Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Bežne kladené otázky o zabezpečení Power Platform spadajú do dvoch kategórií:
Ako bolo riešenie Power Platform navrhnuté tak, aby pomohlo zmierniť 10 hlavných rizík projektu Open Web Application Security Project® (OWASP)
Otázky, ktoré kladú naši zákazníci
Aby sme vám uľahčili vyhľadávanie najnovších informácií, na konci tohto článku sú pridané nové otázky.
10 hlavných rizík OWASP: Zmiernenie v Power Platform
Open Web Application Security Project® (OWASP) je nezisková nadácia, ktorá pracuje na zlepšení zabezpečenia softvéru. Prostredníctvom komunitne vedených opensourceových softvérových projektov, stoviek pobočiek po celom svete, desaťtisícov členov a popredných vzdelávacích a školiacich konferencií je OWASP Foundation zdrojom pre vývojárov a technológov na zabezpečenie webu.
OWASP top 10 je štandardný informačný dokument pre vývojárov a ostatných, ktorí sa zaujímajú o bezpečnosť webových aplikácií. Predstavuje široký konsenzus o najdôležitejších bezpečnostných rizikách pre webové aplikácie. V tejto časti diskutujeme o tom, ako Power Platform pomáha zmierniť tieto riziká.
A01:2021 Prerušená kontrola prístupu
- Bezpečnostný model Power Platform je založený na najmenej privilegovanom prístupe (LPA). LPA umožňuje zákazníkom vytvárať aplikácie s podrobnejším riadením prístupu.
- Power Platform používa **ID** (**ID**)** platformy Microsoft Identity Platform** na autorizáciu všetkých volaní API pomocou štandardného protokolu **2.0**. Microsoft Entra Microsoft Entra OAuth
- Služba Dataverse, ktorá poskytuje základné údaje pre Power Platform, má bohatý model zabezpečenia, ktorý zahŕňa zabezpečenie na úrovni prostredia, na základe rolí a na úrovni záznamov a polí.
A02:2021 Kryptografické zlyhania
Údaje v prenose:
- Power Platform používa TLS na šifrovanie všetkej sieťovej prevádzky založenej na HTTP. Používa iné mechanizmy na šifrovanie sieťovej prevádzky inej ako HTTP, ktorá obsahuje zákaznícke alebo dôverné údaje.
- Power Platform využíva zosilnenú konfiguráciu TLS, ktorá umožňuje HTTP Strict Transport Security (HSTS):
- TLS 1.2 alebo novšia verzia
- Šifrovacie súpravy a krivky NIST založené na ECDHE
- Silné kľúče
Neaktívne uložené údaje:
- Všetky údaje o zákazníkoch sú pred zápisom na energeticky nezávislé pamäťové médium zašifrované.
Power Platform používa štandardné osvedčené postupy na predchádzanie injekčným útokom vrátane:
- Používanie bezpečných API s parametrizovanými rozhraniami
- Aplikácia neustále sa vyvíjajúcich možností front-end rámcov na dezinfekciu vstupov
- Vyčistenie výstupu pomocou overenia na strane servera
- Používanie nástrojov statickej analýzy počas zostavovania
- Kontrola modelu hrozby každej služby každých šesť mesiacov bez ohľadu na to, či bol kód, dizajn alebo infraštruktúra aktualizovaná alebo nie
- Power Platform je postavená na kultúre a metodológii bezpečného dizajnu. Kultúra aj metodológia sa neustále posilňujú prostredníctvom popredných postupov spoločnosti Microsoft Životný cyklus vývoja zabezpečenia (SDL) a Modelovanie hrozieb.
- Proces kontroly Modelovanie hrozieb zaisťuje, že hrozby sú identifikované počas fázy návrhu, sú zmiernené a overené, aby sa zabezpečilo, že boli zmiernené.
