Comparteix a través de

Seguretat al Microsoft Power Platform

  • Article

El Power Platform dona el poder de crear de manera ràpida i senzilla solucions d'extrem a extrem als desenvolupadors no professionals i professionals. La seguretat és fonamental per a aquestes solucions. El Power Platform està creat per proporcionar una protecció líder en el sector.

Les organitzacions estan accelerant la seva transició al núvol, incorporant tecnologies avançades en les operacions i en la presa de decisions empresarials. Més empleats treballen remotament. La demanda del client de serveis en línia està disparada. La seguretat tradicional de l'aplicació local ja no és suficient. Organitzacions que cerquen una solució de seguretat nativa de diversos nivells per convertir les seves dades d'intel·ligència empresarial a Power Platform. Les agències de seguretat nacional, institucions financeres i proveïdors d'assistència sanitària confien la seva informació més sensible al Power Platform.

Microsoft ha fet inversions massives en seguretat des de mitjans de la dècada del 2000. Més de 3.500 Microsoft enginyers treballen per abordar de manera proactiva el panorama d'amenaces en constant canvi. Microsoft la seguretat comença al nucli de la BIOS en xip i s'estén fins a l'experiència de l'usuari. Avui, la nostra pila de seguretat és la més avançada del sector. Microsoft és àmpliament considerat com el líder mundial en la lluita contra els actors maliciosos. Milers de milions d'ordinadors, bilions d'inicis de sessió i zettabytes de dades es confien a Microsoft la protecció de l'usuari.

El Power Platform parteix d'aquesta base sòlida. Utilitza la mateixa pila de seguretat que va merèixer a l'Azure el dret a servir i protegir les dades més confidencials del món i s'integra amb la protecció de la informació més avançada i les eines de revisió de Microsoft 365. Power Platform proporciona una protecció d'extrem a extrem dissenyada a partir de les inquietuds més importants dels nostres clients en l'era del núvol:

  • Com es pot controlar qui pot connectar-se, d'on es connecten i com es connecten? Com es poden controlar les connexions?
  • Com s'emmagatzemen les dades? Com s'encripten? Quins controls tenim sobre les nostres dades?
  • Com podem controlar i protegir les nostres dades confidencials? Com podem assegurar-nos que les nostres dades no es poden filtrar fora de l'organització?
  • Com es pot auditar qui pot fer què? Com podem reaccionar ràpidament si detectem activitats sospitoses?

Governança

El Power Platform servei es regeix per les Microsoft Condicions dels serveis en línia i la Declaració Microsoft de privadesa de l'empresa. Per a la ubicació del processament de dades, consulteu les Microsoft Condicions dels serveis en línia i l'Annex de protecció de dades.

El Microsoft Centre de confiança és el recurs principal per a la informació de Power Platform compliment. Obteniu més informació a Microsoft Ofertes de conformitat.

El servei del Power Platform segueix el cicle de vida del desenvolupament de seguretat (SDL). L'SDL és un conjunt de pràctiques estrictes que donen suport als requisits de garantia de seguretat i compliment. Obteniu més informació a Microsoft Pràctiques del cicle de vida del desenvolupament de la seguretat.

Conceptes de seguretat comuns al Power Platform

El Power Platform inclou diversos serveis. Alguns dels conceptes de seguretat que cobrirem en aquesta sèrie són aplicables a tots ells. Altres conceptes són específics de serveis individuals. On els conceptes de seguretat són diferents, els destacarem.

Els conceptes de seguretat comuns a tots els serveis del Power Platform són:

L'arquitectura de servei del Power Platform

Power Platform els serveis es basen en la plataforma de computació en núvol d'Azure. Microsoft L'arquitectura de servei del Power Platform està formada per quatre components:

  • Clúster de front-end web
  • Clúster de back-end
  • Infraestructura premium
  • Plataformes mòbils

Clúster de front-end web

S'aplica als serveis del Power Platform que visualitzen una IU web. El clúster de front-end web serveix la pàgina inicial de l'aplicació o el servei al navegador de l'usuari. S'utilitza Microsoft Entra per autenticar els clients inicialment i proporcionar testimonis per a les connexions de client posteriors al Power Platform servei de back-end.

