Preguntas frecuentes sobre seguridad de Power Platform
Las preguntas frecuentes sobre seguridad de Power Platform se dividen en dos categorías:
Cómo se ha diseñado Power Platform para ayudar a mitigar los 10 principales riesgos del Open Web Application Security Project® (OWASP)
Preguntas que hacen nuestros clientes
Para facilitarle la búsqueda de la información más reciente, se agregan nuevas preguntas al final de este artículo.
Los 10 principales riesgos de OWASP: Mitigaciones en Power Platform
Open Web Application Security Project® (OWASP) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. A través de proyectos de software de código abierto liderados por la comunidad, cientos de capítulos en todo el mundo, decenas de miles de miembros y conferencias educativas y de capacitación líderes, la Fundación OWASP es la fuente para que los desarrolladores y tecnólogos protejan la web.
Los 10 mejores de OWASP es un documento de concienciación estándar para desarrolladores y otras personas interesadas en seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web. En esta sección, discutiremos cómo Power Platform ayuda a mitigar estos riesgos.
A01:2021 Control de acceso roto
- El modelo de seguridad de Power Platform se basa en el acceso con privilegios mínimos (LPA). LPA permite a los clientes crear aplicaciones con un control de acceso más granular.
- Power Platform utiliza los identificadores (ID) de la plataforma de identidad para la autorización de todas las llamadas API con el protocolo 2.0, estándar de la industria. Microsoft Entra Microsoft Entra Microsoft OAuth
- Dataverse, que proporciona los datos subyacentes para Power Platform, tiene un modelo de seguridad enriquecido que incluye seguridad a nivel de entorno, basada en funciones y a nivel de registros y campos.
A02:2021 Fallas criptográficas
Datos en tránsito:
- Power Platform utiliza TLS para cifrar todo el tráfico de red basado en HTTP. Utiliza otros mecanismos para cifrar el tráfico de red no HTTP que contiene datos de clientes o confidenciales.
- Power Platform emplea una configuración TLS reforzada que habilita HTTP Strict Transport Security (HSTS):
- TLS 1.2 o superior
- Suites de cifrado basadas en ECDHE y curvas NIST
- Claves fuertes
Datos en reposo:
- Todos los datos del cliente se cifran antes de escribirse en medios de almacenamiento no volátiles.
Power Platform utiliza las mejores prácticas estándar de la industria para prevenir ataques de inyección, como:
- Uso de API seguras con interfaces parametrizadas
- Aplicar las capacidades en constante evolución de los marcos front-end para desinfectar la entrada
- Desinfectar la salida con validación del lado del servidor
- Uso de herramientas de análisis estático durante el tiempo de construcción
- Revisar el modelo de amenazas de todos y cada uno de los servicios cada seis meses, independientemente de si el código/diseño/infraestructura se ha actualizado o no
- Power Platform se basa en una cultura y una metodología de diseño seguro. Tanto la cultura como la metodología se refuerzan constantemente a través de las prácticas de ciclo de vida de desarrollo de seguridade (SDL) y modelado de amenazas líderes en la industria de Microsoft.
- El sólido proceso de revisión de modelos de amenazas garantiza que se identifican durante la fase de diseño, se mitigan y se validan para asegurarse de que se hayan mitigado.
- Threat Modeling también da cuenta de todos los cambios en los servicios que ya están activos a través de revisiones periódicas continuas. Confiando en el modelo STRIDE ayuda a abordar los problemas más comunes con el diseño inseguro.
- MicrosoftEl SDL de es equivalente al modelo de madurez de garantía de software OWASP (SAMM). Ambos se basan en la premisa de que el diseño seguro es parte integral de la seguridad de las aplicaciones web.
A05:2021 Configuración incorrecta de seguridad
- "Default Deny" es una de las bases de criterios de diseño de Power Platform. Con "Default Deny", los clientes deben revisar y optar por nuevas funciones y configuraciones.
- Cualquier configuración incorrecta durante el tiempo de compilación se detecta mediante un análisis de seguridad integrado mediante el uso de Herramientas de desarrollo seguras.
- Además, Power Platform pasa por pruebas de seguridad de análisis dinámico (DAST) mediante el uso de un servicio interno que se basa en los 10 riesgos principales de OWASP.
A06:2021 Componentes vulnerables y obsoletos
- Power Platform sigue las prácticas SDL de Microsoftpara administrar componentes de código abierto y de terceros. Estas prácticas incluyen mantener un inventario completo, realizar análisis de seguridad, mantener los componentes actualizados y alinearlos con un proceso de respuesta a incidentes de seguridad probado y probado.
