Securitatea în Microsoft Power Platform
Power Platform depune eforturi de a crea rapid și ușor soluții integrale la îndemâna dezvoltatorilor neprofesioniști și profesioniști deopotrivă. Securitatea este esențială pentru aceste soluții. Power Platform este construită pentru a oferi o protecție de vârf în industrie.
Organizațiile își accelerează tranziția către cloud, încorporând tehnologii avansate în operațiuni și în luarea deciziilor de afaceri. Tot mai mulți angajați lucrează de la distanță. Cererea clienților pentru servicii online este în creștere. Securitatea tradițională locală a aplicațiilor nu mai este suficientă. Organizațiile care caută o soluție de securitate nativă în cloud, pe mai multe niveluri, de apărare în profunzime pentru datele lor datelor cu informaţii pentru afaceri se adresează serviciilor Power Platform. Agențiile naționale de securitate, instituțiile financiare și furnizorii de servicii medicale își încredințează platformei Power Platform informațiile cele mai sensibile.
Microsoft a făcut investiții masive în securitate de la mijlocul anilor 2000. Peste 3.500 de Microsoft ingineri lucrează pentru a aborda în mod proactiv peisajul amenințărilor în continuă schimbare. Microsoft securitatea începe de la nucleul BIOS pe cip și se extinde până la experiența utilizatorului. Astăzi, stiva noastră de securitate este cea mai avansată din industrie. Microsoft este văzut în general drept lider global în lupta împotriva actorilor rău intenționați. Miliarde de computere, trilioane de date de conectare și zettabytes de date sunt încredințate protecției Microsoft.
Power Platform se bazează pe această bază puternică. Folosește aceeași stivă de securitate care i-a adus lui Azure dreptul de a servi și proteja cele mai sensibile date din lume și se integrează cu cele mai avansate instrumente de protecție a informațiilor și de conformitate ale Microsoft 365. Power Platform oferă protecție integrală concepută în jurul preocupărilor celor mai provocatoare ale clienților noștri în era cloud:
- Cum putem controla cine se poate conecta, de unde se conectează și cum se conectează? Cum putem controla conexiunile?
- Cum sunt stocate datele noastre? Cum sunt criptate? Ce controale avem asupra datelor noastre?
- Cum putem controla și proteja datele noastre sensibile? Cum ne putem asigura că datele noastre nu pot fi divulgate în afara organizației?
- Cum putem verifica cine poate face și ce anume poate face? Cum putem reacționa rapid dacă detectăm o activitate suspectă?
Guvernanța
Power Platform Serviciul este guvernat de Microsoft Termenii serviciilor online și de Microsoft Declarația de confidențialitate a întreprinderii. Pentru locația procesării datelor, consultați Microsoft Termenii serviciilor online și Anexa privind protecția datelor.
Microsoft Centrul de încredere este resursa principală pentru Power Platform informații despre conformitate. Aflați mai multe la Microsoft Oferte de conformitate.
Serviciul Power Platform urmează Ciclul de viață al dezvoltării securității (SDL). SDL este un set de practici stricte care sprijină cerințele de asigurare a securității și de conformitate. Aflați mai multe la Microsoft Security Development Lifecycle Practices.
Concepte de securitate comune în Power Platform
Power Platform include mai multe servicii. Unele dintre conceptele de securitate pe care le vom acoperi în această serie se aplică tuturor acestora. Alte concepte sunt specifice serviciilor individuale. În cazurile în care conceptele de securitate sunt diferite, le vom face cunoscute.
Conceptele de securitate care sunt comune tuturor Power Platform serviciilor includ:
- Arhitectura serviciului Power Platform sau modul în care informațiile circulă prin sistem
- Autentificarea la Power Platform servicii sau modul în care utilizatorii obțin acces la servicii
- Conectarea și autentificarea la sursele de date sau modul în care serviciile se conectează la sursele de date și utilizatorii obțin acces la date
- Stocarea datelor în Power Platform sau modul în care datele sunt protejate, indiferent dacă sunt în repaus sau în tranzit între sisteme și servicii
Arhitectura serviciilor Power Platform
Power Platform serviciile sunt construite pe platforma de cloud computing a MicrosoftAzure. Arhitectura de servicii Power Platform este compusă din patru componente:
- Cluster front-end web
- Cluster back-end
- Infrastructură premium
- Platforme mobile
Cluster front-end web
Se aplică serviciilor Power Platform care afișează o interfață de utilizare web. Clusterul web front-end deservește pagina de pornire a aplicației sau a serviciului către browserul utilizatorului. Folosește Microsoft Entra pentru a autentifica clienții inițial și pentru a furniza indicative pentru conexiunile ulterioare ale clientului la Power Platform serviciul back-end.
