Запитання й відповіді щодо безпеки Power Platform
Поширені запитання щодо безпеки Power Platform можна поділити на дві категорії.
Як Power Platform допомагає зменшити 10 основних ризиків у проектах Open Web Application Security Project® (OWASP)
Запитання, які ставлять наші клієнти
Щоб полегшити пошук найновіших відомостей, нові запитання додаються наприкінці цієї статті.
10 основних ризиків OWASP: усунення ризиків у Power Platform
Open Web Application Security Project® (OWASP) – це некомерційна спільнота, яка покращує безпеку програмного забезпечення. Завдяки проектам програмного забезпечення з відкритим кодом під керівництвом спільноти, сотням підрозділів по всьому світові, десяткам тисяч учасників та провідним навчальним і практичним конференціям OWASP Foundation є джерелом для розробників і технологів для забезпечення безпеки в інтернеті.
OWASP Top 10 – це стандартний документ для розробників та інших осіб, які зацікавлені в безпеці вебпрограм. Він являє собою загальний консенсус щодо найважливіших ризиків безпеки вебпрограм. У цьому розділі ми обговоримо, як Power Platform допомагає знизити ці ризики.
A01:2021 Порушення керування доступом
- Модель безпеки Power Platform створено на найменш привілейованому доступі (LPA). LPA лає змогу клієнтам створювати програми з більш деталізованим керуванням доступом.
- Power Platform використовує Microsoft Entra ID (Microsoft Entra ID) Microsoft Identity Platform для авторизації всіх викликів API за допомогою стандартного протоколу OAuth 2.0.
- Dataverse, яка надає початкові дані для Power Platform, має розширену модель безпеки, яка охоплює безпеку на рівні середовища, на основі ролей, на рівні записів і полів.
A02:2021 Криптографічні помилки
Дані, що передаються
- Power Platform використовує TLS для шифрування всього мережевого трафіку на основі HTTP. У ньому використовуються інші механізми для шифрування мережевого трафіку без HTTP, який містить дані клієнтів або конфіденційні дані.
- Power Platform застосовує посилену конфігурацію TLS, що використовує технологію HTTP HTTP Strict Transport Security (HSTS):
- TLS 1.2 або вище
- Набори шифрів і криві NIST на основі ECDHE
- Надійні ключі
Дані, що зберігаються:
- Усі дані клієнтів шифруються, перш ніж їх буде записано на енергонезалежний носій даних.
Power Platform використовує галузеві найкращі практики для запобігання ін’єкційним атакам, зокрема:
- використання безпечних API з параметризованими інтерфейсами;
- застосування можливостей клієнтських середовищ, що постійно розвиваються, з метою очищення вхідних даних;
- очищення вихідних даних із перевіркою на сервері;
- використання інструментів статичного аналізу під час створення;
- перегляд моделі загроз для кожної служби кожні шість місяців щодо оновлення коду, дизайну чи інфраструктури
- Power Platform створено на основі культури й методології безпечного дизайну. Культура й методологія постійно зміцнюються за допомогою провідних галузевих принципів розробки безпечного ПЗ (Security Development Lifecycle, SDL) і практик моделювання загроз.
- Процес перевірки моделювання загроз гарантує виявлення, зменшення та перевірення загроз під час проектування з метою зниження їхнього шкідливого впливу.
- Моделювання загроз також передбачає всі зміни в послугах, які вже пройшли регулярні перевірки. Використання моделі STRIDE допоможе вирішити найпоширеніші проблеми з незахищеним дизайном.
- Принципи SDL Microsoft еквівалентні моделі зрілості підтримки програмного забезпечення (Software Assurance Maturity Model, SAMM). Обидві моделі створено з огляду на те, що захищений дизайн є частиною безпеки вебпрограми.
A05:2021 Неправильна настройка системи безпеки
- «Відмова за замовчуванням» – це одна з основ принципів проектування Power Platform. За наявності параметру «Відмова за замовчуванням» клієнти мають переглянути та ввімкнути нові функції й конфігурації.
- Будь-які параметри неправильної конфігурації буде виявлено шляхом інтегрованого аналізу безпеки за допомогою засобів захищеної розробки.
- Крім того, Power Platform підлягає тестуванню безпеки за допомогою динамічного аналізу (Dynamic Analysis Security Testing, DAST) з використанням внутрішньої служби, створеної на основі 10 основних ризиків OWASP.
