แชร์ผ่าน

การรักษาความปลอดภัยใน Microsoft Power Platform

  • บทความ

Power Platform ช่วยให้สามารถสร้างโซลูชันแบบครอบคลุมได้อย่างรวดเร็วและง่ายดายในความช่วยเหลือของนักพัฒนาทั้งที่ไม่ใช่มืออาชีพและมืออาชีพ การรักษาความปลอดภัยเป็นสิ่งสำคัญสำหรับโซลูชันเหล่านี้ Power Platform สร้างขึ้นเพื่อให้การป้องกันระดับแนวหน้าของอุตสาหกรรม

องค์กรต่างๆ กำลังเร่งการเปลี่ยนผ่านสู่ระบบคลาวด์ โดยผสมผสานเทคโนโลยีขั้นสูงในการดำเนินงานและการตัดสินใจทางธุรกิจ พนักงานจำนวนมากขึ้นทำงานจากระยะไกล ความต้องการของลูกค้าสำหรับบริการออนไลน์เพิ่มสูงขึ้น การรักษาความปลอดภัยของโปรแกรมประยุกต์ในองค์กรแบบดั้งเดิมไม่เพียงพออีกต่อไป องค์กรต้องมองหาโซลูชันการรักษาความปลอดภัยเชิงลึกที่มีการป้องกันเชิงลึกบนระบบคลาวด์หลายระดับสำหรับข้อมูลข่าวกรองธุรกิจเป็น Power Platform หลายหน่วยงานความมั่นคงแห่งชาติ สถาบันการเงิน และผู้ให้บริการด้านสุขภาพหลายแห่งมอบข้อมูลที่ละเอียดอ่อนที่สุดให้กับ Power Platform

Microsoft ได้ลงทุนมหาศาลในการรักษาความปลอดภัยตั้งแต่กลางปี 2000 วิศวกรของ Microsoft มากกว่า 3,500 คนทำงานเชิงรุกเพื่อจัดการกับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา ความปลอดภัยของ Microsoft เริ่มต้นที่ BIOS kernel บนชิปและขยายไปสู่ประสบการณ์ผู้ใช้ ทุกวันนี้ กองรักษาความปลอดภัยของเรานั้นล้ำหน้าที่สุดในอุตสาหกรรม Microsoft ถูกมองว่าเป็นผู้นำระดับโลกในการต่อสู้กับผู้มุ่งร้าย คอมพิวเตอร์หลายพันล้านเครื่อง การเข้าสู่ระบบหลายล้านล้านครั้ง และข้อมูลจำนวนนับไม่ถ้วนที่มอบหมายให้การปกป้องของ Microsoft

Power Platform สร้างขึ้นบนรากฐานที่แข็งแกร่งนี้ ซึ่งใช้กองรักษาความปลอดภัยเดียวกันกับที่ได้รับสิทธิ์ในการบริการและปกป้องข้อมูลที่ละเอียดอ่อนที่สุดในโลกของ Azure และรวมเข้ากับเครื่องมือปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดขั้นสูงที่สุดของ Microsoft 365 Power Platform มอบการป้องกันแบบครอบคลุมที่ออกแบบโดยคำนึงถึงข้อกังวลที่ท้าทายที่สุดของลูกค้าในยุคระบบคลาวด์:

  • เราจะควบคุมได้อย่างไรว่าใครสามารถเชื่อมต่อ เชื่อมต่อจากที่ใด และเชื่อมต่ออย่างไร เราจะควบคุมการเชื่อมต่อได้อย่างไร
  • ข้อมูลของเราถูกจัดเก็บอย่างไร มีการเข้ารหัสลับอย่างไร เรามีการควบคุมอะไรบ้างในข้อมูลของเรา
  • เราจะควบคุมและปกป้องข้อมูลที่ละเอียดอ่อนของเราได้อย่างไร เราจะมั่นใจได้อย่างไรว่าข้อมูลของเราจะไม่รั่วไหลออกนอกองค์กร
  • เราจะตรวจสอบได้อย่างไรว่าใครสามารถทำอะไรได้บ้าง เราจะตอบสนองอย่างรวดเร็วได้อย่างไรหากเราตรวจพบกิจกรรมที่น่าสงสัย

