Power Platform güvenliği hakkında SSS
Power Platform güvenliği hakkında genel olarak sorulan sorular iki kategoriye ayrılır:
Power Platform, ilk 10 Open Web Application Security Project® (OWASP) risklerini azaltmaya yardımcı olmak için nasıl tasarlanmıştır
Müşterilerimizin sorduğu sorular
En son bilgileri bulmanızı kolaylaştırmak için, yeni sorular bu makalenin sonuna eklenir.
OWASP ilk 10 risk: Power Platform'da risk azaltma
Open Web Application Security Project® (OWASP), yazılımın güvenliğini artırmak için çalışan kar amacı gütmeyen bir kurumdur. Topluluk LED'i üzerinden açık kaynak yazılım projeleri, dünya çapında yüzlerce bölüm, binlerce üye ve önde gelen eğitim ve eğitim konferansları sayesinde, OWASP kurucusu Web'in güvenliğini sağlamak için geliştiricilerin ve teknolojik kaynakların kaynağıdır.
OWASP ilk 10, geliştiriciler ve web uygulaması güvenliğiyle ilgilenen diğer kişiler için standart bir farkındalık belgesidir. Web uygulamalarının en kritik güvenlik riskleri hakkında geniş çaplı bir fikir birliğini temsil eder. Bu bölümde, Power Platform'un bu riskleri hafifletmeye nasıl yardımcı olacağı ele alınacaktır.
A01:2021 Bozuk Erişim Denetimi
- Power Platform güvenlik modeli, En Az Ayrıcalıklı Erişim (LPA) üzerine kurulmuştur. LPA, müşterilerin daha ayrıntılı erişim denetimiyle uygulama oluşturmasına olanak sağlar.
- Power Platform, endüstri standardı OAuth 2.0 prtokolü ile tüm API çağrılarının kimlik doğrulaması için Microsoft Entra ID'nin (Microsoft Entra ID) Microsoft Kimlik Platformunu kullanır.
- Power Platform'un temelindeki verileri sağlayan Dataverse ortam düzeyinde, rol tabanlı, kayıt ve alan düzeyinde güvenlik içeren zengin bir güvenlik modeline sahiptir.
Hareket halindeki veriler:
- Power Platform, tüm HTTP tabanlı ağ trafiğini şifrelemek için TLS kullanır. Müşteri verilerini veya gizli verileri içeren HTTP olmayan ağ trafiğini şifrelemek için başka mekanizmalar kullanır.
- Power Platform, HTTP Kesin Aktarım Güvenliğini (HSTS) sağlayan güçlendirilmiş bir TLS yapılandırması kullanır:
- TLS 1.2 veya üstü
- ECDHE tabanlı şifreme paketleri ve NIST eğrileri
- Güçlü anahtarlar
Bekleyen veriler:
- Tüm müşteri verileri, geçici olmayan depolama ortamına yazılmadan önce şifrelenir.
Power Platform, ekleme saldırılarını engellemek için aşağıdakiler gibi endüstri standardındaki en iyi uygulamaları kullanır:
- Güvenli API'Ları parametreli arabirimlerle kullanma
- Girişi silmek için ön uç altyapılarının gelişen yeteneklerini uygulama
- Sunucu tarafı doğrulaması ile çıktıyı Temizleme
- Oluşturma zamanı sırasında statik çözümleme araçlarını kullanma
- Kod, tasarım veya altyapının güncelleştirilmiş olup olmadığını görmek için her altı ayda bir her bir hizmetin Tehdit Modelini gözden geçirin
A04:2021 – Güvenli Olmayan Tasarım
- Power Platform, güvenli tasarım kültürü ve metodolojisi üzerine kurulmuştur. Kültür ve metodoloji, Microsoft'un endüstri lideri Güvenlik Geliştirme Yaşam Döngüsü (SDL) ve Tehdit Modelleme uygulamaları ile sürekli olarak güçlendirilmektedir.
- Tehdit Modellemesi gözden geçirme süreci, tehditlerin tasarım aşamasında tanımlanmasını, etkisini azaltmayı ve etkilerinin azaltıldığından emin olmak üzere doğrulanmasını sağlar.
- Tehdit Modelleme, ayrıca sürekli düzenli incelemelerde zaten etkin olan hizmetlerdeki tüm değişiklikleri de hesaplar. STRIDE modeline dayanarak, güvenli olmayan tasarımlarla ilgili en yaygın sorunların ele alınmasına yardımcı olur.
