Вопросы и ответы по безопасности Power Platform

Часто задаваемые вопросы о безопасности Power Platform делятся на две категории:

  • Как Power Platform был разработан, чтобы помочь снизить 10 основных рисков Open Web Application Security Project® (OWASP)

  • Вопросы, которые задают наши клиенты

Чтобы вам было проще находить самую свежую информацию, в конце этой статьи добавлены новые вопросы.

10 основных рисков OWASP. Устранение рисков в Power Platform

Open Web Application Security Project® (OWASP) — некоммерческая организация, работающая над повышением безопасности программного обеспечения. Благодаря проектам программного обеспечения с открытым исходным кодом под руководством сообщества, сотням отделений по всему миру, десяткам тысяч членов и ведущим образовательным и обучающим конференциям, OWASP Foundation является источником для разработчиков и технологов для обеспечения безопасности Интернета.

10 основных рисков OWASP — это стандартный информационный документ для разработчиков и специалистов по безопасности веб-приложений. Он представляет собой широкий консенсус в отношении наиболее серьезных угроз безопасности для веб-приложений. В этом разделе мы обсудим, как Power Platform помогает снизить эти риски.

A01:2021 Нарушение контроля доступа

  • Модель безопасности Power Platform построена на минимальном привилегированном доступе (LPA). LPA позволяет клиентам создавать приложения с более точным контролем доступа.
  • Power Platform использует реализованную в Microsoft Entra ID (Microsoft Entra ID) платформу удостоверений Microsoft для авторизации всех вызовов API с использованием стандартного отраслевого протокола OAuth 2.0.
  • Dataverse, который предоставляет базовые данные для Power Platform, имеет богатую модель безопасности, которая включает безопасность на уровне среды, на основе ролей, а также на уровне записей и полей.

A02:2021 Криптографические сбои

Передаваемые данные:

  • Power Platform использует TLS для шифрования всего сетевого трафика на основе HTTP. Он использует другие механизмы для шифрования сетевого трафика, отличного от HTTP, который содержит клиентские или конфиденциальные данные.
  • Power Platform использует усиленную конфигурацию TLS, которая включает HTTP Strict Transport Security (HSTS):
    • TLS 1.2 или выше
    • Наборы шифров на основе ECDHE и кривые NIST
    • Сильные ключи

Неактивные данные:

  • Все данные клиентов шифруются перед записью на энергонезависимый носитель.

A03:2021 Инъекция

Power Platform использует лучшие отраслевые методики для предотвращения инъекционных атак, включая:

  • Использование безопасных API с параметризованными интерфейсами
  • Использование постоянно развивающихся возможностей внешних интерфейсных платформ для очистки ввода
  • Проверка вывода с проверкой на стороне сервера
  • Использование инструментов статического анализа во время сборки
  • Проверка модели угроз для каждой службы каждые шесть месяцев независимо от того, обновлялись код, структура, инфраструктура или нет

A04:2021 Небезопасная структура

  • Power Platform построен на культуре и методологии безопасного проектирования. Культура и методологии безопасного проектирования постоянно совершенствуются благодаря ведущим в отрасли решениям жизненного цикла разработки защищенных приложений (SDL) от Microsoft и моделированию угроз.
  • Процесс проверки моделирования угроз гарантирует, что выявляет угрозы на этапе проектирования, отслеживает их, устраняет их и проверяет, чтобы убедиться, что угрозы были устранены.
  • Моделирование угроз также учитывает все изменения в службах, которые уже работают, посредством непрерывных регулярных проверок. Опираясь на модель STRIDE, можно решить наиболее распространенные проблемы с небезопасной структурой.
  • Microsoft SDL аналогично модели зрелости OWASP Software Assurance (SAMM). Оба основаны на предположении, что безопасная структура является неотъемлемой частью безопасности веб-приложений.

A05:2021 Нарушение конфигурации безопасности

  • "Запрет по умолчанию" — одна из основ принципов разработки Power Platform. При использовании "Запрет по умолчанию" клиентам необходимо просматривать и соглашаться на новые функции и конфигурации.
  • Любые неправильные настройки во время сборки будут обнаружены с помощью встроенного анализа безопасности с использованием безопасных инструментов разработки.
  • Кроме того, Power Platform использует Dynamic Analysis Security Testing (DAST) с помощью внутренней службы, созданной на основе 10 основных рисков OWASP.

