Najčastejšie otázky týkajúce sa zabezpečenia Power Platform

Bežne kladené otázky o zabezpečení Power Platform spadajú do dvoch kategórií:

• Ako bolo riešenie Power Platform navrhnuté tak, aby pomohlo zmierniť 10 hlavných rizík projektu Open Web Application Security Project® (OWASP)

• Otázky, ktoré kladú naši zákazníci

Aby sme vám uľahčili vyhľadávanie najnovších informácií, na konci tohto článku sú pridané nové otázky.

10 hlavných rizík OWASP: Zmiernenie v Power Platform

Open Web Application Security Project® (OWASP) je nezisková nadácia, ktorá pracuje na zlepšení zabezpečenia softvéru. Prostredníctvom komunitne vedených opensourceových softvérových projektov, stoviek pobočiek po celom svete, desaťtisícov členov a popredných vzdelávacích a školiacich konferencií je OWASP Foundation zdrojom pre vývojárov a technológov na zabezpečenie webu.

OWASP top 10 je štandardný informačný dokument pre vývojárov a ostatných, ktorí sa zaujímajú o bezpečnosť webových aplikácií. Predstavuje široký konsenzus o najdôležitejších bezpečnostných rizikách pre webové aplikácie. V tejto časti sa budeme zaoberať tým, ako Power Platform pomôže tieto riziká zmierniť.

A01:2021 Prerušená kontrola prístupu

• Bezpečnostný model Power Platform je založený na najmenej privilegovanom prístupe (LPA). LPA umožňuje zákazníkom vytvárať aplikácie s podrobnejším riadením prístupu.
• Power Platform používa Microsoft Entra ID (Microsoft Entra ID) Microsoft Platformu identity na autorizáciu všetkých volaní API s priemyselným štandardom OAuth 2.0 protokol.
• Služba Dataverse, ktorá poskytuje základné údaje pre Power Platform, má bohatý model zabezpečenia, ktorý zahŕňa zabezpečenie na úrovni prostredia, na základe rolí a na úrovni záznamov a polí.

A02:2021 Kryptografické zlyhania

Údaje v prenose:

• Power Platform používa TLS na šifrovanie všetkej sieťovej prevádzky založenej na HTTP. Používa iné mechanizmy na šifrovanie sieťovej prevádzky inej ako HTTP, ktorá obsahuje zákaznícke alebo dôverné údaje.
• Power Platform využíva zosilnenú konfiguráciu TLS, ktorá umožňuje HTTP Strict Transport Security (HSTS):
  • TLS 1.2 alebo novšia verzia
  • Šifrovacie súpravy a krivky NIST založené na ECDHE
  • Silné kľúče

Neaktívne uložené údaje:

• Všetky zákaznícke údaje sú pred zápisom na energeticky nezávislé pamäťové médium zašifrované.

A03:2021 Injekcia

Power Platform používa štandardné osvedčené postupy na predchádzanie injekčným útokom vrátane:

• Používanie bezpečných API s parametrizovanými rozhraniami
• Aplikácia neustále sa vyvíjajúcich možností front-end rámcov na dezinfekciu vstupov
• Vyčistenie výstupu pomocou overenia na strane servera
• Používanie nástrojov statickej analýzy počas zostavovania
• Kontrola modelu hrozby každej služby každých šesť mesiacov bez ohľadu na to, či bol kód, dizajn alebo infraštruktúra aktualizovaná alebo nie

A04:2021 Nezabezpečený dizajn

• Power Platform je postavená na kultúre a metodológii bezpečného dizajnu. Kultúra aj metodológia sa neustále posilňujú prostredníctvom Microsoftpopredného životného cyklu rozvoja bezpečnosti (SDL) a modelovania hrozieb cvičí.
• Proces kontroly Modelovanie hrozieb zaisťuje, že hrozby sú identifikované počas fázy návrhu, sú zmiernené a overené, aby sa zabezpečilo, že boli zmiernené.
• Modelovanie hrozieb tiež zohľadňuje všetky zmeny služieb, ktoré sú už aktívne prostredníctvom priebežných pravidelných kontrol. Spoliehanie sa na model STRIDE pomáha riešiť najčastejšie problémy s nezabezpečeným dizajnom.
• MicrosoftSDL je ekvivalentom OWASP Software Assurance Maturity Model (SAMM). Obe riešenia sú postavené na predpoklade, že bezpečný dizajn je neoddeliteľnou súčasťou zabezpečenia webových aplikácií.