A06:2021 Уразливі та застарілі компоненти
- Power Platform дотримується рекомендацій SDL Microsoft для керування компонентами з відкритим вихідним кодом і сторонніх постачальників. Ці практики охоплюють підтримання повних запасів, виконання аналізів безпеки, підтримання актуального стану компонентів і припасовування компонентів до випробуваного й перевіреного процесу реагування на інциденти безпеки.
- У поодиноких випадках деякі програми можуть містити копії застарілих компонентів через зовнішні залежності. Однак після усунення цих залежностей відповідно до практик, описаних вище, компоненти будуть відстежуватися й оновлюватися.
A07:2021 Помилки ідентифікації та автентифікації
- Power Platform побудована на ідентифікації та автентифікації ідентифікатора та залежить від них Microsoft Entra .
- Microsoft Entra допомагає Power Platform ввімкнути безпечні функції. До цих функцій належать єдиний вхід, багатофакторна автентифікація та єдина платформа для безпечнішої взаємодії з внутрішніми та зовнішніми користувачами.
- З Power Platform майбутнім впровадженням Microsoft Entra ID Continuous Access Evaluation (CAE) ідентифікація та автентифікація користувачів стануть ще більш безпечними та надійними.
A08:2021 Помилки цілісності програмного забезпечення й даних
- Процес керування компонентами Power Platform застосовує безпечну конфігурацію вихідних файлів пакетів, щоб забезпечити цілісність програмного забезпечення.
- Процес забезпечує обслуговування лише внутрішніх пакетів для боротьби з атаками заміщення. Атака заміщення (також відома як плутанина залежності) – це метод, який можна використовувати для нанесення шкоди процесу створення програми в захищених корпоративних середовищах.
- Перш ніж передавати будь-які зашифровані дані, до них застосовується захист цілісності. Перевіряється захист цілісності всіх метаданих, наявних для вхідних зашифрованих даних.
Топ-10 ризиків OWASP Low Code/No Code: пом’якшення наслідків у Power Platform
Щоб отримати рекомендації щодо пом’якшення 10 основних ризиків безпеки Low Code/No Code, опубліковані OWASP, перегляньте цей документ:
Power Platform - OWASP Low Code No Code Топ-10 ризиків (квітень 2024 р.)
Поширені запитання клієнтів щодо безпеки
Далі наведено кілька запитань щодо безпеки від наших клієнтів.
Як Power Platform допомагає захистити дані від клікджекінгу?
Клікджекінг використовує вбудовані фрейми iframe, а також інші компоненти, щоб перехопити взаємодію користувача з вебсторінками. Це значна загроза, зокрема, для сторінок входу. Power Platform запобігає використанню фреймів iframe на сторінках входу, що значно зменшує ризик клікджекінгу.
Крім того, організації можуть використовувати політику безпеки вмісту (Content Security Policy, CSP), щоб обмежити вбудовування надійних доменів.
Чи підтримує Power Platform політику безпеки вмісту?
Power Platform підтримує політику безпеки вмісту (CSP) для модельних програм. Ми не підтримуємо такі заголовки, які замінено CSP:
X-XSS-ProtectionX-Frame-Options
Як безпечно підключатися до SQL Server?
Див. Безпечне використання Microsoft SQL Server з Power Apps.
Які шифри підтримуються Power Platform? Що передбачає дорожня карта постійного руху до надійніших шифрів?
Усі служби та продукти Microsoft настроєно для використання затверджених наборів шифрів у точному порядку, зазначеному Microsoft Crypto Board. Повний список і точний порядок див. в документації Power Platform .
Інформацію про вилучення наборів шифрів наведено в документації Power Platform Важливі зміни .
Чому Power Platform досі підтримує шрифти RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) і TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), які вважаються слабкими?
Корпорація Майкрософт зважує відносний ризик і збої в операціях клієнтів під час вибору шифрів для підтримки. Пакети шифрів RSA-CBC ще не зламано. Вони можуть забезпечувати узгодженість наших служб і продуктів, а також підтримувати всі конфігурації клієнтів. Проте їх розташовано в нижній частині списку пріоритетів.
Ці шифри буде вилучено в потрібний час згідно з безперервним оцінюванням Microsoft Crypto Board.
Чому Power Automate відображує геші вмісту MD5 у вхідних і вихідних даних тригеру й дії?
Power Automate передає своїм клієнтам необов’язкове геш-значення вмісту MD5, що повертається сховищем Azure «як є». Цей геш використовується сховищем Azure, щоб перевірити цілісність сторінки під час перенесення як алгоритму контрольної системи, і він не використовується як криптографічна геш-функція гешування з метою безпеки Power Automate. Докладнішу інформацію про це можна знайти в документації сховища Azure про те, як отримати властивості BLOB-об’єктів і як працювати із заголовками запитів.