- Modelovanie hrozieb tiež zohľadňuje všetky zmeny služieb, ktoré sú už aktívne prostredníctvom priebežných pravidelných kontrol. Spoliehanie sa na model STRIDE pomáha riešiť najčastejšie problémy s nezabezpečeným dizajnom.
- SDL od spoločnosti Microsoft je ekvivalentom pre OWASP Software Assurance Maturity Model (SAMM). Obe riešenia sú postavené na predpoklade, že bezpečný dizajn je neoddeliteľnou súčasťou zabezpečenia webových aplikácií.
A05:2021 Nesprávna konfigurácia zabezpečenia
- „Predvolené zamietnutie“ je jedným zo základov princípov návrhu Power Platform. Vďaka funkcii princípu „Predvolené zamietnutie“ si zákazníci musia skontrolovať a aktivovať nové funkcie a konfigurácie.
- Akékoľvek nesprávne konfigurácie počas zostavovania sú zachytené integrovanou bezpečnostnou analýzou pomocou nástrojov Secure Development Tools.
- Okrem toho sa Power Platform podrobuje testovaniu dynamickej analýzy bezpečnosti (DAST) pomocou internej služby, ktorá je postavená na 10 hlavných rizikách OWASP.
A06:2021 Zraniteľné a zastarané komponenty
- Power Platform dodržiava postupy SDL spoločnosti Microsoft na správu open-source komponentov a komponentov tretích strán. Tieto postupy zahŕňajú udržiavanie kompletného inventára, vykonávanie bezpečnostných analýz, udržiavanie komponentov v aktuálnom stave a zosúladenie komponentov s osvedčeným procesom reakcie na bezpečnostný incident.
- V zriedkavých prípadoch môžu niektoré aplikácie obsahovať kópie zastaraných komponentov z dôvodu externých závislostí. Po vyriešení týchto závislostí v súlade s postupmi uvedenými vyššie sa však komponenty sledujú a aktualizujú.
A07:2021 Zlyhania identifikácie a autentifikácie
- Power Platform je postavený na identifikácii a autentifikácii ID a závisí od nej. Microsoft Entra
- Microsoft Entra pomáha Power Platform povoliť zabezpečené funkcie. Tieto funkcie zahŕňajú jediné prihlásenie, viacfaktorové overovanie a jednotnú platformu na bezpečnejšiu komunikáciu s internými a externými používateľmi.
- Vďaka nadchádzajúcej implementácii systému priebežného vyhodnocovania prístupu (CAE) spoločnosti **ID** bude identifikácia a autentifikácia používateľov ešte bezpečnejšia a spoľahlivejšia. Power Platform Microsoft Entra
A08:2021 Zlyhania integrity softvéru a údajov
- Proces správy komponentov Power Platform presadzuje bezpečnú konfiguráciu zdrojových súborov balíkov s cieľom zachovať integritu softvéru.
- Tento proces zaisťuje, že na riešenie substitučného útoku budú poskytované iba balíky z interných zdrojov. Substitučný útok, tiež známy ako „dependency confusion“, je technika, ktorú možno použiť na otravu procesu vytvárania aplikácií v zabezpečených podnikových prostrediach.
- Všetky šifrované údaje majú pred prenosom aplikovanú ochranu integrity. Všetky metadáta ochrany integrity prítomné pre prichádzajúce šifrované údaje sú overené.
10 najväčších rizík OWASP s nízkym/žiadnym kódom: Zmiernenie v Power Platform
Pokyny na zmiernenie 10 najväčších bezpečnostných rizík s nízkym/žiadnym kódom, ktoré zverejnila spoločnosť OWASP, nájdete v tomto dokumente:
Power Platform - OWASP Low Code No Code Top 10 Risks (apríl 2024)
Bežné bezpečnostné otázky od zákazníkov
Nasledujú niektoré z bezpečnostných otázok, ktoré kladú naši zákazníci.
Ako Power Platform pomáha chrániť sa pred clickjackingom?
