Najčešća pitanja o bezbednosti usluge Power Platform
Najčešća pitanja o bezbednosti usluge Power Platform spadaju u dve kategorije:
Kako je Power Platform dizajniran da pomogne u ublažavanju 10 najvećih Web Application Security Project® (OWASP) rizika
Pitanja koja postavljaju naši klijenti
Da bi vam bilo lakše da pronađete najnovije informacije, nova pitanja se dodaju na kraju ovog članka.
OWASP 10 najvećih rizika: Ublažavanja u usluzi Power Platform
Open Web Application Security Project® (OWASP) je neprofitna fondacija koja radi na poboljšanju bezbednosti softvera. Kroz otvorene softverske projekte vođene u zajednici, stotine poglavlja širom sveta, desetine hiljada članova i vodeće konferencije o obrazovanju i obuci, OWASP Foundation je izvor za programere i tehnologe da obezbede veb.
OWASP najčešćih 10 je standardni dokument o usklađenosti za programere i druge koji su zainteresovani za bezbednost veb-aplikacija. Dokument predstavlja širok konsenzus o najkritičnijim bezbednosnim rizicima za veb-aplikacije. U ovom odeljku ćemo razgovarati o tome kako Power Platform pomaže da se ovi rizici ublaže.
A01:2021 Slomljena kontrola pristupa
- Power Platform bezbednosni model je izgrađen na najmanje privilegovanom pristupu (LPA). LPA omogućava korisnicima da izgrade aplikacije sa više detaljnijih kontrola pristupa.
- Power Platform koristi Microsoft Entra ID-ovu (Microsoft Entra ID) Microsoft Identiti Platformu za autorizaciju svih API poziva sa industrijskim standardom OAuth 2.0 protokola.
- Dataverse, koji obezbeđuje osnovne podatke za Power Platform, ima bogat bezbednosni model koji uključuje bezbednost na nivou okruženja, zasnovanu na ulozi i bezbednosti na nivou zapisa i polja.
A02:2021 Kriptografski kvarovi
Podaci u tranzitu:
- Power Platform koristi TLS za šifrovanje svog mrežnog saobraćaja zasnovanog na protokolu HTTP. On koristi druge mehanizme za šifrovanje mrežnog saobraćaja koji nije HTTP i koji ne sadrži podatke o klijentima ili poverljive podatke.
- Power Platform koristi ojačanu TLS konfiguraciju koja omogućava protokol HTTP Strict Transport Security (HSTS):
- TLS 1.2 ili noviji
- Paketi šifara zasnovani na ECDHE i NIST krivama
- Jaki ključevi
Podaci u mirovanju:
- Svi podaci o klijentima su šifrovani pre nego što su upisani na nepostojane medije za skladištenje.
Power Platform koristi najbolje prakse prema industrijskom standardu za sprečavanje napada ubacivanjem, uključujući:
- Korišćenje bezbednih API-ja sa parametarizovanim interfejsima
- Primena mogućnosti izloženih radnih okvira koji se stalno razvijaju da bi se sanirao unos
- Saniranje izlaza proverom valjanosti na strani servera
- Korišćenje alatki za statičku analizu tokom vremena izrade
- Pregled modela pretnji svake usluge svakih šest meseci bez obzira da li su šifra, dizajn ili infrastruktura ažurirani ili nisu
- Power Platform je usluga izgrađena na kulturi i metodologiji bezbednog dizajna. I kultura i metodologija se stalno jačaju kroz Microsoft vodeći životni ciklus razvoja bezbednosti (SDL) i prakse modeliranja pretnji.
- Proces revizije modeliranja pretnji obezbeđuje da se pretnje identifikuju tokom faze dizajniranja, ublaže i provere da bi bilo sigurno da su ublažene.
- Modeliranje pretnji takođe čini sve promene usluga koje su već aktivne kroz kontinuirane redovne preglede. Oslanjanje na STRIDE model pomaže u rešavanju najčešćih problema sa nesigurnim dizajnom.
- MicrosoftSDL je ekvivalentan modelu zrelosti OVASP Software Assurance (SAMM). Oba su izgrađena na premisi da je bezbedan dizajn sastavni deo bezbednosti veb-aplikacija.
A05:2021 Bezbednosna pogrešna konfiguracija
- „Podrazumevano odbijanje“ je jedan od temelja principa Power Platform dizajna. Pomoću opcije „Podrazumevano odbijanje“, klijenti moraju da pregledaju i daju saglasnost za nove funkcije i konfiguracije.
- Sve pogrešne konfiguracije tokom vremena gradnje se hvataju integrisanom bezbednosnom analizom pomoću alatki za bezbedan razvoj.
- Pored toga, Power Platform prolazi kroz bezbednosno testiranje dinamičke analize bezbednosti (DAST) koristeći internu uslugu koja je izgrađena na OWASP 10 najvećih rizika.
