Comparteix a través de

Preguntes més freqüents sobre la seguretat de Power Platform

  • Article

Les preguntes més freqüents sobre la seguretat de Power Platform entren en dues categories:

  • Com Power Platform s'ha dissenyat per ajudar a mitigar els riscs dels primers 10 projectes de seguretat d'aplicacions web® obert (OWASP)

  • Preguntes que ens fan els nostres clients

Per facilitar la cerca de la informació més recent, les preguntes noves s'afegeixen al final d'aquest article.

Els 10 riscs principals d'OWASP: mitigació a Power Platform

El Projecte de seguretat d'aplicacions de web obert® (OWASP) és una base sense aprofitament que funciona per millorar la seguretat del programari. A través de projectes de programari de codi obert dirigits per la comunitat, centenars de capítols de tot el món, desenes de milers de membres i les principals conferències de recerca i formació, la Fundació OWASP és l'origen de desenvolupadors i tècnics que serveixen per protegir el web.

El top 10 d'OWASP és un document de conscienciació estàndard per a desenvolupadors i altres interessats en la seguretat d'aplicacions web. Representa un ampli consens sobre els riscs de seguretat més importants per a les aplicacions web. En aquesta secció, parlarem de com ajuda Power Platform a mitigar aquests riscs.

A01:2021 Control d'accés trencat

  • El model de seguretat de Power Platform està integrat amb l'accés menys desoperats de l'access (LPA). LPE permet als clients crear aplicacions amb un control d'accés més granular.
  • Power Platform utilitza Microsoft Entra la plataformaMicrosoft Entra d'identitat de l'ID ( Microsoft ID) per a l'autorització de totes les trucades API amb el protocol estàndard OAuth de la indústria 2.0.
  • Dataverse, per a la qual es proporcionen les dades fonamentals de Power Platform, té un model de seguretat enriquit que inclou seguretat de nivell d'entorn, basat en funcions i registres i nivell de camp.

A02:2021 Falles criptogràfiques

Dades en trànsit:

  • Power Platform utilitza TLS per xifrar tot el trànsit de xarxa basat en HTTP. Utilitza altres mecanismes per xifrar el trànsit de xarxa que no és HTTP que conté clients o dades confidencials.
  • Power Platform fa servir de TLS endurida que habilita la seguretat de trasport estricte d'HTTP (HSTS):
    • TLS 1.2 o superior
    • Conjunt de xifratge basats ECDHE i curves NIST
    • Tecles sòlides

Dades en repòs:

  • Totes les dades dels clients es xifren abans d'escriure's en mitjans d'emmagatzematge que no són volàtils.

A03:2021 Injecció

Power Platform utilitza pràctiques recomanades estàndard del sector per impedir l'assig de l'assig de torsió, com ara:

  • Utilitzar API segures amb interfícies paràmetreades
  • Aplicar les capacitats que s'estan evolucionant dels marcs d'inici per sanitzar les entrades
  • S'està sanant la sortida amb la validació del servidor
  • Utilitzar eines d'anàlisi estàtica durant el temps de creació
  • Revisar el Model d'amenaça de cada servei cada sis mesos si el codi, el disseny o la infraestructura s'ha actualitzat o no

A04:2021 Disseny insegur

  • Power Platform està creat en una cultura i metodologia de disseny segur. Tant la cultura com la metodologia es reforcen constantment a través Microsoft de les pràctiques de modelatge d'amenaces.
  • El procés de revisió del modelatge d'amenaces garanteix que s'identifiquen amenaces durant l'amenaces de disseny, mitigar i validar-se per assegurar-se que s'han mitigar.
  • El modelatge d'amenaces també mostra tots els canvis en els serveis que ja estan animats mitjançant revisions periòdiques contínues. El fet de confiar en el model STRIDE ajuda a resoldre els problemes més habituals en el disseny insegur.
  • MicrosoftSDL és equivalent al model de maduresa de garantia de programari OWASP (SAMM). Ambdós estan integrats a la premissa que el disseny segur és exclusiu de la seguretat de l'aplicació web.

A05:2021 Configuració incorrecta de seguretat

  • "Denegació per defecte" és una de les bases dels principis del disseny de Power Platform. Amb "Denegació per defecte", els clients han de revisar i optar per noves característiques i configuracions.
  • Totes les configuracions erràtiques durant el temps de creació són tampades per l'anàlisi de seguretat integrada mitjançant les eines de desenvolupament segures.
  • A més, Power Platform està realitzant les proves de seguretat d'anàlisi dinàmica (DAST) mitjançant un servei intern integrat amb els riscs superiors 10 d'OWASP.

