Keamanan dalam Microsoft Power Platform
Power Platform memberikan kemampuan untuk membuat solusi end-to-end dengan cepat dan mudah di tangan pengembang non-profesional dan profesional. Keamanan sangat penting untuk solusi ini. Power Platform dibuat untuk memberikan perlindungan terkemuka di industri.
Organisasi mempercepat transisi mereka ke cloud, menggunakan teknologi canggih dalam operasi dan pengambilan keputusan bisnis. Lebih banyak karyawan yang bekerja dari jarak jauh. Permintaan pelanggan untuk layanan online melambung tinggi. Keamanan aplikasi lokal biasa tidak lagi cukup. Organisasi yang mencari solusi keamanan mendalam multi-tingkat cloud-native untuk data inteligensi bisnis mereka beralih ke Power Platform. Badan keamanan negara, instansi keuangan, dan penyedia layanan kesehatan mempercayai Power Platform dengan informasi yang paling sensitif.
Microsoft telah melakukan investasi besar-besaran dalam keamanan sejak pertengahan 2000-an. Lebih dari 3.500 Microsoft insinyur bekerja untuk secara proaktif mengatasi lanskap ancaman yang terus berubah. Microsoft keamanan dimulai dari kernel BIOS on-chip dan meluas hingga pengalaman pengguna. Saat ini, tumpukan keamanan kami adalah yang paling canggih dalam industri. Microsoft secara luas dipandang sebagai pemimpin global dalam memerangi aktor jahat. Miliaran komputer, triliunan login, dan zettabyte data dipercayakan untuk perlindungan Microsoft.
Power Platform membangun landasan yang kuat ini. Ia menggunakan tumpuk keamanan yang sama yang memberi Azure hak untuk menyediakan dan melindungi data paling sensitif di dunia, serta mengintegrasikan Microsoft 365 dengan alat perlindungan dan kesesuaian informasi paling canggih. Power Platform memberikan perlindungan end-to-end yang dirancang di lingkungan masalah pelanggan yang paling sulit di era cloud:
- Bagaimana kita dapat mengontrol siapa yang dapat terhubung, dari mana mereka terhubung, dan bagaimana mereka terhubung? Bagaimana cara mengontrol koneksi?
- Bagaimana data disimpan? Bagaimana dienkripsi? Apa kontrol yang kita miliki pada data kita?
- Bagaimana cara mengontrol dan melindungi data sensitif kita? Bagaimana kita dapat memastikan data kita tidak dapat bocor ke luar organisasi?
- Bagaimana kita dapat mengaudit siapa yang dapat melakukan apa? Bagaimana cara merespons dengan cepat jika kita mendeteksi aktivitas yang mencurigakan?
Tata Kelola
Layanan ini Power Platform diatur oleh Microsoft Ketentuan Layanan Online dan Microsoft Pernyataan Privasi Perusahaan. Untuk lokasi pemrosesan data, lihat Microsoft Ketentuan Layanan Online dan Adendum Perlindungan Data.
Microsoft Pusat Kepercayaan adalah sumber daya utama untuk Power Platform informasi kepatuhan. Pelajari lebih lanjut di Microsoft Penawaran Kepatuhan.
Layanan Power Platform mengikuti SDL (Siklus Hidup Pengembangan Keamanan). SDL adalah rangkaian praktik ketat yang mendukung jaminan keamanan dan persyaratan kesesuaian. Pelajari selengkapnya di Microsoft Praktik Siklus Hidup Pengembangan Keamanan.
Konsep keamanan Power Platform umum
Power Platform mencakup beberapa layanan. Sebagian konsep keamanan yang akan kami bahas dalam rangkaian ini berlaku untuk semuanya. Konsep lain khusus untuk layanan individual. Bila konsep keamanan berbeda, kita akan memanggil mereka.