การควบคุม

บริการ Power Platform ถูกควบคุมโดย เงื่อนไขบริการออนไลน์ของ Microsoft และ คำชี้แจ้งสิทธิส่วนบุคคลขององค์ของ Microsoft สำหรับตำแหน่งที่ตั้งของการประมวลผลข้อมูล โปรดอ้างอิงเงื่อนไขบริการออนไลน์ของ Microsoft และ เอกสารแนบท้ายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

ศูนย์ความเชื่อถือของ Microsoft เป็นทรัพยากรหลักสำหรับข้อมูลการปฏิบัติตามกฎระเบียบ Power Platform เรียนรู้เพิ่มเติมที่ ข้อเสนอการปฏิบัติตามกฎระเบียบของ Microsoft

บริการ Power Platform เป็นไปตามวัฏจักรการพัฒนาความปลอดภัย (SDL) SDL คือชุดของแนวทางปฏิบัติที่เข้มงวดซึ่งสนับสนุนข้อกำหนดด้านการประกันความปลอดภัยและการปฏิบัติตามข้อกำหนด เรียนรู้เพิ่มเติมที่ แนวทางปฏิบัติวัฏจักรการพัฒนาความปลอดภัยของ Microsoft

แนวคิดด้านการรักษาความปลอดภัย Power Platform ทั่วไป

Power Platform รวมถึงบริการต่างๆ แนวคิดด้านความปลอดภัยบางส่วนที่เราจะกล่าวถึงในชุดข้อมูลนี้มีผลกับแนวคิดทั้งหมด แนวคิดอื่นมีความเฉพาะเจาะจงสำหรับบริการส่วนบุคคล ที่ซึ่งแนวคิดด้านความปลอดภัยแตกต่างกัน เราจะแยกออกมา

แนวคิดความปลอดภัยโดยทั่วไปของบริการ Power Platform ทั้งหมดรวม:

สถาปัตยกรรมบริการ Power Platform

บริการ Power Platform ต่างๆ สร้างขึ้นบน Azure ซึ่งเป็นแพลตฟอร์มการประมวลผลแบบคลาวด์ของ Microsoft สถาปัตยกรรมการบริการ Power Platform ประกอบด้วยสี่องค์ประกอบ:

  • คลัสเตอร์ Front-End ของเว็บ
  • คลัสเตอร์แบ็คเอนต์
  • โครงสร้างพื้นฐานระดับพรีเมียม
  • แพลตฟอร์มมือถือ

คลัสเตอร์ Front-End ของเว็บ

นำไปใช้กับบริการ Power Platform ที่แสดงเว็บ UI คลัสเตอร์ Front-End ของเว็บให้หน้าหลักบริการหรือโปรแกรมประยุกต์ไปยังเบราว์เซอร์ของผู้ใช้ ซึ่งใช้ Microsoft Entra เพื่อรับรองความถูกต้องของไคลเอ็นต์ในขั้นต้น และจัดเตรียมโทเค็นสำหรับการเชื่อมต่อไคลเอ็นต์ในภายหลังให้กับบริการแบ็คเอนด์ Power Platform

แผนภาพที่แสดงให้เห็นวิธีที่คลัสเตอร์ Front-End ของเว็บ Power Platform ทำงานร่วมกับสภาพแวดล้อมบริการแอป Azure, ASP.NET และคลัสเตอร์แบ็คเอนด์บริการ Power Platform