Як Power Platform захищає від розподілених атак на відмову в обслуговуванні (Distributed Denial of Service, DDoS)?
Power Platform створено на основі Microsoft Azure, і вона використовує захист Azure від DDoS-атак, щоб захистити від DDoS-атак.
Чи допомагає Power Platform виявлення зламаних iOS пристроїв і рут-пристроїв Android захистити дані організації?
Рекомендуємо використовувати Microsoft Intune. Intune – це рішення для керування мобільними пристроями. Воно допомагає захистити дані організації, вимагаючи від користувачів і пристроїв дотримуватися певних вимог. Для отримання додаткових відомостей див. параметри політики відповідності Intune.
Чому файли cookie сеансу обмежено батьківським доменом?
Power Platform обмежує файли cookie сеансу батьківським доменом, щоб дозволити автентифікацію в організаціях. Піддомени не використовуються як межі безпеки. Вони також не розміщують вміст клієнтів.
Як можна встановити вичерпання часу очікування сеансу програми, наприклад, через 15 хвилин?
Power Platform використовує Microsoft Entra ідентифікаційні дані та керування доступом. Він відповідає Microsoft Entra рекомендованій конфігурації керування сеансами ID для оптимальної взаємодії з користувачем.
Проте можна настроїти середовища так, щоб вони мали явне вичерпання часу очікування сеансу і/або дії. Додаткові відомості: Керування сеансами користувачів і доступом.
З Power Platform майбутнім впровадженням Microsoft Entra ID Continuous Access Evaluation ідентифікація та автентифікація користувачів стануть ще більш безпечними та надійними.
Програма дає змогу одному користувачу одночасно отримувати доступ з кількох комп’ютерів або браузерів. Як запобігти цьому?
Користувачам зручно одночасно отримувати доступ до програми з кількох пристроїв або браузерів. Power PlatformМайбутнє впровадження Microsoft Entra ID Continuous Access Evaluation допоможе переконатися, що доступ здійснюється з авторизованих пристроїв і браузерів і залишається дійсним.
Чому деякі служби Power Platform відображують заголовки сервера з докладною інформацією?
Служби Power Platform працюють, щоб видаляти непотрібні дані із заголовка сервера. Мета полягає в збалансуванні рівня докладної інформації з ризиком відображення інформації, який може послабити загальну систему безпеки.
Як вразливості Log4j впливають на Power Platform? Що мають робити клієнти з цього приводу?
Корпорація Майкрософт оцінила, що жодні вразливості Log4j не впливають на Power Platform. Див. запис у блозі щодо запобігання, виявлення та пошуку вразливостей Log4j.
Як забезпечити відсутність неавторизованих транзакцій через розширення браузера або єдиний інтерфейс API клієнта, які дозволяють увімкнути вимкнуті елементи керування?
Модель безпеки Power Apps не передбачає концепцію вимкнутих елементів керування. Вимикання елементів керування є вдосконаленням інтерфейсу користувача. Щоб забезпечити безпеку, не слід покладатися на вимкнуті елементи керування. Натомість скористайтеся елементами керування Dataverse, як-от безпека на рівні поля, щоб запобігти несанкціонованим транзакціям.
Які заголовки безпеки HTTP використовуються для захисту даних відповіді?
| Ім'я | Докладні відомості |
|---|---|
| Сувора транспортна безпека | Це значення max-age=31536000; includeSubDomains встановлено для всіх відповідей. |
| X-frame-Options | Це вважається застарілим на користь CSP. |
| X-Content-Type-Options | Цей параметр встановлено для nosniff всіх відповідей на об’єкти. |
| Content-Security-Policy | Цей параметр встановлюється, якщо користувач вмикає CSP. |
| Захист X-XSS | Це вважається застарілим на користь CSP. |
Де можна знайти тести на проникнення Power Platform або Dynamics 365?
Останні тести на проникнення та оцінки безпеки можна переглянути на порталі надійності служб Microsoft.
Нотатка
Щоб отримати доступ до деяких ресурсів на порталі довіри служби, потрібно ввійти як автентифікований користувач за допомогою облікового запису хмарних служб Microsoft (Microsoft Entra облікового запису організації), а також переглянути та прийняти угоду корпорації Майкрософт про нерозголошення матеріалів для відповідності.
Пов’язані статті
Безпека в Microsoft Power Platform
Автентифікація в службах Power Platform
Підключення до джерел даних і автентифікація в них
Зберігання даних у Power Platform