Biztonság a Microsoft Power Platform alkalmazásban
A Power Platform segítségével gyorsan és egyszerűen létrehozhatóak a megoldások a nem professzionális és professzionális fejlesztők számára egyaránt. Ezeknek a megoldásoknak a biztonsága alapvető fontosságú. A Power Platform iparvezető védelmet biztosít.
A szervezetek gyorsítják az áttérést a felhőbe, és felgyorsítják a fejlett technológiák működését és az üzleti döntéshozatalt. Több alkalmazott dolgozik távolról. Az ügyfelek az online szolgáltatások iránti igénye növekvőben van. A hagyományos helyi alkalmazásbiztonsági rendszer már nem elegendő. A natív felhős, többrétegű, üzletiintelligencia-adatokra vonatkozó biztonsági megoldást kereső szervezetek a Power Platform-ot választják. A országos biztonsági szervek, pénzügyi intézmények és egészségügyi szolgáltatók megbízzák a Power Platform-ot a legérzékenyebb adataikkal.
Microsoft a 2000-es évek közepe óta hatalmas beruházásokat hajtott végre a biztonság területén. Több mint 3 500 Microsoft mérnök dolgozik azon, hogy proaktívan kezelje a folyamatosan változó fenyegetési környezetet. Microsoft A biztonság a lapkára integrált BIOS-kernelnél kezdődik, és egészen a felhasználói élményig terjed. Jelenleg a biztonsági verem a legfejlettebb az iparágban. Microsoft széles körben a rosszindulatú szereplők elleni küzdelem globális vezetőjének tekintik. Számítógépek milliárdjai, bejelentkezések trilliói és zettabájtnyi adat van megbízva a védelemben Microsoft.
A Power Platform ezen erős alapra épül. Ugyanazt a biztonsági veremet használja, amellyel az Azure jogot szerzett a világ legérzékenyebb adatainak kiszolgálására és védelmére, és integrálódik a Microsoft 365 legfejlettebb információvédelmi és megfelelőségi eszközeivel. A Power Platform teljes körű védelmet nyújt ügyfeleink felhőkorszak legnehezebb problémáira tervezve:
- Hogyan szabályozható, hogy ki kapcsolódhat, honnan és hogyan? Hogyan szabályozhatók a kapcsolatok?
- Az adatok tárolásának módja. Hogyan titkosított? Milyen vezérlőelemek vannak az adatokon?
- Hogyan szabályozhatók és védhetők a bizalmas adatok? Hogyan biztosítjuk, hogy az adataink ne tudjanak kiszivárogni a szervezetből?
- Hogyan naplózzuk, hogy ki mire képes? Hogyan reagáljunk gyorsan, ha észleljük a gyanús tevékenységeket?
Cégirányítás
A Power Platform szolgáltatásra az Microsoft Online Szolgáltatások feltételei és a Microsoft Nagyvállalati adatvédelmi nyilatkozat vonatkoznak. Az adatkezelés helyét illetően tekintse meg az Microsoft Online Szolgáltatások Feltételeit és az Adatvédelmi Kiegészítést.
Az Microsoft Adatvédelmi központ a megfelelőségi információk elsődleges forrása Power Platform . További információ: Microsoft Megfelelőségi ajánlatok.
A Power Platform szolgáltatás a biztonsági fejlesztési életciklust (SDL) követi. Az SDL olyan gyakorlati tanácsok összessége, amely támogatja a biztonsági megbízhatósági és a megfelelési követelményeket. További információ: Microsoft Biztonsági fejlesztési életciklus-gyakorlatok.
Általános Power Platform biztonsági koncepciók
A Power Platform több szolgáltatást is tartalmaz. A sorozatban ismertetünk néhány biztonsági koncepciót, amely mindegyikre vonatkozik. Az egyéb fogalmak az egyes szolgáltatásokra vonatkoznak. Ahol a biztonsági fogalmak eltérőek, ott hívjuk fel őket.
Az összes Power Platform szolgáltatásban közös biztonsági fogalmak a következők:
- A Power Platform szolgáltatási architektúra, illetve az információknak a rendszeren keresztüli adatfolyama
- Hitelesítés a szolgáltatásokhoz Power Platform , avagy a felhasználók hozzáférése a szolgáltatásokhoz
- Csatlakozás és hitelesítés adatforrásokhoz, vagy hogyan kapcsolódnak a szolgáltatások az adatforrásokhoz, és hogyan férnek hozzá a felhasználók az adatokhoz
- Adattárolás Power Platform vagy az adatok védelmének módja, függetlenül attól, hogy inaktív állapotban vannak-e, vagy a rendszerek és szolgáltatások közötti átvitel alatt állnak
A Power Platform szolgáltatás architektúrája
Power Platform A szolgáltatások az Azure Microsoft felhőalapú számítástechnikai platformjára épülnek. A Power Platform szolgáltatási architektúra négy összetevőből áll:
- Webes előtéri fürt
- Háttérfürt
- Prémium infrastruktúra
- Mobilplatformok
Webes előtéri fürt
A webes felhasználói felületet megjelenítő Power Platform szolgáltatásokra vonatkozik. A webes előtéri fürt az alkalmazás vagy a szolgáltatás kezdőlapját szolgálja ki a felhasználó böngészőjének. Az ügyfelek kezdeti hitelesítésére és a későbbi ügyfélkapcsolatok jogkivonatainak biztosítására szolgál Microsoft Entra a Power Platform háttérszolgáltatáshoz.
