Megosztás a következőn keresztül:


Power Platform biztonság GYIK

A Power Platform biztonsággal kapcsolatos gyakori kérdések két kategóriába sorolhatók:

  • Hogyan lett kialakítva a Power Platform az Open Web Application Security Project® (OWASP) jelentette leggyakoribb 10 kockázat csökkentése érdekében

  • Ügyfelektől származó kérdések

A cikk végéhez új kérdéseket adunk hozzá, hogy Ön könnyebben megtalálja a legfrissebb információkat.

OWASP top 10 kockázat: kockázatcsökkentés a Power Platform szolgáltatásban

Az Open Web Application Security Project® (OWASP) egy nonprofit alapítvány, amely a szoftverbiztonság fejlesztésén dolgozik. A közösség által irányított nyílt forráskódú szoftverfejlesztési projekteken, a világszerte található több száz részlegen, a több tízezer tagon, illetve a minőségi oktatási és képzési konferenciákon keresztül az OWASP alapítvány alapot biztosít a fejlesztőknek és a szakértőknek az internet biztonságossá tételéhez.

Az OWASP top 10 egy általános ismeretterjesztő dokumentum a fejlesztők és mindazok számára, akik érdekeltek a webalkalmazások biztonságossá tételében. Ez a webalkalmazások szempontjából legkritikusabb biztonsági kockázatok általános összefoglalását képezi. Ebben a szakaszban megismerheti, hogy a Power Platform miként segít ezeknek a kockázatoknak a csökkentésében.

A01:2021 Hibás hozzáférés-vezérlés

  • A Power Platform biztonsági modell a legalacsonyabb szintű hozzáférésen (LPA) alapszik. Az LPA lehetővé teszi az ügyfelek számára, hogy részletesebb hozzáférés-vezérléssel rendelkező alkalmazásokat hozzanak létre.
  • Power Platform az ID ( Microsoft Entra ID)Microsoft Entra Identity platformot Microsoft használja az összes API-hívás engedélyezéséhez az iparági szabványnak OAuth megfelelő 2.0 protokollal.
  • A Dataverse – amely a háttéradatokat biztosítja a Power Platform számára – gazdag biztonsági modellel rendelkezik, amely környezetszintű, szerepkörön alapuló, valamint rekord- és mezőszintű biztonságot tartalmaz.

A02:2021 Titkosítási hibák

Adatok továbbítása:

  • A Power Platform a TLS használatával titkosítja az összes HTTP-alapú hálózati forgalmat. Az olyan nem HTTP hálózati forgalom titkosítására, amely ügyféladatokat vagy bizalmas adatokat tartalmaz, más mechanizmusokat használ.
  • A Power Platform olyan szigorú TLS-konfigurációt alkalmaz, amely engedélyezi a HTTP Strict Transport Security (HSTS) biztonságot:
    • TLS 1.2 vagy újabb
    • ECDHE-alapú titkosítócsomagok és NIST-görbék
    • Erős kulcsok

Inaktív adat:

  • Az ügyféladatok titkosítva vannak, mielőtt permanens tárolóközegekbe helyezik azokat.

A03:2021 Injekció

A Power Platform az iparági szabványoknak megfelelő ajánlott eljárásokat használ a beszúrásos támadások megakadályozása érdekében, ideértve a következőket:

  • Biztonságos API-k használata paraméterezett interfészekkel
  • A frontend keretrendszerek folyamatosan fejlődő lehetőségeinek alkalmazása a beviteli adatok biztonságossá tétele érdekében
  • A kimenet biztonságossá tétele kiszolgálóoldali ellenőrzéssel
  • Statikus elemzési eszközök használata a buildelési idő során
  • Minden szolgáltatás fenyegetési modelljének hat hónaponkénti áttekintése függetlenül attól, hogy a kód, a kialakítás vagy az infrastruktúra frissült-e vagy sem

