Bezbednost u usluzi Microsoft Power Platform
Power Platform daje moć brzog i lakog kreiranja sveobuhvatnih rešenja u rukama neprofesionalnih i profesionalnih programera. Bezbednost je od kritičnog značaja za ova rešenja. Power Platform je izgrađen da bi se obezbedila zaštita po industrijskom standardu.
Organizacije ubrzavaju svoj prelazak u oblak, uključivanje naprednih tehnologija u poslovanje i donošenje poslovnih odluka. Sve više zaposlenih radi na daljinu. Potražnja klijenata za uslugama na mreži je u porastu. Bezbednost tradicionalnih lokalnih Aplikacija više nije dovoljna. Organizacije koje traže rešenja za podatke poslovnog obaveštavanja koji su prirodno u oblaku, višeslojni, bezbednosno veoma zaštićeni, okreću se platformi Power Platform. Agencije za nacionalnu bezbednost, finansijske institucije i davaoci zdravstvenih usluga poveravaju svoje najosetljivije informacije platformi Power Platform.
Microsoft je napravio ogromna ulaganja u bezbednost od sredine 2000-ih. Više od 3,500 Microsoft inženjera radi na proaktivnom rešavanju stalno promenljivog pejzaža pretnji. Microsoft bezbednost počinje na jezgru BIOS-a na čipu i proteže se sve do korisničkog iskustva. Danas je naš bezbednosni niz najnapredniji u delatnosti. Microsoft široko se smatra globalnim liderom u borbi protiv zlonamernih aktera. Milijarde računara, trilioni prijava i zetabajti podataka povereni su Microsoft zaštiti.
Power Platform gradi na ovom jakom temelju. Koristi isti bezbednosni niz koji je platformi Azure doneo pravo da služi i štiti najosetljivije podatke na svetu, i integriše se sa najnaprednijim Microsoft 365 alatima za zaštitu informacija i usaglašenost. Power Platform pruža sveobuhvatnu zaštitu osmišljenu oko najizazovnijih briga naših klijenata u eri oblaka:
- Kako možemo da kontrolišemo ko može da se poveže, odakle se povezuje i kako se povezuje? Kako da kontrolišemo veze?
- Kako su podaci uskladišteni? Kako su šifrirani? Kakve kontrole imamo o našim podacima?
- Kako možemo da kontrolišemo i zaštitimo naše osetljive podatke? Kako da osiguramo da naši podaci ne mogu da procure izvan organizacije?
- Kako možemo da nadgledamo ko šta može da uradi? Kako možemo brzo da reagujemo ako otkrijemo sumnjivu aktivnost?
Upravljanje
Usluga Power Platform je regulisana Microsoft Uslovima online usluga i Izjavom Microsoft o privatnosti preduzeća. Za lokaciju obrade podataka pogledajte Microsoft Uslove online usluga i Dopunu o zaštiti podataka.
Microsoft Centar za poverenje je primarni resurs za informacije o Power Platform usklađenosti. Saznajte više na Microsoft Ponude usklađenosti.
Usluga Power Platform prati životni ciklus bezbednosnog razvoja (SDL). SDL je niz striktnih praksi koje podržavaju bezbednosno osiguranje i zahteve za usaglašavanje. Saznajte više na Prakse Microsoft životnog ciklusarazvoja bezbednosti.
Zajednički bezbednosni koncepti u usluzi Power Platform
Power Platform uključuje nekoliko usluga. Neki od bezbednosnih koncepata koje ćemo pokriti u ovoj seriji primenjuju se na sve njih. Drugi koncepti su specifični za pojedinačne usluge. Tamo gde su bezbednosni koncepti različiti, mi ćemo ih pozvati.
Bezbednosni koncepti koji su zajednički svim Power Platform uslugama uključuju sledeće:
- Arhitektura usluge Power Platform ili način na koji informacije teku kroz sistem
- Autentifikacija Power Platform usluga, ili kako korisnici dobijaju pristup uslugama
- Povezivanje i autentifikacija sa izvorima podataka, ili kako se usluge povezuju sa izvorima podataka i korisnici dobijaju pristup podacima
- Skladištenje podataka u Power Platform, ili kako su podaci zaštićeni da li je u mirovanju ili u tranzitu između sistema i usluga
Arhitektura usluge Power Platform
Power Platform usluge su izgrađene na Azure, cloud computing platformi. Microsoft Arhitektura usluge Power Platform se sastoji od četiri komponente:
- Izloženi klaster na vebu
- Klaster u pozadini
- Vrhunska infrastruktura
- Platforme za mobilne uređaje
Izloženi klaster na vebu
Primenjuje se na Power Platform usluge koje prikazuju Web UI. Izloženi klaster na vebu služi matičnoj stranici aplikacije ili usluge u pregledaču korisnika. Koristi Microsoft Entra se za autentifikaciju klijenata u početku, i obezbeđuje tokene za naredne klijentske veze, na Power Platform back-end servis.
