Zdieľať cez

Zabezpečenie v službe Microsoft Power Platform

  • Článok

Power Platform dáva silu rýchlo a jednoducho vytvárať komplexné riešenia do rúk neprofesionálnych aj profesionálnych vývojárov. Pre tieto riešenia je dôležitá bezpečnosť. Power Platform je skonštruovaný tak, aby poskytoval špičkovú ochranu.

Organizácie urýchľujú svoj prechod na cloud a začleňujú pokročilé technológie do prevádzky a obchodného rozhodovania. Viac zamestnancov pracuje na diaľku. Dopyt zákazníkov po online službách prudko stúpa. Tradičné zabezpečenie aplikácií na mieste už nestačí. Organizácie, ktoré hľadajú cloudové, viacvrstvové a hĺbkové bezpečnostné riešenie pre svoje obchodné spravodajské údaje, sa obracajú na Power Platform. Národné bezpečnostné agentúry, finančné inštitúcie a poskytovatelia zdravotnej starostlivosti dôverujú Power Platform so svojimi najcitlivejšími informáciami.

Microsoft od polovice 21. storočia masívne investovala do bezpečnosti. Viac ako 3 500 Microsoft inžinierov pracuje na proaktívnom riešení neustále sa meniaceho prostredia hrozieb. Microsoft zabezpečenie začína v jadre BIOS na čipe a siaha až po používateľskú skúsenosť. Dnes je náš bezpečnostný balík najpokročilejší v tomto odvetví. Microsoft je všeobecne považovaný za svetového lídra v boji proti zlomyseľným aktérom. Do ochrany Microsoft sú zverené miliardy počítačov, bilióny prihlásení a zettabajty údajov.

Power Platform stavia na tomto pevnom základe. Používa rovnaký balík zabezpečenia, vďaka ktorému má Azure právo poskytovať a chrániť najcitlivejšie údaje na svete, a integruje sa s najpokročilejšími nástrojmi na ochranu informácií a dodržiavanie predpisov Microsoft 365. Power Platform poskytuje komplexnú ochranu navrhnutú pre najnáročnejšie problémy našich zákazníkov v ére cloudu:

  • Ako môžeme kontrolovať, kto sa môže pripojiť, odkiaľ sa pripája a ako sa pripája? Ako môžeme kontrolovať spojenia?
  • Akým spôsobom sa ukladajú naše údaje? Ako sa šifruje? Aké možnosti kontroly máme nad našimi údajmi?
  • Ako môžeme kontrolovať a chrániť naše citlivé údaje? Ako môžeme zabezpečiť, aby naše údaje nemohli uniknúť mimo organizácie?
  • Ako môžeme kontrolovať, kto a čo môže robiť? Ako môžeme rýchlo reagovať, ak zistíme podozrivú aktivitu?

Riadenie

Služba Power Platform sa riadi Microsoft Podmienkami online služieb a Microsoft Vyhlásením o ochrane osobných údajov pre podniky. Miesto spracovania údajov nájdete v Microsoft Podmienkach online služieb a Dodatku o ochrane údajov.

Microsoft Centrum dôveryhodnosti je primárnym zdrojom informácií o Power Platform dodržiavaní pravidiel. Ďalšie informácie nájdete na stránke Microsoft Ponuky dodržiavania pravidiel.

Služba Power Platform sa riadi životným cyklom vývoja zabezpečenia (SDL). SDL je súbor prísnych postupov, ktoré podporujú zabezpečenie bezpečnosti a požiadavky na dodržiavanie predpisov. Viac sa dozviete na Microsoft Postupy životného cyklu vývoja zabezpečenia.

Spoločné koncepty zabezpečenia Power Platform

Power Platform zahŕňa niekoľko služieb. Niektoré bezpečnostné koncepty, ktorými sa budeme zaoberať v tejto sérii, platia pre všetky z nich. Ostatné pojmy sú špecifické pre jednotlivé služby. Tam, kde sa koncepty bezpečnosti líšia, uvedieme ich.