A04:2021 Nem biztonságos kialakítás

  • A Power Platform a biztonságos kialakítás kultúrája és módszertana alapján készült. Mind a kultúrát, mind a módszertant folyamatosan erősítik az iparágvezető Microsoftbiztonsági fejlesztési életciklus (SDL) és fenyegetésmodellezési gyakorlatok.
  • A fenyegetésmodellezés felülvizsgálatának folyamata biztosítja, hogy a tervezési fázisban azonosítják és csökkentik a fenyegetéseket, és ellenőrzi azok megfelelő kezelését.
  • A fenyegetésmodellezés az üzemben lévő szolgáltatások módosításait is figyelembe veszi, a rendszeres ellenőrzéseknek köszönhetően. A STRIDE modellre támaszkodva a rendszer kezelni tudja a nem biztonságos kialakítással kapcsolatos leggyakoribb problémákat.
  • MicrosoftSDL-je egyenértékű az OWASP frissítési garancia érettségi modelljével (SAMM). Mindkettő azon az elképzelésen alapszik, hogy a biztonságos kialakítás alapvető része a webalkalmazás biztonságának.

A05:2021 Biztonsági hibás konfiguráció

  • Az „Alapértelmezett tiltás” a Power Platform tervezési elveinek egyik alapja. Az „Alapértelmezett tiltás” funkcióval az ügyfeleknek meg kell vizsgálniuk és jóvá kell hagyniuk az új funkciókat és konfigurációkat.
  • A biztonságos fejlesztési eszközök használatával a beépített biztonsági elemzési eszközök észlelik a buildelési idő során felmerülő nem megfelelő konfigurációkat.
  • Emellett a Power Platform végrehajtja a Dinamikus elemzésen alapuló biztonsági teszteket (DAST) a beépített szolgáltatás használatával, amely az OWASP Top 10 kockázatán alapul.

A06:2021 Sebezhető és elavult alkatrészek

  • Power Platform követi Microsoft az SDL gyakorlatát a nyílt forráskódú és harmadik féltől származó összetevők kezeléséhez. Ezen eljárások közé tartozik a teljes készlet fenntartása, a biztonsági elemzések végrehajtása, az összetevők naprakészen tartása és az összetevőknek a biztonsági eseményekre adott válaszfolyamatok kipróbált és tesztelt folyamatához igazítása.
  • Ritkán előfordulhat, hogy bizonyos alkalmazások külső függőségek miatt elavult összetevőket tartalmazhatnak. Azonban miután a korábbiakban ismertetett gyakorlatnak megfelelően kezelték a függőségeket, a rendszer nyomon követi és frissíti az összetevőket.

A07:2021 Azonosítási és hitelesítési hibák

  • Power Platform az azonosítóazonosításra és -hitelesítésre épül, és attól Microsoft Entra függ.
  • Microsoft Entra segít Power Platform a biztonságos funkciók engedélyezésében. Ezek a funkciók magukban foglalják az egyszeri bejelentkezést, a többtényezős hitelesítést és egy olyan egyéni platformot, amely biztonságosabb kapcsolatot biztosít a belső és a külső felhasználókkal egyaránt.
  • Az ID Power PlatformContinuous Access Evaluation Microsoft Entra (CAE) közelgő bevezetésével a felhasználók azonosítása és hitelesítése még biztonságosabb és megbízhatóbb lesz.

A08:2021 Szoftver- és adatintegritási hibák

  • A Power Platform összetevőirányítási folyamata gondoskodik a csomag forrásfájljainak biztonságos konfigurálásáról a szoftverintegritás megőrzése érdekében.
  • A folyamat biztosítja, hogy a helyettesítéses támadások kezelésére a rendszer kizárólag belső forrású csomagokat használjon. A függőségzavaró támadások néven is ismert helyettesítő támadások olyan technikát alkalmaznak, amelyek megzavarják az alkalmazásbuildelési folyamatot a biztonságos vállalati környezeteken belül.
  • A rendszer a titkosított adatokra integritásvédelmet alkalmaz, mielőtt továbbítaná azokat. A rendszer ellenőrzi a bejövő titkosított adatokban jelen lévő integritásvédelmi metaadatokat.

Az OWASP top 10 alacsony kódú / kód nélküli kockázata: Enyhítések Power Platform

Az OWASP által közzétett 10 legfontosabb alacsony kódú/kód nélküli biztonsági kockázat csökkentésével kapcsolatos útmutatásért tekintse meg ezt a dokumentumot:

Power Platform - OWASP Low Code No Code Top 10 Risks (2024. április)

Biztonsággal kapcsolatos gyakori kérdések az ügyfelektől

A következőkben az ügyfelektől származó néhány biztonsági kérdést ismertetünk.

