Aracılığıyla paylaş

Microsoft Power Platform'da güvenlik

  • Makale

Power Platform, hem profesyonel hem de profesyonel olmayan geliştiricilere hızlı ve kolay uçtan uca çözümler oluşturma olanağı sağlar. Bu çözümler için güvenlik çok önemlidir. Power Platform, sektör lideri koruma sağlayacak şekilde üretilmiştir.

Kuruluşlar, işlemlerine ve iş kararı verme süreçlerine gelişmiş teknolojiler ekleyerek buluta geçişlerini hızlandırıyor. Daha fazla çalışan uzaktan çalışıyor. Çevrimiçi hizmetlere olan müşteri talebi artıyor. Geleneksel şirket içi uygulama güvenliği artık yeterli değil. İş zekası verileri için buluta özel, çok katmanlı, derinlemesine savunma güvenlik çözümü arayan kuruluşlar Power Platform'a geçiyor. Ulusal güvenlik kuruluşları, mali kurumlar ve sağlık hizmetleri sağlayıcıları en hassas bilgileri için Power Platform'a güveniyor.

Microsoft 2000'li yılların ortalarından bu yana güvenliğe büyük yatırımlar yaptı. 3.500'den Microsoft fazla mühendis, sürekli değişen tehdit ortamını proaktif olarak ele almak için çalışıyor. Microsoft güvenlik, çip üzerindeki BIOS çekirdeğinden başlar ve kullanıcı deneyimine kadar uzanır. Günümüzde güvenlik yığınımız sektörün en gelişmişidir. Microsoft genel olarak kötü niyetli aktörlere karşı mücadelede küresel lider olarak görülüyor. Milyarlarca bilgisayar, trilyonlarca oturum açma ve zettabaytlarca veri korumaya emanetlidir Microsoft.

Power Platform bu güçlü temel üzerinde oluşturulmuştur. Dünyanın en önemli verilerini sunmak ve korumak için Azure'un kullandığı güvenlik yığınını kullanır ve Microsoft 365 uygulamasının en gelişmiş bilgi koruma ve uyumluluk araçlarıyla tümleşir. Power Platform, müşterilerimizin bulut çağındaki en zorlu endişeleri etrafında tasarlanmış uçtan uca korumayı sağlar:

  • Kimlerin bağlantı kuracakları, nereden bağlandıklarını ve nasıl bağlandıklarını nasıl denetliyoruz? Bağlantıları nasıl denetliyoruz?
  • Verilerimiz nasıl depolanır? Nasıl şifrelenir? Verilerimizde hangi denetimlere sahibiz?
  • Hassas verilerimizi nasıl denetleyebilir ve koruyabiliriz? Verilerimizin kuruluş dışına sızmamasını nasıl güvence altına alabiliriz?
  • Kimlerin neleri yapabileceğini nasıl denetliyoruz? Şüpheli bir etkinlik algılamadığımızda ne kadar hızlı bir şekilde harekete geçebiliriz?

İdare

Hizmet, Çevrimiçi Hizmet Şartları Power Platform Microsoft ve Kurumsal Gizlilik Bildirimi'ne Microsoft tabidir. Veri işlemenin konumu için Microsoft Çevrimiçi Hizmet Şartları'na ve Veri Koruma Eki'ne bakın.

Microsoft Güven Merkezi , uyumluluk bilgileri için Power Platform birincil kaynaktır. Uyumluluk Teklifleri Microsoft hakkındadaha fazla bilgi edinin.

Power Platform hizmeti, Güvenlik Geliştirme Yaşam Döngüsü'nü (SDL) izler. SDL, güvenlik güvencesi ve uyumluluk gereksinimlerini destekleyen katı uygulamalar kümesidir. Güvenlik Geliştirme Yaşam Döngüsü Uygulamaları Microsoft hakkındadaha fazla bilgi edinin.

Genel Power Platform güvenlik kavramları

Power Platform çeşitli hizmetler içerir. Bu seride ele alacağımız bazı güvenlik kavramları bunların tümü için geçerlidir. Diğer kavramlar bireysel hizmetlere özeldir. Güvenlik kavramlarının farklı olduğu yerlerde bunları çağıracağız.

