Bieži uzdoti jautājumi par Power Platform drošību
Bieži uzdotie jautājumi par Power Platform drošību ir iedalīti divās kategorijās:
Kā Power Platform izstrādāts, lai nodrošinātu 10 galvenos Open Web Application Security Project® (OWASP) riskus
Jautājumi, ko vaicā mūsu klienti
Lai būtu vienkāršāk atrast jaunāko informāciju, šī raksta beigās tiek pievienoti jauni jautājumi.
OWASP 10 galvenie riski: novēršanas pasākumi programmā Power Platform
Open Web Application Security Project® (OWASP) ir bezpeļņas fonds, kad darbojas, lai uzlabotu programmatūru drošību. Kopienas vadītos atvērtā koda programmatūras projektos ar simtiem nodaļu visā pasaulē, desmitiem tūkstošu dalībnieku un vadošu mācību un mācību konferencēm OWASP fonds ir izstrādātāju un tehnisko darbinieku avots, lai padarītu tīmekli drošāku.
OWASP TOP 10 ir standarta dokuments, kas tiek lietots, lai informētu izstrādātājus un citus, kurus interesē tīmekļa lietojumprogrammu drošība. Tas atspoguļo vispārēju vienošanos attiecībā uz kritiskākajiem tīmekļa programmu drošības riskiem. Šajā sadaļā mēs apspriedīsim, kā Power Platform palīdz novērst šos riskus.
A01:2021 Bojāta piekļuves kontrole
- Power Platform drošības modelis ir veidots uz mazāk priviliģēto piekļuvi (LPA). LPA ļauj klientiem būvēt lietojumprogrammas ar smalkāku piekļuves vadību.
- Power Platform izmanto Microsoft Entra ID (Microsoft Entra ID) Microsoft identitātes platformu , lai autorizētu visus API zvanus, izmantojot nozares standarta OAuth 2.0 protokolu.
- Dataverse, kas nodrošina pamatā esošos datus Power Platform, ir bagātīgs drošības modelis, kas ietver vides līmeņa, lomu, kā arī ierakstu un lauka līmeņa drošību.
A02:2021 Kriptogrāfijas kļūmes
Dati tranzītā:
- Power Platform Izmanto TLS, lai šifrētu visu HTTP bāzes tīkla datplūsmu. Tā izmanto citus mehānismus, lai šifrētu ar HTTP nesaistīto tīkla datplūsmu, kurā ir ietverti klientu vai konfidenciāli dati.
- Power Platform izmanto stabilu TLS konfigurāciju, kas nodrošina HTTP stingro transporta drošību (HSTS):
- TLS 1.2 vai lielāks
- ECDHE bāzēti šifru komplekti un NIST līknes
- Spēcīgas atslēgas
Dati dīkstāves režīmā:
- Visi klientu dati tiek šifrēti, pirms tie tiek pārrakstīti uz krātuves līdzekli, kas nav gaistošs.
Power Platform izmanto nozares standarta labāko praksi, lai novērstu injekciju uzbrukumus, tostarp:
- Izmantojot drošus API ar parametru saskarnēm
- Piemērojot attīstībā esošas priekšgalsistēmas satvaru iespējas, lai attīrītu ievadi
- Izvades attīrīšana ar servera puses validāciju
- Statiskas analīzes rīku izmantošana veidošanas laikā
- Katra servisa draudu modeļa pārskatīšana ik pēc sešiem mēnešiem neatkarīgi no tā, vai ir atjaunināts kods, dizains vai infrastruktūra
- Power Platform ir būvēts uz droša noformējuma kultūras un metodoloģijas bāzes Gan kultūra, gan metodoloģija tiek pastāvīgi nostiprināta, izmantojot Microsoft nozarē vadošo drošības attīstības dzīves cikla (SDL) un draudu modelēšanas praksi.
- Apdraudējuma modelēšanas izvērtējuma process nodrošina, ka apdraudējums tiek identificēts noformēšanas posmā, novērsts un pārbaudīts, lai pārliecinātos, ka draudu vairs nav.