Hogyan segít a Power Platform a kattintáseltérítési támadásokkal szembeni védelemben?

A clickjacking többek között beágyazott iframe-eket használ, hogy eltérítse a felhasználó interakcióit egy weboldallal. Ez jelentős fenyegetést jelent a bejelentkezési oldalakra nézve. A Power Platform nem engedélyezi az iframe-ek használatát a bejelentkezési oldalakon, jelentősen csökkentve a kattintáseltérítés kockázatát.

A szervezetek emellett tartalomra vonatkozó biztonsági házirendeket (CSP-ket) is használhatnak, hogy a beágyazást csak a megbízható tartományokra korlátozzák.

A Power Platform támogatja a tartalomra vonatkozó biztonsági házirendeket?

A Power Platform támogatja a tartalomra vonatkozó biztonsági irányelveket (CSP-ket) a modellvezérelt alkalmazások esetében. Az alábbi fejléceket nem támogatjuk, és CSP-kkel helyettesítjük azokat:

  • X-XSS-Protection
  • X-Frame-Options

Hogyan lehet biztonságos módon csatlakozni a SQL Serverhez?

További információ: A Microsoft SQL Server használata biztonságos módon a Power Apps-szolgáltatással.

Milyen titkosítási elemeket támogat a Power Platform? Milyen ütemtervet alkalmazunk az egyre erősebb titkosítási elemek használata céljából?

Minden Microsoft szolgáltatás és termék úgy van konfigurálva, hogy a jóváhagyott titkosítási csomagokat használja, pontosan Microsoft az Crypto Board által irányított sorrendben. A teljes lista és a pontos sorrend a Power Platform dokumentációjában olvasható.

A titkosítócsomagok elavulásával kapcsolatos információkat a Power Platform Fontos változtatások című dokumentációjában közöljük.

Miért támogatja a Power Platform továbbra is az RSA-CBC titkosítási elemeket (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) és TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), amelyek gyengébbnek minősülnek?

Microsoft Mérlegeli az ügyfélműveletek relatív kockázatát és megszakadását a támogatni kívánt titkosítási csomagok kiválasztásakor. Az RSA-CBC titkosítócsomagokat még nem törték fel. Azért engedélyeztük őket, hogy biztosítsuk a következetességet a szolgáltatások és a termékek között, valamint hogy támogatást biztosíthassunk az összes ügyfélkonfigurációnak. Ezek azonban a prioritási lista alján helyezkednek el.

Ezeket a rejtjeleket a megfelelő időben, a Microsoft Crypto Board folyamatos értékelése alapján elavulttá tesszük.

Miért teszi közzé a Power Automate az MD5 tartalomkivonatokat az aktiválási/műveleti bemenetekben és kimenetekben?

A Power Automate az Azure Storage által visszaadott tartalom-MD5 kivonatértékét adott állapotban továbbítja az ügyfeleknek. Az Azure Storage ezt a kivonatot használja ellenőrzőösszegi algoritmusként az oldal integritásának ellenőrzéséhez a szállítás során, és nem használatos kriptográfiai kivonati funkcióként biztonsági célokból a Power Automate-ben. Erről további részleteket az Azure Storage dokumentációjában talál, amely a blobtulajdonságok lekért funkciójáról és a kérelemfejlécek használatáról szól.

Hogyan véd a Power Platform az elosztott szolgáltatásmegtagadásos (DDoS-) támadásokkal szemben?

A Power Platform a Microsoft Azure-on alapszik és Azure DDoS Protectiont használ a DDoS-támadásokkal szembeni védelemhez.

Észleli a Power Platform feltört iOS eszközöket és a Android feltört eszközöket a szervezeti adatok védelme érdekében?

Javasoljuk, hogy használja Microsoft az Intune-t. Az Intune egy mobileszköz-kezelési megoldás. Segítheti a szervezeti adatok védelmét azzal, hogy a felhasználóknak és készülékeknek bizonyos követelményeknek kell megfelelniük. További információ: Az Intune szolgáltatás megfelelőségi házirendjének beállításai.

Mért képezi le a rendszer a munkamenethez tartozó cookie-kat a szülőtartományba?

A Power Platform azért képezi le a munkamenethez tartozó cookie-kat a szülőtartományba, hogy a szervezeten keresztül is lehetővé tegye a hitelesítést. A rendszer nem használ altartományokat biztonsági határként. Ugyanakkor az ügyfelek tartalmát sem hosztolja.

