încerca să modificați directoarele.
Întrebările frecvente despre securitatea Power Platform se împart în două categorii:
Cum a fost conceput Power Platform pentru a ajuta la atenuarea primelor 10 riscuri Open Web Application Security Project® (OWASP)
Întrebări pe care le pun clienții noștri
Pentru a vă facilita găsirea celor mai recente informații, noi întrebări sunt adăugate la sfârșitul acestui articol.
Primele 10 riscuri OWASP: Atenuări în Power Platform
Open Web Application Security Project® (OWASP) este o fundație nonprofit care lucrează pentru a îmbunătăți securitatea software-ului. Prin proiecte de software open-source conduse de comunitate, sute de capitole din întreaga lume, zeci de mii de membri și conferințe educaționale și de instruire de top, Fundația OWASP este sursa pentru dezvoltatori și tehnologi pentru a securiza web-ul.
OWASP top 10 este un document standard de informare pentru dezvoltatori și pentru alții care sunt interesați de securitatea aplicațiilor web. Reprezintă un consens larg cu privire la cele mai critice riscuri de securitate pentru aplicațiile web. În această secțiune, discutăm despre modul în care Power Platform ajută la atenuarea acestor riscuri.
- Modelul Power Platform de securitate este construit pe Acces cel mai puțin privilegiat (LPA). LPA permite clienților să creeze aplicații cu un control mai granular al accesului.
- Power Platform utilizează Microsoft Entra ID-uri (Microsoft Entra ID) Microsoft Identity Platform pentru autorizarea tuturor apelurilor API cu protocolul standard din industrie OAuth 2.0.
- Dataverse, care furnizează datele de bază pentru Power Platform, are un model de securitate bogat care include securitate la nivel de mediu, bazat pe roluri și la nivel de înregistrare și de câmp.
Datele în tranzit:
- Power Platform folosește TLS pentru a cripta tot traficul de rețea bazat pe HTTP. Utilizează alte mecanisme pentru a cripta traficul de rețea non-HTTP care conține date despre clienți sau confidențiale.
- Power Platform folosește o configurație TLS consolidată care permite HTTP Strict Transport Security (HSTS):
- TLS 1.2 sau mai mare
- Suite de criptare bazate pe ECDHE și curbe NIST
- Chei puternice
Date în repaus:
- Toate datele clienților sunt criptate înainte de a fi scrise pe medii de stocare nevolatile.
Power Platform folosește cele mai bune practici standard din industrie pentru a preveni atacurile prin injectare, inclusiv:
- Utilizarea API-urilor sigure cu interfețe parametrizate
- Aplicarea capabilităților în continuă evoluție ale cadrelor front-end pentru a igieniza intrarea
- Sanitizarea ieșirii cu validare pe server
- Utilizarea instrumentelor de analiză statică în timpul generării
- Revizuirea modelului de amenințare al fiecărui serviciu la fiecare șase luni, indiferent dacă codul, designul sau infrastructura au fost actualizate sau nu
- Power Platform este construit pe o cultură și o metodologie de design sigur. Atât cultura, cât și metodologia sunt consolidate în mod constant prin practicile Microsoft, lidere în industrie, Ciclul de viață al dezvoltării securității (SDL) și Modelarea amenințărilor .
- Procesul de revizuire a modelării amenințărilor asigură că amenințările sunt identificate în timpul fazei de proiectare, atenuate și validate pentru a se asigura că au fost atenuate.
- Modelarea amenințărilor ține cont, de asemenea, de toate modificările aduse serviciilor care sunt deja active prin revizuiri periodice continue. Bazându-vă pe modelul STRIDE el vă ajută la rezolvarea celor mai frecvente probleme cu un design nesigur.
- SDL-ul Microsoft este echivalent cu OWASP Software Assurance Maturity Model (SAMM). Ambele sunt construite pe premisa că designul securizat este parte integrantă a securității aplicațiilor web.
A05:2021 Configurare greșită de securitate
- „Declină implicit” este unul dintre fundamentele Power Platform principiilor de proiectare. Cu „Declină implicit”, clienții trebuie să revizuiască și să se înscrie pentru noi funcții și configurații.
- Orice configurare greșită în timpul generării este surprinsă de analiza de securitate integrată folosind Instrumente de dezvoltare de securitate.
- În plus, Power Platform supune Testarea de securitate a analizei dinamice (DAST) folosind un serviciu intern care se bazează pe primele 10 riscuri OWASP.
A06:2021 Componente vulnerabile și învechite
- Power Platform urmează practicile SDL ale Microsoft pentru a gestiona componentele open source și terțe. Aceste practici includ menținerea unui inventar complet, efectuarea de analize de securitate, menținerea la zi a componentelor și alinierea componentelor cu un proces de răspuns la incident de securitate încercat și testat.