A06:2021 Уязвимые и устаревшие компоненты

  • Power Platform следует ведущим отраслевым методикам SDL от Microsoft для управления компонентами с открытым исходным кодом и сторонними компонентами. Рекомендации включают ведение полной инвентаризации, выполнение анализа безопасности, поддержание компонентов в актуальном состоянии и согласование компонентов с проверенным и испытанным процессом реагирования на инциденты безопасности.
  • В редких случаях некоторые приложения могут содержать копии устаревших компонентов из-за внешних зависимостей. Однако после устранения этих зависимостей в соответствии с изложенными ранее методами компоненты отслеживаются и обновляются.

A07:2021 Проблемы с идентификацией и аутентификацией

  • Power Platform основана на идентификации и аутентификации в Microsoft Entra ID и зависит от них.
  • Microsoft Entra помогает Power Platform включить безопасные функции. Эти функцию помогают включить как единый вход, многофакторную аутентификацию и единую платформу для более безопасного взаимодействия как с внутренними, так и с внешними пользователями.
  • С предстоящей реализацией непрерывной оценки доступа (CAE) Microsoft Entra ID в Power Platform идентификация и аутентификация пользователей станут еще более безопасными и надежными.

A08:2021 Сбои целостности программного обеспечения и данных

  • Процесс управления компонентами Power Platform гарантирует безопасную конфигурацию файлов исходных пакетов для поддержания целостности программного обеспечения.
  • Этот процесс гарантирует, что для реагирования на атаки замещения обслуживаются только пакеты из внутренних источников. Атака замещения, также известная как путаница зависимостей, — это метод, который можно использовать для отравления процесса создания приложений в защищенных корпоративных средах.
  • Ко всем зашифрованным данным перед передачей применяется защита целостности. Все метаданные защиты целостности, имеющиеся для входящих зашифрованных данных, проверяются.

Топ-10 рисков OWASP с низким кодом/без кода: меры по смягчению последствий в Power Platform

Рекомендации по снижению 10 основных рисков безопасности с низким кодом и без кода, опубликованных OWASP, см. в этом документе:

Power Platform - Топ-10 рисков OWASP с низким кодом/без кода (апрель 2024)

Общие вопросы по безопасности от клиентов

Ниже приведены некоторые вопросы безопасности, которые задают наши клиенты.

Как Power Platform помогает защититься от кликджекинга?

Кликджекинг использует встроенные iFrame среди других компонентов для перехвата взаимодействия пользователя с веб-страницей. В частности, это серьезная угроза для страниц входа. Power Platform предотвращает использование iFrame на страницах входа, что значительно снижает риск кликджекинга.

Кроме того, организации могут использовать политики безопасности содержимого (CSP) для ограничения встраивания до доверенных доменов.

Поддерживает ли Power Platform политику безопасности содержимого?

Power Platform поддерживает Политику безопасности содержимого (CSP) для приложений на основе модели. Мы не поддерживаем следующие заголовки, которые заменены CSP:

  • X-XSS-Protection
  • X-Frame-Options

Как безопасно подключиться к SQL Server?

См. Безопасное использование Microsoft SQL Server с Power Apps.

Какие шифры поддерживаются в Power Platform? Какова дорожная карта постоянного развития в направлении более надежных шифров?

Все службы и продукты Microsoft настроены на использование утвержденных наборов шифров в точном порядке, как указано Microsoft Crypto Board. Полный список и точный порядок см. в документации Power Platform.

Обо всех изменениях, связанных с прекращением поддержки наборов шифров, будет сообщено в документации Важные изменения Power Platform.

Почему Power Platform по-прежнему поддерживают шифры RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) и TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), которые считаются более слабыми?

Корпорация Майкрософт взвешивает относительный риск и сбои в работе клиентов при выборе поддержки наборов шифров. Наборы шифров RSA-CBC еще не взломаны. Мы позволили им обеспечить согласованность наших услуг и продуктов, а также поддержку всех пользовательских конфигураций. Однако они находятся в конце списка приоритетов.

Они будут объявлены устаревшими в нужное время; с учетом непрерывной оценки Microsoft Crypto Board.

Почему Power Automate предоставляет хэши содержимого MD5 на входы и выходы триггера/действия?

Power Automate передает необязательное хэш-значение content-MD5, возвращенное службой хранилища Azure, своим клиентам как есть. Этот хэш используется службой хранилища Azure для проверки целостности страницы во время транспортировки в качестве алгоритма контрольной суммы и не используется в качестве криптографической хеш-функции в целях безопасности в Power Automate. Дополнительные сведения об этом можно найти в документации по хранилищу Azure о том, как получить свойства BLOB-объекта и как работать с заголовками запросов.

