Power Platform zabezpieczenia — często zadawane pytania
Najczęściej zadawane pytania dotyczące bezpieczeństwa Power Platform dzielą się na dwie kategorie:
W jaki sposób Power Platform został zaprojektowany, aby pomóc zminimalizować 10 największych zagrożeń Open Web Application Security Project® (OWASP)
Pytania, które zadają nasi klienci
Aby ułatwić ci znalezienie najnowszych informacji, nowe pytania są dodawane na końcu tego artykułu.
10 najważniejszych zagrożeń OWASP: ograniczenia w Power Platform
Open Web Application Security Project® (OWASP) to fundacja non-profit, która działa na rzecz poprawy bezpieczeństwa oprogramowania. Dzięki prowadzonym przez społeczność projektom oprogramowania open-source, setkom oddziałów na całym świecie, dziesiątkom tysięcy członków oraz wiodącym konferencjom edukacyjnym i szkoleniowym, Fundacja OWASP jest dla programistów i technologów źródłem wiedzy o bezpieczeństwie w sieci.
OWASP Top 10 jest standardowym dokumentem uświadamiającym dla programistów i innych osób zainteresowanych bezpieczeństwem aplikacji internetowych. Przedstawia szerokie środowiska o najważniejszych zabezpieczeniach, które nie są związane z aplikacjami sieci Web. W tej części omówimy, w jaki sposób Power Platform pomaga ograniczyć to ryzyko.
A01:2021 Złamana kontrola dostępu
- Model bezpieczeństwa Power Platform jest zbudowany w oparciu o Least Privileged Access (LPA). LPA umożliwia klientom tworzenie aplikacji z bardziej granularną kontrolą dostępu.
- Power Platform wykorzystuje Microsoft Entra platformę ID (Microsoft Entra ID) Microsoft Identity do autoryzacji wszystkich wywołań API za pomocą standardowego OAuth protokołu 2.0.
- Dataverse, który dostarcza dane bazowe dla Power Platform, ma bogaty model bezpieczeństwa, który obejmuje zabezpieczenia na poziomie środowiska, ról oraz rekordów i pól.
A02:2021 Błędy kryptograficzne
Dane w drodze:
- Power Platform używa TLS do szyfrowania całego ruchu sieciowego opartego na protokole HTTP. Są w nim używane inne mechanizmy szyfrowania ruchu sieciowego spoza protokołu HTTP zawierającego dane o klientach lub poufnych.
- Power Platform wykorzystuje wzmocnioną konfigurację TLS, która umożliwia stosowanie protokołu HTTP Strict Transport Security (HSTS):
- TLS 1.2 lub wyższa
- Wykorzystuje zestawy szyfrów oparte na ECDHE i krzywe NIST
- Mocne klucze
Dane magazynowane:
- Wszystkie dane klientów zostaną szyfrowane przed ich wpisem w mediach niedystrowanych.
Power Platform używa standardowych w tej branży najlepszych rozwiązań w celu zapobiegania atakom, w tym:
- Korzystanie z bezpiecznego interfejsu API z parametrami interfejsów
- Stosowanie stale rozwijających się możliwości struktury front-end do oczyszczania danych wejściowych
- Sanitowanie danych wyjściowych przy użyciu sprawdzania poprawności na serwerze
- Korzystanie z narzędzi do analizy statycznej w czasie tworzenia
- Przejrzyj model zagrożeń dla każdej usługi co 6 miesięcy, bez względu na to, czy kod/projekt/infrastruktura zostały zaktualizowane, czy nie
- Power Platform jest zbudowana na kulturze i metodologii bezpiecznego projektowania. Zarówno kultura, jak i metodologia są stale wzmacniane dzięki Microsoft wiodącym w branży praktykom w zakresie cyklu życia rozwoju zabezpieczeń (SDL) i modelowania zagrożeń.
- Proces przeglądu modelowania zagrożeń zapewnia, że zagrożenia są identyfikowane w fazie projektowania, łagodzone i zatwierdzane, aby upewnić się, że zostały zniwelowane.