คลัสเตอร์ Front-End ของเว็บประกอบด้วยเว็บไซต์ ASP.NET ที่ทำงานในสภาพแวดล้อมบริการแอป Azure เมื่อผู้ใช้เยี่ยมชมบริการหรือโปรแกรมประยุกต์ Power Platform บริการ DNS ของไคลเอ็นต์อาจได้รับศูนย์ข้อมูล (มักจะอยู่ใกล้ที่สุด) ที่เหมาะสมที่สุดจากตัวจัดการปริมาณการใช้งานของ Azure สำหรับข้อมูลเพิ่มเติม ดู ประสิทธิภาพก็รับส่งข้อมูลวิธีการกำหนดเส้นทางสำหรับตัวจัดการปริมาณการใช้งานของ Azure

คลัสเตอร์ Front-End ของเว็บจะจัดการลำดับการเข้าสู่ระบบและการรับรองความถูกต้อง ซึ่งได้รับโทเค็นการเข้าใช้ Microsoft Entra หลังจากรับรองความถูกต้องของผู้ใช้แล้ว ส่วนประกอบ ASP.NET จะแยกวิเคราะห์โทเค็นเพื่อกำหนดว่าผู้ใช้เป็นสมาชิกขององค์กรใด จากนั้นส่วนประกอบจะปรึกษาบริการแบ็คเอนด์ส่วนกลาง Power Platform เพื่อระบุเบราว์เซอร์ที่คลัสเตอร์แบ็คเอนด์จัดเก็บผู้เช่าขององค์กร การโต้ตอบกับไคลเอ็นต์ที่ตามมาเกิดขึ้นกับคลัสเตอร์แบ็คเอนด์โดยตรง โดยไม่ต้องใช้ตัวกลาง Front-End ของเว็บ

เบราว์เซอร์ดึงทรัพยากรแบบคงที่ เช่น .js, .css และไฟล์รูปภาพ ส่วนใหญ่มาจากเครือข่ายการให้บริการเนื้อหา (CDN) ของ Azure การปรับใช้คลัสเตอร์ Sovereign Government เป็นข้อยกเว้น ด้วยเหตุผลด้านการปฏิบัติตามกฎระเบียบ การปรับใช้เหล่านี้จะละเว้น Azure CDN แต่จะใช้คลัสเตอร์ Front-End ของเว็บจากภูมิภาคที่สอดคล้องเพื่อโฮสต์เนื้อหาแบบคงที่แทน

คลัสเตอร์แบ็คเอนต์ Power Platform

คลัสเตอร์แบ็คเอนต์เป็นแกนหลักของฟังก์ชันทั้งหมดที่มีอยู่ในบริการ Power Platform ประกอบด้วยจุดสิ้นสุดบริการ บริการทำงานเบื้องหลัง ฐานข้อมูล แคช และส่วนประกอบอื่นๆ

แบ็คเอนด์พร้อมใช้งานในภูมิภาค Azure ส่วนใหญ่ และปรับใช้ในภูมิภาคใหม่เมื่อพร้อมใช้งาน หนึ่งภูมิภาคสามารถโฮสต์หลายคลัสเตอร์ได้ การกำหนดค่านี้ช่วยให้บริการ Power Platform ปรับขนาดแนวนอนไม่จำกัดหลังจากถึงขีดจำกัดการปรับขนาดแนวตั้งและแนวนอนของคลัสเตอร์เดียว

คลัสเตอร์แบ็คเอนด์มีสถานะ คลัสเตอร์แบ็คเอนด์โฮสต์ข้อมูลทั้งหมดของผู้เช่าทั้งหมดที่ได้รับมอบหมาย คลัสเตอร์ที่มีข้อมูลของผู้เช่าเฉพาะจะเรียกว่าคลัสเตอร์หลักของผู้เช่า ข้อมูลเกี่ยวกับคลัสเตอร์เริ่มต้นของผู้ใช้ที่รับรองความถูกต้องนั้นให้บริการโดยบริการแบ็คเอนด์ส่วนกลาง Power Platform แก่คลัสเตอร์ Front End ของเว็บ Front-End ของเว็บใช้ข้อมูลเพื่อกำหนดเส้นทางคำขอไปยังคลัสเตอร์แบ็คเอนด์เริ่มต้นของผู้เช่า

