Aracılığıyla paylaş


Power Platform güvenliği hakkında SSS

Power Platform güvenliği hakkında genel olarak sorulan sorular iki kategoriye ayrılır:

  • Power Platform, ilk 10 Open Web Application Security Project® (OWASP) risklerini azaltmaya yardımcı olmak için nasıl tasarlanmıştır

  • Müşterilerimizin sorduğu sorular

En son bilgileri bulmanızı kolaylaştırmak için, yeni sorular bu makalenin sonuna eklenir.

OWASP ilk 10 risk: Power Platform'da risk azaltma

Open Web Application Security Project® (OWASP), yazılımın güvenliğini artırmak için çalışan kar amacı gütmeyen bir kurumdur. Topluluk LED'i üzerinden açık kaynak yazılım projeleri, dünya çapında yüzlerce bölüm, binlerce üye ve önde gelen eğitim ve eğitim konferansları sayesinde, OWASP kurucusu Web'in güvenliğini sağlamak için geliştiricilerin ve teknolojik kaynakların kaynağıdır.

OWASP ilk 10, geliştiriciler ve web uygulaması güvenliğiyle ilgilenen diğer kişiler için standart bir farkındalık belgesidir. Web uygulamalarının en kritik güvenlik riskleri hakkında geniş çaplı bir fikir birliğini temsil eder. Bu bölümde, Power Platform'un bu riskleri hafifletmeye nasıl yardımcı olacağı ele alınacaktır.

A01:2021 Kırık Erişim Kontrolü

  • Power Platform güvenlik modeli, En Az Ayrıcalıklı Erişim (LPA) üzerine kurulmuştur. LPA, müşterilerin daha ayrıntılı erişim denetimiyle uygulama oluşturmasına olanak sağlar.
  • Power Platform endüstri standardı Microsoft Entra 2.0 protokolü ile tüm API çağrılarının yetkilendirilmesi için ID'nin (Microsoft Entra ID) Microsoft Identity Platformunu kullanır OAuth .
  • Power Platform'un temelindeki verileri sağlayan Dataverse ortam düzeyinde, rol tabanlı, kayıt ve alan düzeyinde güvenlik içeren zengin bir güvenlik modeline sahiptir.

A02:2021 Şifreleme Hataları

Hareket halindeki veriler:

  • Power Platform, tüm HTTP tabanlı ağ trafiğini şifrelemek için TLS kullanır. Müşteri verilerini veya gizli verileri içeren HTTP olmayan ağ trafiğini şifrelemek için başka mekanizmalar kullanır.
  • Power Platform, HTTP Kesin Aktarım Güvenliğini (HSTS) sağlayan güçlendirilmiş bir TLS yapılandırması kullanır:
    • TLS 1.2 veya üstü
    • ECDHE tabanlı şifreme paketleri ve NIST eğrileri
    • Güçlü anahtarlar

Bekleyen veriler:

  • Tüm müşteri verileri, geçici olmayan depolama ortamına yazılmadan önce şifrelenir.

A03:2021 Enjeksiyon

Power Platform, ekleme saldırılarını engellemek için aşağıdakiler gibi endüstri standardındaki en iyi uygulamaları kullanır:

  • Güvenli API'Ları parametreli arabirimlerle kullanma
  • Girişi silmek için ön uç altyapılarının gelişen yeteneklerini uygulama
  • Sunucu tarafı doğrulaması ile çıktıyı Temizleme
  • Oluşturma zamanı sırasında statik çözümleme araçlarını kullanma
  • Kod, tasarım veya altyapının güncelleştirilmiş olup olmadığını görmek için her altı ayda bir her bir hizmetin Tehdit Modelini gözden geçirin

A04:2021 Güvensiz Tasarım

  • Power Platform, güvenli tasarım kültürü ve metodolojisi üzerine kurulmuştur. Hem kültür hem de metodoloji, sektör lideri MicrosoftGüvenlik Geliştirme Yaşam Döngüsü (SDL) ve Tehdit Modelleme uygulamaları aracılığıyla sürekli olarak güçlendirilir.
  • Tehdit Modellemesi gözden geçirme süreci, tehditlerin tasarım aşamasında tanımlanmasını, etkisini azaltmayı ve etkilerinin azaltıldığından emin olmak üzere doğrulanmasını sağlar.
  • Tehdit Modelleme, ayrıca sürekli düzenli incelemelerde zaten etkin olan hizmetlerdeki tüm değişiklikleri de hesaplar. STRIDE modeline dayanarak, güvenli olmayan tasarımlarla ilgili en yaygın sorunların ele alınmasına yardımcı olur.
  • Microsoft'nin SDL'si, OWASP Yazılım Güvencesi Olgunluk Modeli'ne (SAMM) eşdeğerdir. Her ikisi de, güvenli tasarımın web uygulama güvenliğinin ayrılmaz parçası olduğu yaklaşımıyla oluşturulmuştur.