- Modelowanie zagrożeń uwzględnia także wszystkie zmiany w usługach, które już działają, dzięki ciągłym, regularnym przeglądom. Bazowanie na modelu STRIDE pomaga rozwiązać najczęstsze problemy związane z niezabezpieczonym projektowaniem.
- MicrosoftSDL jest odpowiednikiem modelu dojrzałości OWASP Software Assurance Maturity Model (SAMM). Oba są zbudowane w oparciu o założenie, że bezpieczny projekt jest integralną częścią bezpieczeństwa aplikacji internetowych.
A05:2021 Błędna konfiguracja zabezpieczeń
- „Domyślna odmowa” jest jednym z fundamentów zasad projektowania Power Platform. W przypadku „Domyślnej odmowy” klienci muszą sprawdzić i wyrazić zgodę na nowe funkcje i konfiguracje.
- Wszelkie błędy konfiguracji podczas tworzenia będą podlegać analizie zintegrowanej analizy zabezpieczeń przy użyciu bezpiecznego narzędzia projektowego.
- Ponadto Power Platform przechodzi testy bezpieczeństwa analizy dynamicznej Analiza dynamiczna Testy bezpieczeństwa (DAST) przy użyciu wewnętrznej usługi opartej na 10 najważniejszych zagrożeniach OWASP.
A06:2021 Wrażliwe i nieaktualne komponenty
- Power Platform Postępuj zgodnie Microsoft z praktykami SDL dotyczącymi zarządzania komponentami typu open source i innych firm. Praktyki te obejmują utrzymywanie pełnej inwentaryzacji, przeprowadzanie analiz bezpieczeństwa, aktualizowanie komponentów oraz dostosowanie komponentów do wypróbowanego i przetestowanego procesu reagowania na incydenty bezpieczeństwa.
- W rzadkich przypadkach niektóre aplikacje mogą zawierać kopie przestarzałych komponentów ze względu na zewnętrzne zależności. Jednak po zajęciu się tymi zależnościami zgodnie z wcześniej opisanymi praktykami, komponenty są śledzone i aktualizowane.
A07:2021 Błędy identyfikacji i uwierzytelniania
- Power Platform opiera się na identyfikacji i uwierzytelnianiu Microsoft Entra i jest od nich zależna.
- Microsoft Entra pomaga Power Platform włączyć bezpieczne funkcje. Funkcje te obejmują pojedyncze logowanie, uwierzytelnianie wieloczynnikowe oraz jedną platformę, która pozwala bezpieczniej współpracować z użytkownikami wewnętrznymi i zewnętrznymi.
- Dzięki nadchodzącej implementacji Microsoft Entra ID w Power Platform Continuous Access Evaluation (CAE), identyfikacja i uwierzytelnianie użytkowników będą jeszcze bezpieczniejsze i bardziej niezawodne.
A08:2021 Awarie oprogramowania i integralności danych
- Proces zarządzania składnikami w Power Platform wymusza bezpieczną konfigurację plików źródłowych pakietów w celu zachowania integralności oprogramowania.
- Proces zapewnia, że podawane są wyłącznie pakiety pochodzące ze źródeł wewnętrznych w celu rozwiązania problemu ataku substytucji. Atak substytucyjny, znany też jako pomylenie zależności, jest techniką, która może być użyta do zatrucia procesu tworzenia aplikacji w bezpiecznych środowiskach korporacyjnych.
- Wszystkie zaszyfrowane dane przed przesłaniem mają zapewnioną ochronę integralności. Wszystkie metadane chroniące integralność przychodzących zaszyfrowanych danych są weryfikowane.
OWASP 10 największych zagrożeń związanych z niskim kodem/bez kodu: Środki zaradcze w Power Platform
Wskazówki dotyczące łagodzenia 10 największych zagrożeń bezpieczeństwa (Niski kod/brak kodu) opublikowanych przez OWASP można znaleźć w tym dokumencie:
Power Platform - OWASP Low Code No Code 10 największych zagrożeń (kwiecień 2024)
Typowe pytania dotyczące zabezpieczeń od klientów
Poniżej przedstawiamy niektóre z pytań dotyczących bezpieczeństwa, które zadają nasi klienci.
W jaki sposób Power Platform pomaga chronić się przed zagrożeniami Clickjacking?
