Делите путем

Најчешћа питања о безбедности услуге Power Platform

  • Чланак

Најчешћа питања о безбедности услуге Power Platform спадају у две категорије:

  • Како је Power Platform дизајниран да помогне у ублажавању 10 највећих Web Application Security Project® (OWASP) ризика

  • Питања која постављају наши клијенти

Да би вам било лакше да пронађете најновије информације, нова питања се додају на крају овог чланка.

OWASP 10 највећих ризика: Ублажавања у услузи Power Platform

Open Web Application Security Project® (OWASP) је непрофитна фондација која ради на побољшању безбедности софтвера. Кроз отворене софтверске пројекте вођене у заједници, стотине поглавља широм света, десетине хиљада чланова и водеће конференције о образовању и обуци, OWASP Foundation је извор за програмере и технологе да обезбеде веб.

OWASP најчешћих 10 је стандардни документ о усклађености за програмере и друге који су заинтересовани за безбедност веб-апликација. Документ представља широк консензус о најкритичнијим безбедносним ризицима за веб-апликације. У овом одељку ћемо разговарати о томе како Power Platform помаже да се ови ризици ублаже.

A01 :2021 Сломљена контрола приступа

  • Power Platform безбедносни модел је изграђен на најмање привилегованом приступу (LPA). LPA омогућава корисницима да изграде апликације са више детаљнијих контрола приступа.
  • Power Platform користи Microsoft Entra ИД -ову ( Microsoft Entra ИД) Microsoft Идентити Платформу за ауторизацију свих АПИ позива са индустријским стандардом OAuth 2.0 протокола.
  • Dataverse, који обезбеђује основне податке за Power Platform, има богат безбедносни модел који укључује безбедност на нивоу окружења, засновану на улози и безбедности на нивоу записа и поља.

A02 :2021 Криптографски кварови

Подаци у транзиту:

  • Power Platform користи TLS за шифровање свог мрежног саобраћаја заснованог на протоколу HTTP. Он користи друге механизме за шифровање мрежног саобраћаја који није HTTP и који не садржи податке о клијентима или поверљиве податке.
  • Power Platform користи ојачану TLS конфигурацију која омогућава протокол HTTP Strict Transport Security (HSTS):
    • TLS 1.2 или новији
    • Пакети шифара засновани на ECDHE и NIST кривама
    • Јаки кључеви

Подаци у мировању:

  • Сви подаци о клијентима су шифровани пре него што су уписани на непостојане медије за складиштење.

A03 :2021 Ињекција

Power Platform користи најбоље праксе према индустријском стандарду за спречавање напада убацивањем, укључујући:

  • Коришћење безбедних API-ја са параметаризованим интерфејсима
  • Примена могућности изложених радних оквира који се стално развијају да би се санирао унос
  • Санирање излаза провером ваљаности на страни сервера
  • Коришћење алатки за статичку анализу током времена израде
  • Преглед модела претњи сваке услуге сваких шест месеци без обзира да ли су шифра, дизајн или инфраструктура ажурирани или нису

A04 :2021 Несигуран дизајн

  • Power Platform је услуга изграђена на култури и методологији безбедног дизајна. И култура и методологија се стално јачају кроз Microsoft водећи животни циклус развоја безбедности (СДЛ) и праксе моделирања претњи.
  • Процес ревизије моделирања претњи обезбеђује да се претње идентификују током фазе дизајнирања, ублаже и провере да би било сигурно да су ублажене.
  • Моделирање претњи такође чини све промене услуга које су већ активне кроз континуиране редовне прегледе. Ослањање на STRIDE модел помаже у решавању најчешћих проблема са несигурним дизајном.
  • MicrosoftСДЛ је еквивалентан моделу зрелости ОВАСП Софтwаре Ассуранце (САММ). Оба су изграђена на премиси да је безбедан дизајн саставни део безбедности веб-апликација.

A05 :2021 Безбедносна погрешна конфигурација

  • „Подразумевано одбијање“ је један од темеља принципа Power Platform дизајна. Помоћу опције „Подразумевано одбијање“, клијенти морају да прегледају и дају сагласност за нове функције и конфигурације.
  • Све погрешне конфигурације током времена градње се хватају интегрисаном безбедносном анализом помоћу алатки за безбедан развој.
  • Поред тога, Power Platform пролази кроз безбедносно тестирање динамичке анализе безбедности (DAST) користећи интерну услугу која је изграђена на OWASP 10 највећих ризика.

