Ασφάλεια στο Microsoft Power Platform
Το Power Platform επιτρέπει σε ερασιτέχνες και επαγγελματίες προγραμματιστές να αναπτύσσουν γρήγορα και να δημιουργούν εύκολα ολοκληρωμένες λύσεις. Η ασφάλεια είναι πολύ σημαντική για αυτές τις λύσεις. Το Power Platform είναι σχεδιασμένο για να παρέχει κορυφαία προστασία στον κλάδο.
Οι οργανισμοί επιταχύνουν τη μετάβασή τους στο cloud, ενσωματώνοντας προηγμένες τεχνολογίες σε λειτουργίες και στη λήψη επιχειρηματικών αποφάσεων. Περισσότεροι υπάλληλοι εργάζονται απομακρυσμένα. Η ζήτηση από τους πελάτες για υπηρεσίες online είναι πολύ μεγάλη. Η ασφάλεια των παραδοσιακών εφαρμογών εσωτερικής εγκατάστασης δεν είναι επαρκής πλέον. Οι οργανισμοί πρέπει να αναζητήσουν μια εγγενή στο cloud λύση ασφαλείας βαθιάς άμυνας πολλών επιπέδων για τα δεδομένα επιχειρηματικής ευφυΐας στο Power Platform. Σήμερα, πολλές εθνικές υπηρεσίες ασφαλείας, χρηματοοικονομικοί οργανισμοί και υπηρεσίες παροχής υπηρεσιών υγείας του εμπιστεύονται στο Power Platform τις πιο ευαίσθητες πληροφορίες τους.
Microsoft έχει πραγματοποιήσει μαζικές επενδύσεις στον τομέα της ασφάλειας από τα μέσα της δεκαετίας του 2000. Περισσότεροι από 3.500 Microsoft μηχανικοί εργάζονται για την προληπτική αντιμετώπιση του συνεχώς μεταβαλλόμενου τοπίου απειλών. Microsoft Η ασφάλεια ξεκινά από τον πυρήνα του BIOS on-chip και εκτείνεται μέχρι την εμπειρία χρήστη. Σήμερα, η στοίβα ασφαλείας μας είναι η πιο σύνθετη στον κλάδο. Microsoft θεωρείται ευρέως ως ο παγκόσμιος ηγέτης στην καταπολέμηση κακόβουλων παραγόντων. Δισεκατομμύρια υπολογιστές, τρισεκατομμύρια συνδέσεις και zettabytes δεδομένων έχουν ανατεθεί στην Microsoft προστασία του.
Το Power Platform βασίζεται σε αυτά τα γερά θεμέλια. Χρησιμοποιεί την ίδια στοίβα ασφαλείας που χάρισε στο Azure το δικαίωμα να εξυπηρετεί και να προστατεύει τα πιο ευαίσθητα δεδομένα στον κόσμο, ενώ ενσωματώνεται στα πιο προηγμένα εργαλεία προστασίας πληροφοριών και συμμόρφωσης του Microsoft 365. Το Power Platform παρέχει ολοκληρωμένη προστασία που έχει σχεδιαστεί με γνώμονα την πιο δύσκολη θέση των πελατών μας στο cloud:
- Πώς μπορούμε να ελέγχουμε ποια άτομα μπορούν να συνδεθούν, από πού συνδέονται και πώς συνδέονται; Πώς μπορούμε να ελέγχουμε τις συνδέσεις;
- Πώς αποθηκεύονται τα δεδομένα; Πώς κρυπτογραφούνται; Ποιους ελέγχους έχω στα δεδομένα μου;
- Πώς μπορώ να ελέγχω και να προστατεύσω τα ευαίσθητα δεδομένα μου; Πώς μπορώ να εξασφαλίσω ότι αυτά τα δεδομένα δεν μπορούν να διαρεύσουν εκτός του οργανισμού;
- Πώς μπορούμε να ελέγχουμε ποιος μπορεί να κάνει τι; Πώς μπορούμε να αντιδρούμε γρήγορα εάν διαπιστώσουμε ύποπτη δραστηριότητα;
Διαχείριση
Η Power Platform υπηρεσία διέπεται από τους Microsoft Όρους ηλεκτρονικών υπηρεσιών και τη Δήλωση Microsoft προστασίας προσωπικών δεδομένων για επιχειρήσεις. Για την τοποθεσία επεξεργασίας δεδομένων, ανατρέξτε στους Microsoft Όρους ηλεκτρονικών υπηρεσιών και στο Παράρτημα προστασίας δεδομένων.