Hogyan állíthatjuk be azt, hogy az alkalmazás munkamenete például 15 perc után időtúllépéssel véget érjen?

Power Platform azonosítóidentitás- és hozzáférés-kezelést használ Microsoft Entra . Az ID által ajánlott munkamenet-kezelési konfigurációt Microsoft Entra követi az optimális felhasználói élmény érdekében.

A környezetek azonban testreszabhatók úgy, hogy explicit munkamenet- és/vagy tevékenységi időtúllépéseket tartalmazzanak. További információ: Felhasználói munkamenet és hozzáférés-kezelés.

Az ID Power PlatformContinuous Access Evaluation Microsoft Entra közelgő bevezetésével a felhasználók azonosítása és hitelesítésemég biztonságosabb és megbízhatóbb lesz.

Az alkalmazás lehetővé teszi, hogy ugyanazon felhasználó egyszerre több gépről vagy böngészőből is hozzáférjen a szolgáltatáshoz. Hogyan akadályozható meg ez?

A felhasználók számára kényelmet jelent, ha egyszerre egynél több eszközről vagy böngészőből is hozzáférhetnek az alkalmazáshoz. Power PlatformAz ID Microsoft Entra Continuous Access Evaluation közelgő megvalósítása segít biztosítani, hogy a hozzáférés engedélyezett eszközökről és böngészőkből történjen, és továbbra is érvényes legyen.

Miért tesznek elérhetővé egyes Power Platform szolgáltatások kiszolgálófejléceket részletes információkkal?

A Power Platform szolgáltatások dolgoznak a kiszolgáló fejlécében található szükségtelen információk eltávolításán. A cél kiegyenlíteni a részletesség szintjét az információk közzétételének kockázatával, ami meggyengítheti az általános biztonsági helyzetet.

Hogyan befolyásolják a Log4j sebezhetőségek a Power Platform-ot? Mit kell tenniük az ügyfeleknek ebből a szempontból?

Microsoft úgy értékelte, hogy a Log4j biztonsági rései nincsenek hatással Power Platform. Tekintse meg a Log4j sebezhetőségek megelőzéséről, észleléséről és kihasználásának megelőzéséről szóló blogbejegyzésünket.

Hogyan biztosítható, hogy a böngészőbővítmények vagy az egyesített felület API-jai által ne lehessen engedélyezni a korábban már letiltott vezérlőket, ami így jogosulatlan tranzakciókhoz vezetne?

A Power Apps biztonsági modellje nem tartalmazza a letiltott vezérlők fogalmát. A vezérlők letiltása UI-fejlesztésnek minősül. A biztonság érdekében nem szabad letiltott vezérlőkre támaszkodnia. Ehelyett használja a Dataverse-vezérlőket, például a mezőszintű biztonsági intézkedéseket az illetéktelen tranzakciók megakadályozásához.

Milyen HTTP biztonsági fejlécek használhatók az adatok véd válasz?

Name Details
Szigorú szállítás-biztonság Ez minden válasznál be van állítva max-age=31536000; includeSubDomains .
X-Frame-opciók Ez elavult a CSP javára.
X-tartalomtípus-beállítások Ez az összes eszköz válasznál be van állítva nosniff .
Tartalom-Biztonság-Szabályzat Ez akkor van beállítva, ha a felhasználó engedélyezi a CSP-t.
X-XSS-védelem Ez elavult a CSP javára.

Hol találok Power Platform vagy Dynamics 365 behatolási teszteket?

A legújabb behatolási tesztek és biztonsági értékelések megtalálhatók a szolgáltatásmegbízhatósági Microsoft portálon.

Feljegyzés

A Szolgáltatásmegbízhatósági portál egyes erőforrásainak eléréséhez hitelesített felhasználóként kell bejelentkeznie felhőszolgáltatás-fiókjával Microsoft (Microsoft Entra szervezeti fiókjával), valamint át kell tekintenie és el kell fogadnia a Microsoft megfelelőségi anyagokra vonatkozó titoktartási megállapodást.

Biztonság Microsoft Power Platform
Hitelesítés szolgáltatásokhoz Power Platform
Csatlakozás és hitelesítés adatforrásokhoz
Adattárolás Power Platform

Kapcsolódó információk