Microsoft Power Platform бағдарламасындағы қауіпсіздік
Power Platform кәсіби және кәсіби емес әзірлеушілерге кешенді шешімдерді жылдам және оңай жасауға мүмкіндік береді. Бұл шешімдер үшін қауіпсіздік маңызды. Power Platform саладағы жетекші қорғанысты қамтамасыз ету үшін жасалған.
Ұйымдар операцияларға және бизнес шешімдерін қабылдауға озық технологияларды ендіре отырып, бұлтқа өтуді жеделдетуде. Қашықтан жұмыс істейтін қызметкерлер саны артып келеді. Тұтынушылардың онлайн қызметтерге сұранысы да артып келеді. Дәстүрлі жергілікті қолданба қауіпсіздігі енді жеткіліксіз. Ұйымдар бизнес сараптау деректері үшін бұлтқа негізделген, көп деңгейлі, терең қорғаныс шешімін іздеп, Power Platform қызметіне өтуде. Ұлттық қауіпсіздік агенттіктері, қаржы институттары және медициналық қызмет жеткізушілері Power Platform қызметіне өздерінің ең құпия ақпаратын сеніп тапсырады.
Microsoft 2000 жылдардың ортасынан бастап қауіпсіздікке ауқымды инвестиция салды. 3500-ден астам Microsoft инженерлер үнемі өзгеріп отыратын қауіп ландшафтын белсенді түрде шешу үшін жұмыс істейді. Microsoft қауіпсіздік чиптегі BIOS ядросынан басталып, пайдаланушы тәжірибесіне дейін кеңейеді. Бүгінгі таңда біздің қауіпсіздік стекіміз саладағы ең озық болып табылады. Microsoft зиянкестермен күресте жаһандық көшбасшы ретінде кеңінен қарастырылады. Миллиардтаған компьютерлер, триллиондаған логиндер және зеттабайт деректер Microsoftді қорғауға сеніп тапсырылған.
Power Platform осы берік негізге сүйенеді. Ол Azure жүйесіне әлемдегі ең құпия деректерге қызмет көрсету және қорғау құқығын берген қауіпсіздік стегін пайдаланады және Microsoft 365 қызметінің ең озық ақпаратты қорғау және сәйкестік құралдарымен біріктіріледі. Power Platform бұлт дәуіріндегі тұтынушыларымыздың ең күрделі мәселелерін ескере отырып жасалған өтпелі қорғанысты қамтамасыз етеді:
- Кім, қайдан және қалай қосыла алатынын қалай басқарамыз? Қосылымдарды қалай басқарамыз?
- Деректеріміз қалай сақталады? Олар қалай шифрланады? Деректерімізге арналған қандай бақылау құралдары бар?
- Құпия деректерімізді қалай басқарамыз және қорғаймыз? Деректеріміздің ұйымнан тыс ағып кетпеуін қалай қамтамасыз етеміз?
- Кімнің не істей алатынын қалай тексере аламыз? Күдікті әрекетті анықтасақ, қалай тез әрекет ете аламыз?
Басқару
Power Platform қызмет Microsoft Онлайн қызметтер шарттары және Microsoft Кәсіпорынның құпиялылық мәлімдемесімен реттеледі. Деректерді өңдеу орнын Microsoft Онлайн қызметтер шарттарына және Деректерді қорғау қосымшасына қараңыз.
Microsoft Сенім орталығы сәйкестік ақпаратының Power Platform басты ресурсы болып табылады. Толығырақ ақпаратты Microsoft Сәйкестік ұсыныстары бөлімінен қараңыз.
Power Platform қызметі Қауіпсіздікті дамытудың жарамдылық кезеңіне (SDL) бағынады. SDL — қауіпсіздікті қамтамасыз ету және сәйкестік талаптарын қолдайтын қатаң тәжірибелер жиынтығы. Толығырақ ақпаратты Microsoft Қауіпсіздікті дамытудың өмірлік циклі тәжірибелері бөлімінен қараңыз.
Power Platform қызметіндегі қауіпсіздік туралы негізгі ұғымдар
Power Platform бірнеше қызметтерді қамтиды. Осы серияда қарастырылатын кейбір қауіпсіздік ұғымдары олардың барлығына қолданылады. Кейбір ұғымдар жекелеген қызметтерге тән. Қауіпсіздік ұғымдары әртүрлі болған жағдайда, біз оларды атап көрсетеміз.