Tüm Power Platform hizmetlerinde ortak olan güvenlik kavramları şunlardır:

  • Power Platform hizmet mimarisi veya sistemde bilgi akışının nasıl gerçekleştirildiği
  • Hizmetlerde Power Platform kimlik doğrulaması veya kullanıcıların hizmetlere nasıl erişim kazandığı
  • Veri kaynaklarına bağlanma ve kimlik doğrulaması veya hizmetlerin veri kaynaklarına nasıl bağlandığı ve kullanıcıların verilere nasıl erişim kazandığı
  • Veri depolama Power Platform veya verilerin beklemede veya sistemler ile hizmetler arasında geçiş halindeyken nasıl korunduğu

Power Platform hizmeti mimarisi

Power Platform hizmetler, Microsoft Azure'ın bulut bilişim platformu olan Azure'da oluşturulmuştur. Power Platform hizmet mimarisi dört bileşenden oluşur:

  • Web ön uç kümesi
  • Arka uç kümesi
  • Premium altyapı
  • Mobil platformlar

Web ön uç kümesi

Web arabirimi görüntüleyen Power Platform hizmetleri için geçerlidir. Web ön uç kümesi, uygulamanın veya hizmetin giriş sayfasını kullanıcının tarayıcısına sunar. Başlangıçta istemcilerin kimliğini doğrulamak için Microsoft Entra kullanır ve Power Platform arka uç hizmetine sonraki istemci bağlantıları için belirteçler sağlar.

Power Platform web ön uç kümesinin Azure App Service Ortamı, ASP.NET ve Power Platform hizmeti arka uç kümeleriyle nasıl çalıştığını gösteren diyagram.

Web ön uç kümesi, Azure App Service ortamında çalışan bir ASP.NET web sitesinden oluşur. Kullanıcı bir Power Platform hizmeti veya uygulamasını ziyaret ettiğinde, istemcinin DNS hizmeti, Azure Traffic Manager'dan en uygun (genellikle en yakın) veri merkezini alabilir. Daha fazla bilgi edinmek için bkz. Azure Traffic Manager için yüksek performanslı trafik yönlendirme yöntemi.

Web ön uç kümesi, oturum açma ve kimlik doğrulama sırasını yönetir. Kullanıcının kimliği doğrulandıktan sonra Microsoft Entra erişim belirteci elde edilir. ASP.NET bileşeni, kullanıcının hangi kuruluşa ait olduğunu belirlemek için belirteci ayrıştırır. Bileşen daha sonra kuruluşun kiracısının hangi arka uç kümesini barındırdığını belirtmek için Power Platform genel arka uç hizmetine bakar. Arkadan gelen istemci etkileşimleri, web ön üç aracısına gerek olmadan doğrudan arka uç kümesiyle gerçekleşir.

Tarayıcı, temel olarak bir Azure Content Delivery Network'ten (CDN) .js, .css ve görüntü dosyaları gibi statik kaynakları getirir. Bağımsız Government küme dağıtımları istisnadır. Uyumluluk nedenleriyle, bu dağıtımlar Azure CDN'yi unutur. Bunun yerine, statik içeriği barındırmak için uyumlu bir bölgedeki web ön uç kümesini kullanırlar.

Power Platform arka uç kümesi

Arka uç kümesi, Power Platform hizmetinde bulunan tüm işlevlerin omurgasını oluşturur. Hizmet uç noktaları, arka plan çalışma hizmetleri, veritabanları, önbellekler ve diğer bileşenlerden oluşur.

Arka uç çoğu Azure bölgesinde bulunur ve kullanılabilir olduklarında yeni bölgelere dağıtılır. Bir bölge birden çok kümeyi barındırabilir. Bu yapılandırma, tek bir kümenin dikey ve yatay ölçekleme sınırlarına ulaşıldıktan sonra Power Platform hizmetleri için sınırsız yatay ölçeklemeye izin verir.

Arka uç kümeleri durum bilgisi içerir. Arka plan kümesi, kendisine atanan tüm kiracıların tüm verilerini barındırır. Belirli bir kiracıya ait verileri içeren bir küme, kiracının ana kümesi olarak anılır. Kimliği doğrulanmış bir kullanıcının giriş kümesi bilgileri web ön uç kümesine Power Platform genel arka uç hizmeti tarafından sağlanır. Web ön ucu, istekleri kiracının ana arka uç kümesine yönlendirmek için bilgileri kullanır.

Kiracı meta verileri ve verileri küme sınırları içinde depolanır. Özel durum, aynı Azure coğrafi bölgesi içindeki eşleştirilmiş bir bölgede bulunan ikincil arka uç kümesinin veri çoğaltmasıdır. İkincil küme, bölgesel kesinti durumunda bir yük devretme kümesi olarak hizmet verir ve başka herhangi bir zamanda pasif durumdadır. Kümenin sanal ağındaki farklı makinelerde çalışan mikro hizmetler arka uç işlevine de hizmet eder. Bu mikro hizmetlerden yalnızca ikisine genel internetten erişilebilir:

  • Ağ Geçidi Hizmeti
  • Azure API Management

Üç ana parçayı gösteren Power Platform arka uç hizmetlerinin diyagramı: genel internetten erişilebilen API ve ağ geçidi hizmetleri ile özel olan mikro hizmetler koleksiyonu.