A05:2021 Nesprávna konfigurácia zabezpečenia

• „Predvolené zamietnutie“ je jedným zo základov princípov návrhu Power Platform. Vďaka funkcii princípu „Predvolené zamietnutie“ si zákazníci musia skontrolovať a aktivovať nové funkcie a konfigurácie.
• Akékoľvek nesprávne konfigurácie počas zostavovania sú zachytené integrovanou bezpečnostnou analýzou pomocou nástrojov Secure Development Tools.
• Okrem toho sa Power Platform podrobuje testovaniu dynamickej analýzy bezpečnosti (DAST) pomocou internej služby, ktorá je postavená na 10 hlavných rizikách OWASP.

A06:2021 Zraniteľné a zastarané komponenty

• Power Platform dodržiava postupy Microsofts SDL na správu open source komponentov a komponentov tretích strán. Tieto postupy zahŕňajú udržiavanie kompletného inventára, vykonávanie bezpečnostných analýz, udržiavanie komponentov v aktuálnom stave a zosúladenie komponentov s osvedčeným procesom reakcie na bezpečnostný incident.
• V zriedkavých prípadoch môžu niektoré aplikácie obsahovať kópie zastaraných komponentov z dôvodu externých závislostí. Po vyriešení týchto závislostí v súlade s postupmi uvedenými vyššie sa však komponenty sledujú a aktualizujú.

A07:2021 Zlyhania identifikácie a overenia

• Power Platform je postavená na Microsoft Entra identifikácii ID a autentifikácii a závisí od nej.
• Microsoft Entra pomáha Power Platform povoliť zabezpečené funkcie. Medzi tieto funkcie patrí jediné prihlásenie, viacfaktorové overovanie a jediná platforma na bezpečnejšie spojenie s internými a externými používateľmi.
• Vďaka nadchádzajúcej implementácii Power PlatformID Microsoft Entra Nepretržitého hodnotenia prístupu (CAE) od bude identifikácia a overovanie používateľov ešte viac bezpečné a spoľahlivé.

A08:2021 Zlyhania integrity softvéru a údajov

• Proces správy komponentov Power Platform presadzuje bezpečnú konfiguráciu zdrojových súborov balíkov s cieľom zachovať integritu softvéru.
• Tento proces zaisťuje, že na riešenie substitučného útoku budú poskytované iba balíky z interných zdrojov. Substitučný útok, tiež známy ako „dependency confusion“, je technika, ktorú možno použiť na otravu procesu vytvárania aplikácií v zabezpečených podnikových prostrediach.
• Všetky šifrované údaje majú pred prenosom aplikovanú ochranu integrity. Všetky metadáta ochrany integrity prítomné pre prichádzajúce šifrované údaje sú overené.

OWASP top 10 rizík s nízkym kódom/bez kódu: Zmiernenie v Power Platform

Pokyny na zmiernenie 10 najčastejších bezpečnostných rizík s nízkym kódom/bez kódu zverejnených OWASP nájdete v tomto dokumente:

Power Platform - OWASP Low Code No Code Top 10 Risks (apríl 2024)

Bežné bezpečnostné otázky od zákazníkov

Nasledujú niektoré z bezpečnostných otázok, ktoré kladú naši zákazníci.

Ako Power Platform pomáha chrániť sa pred clickjackingom?

Clickjacking používa okrem iných komponentov vložené prvky iframe na zneužitie interakcií používateľa s webovou stránkou. Je to významná hrozba najmä pre prihlasovacie stránky. Power Platform zabraňuje používaniu prvkov iframe na prihlasovacích stránkach, čím výrazne znižuje riziko clickjackingu.