- En casos excepcionales, algunas aplicaciones pueden contener copias de componentes obsoletos debido a dependencias externas. Sin embargo, después de que esas dependencias se hayan abordado de acuerdo con las prácticas descritas anteriormente, los componentes se rastrean y actualizan.
A07:2021 Fallos de identificación y autenticación
- Power Platform se basa y depende de Microsoft Entra ID tanto para la identificación como para la autenticación.
- Microsoft Entra ayuda a Power Platform a permitir características seguras. Estas características incluyen inicio de sesión único (SSO), autenticación multifactor y una plataforma única para interactuar con usuarios internos y externos de forma más segura.
- Con la próxima implementación de Power Platform de la Evaluación de acceso continuo (CAE) de Microsoft Entra ID, la identificación y autenticación de los usuarios será aún más segura y confiable.
A08:2021 Fallas de integridad de datos y software
- El proceso de control de componentes de Power Platform impone la configuración segura de los archivos de origen del paquete para mantener la integridad del software.
- El proceso garantiza que solo se sirvan paquetes de origen interno para abordar ataques de sustitución. El ataque de sustitución, también conocido como confusión de dependencia, es una técnica que se puede utilizar para envenenar el proceso de creación de aplicaciones dentro de entornos empresariales seguros.
- Todos los datos cifrados tienen protección de integridad aplicada antes de que se transmitan. Se validan todos los metadatos de protección de integridad presentes para los datos cifrados entrantes.
OWASP Los 10 principales riesgos de código bajo/sin código: mitigaciones en Power Platform
Para obtener orientación sobre cómo mitigar los 10 principales riesgos de seguridad con código bajo/sin código publicados por OWASP, consulte este documento:
Power Platform - Los 10 principales riesgos de OWASP Low Code No Code (abril de 2024)
Preguntas de seguridad comunes de los clientes
Las siguientes son algunas de las preguntas de seguridad que hacen nuestros clientes.
¿Cómo ayuda Power Platform a proteger contra los riesgos de clickjacking?
El clickjacking utiliza iframes incrustados, entre otros componentes, para secuestrar las interacciones de un usuario con una página web. Es una amenaza importante para las páginas de inicio de sesión en particular. Power Platform evita el uso de iframes en las páginas de inicio de sesión, lo que reduce significativamente el riesgo de secuestro de clics.
Además, las organizaciones pueden usar la Política de seguridad de contenido (CSP) para restringir la incorporación a dominios de confianza con la configuración de la organización.
¿Admite Power Platform la directiva de seguridad de contenido?
Power Platform admite la Directiva de seguridad de contenido (CSP) para aplicaciones basadas en modelos. No admitimos los siguientes encabezados que se reemplazan por CSP:
X-XSS-ProtectionX-Frame-Options
¿Cómo podemos conectarnos a SQL Server de forma segura?
Vea Usar Microsoft SQL Server de forma segura con Power Apps.
¿Qué cifrados son compatibles con Power Platform? ¿Cuál es la hoja de ruta de avanzar continuamente hacia cifrados más fuertes?
Todos los Microsoft servicios y productos están configurados para utilizar los conjuntos de cifrado aprobados, en el orden exacto indicado por la Microsoft Crypto Board. Para obtener la lista completa y el orden exacto, consulte la documentación de Power Platform.
La información sobre la obsolescencia de conjuntos de cifrado se comunicará a través de la documentación de los cambios importantes de Power Platform.
¿Por qué Power Platform aún admite cifrados RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) y TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), que se consideran más débiles?
Microsoft sopesa el riesgo relativo y la interrupción de las operaciones del cliente al elegir los conjuntos de cifrado que admitirá. Los conjuntos de cifrado RSA-CBC aún no se han descifrado. Los hemos habilitado para garantizar la coherencia entre nuestros servicios y productos, y para admitir todas las configuraciones de los clientes. Sin embargo, se encuentran en la parte inferior de la lista de prioridades.
Dejaremos obsoletos estos cifrados en el momento adecuado, en función de la evaluación continua del Crypto Board. Microsoft
¿Por que Power Automate expone hashes de contenido MD5 en entradas y salidas de activación/acción?
Power Automate pasa el valor hash MD5 de contenido opcional devuelto por Azure Storage tal cual a sus clientes. Azure Storage usa este hash para verificar la integridad de la página durante el transporte como un algoritmo de suma de comprobación y no se usa como una función hash criptográfica por motivos de seguridad en Power Automate. Puede encontrar más detalles sobre esto en la documentación de Azure Storage sobre cómo Obtener propiedades de blob y como trabajar con Solicitud de encabezados.