Power Platform Premium altyapısı

Power Platform Premium, ücretli bir hizmet olarak, genişletilmiş bir bağlayıcılar kümesine erişim sağlar. Power Platform oluşturucuları, premium bağlayıcı kullanımında sınırlanmaz ancak uygulama kullanıcıları kısıtlanır. Bu, premium bağlayıcılar içeren bir uygulamanın kullanıcılarının bunlara erişmek için uygun lisansa sahip olması gerektiği anlamına gelir. Power Platform arka uç hizmeti, bir kullanıcının premium bağlayıcılara erişimi olup olmadığını belirler.

Mobil platformlar

Power Platform, Android, iOS ve Windows (UWP) uygulamalarını destekler. Mobil uygulamalarının güvenlik yaklaşımları iki kategoriye ayrılır:

  • Cihaz iletişimi
  • Cihazdaki uygulama ve veriler

Cihaz iletişimi

Power Platform mobil uygulamaları, tarayıcılar tarafından kullanılan aynı bağlantı ve kimlik doğrulama sıralarını kullanır. Android ve iOS uygulamaları uygulamada bir tarayıcı oturumu açar. Windows uygulamaları, kayıt sürecine yönelik Power Platform hizmetleriyle bir iletişim kanalı kurmak için bir aracı kullanır.

Aşağıdaki tabloda mobil uygulamalar için sertifika tabanlı kimlik doğrulaması (CBA) desteği listelenir:

CBA desteği iOS Android Pencereler
Hizmette oturum açma Desteklenir Desteklenir Desteklenmez
SSRS ADFS şirket içi (SSRS sunucusuna bağlan) Desteklenmez Desteklenir Desteklenmez
SSRS uygulama prox'si Desteklenir Desteklenir Desteklenmez

Mobil uygulamalar Power Platform hizmetleriyle etkin şekilde iletişim kurar. Uygulama kullanım istatistikleri ve benzeri veriler kullanımı ve etkinliği izleyen hizmetlere iletilir. Müşteri verileri dahil edilmez.

Cihazdaki uygulama ve veriler

Mobil uygulama ve gereksinim duyduğu veriler cihazda güvenli bir şekilde depolanır. Microsoft Entra ve yenileme belirteçleri, endüstri standardında güvenlik önlemleri kullanılarak depolanır.

Cihazda önbelleğe alınan veriler uygulama verilerini, kullanıcı ayarlarını ve panoları ve önceki oturumlarda erişilen raporları içerir. Önbellek, dahili depolama alanında bir korumalı alan içinde depolanır. Önbellek yalnızca uygulamanın erişimine açıktır ve işletim sistemi tarafından şifrelenebilir.

  • iOS: Kullanıcı bir geçiş kodu ayarladığında şifreleme otomatik olarak yapılır.
  • Android: Şifreleme ayarlarda yapılandırılabilir.
  • Windows: Şifreleme, BitLocker tarafından gerçekleştirilir.

Microsoft Intune dosya düzeyinde şifreleme, veri şifrelemesini geliştirmek için kullanılabilir. Intune, mobil cihaz ve uygulama yönetimi sağlayan bir yazılım hizmetidir. Üç mobil platform da Intune'u destekler. Intune etkinleştirilip yapılandırıldığında, mobil cihazlardaki veriler şifrelenir ve Power Platform uygulaması bir SD karta yüklenemez.

Windows uygulamaları Windows Information Protection (WIP) hizmetini de destekler.

Önbelleğe alınan veriler kullanıcı şunları yaptığında silinir:

  • uygulamayı kaldırmak
  • Power Platform hizmeti oturumunu kapatmak
  • parola değiştirdikten veya belirteç süresi sona erdikten sonra oturum açamamak

Coğrafi konum, Kullanıcı tarafından açıkça etkinleştirilir veya devre dışı bırakılır. Etkinleştirilirse, coğrafi konum verileri cihaza kaydedilmez ve cihazla paylaşılmaz Microsoft.

Bildirimler, Kullanıcı tarafından açıkça etkinleştirilir veya devre dışı bırakılmıştır. Bildirimler etkinleştirilmişse Android ve iOS coğrafi veri yerleşimi gerekliliklerini desteklemez.

Power Platform mobil hizmetleri cihazdaki diğer uygulama klasörlerine veya dosyalara erişemez.

Bazı belirteç tabanlı kimlik doğrulama verileri, çoklu oturum açmayı etkinleştirmek için Authenticator gibi diğer Microsoft uygulamalar tarafından kullanılabilir. Bu veriler, Microsoft Entra Kimlik Doğrulama Kitaplığı SDK'sı tarafından yönetilir.

Hizmetlerde Power Platform kimlik doğrulaması
Veri kaynaklarına bağlanma ve kimlik doğrulaması
Veri depolama Power Platform
Power Platform güvenlikle ilgili SSS

Ayrıca bkz.