- În cazuri rare, unele aplicații pot conține copii ale componentelor învechite din cauza dependențelor externe. Cu toate acestea, după ce aceste dependențe au fost abordate în conformitate cu practicile prezentate mai devreme, componentele sunt urmărite și actualizate.
A07:2021 Erori de identificare și autentificare
- Power Platform este construit pe și depinde de Microsoft Entra identificarea și autentificarea ID-ului.
- Microsoft Entra ajută Power Platform la activarea funcțiilor securizate. Aceste caracteristici includ conectare unică, autentificare multifactor și o singură platformă pentru a interacționa mai sigur cu utilizatorii interni și externi.
- Odată cu implementarea viitoare de către *ID* a sistemului de evaluare continuă a accesului (CAE), identificarea și autentificarea utilizatorilor vor fi și mai sigure și mai fiabile. Power Platform Microsoft Entra
A08:2021 Defecțiuni de software și integritate a datelor
- Procesul de guvernare a componentelor a Power Platform impune configurarea sigură a fișierelor sursă a pachetului pentru a menține integritatea software-ului.
- Procesul asigură că numai pachetele din surse interne sunt servite pentru a aborda atacul de substituire. Atacul de substituție, cunoscut și sub denumirea de confuzie de dependență, este o tehnică care poate fi folosită pentru a otrăvi procesul de creare a aplicației în mediile securizate ale întreprinderii.
- Toate datele criptate au protecție a integrității aplicată înainte de a fi transmise. Toate metadatele de protecție a integrității prezente pentru datele criptate primite sunt validate.
Top 10 riscuri OWASP cu codare redusă/fără codare: Atenuări în Power Platform
Pentru îndrumări privind atenuarea celor mai importante 10 riscuri de securitate Low Code/No Code publicate de OWASP, consultați acest document:
Power Platform - Top 10 riscuri OWASP Low Code No Code (aprilie 2024)
Întrebări frecvente de securitate de la clienți
Iată câteva dintre întrebările de securitate pe care le pun clienții noștri.
Cum vă ajută Power Platform la protejarea împotriva clickjacking-ului?
Clickjacking folosește iframe-uri încorporate, printre alte componente, pentru a deturna interacțiunile unui utilizator cu o pagină web. Este o amenințare semnificativă în special pentru paginile de acreditări de conectare. Power Platform previne utilizarea iframe-urilor pe paginile de conectare, reducând semnificativ riscul de clickjacking.
În plus, organizațiile pot folosi Politica de securitate a conținutului (CSP) pentru a restricționa încorporarea la domenii de încredere.
Power Platform acceptă Politica de securitate a conținutului?
Power Platform acceptă Politica de securitate a conținutului (CSP) pentru aplicațiile proiectate pe bază de model. Nu acceptăm următoarele anteturi care sunt înlocuite de CSP:
X-XSS-ProtectionX-Frame-Options
Cum ne putem conecta la SQL Server în siguranță?
Consultați Utilizați Microsoft SQL Server securizat cu Power Apps.
Cu ce cifruri sunt acceptate de Power Platform? Care este foaia de parcurs pentru trecerea continuă către cifruri mai puternice?
Toate serviciile și produsele Microsoft sunt configurate pentru a utiliza suitele de cifruri aprobate, în ordinea exactă indicată de Microsoft Crypto Board. Pentru lista completă și ordinea exactă, consultați documentația Power Platform.
Informațiile despre deprecierea suitelor de cifruri sunt comunicate prin documentația Power Platform Modificări importante.
De ce Power Platform încă acceptă cifrurile RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) și TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), care sunt considerate mai slabe?
Microsoft cântărește riscul relativ și întreruperea operațiunilor clienților în alegerea suitelor de cifruri pe care să le accepte. Suitele de cifruri RSA-CBC nu au fost încă rupte. Le-am permis să asigure coerența între serviciile și produsele noastre și să sprijine toate configurațiile clienților. Cu toate acestea, ele se află în partea de jos a listei de priorități.
Vom deprecia aceste cifruri la momentul potrivit, pe baza evaluării continue a Microsoft Crypto Board.
De ce Power Automate expune hashurile de conținut MD5 în intrările și ieșirile de declanșare/acțiune?
Power Automate transmite clienților săi valoarea hash opțională de conținut-MD5 returnată de Azure Storage așa cum este. Acest hash este utilizat de Azure Storage pentru a verifica integritatea paginii în timpul transportului ca algoritm de sumă de verificare și nu este folosit ca funcție hash criptografică în scopuri de securitate în Power Automate. Puteți găsi mai multe detalii despre acest subiect în documentația Azure Storage despre cum să obțineți proprietăți Blob și cum să lucrați cu anteturile de solicitare.
