Ασφάλεια στο Microsoft Power Platform
Το Power Platform επιτρέπει σε ερασιτέχνες και επαγγελματίες προγραμματιστές να αναπτύσσουν γρήγορα και να δημιουργούν εύκολα ολοκληρωμένες λύσεις. Η ασφάλεια είναι πολύ σημαντική για αυτές τις λύσεις. Το Power Platform είναι σχεδιασμένο για να παρέχει κορυφαία προστασία στον κλάδο.
Οι οργανισμοί επιταχύνουν τη μετάβασή τους στο cloud, ενσωματώνοντας προηγμένες τεχνολογίες σε λειτουργίες και στη λήψη επιχειρηματικών αποφάσεων. Περισσότεροι υπάλληλοι εργάζονται απομακρυσμένα. Η ζήτηση από τους πελάτες για υπηρεσίες online είναι πολύ μεγάλη. Η ασφάλεια των παραδοσιακών εφαρμογών εσωτερικής εγκατάστασης δεν είναι επαρκής πλέον. Οι οργανισμοί πρέπει να αναζητήσουν μια εγγενή στο cloud λύση ασφαλείας βαθιάς άμυνας πολλών επιπέδων για τα δεδομένα επιχειρηματικής ευφυΐας στο Power Platform. Σήμερα, πολλές εθνικές υπηρεσίες ασφαλείας, χρηματοοικονομικοί οργανισμοί και υπηρεσίες παροχής υπηρεσιών υγείας του εμπιστεύονται στο Power Platform τις πιο ευαίσθητες πληροφορίες τους.
Η Microsoft έχει κάνει πολλά για την ασφάλεια από τα μέσα του 2000. Περισσότεροι από 3.500 τεχνικοί της Microsoft εργάζονται για να αντιμετωπίσουν προληπτικά το συνεχώς μετεπιδραστικό περιβάλλον των απειλών. Η ασφάλεια της Microsoft ξεκινάει με τον πυρήνα bios σε τσιπ και επεκτείνεται μέχρι και την εμπειρία του χρήστη. Σήμερα, η στοίβα ασφαλείας μας είναι η πιο σύνθετη στον κλάδο. Η Microsoft θεωρείται ευρέως η πρώτη εταιρεία παγκοσμίως όσον αφορά την προστασία από κακόβουλες απειλές. Δισεκατομμμύρια υπολογιστές, τρισεκατομμύρια συνδέσεις και αμέτρητα zettabyte πληροφοριών που έχουν ανατεθεί στη Microsoft για προστασία.
Το Power Platform βασίζεται σε αυτά τα γερά θεμέλια. Χρησιμοποιεί την ίδια στοίβα ασφαλείας που χάρισε στο Azure το δικαίωμα να εξυπηρετεί και να προστατεύει τα πιο ευαίσθητα δεδομένα στον κόσμο, ενώ ενσωματώνεται στα πιο προηγμένα εργαλεία προστασίας πληροφοριών και συμμόρφωσης του Microsoft 365. Το Power Platform παρέχει ολοκληρωμένη προστασία που έχει σχεδιαστεί με γνώμονα την πιο δύσκολη θέση των πελατών μας στο cloud:
- Πώς μπορούμε να ελέγχουμε ποια άτομα μπορούν να συνδεθούν, από πού συνδέονται και πώς συνδέονται; Πώς μπορούμε να ελέγχουμε τις συνδέσεις;
- Πώς αποθηκεύονται τα δεδομένα; Πώς κρυπτογραφούνται; Ποιους ελέγχους έχω στα δεδομένα μου;
- Πώς μπορώ να ελέγχω και να προστατεύσω τα ευαίσθητα δεδομένα μου; Πώς μπορώ να εξασφαλίσω ότι αυτά τα δεδομένα δεν μπορούν να διαρεύσουν εκτός του οργανισμού;
- Πώς μπορούμε να ελέγχουμε ποιος μπορεί να κάνει τι; Πώς μπορούμε να αντιδρούμε γρήγορα εάν διαπιστώσουμε ύποπτη δραστηριότητα;
Διαχείριση
Η υπηρεσία Power Platform διέπεται από τους Όρους ηλεκτρονικών υπηρεσιών της Microsoft και τη Δήλωση προστασίας προσωπικών δεδομένων για μεγάλες επιχειρήσεις της Microsoft. Για την τοποθεσία της επεξεργασίας δεδομένων, ανατρέξτε στους Όρους Υπηρεσιών Online της Microsoft και στο Παράρτημα για την προστασία δεδομένων.
