Najčešća pitanja o bezbednosti usluge Power Platform
Najčešća pitanja o bezbednosti usluge Power Platform spadaju u dve kategorije:
Kako je Power Platform dizajniran da pomogne u ublažavanju 10 najvećih Web Application Security Project® (OWASP) rizika
Pitanja koja postavljaju naši klijenti
Da bi vam bilo lakše da pronađete najnovije informacije, nova pitanja se dodaju na kraju ovog članka.
OWASP 10 najvećih rizika: Ublažavanja u usluzi Power Platform
Open Web Application Security Project® (OWASP) je neprofitna fondacija koja radi na poboljšanju bezbednosti softvera. Kroz otvorene softverske projekte vođene u zajednici, stotine poglavlja širom sveta, desetine hiljada članova i vodeće konferencije o obrazovanju i obuci, OWASP Foundation je izvor za programere i tehnologe da obezbede veb.
OWASP najčešćih 10 je standardni dokument o usklađenosti za programere i druge koji su zainteresovani za bezbednost veb-aplikacija. Dokument predstavlja širok konsenzus o najkritičnijim bezbednosnim rizicima za veb-aplikacije. U ovom odeljku ćemo razgovarati o tome kako Power Platform pomaže da se ovi rizici ublaže.
A01:2021 Narušena kontrola pristupa
- Power Platform bezbednosni model je izgrađen na najmanje privilegovanom pristupu (LPA). LPA omogućava korisnicima da izgrade aplikacije sa više detaljnijih kontrola pristupa.
- Power Platform koristi Microsoft Entra ID-ovu (Microsoft Entra ID) Microsoft identity platformu za autorizaciju svih API poziva sa industrijskim standardom OAuth 2.0 protokola.
- Dataverse, koji obezbeđuje osnovne podatke za Power Platform, ima bogat bezbednosni model koji uključuje bezbednost na nivou okruženja, zasnovanu na ulozi i bezbednosti na nivou zapisa i polja.
A02:2021 Kriptografski neuspesi
Podaci u tranzitu:
- Power Platform koristi TLS za šifrovanje svog mrežnog saobraćaja zasnovanog na protokolu HTTP. On koristi druge mehanizme za šifrovanje mrežnog saobraćaja koji nije HTTP i koji ne sadrži podatke o klijentima ili poverljive podatke.
- Power Platform koristi ojačanu TLS konfiguraciju koja omogućava protokol HTTP Strict Transport Security (HSTS):
- TLS 1.2 ili noviji
- Paketi šifara zasnovani na ECDHE i NIST krivama
- Jaki ključevi
Podaci u mirovanju:
- Svi podaci o klijentima su šifrovani pre nego što su upisani na nepostojane medije za skladištenje.
Power Platform koristi najbolje prakse prema industrijskom standardu za sprečavanje napada ubacivanjem, uključujući:
- Korišćenje bezbednih API-ja sa parametarizovanim interfejsima
- Primena mogućnosti izloženih radnih okvira koji se stalno razvijaju da bi se sanirao unos
- Saniranje izlaza proverom valjanosti na strani servera
- Korišćenje alatki za statičku analizu tokom vremena izrade
- Pregled modela pretnji svake usluge svakih šest meseci bez obzira da li su šifra, dizajn ili infrastruktura ažurirani ili nisu
- Power Platform je usluga izgrađena na kulturi i metodologiji bezbednog dizajna. Kultura i metodologija se konstantno pojačavaju kroz vodeće prakse kompanije Microsoft Životni ciklus bezbednosnog razvoja (SDL) i Modeliranje pretnji.
- Proces revizije modeliranja pretnji obezbeđuje da se pretnje identifikuju tokom faze dizajniranja, ublaže i provere da bi bilo sigurno da su ublažene.
- Modeliranje pretnji takođe čini sve promene usluga koje su već aktivne kroz kontinuirane redovne preglede. Oslanjanje na STRIDE model pomaže u rešavanju najčešćih problema sa nesigurnim dizajnom.
- SDL kompanije Microsoft je ekvivalent OWASP modelu zrelosti softverske garancije (SAMM). Oba su izgrađena na premisi da je bezbedan dizajn sastavni deo bezbednosti veb-aplikacija.
A05:2021 Pogrešna konfiguracija bezbednosti
- „Podrazumevano odbijanje“ je jedan od temelja principa Power Platform dizajna. Pomoću opcije „Podrazumevano odbijanje“, klijenti moraju da pregledaju i daju saglasnost za nove funkcije i konfiguracije.
- Sve pogrešne konfiguracije tokom vremena gradnje se hvataju integrisanom bezbednosnom analizom pomoću alatki za bezbedan razvoj.
- Pored toga, Power Platform prolazi kroz bezbednosno testiranje dinamičke analize bezbednosti (DAST) koristeći internu uslugu koja je izgrađena na OWASP 10 najvećih rizika.