- Apdraudējuma modelēšanā arī tiek ņemtas vērā visas pakalpojumu izmaiņas, kas jau ir aktīvas, izmantojot nepārtrauktu, regulāru izvērtēšanu. Paļaujoties uz STRIDE modeli, jūs varat risināt biežākās nedroša noformējuma problēmas.
- Microsoft"s SDL ir līdzvērtīgs OWASP Software Assurance Maturity Model( SAMM). Abi ir veidoti uz premisas, ka drošs noformējums ir būtisks tīmekļa programmas drošībai.
A05:2021 nepareiza drošības konfigurācija
- "Liegums pēc noklusējuma" ir viens no Power Platform noformēšanas principu pamatiem. Ar iestatījumu "Liegums pēc noklusējuma" klientiem ir jāpārskata jaunie līdzekļi un konfigurācijas un tie jāizvēlas.
- Būvēšanas laikā visas nepareizās konfigurācijas tiek fiksētas, izmantojot integrēto drošības analīzi, izmantojotdrošas izstrādes rīkus.
- Turklāt Power Platform izmanto Dinamiskās analīzes drošības testēšanu (DAST), izmantojot iekšēju pakalpojumu, kas veidots uz OWASP 10 galveno risku bāzes.
A06:2021 Neaizsargāti un novecojuši komponenti
- Power Platform seko Microsoft SDL praksei, lai pārvaldītu atvērtā pirmkoda un trešo pušu komponentus. Šāda prakse ietver visa inventāra uzturēšanu, drošības analīžu veikšanu, komponentu jaunināšanu un salāgošanu ar komponentiem, kuriem ir izmēǵināts un pārbaudīts drošības incidentu reaģēšanas process.
- Retos gadījumos dažās lietojumprogrammās var būt novecojušu komponentu kopijas, jo ir ārējas atkarības. Tomēr pēc tam, kad šīs atkarības ir novērstas atbilstoši iepriekš aprakstītajām darbībām, komponenti tiek izsekoti un atjaunināti.
A07:2021 Identifikācijas un autentifikācijas kļūmes
- Power Platform ir veidots un atkarīgs no Microsoft Entra ID identifikācijas un autentifikācijas.
- Microsoft Entra palīdz Power Platform iespējot drošus līdzekļus. Šie līdzekļi ir vienotā pierakstīšanās, vairāku faktoru autentifikācija un atsevišķa platforma, lai ar iekšējiem un ārējiem lietotājiem mijiedarbotos drošākā veidā.
- Līdz ar Power Platform gaidāmo ID Microsoft Entra nepārtrauktas piekļuves novērtēšanas (CAE) ieviešanu, lietotāju identifikācija un autentifikācija būs vēl drošāka un uzticamāka.
A08:2021 Programmatūras un datu integritātes kļūmes
- Power Platform komponentu pārvaldības process nodrošina drošu pakotnes avota failu konfigurāciju, lai saglabātu programmatūras integritāti.
- Process nodrošina, ka tiek apkalpotas tikai iekšējas avota pakotnes, lai risinātu aizstāšanas uzbrukumus. Aizstāšanas uzbrukums jeb atkarības apjukums ir metode, ko var izmantot, lai bojātu programmas veidošanas procesu drošās uzņēmumu vidēs.
- Visiem šifrētajiem datiem ir integritātes aizsardzība, ko lieto pirms to pārsūtīšanas. Tiek validēti visi ienākošajiem šifrētajiem datiem sniegtie integritātes metadati.
OWASP top 10 zema koda/bez koda riski: mazināšanas Power Platform
Norādījumus par OWASP publicēto 10 populārāko zema koda/bez koda drošības risku mazināšanu skatiet šajā dokumentā:
Power Platform - OWASP zema koda Nr. koda top 10 riski (Aprīlis 2024)
Bieži uzdotie jautājumi par klientu drošību
Tālāk ir iekļauti daži no mūsu klientiem uzdotajiem drošības jautājumiem.
Kā Power Platform palīdz aizsargāties pret slēptajiem klikšķiem?