A05:2021 Güvenlik Yanlış Yapılandırması

  • "Varsayılan Engelleme", Power Platform tasarım ilkelerinin temel parçalarından biridir. "Varsayılan Engelleme" seçeneğiyle, müşterilerin yeni özellikleri ve yapılandırmaları gözden geçirmesi ve kabul etmesi gerekir.
  • Oluşturma sırasında oluşan hatalı yapılandırmalar Güvenli Geliştirme Araçları kullanılarak tümleşik güvenlik çözümlemesi aracılığıyla yakalanır.
  • Buna ek olarak , Power Platform Dinamik Analiz Güvenlik Testi (DAST) aracılığıyla, OWASP İlk 10 riskleri üzerine kurulmuş bir dahili servis kullanılarak ilerler.

A06:2021 Savunmasız ve Güncel Olmayan Bileşenler

  • Power Platform açık kaynak ve üçüncü taraf bileşenlerini Microsoft yönetmek için SDL uygulamalarını takip eder. Bu uygulamalar arasında tam envanteri koruma, güvenlik analizleri gerçekleştirme, bileşenleri güncel tutma, bileşenlerin denenmiş ve test edilmiş güvenlik olayı yanıtı süreciyle uyumlu olmasını sağlama bulunur.
  • Nadiren de olsa, bazı uygulamalar dış bağımlılıklar nedeniyle güncelliğini yitirmiş bileşenlerin kopyalarını içerebilir. Ancak, bu bağımlılıklar daha önce özetlenen yöntemlere uygun şekilde giderildikten sonra bileşenler izlenir ve güncelleştirilir.

A07:2021 Tanımlama ve Kimlik Doğrulama Hataları

  • Power Platform, Microsoft Entra ID kimlik tanılama ve kimlik doğrulama üzerinde kuruludur ve buna bağlıdır.
  • Microsoft Entra, Power Platform'un güvenli özellikleri etkinleştirmesine yardımcı olur. Bu özellikler arasında çoklu oturum açma, çok faktörlü kimlik doğrulaması ve dahili ve harici kullanıcılarla daha güvenli etkileşim için tek platform bulunur.
  • Power Platform'un yaklaşan Microsoft Entra ID Sürekli Erişim Değerlendirmesi (CAE) uygulamasıyla kullanıcı kimlik tanımlama ve kimlik doğrulama daha da güvenli ve güvenilir olacaktır.

A08:2021 Yazılım ve Veri Bütünlüğü Hataları

  • Power Platform'un Bileşen İdaresi süreci, paket kaynak dosyalarının güvenle yapılandırılmasını zorlayarak yazılım bütünlüğünün korunmasını sağlar.
  • İşlem yalnızca dahili kaynaklı paketlerin değiştirme saldırısına karşı kullanılmasını sağlar. Bağımlılık karışıklığı olarak da bilinen değiştirme saldırısı, uygulama oluşturma işlemini güvenli kurumsal ortamlarda zararlı kılmak için kullanılabilecek bir tekniktir.
  • Tüm şifrelenmiş verilere aktarılmadan önce bütünlük koruması uygulanır. Gelen şifrelenmiş veriler için mevcut tüm bütünlük koruması meta verileri doğrulanır.

OWASP ilk 10 Az Kod/Kod İçermeme riski: Power Platform'da risk azaltma

OWASP tarafından yayınlanan ilk 10 Az Kod/Kod İçermeme güvenlik riskinin azaltılmasına ilişkin rehberlik için şu belgeye bakın:

Power Platform - OWASP Düşük Kod Kodsuz: En İyi 10 Risk (Nisan 2024)

Müşterilerden gelen genel güvenlik soruları

Aşağıdaki, müşterilerimizin sorduğu güvenlik sorularından bazıları yer almaktadır.

Power Platform tıklama kaçırma risklerinden korunmanıza nasıl yardımcı olur?

