Безбедност у услузи Microsoft Power Platform
Power Platform даје моћ брзог и лаког креирања свеобухватних решења у рукама непрофесионалних и професионалних програмера. Безбедност је од критичног значаја за ова решења. Power Platform је изграђен да би се обезбедила заштита по индустријском стандарду.
Организације убрзавају свој прелазак у облак, укључивање напредних технологија у пословање и доношење пословних одлука. Све више запослених ради на даљину. Потражња клијената за услугама на мрежи је у порасту. Безбедност традиционалних локалних апликација више није довољна. Организације које траже решења за податке пословног обавештавања који су природно у облаку, вишеслојни, безбедносно веома заштићени, окрећу се платформи Power Platform. Агенције за националну безбедност, финансијске институције и даваоци здравствених услуга поверавају своје најосетљивије информације платформи Power Platform.
Microsoft је направио огромна улагања у безбедност од средине 2000-их. Више од 3,500 Microsoft инжењера ради на проактивном решавању стално променљивог пејзажа претњи. Microsoft безбедност почиње на језгру БИОС-а на чипу и протеже се све до корисничког искуства. Данас је наш безбедносни низ најнапреднији у делатности. Microsoft широко се сматра глобалним лидером у борби против злонамерних актера. Милијарде рачунара, трилиони пријава и зетабајти података поверени су Microsoft заштити.
Power Platform гради на овом јаком темељу. Користи исти безбедносни низ који је платформи Azure донео право да служи и штити најосетљивије податке на свету, и интегрише се са најнапреднијим Microsoft 365 алатима за заштиту информација и усаглашеност. Power Platform пружа свеобухватну заштиту осмишљену око најизазовнијих брига наших клијената у ери облака:
- Како можемо да контролишемо ко може да се повеже, одакле се повезује и како се повезује? Како да контролишемо везе?
- Како су подаци ускладиштени? Како су шифрирани? Какве контроле имамо о нашим подацима?
- Како можемо да контролишемо и заштитимо наше осетљиве податке? Како да осигурамо да наши подаци не могу да процуре изван организације?
- Како можемо да надгледамо ко шта може да уради? Како можемо брзо да реагујемо ако откријемо сумњиву активност?
Управљање
Услуга Power Platform је регулисана Microsoft Условима онлине услуга и Изјавом Microsoft о приватности предузећа. За локацију обраде података погледајте Microsoft Услове онлине услуга и Допуну о заштити података.
Microsoft Центар за поверење је примарни ресурс за информације о Power Platform усклађености. Сазнајте више на Microsoft Понуде усклађености.
Услуга Power Platform прати животни циклус безбедносног развоја (SDL). SDL је низ стриктних пракси које подржавају безбедносно осигурање и захтеве за усаглашавање. Сазнајте више на Праксе Microsoft животног циклуса развоја безбедности.
Заједнички безбедносни концепти у услузи Power Platform
Power Platform укључује неколико услуга. Неки од безбедносних концепата које ћемо покрити у овој серији примењују се на све њих. Други концепти су специфични за појединачне услуге. Тамо где су безбедносни концепти различити, ми ћемо их позвати.
Безбедносни концепти који су заједнички свим Power Platform услугама укључују следеће:
- Архитектура услуге Power Platform или начин на који информације теку кроз систем
- Аутентификација Power Platform услуга , или како корисници добијају приступ услугама
- Повезивање и аутентификација са изворима података, или како се услуге повезују са изворима података и корисници добијају приступ подацима
- Складиштење података у Power Platform, или како су подаци заштићени да ли је у мировању или у транзиту између система и услуга
Архитектура услуге Power Platform
Power Platform услуге су изграђене на Азуре, цлоуд цомпутинг платформи. Microsoft Архитектура услуге Power Platform се састоји од четири компоненте:
- Изложени кластер на вебу
- Кластер у позадини
- Врхунска инфраструктура
- Платформе за мобилне уређаје
Изложени кластер на вебу
Примењује се на Power Platform услуге које приказују Web UI. Изложени кластер на вебу служи матичној страници апликације или услуге у прегледачу корисника. Користи Microsoft Entra се за аутентификацију клијената у почетку, и обезбеђује токене за наредне клијентске везе, на Power Platform бацк-енд сервис.
Изложени кластер на вебу се састоји од ASP.NET веб-локације која се покреће у окружењу услуге Azure апликације. Када корисник посети Power Platform услугу или апликацију, DNS услуга клијента може добити најприкладнији (обично најближи) центар података од Управљача саобраћајем услуге Azure. Више информација потражите у чланку Начин усмеравања саобраћаја перформанси за управљач саобраћајем услуге Azure.
Изложени кластер на вебу управља секвенцом пријављивања и потврде идентитета. Добија < ДИЦТ__токен за приступ > аццесс токен Microsoft Entra након што је корисник аутентификован. ASP.NET компонента рашчлањује токен да би одредила којој организацији корисник припада. Компонента затим консултује Power Platform глобалну услугу у позадини да би се прегледачу навело који кластер у позадини садржи закупца организације. Наредне интеракције клијената се дешавају директно са кластером у позадини, без потребе за посредником на вебу.
Прегледач доноси статичне ресурсе, као што су js, .css датотеке и датотеке слика, углавном из Azure мреже за испоруку садржаја (CDN). Примене суверених кластера за државне институције су изузетак. Из разлога усаглашености, ове примене изостављају Azure CDN. Уместо тога, они користе изложени кластер на вебу из усаглашеног региона да хостују статички садржај.