Για πληροφορίες σχετικά με τη συμμόρφωση, το Κέντρο αξιοπιστίας της Microsoft είναι ο κύριος πόρος για το Power Platform. Μάθετε περισσότερα στις Προσφορές συμμόρφωσης της Microsoft.
Η υπηρεσία Power Platform ακολουθεί τον κύκλο ζωής ανάπτυξης ασφάλειας (SDL). Το SDL είναι ένα σύνολο αυστηρά πρακτικών που υποστηρίζουν τις απαιτήσεις διασφάλισης ασφάλειας και συμμόρφωσης. Μάθετε περισσότερα στην τοποθεσία Πρακτικές κύκλου ζωής ανάπτυξης ασφάλειας της Microsoft .
Κοινές έννοιες ασφάλειας στο Power Platform
Το Power Platform περιλαμβάνει διάφορες υπηρεσίες. Ορισμένες από τις έννοιες ασφαλείας που θα καλύψουν σε αυτήν τη σειρά ισχύουν για όλες. Άλλες έννοιες είναι συγκεκριμένες για μεμονωμένες υπηρεσίες. Στις περιπτώσεις που οι έννοιες ασφαλείας διαφέρουν, θα τις ονομάσουμε.
Οι έννοιες ασφαλείας που είναι κοινές σε όλες τις υπηρεσίες Power Platform περιλαμβάνουν τα εξής:
- Την αρχιτεκτονική εξυπηρέτησης του Power Platform ή τον τρόπο που οι πληροφορίες ρέουν στο σύστημα
- Έλεγχος ταυτότητας σε υπηρεσίες Power Platform ή τρόπος πρόσβασης των χρηστών σε υπηρεσίες
- Σύνδεση και έλεγχος ταυτότητας σε προελεύσεις δεδομένων ή τρόπος με τον οποίο οι υπηρεσίες συνδέονται σε προελεύσεις δεδομένων και οι χρήστες αποκτούν πρόσβαση σε δεδομένα
- Χώρος αποθήκευσης δεδομένων στο Power Platform ή τρόπος προστασίας των δεδομένων ανεξάρτητα από το εάν τα δεδομένα είναι σε αδράνεια ή σε μετάβαση μεταξύ συστημάτων και υπηρεσιών
Αρχιτεκτονική υπηρεσιών του Power Platform
Οι υπηρεσίες Power Platform είναι ενσωματωμένες στο Azure, την πλατφόρμα υπολογιστικού cloud της Microsoft. Η αρχιτεκτονική της υπηρεσίας Power Platform αποτελείται από τέσσερα στοιχεία:
- Σύμπλεγμα προσκηνίου Web
- Σύμπλεγμα υποστήριξης
- Κορυφαία υποδομή
- Κινητές πλατφόρμες
Σύμπλεγμα προσκηνίου Web
Ισχύει για υπηρεσίες Power Platform που εμφανίζουν ένα περιβάλλον εργασίας web. Το σύμπλεγμα προσκηνίου web εξυπηρετεί την εφαρμογή ή την αρχική σελίδα υπηρεσίας στο πρόγραμμα περιήγησης του χρήστη. Χρησιμοποιεί το Microsoft Entra για τον αρχικό έλεγχο ταυτότητας των προγραμμάτων-πελατών και την παροχή διακριτικών για τις επόμενες συνδέσεις στην υπηρεσία υποστήριξης του Power Platform.