Okrem toho môžu organizácie použiť zásady zabezpečenia obsahu (CSP) na obmedzenie vkladania do dôveryhodných domén.

Podporuje Power Platform zásady zabezpečenia obsahu?

Power Platform podporuje Zásady zabezpečenia obsahu (CSP) pre modelom riadené aplikácie. Nepodporujeme nasledujúce hlavičky, ktoré sú nahradené CSP:

• X-XSS-Protection
• X-Frame-Options

Ako sa môžeme bezpečne pripojiť k serveru SQL Server?

Prečítajte si Bezpečné používanie Microsoft SQL Server s Power Apps.

Aké šifry podporuje Power Platform? Aký je plán neustáleho smerovania k silnejším šifrám?

Všetky Microsoft služby a produkty sú nakonfigurované na používanie schválených šifrovacích balíkov v presnom poradí podľa pokynov Microsoft Crypto Board. Úplný zoznam a presné poradie nájdete v dokumentácii k Power Platform.

Informácie o ukončení podpory šifrovacích súprav sa oznamujú prostredníctvom dokumentácie Dôležité zmeny Power Platform.

Prečo Power Platform ešte stále podporuje šifry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) a TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), ktoré sa považujú za slabšie?

Microsoft zvažuje relatívne riziko a narušenie zákazníckych operácií pri výbere šifrovacích balíkov na podporu. Šifrovacie súpravy RSA-CBC ešte neboli prelomené. Povolili sme ich, aby sme zabezpečili konzistentnosť našich služieb a produktov a podporili všetky konfigurácie zákazníkov. Sú však na konci zoznamu priorít.

Tieto šifry v správnom čase prestaneme podporovať na základe priebežného hodnotenia zo strany Microsoft Crypto Board.

Prečo Power Automate odhaľuje hodnoty hash obsahu MD5 v spúšťacích/akčných vstupoch a výstupoch?

Power Automate odovzdá svojim klientom voliteľnú hodnotu hash obsahu MD5 vrátenú z Azure Storage bezo zmien. Túto hodnota hash používa Azure Storage na overenie integrity stránky počas prenosu ako algoritmus kontrolného súčtu a nepoužíva sa ako kryptografická hashovacia funkcia na bezpečnostné účely v Power Automate. Ďalšie podrobnosti o tom nájdete v dokumentácii k Azure Storage o tom, ako Získať vlastnosti objektu Blob a ako pracovať s hlavičkami požiadaviek.

Ako Power Platform chráni pred útokmi Distributed Denial of Service (DDoS)?

Power Platform je postavená na Microsoft Azure a používa Azure DDoS Protection na ochranu pred DDoS útokmi.

Zisťuje Power Platform jailbreaknuté iOS zariadenia a rootované Android zariadenia, aby pomohla chrániť organizačné dáta?

Odporúčame vám používať Microsoft Intune. Intune je riešenie správy mobilných zariadení. Môže pomôcť chrániť údaje organizácie tým, že vyžaduje, aby používatelia a zariadenia spĺňali určité požiadavky. Ďalšie informácie nájdete v časti Nastavenia politiky súladu Intune.

Prečo sa súbory cookie relácie vzťahujú na nadradenú doménu?

Power Platform rozšíri súbory cookie relácie do nadradenej domény, aby bolo možné overovanie medzi organizáciami. Subdomény sa nepoužívajú ako hranice zabezpečenia. Taktiež nehosťujú obsah zákazníkov.

Ako môžeme nastaviť, aby relácia aplikácie vypršala napríklad po 15 minútach?

Power Platform používa Microsoft Entra ID identity a správu prístupu. Nasleduje Microsoft Entra odporúčaná konfigurácia správy relácií ID pre optimálnu používateľskú skúsenosť.

