Power Platform қауіпсіздігі ЖҚС
Power Platform қауіпсіздігі туралы қойылатын жалпы сұрақтар екі санатқа бөлінеді:
Power Platform бағдарламасы 10 негізгі Open Web Application Security Project® (OWASP) тәуекелін азайтуға көмектесу үшін жасалған
Біздің тұтынушылар қоятын сұрақтар
Соңғы ақпаратты табуды жеңілдету үшін жаңа сұрақтар осы мақаланың соңына қосылады.
OWASP 10 негізгі тәуекелі: Power Platform тәуекелдерін жою
Open Web Application Security Project® (OWASP) бағдарламалық жасақтама қауіпсіздігін жақсарту үшін жұмыс істейтін коммерциялық емес қор болып табылады. Қауымдастық басқаратын бастапқы коды ашық бағдарламалық жасақтама жобалары, дүние жүзі бойынша жүздеген тараулар, он мыңдаған мүшелер және жетекші білім беру және оқыту конференциялары арқылы OWASP қоры әзірлеушілер мен технологтар үшін желіні қорғаудың көзі болып табылады.
OWASP үздік 10 бұл веб-бағдарлама қауіпсіздігіне қызығушылық танытатын әзірлеушілер мен басқаларға арналған стандартты ақпараттық құжат болып табылады. Ол веб-бағдарламалар үшін ең маңызды қауіпсіздік тәуекелдері туралы ауқымды консенсусты білдіреді. Бұл бөлімде біз Power Platform бағдарламасы осы тәуекелдерді азайтуға қалай көмектесетінін талқылаймыз.
A01:2021 Сынған қол жеткізуді басқару
- Power Platform қауіпсіздік үлгісі Least Privileged Access (LPA) негізінде құрылған. LPA тұтынушыларға нақты қатынасуды басқару элементі бар бағдарламаларды құруға мүмкіндік береді.
- Power Platform салалық стандартпен барлық API қоңырауларын авторизациялау үшін Microsoft Entra ID (Microsoft Entra ID) Microsoft Identity Platform қолданады OAuth 2.0 протоколы.
- Power Platform үшін негізгі деректерді қамтамасыз ететін Dataverse бағдарламасы орта деңгейіндегі, рөлге негізделген және жазба және өріс деңгейіндегі қауіпсіздікті қамтитын бай қауіпсіздік үлгісіне ие.
A02:2021 Криптографиялық қателер
Тасымалдау кезінде деректер:
- Power Platform бағдарламасы HTTP негізіндегі барлық желі трафигін шифрлау үшін TLS пайдаланады. Ол тұтынушы немесе құпия деректерді қамтитын HTTP емес желілік трафикті шифрлау үшін басқа механизмдерді пайдаланады.
- Power Platform бағдарламасы HTTP Strict Transport Security (HSTS) мүмкіндігін қосатын қатайтылған TLS конфигурациясын пайдаланады:
- TLS 1.2 немесе кейінгі нұсқасы
- ECDHE негізіндегі шифрлар жиынтығы және NIST қисықтары
- Күшті кілттер
Бос күйдегі деректер:
- Тұтынушының барлық деректері өзгермейтін сақтау құралдарына жазылмас бұрын шифрланады.
Power Platform бағдарламасы инъекциялық шабуылдарды болдырмау үшін салалық стандартты озық тәжірибелерді пайдаланады, соның ішінде:
- Параметрленген интерфейстері бар қауіпсіз API пайдалану
- Енгізуді тазарту үшін интерфейстік жақтаулардың үнемі даму үстіндегі мүмкіндіктерін қолдану
- Сервер тарапындағы тексеру арқылы шығысты тазарту
- Құрастыру кезінде статикалық талдау құралдарын пайдалану
- Код, дизайн немесе инфрақұрылым жаңартылып не жаңартылмағанына қарамастан әр қызметтің қауіп үлгісін алты ай сайын қарап шығу
- Power Platform бағдарламасы қауіпсіз дизайн мәдениеті мен әдістемесіне негізделген. Мәдениет те, әдістеме де Microsoft саладағы жетекші Қауіпсіздікті дамытудың өмірлік циклі (SDL) және Қауіптерді модельдеу арқылы үнемі күшейтіліп отырады. жаттығулар.
- Қауіптерді модельдеуді шолу процесі қауіптерді жобалау кезеңінде анықтауды, олардың азайтылғанына көз жеткізу үшін азайтуды және тексеруді қамтамасыз етеді.