Un diagrama que il·lustra com funciona el Power Platform clúster de front-end web amb l'entorn ASP.NET del servei d'aplicacions de l'Azure i Power Platform els clústers de back-end de servei.

Un clúster de front-end web consta d'un lloc web ASP.NET que s'executa a l'entorn de servei de l'aplicació de l'Azure. Quan un usuari visita un servei o aplicació del Power Platform, el servei DNS del client pot obtenir el centre de dades més adequat (normalment el més proper) de l'Administrador de trànsit de l'Azure. Per obtenir més informació, vegeu Mètode d'encaminament del trànsit del rendiment per a l'Administrador de trànsit de l'Azure.

El clúster de front-end web administra la seqüència d'inici de sessió i d'autenticació. Obté un Microsoft Entra testimoni d'accés després que l'usuari s'hagi autenticat. El component ASP.NET analitza el testimoni per determinar a quina organització pertany l'usuari. El component, a continuació, consulta el serveis de back-end global de Power Platform per especificar al navegador quin clúster de back-end allotja l'inquilí de l'organització. Les interaccions posteriors amb el client es produeixen directament amb el clúster de back-end, sense que calgui l'intermediari de front-end web.

El navegador obté recursos estàtics, com ara els fitxers .js, .css i d'imatge, principalment des d'una Xarxa de lliurament de contingut (CDN) de l'Azure. Les implementacions de clústers de l'Administració pública sobiranes són una excepció. Per raons de compliment, aquestes implementacions ometen l'Azure CDN. En lloc d'això, utilitzen un clúster de front-end web d'una regió compatible per allotjar contingut estàtic.

Clúster de back-end del Power Platform

El clúster de back-end és la columna vertebral de totes les funcionalitats disponibles en un servei del Power Platform. Consta d'extrems de servei, serveis de treball en segon terme, bases de dades, memòries cau i altres components.

El back-end està disponible a la majoria de les regions de l'Azure i s'implementa a noves regions a mesura que estan disponibles. Una regió pot allotjar diversos clústers. Aquesta configuració permet l'escalat horitzontal il·limitat als serveis del Power Platform després d'assolir els límits d'escalat vertical i horitzontal d'un clúster.

Els clústers de back-end tenen estat complet. Un clúster de back-end allotja totes les dades de tots els inquilins que s'hi han assignat. El clúster que conté les dades d'un inquilí específic es coneix com a clúster d'inici de l'inquilí. El servei de back-end global del Power Platform proporciona informació sobre un clúster d'inici de l'usuari autenticat al clúster de front-end web. El front-end web utilitza la informació per encaminar les sol·licituds al clúster de back-end inicial de l'inquilí.

Les metadades i les dades d'inquilins s'emmagatzemen dins dels límits dels clústers. L'excepció és la replicació de dades a un clúster de back-end secundari que es troba en una regió aparellada a la mateixa geografia de l'Azure. El clúster secundari serveix com a commutació si hi ha una manca regional i és passiu en qualsevol altre moment. Els microserveis que s'executen en diferents màquines de la xarxa virtual del clúster també fan la funcionalitat de back-end. Només dos d'aquests microserveis estan accessibles des de la Internet pública:

  • service-de passarel·la
  • Administració de l'API de l'Azure

Un diagrama de Power Platform serveis de back-end que mostra tres peces principals: els serveis API i Gateway, que són accessibles des de la Internet pública, i una col·lecció de microserveis, que són privats.

Infraestructura premium del Power Platform

Power Platform Premium proporciona accés a un conjunt ampliat de connectors com a servei de pagament. Els creadors del Power Platform no estan restringits a l'ús de connectors premium, però els usuaris de l'aplicació sí. És a dir, els usuaris d'una aplicació que inclogui connectors premium han de tenir la llicència correcta per accedir-hi. El servei de back-end del Power Platform determina si un usuari té accés als connectors premium.