Ένα σύμπλεγμα προσκηνίου web αποτελείται από μια τοποθεσία Web ASP.NET που εκτελείται στο Περιβάλλον υπηρεσίας εφαρμογής Azure. Όταν ένας χρήστης επισκέπτεται μια υπηρεσία ή μια εφαρμογή Power Platform, η υπηρεσία DNS του προγράμματος-πελάτη μπορεί να πάρει το πιο κατάλληλο (συνήθως πλησιέστερο) κέντρο δεδομένων από τη Διαχείριση κυκλοφορίας του Azure. Για περισσότερες πληροφορίες σχετικά με αυτήν τη διαδικασία, ανατρέξτε στο θέμα Μέθοδος δρομολόγησης κυκλοφορίας επιδόσεων για τη Διαχείριση κυκλοφορίας Azure.
Το σύμπλεγμα προσκηνίου web διαχειρίζεται τη σειρά σύνδεσης και ελέγχου ταυτότητας. Αποκτά ένα αναγνωριστικό διακριτικό πρόσβασης Microsoft Entra μετά τον έλεγχο ταυτότητας του χρήστη. Το στοιχείο ASP.NET αναλύει το διακριτικό για να προσδιορίσει τον οργανισμό στον οποίο ανήκει ο χρήστης. Στη συνέχεια, το στοιχείο ερωτάται για την καθολική υπηρεσία υποστήριξης του Power Platform για να καθορίσει στο πρόγραμμα περιήγησης που φιλοξενεί το σύμπλεγμα υποστήριξης του μισθωτή του οργανισμού. Οι επακόλουθες αλληλεπιδράσεις με τους υπολογιστές-πελάτες γίνονται απευθείας με το σύμπλεγμα προσκηνίου, χωρίς να χρειάζεται η διαχείριση προσκηνίου Web.
Το πρόγραμμα περιήγησης λαμβάνει στατικούς πόρους, όπως αρχεία .js, .css και εικόνων, κυρίως από ένα Δίκτυο παροχής περιεχομένου Azure (CDN). Εξαίρεση αποτελούν οι αναπτύξεις συμπλέγματος δημοσίων οργανισμών. Για λόγους συμμόρφωσης, αυτές οι αναπτύξεις δεν έχουν το Azure CDN. Αντ' αυτού, χρησιμοποιούν ένα σύμπλεγμα προσκηνίου Web από μια συμβατή περιοχή για τη φιλοξενία στατικού περιεχομένου.
Σύμπλεγμα υποστήριξης Power Platform
Το σύμπλεγμα υποστήριξης είναι το κεντρικό δίκτυο όλων των διαθέσιμων λειτουργιών στην υπηρεσία Power Platform. Αποτελείται από τελικά σημεία εξυπηρέτησης, υπηρεσίες εργασίας στο παρασκήνιο, βάσεις δεδομένων, προσωρινή μνήμη και άλλα στοιχεία.
Η υποστήριξη είναι διαθέσιμη στις περισσότερες περιοχές Azure και αναπτύσσεται σε νέες περιοχές καθώς είναι διαθέσιμες. Μία περιοχή μπορεί να φιλοξενεί πολλαπλά συμπλέγματα. Αυτή η ρύθμιση παραμέτρων επιτρέπει σε υπηρεσίες Power Platform την απεριόριστη οριζόντια κλιμάκωση μετά την προσέγγιση των κατακόρυφων και οριζόντιων ορίων κλιμάκωσης ενός μεμονωμένου συμπλέγματος.
Τα συμπλέγματα προσκηνίου είναι σε κατάσταση επίβλεψης. Ένα σύμπλεγμα προσκηνίου φιλοξενεί όλα τα δεδομένα όλων των μισθωτών που έχουν εκχωρηθεί σε αυτό. Το σύμπλεγμα που περιέχει τα δεδομένα ενός συγκεκριμένου μισθωτή αναφέρεται ως το σύμπλεγμα κατοικίας του μισθωτή. Οι πληροφορίες συμπλέγματος οικίας ενός χρήστη που έχει υποβληθεί σε έλεγχο ταυτότητας παρέχονται από την καθολική υπηρεσία προσκηνίου του Power Platform στο σύμπλεγμα προσκηνίου web. Το προσκήνιο web χρησιμοποιεί τις πληροφορίες για τη δρομολόγηση αιτήσεων στο σύμπλεγμα υποστήριξης οικίας του μισθωτή.
