Запитання й відповіді щодо безпеки Power Platform
Поширені запитання щодо безпеки Power Platform можна поділити на дві категорії.
Як Power Platform допомагає зменшити 10 основних ризиків у проектах Open Web Application Security Project® (OWASP)
Запитання, які ставлять наші клієнти
Щоб полегшити пошук найновіших відомостей, нові запитання додаються наприкінці цієї статті.
10 основних ризиків OWASP: усунення ризиків у Power Platform
Open Web Application Security Project® (OWASP) – це некомерційна спільнота, яка покращує безпеку програмного забезпечення. Завдяки проектам програмного забезпечення з відкритим кодом під керівництвом спільноти, сотням підрозділів по всьому світові, десяткам тисяч учасників та провідним навчальним і практичним конференціям OWASP Foundation є джерелом для розробників і технологів для забезпечення безпеки в інтернеті.
OWASP Top 10 – це стандартний документ для розробників та інших осіб, які зацікавлені в безпеці вебпрограм. Він являє собою загальний консенсус щодо найважливіших ризиків безпеки вебпрограм. У цьому розділі ми обговоримо, як Power Platform допомагає знизити ці ризики.
A01:2021 Зламаний контроль доступу
- Модель безпеки Power Platform створено на найменш привілейованому доступі (LPA). LPA лає змогу клієнтам створювати програми з більш деталізованим керуванням доступом.
- Power Platform використовує Microsoft Entra платформу ID (Microsoft Entra ID) Microsoft Identity для авторизації всіх викликів API за допомогою стандартного OAuth протоколу 2.0.
- Dataverse, яка надає початкові дані для Power Platform, має розширену модель безпеки, яка охоплює безпеку на рівні середовища, на основі ролей, на рівні записів і полів.
Дані, що передаються
- Power Platform використовує TLS для шифрування всього мережевого трафіку на основі HTTP. У ньому використовуються інші механізми для шифрування мережевого трафіку без HTTP, який містить дані клієнтів або конфіденційні дані.
- Power Platform застосовує посилену конфігурацію TLS, що використовує технологію HTTP HTTP Strict Transport Security (HSTS):
- TLS 1.2 або вище
- Набори шифрів і криві NIST на основі ECDHE
- Надійні ключі
Дані, що зберігаються:
- Усі дані клієнтів шифруються, перш ніж їх буде записано на енергонезалежний носій даних.
Power Platform використовує галузеві найкращі практики для запобігання ін’єкційним атакам, зокрема:
- використання безпечних API з параметризованими інтерфейсами;
- застосування можливостей клієнтських середовищ, що постійно розвиваються, з метою очищення вхідних даних;
- очищення вихідних даних із перевіркою на сервері;
- використання інструментів статичного аналізу під час створення;
- перегляд моделі загроз для кожної служби кожні шість місяців щодо оновлення коду, дизайну чи інфраструктури
- Power Platform створено на основі культури й методології безпечного дизайну. Як культура, так і методологія постійно вдосконалюються за допомогою Microsoft провідних у галузі практик життєвого циклу розробки безпеки (SDL) та моделювання загроз.
- Процес перевірки моделювання загроз гарантує виявлення, зменшення та перевірення загроз під час проектування з метою зниження їхнього шкідливого впливу.
- Моделювання загроз також передбачає всі зміни в послугах, які вже пройшли регулярні перевірки. Використання моделі STRIDE допоможе вирішити найпоширеніші проблеми з незахищеним дизайном.
- MicrosoftSDL еквівалентний моделі зрілості програмного забезпечення OWASP (SAMM). Обидві моделі створено з огляду на те, що захищений дизайн є частиною безпеки вебпрограми.
A05:2021 Неправильна конфігурація безпеки
- «Відмова за замовчуванням» – це одна з основ принципів проектування Power Platform. За наявності параметру «Відмова за замовчуванням» клієнти мають переглянути та ввімкнути нові функції й конфігурації.
- Будь-які параметри неправильної конфігурації буде виявлено шляхом інтегрованого аналізу безпеки за допомогою засобів захищеної розробки.
- Крім того, Power Platform підлягає тестуванню безпеки за допомогою динамічного аналізу (Dynamic Analysis Security Testing, DAST) з використанням внутрішньої служби, створеної на основі 10 основних ризиків OWASP.
A06:2021 Вразливі та застарілі компоненти
- Power Platform дотримується Microsoft практик SDL для керування компонентами з відкритим вихідним кодом і сторонніми компонентами. Ці практики охоплюють підтримання повних запасів, виконання аналізів безпеки, підтримання актуального стану компонентів і припасовування компонентів до випробуваного й перевіреного процесу реагування на інциденти безпеки.