A webes előtérfürt egy olyan ASP.NET webhelyből áll, amely az Azure App Service környezetben fut. Amikor egy felhasználó meglátogat egy Power Platform szolgáltatást vagy alkalmazást, az ügyfél DNS szolgáltatása a legmegfelelőbb (általában legközelebbi) adatközpontot kap az Azure Traffic Manager-től. További információ: Az Azure Traffic Manager „Teljesítmény” forgalom-útválasztási módja.
A webes előtérfürt kezeli a bejelentkezési és hitelesítési sorrendet. A felhasználó hitelesítése után a Microsoft Entra hozzáférési token szerez be. Az ASP.NET összetevő a jogkivonat elemzési elemével határozza meg, hogy a felhasználó melyik szervezethez tartozik. Az összetevő ezután a Power Platform globális háttérszolgáltatásban egyeztetve megadja azt a böngészőt, amelyik a háttérfürtnek adja meg a szervezet bérlőjét. Az ezt követő ügyfélkapcsolati tevékenységek közvetlenül a háttérfürtöt érintik, így nem szükséges a webes előtér.
A böngésző statikus erőforrásokat (.js, .css és képfájlokat) igényel elsősorban az Azure Content Delivery Network (CDN) hálózatból. A szuverén kormányzati fürttelepítések kivételt képeznek. A megfelelési okok miatt ezek a telepítések elhagyják az Azure CDN-t. Ehelyett egy webes előtéri fürtöt használnak egy kompatibilis régióból a statikus tartalom szolgáltatásához.
Power Platform háttérfürt
A háttérfürt a Power Platform szolgáltatásban rendelkezésre álló összes funkció kulcsszála. Szolgáltatási végpontok, háttérszolgáltatások, adatbázisok, gyorsítótárak és egyéb összetevőkből áll.
A háttér elérhető a legtöbb Azure régióban, és az új régiókban van telepítve, amint elérhetővé válnak. Egy régió több fürtöt is állomásoztathat. Ez a konfiguráció lehetővé teszi a Power Platform-szolgáltatások korlátlan vízszintes skálázását az egyes fürt függőleges és vízszintes méretezési határértékének elérése után.
A háttérfürtök állapotalapúak. A háttérfürt a hozzá rendelt összes bérlő összes adatát tárolja. Az adott bérlő adatait tartalmazó fürt a bérlő otthoni fürtje. A hitelesített felhasználó otthoni fürtjére vonatkozó adatokat a Power Platform globális háttérszolgáltatás biztosítja a webes előtér fürtnek. A webes előtér az információk segítségével irányítja a kérelmeket a bérlő otthoni háttérfürtjéhez.
A bérlői metaadatok és adatok a fürtkorláton belül tárolódnak. Ez alól kivételek az adat replikációja egy másodlagos háttérfürtre, amely ugyanabban az Azure földrajzi elhelyezkedésű, párolt régióban található. A másodlagos fürt feladatátvételt szolgál helyi kimaradás esetén, és bármikor passzív. A fürt virtuális hálózatában különböző gépeken futó mikroszolgáltatások háttér-funkciókat is szolgálnak. A mikroszolgáltatások közül csak kettő érhető el a nyilvános internetről:
- Átjárószolgáltatás
- Azure API Management
Power Platform Prémium infrastruktúra
A Power Platform Premium szolgáltatás hozzáférést biztosít a bővített csatlakozókhoz fizetett szolgáltatásként. A Power Platform-készítők nem korlátozzák a felsőkategóriás csatlakozók használatát, az alkalmazásfelhasználók azonban igen. A felsőkategóriás csatlakozókat tartalmazó alkalmazás felhasználóinak megfelelő licenccel kell rendelkezik a hozzáférésükhöz. A Power Platform háttérszolgáltatás meghatározza, hogy a felhasználó rendelkezik-e hozzáféréssel a felsőkategóriás csatlakozókhoz.