- Сонымен қатар қауіпті модельдеу үздіксіз тұрақты шолулар арқылы бұрыннан бар қызметтердегі барлық өзгерістерді де есепке алады. STRIDE үлгісіне жүгіну қауіпсіз дизайнмен байланысты жиі кездесетін мәселелерді шешуге көмектеседі.
- Microsoft's SDL OWASP бағдарламалық қамтамасыз ету кепілдігінің жетілу моделіне (SAMM) баламалы. Екеуі де қауіпсіз дизайн веб-бағдарлама қауіпсіздігінің ажырамас бөлігі болып табылатын негізде құрылған.
A05:2021 Қауіпсіздік конфигурациясы қате
- "Әдепкі бойынша бас тарту" Power Platform дизайн принциптерінің негіздерінің бірі болып табылады. "Әдепкі бас тарту" арқылы тұтынушылар жаңа мүмкіндіктер мен конфигурацияларды қарап шығып, оларға келісуі керек.
- Құрастыру кезіндегі кез келген қате конфигурациялар Қауіпсіз әзірлеу құралдары арқылы біріктірілген қауіпсіздік талдауы арқылы анықталады.
- Оған қоса, Power Platform бағдарламасы OWASP үздік 10 тәуекеліне негізделген ішкі қызмет арқылы Динамикалық талдау қауіпсіздік сынағынан (DAST) өтеді.
A06:2021 осал және ескірген құрамдас бөліктер
- Power Platform Microsoftашық бастапқы және үшінші тарап құрамдастарын басқару үшін SDL тәжірибелеріне сүйенеді. Бұл тәжірибелер толық түгендеуді жүргізуді, қауіпсіздік талдауларын орындауды, құрамдастарды жаңартып отыруды және құрамдастарды тексерілген және сынақтан өткізілген қауіпсіздік оқиғасына жауап беру процесімен теңестіруді қамтиды.
- Сирек жағдайларда кейбір бағдарламаларда сыртқы тәуелділіктерге байланысты ескірген құрамдастардың көшірмелері болуы мүмкін. Дегенмен, осы тәуелділіктер бұрын сипатталған тәжірибелерге сәйкес шешілгеннен кейін құрамдастар бақыланады және жаңартылады.
A07:2021 Сәйкестендіру және аутентификация қателері
- Power Platform құрылған және Microsoft Entra ID сәйкестендіру және аутентификацияға тәуелді.
- Microsoft Entra Power Platform қауіпсіз мүмкіндіктерді қосуға көмектеседі. Бұл мүмкіндіктерге құпия сөзді бір рет енгізу арқылы кіру, көп факторлы аутентификация және ішкі және сыртқы пайдаланушылармен қауіпсіз байланысу үшін бір платформа кіреді.
- Power Platform-ның Microsoft Entra ID Үздіксіз қол жеткізуді бағалау (CAE) алдағы іске асыруымен пайдаланушы сәйкестендіру және аутентификация одан да көп болады. қауіпсіз және сенімді.
A08:2021 Бағдарламалық жасақтама және деректер тұтастығындағы ақаулар
- Power Platform бағдарламасының құрамдасты басқару процесі бағдарламалық жасақтаманың тұтастығын сақтау үшін буманың бастапқы файлдарының қауіпсіз конфигурациясын қамтамасыз етеді.
- Процесс ауыстыру шабуылын шешу үшін тек ішкі көзден алынған бумаларға қызмет көрсетуді қамтамасыз етеді. Ауыстыру шабуылы, сондай-ақ тәуелділік шатасуы ретінде белгілі, қауіпсіз кәсіпорын орталарында бағдарламаларды құру процесін улау үшін пайдаланылуы мүмкін әдіс болып табылады.
- Барлық шифрланған деректер жіберілмес бұрын қолданылған тұтастықты қорғауға ие. Кіріс шифрланған деректер үшін бар тұтастықты қорғаудың барлық метадеректері тексеріледі.
OWASP ең жақсы 10 төмен код/кодсыз тәуекелдер: азайту Power Platform
OWASP жариялаған 10 төмен кодты/кодсыз қауіпсіздік тәуекелдерін азайту бойынша нұсқаулықты мына құжатты қараңыз:
Power Platform - OWASP Төмен коды Коды жоқ Топ 10 тәуекел (2024 ж. сәуір)
Тұтынушылардың жалпы қауіпсіздік сұрақтары
Төменде тұтынушыларымыз қоятын кейбір қауіпсіздік сұрақтары берілген.
Power Platform бағдарламасы кликджекинг қорғауға қалай көмектеседі?