Clickjacking , bir kullanıcının bir web sayfasıyla etkileşimlerini ele geçirmek için diğer bileşenlerin yanı sıra gömülü iframe'leri kullanır. Özellikle oturum açma sayfaları için önemli bir tehdittir. Power Platform, oturum açma sayfalarında iframe kullanımını önleyerek tıklama kaçırma riskinin önemli ölçüde azaltır.

Ayrıca, kuruluşlar gömme işlemlerini güvenilir etki alanlarıyla sınırlamak için İçerik Güvenliği İlkesi (CSP) kullanabilirler.

Power Platform İçerik Güvenliği İlkesini destekler mi?

Power Platform, model temelli uygulamalar için İçerik güvenliği ilkesini (CSP) destekler. CSP'nin yerini alan aşağıdaki üst bilgiler desteklenmez:

  • X-XSS-Protection
  • X-Frame-Options

SQL Server'a güvenli bir şekilde nasıl bağlanabiliriz?

Bkz. Power Apps ile Microsoft SQL Server'ı güvenle kullanma.

Power Platform Hangi şifreleri destekler? Güçlü şifrelerle sürekli hareket eden yol haritası nedir?

Tüm Microsoft hizmetler ve ürünler, Crypto Board tarafından Microsoft belirtilen tam sırayla onaylanmış şifre paketlerini kullanacak şekilde yapılandırılmıştır. Tam liste ve tam sıralama için Power Platform belgelerine bakın.

Şifre paketlerinin kullanımdan kaldırılmasına ilişkin bilgiler, Power Platform'un Önemli Değişiklikler belgesi aracığıyla duyurulur.

Power Platform daha zayıf kabul edilen RSA-CBC şifreleri (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ve TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) desteklemeye neden hala devam ediyor?

Microsoft Desteklenecek şifre paketlerini seçerken müşteri operasyonlarına yönelik göreli riski ve kesintiyi tartar. RSA-CBC şifre paketleri henüz bozulmadı. Hizmetlerimiz ve ürünlerimiz arasında tutarlılığı sağlamak ve tüm müşteri yapılandırmalarını desteklemek için bunları etkinleştirdik. Ancak bunlar öncelik listesinin en altında yer almaktadır.

Crypto Board'un sürekli değerlendirmesine dayanarak Microsoft bu şifreleri doğru zamanda kullanımdan kaldıracağız.

Power Automate neden tetikleyici/eylem girişleri ve çıkışlarında MD5 içerik karmaları gösterir?

Power Automate, Azure Depolama tarafından gönderilen isteğe bağlı içerik-MD5 karma değerini istemcilerine olduğu gibi geçirir. Bu karma, Azure Depolama tarafından aktarım sırasında sayfanın bütünlüğünü doğrulama algoritması olarak doğrulamak için kullanılır ve Power Automate'te güvenlik amacıyla şifreleme karması işlevi olarak kullanılmaz. Bu konuda daha fazla ayrıntıyı Azure Depolama belgelerinde Blob Özelliklerini Alma İstek Başlıklarıyla çalışma konularında bulabilirsiniz.

Power Platform, Dağıtılmış Hizmet Reddi (DDoS) saldırılarına karşı nasıl koruma sağlar?

Power Platform, Microsoft Azure üzerinde oluşturulmuştur ve DDoS saldırılarına karşı koruma sağlamak için Azure DDoS Koruması'nı kullanır.

Power Platform, yazılım kilitleri kırılmış iOS cihazlarını ve kök Android cihazlarını, kuruluş verilerini korumaya yardımcı olmak için algılar mı?

Intune kullanmanızı Microsoft öneririz. Intune, bir mobil cihaz yönetimi çözümüdür. Kullanıcıların ve cihazların belirli gereksinimleri karşılamasına gerek kalmadan kuruluş verilerinin korunmasına yardımcı olabilir. Daha fazla bilgi edinmek için bkz. Intune uyumluluk ilkesi ayarları.

Oturum tanımlama bilgileri neden ana etki alanının kapsamında?

Power Platform, kuruluşlar arasında kimlik doğrulamasına izin vermek için ana etki alanında oturum tanımlama bilgilerini kapsar. Alt etki alanları güvenlik sınırları olarak kullanılmaz. Ayrıca müşteri içeriğini barındırmazlar.

Uygulama oturumunu nasıl zaman aşımına getirdiğini, daha sonra, diyelim, 15 dakika içinde ayarlayabiliriz?