Τα μετα-δεδομένα και τα δεδομένα μισθωτή αποθηκεύονται εντός ορίων συμπλέγματος. Η εξαίρεση είναι η αναπαραγωγή δεδομένων σε ένα δευτερεύον σύμπλεγμα υποστήριξης που βρίσκεται σε μια περιοχή που έχει αντιστοιχιστεί στην ίδια γεωγραφία Azure. Το δευτερεύων σύμπλεγμα χρησιμεύει ως σύμπλεγμα ανακατεύθυνσης σε περίπτωση περιφερειακών αποτυχιών και είναι παθητικό οποιαδήποτε άλλη στιγμή. Οι μικροϋπηρεσίες που εκτελούνται σε διαφορετικές μηχανές στο εικονικό δίκτυο του συμπλέγματος εξυπηρετούν επίσης λειτουργίες υποστήριξης. Μόνο δύο από αυτές τις μικροϋπηρεσίες είναι προσβάσιμες από το δημόσιο Internet:
- Υπηρεσία πύλης
- Διαχείριση API Azure
Κορυφαία υποδομή Power Platform
Το Power Platform Premium παρέχει πρόσβαση σε ένα εκτεταμένο σύνολο γραμμών σύνδεσης ως υπηρεσία επί πληρωμή. Οι δημιουργοί του Power Platform δεν περιορίζονται στη χρήση premium συνδέσεων, αλλά οι χρήστες των εφαρμογών περιορίζονται. Οι χρήστες μιας εφαρμογής που περιλαμβάνει premium συνδέσεις πρέπει να έχουν τη σωστή άδεια πρόσβασης σε αυτές. Η υπηρεσία υποστήριξης Power Platform καθορίζει εάν ο χρήστης έχει πρόσβαση σε premium συνδέσεις.
Κινητές πλατφόρμες
Το Power Platform υποστηρίζει Android, iOS και εφαρμογές Windows (UWP). Τα ζητήματα ασφαλείας για εφαρμογές για κινητές συσκευές υπάγονται σε δύο κατηγορίες:
- Επικοινωνία συσκευών
- Η εφαρμογή και τα δεδομένα στη συσκευή
Επικοινωνία συσκευών
Οι εφαρμογές Power Platform για κινητές συσκευές χρησιμοποιούν τις ίδιες ακολουθίες σύνδεσης και ελέγχου ταυτότητας που χρησιμοποιούνται από τα προγράμματα περιήγησης. Οι εφαρμογές Android και iOS ανοίγουν μια περίοδο λειτουργίας προγράμματος περιήγησης στην εφαρμογή. Οι εφαρμογές Windows χρησιμοποιούν έναν μεσάζοντα για τη δημιουργία ενός καναλιού επικοινωνίας με υπηρεσίες Power Platform για τη διαδικασία σύνδεσης.
Ο παρακάτω πίνακας δείχνει την υποστήριξη ελέγχου ταυτότητας με βάση το πιστοποιητικό (CBA) για εφαρμογές για κινητές συσκευές:
| Υποστήριξη CBA | iOS | Android | Παράθυρα |
|---|---|---|---|
| Είσοδος σε υπηρεσία | Υποστηρίζεται | Υποστηρίζεται | Δεν υποστηρίζεται |
| SSRS ADFS on-prem (σύνδεση σε διακομιστή SSRS) | Δεν υποστηρίζεται | Υποστηρίζεται | Δεν υποστηρίζεται |
| Διακομιστής μεσολάβησης εφαρμογής SSRS | Υποστηρίζεται | Υποστηρίζεται | Δεν υποστηρίζεται |
Οι εφαρμογές για κινητές συσκευές επικοινωνούν ενεργά με τις υπηρεσίες Power Platform. Τα στατιστικά στοιχεία χρήσης εφαρμογών και παρόμοια δεδομένα μεταδίδονται σε υπηρεσίες που παρακολουθούν τη χρήση και τη δραστηριότητα. Δεν περιλαμβάνονται δεδομένα πελατών.
Η εφαρμογή και τα δεδομένα στη συσκευή
Η εφαρμογή για κινητές συσκευές και τα δεδομένα που απαιτούνται αποθηκεύονται με ασφάλεια στη συσκευή. Τα διακριτικά και η ανανέωση Microsoft Entra αποθηκεύονται με τη χρήση προτύπων για τον κλάδο.