Clickjacking пайдаланушының веб-бетпен әрекеттесуін ұрлау үшін басқа құрамдастармен қатар ендірілген iframe файлдарын пайдаланады. Бұл әсіресе кіру беттеріне айтарлықтай қауіп төндіреді. Power Platform бағдарламасы кіру беттерінде iframe файлдарын пайдалануды болдырмайды, бұл кликджекинг қаупін айтарлықтай азайтады.
Оған қоса, ұйымдар сенімді домендерге ендіруді шектеу үшін Мазмұн қауіпсіздігі саясатын (CSP) пайдалана алады.
Power Platform бағдарламасы мазмұн қауіпсіздігі саясатына қолдау көрсете ме?
Power Platform бағдарламасы үлгіге негізделген бағдарламалар үшін Мазмұн қауіпсіздігі саясатына (CSP) қолдау көрсетеді. Біз CSP ауыстыратын келесі тақырыптарға қолдау көрсетпейміз:
X-XSS-ProtectionX-Frame-Options
SQL серверіне қалай қауіпсіз қосылуға болады?
Microsoft SQL Server серверін Power Apps бағдарламасымен қауіпсіз пайдалану бөлімін қараңыз.
Power Platform бағдарламасы қандай шифрларға қолдау көрсетеді? Күшті шифрларға үздіксіз жылжудың жол картасы қандай?
Барлық Microsoft қызметтер мен өнімдер Microsoft криптографиялық кеңестің нұсқауы бойынша бекітілген шифрлар жиынтығын пайдалану үшін конфигурацияланады. Толық тізім мен нақты ретті Power Platform құжаттамасынан қараңыз.
Шифрлық жинақтардың ескіруі туралы ақпарат Power Platform бағдарламасының Маңызды өзгерістер құжаттамасы арқылы беріледі.
Неліктен Power Platform бағдарламасы әлсіз деп саналатын RSA-CBC шифрларына (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) және TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) әлі күнге дейін қолдау көрсетеді?
Microsoft қолдау көрсету үшін шифрлар жиынтығын таңдау кезінде салыстырмалы тәуекелді және тұтынушы операцияларының бұзылуын өлшейді. RSA-CBC шифр жинағы әлі бұзылған жоқ. Біз оларға қызметтеріміз бен өнімдерімізде үйлесімділікті қамтамасыз етуге және барлық тұтынушы конфигурацияларына қолдау көрсетуге мүмкіндік бердік. Дегенмен, олар басымдық тізімінің соңында.
Біз Microsoft Криптографиялық кеңестің үздіксіз бағалауына сүйене отырып, бұл шифрларды қажет уақытта есептен шығарамыз.
Неліктен Power Automate бағдарламасы триггер/әрекет кірістері мен шығыстарында MD5 мазмұн хэштерін көрсетеді?
Power Automate бағдарламасы Azure Storage арқылы қайтарылған қосымша мазмұн-MD5 хэш мәнін өз клиенттеріне сол күйінде береді. Бұл хэшті бақылау сомасы алгоритмі ретінде тасымалдау кезінде беттің тұтастығын тексеру үшін Azure Storage пайдаланады және ол Power Automate бағдарламасында қауіпсіздік мақсатында криптографиялық хэш функциясы ретінде пайдаланылмайды. Бұл туралы қосымша мәліметтерді Blob сипаттарын алу және Сұраныс тақырыптарымен қалай жұмыс істеу керектігі туралы Azure сақтау құжаттамасынан таба аласыз.
Power Platform бағдарламасы қызметтен бас тарту (DDoS) шабуылдарынан қалай қорғайды?
Power Platform бағдарламасы Microsoft Azure жүйесіне енгізілген және DDoS шабуылдарынан қорғау үшін Azure DDoS қорғанысы қызметін пайдаланады.
Ұйым деректерін қорғауға көмектесу үшін Power Platform jailbreak iOS құрылғыларды және тамыры бар Android құрылғыларды анықтай ма?
Сізге Microsoft Intune пайдалануды ұсынамыз. Intune мобильді құрылғыларды басқару шешімі болып табылады. Ол пайдаланушылар мен құрылғылардың белгілі талаптарға сай болуын талап ету арқылы ұйымдық деректерді қорғауға көмектесе алады. Қосымша ақпарат алу үшін Intune сәйкестік саясатының параметрлері бөлімін қараңыз.
Неліктен сеанс cookie файлдары негізгі доменге қатысты?