- Microsoft'un SDL hizmeti, OWASP Yazılım Güvencesi Olgunluk Modeli (SAMM) ile eşdeğerdir. Her ikisi de, güvenli tasarımın web uygulama güvenliğinin ayrılmaz parçası olduğu yaklaşımıyla oluşturulmuştur.
A05:2021 Güvenlik Yanlış Yapılandırması
- "Varsayılan Engelleme", Power Platform tasarım ilkelerinin temel parçalarından biridir. "Varsayılan Engelleme" seçeneğiyle, müşterilerin yeni özellikleri ve yapılandırmaları gözden geçirmesi ve kabul etmesi gerekir.
- Oluşturma sırasında oluşan hatalı yapılandırmalar Güvenli Geliştirme Araçları kullanılarak tümleşik güvenlik çözümlemesi aracılığıyla yakalanır.
- Buna ek olarak , Power Platform Dinamik Analiz Güvenlik Testi (DAST) aracılığıyla, OWASP İlk 10 riskleri üzerine kurulmuş bir dahili servis kullanılarak ilerler.
A06:2021 Etkilenen ve Süresi Geçmiş Bileşenler
- Power Platform, açık kaynak ve üçüncü taraf bileşenlerini yönetmek için Microsoft'un SDL uygulamalarını izler. Bu uygulamalar arasında tam envanteri koruma, güvenlik analizleri gerçekleştirme, bileşenleri güncel tutma, bileşenlerin denenmiş ve test edilmiş güvenlik olayı yanıtı süreciyle uyumlu olmasını sağlama bulunur.
- Nadiren de olsa, bazı uygulamalar dış bağımlılıklar nedeniyle güncelliğini yitirmiş bileşenlerin kopyalarını içerebilir. Ancak, bu bağımlılıklar daha önce özetlenen yöntemlere uygun şekilde giderildikten sonra bileşenler izlenir ve güncelleştirilir.
A07 2021 Kimlik ve Kimlik Doğrulaması hataları
- Power Platform, Microsoft Entra ID kimlik tanılama ve kimlik doğrulama üzerinde kuruludur ve buna bağlıdır.
- Microsoft Entra, Power Platform'un güvenli özellikleri etkinleştirmesine yardımcı olur. Bu özellikler arasında çoklu oturum açma, çok faktörlü kimlik doğrulaması ve dahili ve harici kullanıcılarla daha güvenli etkileşim için tek platform bulunur.
- Power Platform'un yaklaşan Microsoft Entra ID Sürekli Erişim Değerlendirmesi (CAE) uygulamasıyla kullanıcı kimlik tanımlama ve kimlik doğrulama daha da güvenli ve güvenilir olacaktır.
A08:2021 Yazılım ve Veri Bütünlüğü Hataları
- Power Platform'un Bileşen İdaresi süreci, paket kaynak dosyalarının güvenle yapılandırılmasını zorlayarak yazılım bütünlüğünün korunmasını sağlar.
- İşlem yalnızca dahili kaynaklı paketlerin değiştirme saldırısına karşı kullanılmasını sağlar. Bağımlılık karışıklığı olarak da bilinen değiştirme saldırısı, uygulama oluşturma işlemini güvenli kurumsal ortamlarda zararlı kılmak için kullanılabilecek bir tekniktir.
- Tüm şifrelenmiş verilere aktarılmadan önce bütünlük koruması uygulanır. Gelen şifrelenmiş veriler için mevcut tüm bütünlük koruması meta verileri doğrulanır.
OWASP ilk 10 Az Kod/Kod İçermeme riski: Power Platform'da risk azaltma
OWASP tarafından yayınlanan ilk 10 Az Kod/Kod İçermeme güvenlik riskinin azaltılmasına ilişkin rehberlik için şu belgeye bakın:
Power Platform - OWASP Az Kod/Kod İçermeme İlk 10 Riski (Nisan 2024)
Müşterilerden gelen genel güvenlik soruları
Aşağıdaki, müşterilerimizin sorduğu güvenlik sorularından bazıları yer almaktadır.
Power Platform tıklama kaçırma risklerinden korunmanıza nasıl yardımcı olur?