Clickjacking izmanto iegultus iframes, cita starpā, lai nolaupītu lietotāja mijiedarbību ar tīmekļa lapu. Tas ir būtisks drauds pierakstīšanās lapās. Power Platform neļauj iframes izmantošanu pierakstīšanās lapās, būtiski samazinot slēpto klikšķu risku.
Turklāt organizācijas var izmantot Satura drošības politiku (CSP), lai ierobežotu iegulšanu uzticamos domēnos.
Vai Power Platform atbalsta Satura drošības politiku?
Power Platform atbalsta satura drošības politiku (CSP) modeļa vadītām programmām. Mēs neatbalstām tālāk norādītos virsrakstus, kas tiek aizstāti ar CSP:
X-XSS-ProtectionX-Frame-Options
Kā droši izveidot savienojumu ar SQL Server?
Skat. Microsoft SQL Server droša izmantošana kopā ar Power Apps.
Kādus šifrus atbalsta Power Platform? Kāds ir plāns, lai turpinātu stiprināt šifrus?
Visi Microsoft pakalpojumi un produkti ir konfigurēti tā, lai izmantotu apstiprinātos šifra komplektus precīzā secībā, ko Microsoft noteikusi Crypto Board. Pilnu sarakstu un precīzu secību skatiet Power Platform dokumentācijā.
Informācija par šifru produktu novecojošām versijām tiek publicēta ar Power Platform dokumentāciju Būtiskas izmaiņas.
Kāpēc Power Platform joprojām atbalsta RSA-CBC šifrus (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) un TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), kurus uzskata par vājākiem?
Microsoft Izsver relatīvo risku un traucējumus klientu darbībā, izvēloties šifra komplektus, kurus atbalstīt. RSA-CBC šifru produkti vēl nav bijuši uzlauzti. Esam tiem ļāvuši nodrošināt konsekvenci visos mūsu pakalpojumos un produktos, kā arī atbalstīs visas klientu konfigurācijas. Taču tie atrodas prioritātes saraksta apakšdaļā.
Mēs nolietosim šos šifrus īstajā laikā, pamatojoties uz Microsoft Crypto Board nepārtraukto novērtējumu.
Kāpēc Power Automate atklāj MD5 satura jaucējus izraisīšanas/darbību ievadēs un izvadēs?
Power Automate nodod neobligāto satura MD5 jaucējvērtību, ko Azure Storage tādu, kādu tā ir, atgriež klientiem. Šo jaucēju izmanto Azure Storage, lai verificētu lapas integritāti transportēšanas laikā kā kontrolsummas algoritmu, un drošības apsvērumu dēļ to Power Automate neizmanto kā kriptogrāfisku jaucējfunkciju. Papildinformāciju par to varat atrast Azure krātuves dokumentācijā par to, kā iegūt Blob rekvizītus un kā strādāt ar pieprasījuma galvenēm.
Kā Power Platform aizsargā pret izplatīto pakalpojuma liegumu (DDoS) uzbrukumiem?
Power Platform ir veidota uz Microsoft Azure bāzes un izmanto Azure DDoS aizsardzību, lai aizsargātos pret DDoS uzbrukumiem.
Vai Power Platform noteikt jailbroken iOS ierīces un sakņotas Android ierīces, lai palīdzētu aizsargāt organizācijas datus?
Mēs iesakām izmantot Microsoft Intune. Intune ir mobilo ierīču pārvaldības risinājums. Tas var palīdzēt aizsargāt organizācijas datus, pieprasot lietotājiem un ierīcēm izpildīt noteiktas prasības. Papildinformāciju skatiet Intune drošības politikas iestatījumos.
Kāpēc sesijas sīkfaili tiek tverti attiecībā uz primāro domēnu?
Power Platform attiecina sesijas sīkfaili līdz primārajam domēnam, lai atļautu autentifikāciju dažādās organizācijās. Apakšdomēni netiek izmantoti kā drošības robežas. Tāpat tie nevieso klienta saturu.
Kā iestatīt lietojumprogrammas sesijas taimautu pēc, teiksim, 15 minūtēm?