Power Platform бағдарламасы ұйымдар арасында аутентификацияға рұқсат беру үшін негізгі доменге сеанс cookie файлдарын қамтиды. Ішкі домендер қауіпсіздік шекарасы ретінде пайдаланылмайды. Олар сонымен қатар тұтынушы мазмұнын орналастырмайды.
Бағдарлама сеансын, айталық, 15 минуттан кейін күту уақытын қалай орнатуға болады?
Power Platform Microsoft Entra ID идентификациясын және кіруді басқаруды пайдаланады. Ол оңтайлы пайдаланушы тәжірибесі үшін Microsoft Entra ID ұсынған сеансты басқару конфигурациясына сәйкес келеді.
Дегенмен, ашық сеанс және/немесе әрекет күту уақыттары болуы үшін орталарды теңшей аласыз. Қосымша ақпарат алу үшін Пайдаланушы сеансы және қатынасуды басқару бөлімін қараңыз.
Power Platform-ның Microsoft Entra ID Үздіксіз қол жеткізуді бағалау алдағы іске асыруымен пайдаланушы сәйкестендіру және аутентификация одан да қауіпсіз және сенімдірек болады. .
Бағдарлама бір пайдаланушыға бір уақытта бірнеше құрылғыдан немесе браузерден кіруге мүмкіндік береді. Мұны қалай болдырмауға болады?
Бағдарламаға бір уақытта бірнеше құрылғыдан немесе браузерден қатынасу пайдаланушылар үшін ыңғайлы. Power Platform's Microsoft Entra ID Үздіксіз қол жеткізуді бағалау қолжетімділігі рұқсат етілген құрылғылар мен браузерлерден және әлі де жарамды екеніне көз жеткізуге көмектеседі.
Неліктен кейбір Power Platform қызметтері толық ақпараты бар сервер тақырыптарын көрсетеді?
Power Platform қызметтері сервер тақырыбындағы қажетсіз ақпаратты жою үшін жұмыс істейді. Мақсат - жалпы қауіпсіздік жағдайын әлсіретуі мүмкін ақпаратты көрсету қауіпімен мәлімет деңгейін теңестіру болып табылады.
Log4j осалдықтары Power Platform бағдарламасына қалай әсер етеді? Осыған байланысты тұтынушылар не істеуі керек?
Microsoft Log4j осалдықтарының әсер етпейтінін бағалады Power Platform. Log4j осалдықтарының алдын алу, анықтау және пайдалану туралы блог жазбамызды қараңыз.
Өшірілген басқару элементтерін қосуға мүмкіндік беретін браузер кеңейтімдері немесе бірыңғай интерфейс клиенттік API арқылы рұқсат етілмеген транзакциялардың жоқтығын қалай қамтамасыз ете аламыз?
Power Apps қауіпсіздік үлгісі өшірілген басқару элементтері түсінігін қамтымайды. Басқару элементтерін өшіру UI жақсарту болып табылады. Қауіпсіздікті қамтамасыз ету үшін өшірілген басқару элементтеріне сенбеу керек. Оның орнына рұқсат етілмеген транзакцияларды болдырмау үшін өріс деңгейіндегі қауіпсіздік сияқты Dataverse басқару элементтерін пайдаланыңыз.
жауап деректерін қорғау үшін қандай HTTP қауіпсіздік тақырыптары пайдаланылады?
| Аты | Толық мәліметтер |
|---|---|
| Қатаң-Көлік-Қауіпсіздік | Бұл барлық жауаптарда max-age=31536000; includeSubDomains деп орнатылған. |
| X-Frame-параметрлері | Бұл CSP пайдасына ескірген. |
| X-Content-Type-Options | Бұл барлық актив жауаптарында nosniff деп орнатылған. |
| Мазмұн-Қауіпсіздік-саясат | Бұл пайдаланушы CSP қосса орнатылады. |
| X-XSS-қорғау | Бұл CSP пайдасына ескірген. |
Power Platform немесе Dynamics 365 ену сынақтарын қайдан табуға болады?
Ең соңғы ену сынақтары мен қауіпсіздік бағалауларын Microsoft Қызмет сенімді порталында табуға болады.
Ескертпе
Service Trust порталындағы кейбір ресурстарға қол жеткізу үшін Microsoft бұлттық қызметтер тіркелгісімен (Microsoft Entra ұйым тіркелгісі) аутентификацияланған пайдаланушы ретінде жүйеге кіріп, Microsoft сәйкестік материалдарын жарияламау туралы келісім.
Қатысты мақалалар
Қауіпсіздік Microsoft Power Platform
Power Platform қызметтерге аутентификация
Деректер көздеріне қосылу және аутентификация
Деректерді сақтау Power Platform