Tıklama kaçırma kullanıcının bir web sayfasıyla etkileşimlerini çalmak için diğer bileşenlerle birlikte gömülü iframe'ler kullanır. Özellikle oturum açma sayfaları için önemli bir tehdittir. Power Platform, oturum açma sayfalarında iframe kullanımını önleyerek tıklama kaçırma riskinin önemli ölçüde azaltır.
Ayrıca, kuruluşlar gömme işlemlerini güvenilir etki alanlarıyla sınırlamak için İçerik Güvenliği İlkesi (CSP) kullanabilirler.
Power Platform İçerik Güvenliği İlkesini destekler mi?
Power Platform, model temelli uygulamalar için İçerik güvenliği ilkesini (CSP) destekler. CSP'nin yerini alan aşağıdaki üst bilgiler desteklenmez:
X-XSS-ProtectionX-Frame-Options
SQL Server'a güvenli bir şekilde nasıl bağlanabiliriz?
Bkz. Power Apps ile Microsoft SQL Server'ı güvenle kullanma.
Power Platform Hangi şifreleri destekler? Güçlü şifrelerle sürekli hareket eden yol haritası nedir?
Tüm Microsoft Hizmetleri ve ürünleri, onaylı şifre paketlerini, Microsoft Şifreleme Panosu tarafından belirtildiği gibi tam sırada kullanmak üzere yapılandırılmıştır. Tam liste ve tam sıralama için Power Platform belgelerine bakın.
Şifre paketlerinin kullanımdan kaldırılmasına ilişkin bilgiler, Power Platform'un Önemli Değişiklikler belgesi aracığıyla duyurulur.
Power Platform daha zayıf kabul edilen RSA-CBC şifreleri (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ve TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) desteklemeye neden hala devam ediyor?
Microsoft, şifreleme paketleri desteğini seçerken göreli riski ve müşteri işlemlerindeki kesintileri de göz önünde bulundurur. RSA-CBC şifre paketleri henüz bozulmadı. Hizmetlerimiz ve ürünlerimiz arasında tutarlılığı sağlamak ve tüm müşteri yapılandırmalarını desteklemek için bunları etkinleştirdik. Ancak bunlar öncelik listesinin en altında yer almaktadır.
Bu şifreler doğru zamanda kullanım dışı bırakılacaktır. Microsoft Şifreleme Panosu'nun sürekli değerlendirmeleri temel alınacaktır.
Power Automate neden tetikleyici/eylem girişleri ve çıkışlarında MD5 içerik karmaları gösterir?
Power Automate, Azure Depolama tarafından gönderilen isteğe bağlı içerik-MD5 karma değerini istemcilerine olduğu gibi geçirir. Bu karma, Azure Depolama tarafından aktarım sırasında sayfanın bütünlüğünü doğrulama algoritması olarak doğrulamak için kullanılır ve Power Automate'te güvenlik amacıyla şifreleme karması işlevi olarak kullanılmaz. Bu konuda daha fazla ayrıntıyı Azure Depolama belgelerinde Blob Özelliklerini Almaİstek Başlıklarıyla çalışma konularında bulabilirsiniz.
Power Platform, Dağıtılmış Hizmet Reddi (DDoS) saldırılarına karşı nasıl koruma sağlar?
Power Platform, Microsoft Azure üzerinde oluşturulmuştur ve DDoS saldırılarına karşı koruma sağlamak için Azure DDoS Koruması'nı kullanır.
Power Platform, yazılım kilitleri kırılmış iOS cihazlarını ve kök Android cihazlarını, kuruluş verilerini korumaya yardımcı olmak için algılar mı?
Microsoft Intune kullanmanızı öneririz. Intune, bir mobil cihaz yönetimi çözümüdür. Kullanıcıların ve cihazların belirli gereksinimleri karşılamasına gerek kalmadan kuruluş verilerinin korunmasına yardımcı olabilir. Daha fazla bilgi edinmek için bkz. Intune uyumluluk ilkesi ayarları.
Oturum tanımlama bilgileri neden ana etki alanının kapsamında?
Power Platform, kuruluşlar arasında kimlik doğrulamasına izin vermek için ana etki alanında oturum tanımlama bilgilerini kapsar. Alt etki alanları güvenlik sınırları olarak kullanılmaz. Ayrıca müşteri içeriğini barındırmazlar.
Uygulama oturumunu nasıl zaman aşımına getirdiğini, daha sonra, diyelim, 15 dakika içinde ayarlayabiliriz?
