Ofte stillede spørgsmål om Power Platform-sikkerhed
Ofte stillede spørgsmål om Power Platform-sikkerhed falder i to kategorier:
Hvordan er Power Platform blevet designet til at afhjælpe de 10 største risici i forbindelse med Open Web Application Security Project® (OWASP)
Spørgsmål, som vores kunder stiller
Du kan finde de nyeste oplysninger ved at tilføje nye spørgsmål i slutningen af denne artikel.
10 største OWASP-risici: Afhjælpning i Power Platform
Open Web Application Security Project® (OWASP) er en non-profit-organisation, der arbejder for at forbedre sikkerheden i software. OWASP Foundation er udviklernes og teknikernes kilde til at beskytte internettet gennem communitybaserede projekter med åben kildekode, hundredvis af afdelinger verden over, titusinder af medlemmer og førende undervisnings- og træningskonferencer.
OWASP top 10 er et dokument med ting, som udviklere og andre skal være opmærksomme på i forbindelse med sikkerhed i webprogrammer. Den repræsenterer en bred vifte af oplysninger om de vigtigste sikkerhedsrisici, der er forbundet med webprogrammer. I dette afsnit gennemgås, hvordan du kan afhjælpe disse risici med hjælp fra Power Platform.
- Sikkerhedsmodellen i Power Platform er baseret på LPA (Least Privileged Access). Med LPA kan kunderne oprette programmer med en mere detaljeret adgangskontrol.
- Power Platform bruger Microsoft Entra ID's (Microsoft Entra ID) Microsoft Identity Platform til godkendelse af alle API-kald med branchestandarden OAuth 2.0-protokollen.
- Dataverse, som indeholder de underliggende data for Power Platform, har en rig sikkerhedsmodel, der omfatter sikkerhed på miljøniveau, rollebaseret niveau og post- og feltniveau.
Data i transit:
- Power Platform bruger TLS til at kryptere al HTTP-baseret netværkstrafik. Den bruger andre mekanismer til kryptering af ikke-HTTP-netværkstrafik, der indeholder kundedata eller fortrolige data.
- Power Platform anvender en strengere TLS-konfiguration, der aktiverer HTTP Strict Transport Security (HSTS):
- TLS 1.2 eller højere
- ECDHE-baserede krypteringspakker og NIST-kurver
- Stærke nøgler
Inaktive data:
- Alle kundedata krypteres, inden de skrives til et permanent lagermedie.
Power Platform anvender bedste praksis i branchen for at forhindre injektionsangreb, herunder:
- Brug af sikre API'er med grænseflader med angivne parametre
- Udnyttelse af de evigt skiftende funktioner i frontend-strukturer til at rense input
- Rensning af outputtet ved hjælp af validering på serversiden
- Brug af statiske analyseværktøjer i opbygningstiden
- Gennemgang af trusselsmodellen for hver enkelt tjeneste hver sjette måned, uanset om koden, designet eller infrastrukturen er blevet opdateret eller ej
- Power Platform er baseret på en kultur og metode til sikkert design. Både kultur og metodologi styrkes konstant gennem Microsoft branchens brancheførende Security Development Lifecycle (SDL) og Threat Modeling-praksisser .
- Den robuste proces til gennemgang af trusselsmodeller sikrer, at trusler identificeres i designfasen, afhjælpes og valideres for at sikre, at de er blevet afhjulpet.
- Trusselsmodellering står også for alle ændringer af tjenester, der allerede er aktive gennem løbende jævnlige gennemgange. Hvis du bruger STRIDE-modellen, kan du løse de mest almindelige problemer med usikkert design.
- Microsoft's SDL svarer til OWASP Software Assurance Maturity Model (SAMM). Begge er baseret på den forudsætning, at et sikkert design er en integreret del af sikkerheden i webprogrammet.
A05:2021 Forkert konfiguration af sikkerhed
- "Standardafvisning" er et af fundamenterne for Power Platform-designprincipper. Med "Standardafvisning" skal kunderne vurdere og tilvælge nye funktioner og konfigurationer.
- Eventuelle forkerte konfigurationer under opbygning fanges via integreret sikkerhedsanalyse ved hjælp af sikre udviklingsværktøjer.
- Derudover gennemgår Power Platform Dynamic Analysis Security Testing (DAST) ved hjælp af en intern tjeneste, der bygger på de 10 største OWASP-risici.
A06:2021 Sårbare og forældede komponenter
- Power Platform følger Microsoft SDL's praksis for at administrere open source- og tredjepartskomponenter. Disse omfatter værktøjerne og teknikkerne til vedligeholdelse af et komplet lager, udførelse af sikkerhedsanalyser, opdatering af komponenterne og tilpasning af dem til en testet og gennemprøvet proces til respons på sikkerhedshændelser.