- У поодиноких випадках деякі програми можуть містити копії застарілих компонентів через зовнішні залежності. Однак після усунення цих залежностей відповідно до практик, описаних вище, компоненти будуть відстежуватися й оновлюватися.
A07:2021 Помилки ідентифікації та автентифікації
- Power Platform побудована на ідентифікації та автентифікації ідентифікатора та залежить від них Microsoft Entra .
- Microsoft Entra допомагає Power Platform ввімкнути безпечні функції. До цих функцій належать єдиний вхід, багатофакторна автентифікація та єдина платформа для безпечнішої взаємодії з внутрішніми та зовнішніми користувачами.
- Завдяки Power Platform майбутньому впровадженню Microsoft Entra ID Continuous Access Evaluation (CAE) ідентифікація та автентифікація користувачів стануть ще більш безпечними та надійними.
A08:2021 Збої в роботі програмного забезпечення та цілісності даних
- Процес керування компонентами Power Platform застосовує безпечну конфігурацію вихідних файлів пакетів, щоб забезпечити цілісність програмного забезпечення.
- Процес забезпечує обслуговування лише внутрішніх пакетів для боротьби з атаками заміщення. Атака заміщення (також відома як плутанина залежності) – це метод, який можна використовувати для нанесення шкоди процесу створення програми в захищених корпоративних середовищах.
- Перш ніж передавати будь-які зашифровані дані, до них застосовується захист цілісності. Перевіряється захист цілісності всіх метаданих, наявних для вхідних зашифрованих даних.
Топ-10 ризиків OWASP з низьким кодом/без коду: пом’якшення наслідків у Power Platform
Щоб отримати вказівки щодо пом’якшення 10 основних ризиків безпеки Low Code/No Code, опубліковані OWASP, перегляньте цей документ:
Power Platform - OWASP Low Code No Code Топ-10 ризиків (квітень 2024 року)
Поширені запитання клієнтів щодо безпеки
Далі наведено кілька запитань щодо безпеки від наших клієнтів.
Як Power Platform допомагає захистити дані від клікджекінгу?
Клікджекінг використовує вбудовані фрейми iframe, серед інших компонентів, для захоплення взаємодії користувача з веб-сторінкою. Це значна загроза, зокрема, для сторінок входу. Power Platform запобігає використанню фреймів iframe на сторінках входу, що значно зменшує ризик клікджекінгу.
Крім того, організації можуть використовувати політику безпеки вмісту (Content Security Policy, CSP), щоб обмежити вбудовування надійних доменів.
Чи підтримує Power Platform політику безпеки вмісту?
Power Platform підтримує політику безпеки вмісту (CSP) для модельних програм. Ми не підтримуємо такі заголовки, які замінено CSP:
X-XSS-ProtectionX-Frame-Options
Як безпечно підключатися до SQL Server?
Див. Безпечне використання Microsoft SQL Server з Power Apps.
Які шифри підтримуються Power Platform? Що передбачає дорожня карта постійного руху до надійніших шифрів?
Усі Microsoft послуги та продукти налаштовані на використання затверджених наборів шифрів у точному Microsoft порядку, визначеному Crypto Board. Повний список і точний порядок див. в документації Power Platform .
Інформацію про вилучення наборів шифрів наведено в документації Power Platform Важливі зміни .
Чому Power Platform досі підтримує шрифти RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) і TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), які вважаються слабкими?
Microsoft зважує відносний ризик і збої в роботі клієнтів при виборі наборів шифрів для підтримки. Пакети шифрів RSA-CBC ще не зламано. Вони можуть забезпечувати узгодженість наших служб і продуктів, а також підтримувати всі конфігурації клієнтів. Проте їх розташовано в нижній частині списку пріоритетів.
Ми видалимо ці шифри в потрібний час, ґрунтуючись на Microsoft постійній оцінці Crypto Board.
Чому Power Automate відображує геші вмісту MD5 у вхідних і вихідних даних тригеру й дії?
Power Automate передає своїм клієнтам необов’язкове геш-значення вмісту MD5, що повертається сховищем Azure «як є». Цей геш використовується сховищем Azure, щоб перевірити цілісність сторінки під час перенесення як алгоритму контрольної системи, і він не використовується як криптографічна геш-функція гешування з метою безпеки Power Automate. Докладнішу інформацію про це можна знайти в документації до сховища Azure про те, як отримати властивості BLOB-об’єктів і як працювати із заголовками запитів.