Power Platform, Microsoft Entra ID kimlik ve eirşim yönetimini kullanır. Optimum kullanıcı deneyimi için Microsoft Entra ID'nin önerilen oturum yönetimi yapılandırmasını izler.
Ancak ortamları açık oturum ve/veya etkinlik zaman aşımlarına sahip olacak şekilde özelleştirebilirsiniz. Daha fazla bilgi için Güvenlik geliştirmeleri: Kullanıcı oturumu ve erişim yönetimi bölümüne bakın.
Power Platform'un yaklaşan Microsoft Entra ID Sürekli Erişim Değerlendirmesi uygulamasıyla kullanıcı kimlik tanımlama ve kimlik doğrulama daha da güvenli ve güvenilir olacaktır.
Uygulama aynı kullanıcının birden çok makineden veya tarayıcıdan aynı anda erişmesini sağlar. Bunu nasıl engelleyebilirim?
Uygulamaya birden çok cihazdan veya tarayıcıdan aynı anda erişmek kullanıcılar açısından kullanışlıdır. Power Platform'un yaklaşan Microsoft Entra ID Sürekli Erişim Değerlendirmesi uygulaması, erişimin yetkili cihazlar ve tarayıcılardan ve hala geçerli olduğunu sağlamaya yardımcı olacaktır.
Bazı Power Platform hizmetleri neden sunucu üstbilgilerini ayrıntılı bilgilerle gösterir?
Power Platform hizmetleri, sunucu üstbilgisindeki gereksiz bilgileri kaldırmak için çalışmıştır. Hedef, genel güvenlik duruşunu zayıflatabilecek bilgilerin gösterilmesi riski ile ayrıntı düzeyi arasında denge sağlamaktır.
Log4J güvenlik açıkları Power Platform'u nasıl etkiler? Müşterilerin bu konuda ne yapması gerekir?
Microsoft, Log4J güvenlik açıklarının Power Platform'u etkilemediğini değerlendirmiştir. Log4j güvenlik açıklarını önleme, algılama ve bu açıklardan yararlanma konusundaki blog gönderimize göz atın.
Tarayıcı uzantıları veya devre dışı denetimin etkinleştirilmesine izin veren Birleşik Arabirim istemci apı 'leri nedeniyle yetkisiz işlemler olmadığını nasıl güvence altına almaya dikkat ettik?
Devre dışı bırakılan denetimler kavramı Power Apps güvenlik modelinin parçası değildir. Denetimleri devre dışı bırakma bir kullanıcı arabirimi geliştirmesidir. Güvenliği sağlamak için devre dışı bırakılan denetimlere güvenilmemelidir. Bunun yerine, izin verilmeyen işlemleri engellemek için alan düzeyinde güvenlik gibi Dataverse denetimlerini kullanın.
Yanıt verilerini korumak için hangi HTTP güvenlik üst bilgileri kullanılır?
| Adı | Details |
|---|---|
| Strict-Transport-Security | Bu, tüm yanıtlarda max-age=31536000; includeSubDomains olarak ayarlanır. |
| X-Frame-Options | Bu, CSP lehine kullanımdan kaldırılmıştır. |
| X-Content-Type-Options | Bu, tüm varlık yanıtlarında nosniff olarak ayarlanır. |
| Content-Security-Policy | Bu, kullanıcı CSP'yi etkinleştirirse ayarlanır. |
| X-XSS-Protection | Bu, CSP lehine kullanımdan kaldırılmıştır. |
Power Platform veya Dynamics 365 sızma testlerini nerede bulabilirim?
En son sızma testleri ve güvenlik değerlendirmeleri, Microsoft servis güven portalı'nda bulunabilir.
Not
Servis güven portalınızdaki bazı kaynaklara erişmek için, Microsoft bulut hizmetleri hesabınızla kimliği doğrulanmış bir kullanıcı olarak oturum açmalısınız (Microsoft Entra kuruluş hesabı) ve uyumluluk malzemeleri için Microsoft açıklama olmayan sözleşmeyi gözden geçirip kabul etmeniz gerekir.
İlgili makaleler
Microsoft Power Platform uygulamasında güvenlik
Power Platform hizmetlerinde kimlik doğrulama
Veri kaynaklarına bağlanma ve kimlik doğrulama
Power Platform'da Veri depolama