Το Microsoft Κέντρο αξιοπιστίας είναι ο κύριος πόρος για Power Platform πληροφορίες συμμόρφωσης. Μάθετε περισσότερα στην ενότητα Microsoft Προσφορές συμμόρφωσης.
Η υπηρεσία Power Platform ακολουθεί τον κύκλο ζωής ανάπτυξης ασφάλειας (SDL). Το SDL είναι ένα σύνολο αυστηρά πρακτικών που υποστηρίζουν τις απαιτήσεις διασφάλισης ασφάλειας και συμμόρφωσης. Μάθετε περισσότερα στην ενότητα Microsoft Πρακτικές κύκλου ζωής ανάπτυξης ασφάλειας.
Κοινές έννοιες ασφάλειας στο Power Platform
Το Power Platform περιλαμβάνει διάφορες υπηρεσίες. Ορισμένες από τις έννοιες ασφαλείας που θα καλύψουν σε αυτήν τη σειρά ισχύουν για όλες. Άλλες έννοιες είναι συγκεκριμένες για μεμονωμένες υπηρεσίες. Στις περιπτώσεις που οι έννοιες ασφαλείας διαφέρουν, θα τις ονομάσουμε.
Οι έννοιες ασφαλείας που είναι κοινές σε όλες τις υπηρεσίες Power Platform περιλαμβάνουν τα εξής:
- Την αρχιτεκτονική εξυπηρέτησης του Power Platform ή τον τρόπο που οι πληροφορίες ρέουν στο σύστημα
- Έλεγχος ταυτότητας σε Power Platform υπηρεσίες ή τρόπος με τον οποίο οι χρήστες αποκτούν πρόσβαση σε υπηρεσίες
- Σύνδεση και έλεγχος ταυτότητας σε προελεύσεις δεδομένων ή πώς οι υπηρεσίες συνδέονται με προελεύσεις δεδομένων και οι χρήστες αποκτούν πρόσβαση σε δεδομένα
- Αποθήκευση δεδομένων ή Power Platform πώς προστατεύονται τα δεδομένα είτε βρίσκονται σε κατάσταση ηρεμίας είτε κατά τη μεταφορά μεταξύ συστημάτων και υπηρεσιών
Αρχιτεκτονική υπηρεσιών του Power Platform
Power Platform Οι υπηρεσίες βασίζονται στην πλατφόρμα cloud computing του Azure Microsoft. Η αρχιτεκτονική της υπηρεσίας Power Platform αποτελείται από τέσσερα στοιχεία:
- Σύμπλεγμα προσκηνίου Web
- Σύμπλεγμα υποστήριξης
- Κορυφαία υποδομή
- Κινητές πλατφόρμες
Σύμπλεγμα προσκηνίου Web
Ισχύει για υπηρεσίες Power Platform που εμφανίζουν ένα περιβάλλον εργασίας web. Το σύμπλεγμα προσκηνίου web εξυπηρετεί την εφαρμογή ή την αρχική σελίδα υπηρεσίας στο πρόγραμμα περιήγησης του χρήστη. Χρησιμοποιεί το Microsoft Entra για τον αρχικό έλεγχο ταυτότητας των προγραμμάτων-πελατών και την παροχή διακριτικών για τις επόμενες συνδέσεις στην υπηρεσία υποστήριξης του Power Platform.
Ένα σύμπλεγμα προσκηνίου web αποτελείται από μια τοποθεσία Web ASP.NET που εκτελείται στο Περιβάλλον υπηρεσίας εφαρμογής Azure. Όταν ένας χρήστης επισκέπτεται μια υπηρεσία ή μια εφαρμογή Power Platform, η υπηρεσία DNS του προγράμματος-πελάτη μπορεί να πάρει το πιο κατάλληλο (συνήθως πλησιέστερο) κέντρο δεδομένων από τη Διαχείριση κυκλοφορίας του Azure. Για περισσότερες πληροφορίες σχετικά με αυτήν τη διαδικασία, ανατρέξτε στο θέμα Μέθοδος δρομολόγησης κυκλοφορίας επιδόσεων για τη Διαχείριση κυκλοφορίας Azure.