A06:2021 Components vulnerables i obsolets

  • Power Platform segueix Microsoft les pràctiques de SDL per gestionar components de codi obert i de tercers. Aquestes pràctiques inclouen el manteniment de l'inventari complet, l'execució de l'anàlisi de mesures de seguretat, el manteniment dels components actualitzats i l'alineació dels components amb un procés de resposta d'incident de seguretat provades.
  • En casos s'assem bons, algunes aplicacions poden contenir còpies de components obsolets a causa de dependències externes. No obstant, quan aquestes dependències s'han abordat de conformitat amb les pràctiques que s'han mostrat abans, es fa el seguiment i l'actualització dels components.

A07:2021 Falles d'identificació i autenticació

  • Power Platform es basa i depèn de la identificació i l'autenticació de Microsoft Entra la identificació.
  • Microsoft Entra ajuda Power Platform a habilitar funcions segures. Aquestes característiques inclouen l'autenticació d'inici de sessió únic, l'autenticació de diversos factors i una única plataforma per interactuar amb els usuaris interns i externs de manera més segura.
  • Amb Power Platform la propera implementació de l'avaluació Microsoft Entra d'accés continu d'identificació (CAE), la identificació i l'autenticació dels usuaris seran encara més segures i fiables.

A08:2021 Falles de programari i integritat de dades

  • El procés de governança de Power Platform aplica la configuració segura dels fitxers d'origen dels paquets per mantenir la integritat del programari.
  • El procés garanteix que només s'serveixen només els paquets d'origen intern per tractar el procés de substitució. El procés de substitució, també anomenada confusa de dependència, és una tècnica que es pot utilitzar per posar el procés de creació d'aplicacions en entorns empresarials segurs.
  • Totes les dades xifrades tenen protecció d'integritat aplicada abans de transmetre-les. Totes les metadades de protecció d'integritat presents per a les dades xifrades entrants es valida.

Els 10 principals riscos de codi baix / sense codi de l'OWASP: mitigacions en Power Platform

Per obtenir orientació sobre com mitigar els 10 principals riscos de seguretat de codi baix / sense codi publicats per OWASP, consulteu aquest document:

Power Platform - OWASP Low Code No Code Top 10 Riscos (abril de 2024)

Preguntes de seguretat habituals dels clients

A continuació es presenten algunes de les preguntes de seguretat que pregunten els nostres clients.

Com ajuda Power Platform a protegir-se contra el segrest de clics?

El clickjacking utilitza iframes incrustats, entre altres components, per segrestar les interaccions d'un usuari amb una pàgina web. És una amenaça significativa per a les pàgines d'inici de sessió, en especial. Power Platform impedeix l'ús d'iframes a les pàgines d'inici de sessió, la disminució del risc del segrest de clics.

A més, les organitzacions poden utilitzar la Política de seguretat de contingut (CSP) per restringir la incrustació als dominis de confiança.

Power Platform és compatible amb la política de seguretat contingut?

Power Platform admet la política de seguretat de contingut (CSP) per a les aplicacions controlades per models. No admetem les capçaleres següents que se substitueixen per CSP:

  • X-XSS-Protection
  • X-Frame-Options

Com es pot connectar de manera segura a l'SQL Server?

Vegeu Utilitzar el Microsoft SQL Server de manera segura amb el Power Apps.

Quin xifratge és compatible a Power Platform? Quin és el full de ruta d'avançar contínuament cap a un xifratge més fort i més potent?

Tots els Microsoft serveis i productes estan configurats per utilitzar els conjunts de xifratge aprovats, en l'ordre exacte indicat pel Microsoft Crypto Board. Per obtenir la llista completa en l'ordre exacte, vegeu la documentació de Power Platform.

La informació sobre les obsolescència de les normes de control de l'estat es comunica mitjançant la documentació de canvis importants de Power Platform.

Per què Power Platform continua donant suport als xifratges del RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), que es consideren més febles?

Microsoft pondera el risc relatiu i la interrupció de les operacions dels clients en l'elecció de conjunts de xifratge per donar suport. Encara no s'ha retirat el suport a la plataforma RSA-CBC. Els hem habilitat per garantir la coherència en tots els nostres serveis i productes, i per donar suport a totes les configuracions dels clients. Tanmateix, estan a la part inferior de la llista de prioritats.

Deixarem aquests xifrats en el moment adequat, basant-nos en l'avaluació contínua del Microsoft Crypto Board.

Per què Power Automate exposa les afectacions de contingut d'MD5 a les entrades i els resultats del disparador/acció?

Power Automate passa el valor de hash de contingut opcional de l'MD5 retornat per l'Emmagatzematge de l'Azure, és als seus clients. Aquest hash s'utilitza per a l'Emmagatzematge de l'Azure per verificar la integritat de la pàgina durant el transport com a desprotecitat de comprovació i no s'utilitza com a funció de hash criptogràfica per motius de seguretat de Power Automate. Podeu trobar més detalls d'això a la documentació d'emmagatzematge de l'Azure sobre com obtenir propietats blob i com treballar amb capçaleres de sol·licitud.