- I sjældne tilfælde kan nogle programmer indeholde kopier af forældede komponenter på grund af eksterne afhængigheder. Men når disse afhængigheder er blevet behandlet i overensstemmelse med den praksis, der er skitseret tidligere, spores og opdateres komponenterne.
A07:2021 Identifikations- og godkendelsesfejl
- Power Platform er bygget på og afhænger af Microsoft Entra ID til både identifikation og godkendelse.
- Microsoft Entra hjælper Power Platform med at aktivere sikre funktioner. Disse funktioner omfatter enkeltlogon, multifaktorgodkendelse og en enkelt platform, så der kan interageres med både interne og eksterne brugere på en mere sikker måde.
- Med den kommende Power Platform-implementering af Microsoft Entra ID Kontinuerlig adgangsevaluering (CAE) bliver brugeridentifikation og -godkendelse endnu mere sikker og pålidelig.
A08:2021 Fejl i software- og dataintegritet
- Power Platform's komponentstyringsproces gennemtvinger en sikker konfiguration af pakkekildefiler for at opretholde softwareintegritet.
- Processen sikrer, at det kun er pakker med intern kilde, der kan håndtere erstatningsangreb. Erstatningsangreb, som også kaldes afhængighedsforvirring, er en teknik, der kan bruges til at forpeste appopbygningsprocessen i sikre virksomhedsmiljøer.
- Alle krypterede data har anvendt integritetsbeskyttelse, før de overføres. Alle metadata om integritetsbeskyttelse, der findes for indgående krypterede data, valideres.
10 største OWASP-risici ved low-code/no-code: Afhjælpninger i Power Platform
Du kan finde en vejledning i, hvordan du afhjælper de 10 sikkerhedsrisici med low-code/no-code, der er udgivet af OWASP, i dette dokument:
Power Platform - OWASP Low Code No Code Top 10 risici (april 2024)
Almindelige sikkerhedsspørgsmål fra kunder
Nedenfor følger nogle af de sikkerhedsspørgsmål, som vores kunder stiller.
Hvordan hjælper Power Platform med at beskytte mod clickjacking?
Clickjacking bruger blandt andet indlejrede iframes til at kapre en brugers interaktioner med en webside. Det er især en stor trussel for logonsider. Power Platform forhindrer brugen af iframes på logonsider, hvilket reducerer risikoen for clickjacking betydeligt.
Derudover kan organisationer bruge CSP-sikkerhedspolitik for indhold Content Security Policy til at begrænse integrering i domæner, der er tillid til.
Understøtter Power Platform sikkerhedspolitik for indhold?
Power Platform understøtter sikkerhedspolitik for indhold (CSP) for modelbaserede apps. Vi understøtter ikke følgende overskrifter, der erstattes af CSP:
X-XSS-ProtectionX-Frame-Options
Hvordan kan vi oprette sikker forbindelse til SQL Server?
Se Bruge Microsoft SQL Server sikkert sammen med Power Apps.
Hvilke krypteringsmetoder understøttes af Power Platform? Hvad er planen for hele tiden at bevæge sig mod stærkere kryptering?
Alle Microsoft tjenester og produkter er konfigureret til at bruge de godkendte krypteringssuiter i den nøjagtige rækkefølge, der er instrueret af Microsoft Crypto Board. Du kan se hele listen og den nøjagtige rækkefølge i Power Platform-dokumentationen.
Oplysninger om udfasning af krypteringspakker formidles via Power Platform-dokumentationen Vigtige ændringer.
Hvorfor understøtter Power Platform stadig RSA-CBC-krypteringsmetoder (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) og TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), der opfattes som svagere?
Microsoft afvejer den relative risiko og afbrydelse af kundedriften ved valg af krypteringspakker, der skal understøttes. RSA-CBC-krypteringspakkerne er endnu ikke blevet brudt. Vi har aktiveret dem for at sikre ensartethed på tværs af vores tjenester og produkter og til at understøtte alle kundekonfigurationer. De er dog nederst på prioritetslisten.
Vi vil udfase disse cifre på det rigtige tidspunkt, baseret på Microsoft Crypto Board's løbende vurdering.
Hvorfor viser Power Automate MD5-indhold-hashes i udløser-/handlingsinput og -output?
Power Automate overfører den valgfrie indholds-MD5-hashværdi, der returneres af Azure Storage, som den er til klienterne. Denne hash bruges af Azure Storage til at bekræfte sidens integritet under transport som en kontrolsumsalgoritme, og den bruges ikke som en kryptografisk hash-funktion af sikkerhedshensyn i Power Automate. Du kan finde flere oplysninger om dette i dokumentationen til Azure Storage om, hvordan du henter Blob-egenskaber, og hvordan du arbejder med anmodningsheadere.