Power Platform, Microsoft Entra ID kimlik ve eirşim yönetimini kullanır. Optimum kullanıcı deneyimi için Microsoft Entra ID'nin önerilen oturum yönetimi yapılandırmasını izler.

Ancak ortamları açık oturum ve/veya etkinlik zaman aşımlarına sahip olacak şekilde özelleştirebilirsiniz. Daha fazla bilgi için Güvenlik geliştirmeleri: Kullanıcı oturumu ve erişim yönetimi bölümüne bakın.

Power Platform'un yaklaşan Microsoft Entra ID Sürekli Erişim Değerlendirmesi uygulamasıyla kullanıcı kimlik tanımlama ve kimlik doğrulama daha da güvenli ve güvenilir olacaktır.

Uygulama aynı kullanıcının birden çok makineden veya tarayıcıdan aynı anda erişmesini sağlar. Bunu nasıl engelleyebilirim?

Uygulamaya birden çok cihazdan veya tarayıcıdan aynı anda erişmek kullanıcılar açısından kullanışlıdır. Power Platform'un yaklaşan Microsoft Entra ID Sürekli Erişim Değerlendirmesi uygulaması, erişimin yetkili cihazlar ve tarayıcılardan ve hala geçerli olduğunu sağlamaya yardımcı olacaktır.

Bazı Power Platform hizmetleri neden sunucu üstbilgilerini ayrıntılı bilgilerle gösterir?

Power Platform hizmetleri, sunucu üstbilgisindeki gereksiz bilgileri kaldırmak için çalışmıştır. Hedef, genel güvenlik duruşunu zayıflatabilecek bilgilerin gösterilmesi riski ile ayrıntı düzeyi arasında denge sağlamaktır.

Log4J güvenlik açıkları Power Platform'u nasıl etkiler? Müşterilerin bu konuda ne yapması gerekir?

Microsoft hiçbir Log4j güvenlik açığının etkilenmediğini Power Platform değerlendirmiştir. Log4j güvenlik açıklarını önleme, algılama ve bu açıklardan yararlanma konusundaki blog gönderimize göz atın.

Tarayıcı uzantıları veya devre dışı denetimin etkinleştirilmesine izin veren Birleşik Arabirim istemci apı 'leri nedeniyle yetkisiz işlemler olmadığını nasıl güvence altına almaya dikkat ettik?

Devre dışı bırakılan denetimler kavramı Power Apps güvenlik modelinin parçası değildir. Denetimleri devre dışı bırakma bir kullanıcı arabirimi geliştirmesidir. Güvenliği sağlamak için devre dışı bırakılan denetimlere güvenilmemelidir. Bunun yerine, izin verilmeyen işlemleri engellemek için alan düzeyinde güvenlik gibi Dataverse denetimlerini kullanın.

Yanıt verilerini korumak için hangi HTTP güvenlik üst bilgileri kullanılır?

Adı Details
Sıkı-Taşıma-Güvenliği Bu, tüm yanıtlarda max-age=31536000; includeSubDomains olarak ayarlanır.
X-Çerçeve Seçenekleri Bu, CSP lehine kullanımdan kaldırılmıştır.
X-İçerik-Türü-Seçenekleri Bu, tüm varlık yanıtlarında nosniff olarak ayarlanır.
İçerik-Güvenlik-Politikası Bu, kullanıcı CSP'yi etkinleştirirse ayarlanır.
X-XSS Koruması Bu, CSP lehine kullanımdan kaldırılmıştır.

Power Platform veya Dynamics 365 sızma testlerini nerede bulabilirim?

En son sızma testleri ve güvenlik değerlendirmeleri Hizmet Güveni Portalı'nda Microsoft bulunabilir.

Not

Hizmet Güveni Portalı'ndaki bazı kaynaklara erişmek için, bulut hizmetleri hesabınızla ( Microsoft kuruluş hesabı) kimliği doğrulanmış bir kullanıcıMicrosoft Entra olarak oturum açmanız ve uyumluluk malzemeleri için gizlilik sözleşmesini Microsoft gözden geçirmeniz ve kabul etmeniz gerekir.

Güvenlik Microsoft Power Platform
Hizmetlerde Power Platform kimlik doğrulaması
Veri kaynaklarına bağlanma ve kimlik doğrulaması
Veri depolama Power Platform

Ayrıca bkz.