Môžete však prispôsobiť prostredia tak, aby mali explicitné časové limity relácie a/alebo aktivity. Viac informácií sa dozviete v článku Používateľské relácie a správa prístupu.

Vďaka pripravovanej implementácii Power PlatformID Microsoft Entra Nepretržitého hodnotenia prístupu od bude identifikácia a autentifikácia používateľov ešte bezpečnejšia a spoľahlivejšia.

Aplikácia umožňuje rovnakému používateľovi prístup z viacerých počítačov alebo prehliadačov súčasne. Ako tomu môžeme zabrániť?

Prístup k aplikácii z viac ako jedného zariadenia alebo prehliadača súčasne predstavuje pohodlie pre používateľov. Power PlatformPripravovaná implementácia Microsoft Entra ID Nepretržitého hodnotenia prístupu pomôže zabezpečiť, že prístup je z autorizovaných zariadení a prehliadačov a je stále platný.

Prečo niektoré služby Power Platform odhaľujú hlavičky servera s podrobnými informáciami?

Služby Power Platform pracovali na odstránení nepotrebných informácií v hlavičke servera. Cieľom je vyvážiť úroveň podrobností s rizikom odhalenia informácií, ktoré by mohli oslabiť celkový postoj k zabezpečeniu.

Ako ovplyvňujú zraniteľnosti Log4j Power Platform? Čo by mali zákazníci v tejto súvislosti urobiť?

Microsoft vyhodnotil, že žiadny vplyv na zraniteľnosť Log4j Power Platform. Pozrite si náš blogový príspevok o prevencii, zisťovaní a hľadaní zneužitia zraniteľností Log4j.

Ako môžeme zabezpečiť, aby nedochádzalo k žiadnym neoprávneným transakciám v dôsledku rozšírení prehliadača alebo klientskych rozhraní API Zjednoteného rozhrania, ktoré umožňujú povoliť zakázané ovládacie prvky?

Bezpečnostný model Power Apps nezahŕňa koncept deaktivovaných ovládacích prvkov. Deaktivácia ovládacích prvkov predstavuje vylepšenie používateľského rozhrania. Na zaistenie bezpečnosti by ste sa nemali spoliehať na deaktivované ovládacie prvky. Namiesto toho použite ovládacie prvky Dataverse, ako je zabezpečenie na úrovni poľa, aby ste zabránili neoprávneným transakciám.

Ktoré bezpečnostné hlavičky HTTP sa používajú na ochranu údajov odpoveď?

Name	Details
Prísne zabezpečenie dopravy	Toto je nastavené na max-age=31536000; includeSubDomains pre všetky odpovede.
X-Frame-Options	Toto je zastarané v prospech CSP.
X-Content-Type-Options	Toto je nastavené na nosniff pre všetky odpovede na podklady.
Obsah-Bezpečnosť-Politika	Toto je nastavené, ak používateľ povolí CSP.
X-XSS-ochrana	Toto je zastarané v prospech CSP.

Kde nájdem penetračné testy Power Platform alebo Dynamics 365?

Najnovšie penetračné testy a hodnotenia bezpečnosti nájdete na Microsoft Portáli dôveryhodnosti služieb.

Poznámka

Ak chcete získať prístup k niektorým zdrojom na portáli Service Trust Portal, musíte sa prihlásiť ako overený používateľ pomocou účtu Microsoft cloudových služieb (Microsoft Entra účet organizácie) a prečítať si a prijať Microsoft dohoda o mlčanlivosti pre materiály na dodržiavanie predpisov.

Súvisiace články

Bezpečnosť v Microsoft Power Platform
Prebieha overenie Power Platform služieb
Pripojenie a overenie k zdrojom údajov
Ukladanie dát v Power Platform

Pozrite si tiež

• Microsoft Platforma identity
• Životný cyklus vývoja bezpečnosti
• Modelovanie hrozieb
• Microsoft Entra Priebežné hodnotenie prístupu
• politika zabezpečenia obsahu
• Azure DDoS ochrana
• Nastavenia politiky dodržiavania pravidiel Intune