A06 :2021 Рањиве и застареле компоненте

  • Power Platform прати Microsoft СДЛ праксе за управљање компонентама отвореног кода и независних страна. Ове праксе укључују одржавање комплетних залиха, извршавање безбедносних анализа, одржавање ажурности компоненти и усклађивање компоненти са испробаним и тестираним процесом реаговања на безбедносне инциденте.
  • У ретким случајевима, неке апликације могу да садрже копије застарелих компоненти због спољних зависности. Међутим, након што су те зависности отклоњене у складу са раније наведеним праксама, компоненте се прате и ажурирају.

A07 :2021 Пропусти у идентификацији и аутентификацији

  • Power Platform је изграђен и зависи од Microsoft Entra идентификације и аутентификације ИД-а.
  • Microsoft Entra помаже Power Platform да се омогући сигурне функције. Ове функције укључују јединствено пријављивање, вишеструку потврду идентитета и једну платформу за безбедније ангажовање интерних и спољних корисника.
  • Са Power Platform предстојећом имплементацијом ИД Microsoft Entra континуиране евалуације приступа (ЦАЕ), идентификација корисника и аутентификација ће бити још сигурнији и поузданији.

A08 :2021 Пропусти у софтверу и интегритету података

  • Power Platform процес управљања компонентама примењује безбедну конфигурацију изворних датотека пакета ради одржавања интегритета софтвера.
  • Процес обезбеђује да се само пакети из интерних извора користе за решавање напада замене. Напад замене, познат и као конфузија зависности, јесте техника која се може користити за контаминацију процеса израде апликација унутар безбедних пословних окружења.
  • Сви шифровани подаци имају примењену заштиту интегритета пре него што се пренесу. Проверава се ваљаност свих метаподатака заштите интегритета који су присутни за долазне шифроване податке.

ОВАСП топ 10 Лов Цоде / Но Цоде ризика: Ублажавања у Power Platform

За упутства о ублажавању горњих 10 безбедносних ризика Лов Цоде / Но Цоде које је објавио ОВАСП, погледајте овај документ:

Power Platform - ОВАСП Лов Цоде Но Цоде Топ 10 Рискс (Април 2024)

Најчешћа безбедносна питања клијената

Следе нека од безбедносних питања која постављају наши клијенти.

Како Power Platform помаже у заштити од кликџекинга?

Цлицкјацкинг користи уграђене ифрамес, између осталих компоненти, да отме интеракцију корисника са веб страницом. То је значајна претња, нарочито на страницама за пријављивање. Power Platform спречава употребу iFrame елемената на страницама за пријављивање, значајно смањујући ризик од кликџекинга.

Поред тога, организације могу да користе смернице за безбедност садржаја (CSP) да би ограничиле уграђивање на поуздане домене.

Да ли Power Platform подржава смернице за безбедност садржаја?

Power Platform подржава смернице за безбедност садржаја (CSP) за апликације засноване на моделу. Не подржавамо следећа заглавља која замењује CSP:

  • X-XSS-Protection
  • X-Frame-Options

Како можемо безбедно да се повежемо са системом SQL Server?

Погледајте Безбедно коришћење система Microsoft SQL Server са услугом Power Apps.

Које шифре су подржане у услузи Power Platform? Који је план за непрекидно унапређивање ка јачим шифрама?

Све Microsoft услуге и производи су конфигурисани да користе одобрене пакете за шифровање, у тачном редоследу у режији Црипто одбора Microsoft . Комплетну листу и тачан редослед потражите у Power Platform документацији.

Информације о застаревању пакета шифара преносе се путем Power Platform документације Важне промене.

Зашто Power Platform и даље подржава RSA-CBC шифре (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) и TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), које се сматрају слабијим?

Microsoft Вага релативни ризик и поремећај у пословању купаца у избору пакета за шифровање за подршку. RSA-CBC пакети за шифровање још увек нису проваљени. Омогућили смо их да обезбеде доследност у свим нашим услугама и производима и да подрже све конфигурације клијената. Међутим, они су на дну листе приоритета.

Ми ћемо одбацити ове шифре у право време, на основу континуиране процене Црипто одбора Microsoft .

Зашто Power Automate излаже MD5 хешеве садржаја у улазним и излазним садржајима окидача/радњи?