Un cluster web front-end constă dintr-un site web ASP.NET care rulează în Azure App Service Environment. Când un utilizator vizitează un serviciu Power Platform sau o aplicație, serviciul DNS al clientului poate obține cel mai potrivit (de obicei cel mai apropiat) centru de date din Azure Traffic Manager. Pentru mai multe informații, consultați Metoda de rutare a traficului de performanță pentru Azure Traffic Manager.
Clusterul web front-end gestionează secvența de conectare și autentificare. Obține un Microsoft Entra token de acces după ce utilizatorul este autentificat. Componenta ASP.NET analizează simbolul pentru a determina cărei organizații îi aparține utilizatorul. Apoi, componenta consultă serviciul back-end global Power Platform pentru a specifica browserului care cluster back-end găzduiește entitatea găzduită a organizației. Interacțiunile ulterioare ale clientului au loc direct cu clusterul back-end, fără a fi nevoie de intermediarul web front-end.
Browserul preia resurse statice, cum ar fi fișiere .js, .css și imagine, în principal dintr-o rețea de livrare de conținut Azure Content Delivery Network (CDN). Implementările de clustere ale guvernului suveran sunt o excepție. Din motive de conformitate, aceste implementări omit Azure CDN. În schimb, folosesc un cluster web front-end dintr-o regiune conformă pentru a găzdui conținut static.
Cluster back-end Power Platform
Clusterul back-end este coloana vertebrală a tuturor funcționalităților disponibile într-un serviciu Power Platform . Acesta constă din puncte finale de serviciu, servicii de lucru în fundal, baze de date, cache și alte componente.
Back-end-ul este disponibil în majoritatea regiunilor Azure și este implementat în regiuni noi pe măsură ce acestea devin disponibile. O regiune poate găzdui mai multe clustere. Această configurație permite serviciilor Power Platform o scalare orizontală nelimitată după ce limitele de scalare verticală și orizontală ale unui singur cluster sunt atinse.
Clusterele back-end sunt cu menținere de stare. Un cluster back-end găzduiește toate datele tuturor entităților găzduite alocate acestuia. Clusterul care conține datele unei anumite entități găzduite este denumit clusterul de origine al entității găzduite. Informațiile despre clusterul principal al unui utilizator autentificat sunt furnizate de serviciul back-end global Power Platform către clusterul web front-end. Interfața web folosește informațiile pentru a direcționa cererile către clusterul back-end de origine al entității găzduite.
Metadatele și datele entității găzduite sunt stocate în limitele clusterului. Excepția este replicarea datelor la un cluster back-end secundar care se află într-o regiune asociată din aceeași zonă geografică Azure. Clusterul secundar servește ca o reluare în caz de nereușită dacă există o întrerupere regională și este pasiv în orice alt moment. Microserviciile care rulează pe diferite mașini din rețeaua virtuală a clusterului servesc, de asemenea, funcționalității back-end. Doar două dintre aceste microservicii sunt accesibile de pe internetul public:
- Serviciul gateway
- Gestionare API Azure
Infrastructura premium Power Platform
Power Platform Premium oferă acces la un set extins de conectori ca serviciu plătit. Creatorii Power Platform nu sunt restricționați în ceea ce privește utilizarea conectorilor premium, dar utilizatorii de aplicații sunt. Adică, utilizatorii unei aplicații care include conectori premium trebuie să aibă licența corectă pentru a le accesa. Serviciul back-end Power Platform determină dacă un utilizator are acces la conectori premium.