Барлық Power Platform қызметтері үшін ортақ қауіпсіздік ұғымдарына мыналар жатады:
- Power Platform қызметінің құрылымы немесе жүйедегі ақпарат ағынының жұмыс істеу жолы
- Power Platform қызметтердің аутентификациясы немесе пайдаланушылардың қызметтерге қол жеткізу жолы
- Деректер көздеріне қосылу және аутентификация немесе қызметтердің деректер көздеріне қосылуы және пайдаланушылардың деректерге қол жеткізуі
- Деректерді Power Platform ішінде сақтау немесе олар тыныштықта немесе жүйелер мен қызметтер арасында транзитте болсын, деректер қалай қорғалады
Power Platform қызметінің құрылымы
Power Platform қызметтер Azure, Microsoft бұлтты есептеу платформасында құрастырылған. Power Platform қызметінің құрылымы төрт құрамдас бөліктен тұрады:
- Веб-интерфейс кластері
- Серверлік кластер
- Премиум инфрақұрылым
- Мобильді платформалар
Веб-интерфейс кластері
Веб интерфейсті көрсететін Power Platform қызметтеріне қолданылады. Веб-интерфейс кластері пайдаланушының браузеріндегі бағдарламаның немесе қызметтің басты бетіне қызмет көрсетеді. Ол бастапқыда клиенттерді аутентификациялау үшін Microsoft Entra қолданады және Power Platform бэк-end қызметіне келесі клиенттік қосылымдар үшін таңбалауыштарды береді.
Веб-интерфейс кластері Azure бағдарлама қызметі ортасында жұмыс істейтін ASP.NET веб-сайтынан тұрады. Пайдаланушы Power Platform қызметіне немесе бағдарламасына кірген кезде, клиенттің DNS қызметі Azure трафик менеджерінен ең сәйкес (әдетте ең жақын) деректер орталығын алуы мүмкін. Қосымша ақпарат алу үшін Azure трафик менеджері үшін өнімділік трафигін маршруттау әдісі бөлімін қараңыз.
Веб-интерфейс кластері кіру және аутентификация тәртібін басқарады. Ол пайдаланушы аутентификациядан кейін Microsoft Entra қолжетімділік белгісін алады. ASP.NET құрамдасы пайдаланушы қай ұйымға жататынын анықтау үшін токенді талдайды. Содан кейін құрамдас ұйым қатысушысы орналасқан серверлік кластерді браузерге көрсету үшін Power Platform глобалдық серверлік қызметімен кеңеседі. Клиенттердің кейінгі өзара әрекеттесулері веб-интерфейс делдалынсыз тікелей серверлік кластермен жүзеге асырылады.
Браузер .js, .css және кескін файлдары сияқты статикалық ресурстарды негізінен Azure мазмұнды жеткізу желісінен (CDN) алады. Ұлттық мемлекеттік кластерді орналастыру ерекшелік болып табылады. Сәйкестік себептеріне байланысты бұл орналастырулар Azure CDN опциясын қамтымайды. Оның орнына олар статикалық мазмұнды орналастыру үшін үйлесімді аймақтағы веб-интерфейс кластерін пайдаланады.
Power Platform серверлік кластері
Серверлік кластер Power Platform қызметінде қолжетімді барлық функциялардың негізі болып табылады. Ол қызметтің соңғы нүктелерінен, фондық режимде жұмыс істейтін қызметтерден, дерекқорлардан, кэштерден және басқа құрамдастардан тұрады.
Ол көптеген Azure аймақтарында қолжетімді және қолжетімді болған бойда жаңа аймақтарда орналастырылады. Бір аймақ бірнеше кластерді орналастыра алады. Бұл конфигурация бір кластердің тік және көлденең масштабтау шектеріне жеткеннен кейін Power Platform қызметтеріне шексіз көлденең масштабтауға мүмкіндік береді.
Серверлік кластерлердің күйін бақылауға болады. Серверлік кластер оған тағайындалған барлық қатысушылардың барлық деректерін орналастырады. Белгілі бір қатысушы деректерін қамтитын кластер қатысушының басты кластері деп аталады. Аутентификациядан өткен пайдаланушының басты кластері туралы ақпаратты Power Platform глобалдық серверлік қызметі веб-интерфейс кластеріне береді. Веб-интерфейс ақпаратты қатысушының басты серверлік кластеріне сұрауларды маршруттау үшін пайдаланады.
Қатысушы метадеректері мен деректері кластер шегінде сақталады. Бірақ бұған дәл сол Azure географиясындағы жұптастырылған аймақта орналасқан қосалқы серверлік кластерге деректерді репликациялау кірмейді. Қосалқы кластер аймақтық үзіліс болса, ауыстырып-қосқыш ретінде қызмет етеді, ал басқа уақытта белсенді болмайды. Кластердің виртуалды желісіндегі әртүрлі машиналарда жұмыс істейтін микроқызметтер де серверлік функцияларды орындайды. Бұл микроқызметтердің тек екеуіне жалпыға қолжетімді интернеттен қол жеткізуге болады:
- Шлюз қызметі
- Azure API басқаруы
Power Platform премиум инфрақұрылымы
Power Platform премиум ақылы қызмет ретінде қосқыштардың кеңейтілген жинағына қол жеткізу мүмкіндігін ұсынады. Power Platform авторлары премиум қосқыштарды пайдалануда шектелмейді, бірақ мұндай шектеу бағдарлама пайдаланушыларына қолданылады. Яғни премиум қосқыштары бар бағдарлама пайдаланушылары осы қосқыштарға қол жеткізуі үшін, олардың тиісті лицензиясы болуы керек. Power Platform серверлік қызметі пайдаланушының премиум қосқыштарға қатынасу рұқсатының бар-жоғын анықтайды.