Power Automate прослеђује опционалну вредност хеша content-MD5 коју Azure Storage враћа непромењену својим клијентима. Услуга Azure Storage користи овај хеш да провери интегритет странице током преноса као алгоритам контролног збира и не користи се као функција криптографског хеширања у безбедносне сврхе у услузи Power Automate. Више детаља о томе можете пронаћи у документацији Азуре Стораге о томе како добити Блоб Пропертиес и како радити са заглављима захтјева.

Како се Power Platform штити од дистрибуираних напада ускраћивања услуга (DDoS)?

Power Platform је изграђен на платформи Microsoft Azure и користи Azure DDoS заштиту за одбрану од DDoS напада.

Да ли Power Platform детектује јаилброкен iOS уређаје и укорењене Android уређаје да помогне у заштити организационих података?

Препоручујемо да користите Microsoft Интуне. Intune је решење за управљање мобилним уређајима. Може да помогне у заштити организационих података тако што захтева од корисника и уређаја да испуне одређене захтеве. Више информација потражите у поставкама смерница за усаглашеност услуге Intune.

Зашто су колачићи сесије ограничени на надређени домен?

Power Platform ограничава колачиће сесије на надређени домен да би се дозволила потврда идентитета у организацијама. Поддомени се не користе као безбедносне границе. Они такође не хостују садржај клијената.

Како можемо да подесимо да сесија апликације истекне после, рецимо, 15 минута?

Power Platform користи Microsoft Entra ИД идентитет и управљање приступом. Следи Microsoft Entra ИД -ову препоручену конфигурацију управљања сесијом за оптимално корисничко искуство.

Међутим, можете да прилагодите окружења тако да имају изричито временско ограничење сесије и/или активности. За више информација, погледајте чланак Сесије корисника и управљање приступом.

Са Power Platform предстојећом имплементацијом ИД Microsoft Entra континуиране евалуације приступа, идентификација корисника и аутентификација ће бити још сигурнији и поузданији.

Апликација омогућава истом кориснику да истовремено приступа са више рачунара или из више прегледача. Како то да спречимо?

Истовремено приступање апликацији са више уређаја или прегледача је погодност за кориснике. Power PlatformПредстојећа имплементација ИД Microsoft Entra континуиране евалуације приступа помоћи ће да се осигура да је приступ са овлашћених уређаја и претраживача и да је и даље важећи.

Зашто неке Power Platform услуге откривају заглавља сервера са детаљним информацијама?

Power Platform услуге су радиле на уклањању непотребних информација у заглављу сервера. Циљ је да се ниво детаља избалансира са ризиком од излагања информација које би могле да ослабе целокупан положај безбедности.

Како Log4j рањивости утичу на Power Platform? Шта клијенти треба да ураде у том погледу?

Microsoft је проценио да нема утицаја Power Platform на рањивости Log4j. Погледајте наш пост на блогу о спречавању, откривању и лову на експлоатацију Log4j рањивости.

Како можемо да осигурамо да не постоје неовлашћене трансакције због проширења прегледача или API-ја обједињеног интерфејса клијента који дозвољавају омогућавање онемогућених контрола?

Безбедносни модел услуге Power Apps не укључује концепт онемогућених контрола. Онемогућавање контрола је побољшање корисничког интерфејса. Не би требало да се ослањате на онемогућене контроле да бисте пружали безбедност. Уместо тога, користите Dataverse контроле као што је безбедност на нивоу поља да бисте спречили неовлашћене трансакције.

Који ХТТП сигурносни заглавља се користе за заштиту одговор података?

Именуј Детаљи
Строга-транспорт-безбедност Ово је постављено на max-age=31536000; includeSubDomains све одговоре.
Кс-Фраме-Опције Ово је застарело у корист ЦСП-а.
X-Цонтент-Типе-Опције Ово је постављено на nosniff све одговоре на имовину.
Садржај-Безбедносна-Политика Ово се поставља ако корисник омогући ЦСП.
Кс-КССС-заштита Ово је застарело у корист ЦСП-а.

Где могу да пронађем Power Platform или Dynamics 365 тестове пенетрације?

Најновији тестови пенетрације и безбедносне процене могу се наћи на Сервице Труст Порталу Microsoft .

Белешка

Да бисте приступили неким ресурсима на порталу за поверење услуга, морате се пријавити као аутентификовани корисник са својим Microsoft рачуном за услуге у облаку ( Microsoft Entra рачун организације) и прегледати и прихватити уговор о Microsoft неоткривању података за материјале о усклађености.

Безбедност у Microsoft Power Platform
Аутентификација услуга Power Platform
Повезивање и аутентификација са изворима података
Складиштење података у Power Platform

Погледајте и