¿Cómo protege Power Platform contra los ataques de denegación de servicio (DDoS) distribuido?
Power Platform está construido sobre Microsoft Azure y usa Protección contra DDoS de Azure para proteger contra ataques DDoS.
¿Detecta Power Platform los dispositivos iOS con jailbreak y los dispositivos Android trucados para ayudar a proteger los datos de la organización?
Le recomendamos que utilice Intune. Microsoft Intune es una solución de administración de dispositivos móviles. Puede ayudar a proteger los datos de la organización al requerir que los usuarios y los dispositivos cumplan con ciertos requisitos. Para obtener más información, consulte la configuración de la política de cumplimiento de Intune.
¿Por qué las cookies de sesión se limitan al dominio principal?
Power Platform limita las cookies de sesión al dominio principal para permitir la autenticación entre organizaciones. Los subdominios no se utilizan como límites de seguridad. Tampoco alojan contenido de clientes.
¿Cómo podemos configurar la sesión de la aplicación para que se agote después de, digamos, 15 minutos?
Power Platform usa Microsoft Entra ID para la gestión de acceso e identidad. Sigue la configuración recomendada de Microsoft Entra ID para la gestión de sesiones para una experiencia de usuario óptima.
Sin embargo, puede personalizar los entornos para tener tiempos de espera explícitos de sesión y/o actividad. Para más información, vea Mejoras de seguridad: administración de sesión de usuario y de acceso.
Con la próxima implementación de Power Platform de la Evaluación de acceso continuo (CAE) de Microsoft Entra ID, la identificación y autenticación de los usuarios será aún más segura y confiable.
La aplicación permite que un mismo usuario acceda desde más de una máquina o navegador al mismo tiempo. ¿Cómo podemos prevenir eso?
Acceder a la aplicación desde más de un dispositivo o navegador al mismo tiempo es una comodidad para los usuarios. La próxima implementación de Power Platform de la Evaluación de acceso continuo de Microsoft Entra ID ayudará a garantizar que el acceso sea desde dispositivos y navegadores autorizados y que siga siendo válido.
¿Por qué algunos de los servicios de Power Platform exponen los encabezados del servidor con información detallada?
Los servicios de Power Platform han estado trabajando para quitar la información innecesaria en el encabezado del servidor. El objetivo es equilibrar el nivel de detalle con el riesgo de exponer información que podría debilitar la postura general de seguridad.
¿Cómo afectan las vulnerabilidades de Log4j a Power Platform? ¿Qué deben hacer los clientes al respecto?
Microsoft Ha evaluado que ninguna vulnerabilidad de Log4j tiene impacto Power Platform. Vea nuestra entrada de blog en Prevenir, detectar y buscar la explotación de las vulnerabilidades de Log4j.
¿Cómo podemos asegurarnos de que no haya transacciones no autorizadas debido a las extensiones del navegador o a las Interfaz unificada API del cliente que permiten habilitar los controles deshabilitados?
El modelo de seguridad de Power Apps no incluye el concepto de controles deshabilitados. Deshabilitar los controles es una mejora de la interfaz de usuario. No debe confiar en los controles deshabilitados para brindar seguridad. En su lugar, use controles de Dataverse como la seguridad a nivel de campo para evitar transacciones no autorizadas.
¿Qué encabezados de seguridad HTTP se utilizan para proteger los datos de respuesta?
| Name | Details |
|---|---|
| Seguridad estricta en el transporte | Esto se establece en max-age=31536000; includeSubDomains en todas las respuestas. |
| Opciones de X-Frame | Está en desuso a favor de CSP. |
| Opciones de tipo de contenido X | Esto se establece en nosniff en todas las respuestas de activos. |
| Política de seguridad de contenido | Esto se establece si el usuario habilita CSP. |
| Protección X-XSS | Está en desuso a favor de CSP. |
¿Dónde puedo encontrar Power Platform o las pruebas de penetración de Dynamics 365?
Las últimas pruebas de penetración y evaluaciones de seguridad se pueden encontrar en el Microsoft Portal de confianza del servicio.
Nota
Para acceder a algunos de los recursos del Portal de confianza del servicio, debe iniciar sesión como un usuario autenticado con su cuenta de servicios en la nube (cuenta de la organización) y revisar y aceptar el acuerdo de confidencialidad para los materiales de cumplimiento. Microsoft Microsoft Entra Microsoft
Artículos relacionados
Seguridad en Microsoft Power Platform
Autenticación en los servicios Power Platform
Conexión y autenticación a fuentes de datos
Almacenamiento de datos en Power Platform