Запитання й відповіді щодо безпеки Power Platform

Поширені запитання щодо безпеки Power Platform можна поділити на дві категорії.

• Як Power Platform допомагає зменшити 10 основних ризиків у проектах Open Web Application Security Project® (OWASP)

• Запитання, які ставлять наші клієнти

Щоб полегшити пошук найновіших відомостей, нові запитання додаються наприкінці цієї статті.

10 основних ризиків OWASP: усунення ризиків у Power Platform

Open Web Application Security Project® (OWASP) – це некомерційна спільнота, яка покращує безпеку програмного забезпечення. Завдяки проектам програмного забезпечення з відкритим кодом під керівництвом спільноти, сотням підрозділів по всьому світові, десяткам тисяч учасників та провідним навчальним і практичним конференціям OWASP Foundation є джерелом для розробників і технологів для забезпечення безпеки в інтернеті.

OWASP Top 10 – це стандартний документ для розробників та інших осіб, які зацікавлені в безпеці вебпрограм. Він являє собою загальний консенсус щодо найважливіших ризиків безпеки вебпрограм. У цьому розділі ми обговорюємо, як Power Platform допомагає зменшити ці ризики.

A01:2021 Зламаний контроль доступу

• Модель безпеки Power Platform створено на найменш привілейованому доступі (LPA). LPA лає змогу клієнтам створювати програми з більш деталізованим керуванням доступом.
• Power Platform використовує Microsoft Entra платформу ID (Microsoft Entra ID) Microsoft Identity Platform для авторизації всіх викликів API за допомогою стандартного OAuth протоколу 2.0.
• Dataverse, яка надає початкові дані для Power Platform, має розширену модель безпеки, яка охоплює безпеку на рівні середовища, на основі ролей, на рівні записів і полів.

A02:2021 Криптографічні збої

Дані, що передаються

• Power Platform використовує TLS для шифрування всього мережевого трафіку на основі HTTP. У ньому використовуються інші механізми для шифрування мережевого трафіку без HTTP, який містить дані клієнтів або конфіденційні дані.
• Power Platform застосовує посилену конфігурацію TLS, що використовує технологію HTTP HTTP Strict Transport Security (HSTS):
  • TLS 1.2 або вище
  • Набори шифрів і криві NIST на основі ECDHE
  • Надійні ключі

Дані, що зберігаються:

• Всі дані клієнта шифруються перед записом на енергонезалежні носії інформації.

A03:2021 Ін’єкція

Power Platform використовує галузеві найкращі практики для запобігання ін’єкційним атакам, зокрема:

• використання безпечних API з параметризованими інтерфейсами;
• застосування можливостей клієнтських середовищ, що постійно розвиваються, з метою очищення вхідних даних;
• очищення вихідних даних із перевіркою на сервері;
• використання інструментів статичного аналізу під час створення;
• перегляд моделі загроз для кожної служби кожні шість місяців щодо оновлення коду, дизайну чи інфраструктури

A04:2021 Ненадійний дизайн

• Power Platform створено на основі культури й методології безпечного дизайну. Культура й методологія постійно зміцнюються за допомогою провідних галузевих принципів розробки безпечного ПЗ (Security Development Lifecycle, SDL) і практик моделювання загроз.
• Процес перевірки моделювання загроз гарантує виявлення, зменшення та перевірення загроз під час проектування з метою зниження їхнього шкідливого впливу.
• Моделювання загроз також передбачає всі зміни в послугах, які вже пройшли регулярні перевірки. Використання моделі STRIDE допоможе вирішити найпоширеніші проблеми з незахищеним дизайном.
• Принципи SDL Microsoft еквівалентні моделі зрілості підтримки програмного забезпечення (Software Assurance Maturity Model, SAMM). Обидві моделі створено з огляду на те, що захищений дизайн є частиною безпеки вебпрограми.

A05:2021 Неправильна конфігурація безпеки

• «Відмова за замовчуванням» – це одна з основ принципів проектування Power Platform. За наявності параметру «Відмова за замовчуванням» клієнти мають переглянути та ввімкнути нові функції й конфігурації.
• Будь-які параметри неправильної конфігурації буде виявлено шляхом інтегрованого аналізу безпеки за допомогою засобів захищеної розробки.
• Крім того, Power Platform підлягає тестуванню безпеки за допомогою динамічного аналізу (Dynamic Analysis Security Testing, DAST) з використанням внутрішньої служби, створеної на основі 10 основних ризиків OWASP.