Как Power Platform защищает от распределенных атак типа "отказ в обслуживании" (DDoS)?

Power Platform построен на Microsoft Azure и использует Защиту от атак DDoS Azure для защиты от атак DDoS.

Обнаруживает ли Power Platform взломанные устройства iOS и устройства Android с корневым доступом, чтобы помочь в обеспечении защиты данных организации?

Мы рекомендуем использовать Microsoft Intune. Intune — это решение для управления мобильными устройствами. Это может помочь защитить данные организации, требуя от пользователей и устройств соответствия определенным требованиям. Дополнительные сведения см. в разделе Параметры политики соответствия Intune.

Почему файлы cookie сеанса привязаны к родительскому домену?

Power Platform ограничивает область файлов cookie родительским доменом, чтобы разрешить аутентификацию в разных организациях. Поддомены не используются в качестве границ безопасности. Они также не размещают контент клиентов.

Как установить время истечения срока действия сеанса приложения, скажем, 15 минут?

Power Platform использует Microsoft Entra ID для управления идентификацией и доступом. Он следует рекомендуемой конфигурации для управления сеансами Microsoft Entra ID для оптимального взаимодействия с пользователем.

Однако вы можете настроить среды так, чтобы у них было явное истечение срока действия сеансов и/или действий. Дополнительные сведения см. в разделе Сеанс пользователя и управление доступом.

С предстоящей реализацией непрерывной оценки доступа Microsoft Entra ID в Power Platform идентификация и аутентификация пользователей станут еще более безопасными и надежными.

Приложение позволяет одному и тому же пользователю получать доступ с более чем одного компьютера или браузера одновременно. Как можно это предотвратить?

Доступ к приложению с более чем одного устройства или браузера одновременно — это удобно для пользователей. Предстоящая реализация непрерывной оценки доступа Microsoft Entra ID в Power Platform поможет гарантировать, что доступ осуществляется с авторизованных устройств и браузеров и по-прежнему действителен.

Почему некоторые службы Power Platform открывают заголовки сервера с подробной информацией?

Службы Power Platform работают, чтобы удалять ненужную информацию в заголовке сервера. Цель состоит в том, чтобы сбалансировать уровень детализации с риском раскрытия информации, это может ослабить общую систему безопасности.

Как влияют уязвимости Log4j на Power Platform? Что делать клиентам в связи с этим?

Корпорация Майкрософт оценила, что никакие уязвимости Log4j не влияют на Power Platform. См. запись в нашем блоге о предотвращении, обнаружении и поиске использования уязвимостей Log4j.

Как гарантировать отсутствие несанкционированных транзакций из-за расширений браузера или API клиентского единого интерфейса, позволяющих включать отключенные элементы управления?

Концепция отключенных элементов управления не является частью модели безопасности Power Apps. Отключение элементов управления — это улучшение пользовательского интерфейса. Не следует полагаться на отключенные элементы управления для обеспечения безопасности. Вместо этого используйте элементы управления Dataverse, такие как безопасность на уровне полей, чтобы предотвратить несанкционированные транзакции.

Какие заголовки безопасности HTTP используются для защиты данных ответа?

Полное имя Details
строгая транспортная безопасность Для этого параметра установлено значение max-age=31536000; includeSubDomains для всех ответов.
X-Frame-Options Это не рекомендуется, в пользу CSP.
X-Content-Type-Options Для этого параметра установлено на nosniff для всех ответов.
Content-Security-Policy Устанавливается, если пользователь включает CSP.
X-XSS-Protection Это не рекомендуется, в пользу CSP.

Где можно найти тесты на проникновение для Power Platform или Dynamics 365?

Последние тесты на проникновение и оценки безопасности можно найти на портале Microsoft Service Trust Portal.

Заметка

Чтобы получить доступ к некоторым ресурсам на портале Service Trust Portal, вы должны войти в систему как аутентифицированный пользователь со своей учетной записью облачных служб Microsoft Cloud Service (учетной записью организации Microsoft Entra), а также ознакомиться с соглашением Microsoft о неразглашении информации для требований о соответствии и принять это соглашение.

Безопасность в Microsoft Power Platform
Аутентификация в службах Power Platform
Подключение и аутентификация в источниках данных
Хранение данных в Power Platform

См. также