Як Power Platform захищає від розподілених атак на відмову в обслуговуванні (Distributed Denial of Service, DDoS)?
Power Platform створено на основі Microsoft Azure, і вона використовує захист Azure від DDoS-атак, щоб захистити від DDoS-атак.
Чи допомагає Power Platform виявлення зламаних iOS пристроїв і рут-пристроїв Android захистити дані організації?
Ми рекомендуємо вам використовувати Microsoft Intune. Intune – це рішення для керування мобільними пристроями. Воно допомагає захистити дані організації, вимагаючи від користувачів і пристроїв дотримуватися певних вимог. Для отримання додаткових відомостей див. параметри політики відповідності Intune.
Чому файли cookie сеансу обмежено батьківським доменом?
Power Platform обмежує файли cookie сеансу батьківським доменом, щоб дозволити автентифікацію в організаціях. Піддомени не використовуються як межі безпеки. Вони також не розміщують вміст клієнтів.
Як можна встановити вичерпання часу очікування сеансу програми, наприклад, через 15 хвилин?
Power Platform використовує Microsoft Entra ідентифікаційні дані та керування доступом. Він відповідає Microsoft Entra рекомендованій ID конфігурації керування сеансами для оптимальної взаємодії з користувачем.
Проте можна настроїти середовища так, щоб вони мали явне вичерпання часу очікування сеансу і/або дії. Додаткові відомості: Керування сеансами користувачів і доступом.
Завдяки Power Platform майбутньому впровадженню Microsoft Entra ID Continuous Access Evaluation, ідентифікація та аутентифікація користувачів стануть ще більш безпечними та надійними.
Програма дає змогу одному користувачу одночасно отримувати доступ з кількох комп’ютерів або браузерів. Як запобігти цьому?
Користувачам зручно одночасно отримувати доступ до програми з кількох пристроїв або браузерів. Power PlatformМайбутнє впровадження Microsoft Entra ID Continuous Access Evaluation допоможе гарантувати, що доступ здійснюється з авторизованих пристроїв і браузерів і залишається дійсним.
Чому деякі служби Power Platform відображують заголовки сервера з докладною інформацією?
Служби Power Platform працюють, щоб видаляти непотрібні дані із заголовка сервера. Мета полягає в збалансуванні рівня докладної інформації з ризиком відображення інформації, який може послабити загальну систему безпеки.
Як вразливості Log4j впливають на Power Platform? Що мають робити клієнти з цього приводу?
Microsoft оцінив, що жодні вразливості Log4j не впливають Power Platform. Див. запис у блозі щодо запобігання, виявлення та пошуку вразливостей Log4j.
Як забезпечити відсутність неавторизованих транзакцій через розширення браузера або єдиний інтерфейс API клієнта, які дозволяють увімкнути вимкнуті елементи керування?
Модель безпеки Power Apps не передбачає концепцію вимкнутих елементів керування. Вимикання елементів керування є вдосконаленням інтерфейсу користувача. Щоб забезпечити безпеку, не слід покладатися на вимкнуті елементи керування. Натомість скористайтеся елементами керування Dataverse, як-от безпека на рівні поля, щоб запобігти несанкціонованим транзакціям.
Які заголовки безпеки HTTP використовуються для захисту даних відповідей?
| Ім'я | Докладні відомості |
|---|---|
| Сувора транспортна безпека | Це значення встановлено для max-age=31536000; includeSubDomains всіх відповідей. |
| X-Frame-Options | Це вважається застарілим на користь CSP. |
| Параметри X-Content-Type-Options | Цей параметр встановлено для nosniff всіх відповідей на активи. |
| Контент-Безпека-Політика | Цей параметр встановлюється, якщо користувач вмикає CSP. |
| Захист X-XSS | Це вважається застарілим на користь CSP. |
Де можна знайти тести на проникнення Power Platform або Dynamics 365?
Найновіші тести на проникнення та оцінку безпеки можна знайти на Порталі Microsoft довіри до сервісу.
Нотатка
Щоб отримати доступ до деяких ресурсів на Порталі довіри служби, потрібно ввійти як автентифікований користувач за допомогою Microsoft облікового запису хмарних служб (Microsoft Entra облікового запису організації), а також переглянути та прийняти угоду Microsoft про нерозголошення матеріалів відповідності.
Пов’язані статті
Безпека в Microsoft Power Platform
Автентифікація в Power Platform службах
Підключення та автентифікація до джерел даних
Зберігання даних в Power Platform