Platforme mobile
Power Platform acceptă aplicații Android, iOS și Windows (UWP). Considerațiile de securitate pentru aplicațiile mobile se împart în două categorii:
- Comunicarea cu dispozitivul
- Aplicația și datele de pe dispozitiv
Comunicarea cu dispozitivul
Aplicațiile mobile Power Platform folosesc aceleași secvențe de conexiune și autentificare utilizate de browsere. Android și iOS aplicațiile deschid o sesiune de browser în aplicație. Aplicațiile Windows folosesc un broker pentru a stabili un canal de comunicare cu serviciile Power Platform pentru procesul de conectare.
Următorul tabel arată compatibilitatea cu autentificarea bazată pe certificat (CBA) pentru aplicațiile mobile:
| Asistență CBA | iOS | Android | Ferestre |
|---|---|---|---|
| Conectarea la serviciu | Acceptat | Acceptat | Neacceptat |
| SSRS ADFS on-prem (conectarea la serverul SSRS) | Neacceptat | Acceptat | Neacceptat |
| Proxy de aplicație SSRS | Acceptat | Acceptat | Neacceptat |
Aplicațiile mobile comunică în mod activ cu serviciile Power Platform. Statisticile de utilizare a aplicațiilor și date similare sunt transmise serviciilor care monitorizează utilizarea și activitatea. Nu există date ale clienților incluse.
Aplicația și datele de pe dispozitiv
Aplicația mobilă și datele de care are nevoie sunt stocate în siguranță pe dispozitiv. Microsoft Entra și jetoanele de reîmprospătare sunt stocate folosind măsuri de securitate standard din industrie.
Datele stocate în cache pe dispozitiv includ datele aplicației, setările utilizatorului și tablourile de bord și rapoartele accesate în sesiunile anterioare. Cache-ul este stocat într-un sandbox în stocarea internă. Cache-ul este accesibil numai aplicației și poate fi criptat de sistemul de operare.
- iOS: Criptarea este automată atunci când utilizatorul setează o parolă.
- Android: Criptarea poate fi configurată în setări.
- Windows: Criptarea este gestionată de BitLocker.
Microsoft Criptarea Intune la nivel de fișier poate fi utilizată pentru a îmbunătăți criptarea datelor. Intune este un serviciu software care oferă dispozitive mobile și gestionarea aplicațiilor. Toate cele trei platforme mobile acceptă Intune. Cu Intune activat și configurat, datele de pe dispozitivul mobil sunt criptate, iar aplicația Power Platform nu poate fi instalată pe un card SD.
Aplicațiile Windows acceptă, de asemenea, Windows Information Protection (WIP).
Datele din cache sunt șterse atunci când utilizatorul:
- dezinstalează aplicația
- se deconectează de la serviciul Power Platform
- nu reușește să se autentifice după schimbarea unei parole sau după expirarea unui simbol
Localizarea geografică este activată sau dezactivată explicit de către utilizator. Dacă este activată, datele de localizare geografică nu sunt salvate pe dispozitiv și nu sunt partajate cu acesta Microsoft.
Notificările sunt activte sau dezactivate explicit de către utilizator. Dacă notificările sunt activate, Android și iOS nu acceptă cerințele privind rezidența datelor geografice.
Serviciile mobile Power Platform nu accesează alte dosare de aplicații sau fișiere de pe dispozitiv.
Unele date de autentificare pe bază de simboluri sunt disponibile pentru alte Microsoft aplicații, cum ar fi Authenticator, pentru a activa conectarea unică. Aceste date sunt gestionate de Microsoft Entra Authentication Library SDK.
Articole asociate
Autentificarea la Power Platform servicii
Conectarea și autentificarea la sursele de date
Stocarea datelor în Power Platform
Power Platform Întrebări frecvente privind securitatea
Consultați și
- Securitate în Microsoft Dataverse
- Microsoft Termenii serviciilor online
- Microsoft Declarația de confidențialitate a întreprinderii
- Addendum privind protecția datelor
- Microsoft Practici de dezvoltare a securității ciclului de viață
- Metoda de rutare a traficului de performanță pentru Azure Traffic Manager
- Microsoft Intune
- Windows Information Protection (WIP)