Mobilplatformok
Power Platform Androidtámogatja, iOS, és Windows (UWP) alkalmazásokat. A mobilalkalmazások biztonsági megfontolásai két kategóriába sorolhatók:
- Eszközkommunikáció
- Az eszközön található alkalmazás és adatok
Eszközkommunikáció
A Power Platform mobilalkalmazások ugyanazt a kapcsolat- és hitelesítési sorozatot használják, mint a böngészők. Android és iOS az alkalmazások megnyitnak egy böngésző-munkamenetet az alkalmazásban. A Windows-alkalmazások egy közvetítő segítségével hoznak létre kommunikációs csatornát a bejelentkezési folyamat Power Platform szolgáltatásaival.
A következő táblázat a mobilalkalmazások tanúsítványalapú hitelesítésének (CBA) támogatását mutatja be:
| CBA-támogatás | iOS | Android | Ablakok |
|---|---|---|---|
| Jelentkezzen be a szolgáltatásba | Támogatott | Támogatott | Nem támogatott |
| SSRS ADFS helyi (csatlakozás az SSRS szerverhez) | Nem támogatott | Támogatott | Nem támogatott |
| SSRS alkalmazás proxy | Támogatott | Támogatott | Nem támogatott |
A mobilalkalmazások aktívan kommunikálnak a Power Platform szolgáltatásokkal. Az alkalmazáshasználati statisztikákat és hasonló adatokat a rendszer továbbítja a használatot és tevékenységet figyelő szolgáltatásoknak. Nem tartalmaz ügyféladatokat.
Az eszközön található alkalmazás és adatok
A mobilalkalmazást és a szükséges adatokat a rendszer biztonságos helyen tárolja az eszközön. Microsoft Entra A frissítési jogkivonatok tárolása pedig az iparági szabványoknak megfelelő biztonsági intézkedésekkel történik.
Az eszközön gyorsítótárazott adatok az előző munkamenetekben használt alkalmazásadatokat, felhasználói beállításokat, irányítópultokat és jelentéseket tartalmaznak. A gyorsítótár egy védőfalban található a belső tárolóban. A gyorsítótár csak az alkalmazás számára érhető el, és az operációs rendszer titkosítható.
- iOS: A titkosítás automatikus, ha a felhasználó PIN-kódot állít be.
- Android: A titkosítást a beállításoknál lehet beállítani.
- Windows: A titkosítást a BitLocker kezeli.
Microsoft Az Intune fájlszintű titkosítása az adattitkosítás javítására használható. Az Intune egy szoftverszolgáltatás, amely mobileszközöket és alkalmazáskezelést biztosít. Mindhárom mobil platform támogatja az Intune-t. Az Intune engedélyezésével és konfigurálásával a mobileszköz adatai titkosítva vannak, a Power Platform alkalmazás pedig nem telepíthető SD-kártyákra.
A Windows-alkalmazások támogatják a Windows Information Protection (WIP) rendszert is.
A gyorsítótárban lévő adatok azonnal törlődnek, ha a felhasználó:
- eltávolítja az alkalmazást
- kielentkezik Power Platform szolgáltatásból
- jelszó vagy jogkivonat lejárata után nem tud bejelentkezni
A földrajzi helymeghatározást kifejezetten a felhasználó engedélyezheti vagy tilthatja le. Ha engedélyezve van, a földrajzi helymeghatározási adatokat a rendszer nem menti az eszközre, és nem osztja meg velük Microsoft.
Az értesítéseket kifejezetten a felhasználó engedélyezheti vagy tilthatja le. Ha az értesítések engedélyezve vannak, Android és iOS nem támogatják a földrajzi adatok tárolási helyére vonatkozó követelményeket.
A Power Platform mobilszolgáltatások nem férnek hozzá a készüléken található egyéb alkalmazásmappákhoz vagy fájlokhoz.
Egyes jogkivonat-alapú hitelesítési adatok más Microsoft alkalmazások, például a hitelesítő számára is elérhetők az egyszeri bejelentkezés engedélyezéséhez. Ezeket az adatokat az Microsoft Entra Authentication Library SDK kezeli.
Kapcsolódó cikkek
Hitelesítés szolgáltatásokhoz Power Platform
Csatlakozás és hitelesítés adatforrásokhoz
Adattárolás Power Platform
Power Platform Biztonsági GYIK
Kapcsolódó információk
- Biztonság Microsoft Dataverse
- Microsoft Online Szolgáltatások Feltételei
- Microsoft Vállalati adatvédelmi nyilatkozat
- Adatvédelmi kiegészítés
- Microsoft Biztonsági fejlesztési életciklus-gyakorlatok
- Teljesítményforgalom-útválasztási módszer a Azure Traffic Manager
- Microsoft Intune
- Windows Információvédelem (WIP)