A06:2021 Ranjive i zastarele komponente
- Power Platform sledi SDL prakse korporacije Microsoft za upravljanje komponentama otvorenog koda i trećih strana. Ove prakse uključuju održavanje kompletnih zaliha, izvršavanje bezbednosnih analiza, održavanje ažurnosti komponenti i usklađivanje komponenti sa isprobanim i testiranim procesom reagovanja na bezbednosne incidente.
- U retkim slučajevima, neke aplikacije mogu da sadrže kopije zastarelih komponenti zbog spoljnih zavisnosti. Međutim, nakon što su te zavisnosti otklonjene u skladu sa ranije navedenim praksama, komponente se prate i ažuriraju.
A07:2021 Greške identifikacije i potvrde identiteta
- Power Platform je izgrađena i zavisi od identifikacije Microsoft Entra ID-a i potvrde identiteta.
- Microsoft Entra pomaže u Power Platform omogućavanje bezbednih funkcija. Ove funkcije uključuju jedinstveno prijavljivanje, višestruku potvrdu identiteta i jednu platformu za bezbednije angažovanje internih i spoljnih korisnika.
- Sa Power Platform predstojećom implementacijom Microsoft Entra ID Kontinuirane procene pristupa (CAE), identifikacija korisnika i potvrda identiteta biće još bezbedniji i pouzdaniji.
A08:2021 Greške softvera i integriteta podataka
- Power Platform proces upravljanja komponentama primenjuje bezbednu konfiguraciju izvornih datoteka paketa radi održavanja integriteta softvera.
- Proces obezbeđuje da se samo paketi iz internih izvora koriste za rešavanje napada zamene. Napad zamene, poznat i kao konfuzija zavisnosti, jeste tehnika koja se može koristiti za kontaminaciju procesa izrade aplikacija unutar bezbednih poslovnih okruženja.
- Svi šifrovani podaci imaju primenjenu zaštitu integriteta pre nego što se prenesu. Proverava se valjanost svih metapodataka zaštite integriteta koji su prisutni za dolazne šifrovane podatke.
OWASP top 10 Low Code/No Code risks: Mitigations in Power Platform
Za smernice o ublažavanju 10 najboljih bezbednosnih rizika niske šifre/bez šifre koje je objavio OWASP, pogledajte ovaj dokument:
Power Platform - OWASP Low Code No Code No Code Top 10 Risks (April 2024)
Najčešća bezbednosna pitanja klijenata
Slede neka od bezbednosnih pitanja koja postavljaju naši klijenti.
Kako Power Platform pomaže u zaštiti od klikdžekinga?
Klikdžeking koristi ugrađene iFrame elemente, između ostalih komponenti, za otimanje interakcija korisnika sa veb-stranicom. To je značajna pretnja, naročito na stranicama za prijavljivanje. Power Platform sprečava upotrebu iFrame elemenata na stranicama za prijavljivanje, značajno smanjujući rizik od klikdžekinga.
Pored toga, organizacije mogu da koriste smernice za bezbednost sadržaja (CSP) da bi ograničile ugrađivanje na pouzdane domene.
Da li Power Platform podržava smernice za bezbednost sadržaja?
Power Platform podržava smernice za bezbednost sadržaja (CSP) za aplikacije zasnovane na modelu. Ne podržavamo sledeća zaglavlja koja zamenjuje CSP:
X-XSS-ProtectionX-Frame-Options
Kako možemo bezbedno da se povežemo sa sistemom SQL Server?
Pogledajte Bezbedno korišćenje sistema Microsoft SQL Server sa uslugom Power Apps.
Koje šifre su podržane u usluzi Power Platform? Koji je plan za neprekidno unapređivanje ka jačim šiframa?
Sve Microsoft usluge i proizvodi konfigurisani su da koriste odobrene pakete šifrovanja, tačnim redosledom koji je naložio Microsoft Crypto Board. Kompletnu listu i tačan redosled potražite u Power Platform dokumentaciji.
Informacije o zastarevanju paketa šifara prenose se putem Power Platform dokumentacije Važne promene.
Zašto Power Platform i dalje podržava RSA-CBC šifre (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), koje se smatraju slabijim?
Microsoft odmerava relativni rizik i poremećaj u radu klijenata prilikom izbora paketa šifrovanja koje će podržavati. RSA-CBC paketi za šifrovanje još uvek nisu provaljeni. Omogućili smo ih da obezbede doslednost u svim našim uslugama i proizvodima i da podrže sve konfiguracije klijenata. Međutim, oni su na dnu liste prioriteta.
Proglasićemo te šifre zastarelim u pravo vreme, na osnovu kontinuirane procene odbora Microsoft Crypto Board.
Zašto Power Automate izlaže MD5 heševe sadržaja u ulaznim i izlaznim sadržajima okidača/radnji?
Power Automate prosleđuje opcionalnu vrednost heša content-MD5 koju Azure Storage vraća nepromenjenu svojim klijentima. Usluga Azure Storage koristi ovaj heš da proveri integritet stranice tokom prenosa kao algoritam kontrolnog zbira i ne koristi se kao funkcija kriptografskog heširanja u bezbednosne svrhe u usluzi Power Automate. Više detalja o tome možete pronaći u dokumentaciji Azure skladišta o tome kako da nabavite blob svojstva i kako da radite sa zaglavljima zahteva.