Clickjacking používa okrem iných komponentov vložené prvky iframe na zneužitie interakcií používateľa s webovou stránkou. Je to významná hrozba najmä pre prihlasovacie stránky. Power Platform zabraňuje používaniu prvkov iframe na prihlasovacích stránkach, čím výrazne znižuje riziko clickjackingu.
Okrem toho môžu organizácie použiť zásady zabezpečenia obsahu (CSP) na obmedzenie vkladania do dôveryhodných domén.
Podporuje Power Platform zásady zabezpečenia obsahu?
Power Platform podporuje Zásady zabezpečenia obsahu (CSP) pre modelom riadené aplikácie. Nepodporujeme nasledujúce hlavičky, ktoré sú nahradené CSP:
X-XSS-ProtectionX-Frame-Options
Ako sa môžeme bezpečne pripojiť k serveru SQL Server?
Prečítajte si Bezpečné používanie Microsoft SQL Server s Power Apps.
Aké šifry podporuje Power Platform? Aký je plán neustáleho smerovania k silnejším šifrám?
Všetky služby a produkty spoločnosti Microsoft sú nakonfigurované na používanie schválených šifrovacích balíkov v presnom poradí podľa pokynov rady Microsoft Crypto Board. Úplný zoznam a presné poradie nájdete v dokumentácii k Power Platform.
Informácie o ukončení podpory šifrovacích súprav sa oznamujú prostredníctvom dokumentácie Dôležité zmeny Power Platform.
Prečo Power Platform ešte stále podporuje šifry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) a TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), ktoré sa považujú za slabšie?
Microsoft zvažuje relatívne riziko a narušenie zákazníckych operácií pri výbere šifrovacích balíkov, ktoré bude podporovať. Šifrovacie súpravy RSA-CBC ešte neboli prelomené. Povolili sme ich, aby sme zabezpečili konzistentnosť našich služieb a produktov a podporili všetky konfigurácie zákazníkov. Sú však na konci zoznamu priorít.
Na základe neustáleho hodnotenia rady Microsoft Crypto Board tieto šifry v správnom čase prestaneme podporovať.
Prečo Power Automate odhaľuje hodnoty hash obsahu MD5 v spúšťacích/akčných vstupoch a výstupoch?
Power Automate odovzdá svojim klientom voliteľnú hodnotu hash obsahu MD5 vrátenú z Azure Storage bezo zmien. Túto hodnota hash používa Azure Storage na overenie integrity stránky počas prenosu ako algoritmus kontrolného súčtu a nepoužíva sa ako kryptografická hashovacia funkcia na bezpečnostné účely v Power Automate. Viac podrobností nájdete v dokumentácii k službe Azure Storage o tom, ako získať vlastnosti objektov BLOB a ako pracovať s hlavičkami požiadaviek. ......
Ako Power Platform chráni pred útokmi Distributed Denial of Service (DDoS)?
Power Platform je postavená na Microsoft Azure a používa Azure DDoS Protection na ochranu pred DDoS útokmi.
Detekuje jailbreaknuté a rootnuté zariadenia, aby pomohla chrániť organizačné údaje? Power Platform iOS Android
Odporúčame vám používať Microsoft Intune. Intune je riešenie správy mobilných zariadení. Môže pomôcť chrániť údaje organizácie tým, že vyžaduje, aby používatelia a zariadenia spĺňali určité požiadavky. Ďalšie informácie nájdete v časti Nastavenia politiky súladu Intune.
Prečo sa súbory cookie relácie vzťahujú na nadradenú doménu?
Power Platform rozšíri súbory cookie relácie do nadradenej domény, aby bolo možné overovanie medzi organizáciami. Subdomény sa nepoužívajú ako hranice zabezpečenia. Taktiež nehosťujú obsah zákazníkov.
Ako môžeme nastaviť, aby relácia aplikácie vypršala napríklad po 15 minútach?