ข้อมูลเมตาและข้อมูลของผู้เช่าถูกจัดเก็บไว้ภายในขีดจำกัดของคลัสเตอร์ ข้อยกเว้นคือการจำลองข้อมูลไปยังคลัสเตอร์แบ็คเอนด์สำรองที่อยู่ในขอบเขตที่จับคู่กันในภูมิศาสตร์ Azure เดียวกัน คลัสเตอร์สำรองทำหน้าที่เป็นเฟลโอเวอร์ หากเกิดการขัดข้องในระดับภูมิภาค และเป็นแบบแพสซีฟเมื่อใดก็ได้ บริการไมโครที่ทำงานบนเครื่องต่างๆ ในเครือข่ายเสมือนของคลัสเตอร์ยังให้บริการฟังก์ชันแบ็คเอนด์อีกด้วย บริการแบบไมโครเหล่านี้สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะเพียงสองบริการเท่านั้น:

  • บริการเกตเวย์
  • การจัดการ API ของ Azure

ไดอะแกรมบริการแบ็กเอนด์ของ Power Platform แสดงสามส่วนหลัก: บริการ API และเกตเวย์ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ และการรวบรวมบริการแบบไมโครที่เป็นส่วนตัว

โครงสร้างพื้นฐาน Power Platform ระดับพรีเมียม

Power Platform ระดับพรีเมียมให้การเข้าถึงชุดตัวเชื่อมต่อแบบขยายเป็นบริการแบบชำระเงิน ผู้ผลิต Power Platform ไม่ได้ถูกจำกัดในการใช้ตัวเชื่อมต่อระดับพรีเมียม แต่ผู้ใช้แอปนั้นถูกจำกัด คือผู้ใช้ปลายทางของแอปที่รวมถึงตัวเชื่อมต่อระดับพรีเมียมต้องมีใบอนุญาตให้ใช้งานที่ถูกต้องเพื่อเข้าถึงตัวเชื่อมต่อพรีเมียมเหล่านี้ บริการแบ็คเอนด์ Power Platform กำหนดว่าผู้ใช้มีสิทธิ์เข้าถึงตัวเชื่อมต่อระดับพรีเมียมหรือไม่

แพลตฟอร์มมือถือ

Power Platform สนับสนุนแอปพลิเคชัน Android, iOS และ Windows (UWP) ข้อควรพิจารณาเกี่ยวกับความปลอดภัยสำหรับแอปบนมือถือมีอยู่สองประเภท:

  • การติดต่อสื่อสารของอุปกรณ์
  • โปรแกรมประยุกต์และข้อมูลบนอุปกรณ์

การติดต่อสื่อสารของอุปกรณ์

แอป Power Platform บนมือถือใช้ลำดับการเชื่อมต่อและการตรวจสอบสิทธิ์เดียวกันกับที่เบราว์เซอร์ใช้ แอป Android และ iOS เปิดเซสชันเบราว์เซอร์ในแอป แอพ Windows ใช้นายหน้าเพื่อสร้างช่องทางการสื่อสารกับบริการ Power Platform สำหรับกระบวนการลงชื่อเข้าใช้

ตารางต่อไปนี้แสดงการสนับสนุนใบรับรอง (CBA) สำหรับแอปบนมือถือ:

ฝ่ายสนับสนุน CBA iOS Android หน้าต่าง
ลงชื่อเข้าใช้การบริการ รองรับ รองรับ ไม่รองรับ
SSRS ADFS ในองค์กร (เชื่อมต่อกับเซิร์ฟเวอร์ SSRS) ไม่รองรับ รองรับ ไม่รองรับ
พร็อกซีแอป SSRS รองรับ รองรับ ไม่รองรับ

แอปบนมือถือสื่อสารกับบริการ Power Platform สถิติการใช้แอปและข้อมูลที่คล้ายกันจะถูกส่งไปยังบริการที่ตรวจสอบการใช้งานและกิจกรรม ไม่รวมข้อมูลลูกค้า