Clickjacking wykorzystuje między innymi osadzone ramki iframe do przejmowania interakcji użytkownika ze stroną internetową. Jest to duże zagrożenie zwłaszcza dla stron logowania. Power Platform zapobiega używaniu ramek iframe na stronach logowania, co znacznie zmniejsza ryzyko clickjackingu.
Ponadto zasady Content Security Policy (CSP) mogą służyć do ograniczania osadzania do zaufanych domen z ustawieniami organizacji.
Czy Power Platform obsługuje politykę bezpieczeństwa treści (CSP)?
Power Platform wspiera Politykę bezpieczeństwa treści (CSP) dla aplikacji opartych na modelu. Nie obsługujemy następujących nagłówków, które zostały zastąpione przez CSP:
X-XSS-ProtectionX-Frame-Options
Jak można bezpiecznie nawiązywać połączenie z programem SQL Server?
Zobacz: Bezpieczne używanie programu Microsoft SQL Server z usługą Power Apps.
Jakie szyfry są obsługiwane przez Power Platform? Jaka jest mapa drogowa ciągłego przechodzenia w kierunku silniejszych szyfrów?
Wszystkie Microsoft usługi i produkty są skonfigurowane do korzystania z zatwierdzonych zestawów szyfrów, w dokładnej kolejności wskazanej Microsoft przez Crypto Board. Pełną listę i dokładne zamówienie można znaleźć w dokumentacji Power Platform.
Wszelkie zmiany związane z wycofywaniem pakietów szyfrowania będą przekazywane w dokumentacji Ważne zmiany usługi Power Platform.
Dlaczego Power Platform nadal obsługuje szyfry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), które są uważane za słabsze?
Microsoft Bierze pod uwagę względne ryzyko i zakłócenia w operacjach klienta przy wyborze zestawów szyfrowania do obsługi. Zestawy szyfrów RSA-CBC nie zostały jeszcze złamane. Umożliwiliśmy im zapewnienie spójności naszych usług i produktów oraz wsparcie wszystkich konfiguracji klientów. Są one jednak na dole listy priorytetów.
Wycofamy te szyfry we właściwym czasie, w oparciu o Microsoft ciągłą ocenę Crypto Board.
Dlaczego usługa Power Automate ujawnia skróty zawartości MD5 w wejściach i wyjściach wyzwalacza/akcji?
Power Automate przekazuje opcjonalną wartość skrótu zawartość-DHCP5 zwracaną przez magazyn Azure do jej klientów. To skrót jest używany przez magazyn Azure w celu sprawdzenia integralności strony podczas transportu jako algorytmu testowego i nie jest używany jako funkcja kryptograficzna skrótu dla celów bezpieczeństwa w usłudze Power Automate. Więcej informacji na ten temat można znaleźć w dokumentacji usługi Azure Storage dotyczącej sposobu Pobierz właściwości obiektu Blob i sposobu pracy z Nagłówki żądania.
Jak chronić Power Platform przed rozproszonymi odmowami dostępu do usługi (DDoS)?
Power Platform jest zbudowany na platformie Microsoft Azure i używa Azure DDoS Protection do ochrony przed atakami DDoS.
Czy Power Platform wykrywa urządzenia iOS i rootowane urządzenia Android i pomagają chronić dane organizacyjne?
Zalecamy korzystanie z Microsoft usługi Intune. Intune to rozwiązanie do zarządzania urządzeniami mobilnymi. Może pomóc w ochronie danych organizacyjnych, wymagając od użytkowników i urządzeń spełnienia określonych wymagań. Aby uzyskać więcej informacji, zobacz ustawienia zasad Intune zgodności z usługą.
Dlaczego zakres plików cookie sesji jest ograniczony do domeny nadrzędnej?
Power Platform przypisuje ciasteczka sesji do domeny nadrzędnej, aby umożliwić uwierzytelnianie w różnych organizacjach. Subdomeny nie są używane jako granice bezpieczeństwa. Nie udostępniają też treści klientów.
Jak możemy ustawić limit czasu sesji aplikacji po powiedzmy 15 minutach?
