Power Platform pogosta vprašanja o varnosti

Pogosta vprašanja o varnosti Power Platform spadajo v dve kategoriji:

• Kako je bila platforma Power Platform zasnovana tako, da pomaga pri ublažitvi 10 največjih tveganj Open Web Application Security Project® (OWASP)

• Vprašanja, ki jih zastavljajo naše stranke

Da bi vam olajšali iskanje najnovejših informacij, so na koncu tega članka dodana nova vprašanja.

10 največjih tveganj OWASP: ublažitve v Power Platform

Open Web Application Security Project® (OWASP) je neprofitna organizacija, ki si prizadeva izboljšati varnost programske opreme. Organizacija OWASP je s projekti odprtokodne programske opreme, ki jih vodi skupnost, stotinami poglavij po vsem svetu, več deset tisoč člani ter vodilnimi konferencami za izobraževanje in usposabljanje, vir za razvijalce in tehnologe, ki zagotavljajo varnost spleta.

OWASP top 10 je standardni dokument za obveščanje razvijalcev in drugih, ki jih zanima varnost spletnih aplikacij. Predstavlja široko soglasje o najpomembnejših varnostnih tveganjih za spletne aplikacije. V tem razdelku razpravljamo o tem, kako Power Platform pomaga ublažiti ta tveganja.

A01:2021 Prekinjen nadzor dostopa

• Varnostni model Power Platform je zgrajen na najmanj privilegiranem dostopu (LPA). LPA strankam omogoča izdelavo aplikacij z natančnejšim nadzorom dostopa.
• Power Platform uporablja Microsoft Entra ID-je (Microsoft Entra ID) Microsoft Identity Platform za avtorizacijo vseh klicev API-ja s standardnim industrijskim protokolom OAuth 2.0.
• Dataverse, ki zagotavlja osnovne podatke za Power Platform, ima bogat varnostni model, ki vključuje varnost na ravni okolja, na podlagi vlog ter varnost na ravni zapisa in polja.

A02:2021 Kriptografske napake

Podatki v tranzitu:

• Power Platform uporablja TLS za šifriranje vsega omrežnega prometa, ki temelji na HTTP. Uporablja druge mehanizme za šifriranje omrežnega prometa, ki ni HTTP, in vsebuje podatke o strankah ali zaupne podatke.
• Power Platform uporablja okrepljeno konfiguracijo TLS, ki omogoča strogo varnost prometa (HSTS) HTTP:
  • TLS 1.2 ali novejša različica
  • Kompleti šifer, ki temeljijo na ECDHE, in krivulje NIST
  • Močne tipke

Podatki v mirovanju:

• Vsi podatki o strankah so šifrirani, preden se zapišejo na trajne pomnilniške medije.

A03:2021 Injiciranje

Power Platform za preprečevanje napadov z vbrizgavanjem uporablja najboljše prakse po industrijskih standardih., vključno z:

• Uporaba varnih API-jev s parametriranimi vmesniki
• Uporaba nenehno razvijajočih se zmogljivosti prednostnih ogrodij za čiščenje vnosa
• Čiščenje izhoda s preverjanjem na strani strežnika
• Uporaba orodij za statično analizo v času izdelave
• Pregled modela groženj vsake storitve vsakih šest mesecev, ne glede na to, ali je bila koda, zasnova ali infrastruktura posodobljena ali ne

A04:2021 Nevarna zasnova

• Power Platform temelji na kulturi in metodologiji varnega oblikovanja. Kultura in metodologija se nenehno krepita z Microsoftovima vodilnima praksama življenjskega cikla varnostnega razvoja (SDL) in modeliranja groženj.
• Postopek pregleda modeliranja groženj zagotavlja, da so grožnje prepoznane v fazi načrtovanja, ublažene in potrjene, da se preveri, ali so bile ublažene.
• Modeliranje groženj prav tako upošteva vse spremembe storitev, ki so že v uporabi prek stalnih rednih pregledov. Zanašanje na model STRIDE pomaga pri reševanju najpogostejših težav z nezanesljivo zasnovo.
• Microsoftov SDL je enakovreden modelu OWASP Software Assurance Maturity (SAMM). Oba temeljita na predpostavki, da je varna zasnova sestavni del varnosti spletnih aplikacij.