Power Platform používa správu identity a prístupu ID. Microsoft Entra Riadi sa odporúčanou konfiguráciou správy relácií spoločnosťou ID pre optimálny používateľský zážitok. Microsoft Entra
Môžete však prispôsobiť prostredia tak, aby mali explicitné časové limity relácie a/alebo aktivity. Viac informácií sa dozviete v článku Používateľské relácie a správa prístupu.
Vďaka nadchádzajúcej implementácii systému Power PlatformContinuous Access Evaluation Microsoft Entra ID Continuous Access Evaluation bude identifikácia a autentifikácia používateľov ešte bezpečnejšia a spoľahlivejšia.
Aplikácia umožňuje rovnakému používateľovi prístup z viacerých počítačov alebo prehliadačov súčasne. Ako tomu môžeme zabrániť?
Prístup k aplikácii z viac ako jedného zariadenia alebo prehliadača súčasne predstavuje pohodlie pre používateľov. Power PlatformPripravovaná implementácia funkcie *Continuous Access Evaluation* spoločnosti *ID* pomôže zabezpečiť, aby prístup pochádzal z autorizovaných zariadení a prehliadačov a aby bol stále platný. Microsoft Entra
Prečo niektoré služby Power Platform odhaľujú hlavičky servera s podrobnými informáciami?
Služby Power Platform pracovali na odstránení nepotrebných informácií v hlavičke servera. Cieľom je vyvážiť úroveň podrobností s rizikom odhalenia informácií, ktoré by mohli oslabiť celkový postoj k zabezpečeniu.
Ako ovplyvňujú zraniteľnosti Log4j Power Platform? Čo by mali zákazníci v tejto súvislosti urobiť?
Microsoft vyhodnotil, že žiadne chyby zabezpečenia Log4j nemajú vplyv na Power Platform. Pozrite si náš blogový príspevok o prevencii, zisťovaní a hľadaní zneužitia zraniteľností Log4j.
Ako môžeme zabezpečiť, aby nedochádzalo k žiadnym neoprávneným transakciám v dôsledku rozšírení prehliadača alebo klientskych rozhraní API Zjednoteného rozhrania, ktoré umožňujú povoliť zakázané ovládacie prvky?
Bezpečnostný model Power Apps nezahŕňa koncept deaktivovaných ovládacích prvkov. Deaktivácia ovládacích prvkov predstavuje vylepšenie používateľského rozhrania. Na zaistenie bezpečnosti by ste sa nemali spoliehať na deaktivované ovládacie prvky. Namiesto toho použite ovládacie prvky Dataverse, ako je zabezpečenie na úrovni poľa, aby ste zabránili neoprávneným transakciám.
Ktoré bezpečnostné hlavičky HTTP sa používajú na ochranu údajov odpovede?
| Name | Details |
|---|---|
| Prísna bezpečnosť dopravy | Toto je nastavené na všetky odpovede. max-age=31536000; includeSubDomains |
| Možnosti X-Frame | Toto je zastarané v prospech CSP. |
| Možnosti typu obsahu X | Toto je nastavené na nosniff pre všetky odpovede na prvky. |
| Zásady zabezpečenia obsahu | Toto sa nastaví, ak používateľ povolí CSP. |
| Ochrana X-XSS | Toto je zastarané v prospech CSP. |
Kde nájdem penetračné testy Power Platform alebo Dynamics 365?
Najnovšie penetračné testy a hodnotenia bezpečnosti nájdete na portáli Microsoft Service Trust.
Poznámka
Ak chcete získať prístup k niektorým zdrojom na portáli Service Trust Portal, musíte sa prihlásiť ako overený používateľ s vaším účtom cloudových služieb spoločnosti Microsoft (účet organizácie Microsoft Entra ) a prečítať si a prijať zmluvu o mlčanlivosti spoločnosti Microsoft týkajúcu sa materiálov o dodržiavaní predpisov.
Súvisiace články
Prehľad zabezpečenia
Autentifikácia do služieb Power Platform
Pripojenie a overovanie k zdrojom údajov
Ukladanie dát v Power Platform