Kako se Power Platform štiti od distribuiranih napada uskraćivanja usluga (DDoS)?
Power Platform je izgrađen na platformi Microsoft Azure i koristi Azure DDoS zaštitu za odbranu od DDoS napada.
Da li Power Platform otkrivanje jailbroken uređaja iOS i ukorenjenih uređaja Android pomaže u zaštiti organizacionih podataka?
Preporučujemo da koristite Microsoft Intune. Intune je rešenje za upravljanje mobilnim uređajima. Može da pomogne u zaštiti organizacionih podataka tako što zahteva od korisnika i uređaja da ispune određene zahteve. Više informacija potražite u postavkama smernica za usaglašenost usluge Intune.
Zašto su kolačići sesije ograničeni na nadređeni domen?
Power Platform ograničava kolačiće sesije na nadređeni domen da bi se dozvolila potvrda identiteta u organizacijama. Poddomeni se ne koriste kao bezbednosne granice. Oni takođe ne hostuju sadržaj klijenata.
Kako možemo da podesimo da sesija aplikacije istekne posle, recimo, 15 minuta?
Power Platform koristi Microsoft Entra identitet ID-a i upravljanje pristupom. Ona sledi preporučenu Microsoft Entra konfiguraciju upravljanja sesijom ID-a radi optimalnog korisničkog iskustva.
Međutim, možete da prilagodite okruženja tako da imaju izričito vremensko ograničenje sesije i/ili aktivnosti. Za više informacija, pogledajte članak Sesije korisnika i upravljanje pristupom.
Sa Power Platform predstojećom implementacijom ID Microsoft Entra Kontinuirane procene pristupa, identifikacija korisnika i potvrda identiteta biće još bezbedniji i pouzdaniji.
Aplikacija omogućava istom korisniku da istovremeno pristupa sa više računara ili iz više pregledača. Kako to da sprečimo?
Istovremeno pristupanje aplikaciji sa više uređaja ili pregledača je pogodnost za korisnike. Power Platformpredstojeća implementacija ID Microsoft Entra Kontinuirane procene pristupa pomoći će da se osigura da pristup bude sa ovlašćenih uređaja i pregledača i da je i dalje važeći.
Zašto neke Power Platform usluge otkrivaju zaglavlja servera sa detaljnim informacijama?
Power Platform usluge su radile na uklanjanju nepotrebnih informacija u zaglavlju servera. Cilj je da se nivo detalja izbalansira sa rizikom od izlaganja informacija koje bi mogle da oslabe celokupan položaj bezbednosti.
Kako Log4j ranjivosti utiču na Power Platform? Šta klijenti treba da urade u tom pogledu?
Microsoft je procenio da nema uticaja Log4j ranjivosti na Power Platform. Pogledajte naš post na blogu o sprečavanju, otkrivanju i lovu na eksploataciju Log4j ranjivosti.
Kako možemo da osiguramo da ne postoje neovlašćene transakcije zbog proširenja pregledača ili API-ja objedinjenog interfejsa klijenta koji dozvoljavaju omogućavanje onemogućenih kontrola?
Bezbednosni model usluge Power Apps ne uključuje koncept onemogućenih kontrola. Onemogućavanje kontrola je poboljšanje korisničkog interfejsa. Ne bi trebalo da se oslanjate na onemogućene kontrole da biste pružali bezbednost. Umesto toga, koristite Dataverse kontrole kao što je bezbednost na nivou polja da biste sprečili neovlašćene transakcije.
Koja HTTP bezbednosna zaglavlja se koriste za zaštitu podataka odgovora?
| Imenuj | Detalji |
|---|---|
| Strogi-transport-bezbednost | Ovo je podešeno max-age=31536000; includeSubDomains na sve odgovore. |
| X-Frame-Options | Ovo je zastarelo u korist CSP-a. |
| X-Content-Type-Options | Ovo je podešeno na nosniff sve odgovore na osnovna sredstva. |
| Content-Security-Policy | Ovo se postavlja ako korisnik omogućava CSP. |
| X-XSS-zaštita | Ovo je zastarelo u korist CSP-a. |
Gde mogu da pronađem Power Platform ili Dynamics 365 testove penetracije?
Najnoviji testovi penetracije i bezbednosne procene mogu se pronaći na Microsoft portalu za pouzdanost usluga.
Belešku
Da biste pristupili nekim resursima na portalu za pouzdanost usluge, morate se prijaviti kao ovlašćeni korisnik pomoću Microsoft naloga za usluge u oblaku (nalog organizacije) iMicrosoft Entra pregledati i prihvatiti Microsoft ugovor o neotkrivanju materijala za usaglašenost.
Srodni članci
Bezbednost u usluzi Microsoft Power Platform
Potvrda identiteta u Power Platform uslugama
Povezivanje sa izvorima podataka i potvrda identiteta u njima
Skladište podataka u usluzi Power Platform