A05:2021 Napačna konfiguracija varnosti

• »Privzeta zavrnitev« je ena od temeljev načel oblikovanja na platformi Power Platform. S funkcijo »Default Deny« morajo stranke pregledati in se odločiti za nove funkcije in konfiguracije.
• Vse napačne konfiguracije v času izdelave ujame integrirana varnostna analiza z uporabo Orodij za varen razvoj.
• Poleg tega je platforma Power Platform podvržena Testiranju varnosti z dinamično analizo (DAST) z uporabo notranje storitve, ki temelji na 10 največjih tveganjih OWASP.

A06:2021 Ranljive in zastarele komponente

• Power Platform sledi Microsoftovim praksam SDL za upravljanje odprtokodnih komponent in komponent drugih ponudnikov. Te prakse vključujejo vzdrževanje popolne zaloge, izvajanje varnostnih analiz, posodabljanje komponent in usklajevanje komponent s preizkušenim postopkom odzivanja na varnostne incidente.
• V redkih primerih lahko nekatere aplikacije, zaradi zunanjih odvisnosti, vsebujejo kopije zastarelih komponent. Ko so te odvisnosti obravnavane v skladu s prej opisanimi praksami, se komponente spremljajo in posodabljajo.

A07:2021 Napake pri identifikaciji in avtentikaciji

• Power Platform temelji na identifikaciji in preverjanju pristnosti ID-ja in je od nje odvisen. Microsoft Entra
• Microsoft Entra pomaga Power Platform omogočiti varne funkcije. Te funkcije vključujejo enotno prijavo, večkratno preverjanje pristnosti in enotno platformo za varnejše sodelovanje z notranjimi in zunanjimi uporabniki.
• Z **prihajajočo implementacijo** sistema **ID** (Continuous Access Evaluation)** (CAE) bosta identifikacija in preverjanje pristnosti uporabnikov še varnejša in zanesljivejša. Power Platform Microsoft Entra

A08:2021 Napake v programski opremi in integriteti podatkov

• Power Platform Postopek upravljanja komponent uveljavlja varno konfiguracijo izvornih datotek paketa za ohranjanje celovitosti programske opreme.
• Postopek zagotavlja, da se za obravnavo napada z zamenjavo uporabljajo samo paketi notranjega izvora. Napad z zamenjavo, znan tudi kot zamenjava odvisnosti, je tehnika, ki jo je mogoče uporabiti za zastrupitev procesa izdelave aplikacij znotraj varnih podjetniških okolij.
• Za vse šifrirane podatke je pred prenosom uporabljena zaščita integritete. Potrdijo se vsi metapodatki za zaščito celovitosti, ki so prisotni pri vhodnih šifriranih podatkih.

10 največjih tveganj OWASP zaradi nizkega/brez kode: Zmanjševanje tveganj v Power Platform

Za smernice o ublažitvi 10 največjih varnostnih tveganj zaradi nizkega/brez kode, ki jih je objavil OWASP, glejte ta dokument:

Power Platform - OWASP Low Code No Code 10 največjih tveganj (april 2024)

Pogosta varnostna vprašanja strank

Sledi nekaj varnostnih vprašanj, ki jih postavljajo naše stranke.

Kako platforma Power Platform pomaga pri zaščiti pred ugrabljanjem klikov?

Clickjacking uporablja vdelane okvirje iframe, med drugim, za ugrabitev uporabnikovih interakcij s spletno stranjo. To je velika grožnja zlasti za strani za vpis. Power Platform preprečuje uporabo okvirjev elemetov iframes na straneh za vpis, s čimer znatno zmanjša tveganje ugrabljanja klikov.