Izloženi klaster na vebu se sastoji od ASP.NET veb-lokacije koja se pokreće u okruženju usluge Azure aplikacije. Kada korisnik poseti Power Platform uslugu ili aplikaciju, DNS usluga klijenta može dobiti najprikladniji (obično najbliži) centar podataka od Upravljača saobraćajem usluge Azure. Više informacija potražite u članku Način usmeravanja saobraćaja performansi za upravljač saobraćajem usluge Azure.
Izloženi klaster na vebu upravlja sekvencom prijavljivanja i potvrde identiteta. Dobija Microsoft Entra token za pristup nakon što je korisnik autentifikovan. ASP.NET komponenta raščlanjuje token da bi odredila kojoj organizaciji korisnik pripada. Komponenta zatim konsultuje Power Platform globalnu uslugu u pozadini da bi se pregledaču navelo koji klaster u pozadini sadrži zakupca organizacije. Naredne interakcije klijenata se dešavaju direktno sa klasterom u pozadini, bez potrebe za posrednikom na vebu.
Pregledač donosi statične resurse, kao što su js, .css datoteke i datoteke slika, uglavnom iz Azure mreže za isporuku sadržaja (CDN). Primene suverenih klastera za državne institucije su izuzetak. Iz razloga usaglašenosti, ove primene izostavljaju Azure CDN. Umesto toga, oni koriste izloženi klaster na vebu iz usaglašenog regiona da hostuju statički sadržaj.
Power Platform klaster u pozadini
Klaster u pozadini je okosnica svih funkcionalnosti dostupnih u usluzi Power Platform. Sastoji se od krajnjih tačaka usluge, radnih usluga u pozadini, baza podataka, keša i drugih komponenti.
Pozadinski deo je dostupan u većini Azure regiona i primenjen je u novim regionima kada postanu dostupni. Jedan region može da hostuje više klastera. Ova konfiguracija omogućava Power Platform uslugama neograničeno horizontalno podešavanje razmere nakon dostizanja vertikalnih i horizontalnih ograničenja razmere jednog klastera.
Klasteri u pozadini prepoznaju državu. Klaster u pozadini hostuje sve podatke svih zakupaca koji su mu dodeljeni. Klaster koji sadrži podatke određenog zakupca naziva se matični klaster zakupca. Informacije o matičnom klasteru ovlašćenog korisnika pruža Power Platform globalna usluga u pozadini izloženog klastera na vebu. Izloženi klaster na vebu koristi informacije za usmeravanje zahteva ka matičnom klasteru zakupca.
Metapodaci i podaci zakupca se čuvaju u granicama klastera. Izuzetak je replikacija podataka na sekundarni klaster u pozadini, koji se nalazi u uparenom regionu u istoj Azure geografskoj oblasti. Sekundarni klaster služi kao rezerva u slučaju neuspeha ako dođe do regionalnog prekida, a pasivan je u bilo kom drugom trenutku. Mikro-usluge koje rade na različitim računarima u virtuelnoj mreži klastera takođe opslužuju funkcionalnost u pozadini. Samo dve od ovih mikro usluga su dostupne sa javnog interneta:
- Usluga mrežnog prolaza
- Upravljanje Azure API-jima
Infrastruktura Power Platform Premium
Power Platform Premium omogućava pristup proširenom skupu konektora kao plaćenoj usluzi. Power Platform autori nisu ograničeni na korišćenje premijum konektora, ali korisnici aplikacija jesu. To jest, korisnici aplikacije koja uključuje premijum konektore moraju da imaju ispravnu licencu za pristup njima. Power Platform usluga u pozadini određuje da li korisnik ima pristup premijum konektorima.