A06:2021 Вразливі та застарілі компоненти

• Power Platform дотримується рекомендацій SDL Microsoft для керування компонентами з відкритим вихідним кодом і сторонніх постачальників. Ці практики охоплюють підтримання повних запасів, виконання аналізів безпеки, підтримання актуального стану компонентів і припасовування компонентів до випробуваного й перевіреного процесу реагування на інциденти безпеки.
• У поодиноких випадках деякі програми можуть містити копії застарілих компонентів через зовнішні залежності. Однак після усунення цих залежностей відповідно до практик, описаних вище, компоненти будуть відстежуватися й оновлюватися.

A07:2021 Помилки ідентифікації та автентифікації

• Power Platform побудована на ідентифікації та автентифікації ідентифікатора та залежить від них Microsoft Entra .
• Microsoft Entra допомагає Power Platform активувати безпечні функції. Ці функції включають єдиний вхід, багатофакторну автентифікацію та єдину платформу для більш безпечної взаємодії з внутрішніми та зовнішніми користувачами.
• Завдяки Power Platform майбутньому впровадженню Microsoft Entra ID Continuous Access Evaluation (CAE) ідентифікація та автентифікація користувачів стануть ще більш безпечними та надійними.

A08:2021 Збої в роботі програмного забезпечення та цілісності даних

• Процес керування компонентами Power Platform застосовує безпечну конфігурацію вихідних файлів пакетів, щоб забезпечити цілісність програмного забезпечення.
• Процес забезпечує обслуговування лише внутрішніх пакетів для боротьби з атаками заміщення. Атака заміщення (також відома як плутанина залежності) – це метод, який можна використовувати для нанесення шкоди процесу створення програми в захищених корпоративних середовищах.
• Перш ніж передавати будь-які зашифровані дані, до них застосовується захист цілісності. Перевіряється захист цілісності всіх метаданих, наявних для вхідних зашифрованих даних.

Топ-10 ризиків OWASP Low Code/No Code: пом’якшення наслідків у Power Platform

Щоб отримати вказівки щодо пом’якшення 10 основних ризиків безпеки Low Code/No Code, опубліковані OWASP, перегляньте цей документ:

Power Platform - OWASP Low Code No Code Топ-10 ризиків (квітень 2024 року)

Поширені запитання клієнтів щодо безпеки

Далі наведено кілька запитань щодо безпеки від наших клієнтів.

Як Power Platform допомагає захистити дані від клікджекінгу?

Клікджекінг використовує вбудовані фрейми iframe, серед інших компонентів, для захоплення взаємодії користувача з веб-сторінкою. Це значна загроза, зокрема, для сторінок входу. Power Platform запобігає використанню фреймів iframe на сторінках входу, що значно зменшує ризик клікджекінгу.

Крім того, організації можуть використовувати політику безпеки вмісту (Content Security Policy, CSP), щоб обмежити вбудовування надійних доменів.

Чи підтримує Power Platform політику безпеки вмісту?

Power Platform підтримує політику безпеки вмісту (CSP) для модельних програм. Ми не підтримуємо такі заголовки, які замінюються на CSP:

• X-XSS-Protection
• X-Frame-Options

Як безпечно підключатися до SQL Server?

Див. Безпечне використання Microsoft SQL Server з Power Apps.

Які шифри підтримуються Power Platform? Що передбачає дорожня карта постійного руху до надійніших шифрів?

Усі служби та продукти Microsoft настроєно для використання затверджених наборів шифрів у точному порядку, зазначеному Microsoft Crypto Board. Повний список і точний порядок див. в документації Power Platform .

Інформацію про вилучення наборів шифрів наведено в документації Power Platform Важливі зміни .

Чому Power Platform досі підтримує шрифти RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) і TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), які вважаються слабкими?

Корпорація Майкрософт зважує відносний ризик і збої в операціях клієнтів під час вибору шифрів для підтримки. Пакети шифрів RSA-CBC ще не зламано. Вони можуть забезпечувати узгодженість наших служб і продуктів, а також підтримувати всі конфігурації клієнтів. Проте їх розташовано в нижній частині списку пріоритетів.

Ці шифри буде вилучено в потрібний час згідно з безперервним оцінюванням Microsoft Crypto Board.

Чому Power Automate відображує геші вмісту MD5 у вхідних і вихідних даних тригеру й дії?

Power Automate передає своїм клієнтам необов’язкове геш-значення вмісту MD5, що повертається сховищем Azure «як є». Цей геш використовується сховищем Azure, щоб перевірити цілісність сторінки під час перенесення як алгоритму контрольної системи, і він не використовується як криптографічна геш-функція гешування з метою безпеки Power Automate. Докладнішу інформацію про це можна знайти в документації сховища Azure про те, як отримати властивості BLOB-оба та як працювати із заголовками запитів.