Poleg tega lahko organizacije uporabijo Varnostni pravilnik za vsebino (CSP) za omejitev vdelave na zaupanja vredne domene.

Podpira platforma Power Platform varnostni pravilnik za vsebino?

Power Platform podpira Varnostni pravilnik za vsebino (CSP) za aplikacije, ki temeljijo na modelu. Ne podpiramo teh glav, ki jih nadomesti CSP:

• X-XSS-Protection
• X-Frame-Options

Kako se lahko varno povežemo s strežnikom SQL?

See Varna uporaba strežnika Microsoft SQL Server z orodjem Power Apps.

Katere šifre podpira platforma Power Platform? Kakšen je načrt nenehnega napredovanja k močnejšim šifram?

Vse Microsoftove storitve in izdelki so konfigurirani za uporabo odobrenih zbirk šifer v natančnem vrstnem redu, ki ga vodi Microsoftov odbor za kriptovalute. Za celoten seznam in natančen vrstni red si oglejte Power Platform dokumentacijo.

Informacije o opustitvi sklopov šifer so sporočene prek dokumentacije platforme Power Platform Pomembne spremembe.

Zakaj platforma Power Platform še vedno podpira šifre RSA-CBC (TLS_ECDHE_RSA_z AES_128_CBC_SHA256 (0xC027) in TLS_ECDHE_RSA_z_AES_256_CBC_SHA384 (0xC028)), ki veljajo za šibkejše?

Microsoft pri izbiri sklopov šifer, ki jih bo podpiral, pretehta relativno tveganje in motnje pri delovanju strank. Sklopov šifer RSA-CBC še nismo uničili. Omogočili smo jim, da zagotavljajo doslednost v naših storitvah in izdelkih ter podpirajo vse konfiguracije strank. Vendar so na dnu seznama prioritet.

Te šifre bomo opustili ob pravem času, na podlagi nenehnega ocenjevanja Microsoftovega odbora za kriptovalute.

Zakaj platforma Power Automate izpostavlja zgoščene vrednosti vsebine MD5 v vhodih in izhodih sprožilcev/dejanj?

Power Automate posreduje izbirno zgoščevalno vrednost vsebine-MD5, ki jo shramba storitve Azure svojim odjemalcem vrne takšno, kot je. To zgoščevanje shramba storitve Azure uporablja za preverjanje celovitosti strani med prenosom kot algoritem kontrolne vsote in se ne uporablja kot kriptografska zgoščena funkcija za varnostne namene v Power Automate. Več podrobnosti o tem najdete v dokumentaciji za Azure Storage o tem, kako pridobiti lastnosti dvojiških podatkov (Blob Properties) in kako delati z glavami zahtev (Request Glaves). ......

Kako ščiti platforma Power Platform pred napadi s porazdeljeno zavrnitvijo storitve (DDoS)?

Power Platform temelji na Microsoft Azure in uporablja zaščito Azure DDoS za zaščito pred napadi DDoS.

Ali zazna naprave z jailbreakom in rootiranimi napravami, da bi pomagal pri zaščiti organizacijskih podatkov? Power Platform iOS Android

Priporočamo uporabo Microsoft Intune. Intune je rešitev za upravljanje mobilnih naprav. Pomaga lahko zaščititi organizacijske podatke tako, da od uporabnikov in naprav zahteva, da izpolnjujejo določene zahteve. Za več informacij glejte Nastavitve pravilnika skladnosti programa Intune.

Zakaj so sejni piškotki omejeni na nadrejeno domeno?

Power Platform za sejne piškotke določi obseg nadrejene domene, da omogoči preverjanje pristnosti v različnih organizacijah. Poddomene se ne uporabljajo kot varnostne meje. Prav tako ne gostijo vsebin strank.

Kako lahko nastavimo, da se seja aplikacije prekine po npr. 15 minutah?