Platforme za mobilne uređaje
Power Platform podržava Android, iOS, i Vindovs (UVP) aplikacije. Bezbednosna pitanja za aplikacije za mobilne uređaje spadaju u dve kategorije:
- Komunikacija sa uređajem
- Aplikacija i podaci na uređaju
Komunikacija sa uređajem
Power Platform aplikacije za mobilne uređaje koriste iste sekvence veze i potvrde identiteta koje koriste pregledači. Android i aplikacije otvaraju sesiju iOS pretraživača u aplikaciji. Windows aplikacije koriste brokera za uspostavljanje kanala komunikacije sa Power Platform uslugama za postupak prijavljivanja.
Sledeća tabela prikazuje podršku za potvrdu identiteta (CBA) zasnovanu na certifikatu za mobilne aplikacije:
| CBA podršku | iOS | Android | Prozori |
|---|---|---|---|
| Prijavljivanje u uslugu | Podržano | Podržano | Nije podržano |
| Lokalni SSRS ADFS (povezivanje na SSRS server) | Nije podržano | Podržano | Nije podržano |
| Proksi za SSRS aplikacije | Podržano | Podržano | Nije podržano |
Aplikacije za mobilne uređaje aktivno komuniciraju sa Power Platform uslugama. Statistika korišćenja aplikacija i slični podaci prenose se na usluge koje nadgledaju upotrebu i aktivnost. Nema uključenih klijentskih podataka.
Aplikacija i podaci na uređaju
Aplikacija za mobilne uređaje i podaci koje ona zahteva bezbedno se skladište na uređaju. Microsoft Entra i osvežavanje tokeni se čuvaju korišćenjem industrijskih standardnih bezbednosnih mera.
Podaci keširani na uređaju uključuju podatke aplikacije, korisničke postavke i kontrolne table i izveštaje kojima se pristupalo u prethodnim sesijama. Keš se skladišti u sandbox okruženju u internom skladištu. Kešu se može pristupiti samo iz aplikacije i operativni sistem ga može šifrovati.
- iOS: Enkripcija je automatska kada korisnik postavi šifru.
- Android: Šifrovanje se može konfigurisati u postavkama.
- Windows: Šifrovanjem upravlja BitLocker.
Microsoft Intune šifrovanje na nivou datoteke može se koristiti za poboljšanje enkripcije podataka. Intune je softverska usluga koja obezbeđuje upravljanje mobilnim uređajem i aplikacijama. Sve tri platforme za mobilne uređaje podržavaju Intune. Kada je Intune omogućen i konfigurisan, podaci na mobilnom uređaju su šifrovani, a Power Platform aplikacija ne može da se instalira na SD karticu.
Windows aplikacije takođe podržavaju Windows Information Protection (WIP).
Keširani podaci korisnika se brišu kada korisnik:
- deinstalira aplikaciju
- odjavi se iz Power Platform usluge
- ne uspe da se prijavi nakon promene lozinke ili istekne token
Korisnik je izričito omogućio ili onemogućio geografsku lokaciju. Ako je omogućeno, podaci o geolokaciji se ne čuvaju na uređaju i ne dele se sa Microsoft.
Korisnik je izričito omogućio ili onemogućio obaveštenja. Ako su obaveštenja omogućena Android i ne podržavaju zahteve za prebivalište geografskih iOS podataka.
Power Platform usluge za mobilne uređaje ne pristupaju drugim fasciklama aplikacija ili datotekama na uređaju.
Neki podaci o autentifikaciji zasnovani na tokenima dostupni su drugim Microsoft aplikacijama, kao što je Authenticator, kako bi se omogućilo jedinstveno prijavljivanje. Ovim podacima upravlja SDK biblioteke Microsoft Entra za autentifikaciju.
Srodni članci
Autentifikacija usluga Power Platform
Povezivanje i autentifikacija sa izvorima podataka
Skladištenje podataka u Power Platform
Power Platform Pitanja o bezbednosti
Pogledajte i ovo
- Bezbednost u Microsoft Dataverse
- Microsoft Uslovi za online usluge
- Microsoft Izjava o privatnosti preduzeća
- Dopuna o zaštiti podataka
- Microsoft Prakse životnog ciklusa razvoja bezbednosti
- Metoda usmeravanja saobraćaja performansi za Azure Traffic Manager
- Microsoft Pretraživanje
- Vindovs Zaštita informacija (WIP)