A06:2021 Ranjive i zastarele komponente
- Power Platform prati Microsoft SDL prakse za upravljanje komponentama otvorenog koda i nezavisnih strana. Ove prakse uključuju održavanje kompletnih zaliha, izvršavanje bezbednosnih analiza, održavanje ažurnosti komponenti i usklađivanje komponenti sa isprobanim i testiranim procesom reagovanja na bezbednosne incidente.
- U retkim slučajevima, neke aplikacije mogu da sadrže kopije zastarelih komponenti zbog spoljnih zavisnosti. Međutim, nakon što su te zavisnosti otklonjene u skladu sa ranije navedenim praksama, komponente se prate i ažuriraju.
A07:2021 Propusti u identifikaciji i autentifikaciji
- Power Platform je izgrađen i zavisi od Microsoft Entra identifikacije i autentifikacije ID-a.
- Microsoft Entra pomaže Power Platform da se omogući sigurne funkcije. Ove funkcije uključuju jedinstveno prijavljivanje, višestruku potvrdu identiteta i jednu platformu za bezbednije angažovanje internih i spoljnih korisnika.
- Sa Power Platform predstojećom implementacijom ID Microsoft Entra kontinuirane evaluacije pristupa (CAE), identifikacija korisnika i autentifikacija će biti još sigurniji i pouzdaniji.
A08:2021 Propusti u softveru i integritetu podataka
- Power Platform proces upravljanja komponentama primenjuje bezbednu konfiguraciju izvornih datoteka paketa radi održavanja integriteta softvera.
- Proces obezbeđuje da se samo paketi iz internih izvora koriste za rešavanje napada zamene. Napad zamene, poznat i kao konfuzija zavisnosti, jeste tehnika koja se može koristiti za kontaminaciju procesa izrade aplikacija unutar bezbednih poslovnih okruženja.
- Svi šifrovani podaci imaju primenjenu zaštitu integriteta pre nego što se prenesu. Proverava se valjanost svih metapodataka zaštite integriteta koji su prisutni za dolazne šifrovane podatke.
OVASP top 10 Lov Code / No Code rizika: Ublažavanja u Power Platform
Za uputstva o ublažavanju gornjih 10 bezbednosnih rizika Lov Code / No Code koje je objavio OVASP, pogledajte ovaj dokument:
Power Platform - OVASP Lov Code No Code Top 10 Risks (April 2024)
Najčešća bezbednosna pitanja klijenata
Slede neka od bezbednosnih pitanja koja postavljaju naši klijenti.
Kako Power Platform pomaže u zaštiti od klikdžekinga?
Clickjacking koristi ugrađene iframes, između ostalih komponenti, da otme interakciju korisnika sa veb stranicom. To je značajna pretnja, naročito na stranicama za prijavljivanje. Power Platform sprečava upotrebu iFrame elemenata na stranicama za prijavljivanje, značajno smanjujući rizik od klikdžekinga.
Pored toga, organizacije mogu da koriste smernice za bezbednost sadržaja (CSP) da bi ograničile ugrađivanje na pouzdane domene.
Da li Power Platform podržava smernice za bezbednost sadržaja?
Power Platform podržava smernice za bezbednost sadržaja (CSP) za aplikacije zasnovane na modelu. Ne podržavamo sledeća zaglavlja koja zamenjuje CSP:
X-XSS-ProtectionX-Frame-Options
Kako možemo bezbedno da se povežemo sa sistemom SQL Server?
Pogledajte Bezbedno korišćenje sistema Microsoft SQL Server sa uslugom Power Apps.
Koje šifre su podržane u usluzi Power Platform? Koji je plan za neprekidno unapređivanje ka jačim šiframa?
Sve Microsoft usluge i proizvodi su konfigurisani da koriste odobrene pakete za šifrovanje, u tačnom redosledu u režiji Cripto odbora Microsoft . Kompletnu listu i tačan redosled potražite u Power Platform dokumentaciji.
Informacije o zastarevanju paketa šifara prenose se putem Power Platform dokumentacije Važne promene.
Zašto Power Platform i dalje podržava RSA-CBC šifre (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), koje se smatraju slabijim?
Microsoft Vaga relativni rizik i poremećaj u poslovanju kupaca u izboru paketa za šifrovanje za podršku. RSA-CBC paketi za šifrovanje još uvek nisu provaljeni. Omogućili smo ih da obezbede doslednost u svim našim uslugama i proizvodima i da podrže sve konfiguracije klijenata. Međutim, oni su na dnu liste prioriteta.
Mi ćemo odbaciti ove šifre u pravo vreme, na osnovu kontinuirane procene Cripto odbora Microsoft .
Zašto Power Automate izlaže MD5 heševe sadržaja u ulaznim i izlaznim sadržajima okidača/radnji?
Power Automate prosleđuje opcionalnu vrednost heša content-MD5 koju Azure Storage vraća nepromenjenu svojim klijentima. Usluga Azure Storage koristi ovaj heš da proveri integritet stranice tokom prenosa kao algoritam kontrolnog zbira i ne koristi se kao funkcija kriptografskog heširanja u bezbednosne svrhe u usluzi Power Automate. Više detalja o tome možete pronaći u dokumentaciji Azure Storage o tome kako dobiti Blob Properties i kako raditi sa zaglavljima zahtjeva.