Power Platform uporablja upravljanje identitete in dostopa z ID-jem. Microsoft Entra Sledi priporočeni konfiguraciji upravljanja sej podjetja ID za optimalno uporabniško izkušnjo. Microsoft Entra

Okolja pa lahko prilagodite tako, da imajo izrecne časovne omejitve seje in/ali dejavnosti. Za več informacij glejte Upravljanje seje uporabnika in dostopa.

Z **prihajajočo implementacijo** sistema **ID**, ki ga bo izvajal **Continuous Access Evaluation**, bosta identifikacija in preverjanje pristnosti uporabnikov še varnejša in zanesljivejša. Power Platform Microsoft Entra

Aplikacija omogoča istemu uporabniku dostop z več kot enega računalnika ali brskalnika hkrati. Kako lahko to preprečimo?

Dostop do aplikacije iz več kot ene naprave ali brskalnika hkrati je priročno za uporabnike. Power PlatformPrihajajoča implementacija sistema **ID**, ki bo pomagala zagotoviti, da dostop poteka iz pooblaščenih naprav in brskalnikov ter da je še vedno veljaven. Microsoft Entra

Zakaj nekatere storitve platforme Power Platform izpostavljajo glave strežnika s podrobnimi informacijami?

Storitve platforme Power Platform si prizadevajo odstraniti nepotrebne informacije v glavi strežnika. Cilj je uravnotežiti raven podrobnosti s tveganjem razkritja informacij, ki bi lahko oslabile splošno varnostno strukturo.

Kako ranljivosti Log4j vplivajo na Power Platform? Kaj naj v zvezi s tem storijo stranke?

Microsoft je ocenil, da nobena ranljivost Log4j ne vpliva na Power Platform. Na našem blogu si oglejte objavo o preprečevanju, odkrivanju in iskanju izkoriščanja ranljivosti Log4j.

Kako lahko zagotovimo, da ni nepooblaščenih transakcij zaradi razširitev brskalnika ali vmesnikov API odjemalcev enotnega vmesnika, ki omogočajo omogočanje onemogočenih kontrolnikov?

Varnostni model aplikacije Power Apps ne vključuje koncepta onemogočenih kontrolnikov. Onemogočanje kontrolnikov je izboljšava uporabniškega vmesnika. Za zagotavljanje varnosti se ne smete zanašati na onemogočene kontrolnike. Namesto tega uporabite kontrolnike Dataverse, kot je varnost na ravni polja, da preprečite nepooblaščene transakcije.

Katere varnostne glave HTTP se uporabljajo za zaščito podatkov odgovora?

Imenu	Details
Stroga varnost prevoza	To je nastavljeno na vse odgovore. max-age=31536000; includeSubDomains
Možnosti X-okvirja	To je zastarelo v korist CSP.
Možnosti tipa vsebine X	To je nastavljeno na nosniff za vse odgovore sredstev.
Pravilnik o varnosti vsebine	To je nastavljeno, če uporabnik omogoči CSP.
X-XSS-Zaščita	To je zastarelo v korist CSP.

Kje lahko najdem preskuse možnosti vdora Power Platform ali Dynamics 365?

Najnovejše preskuse možnosti vdora in ocene varnosti lahko najdete na Portalu za zanesljivost storitve Microsoft.

opomba,

Za dostop do nekaterih virov na portalu Service Trust Portal se morate prijaviti kot overjeni uporabnik z računom za storitve Microsoft Cloud (Microsoft Entra račun organizacije) ter pregledati in sprejeti Microsoftov sporazum o nerazkritju za gradiva o skladnosti.

Povezani članki

Pregled varnosti
Preverjanje pristnosti za storitve Power Platform
Povezovanje in preverjanje pristnosti z viri podatkov
Shranjevanje podatkov v Power Platform

Glejte tudi

• Microsoftova platforma za identiteto
• Življenjski cikel razvoja varnosti
• Modeliranje groženj
• Microsoft Entra Neprekinjeno ocenjevanje dostopa
• Pravilnik o varnosti vsebine
• Zaščita Azure DDoS
• Nastavitve pravilnika o skladnosti s predpisi za Intune