โปรแกรมประยุกต์และข้อมูลบนอุปกรณ์

แอปบนมือถือและข้อมูลที่ต้องการจะถูกเก็บไว้อย่างปลอดภัยบนอุปกรณ์ Microsoft Entra และโทเค็นการรีเฟรชจะถูกจัดเก็บโดยใช้มาตรการรักษาความปลอดภัยมาตรฐานอุตสาหกรรม

ข้อมูลที่แคชไว้ในอุปกรณ์ประกอบด้วยข้อมูลแอป การตั้งค่าผู้ใช้ แดชบอร์ดและรายงานที่เข้าถึงในเซสชันก่อนหน้า แคชถูกเก็บไว้ใน sandbox ในที่จัดเก็บข้อมูลภายใน แคชสามารถเข้าถึงได้เฉพาะแอปและระบบปฏิบัติการสามารถเข้ารหัสได้

  • iOS: การเข้ารหัสเป็นแบบโดยอัตโนมัติเมื่อผู้ใช้ตั้งรหัสผ่าน
  • การเข้ารหัส Android สามารถกำหนดค่าได้ในการตั้งค่า
  • Windows: BitLocker จัดการการเข้ารหัส

การเข้ารหัสระดับไฟล์ Microsoft Intune สามารถใช้เพื่อปรับปรุงการเข้ารหัสข้อมูล Intune เป็นบริการซอฟต์แวร์ที่ให้การจัดการอุปกรณ์มือถือและโปรแกรมประยุกต์ ทั้งสามแพลตฟอร์มมือถือรองรับ Intune ด้วย Intune เปิดใช้งาน และกำหนดค่า ถูกเข้ารหัสลับข้อมูลบนอุปกรณ์เคลื่อนที่ และแอป Power Platform ไม่สามารถติดตั้งบน SD การ์ด

แอป Windows ยังรองรับ การปกป้องข้อมูลของ Windows (WIP)

ข้อมูลที่แคชที่ถูกลบเมื่อผู้ใช้:

  • ถอนการติดตั้งแอป
  • ลงชื่อออกจากบริการ Power Platform
  • ไม่สามารถเข้าสู่ระบบหลังจากเปลี่ยนรหัสผ่านหรือโทเค็นหมดอายุ

ตำแหน่งทางภูมิศาสตร์ถูกเปิดใช้งานหรือปิดใช้งานโดยผู้ใช้อย่างชัดเจน หากเปิดใช้งาน ข้อมูลตำแหน่งทางภูมิศาสตร์จะไม่ถูกบันทึกบนอุปกรณ์และจะไม่แชร์กับ Microsoft

การแจ้งเตือนถูกเปิดใช้งานหรือปิดใช้งานโดยผู้ใช้อย่างชัดเจน หากเปิดใช้งานการแจ้งเตือน Android และ iOS จะไม่รองรับข้อกำหนดด้านถิ่นที่อยู่ของข้อมูลทางภูมิศาสตร์

บริการ Power Platform Mobile ไม่เข้าถึงโฟลเดอร์หรือไฟล์โปรแกรมประยุกต์อื่นบนอุปกรณ์

ข้อมูลการรับรองความถูกต้องโดยใช้โทเค็นบางส่วนจะพร้อมใช้งานสำหรับแอป Microsoft อื่นๆ เช่น Authenticator เพื่อเปิดใช้งานการลงชื่อเพียงครั้งเดียว ข้อมูลนี้จัดการโดย SDK ไลบรารีการรับรองความถูกต้อง Microsoft Entra

การตรวจสอบสิทธิ์ไปยังบริการ Power Platform
การเชื่อมต่อและรับรองความถูกต้องกับแหล่งข้อมูล
การจัดเก็บข้อมูลใน Power Platform
Power Platform คำถามที่ถามบ่อยเกี่ยวกับความปลอดภัย

ดูเพิ่มเติม