Power Platform кластер у позадини
Кластер у позадини је окосница свих функционалности доступних у услузи Power Platform. Састоји се од крајњих тачака услуге, радних услуга у позадини, база података, кеша и других компоненти.
Позадински део је доступан у већини Azure региона и примењен је у новим регионима када постану доступни. Један регион може да хостује више кластера. Ова конфигурација омогућава Power Platform услугама неограничено хоризонтално подешавање размере након достизања вертикалних и хоризонталних ограничења размере једног кластера.
Кластери у позадини препознају државу. Кластер у позадини хостује све податке свих закупаца који су му додељени. Кластер који садржи податке одређеног закупца назива се матични кластер закупца. Информације о матичном кластеру овлашћеног корисника пружа Power Platform глобална услуга у позадини изложеног кластера на вебу. Изложени кластер на вебу користи информације за усмеравање захтева ка матичном кластеру закупца.
Метаподаци и подаци закупца се чувају у границама кластера. Изузетак је репликација података на секундарни кластер у позадини, који се налази у упареном региону у истој Azure географској области. Секундарни кластер служи као резерва у случају неуспеха ако дође до регионалног прекида, а пасиван је у било ком другом тренутку. Микро-услуге које раде на различитим рачунарима у виртуелној мрежи кластера такође опслужују функционалност у позадини. Само две од ових микро услуга су доступне са јавног интернета:
- Услуга мрежног пролаза
- Управљање Azure API-јима
Инфраструктура Power Platform Premium
Power Platform Premium омогућава приступ проширеном скупу конектора као плаћеној услузи. Power Platform аутори нису ограничени на коришћење премијум конектора, али корисници апликација јесу. То јест, корисници апликације која укључује премијум конекторе морају да имају исправну лиценцу за приступ њима. Power Platform услуга у позадини одређује да ли корисник има приступ премијум конекторима.
Платформе за мобилне уређаје
Power Platform подржава Android, iOS, и Виндовс (УВП) апликације. Безбедносна питања за апликације за мобилне уређаје спадају у две категорије:
- Комуникација са уређајем
- Апликација и подаци на уређају
Комуникација са уређајем
Power Platform апликације за мобилне уређаје користе исте секвенце везе и потврде идентитета које користе прегледачи. Android и апликације отварају сесију iOS претраживача у апликацији. Windows апликације користе брокера за успостављање канала комуникације са Power Platform услугама за поступак пријављивања.
Следећа табела приказује подршку за потврду идентитета (CBA) засновану на цертификату за мобилне апликације:
| CBA подршку | iOS | Android | Прозори |
|---|---|---|---|
| Пријављивање у услугу | Подржано | Подржано | Није подржано |
| Локални SSRS ADFS (повезивање на SSRS сервер) | Није подржано | Подржано | Није подржано |
| Прокси за SSRS апликације | Подржано | Подржано | Није подржано |
Апликације за мобилне уређаје активно комуницирају са Power Platform услугама. Статистика коришћења апликација и слични подаци преносе се на услуге које надгледају употребу и активност. Нема укључених клијентских података.
Апликација и подаци на уређају
Апликација за мобилне уређаје и подаци које она захтева безбедно се складиште на уређају. Microsoft Entra и освежавање токени се чувају коришћењем индустријских стандардних безбедносних мера.
Подаци кеширани на уређају укључују податке апликације, корисничке поставке и контролне табле и извештаје којима се приступало у претходним сесијама. Кеш се складишти у sandbox окружењу у интерном складишту. Кешу се може приступити само из апликације и оперативни систем га може шифровати.
- iOS: Енкрипција је аутоматска када корисник постави шифру.
- Android: Шифровање се може конфигурисати у поставкама.
- Windows: Шифровањем управља BitLocker.
Microsoft Интуне шифровање на нивоу датотеке може се користити за побољшање енкрипције података. Intune је софтверска услуга која обезбеђује управљање мобилним уређајем и апликацијама. Све три платформе за мобилне уређаје подржавају Intune. Када је Intune омогућен и конфигурисан, подаци на мобилном уређају су шифровани, а Power Platform апликација не може да се инсталира на SD картицу.
Windows апликације такође подржавају Windows Information Protection (WIP).
Кеширани подаци корисника се бришу када корисник:
- деинсталира апликацију
- одјави се из Power Platform услуге
- не успе да се пријави након промене лозинке или истекне токен
Корисник је изричито омогућио или онемогућио географску локацију. Ако је омогућено, подаци о геолокацији се не чувају на уређају и не деле се са Microsoft.
Корисник је изричито омогућио или онемогућио обавештења. Ако су обавештења омогућена Android и не подржавају захтеве за пребивалиште географских iOS података.
Power Platform услуге за мобилне уређаје не приступају другим фасциклама апликација или датотекама на уређају.
Неки подаци о аутентификацији засновани на токенима доступни су другим Microsoft апликацијама, као што је Аутхентицатор, како би се омогућило јединствено пријављивање. Овим подацима управља СДК библиотеке Microsoft Entra за аутентификацију.
Сродни чланци
Аутентификација услуга Power Platform
Повезивање и аутентификација са изворима података
Складиштење података у Power Platform
Power Platform Питања о безбедности
Погледајте и
- Безбедност у Microsoft Dataverse
- Microsoft Услови за онлине услуге
- Microsoft Изјава о приватности предузећа
- Допуна о заштити података
- Microsoft Праксе животног циклуса развоја безбедности
- Метода усмеравања саобраћаја перформанси за Азуре Траффиц Манагер
- Microsoft Претраживање
- Виндовс Заштита информација (WИП)