Το σύμπλεγμα προσκηνίου web διαχειρίζεται τη σειρά σύνδεσης και ελέγχου ταυτότητας. Αποκτά ένα αναγνωριστικό διακριτικό πρόσβασης Microsoft Entra μετά τον έλεγχο ταυτότητας του χρήστη. Το στοιχείο ASP.NET αναλύει το διακριτικό για να προσδιορίσει τον οργανισμό στον οποίο ανήκει ο χρήστης. Στη συνέχεια, το στοιχείο ερωτάται για την καθολική υπηρεσία υποστήριξης του Power Platform για να καθορίσει στο πρόγραμμα περιήγησης που φιλοξενεί το σύμπλεγμα υποστήριξης του μισθωτή του οργανισμού. Οι επακόλουθες αλληλεπιδράσεις με τους υπολογιστές-πελάτες γίνονται απευθείας με το σύμπλεγμα προσκηνίου, χωρίς να χρειάζεται η διαχείριση προσκηνίου Web.
Το πρόγραμμα περιήγησης λαμβάνει στατικούς πόρους, όπως αρχεία .js, .css και εικόνων, κυρίως από ένα Δίκτυο παροχής περιεχομένου Azure (CDN). Εξαίρεση αποτελούν οι αναπτύξεις συμπλέγματος δημοσίων οργανισμών. Για λόγους συμμόρφωσης, αυτές οι αναπτύξεις δεν έχουν το Azure CDN. Αντ' αυτού, χρησιμοποιούν ένα σύμπλεγμα προσκηνίου Web από μια συμβατή περιοχή για τη φιλοξενία στατικού περιεχομένου.
Σύμπλεγμα υποστήριξης Power Platform
Το σύμπλεγμα υποστήριξης είναι το κεντρικό δίκτυο όλων των διαθέσιμων λειτουργιών στην υπηρεσία Power Platform. Αποτελείται από τελικά σημεία εξυπηρέτησης, υπηρεσίες εργασίας στο παρασκήνιο, βάσεις δεδομένων, προσωρινή μνήμη και άλλα στοιχεία.
Η υποστήριξη είναι διαθέσιμη στις περισσότερες περιοχές Azure και αναπτύσσεται σε νέες περιοχές καθώς είναι διαθέσιμες. Μία περιοχή μπορεί να φιλοξενεί πολλαπλά συμπλέγματα. Αυτή η ρύθμιση παραμέτρων επιτρέπει σε υπηρεσίες Power Platform την απεριόριστη οριζόντια κλιμάκωση μετά την προσέγγιση των κατακόρυφων και οριζόντιων ορίων κλιμάκωσης ενός μεμονωμένου συμπλέγματος.
Τα συμπλέγματα προσκηνίου είναι σε κατάσταση επίβλεψης. Ένα σύμπλεγμα προσκηνίου φιλοξενεί όλα τα δεδομένα όλων των μισθωτών που έχουν εκχωρηθεί σε αυτό. Το σύμπλεγμα που περιέχει τα δεδομένα ενός συγκεκριμένου μισθωτή αναφέρεται ως το σύμπλεγμα κατοικίας του μισθωτή. Οι πληροφορίες συμπλέγματος οικίας ενός χρήστη που έχει υποβληθεί σε έλεγχο ταυτότητας παρέχονται από την καθολική υπηρεσία προσκηνίου του Power Platform στο σύμπλεγμα προσκηνίου web. Το προσκήνιο web χρησιμοποιεί τις πληροφορίες για τη δρομολόγηση αιτήσεων στο σύμπλεγμα υποστήριξης οικίας του μισθωτή.