Cum protejează Power Platform împotriva atacurilor Distributed Denial of Service (DDoS)?
Power Platform este construit pe Microsoft Azure și folosește Azure DDoS Protection pentru a se proteja împotriva atacurilor DDoS.
Detectează dispozitivele cu jailbreak și dispozitivele rootate pentru a ajuta la protejarea datelor organizației? Power Platform iOS Android
Vă recomandăm să utilizați Microsoft Intune. Intune este o soluție de management a dispozitivelor mobile. Poate ajuta la protejarea datelor organizaționale solicitând utilizatorilor și dispozitivelor să îndeplinească anumite cerințe. Pentru mai multe informații, consultați Setările politicii de conformitate Intune.
De ce cookie-urile de sesiune sunt incluse în domeniul părinte?
Power Platform întinde cookie-urile de sesiune către domeniul părinte pentru a permite autentificarea între organizații. Subdomeniile nu sunt folosite ca limite de securitate. De asemenea, nu găzduiesc conținut pentru clienți.
Cum putem seta sesiunea de aplicare să expire după, să zicem, 15 minute?
Power Platform utilizează Microsoft Entra ID, gestionarea identității și a accesului. Respectă configurația de gestionare a sesiunilor recomandată de ID pentru o experiență optimă a utilizatorului. Microsoft Entra
Cu toate acestea, puteți personaliza mediile pentru a avea expirări explicite ale sesiunii și/sau activității. Pentru informații suplimentare, consultați Sesiunea de utilizator și gestionarea accesului.
Odată cu implementarea viitoare de către *ID* a sistemului de evaluare continuă a accesului (*Continuous Access Evaluation*), identificarea și autentificarea utilizatorilor vor fi și mai sigure și mai fiabile. Power Platform Microsoft Entra
Aplicația permite aceluiași utilizator să acceseze de pe mai multe mașini sau browser în același timp. Cum putem preveni asta?
Accesarea aplicației de pe mai multe dispozitive sau browser în același timp este o comoditate pentru utilizatori. Power PlatformImplementarea viitoare a evaluării continue a accesului de către ID va ajuta la asigurarea faptului că accesul este furnizat de pe dispozitive și browsere autorizate și este încă valid. Microsoft Entra
De ce unele servicii Power Platform expun antetele serverului cu informații detaliate?
Power Platform serviciile au lucrat pentru a elimina informațiile inutile din antetul serverului. Scopul este de a echilibra nivelul de detaliu cu riscul de a expune informații care ar putea slăbi postura generală de securitate.
Cum afectează vulnerabilitățile Log4j Power Platform? Ce ar trebui să facă clienții în acest sens?
Microsoft a evaluat că nicio vulnerabilitate Log4j nu afectează Power Platform. Consultați postarea noastră de blog despre prevenirea, detectarea și urmărirea exploatării vulnerabilităților Log4j.
Cum ne putem asigura că nu există tranzacții neautorizate din cauza extensiilor de browser sau a API-urilor client Interfață unificată care permit activarea controalelor dezactivate?
Modelul de securitate Power Apps nu include conceptul de comenzi dezactivate. Dezactivarea comenzilor este o îmbunătățire a UI. Nu ar trebui să vă bazați pe comenzile dezactivate pentru a oferi securitate. În schimb, utilizați controale Dataverse, cum ar fi securitatea la nivel de câmp, pentru a preveni tranzacțiile neautorizate.
Ce antete de securitate HTTP sunt utilizate pentru a proteja datele de răspuns?
| Nume | Details |
|---|---|
| Securitate strictă a transporturilor | Această opțiune este setată pentru toate răspunsurile. max-age=31536000; includeSubDomains |
| Opțiuni X-Frame | Acest lucru este depreciat în favoarea CSP. |
| Opțiuni-tip-de-conținut-X | Această opțiune este setată pe toate răspunsurile la resurse. nosniff |
| Politica de securitate a conținutului | Aceasta setare este setată dacă utilizatorul activează CSP. |
| X-XSS-Protection | Acest lucru este depreciat în favoarea CSP. |
Unde pot găsi teste de penetrare Power Platform sau Dynamics 365?
Cele mai recente teste de penetrare și evaluări de securitate pot fi găsite pe Microsoft Service Trust Portal.
Notă
Pentru a accesa unele dintre resursele de pe Service Trust Portal, trebuie să vă conectați ca utilizator autentificat cu contul dvs. de servicii cloud Microsoft (Microsoft Entra cont de organizație) și să consultați și să acceptați acordul de confidențialitate Microsoft pentru materialele de conformitate.
Articole asociate
Prezentare generală a securității
Autentificare la servicii Power Platform
Conectarea și autentificarea la sursele de date
Stocarea datelor în Power Platform