Konsep keamanan yang umum untuk semua layanan Power Platform mencakup:
- Arsitektur layanan Power Platform, atau cara informasi mengalir melalui sistem
- Mengautentikasi layanan Power Platform , atau cara pengguna mendapatkan akses ke layanan
- Menghubungkan dan mengautentikasi ke sumber data, atau bagaimana layanan terhubung ke sumber data dan pengguna mendapatkan akses ke data
- Penyimpanan data di, Power Platform atau bagaimana data dilindungi, baik saat tidak aktif atau dalam transit antara sistem dan layanan
Arsitektur Layanan Power Platform
Power Platform layanan dibangun di atas platform komputasi awan Azure Microsoft. Arsitektur layanan Power Platform terdiri dari empat komponen:
- Kluster front-end web
- Kluster Back-end
- Infrastruktur premium
- Platform Mobile
Kluster front-end web
Berlaku untuk layanan Power Platform yang menampilkan UI web. Kluster front-end web menyajikan aplikasi atau halaman beranda layanan ke browser pengguna. Ini digunakan Microsoft Entra untuk mengautentikasi klien pada awalnya, dan menyediakan token untuk koneksi klien berikutnya, ke Power Platform layanan back-end.
Kluster front-end web terdiri dari situs web ASP.NET yang berjalan di Lingkungan Layanan Aplikasi Azure. Bila pengguna mengunjungi aplikasi atau layanan Power Platform, layanan DNS klien mungkin mendapatkan pusat data yang paling sesuai (biasanya terdekat) dari Azure Traffic Manager. Untuk informasi lebih lanjut, lihat Metode perutean lalu lintas performa untuk Azure Traffic Manager.
Kluster front-end web mengelola urutan login dan otentikasi. Ini memperoleh Microsoft Entra token akses setelah pengguna diautentikasi. Komponen ASP.NET mengurai token untuk menentukan organisasi tempat pengguna berada. Komponen kemudian bertanya ke layanan back-end global Power Platform untuk menentukan ke browser kluster back-end mana yang menaungi penyewa organisasi. Interaksi klien berikutnya terjadi dengan kluster back-end secara langsung, tanpa perlu intermediary front-end web.
Browser mengambil sumber daya statis, seperti .js, .css, dan file gambar, terutama dari Jaringan Pengiriman Konten (CDN) Azure. Penyebaran kluster Pemerintah Berdaulat adalah pengecualian. Untuk alasan kesesuaian, penyebaran ini menghilangkan Azure CDN. Sebagai gantinya, mereka menggunakan kluster front-end web dari kawasan yang sesuai untuk meng-host konten statis.
Kluster Back-end Power Platform
Kluster back-end adalah backbone dari semua fungsi yang tersedia di layanan Power Platform. Ini terdiri dari titik akhir layanan, layanan kerja latar belakang, database, cache, dan komponen lainnya.
Back-end tersedia di sebagian besar kawasan Azure, dan disebarkan di kawasan baru setelah tersedia. Satu kawasan dapat meng-host beberapa kluster. Konfigurasi ini memungkinkan penskalaan horizontal tidak terbatas layanan Power Platform setelah batas skala vertikal dan horizontal satu kluster dicapai.
Kluster back-end bersifat stateful. Kluster back-end meng-host semua data dari semua penyewa yang ditetapkan padanya. Kluster yang berisi data penyewa tertentu disebut sebagai kluster rumah penyewa. Informasi tentang kluster beranda pengguna terotentikasi disediakan oleh layanan back-end global Power Platform ke kluster front-end web. Front-end web menggunakan informasi untuk merutekan permintaan ke kluster back-end penyewa.
Metadata penyewa dan data disimpan dalam batas kluster. Pengecualiannya adalah penggalian data ke kluster back-end kedua yang terletak di kawasan berpasangan di geografi Azure yang sama. Kluster kedua berfungsi sebagai failover jika terjadi pemadaman regional, dan pasif pada waktu lain. Layanan mikro yang berjalan pada komputer yang berbeda dalam jaringan virtual kluster juga menyediakan fungsi back-end. Hanya dua dari mikro-layanan berikut yang dapat diakses dari Internet publik:
- Layanan gateway
- API Management Azure
Infrastruktur premium Power Platform
Power Platform Premium memberikan akses ke rangkaian konektor yang diperluas sebagai layanan berbayar. Pembuat aplikasi Power Platform tidak dibatasi dalam menggunakan konektor premium, namun pengguna aplikasi dibatasi. Artinya, pengguna aplikasi yang mencakup konektor premium harus memiliki lisensi yang benar untuk mengaksesnya. Layanan back-end Power Platform menentukan apakah pengguna memiliki akses ke konektor premium.