Τα μετα-δεδομένα και τα δεδομένα μισθωτή αποθηκεύονται εντός ορίων συμπλέγματος. Η εξαίρεση είναι η αναπαραγωγή δεδομένων σε ένα δευτερεύον σύμπλεγμα υποστήριξης που βρίσκεται σε μια περιοχή που έχει αντιστοιχιστεί στην ίδια γεωγραφία Azure. Το δευτερεύων σύμπλεγμα χρησιμεύει ως σύμπλεγμα ανακατεύθυνσης σε περίπτωση περιφερειακών αποτυχιών και είναι παθητικό οποιαδήποτε άλλη στιγμή. Οι μικροϋπηρεσίες που εκτελούνται σε διαφορετικές μηχανές στο εικονικό δίκτυο του συμπλέγματος εξυπηρετούν επίσης λειτουργίες υποστήριξης. Μόνο δύο από αυτές τις μικροϋπηρεσίες είναι προσβάσιμες από το δημόσιο Internet:
- Υπηρεσία πύλης
- Διαχείριση API Azure
Κορυφαία υποδομή Power Platform
Το Power Platform Premium παρέχει πρόσβαση σε ένα εκτεταμένο σύνολο γραμμών σύνδεσης ως υπηρεσία επί πληρωμή. Οι δημιουργοί του Power Platform δεν περιορίζονται στη χρήση premium συνδέσεων, αλλά οι χρήστες των εφαρμογών περιορίζονται. Οι χρήστες μιας εφαρμογής που περιλαμβάνει premium συνδέσεις πρέπει να έχουν τη σωστή άδεια πρόσβασης σε αυτές. Η υπηρεσία υποστήριξης Power Platform καθορίζει εάν ο χρήστης έχει πρόσβαση σε premium συνδέσεις.
Κινητές πλατφόρμες
Το Power Platform υποστηρίζει Android, iOS και εφαρμογές Windows (UWP). Τα ζητήματα ασφαλείας για εφαρμογές για κινητές συσκευές υπάγονται σε δύο κατηγορίες:
- Επικοινωνία συσκευών
- Η εφαρμογή και τα δεδομένα στη συσκευή
Επικοινωνία συσκευών
Οι εφαρμογές Power Platform για κινητές συσκευές χρησιμοποιούν τις ίδιες ακολουθίες σύνδεσης και ελέγχου ταυτότητας που χρησιμοποιούνται από τα προγράμματα περιήγησης. Οι εφαρμογές Android και iOS ανοίγουν μια περίοδο λειτουργίας προγράμματος περιήγησης στην εφαρμογή. Οι εφαρμογές Windows χρησιμοποιούν έναν μεσάζοντα για τη δημιουργία ενός καναλιού επικοινωνίας με υπηρεσίες Power Platform για τη διαδικασία σύνδεσης.
Ο παρακάτω πίνακας δείχνει την υποστήριξη ελέγχου ταυτότητας με βάση το πιστοποιητικό (CBA) για εφαρμογές για κινητές συσκευές:
| Υποστήριξη CBA | iOS | Android | Παράθυρα |
|---|---|---|---|
| Είσοδος σε υπηρεσία | Υποστηρίζεται | Υποστηρίζεται | Δεν υποστηρίζεται |
| SSRS ADFS on-prem (σύνδεση σε διακομιστή SSRS) | Δεν υποστηρίζεται | Υποστηρίζεται | Δεν υποστηρίζεται |
| Διακομιστής μεσολάβησης εφαρμογής SSRS | Υποστηρίζεται | Υποστηρίζεται | Δεν υποστηρίζεται |
Οι εφαρμογές για κινητές συσκευές επικοινωνούν ενεργά με τις υπηρεσίες Power Platform. Τα στατιστικά στοιχεία χρήσης εφαρμογών και παρόμοια δεδομένα μεταδίδονται σε υπηρεσίες που παρακολουθούν τη χρήση και τη δραστηριότητα. Δεν περιλαμβάνονται δεδομένα πελατών.
Η εφαρμογή και τα δεδομένα στη συσκευή
Η εφαρμογή για κινητές συσκευές και τα δεδομένα που απαιτούνται αποθηκεύονται με ασφάλεια στη συσκευή. Τα διακριτικά και η ανανέωση Microsoft Entra αποθηκεύονται με τη χρήση προτύπων για τον κλάδο.