Plataformes mòbils

Power Platform admet Android iOS i aplicacions de Windows (UWP). Les consideracions de seguretat de les aplicacions mòbils s'engloben en dues categories:

  • Comunicació de dispositiu
  • L'aplicació i les dades del dispositiu

Comunicació de dispositiu

Les aplicacions mòbils del Power Platform utilitzen les mateixes seqüències de connexió i autenticació que utilitzen els navegadors. Android i iOS les aplicacions obren una sessió del navegador a l'aplicació. Les aplicacions Windows utilitzen un broker per establir un canal de comunicació amb els serveis del Power Platform per al procés d'inici de sessió.

A la taula següent es mostra la compatibilitat amb l'autenticació basada en certificats (CBA) per a les aplicacions mòbils:

Suport tècnic d'CBA iOS Android Finestres
Iniciar la sessió al servei Admès Admès No admès
SSRS ADFS local (connectar a servidor SSRS) No admès Admès No admès
Servidor intermediari d'aplicació SSRS Admès Admès No admès

Les aplicacions mòbils es comuniquen activament amb els serveis del Power Platform. Les estadístiques d'ús de les aplicacions i dades semblants es transmeten a serveis que supervisen l'ús i l'activitat. No s'inclouen dades de client.

L'aplicació i les dades del dispositiu

L'aplicació mòbil i les dades que requereix s'emmagatzemen de manera segura al dispositiu. Microsoft Entra i els tokens d'actualització s'emmagatzemen mitjançant mesures de seguretat estàndard de la indústria.

Les dades en memòria cau del dispositiu inclouen dades d'aplicació, configuració d'usuari i escriptoris digitals i informes accedits a les sessions anteriors. La memòria cau s'emmagatzema en un espai aïllat a l'emmagatzematge intern. La memòria cau només està accessible a l'aplicació i el sistema operatiu pot xifrar-la.

  • iOS: l'encriptació és automàtica quan l'usuari estableix una contrasenya.
  • Android: l'encriptació es pot configurar a la configuració.
  • Windows: BitLocker controla l'encriptació.

Microsoft El xifratge de nivell de fitxer de l'Intune es pot utilitzar per millorar el xifratge de dades. Intune és un servei de programari que proporciona administració d'aplicacions i dispositius mòbils. Les tres plataformes mòbils admeten Intune. Amb l'Intune habilitat i configurat, les dades del dispositiu mòbil estan xifrades i l'aplicació Power Platform no es pot instal·lar en una targeta SD.

Les aplicacions de Windows també admeten la Protecció d'informació del Windows (WIP).

Les dades de la memòria cau se suprimeixen quan l'usuari:

  • desinstal·la l'aplicació
  • tanca la sessió del servei del Power Platform
  • no pot iniciar la sessió després de canviar una contrasenya o quan un testimoni caduca

L'usuari ha habilitat o inhabilitat explícitament la geolocalització. Si està activada, les dades de geolocalització no es desen al dispositiu i no es comparteixen amb ells Microsoft.

L'usuari ha habilitat o inhabilitat explícitament les notificacions. Si les notificacions estan habilitades Android i iOS no admeten els requisits de residència de dades geogràfiques.

Els serveis mòbils del Power Platform no accedeixen a altres carpetes d'aplicacions ni fitxers del dispositiu.

Algunes dades d'autenticació basades en testimonis estan disponibles per a altres Microsoft aplicacions, com ara Authenticator, per habilitar l'inici de sessió únic. Aquestes dades són gestionades per l'SDK de la biblioteca d'autenticació Microsoft Entra .

Autenticació als Power Platform serveis
Connexió i autenticació a fonts de dades
Emmagatzematge de dades a Power Platform
Power Platform Preguntes freqüents sobre seguretat

Consulteu també