Power Platform izmanto Microsoft Entra ID identitātes un piekļuves pārvaldību. Tas atbilst Microsoft Entra ID ieteiktajai sesiju pārvaldības konfigurācijai , lai nodrošinātu optimālu lietotāja pieredzi.
Tomēr vidēs var pielāgot skaidru sesijas un/vai darbības taimautu. Papildinformāciju skatiet Lietotāja sesiju un piekļuves pārvaldība.
Ar Power Platform gaidāmo ID Microsoft Entra nepārtrauktas piekļuves novērtēšanas ieviešanu lietotāju identifikācija un autentifikācija būs vēl drošāka un uzticamāka.
Šī lietojumprogramma ļauj vienam lietotājam vienlaikus piekļūt no vairākām mašīnām vai pārlūkprogrammas. Kā to novērst?
Piekļuve lietojumprogrammai no vairāk nekā vienas ierīces vai pārlūka vienlaikus ir lietotāju ērtība. Power Platform"gaidāmā ID Microsoft Entra nepārtrauktas piekļuves novērtēšanas ieviešana palīdzēs nodrošināt, ka piekļuve ir no autorizētām ierīcēm un pārlūkprogrammām un joprojām ir derīga.
Kāpēc daži Power Platform pakalpojumi atklāj serveru virsrakstus ar verbālu informāciju?
Power Platform pakalpojumi darbojas, lai no servera virsraksta noņemtu lieku informāciju. Mērķis ir līdzsvarot detalizēto detalizēto līmeni ar ar informācijas atklāšanas risku, kas var mazināt vispārējo drošības līmeni.
Kā log4j ievainojamība ietekmē Power Platform? Kas klientiem ir jādara šajā saistībā?
Microsoft ir novērtējis, ka nav Log4j ievainojamības ietekmes Power Platform. Skatiet mūsu emuāru ziņu par to, kā novērst, konstatēt un meklēt Log4j ievainojamības lietojumu.
Kā mēs varam nodrošināt, ka pārlūkprogrammas paplašinājumu vai vienotā interfeisa klientu API dēļ nav nepilnvarotu transakciju, kas atļautu iespējot atspējotas vadīklas?
Power Apps drošības modelis neietver atspējoto vadīklu jēdzienu. Vadīklu atspējošana ir UI uzlabojums. Lai nodrošinātu drošību, jums nevajadzētu paļauties uz atspējotām vadīklām. Tā vietā izmantojiet Dataverse vadīklas, piemēram, lauka līmeņa drošību, lai novērstu neatļautas transakcijas.
Kuras HTTP drošības galvenes tiek izmantotas, lai aizsargāt atbilde datus?
| Nosaukums/vārds | Detalizēta informācija |
|---|---|
| Stingra transporta drošība | Tas ir iestatīts uz max-age=31536000; includeSubDomains visām atbildēm. |
| X-Frame opcijas | Tas ir novecojis par labu CSP. |
| X-satura tipa opcijas | Tas ir iestatīts uz nosniff visām līdzeklis atbildēm. |
| Satura drošība-politika | Tas tiek iestatīts, ja lietotājs iespējo CSP. |
| X-XSS aizsardzība | Tas ir novecojis par labu CSP. |
Kur var atrast Power Platform vai Dynamics 365 penetrācijas testus?
Jaunākos ielaušanās testus un drošības novērtējumus Microsoft var atrast pakalpojumu drošības kontroles portālā.
Piezīmes
Lai piekļūtu dažiem pakalpojumu drošības kontroles portāla resursiem, jums ir jāpiesakās kā autentificētam lietotājam ar savu Microsoft mākoņpakalpojumu kontu (Microsoft Entra organizācijas kontu), kā arī jāpārskata un jāpiekrīt Microsoft neizpaušanas līgumam par atbilstības materiāliem.
Saistītie raksti
Drošība Microsoft Power Platform
Pakalpojumu autentificēšana Power Platform
Savienojuma izveide un autentificēšana ar datu avotiem
Datu glabāšana Power Platform