Τα δεδομένα που έχουν αποθηκευτεί στο cache της συσκευής περιλαμβάνουν δεδομένα εφαρμογής, ρυθμίσεις χρήστη και πίνακες εργαλείων και αναφορές που έχουν πρόσβαση σε προηγούμενες περιόδους λειτουργίας. Η προσωρινή μνήμη αποθηκεύεται σε ένα φίλτρο στον εσωτερικό χώρο αποθήκευσης. Η προσωρινή μνήμη είναι προσβάσιμη μόνο στην εφαρμογή και είναι δυνατή η κρυπτογράφηση της από το λειτουργικό σύστημα.
- iOS: Η κρυπτογράφηση είναι αυτόματη όταν ο χρήστης ορίζει έναν κωδικό πρόσβασης.
- Android: Η κρυπτογράφηση μπορεί να ρυθμιστεί στις ρυθμίσεις.
- Windows: Ο χειρισμός της κρυπτογράφησης γίνεται από το BitLocker.
Microsoft Η κρυπτογράφηση σε επίπεδο αρχείου Intune μπορεί να χρησιμοποιηθεί για τη βελτίωση της κρυπτογράφησης δεδομένων. Το Intune είναι μια υπηρεσία λογισμικού που παρέχει διαχείριση κινητών συσκευών και εφαρμογών. Και οι τρεις πλατφόρμες κινητής τηλεφωνίας υποστηρίζουν το Intune. Με το Intune ενεργοποιημένο και ρυθμισμένο, τα δεδομένα στην κινητή συσκευή κρυπτογραφούνται και η ίδια η εφαρμογή Power Platform δεν μπορεί να εγκατασταθεί σε κάρτα SD.
Οι εφαρμογές Windows υποστηρίζουν επίσης την Προστασία πληροφοριών των Windows (WIP).
Τα προσωρινά αποθηκευμένα δεδομένα διαγράφονται όταν ο χρήστης:
- καταργεί την εγκατάσταση της εφαρμογής
- αποσυνδέεται από την υπηρεσία Power Platform
- αποτυγχάνει να συνδεθεί μετά την αλλαγή ενός κωδικού πρόσβασης ή αφού λήξει ένα διακριτικό
Ο γεωεντοπισμός ενεργοποιείται ή απενεργοποιείται ρητά από το χρήστη. Εάν είναι ενεργοποιημένη, τα δεδομένα γεωγραφικής τοποθεσίας δεν αποθηκεύονται στη συσκευή και δεν κοινοποιούνται σε Microsoft αυτήν.
Ο ειδοποιήσεις είναι ενεργοποιημένες ή απενεργοποιημένες ρητά από το χρήστη. Εάν έχουν ενεργοποιηθεί οι ειδοποιήσεις, τα Android και iOS δεν υποστηρίζουν απαιτήσεις κατοικίας γεωγραφικών δεδομένων για ειδοποιήσεις.
Οι υπηρεσίες Power Platform για κινητές συσκευές δεν έχουν πρόσβαση σε άλλους φακέλους εφαρμογών ή αρχεία της συσκευής.
Ορισμένα δεδομένα ελέγχου ταυτότητας βάσει διακριτικού είναι διαθέσιμα σε άλλες Microsoft εφαρμογές, όπως ο Επαληθευτής, για την ενεργοποίηση της καθολικής σύνδεσης. Η διαχείριση των εν λόγω δεδομένων γίνεται από το SDK της Βιβλιοθήκης ελέγχου ταυτότητας Microsoft Entra.
Σχετικά άρθρα
Έλεγχος ταυτότητας σε Power Platform υπηρεσίες
Σύνδεση και έλεγχος ταυτότητας σε προελεύσεις δεδομένων
Αποθήκευση δεδομένων σε Power Platform
Power Platform Συχνές ερωτήσεις ασφαλείας
Δείτε επίσης
- Ασφάλεια σε Microsoft Dataverse
- Microsoft Όροι ηλεκτρονικών υπηρεσιών
- Microsoft Εταιρική Δήλωση προστασίας προσωπικών δεδομένων
- Παράρτημα για την προστασία δεδομένων
- Microsoft Πρακτικές κύκλου ζωής ανάπτυξης ασφάλειας
- Performance traffic-routing method for Azure Traffic Manager
- Microsoft Intune
- Προστασία πληροφοριών των Windows (WIP)