Мобильді платформалар
Power Platform Android, iOS және Windows (UWP) қолданбаларын қолдайды. Мобильді құрылғы бағдарламаларының қауіпсіздік мәселелері екі санатқа бөлінеді:
- Құрылғылардың байланысы
- Құрылғыдағы бағдарламалар мен деректер
Құрылғылардың байланысы
Power Platform мобильді құрылғы бағдарламалары браузерлер пайдаланатын қосылым мен аутентификация ретін пайдаланады. Android және iOS қолданбалар қолданбада браузер сеансын ашады. Windows бағдарламалары кіру процесі үшін Power Platform қызметтерімен байланыс арнасын орнату үшін брокерді пайдаланады.
Келесі кестеде мобильді құрылғы бағдарламаларына арналған сертификатқа негізделген аутентификация (CBA) қолдауы көрсетілген:
| CBA қолдауын | iOS | Android | Терезелер |
|---|---|---|---|
| Қызметке кіру | Қолдау көрсетіледі | Қолдау көрсетіледі | Қолдау көрсетілмейді |
| Жергілікті SSRS ADFS (SSRS серверіне қосылу) | Қолдау көрсетілмейді | Қолдау көрсетіледі | Қолдау көрсетілмейді |
| SSRS бағдарлама проксиі | Қолдау көрсетіледі | Қолдау көрсетіледі | Қолдау көрсетілмейді |
Мобильді құрылғы бағдарламалары Power Platform қызметтерімен белсенді түрде байланысады. Бағдарламаны пайдалану статистикасы және сол сияқты деректер пайдалану мен белсенділікті бақылайтын қызметтерге жіберіледі. Тұтынушы деректері қосылмайды.
Құрылғыдағы бағдарламалар мен деректер
Мобильді құрылғы бағдарламалары және оған қажетті деректер құрылғыда қауіпсіз сақталады. Microsoft Entra және жаңарту токендері салалық стандартты қауіпсіздік шараларын қолдану арқылы сақталады.
Құрылғыда кэштелген деректер бағдарлама деректерін, пайдаланушы параметрлерін және алдыңғы сеанстарда қаралған бақылау тақталары мен есептерді қамтиды. Кэш ішкі жадтағы сынақ данасында сақталады. Кэш тек бағдарлама үшін қолжетімді және оны операциялық жүйе шифрлай алады.
- iOS: Пайдаланушы рұқсат кодын орнатқанда шифрлау автоматты түрде орындалады.
- Android: шифрлауды параметрлер бөлімінде конфигурациялауға болады.
- Windows: шифрлауды BitLocker өңдейді.
Microsoft Intune файл деңгейіндегі шифрлау деректерді шифрлауды жақсарту үшін пайдаланылуы мүмкін. Intune — мобильді құрылғылар мен бағдарламаларды басқаруды қамтамасыз ететін бағдарламалық құрал қызметі. Мобильді платформалардың үшеуі де Intune жүйесіне қолдау көрсетеді. Intune қосылған және конфигурацияланған кезде, мобильді құрылғыдағы деректер шифрланады және Power Platform бағдарламасын SD картасына орнату мүмкін болмайды.
Сондай-ақ Windows бағдарламалары Windows мәлімет қорғау (WIP) қызметіне қолдау көрсетеді.
Кэштелген деректер пайдаланушы мына әрекеттерді орындағанда жойылады:
- бағдарламаны жойғанда
- Power Platform қызметінен шыққанда
- құпиясөзді өзгерткеннен кейін немесе токен мерзімі аяқталғаннан кейін жүйеге кіре алмағанда
Геолокацияны пайдаланушының өзі қосады немесе өшіреді. Қосылған болса, геолокация деректері құрылғыда сақталмайды және ортақ пайдаланылмайды Microsoft.
Хабарландыруларды пайдаланушының өзі қосады немесе өшіреді. Хабарландырулар қосылса, Android және iOS географиялық деректердің резиденттік талаптарын қолдамайды.
Power Platform мобильді қызметтері құрылғыдағы басқа бағдарлама қалталарына немесе файлдарына кірмейді.
Кейбір таңбалауыш негізіндегі аутентификация деректері бір рет кіруді қосу үшін Authenticator сияқты басқа Microsoft қолданбаларда қолжетімді. Бұл деректерді Microsoft Entra Түпнұсқалық растау кітапханасы SDK басқарады.
Қатысты мақалалар
Power Platform қызметтерге аутентификация
Деректер көздеріне қосылу және аутентификация
Деректерді сақтау Power Platform
Power Platform қауіпсіздік туралы жиі қойылатын сұрақтар
Келесіні де қараңыз:
- Қауіпсіздік Microsoft Dataverse
- Microsoft Онлайн қызметтерінің шарттары
- Microsoft Кәсіпорынның құпиялылық мәлімдемесі
- Деректерді қорғауға қосымша
- Microsoft Қауіпсіздікті дамытудың өмірлік циклінің тәжірибелері
- Azure Traffic Manager үшін өнімділік трафикті бағыттау әдісі
- Microsoft Intune
- Windows ақпаратын қорғау (WIP)