Hvordan beskytter Power Platform mod DDoS-angreb (Distributed Denial of Service)?
Power Platform bygger på Microsoft Azure og bruger Azure DDoS Protection til at beskytte mod DDoS-angreb.
Kan Power Platform registrere jailbroken iOS-enheder og Android-enheder med rod for at hjælpe med at beskytte organisationsdata?
Vi anbefaler, at du bruger Microsoft Intune. Intune er en løsning til administration af mobilenheder. Den kan hjælpe med at beskytte organisationsdata ved at kræve, at brugere og enheder overholder bestemte krav. Du kan finde flere oplysninger i Intunes indstillinger for overholdelsespolitik.
Hvorfor er sessionscookies omfattet af det overordnede domæne?
Power Platform-sessionscookies indgår i det overordnede domæne, så der tillades godkendelse på tværs af organisationer. Underdomæner bruges ikke som sikkerhedsgrænser. De er heller ikke vært for kundeindhold.
Hvordan kan vi angive timeout for programsessionen til for eksempel 15 minutter?
Power Platform bruger Microsoft Entra ID til identitets- og adgangsstyring. Det følger Microsoft Entra IDs anbefalede konfiguration til sessionsstyring for at opnå en optimal brugeroplevelse.
Du kan imidlertid tilpasse miljøer, så der er timeout for eksplicit session og/eller aktivitet. Du kan finde flere oplysninger under Brugersessions- og adgangsstyring.
Med den kommende Power Platform-implementering af Microsoft Entra ID Kontinuerlig adgangsevaluering (CAE) bliver brugeridentifikation og -godkendelse endnu mere sikker og pålidelig.
I programmet kan den samme bruger få adgang fra mere end én computer eller browser ad gangen. Hvordan kan vi forhindre det?
Det er praktisk for brugerne at kunne få adgang til programmet fra mere end én computer eller browser ad gangen. Power Platform's kommende implementering af Microsoft Entra ID Kontinuerlig adgangsevaluering vil være med til at sikre, at adgangen kommer fra autoriserede enheder og browsere og stadig er gyldig.
Hvorfor vises der detaljerede oplysninger om serverheadere i nogle af Power Platform-tjenesterne?
Power Platform-tjenester har arbejdet hen imod at fjerne unødvendige oplysninger i serverheaderen. Målet er at skabe balance i detaljeniveauet med risiko for at afsløre oplysninger, der kan svække den overordnede sikkerhedsstilling.
Hvordan påvirker Log4j-sårbarheder Power Platform? Hvad skal kunderne gøre i denne forbindelse?
Microsoft vurderet, at der ikke er nogen indvirkning på Power Platform Log4j-sårbarheder. Se vores blogopslag om forhindring, registrering og jagt på udnyttelse af Log4j-sårbarheder.
Hvordan kan vi sikre, at der ikke sker uautoriserede transaktioner på grund af browserudvidelser eller Unified Interface-klient-API'er, der gør det muligt at aktivere deaktiverede kontroller?
Begrebet deaktiverede kontroller er ikke en del af sikkerhedsmodellen i Power Apps. Deaktivering af kontroller er en forbedring af brugergrænsefladen. Deaktiverede kontroller skal ikke bruges til at give sikkerhed. Brug i stedet Dataverse-kontroller som sikkerhed på feltniveau til at forhindre uautoriserede transaktioner.
Hvilke HTTP-sikkerhedsheadere bruges til at beskytte responsdata?
| Name | Oplysninger |
|---|---|
| Streng transportsikkerhed | Det angives til max-age=31536000; includeSubDomains i alle responser. |
| X-Frame-muligheder | Dette er udfaset til fordel for CSP. |
| X-Indhold-Type-Indstillinger | Det angives til nosniff i alle aktivresponser. |
| Indhold-sikkerhed-politik | Denne indstilling angives, hvis brugeren aktiverer CSP. |
| X-XSS-beskyttelse | Dette er udfaset til fordel for CSP. |
Hvor kan jeg finde gennemtrængningstest til Power Platform eller teste Dynamics 365?
De seneste penetrationstests og sikkerhedsvurderinger kan findes på Service Trust Portal. Microsoft
Bemærk
Hvis du vil have adgang til nogle af ressourcerne på Service Trust Portal, skal du logge på som en godkendt bruger med din Microsoft cloudtjenestekonto (Microsoft Entra organisationskonto) og gennemse og acceptere Microsoft fortrolighedsaftalen for overholdelsesmaterialer.
Relaterede artikler
Sikkerhed i Microsoft Power Platform
Godkendelse til Power Platform tjenester
Oprette forbindelse til og godkende datakilder
Datalagring i Power Platform