Com es protegeix Power Platform contra els atacs a la denialitat de servei distribuïda (DDoS)?

Power Platform està integrat a Microsoft Azure i utilitza la protecció DDoS de l'Azure per protegir-se contra els atacs a DDoS.

Detecta Power Platform dispositius amb jailbreak iOS i dispositius arrelats Android per ajudar a protegir les dades de l'organització?

Us recomanem que utilitzeu Microsoft l'Intune. Intune és una solució d'administració de dispositius mòbils. Pot ajudar a protegir les dades de l'organització obligant els usuaris i els dispositius a complir certs requisits. Per obtenir més informació, vegeu la configuració de la norma de compliment d'Intune.

Per què s'àmbiten les galetes de sessió al domini principal?

Les galetes de sessió d'àmbits al domini principal de Power Platform permeten l'autenticació a totes les organitzacions. Els subminiscències no s'utilitzen com a límits de seguretat. Tampoc allotja el contingut del client.

Com es pot definir la sessió d'aplicació com a temps d'espera després, per exemple, 15 minuts?

Power Platform utilitza Microsoft Entra la gestió d'identitats i accessos d'identificació. Segueix Microsoft Entra la configuració de gestió de sessions recomanada per a l'ID per a una experiència d'usuari òptima.

Tanmateix, podeu personalitzar els entorns per tenir temps d'espera explícit de la sessió i/o de l'activitat. Per obtenir més informació, vegeu Sessió de l'usuari i administració de l'accés.

Amb Power Platform la propera implementació de l'avaluació Microsoft Entra d'accés continu d'identificació, la identificació i l'autenticació dels usuaris seran encara més segures i fiables.

L'aplicació permet al mateix usuari accedir des de més d'una màquina o navegador a la vegada. Com podem evitar-ho?

L'accés a l'aplicació des de més d'un dispositiu o navegador a la vegada és cómode per als usuaris. Power PlatformLa propera implementació de l'avaluació Microsoft Entra d'accés continu d'ID ajudarà a garantir que l'accés sigui des de dispositius i navegadors autoritzats i encara sigui vàlid.

Per què alguns serveis de Power Platform exposen les capçaleres del servidor amb informació verbal?

Els serveis de Power Platform han estat treballant per suprimir informació innecessària a la capçalera del servidor. L'objectiu és equilibrar el nivell de detall amb el risc d'exposar informació que podria afeblir la postura de seguretat global.

Com s'afecta l'impacte de les vulnerabilitats Log4j de Power Platform? Què han de fer els clients en aquest sentit?

Microsoft ha avaluat que no hi ha cap impacte Power Platform en les vulnerabilitats de Log4j. Consulteu la nostra publicació de bloc sobre la prevenció, la detecció i la troballa de vulneabilitats de Log4j.

Com es pot garantir que no hi ha transaccions no autoritzades a causa d'extensions de navegador o Interfície unificada aPI de client que permeten habilitar els controls inhabilitats?

El model de seguretat de Power Apps no inclou el concepte de controls inhabilitats. La inhabilitació dels controls és una millora de la interfície d'usuari. No hauríeu de confiar només en tenir els controls inhabilitats per proporcionar seguretat. En lloc d'això, utilitzeu controls de Dataverse com ara la seguretat de nivell de camp per evitar transaccions no autoritzades.

Quines capçaleres de seguretat HTTP s'utilitzen per protegir les dades de resposta?

Nom Detalles
Estricta seguretat del transport S'estableix en max-age=31536000; includeSubDomains totes les respostes.
Opcions de marc X Això està obsolet a favor de CSP.
Opcions de tipus de contingut X Es defineix com a nosniff a totes les respostes de recursos.
Política de seguretat del contingut Això es defineix si l'usuari habilita CSP.
Protecció X-XSS Això està obsolet a favor de CSP.

On puc trobar proves de penetració de Power Platform o Dynamics 365?

Les últimes proves de penetració i avaluacions de seguretat es poden trobar al portal Microsoft de confiança delservei.

Nota

Per accedir a alguns dels recursos del portal de confiança del servei, heu d'iniciar sessió com a usuari autenticat amb el vostre Microsoft compte de serveis al núvol (Microsoft Entra compte d'organització) i revisar i acceptar l'acord Microsoft de confidencialitat per als materials de compliment.

Seguretat a Microsoft Power Platform
Autenticació als Power Platform serveis
Connexió i autenticació a fonts de dades
Emmagatzematge de dades a Power Platform

Consulteu també