Kako se Power Platform štiti od distribuiranih napada uskraćivanja usluga (DDoS)?
Power Platform je izgrađen na platformi Microsoft Azure i koristi Azure DDoS zaštitu za odbranu od DDoS napada.
Da li Power Platform detektuje jailbroken iOS uređaje i ukorenjene Android uređaje da pomogne u zaštiti organizacionih podataka?
Preporučujemo da koristite Microsoft Intune. Intune je rešenje za upravljanje mobilnim uređajima. Može da pomogne u zaštiti organizacionih podataka tako što zahteva od korisnika i uređaja da ispune određene zahteve. Više informacija potražite u postavkama smernica za usaglašenost usluge Intune.
Zašto su kolačići sesije ograničeni na nadređeni domen?
Power Platform ograničava kolačiće sesije na nadređeni domen da bi se dozvolila potvrda identiteta u organizacijama. Poddomeni se ne koriste kao bezbednosne granice. Oni takođe ne hostuju sadržaj klijenata.
Kako možemo da podesimo da sesija aplikacije istekne posle, recimo, 15 minuta?
Power Platform koristi Microsoft Entra ID identitet i upravljanje pristupom. Sledi Microsoft Entra ID-ovu preporučenu konfiguraciju upravljanja sesijom za optimalno korisničko iskustvo.
Međutim, možete da prilagodite okruženja tako da imaju izričito vremensko ograničenje sesije i/ili aktivnosti. Za više informacija, pogledajte članak Sesije korisnika i upravljanje pristupom.
Sa Power Platform predstojećom implementacijom ID Microsoft Entra kontinuirane evaluacije pristupa, identifikacija korisnika i autentifikacija će biti još sigurniji i pouzdaniji.
Aplikacija omogućava istom korisniku da istovremeno pristupa sa više računara ili iz više pregledača. Kako to da sprečimo?
Istovremeno pristupanje aplikaciji sa više uređaja ili pregledača je pogodnost za korisnike. Power PlatformPredstojeća implementacija ID Microsoft Entra kontinuirane evaluacije pristupa pomoći će da se osigura da je pristup sa ovlašćenih uređaja i pretraživača i da je i dalje važeći.
Zašto neke Power Platform usluge otkrivaju zaglavlja servera sa detaljnim informacijama?
Power Platform usluge su radile na uklanjanju nepotrebnih informacija u zaglavlju servera. Cilj je da se nivo detalja izbalansira sa rizikom od izlaganja informacija koje bi mogle da oslabe celokupan položaj bezbednosti.
Kako Log4j ranjivosti utiču na Power Platform? Šta klijenti treba da urade u tom pogledu?
Microsoft je procenio da nema uticaja Power Platform na ranjivosti Log4j. Pogledajte naš post na blogu o sprečavanju, otkrivanju i lovu na eksploataciju Log4j ranjivosti.
Kako možemo da osiguramo da ne postoje neovlašćene transakcije zbog proširenja pregledača ili API-ja objedinjenog interfejsa klijenta koji dozvoljavaju omogućavanje onemogućenih kontrola?
Bezbednosni model usluge Power Apps ne uključuje koncept onemogućenih kontrola. Onemogućavanje kontrola je poboljšanje korisničkog interfejsa. Ne bi trebalo da se oslanjate na onemogućene kontrole da biste pružali bezbednost. Umesto toga, koristite Dataverse kontrole kao što je bezbednost na nivou polja da biste sprečili neovlašćene transakcije.
Koja HTTP sigurnosna zaglavlja se koriste za zaštitu podataka o odgovor?
| Imenuj | Detalji |
|---|---|
| Stroga-transport-bezbednost | Ovo je postavljeno na max-age=31536000; includeSubDomains sve odgovore. |
| Ks-Frame-Opcije | Ovo je zastarelo u korist CSP-a. |
| X-Content-Tipe-Opcije | Ovo je postavljeno na nosniff sve odgovore na imovinu. |
| Sadržaj-Bezbednosna-Politika | Ovo se postavlja ako korisnik omogući CSP. |
| Ks-KSSS-zaštita | Ovo je zastarelo u korist CSP-a. |
Gde mogu da pronađem Power Platform ili Dynamics 365 testove penetracije?
Najnoviji testovi penetracije i bezbednosne procene mogu se naći na Service Trust Portalu Microsoft .
Belešku
Da biste pristupili nekim resursima na portalu za poverenje usluga, morate se prijaviti kao autentifikovani korisnik sa svojim Microsoft računom za usluge u oblaku (Microsoft Entra račun organizacije) i pregledati i prihvatiti ugovor o Microsoft neotkrivanju podataka za materijale o usklađenosti.
Srodni članci
Bezbednost u Microsoft Power Platform
Autentifikacija usluga Power Platform
Povezivanje i autentifikacija sa izvorima podataka
Skladištenje podataka u Power Platform