Platform Mobile
Power Platform mendukung Android,, iOS dan aplikasi Windows (UWP). Pertimbangan keamanan untuk aplikasi di perangkat bergerak termasuk dalam dua kategori:
- Komunikasi perangkat
- Aplikasi dan data di perangkat
Komunikasi perangkat
Aplikasi seluler Power Platform menggunakan urutan koneksi dan otentikasi yang sama yang digunakan oleh browser. Android dan iOS aplikasi membuka sesi browser di aplikasi. Aplikasi Windows menggunakan perantara untuk menetapkan saluran komunikasi dengan layanan Power Platform untuk proses masuk.
Tabel berikut menunjukkan dukungan CBA (otentikasi berbasis sertifikat) untuk aplikasi di perangkat bergerak:
| Dukungan CBA | iOS | Android | Jendela |
|---|---|---|---|
| Masuk ke layanan | Didukung | Didukung | Tidak didukung |
| SSRS ADFS lokal (Sambungkan ke SSRS server) | Tidak didukung | Didukung | Tidak didukung |
| Proksi Aplikasi SSRS | Didukung | Didukung | Tidak didukung |
Aplikasi perangkat bergerak secara aktif berkomunikasi dengan layanan Power Platform. Statistik penggunaan aplikasi dan data serupa dikirim ke layanan yang memantau penggunaan dan aktivitas. Tidak ada data pelanggan yang disertakan.
Aplikasi dan data di perangkat
Aplikasi seluler dan data yang diperlukan disimpan dengan aman di perangkat. Microsoft Entra dan refresh token disimpan menggunakan langkah-langkah keamanan standar industri.
Data yang di-cache pada perangkat mencakup data aplikasi, pengaturan pengguna, serta dasbor, serta laporan yang diakses pada sesi sebelumnya. Cache disimpan dalam sandbox di penyimpanan internal. Cache hanya dapat diakses ke aplikasi dan dapat dienkripsi oleh OS.
- iOS: Enkripsi otomatis saat pengguna mengatur kode sandi.
- Android: Enkripsi dapat dikonfigurasi dalam pengaturan.
- Windows: Enkripsi ditangani oleh BitLocker.
Microsoft Enkripsi tingkat file Intune dapat digunakan untuk menyempurnakan enkripsi data. Intune adalah layanan perangkat lunak yang menyediakan perangkat bergerak dan manajemen aplikasi. Ketiga platform perangkat bergerak mendukung Intune. Dengan Intune diaktifkan dan dikonfigurasi, data pada perangkat bergerak dienkripsi dan aplikasi Power Platform tidak dapat diinstal pada kartu SD.
Aplikasi Windows juga mendukung Windows Information Protection (WIP).
Data yang di-cache dihapus jika pengguna:
- menghapus instalan aplikasi
- keluar dari layanan Power Platform
- Gagal masuk setelah mengubah sandi atau token kedaluwarsa
Geolokasi diaktifkan atau dinonaktifkan secara eksplisit oleh pengguna. Jika diaktifkan, data geolokasi tidak disimpan di perangkat dan tidak dibagikan dengan Microsoft.
Notifikasi diaktifkan atau dinonaktifkan secara eksplisit oleh pengguna. Jika pemberitahuan diaktifkan, Android dan iOS tidak mendukung persyaratan residensi data geografis.
Layanan seluler Power Platform tidak mengakses folder aplikasi atau file lain pada perangkat.
Beberapa data autentikasi berbasis token tersedia untuk aplikasi lain Microsoft , seperti Authenticator, untuk mengaktifkan akses menyeluruh. Data ini dikelola oleh Microsoft Entra SDK Library Otentikasi.
Artikel terkait
Mengautentikasi ke Power Platform layanan
Menghubungkan dan mengautentikasi ke sumber data
Penyimpanan data di Power Platform
Power Platform FAQ keamanan
Baca juga
- Keamanan di Microsoft Dataverse
- Microsoft Ketentuan Layanan Online
- Microsoft Pernyataan Privasi Perusahaan
- Adendum Perlindungan Data
- Microsoft Praktik Siklus Hidup Pengembangan Keamanan
- Metode perutean lalu lintas performa untuk Azure Traffic Manager
- Microsoft Intune
- Perlindungan Informasi Windows (WIP)