Medzi bezpečnostné koncepty, ktoré sú spoločné pre všetky Power Platform služby, patria:

Architektúra služby Power Platform

Power Platform služby sú postavené na platforme cloud computingu Microsoft Azure. Architektúra služby Power Platform sa skladá zo štyroch komponentov:

  • Webový front-end klaster
  • Klaster Back-End
  • Prémiová infraštruktúra
  • Mobilné platformy

Webový front-end klaster

Vzťahuje sa na Power Platform služby, ktoré zobrazujú webové používateľské rozhranie. Webový front-end klaster poskytuje domovskú stránku aplikácie alebo služby prehliadaču používateľa. Používa Microsoft Entra na prvotnú autentifikáciu klientov a poskytovanie tokenov pre následné pripojenia klientov k back-endovej službe Power Platform .

Diagram, ktorý znázorňuje, ako Power Platform webový front-endový klaster funguje s prostredím Azure App Service Environment, ASP.NET a Power Platform servisnými back-endovými klastrami.

Webový front-end klaster pozostáva z ASP.NET webovej lokality, ktorá beží v prostredí Azure App Service Environment. Keď používateľ navštívi službu alebo aplikáciu Power Platform, služba DNS klienta môže získať najvhodnejšie (zvyčajne najbližšie) dátové centrum z Azure Traffic Manager. Ďalšie informácie nájdete v téme Metódy smerovania prenosu pre Azure Traffic Manager.

Webový front-end klaster spravuje postupnosť prihlásenia a autentifikácie. Po autentifikácii používateľa získa Microsoft Entra prístupový token. Komponent ASP.NET analyzuje token, aby určil, do ktorej organizácie používateľ patrí. Komponent potom konzultuje Power Platform globálnu back-end službu, aby prehliadaču určil, v ktorom back-endovom klastri sa nachádza nájomca organizácie. Následné interakcie klienta s back-endovým klastrom prebiehajú priamo, bez potreby webového front-endového sprostredkovateľa.

Prehliadač načítava statické prostriedky, ako sú .js, .css a obrazové súbory, najmä z Azure Content Delivery Network (CDN). Nasadenie klastrov suverénnou vládou je výnimkou. Z dôvodu dodržiavania predpisov tieto nasadenia vynechávajú Azure CDN. Namiesto toho používajú webový front-end klaster z vyhovujúcej oblasti na hosťovanie statického obsahu.

Power Platform back-end klaster

Back-endový klaster je chrbtovou kosťou všetkých funkcií dostupných v službe Power Platform. Pozostáva z koncových bodov služieb, služieb pracujúcich na pozadí, databáz, vyrovnávacej pamäte a ďalších komponentov.

Back-end je dostupný vo väčšine oblastí Azure a je nasadený v nových regiónoch, keď budú dostupné. Jeden región môže hostiť viacero klastrov. Táto konfigurácia umožňuje Power Platform službám neobmedzené horizontálne škálovanie po dosiahnutí limitov vertikálneho a horizontálneho škálovania jedného klastra.

Back-end klastre sú stavové. Koncový klaster hostí všetky údaje všetkých nájomníkov, ktorí sú k nemu priradení. Klaster, ktorý obsahuje údaje konkrétneho nájomníka, sa označuje ako domáci klaster nájomníka. Informácie o domácom klastri overeného používateľa poskytuje Power Platform globálna back-end služba webovému front-end klastru. Webový front-end používa informácie na smerovanie požiadaviek do domovského back-endového klastra nájomníka.

Metadáta a údaje nájomníkov sú uložené v rámci limitov klastra. Výnimkou je replikácia údajov do sekundárneho back-endového klastra, ktorý sa nachádza v spárovanej oblasti v rovnakej geografickej oblasti Azure. Sekundárny klaster slúži ako núdzové prepnutie v prípade regionálneho výpadku a kedykoľvek je pasívny. Mikroslužby bežiace na rôznych počítačoch vo virtuálnej sieti klastra slúžia aj na back-end funkcie. Iba dve z týchto mikroslužieb sú dostupné z verejného internetu:

  • Služba brány
  • Správa rozhrania Azure API

Diagram Power Platform základných služieb zobrazujúci tri hlavné časti: služby API a brány, ktoré sú prístupné z verejného internetu, a kolekciu mikroslužieb, ktoré sú súkromné.