Power Platform wykorzystuje zarządzanie tożsamością i dostępem Microsoft Entra ID. Jest on zgodny z Zalecaną przez Microsoft Entra ID konfiguracją zarządzania sesją dla optymalnego doświadczenia użytkownika.
Można jednak dostosować środowiska w celu wyraźnego ustawienia sesji i/lub limitu czasu działania. Więcej informacji znajdziesz na Ulepszenie poziomu zabezpieczeń: Zarządzanie sesją i dostępem użytkowników.
Dzięki nadchodzącej implementacji Microsoft Entra ID w Power Platform Continuous Access Evaluation, identyfikacja i uwierzytelnianie użytkowników będą jeszcze bezpieczniejsze i bardziej niezawodne.
Aplikacja umożliwia jednemu użytkownikowi dostęp jednocześnie z więcej niż jednego komputera/przeglądarki. Jak można zapobiec tym problemom?
Dostęp do aplikacji z więcej niż jednego urządzenia lub przeglądarki w tym samym czasie to wygoda dla użytkowników. Nadchodzące wdrożenie Microsoft Entra ID przez Power Platform Continuous Access Evaluation pomoże zapewnić, że dostęp pochodzi z autoryzowanych urządzeń i przeglądarek i jest nadal ważny.
Dlaczego niektóre usługi Power Platform uwidaczniają nagłówki serwera z pełnymi informacjami?
Power Platform służby pracują nad usunięciem niepotrzebnych informacji z nagłówka serwera. Celem jest zrównoważenie poziomu szczegółowości z ryzykiem ujawnienia informacji, które może osłabić ogólną postawę bezpieczeństwa.
Jak luki w Log4j wpływają na Power Platform? Co w tym zakresie powinni zrobić klienci?
Microsoft ocenił, że luki w zabezpieczeniach Log4j nie mają wpływu Power Platform. Zobacz nasz wpis na blogu na temat zapobiegania, wykrywania i polowania na wykorzystanie luk w Log4j.
Jak możemy upewnić się, że nie ma nieautoryzowanych transakcji z powodu rozszerzeń przeglądarki lub interfejsów API klienta ujednoliconego interfejsu, które umożliwiają włączenie wyłączonych kontroli?
Model bezpieczeństwa Power Apps nie zawiera pojęcia wyłączonych kontroli. Wyłączanie formantów poprawia interfejs użytkownika. Nie powinieneś polegać na wyłączonych kontrolach, by zapewnić sobie bezpieczeństwo. Zamiast tego wykorzystaj mechanizmy Dataverse, takie jak zabezpieczenia na poziomie pól, aby zapobiec nieautoryzowanym transakcjom.
Które nagłówki zabezpieczeń HTTP są używane do ochrony danych odpowiedzi?
| Nazwa/nazwisko | Details |
|---|---|
| Ścisłe bezpieczeństwo transportu | Ta wartość jest ustawiana na max-age=31536000; includeSubDomains dla wszystkich odpowiedzi. |
| Opcje ramki X | To zostało określone po stronie CSP. |
| X-Opcje-Typu-Zawartości | Ta wartość jest ustawiana na nosniff dla wszystkich zasobów. |
| Polityka bezpieczeństwa treści | Ta wartość jest ustawiana, jeśli użytkownik włącza CSP. |
| Ochrona X-XSS | To zostało określone po stronie CSP. |
Gdzie mogę znaleźć testy penetracyjne Power Platform lub Dynamics 365 albo ich użyć?
Najnowsze testy penetracyjne i oceny bezpieczeństwa można znaleźć na Microsoft portalu Service Trust Portal.
Uwaga
Aby uzyskać dostęp do niektórych zasobów w portalu zaufania usług, należy zalogować się jako uwierzytelniony użytkownik za pomocą Microsoft konta usług w chmurze (Microsoft Entra konta organizacji) oraz przejrzeć i zaakceptować Microsoft umowę o zachowaniu poufności dotyczącą materiałów dotyczących zgodności.
Powiązane artykuły
Bezpieczeństwo w Microsoft Power Platform
Uwierzytelnianie w Power Platform usługach
Nawiązywanie połączenia ze źródłami danych i uwierzytelnianie się z nimi
Przechowywanie danych w Power Platform