Як Power Platform захищає від розподілених атак на відмову в обслуговуванні (Distributed Denial of Service, DDoS)?

Power Platform створено на основі Microsoft Azure, і вона використовує захист Azure від DDoS-атак, щоб захистити від DDoS-атак.

Чи виявляє Power Platform джейлбрейкнуті iOS пристрої та пристрої з root-правом Android для захисту даних організації?

Рекомендуємо використовувати Microsoft Intune. Intune – це рішення для керування мобільними пристроями. Воно допомагає захистити дані організації, вимагаючи від користувачів і пристроїв дотримуватися певних вимог. Для отримання додаткових відомостей див. параметри політики відповідності Intune.

Чому файли cookie сеансу обмежено батьківським доменом?

Power Platform обмежує файли cookie сеансу батьківським доменом, щоб дозволити автентифікацію в організаціях. Піддомени не використовуються як межі безпеки. Вони також не розміщують вміст клієнтів.

Як можна встановити вичерпання часу очікування сеансу програми, наприклад, через 15 хвилин?

Power Platform використовує Microsoft Entra ідентифікатор, ідентифікацію та керування доступом. Він відповідає Microsoft Entra рекомендованій конфігурації керування сеансами ID для оптимальної взаємодії з користувачем.

Проте можна настроїти середовища так, щоб вони мали явне вичерпання часу очікування сеансу і/або дії. Додаткові відомості: Керування сеансами користувачів і доступом.

Завдяки Power Platform майбутньому впровадженню Microsoft Entra ID Continuous Access Evaluation, ідентифікація та аутентифікація користувачів стануть ще більш безпечними та надійними.

Програма дає змогу одному користувачу одночасно отримувати доступ з кількох комп’ютерів або браузерів. Як запобігти цьому?

Користувачам зручно одночасно отримувати доступ до програми з кількох пристроїв або браузерів. Power PlatformМайбутнє впровадження Microsoft Entra ID Continuous Access Evaluation допоможе гарантувати, що доступ здійснюється з авторизованих пристроїв і браузерів і залишається дійсним.

Чому деякі служби Power Platform відображують заголовки сервера з докладною інформацією?

Служби Power Platform працюють, щоб видаляти непотрібні дані із заголовка сервера. Мета полягає в збалансуванні рівня докладної інформації з ризиком відображення інформації, який може послабити загальну систему безпеки.

Як вразливості Log4j впливають на Power Platform? Що мають робити клієнти з цього приводу?

Корпорація Майкрософт оцінила, що жодні вразливості Log4j не впливають на Power Platform. Див. запис у блозі щодо запобігання, виявлення та пошуку вразливостей Log4j.

Як забезпечити відсутність неавторизованих транзакцій через розширення браузера або єдиний інтерфейс API клієнта, які дозволяють увімкнути вимкнуті елементи керування?

Модель безпеки Power Apps не передбачає концепцію вимкнутих елементів керування. Вимикання елементів керування є вдосконаленням інтерфейсу користувача. Щоб забезпечити безпеку, не слід покладатися на вимкнуті елементи керування. Натомість скористайтеся елементами керування Dataverse, як-от безпека на рівні поля, щоб запобігти несанкціонованим транзакціям.

Які заголовки безпеки HTTP використовуються для захисту даних відповіді?

Ім'я	Докладні відомості
Сувора транспортна безпека	Це значення max-age=31536000; includeSubDomains встановлено для всіх відповідей.
X-Frame-Options	Це вважається неприйнятним на користь CSP.
Параметри X-Content-Type-Options	Цей параметр встановлено для nosniff всіх відповідей на активи.
Контент-Безпека-Політика	Цей параметр встановлюється, якщо користувач вмикає CSP.
Захист X-XSS	Це вважається неприйнятним на користь CSP.

Де можна знайти тести на проникнення Power Platform або Dynamics 365?

Останні тести на проникнення та оцінки безпеки можна переглянути на порталі надійності служб Microsoft.

Нотатка

Щоб отримати доступ до деяких ресурсів на порталі довіри служб, потрібно ввійти як автентифікований користувач за допомогою облікового запису Microsoft Cloud Services (Microsoft Entra облікового запису організації), а також переглянути та прийняти угоду корпорації Майкрософт про нерозголошення матеріалів про відповідність.

Пов’язані статті

Огляд безпеки
Автентифікація в Power Platform службах
Підключення та автентифікація до джерел даних
Зберігання даних в Power Platform

Див. також

• Платформа ідентифікації Microsoft
• Життєвий цикл розробки системи безпеки
• Моделювання загроз
• Microsoft Entra Оцінка безперервного доступу
• Політика безпеки контенту
• Azure DDoS Protection
• Налаштування політики відповідності Intune