Prémiová infraštruktúra Power Platform

Power Platform Premium poskytuje prístup k rozšírenej sade konektorov ako platená služba. Power Platform tvorcovia nie sú obmedzovaní v používaní prémiových konektorov, ale používatelia aplikácií áno. To znamená, že používatelia aplikácie, ktorá obsahuje prémiové konektory, musia mať správnu licenciu, aby k nim mohli pristupovať. Back-endová služba Power Platform určuje, či má používateľ prístup k prémiovým konektorom.

Mobilné platformy

Power Platform podporuje aplikácie Android, iOS a Windows (UWP). Otázky týkajúce sa mobilných aplikácií spadajú do dvoch kategórií:

  • Komunikácia zariadení
  • Aplikácia a údaje v zariadení

Komunikácia zariadení

Power Platform mobilné aplikácie používajú rovnaké sekvencie pripojenia a overovania, aké používajú prehliadače. Android a iOS aplikácie otvoria reláciu prehliadača v aplikácii. Aplikácie pre Windows používajú sprostredkovateľa na vytvorenie komunikačného kanála so službami Power Platform pre proces prihlásenia.

Nasledujúca tabuľka zobrazuje podporu overovania na základe certifikátu (CBA) pre mobilné aplikácie:

Podpora pre CBA iOS Android Okná
Prihláste sa do služby Podporované Podporované Nie je podporované
SSRS ADFS lokálne (pripojenie k serveru SSRS) Nie je podporované Podporované Nie je podporované
Proxy aplikácie SSRS Podporované Podporované Nie je podporované

Mobilné aplikácie aktívne komunikujú so službami Power Platform. Štatistiky používania aplikácií a podobné údaje sa prenášajú do služieb, ktoré monitorujú používanie a aktivitu. Nezahŕňajú sa žiadne údaje zákazníka.

Aplikácia a údaje v zariadení

Mobilná aplikácia a údaje, ktoré vyžaduje, sú bezpečne uložené v zariadení. Microsoft Entra a obnovovacie tokeny sú uložené pomocou štandardných bezpečnostných opatrení.

Údaje uložené vo vyrovnávacej pamäti v zariadení zahŕňajú údaje aplikácií, používateľské nastavenia a informačné panely a zostavy, ku ktorým sa pristupovalo v predchádzajúcich reláciách. Vyrovnávacia pamäť je uložená v izolovanom priestore v internom úložisku. Cache je prístupná iba pre aplikáciu a môže byť šifrovaná operačným systémom.

  • iOS: Šifrovanie je automatické, keď používateľ nastaví prístupový kód.
  • Android: Šifrovanie je možné nakonfigurovať v nastaveniach.
  • Windows: Šifrovanie zabezpečuje nástroj BitLocker.

Microsoft Šifrovanie na úrovni súborov Intune možno použiť na zlepšenie šifrovania údajov. Intune je softvérová služba, ktorá poskytuje správu mobilných zariadení a aplikácií. Všetky tri mobilné platformy podporujú Intune. So zapnutou a nakonfigurovanou službou Intune sú údaje na mobilnom zariadení šifrované a aplikácia Power Platform sa nedá nainštalovať na SD kartu.

Aplikácie pre Windows tiež podporujú Windows Information Protection (WIP).

Údaje vo vyrovnávacej pamäti sa vymažú, keď používateľ:

  • odinštaluje aplikáciu
  • odhlási sa zo služby Power Platform
  • sa nepodarí prihlásiť po zmene hesla alebo vypršaní platnosť tokenu

Geolokácia je povolená alebo zakázaná explicitne používateľom. Ak je táto možnosť povolená, geolokačné údaje sa v zariadení neukladajú a nezdieľajú sa s nimi Microsoft.

Oznámenia sú povolené alebo zakázané explicitne používateľom. Ak sú upozornenia povolené, Android a iOS nepodporujú požiadavky na pobyt podľa geografických údajov.

Mobilné služby Power Platform nemajú prístup k iným priečinkom ani súborom aplikácií v zariadení.

Niektoré autentifikačné údaje založené na tokenoch sú k dispozícii pre iné Microsoft aplikácie, ako je napríklad Authenticator, aby sa umožnilo jednotné prihlásenie. Tieto údaje spravuje súprava Microsoft Entra Authentication Library SDK.

Prebieha overenie Power Platform služieb
Pripojenie a overenie k zdrojom údajov
Ukladanie dát v Power Platform
Power Platform často kladené otázky o bezpečnosti

Pozrite si tiež