Τα δεδομένα που έχουν αποθηκευτεί στο cache της συσκευής περιλαμβάνουν δεδομένα εφαρμογής, ρυθμίσεις χρήστη και πίνακες εργαλείων και αναφορές που έχουν πρόσβαση σε προηγούμενες περιόδους λειτουργίας. Η προσωρινή μνήμη αποθηκεύεται σε ένα φίλτρο στον εσωτερικό χώρο αποθήκευσης. Η προσωρινή μνήμη είναι προσβάσιμη μόνο στην εφαρμογή και είναι δυνατή η κρυπτογράφηση της από το λειτουργικό σύστημα.
- iOS: Η κρυπτογράφηση είναι αυτόματη όταν ο χρήστης ορίζει έναν κωδικό πρόσβασης.
- Android: Η κρυπτογράφηση μπορεί να ρυθμιστεί στις ρυθμίσεις.
- Windows: Ο χειρισμός της κρυπτογράφησης γίνεται από το BitLocker.
Η κρυπρογράφηση Microsoft Intune σε επίπεδο αρχείων μπορεί να χρησιμοποιηθεί για τη βελτίωση της κρυπτογράφησης δεδομένων. Το Intune είναι μια υπηρεσία λογισμικού που παρέχει διαχείριση κινητών συσκευών και εφαρμογών. Και οι τρεις πλατφόρμες κινητής τηλεφωνίας υποστηρίζουν το Intune. Με το Intune ενεργοποιημένο και ρυθμισμένο, τα δεδομένα στην κινητή συσκευή κρυπτογραφούνται και η ίδια η εφαρμογή Power Platform δεν μπορεί να εγκατασταθεί σε κάρτα SD.
Οι εφαρμογές Windows υποστηρίζουν επίσης την Προστασία πληροφοριών των Windows (WIP).
Τα προσωρινά αποθηκευμένα δεδομένα διαγράφονται όταν ο χρήστης:
- καταργεί την εγκατάσταση της εφαρμογής
- αποσυνδέεται από την υπηρεσία Power Platform
- αποτυγχάνει να συνδεθεί μετά την αλλαγή ενός κωδικού πρόσβασης ή αφού λήξει ένα διακριτικό
Ο γεωεντοπισμός ενεργοποιείται ή απενεργοποιείται ρητά από το χρήστη. Αν ενεργοποιηθούν, τα δεδομένα γεωεντοπισμού δεν αποθηκεύονται στη συσκευή και δεν κοινά με τη Microsoft.
Ο ειδοποιήσεις είναι ενεργοποιημένες ή απενεργοποιημένες ρητά από το χρήστη. Εάν έχουν ενεργοποιηθεί οι ειδοποιήσεις, τα Android και iOS δεν υποστηρίζουν απαιτήσεις κατοικίας γεωγραφικών δεδομένων για ειδοποιήσεις.
Οι υπηρεσίες Power Platform για κινητές συσκευές δεν έχουν πρόσβαση σε άλλους φακέλους εφαρμογών ή αρχεία της συσκευής.
Ορισμένα δεδομένα ελέγχου ταυτότητας που βασίζονται σε διακριτικά είναι διαθέσιμα σε άλλες εφαρμογές της Microsoft, όπως ο Έλεγχος ταυτότητας, για την ενεργοποίηση της καθολικής σύνδεσης. Η διαχείριση των εν λόγω δεδομένων γίνεται από το SDK της Βιβλιοθήκης ελέγχου ταυτότητας Microsoft Entra.
Σχετικά άρθρα
Έλεγχος ταυτότητας σε υπηρεσίες Power Platform
Σύνδεση και έλεγχος ταυτότητας σε προελεύσεις δεδομένων
Χώρος αποθήκευσης δεδομένων στο Power Platform
Συνήθεις ερωτήσεις σχετικά με την ασφάλεια του Power Platform
Δείτε επίσης
- Ασφάλεια στο Microsoft Dataverse
- Όροι Υπηρεσιών Online της Microsoft
- Δήλωση προστασίας προσωπικών δεδομένων του Microsoft Enterprise
- Παράρτημα για την προστασία δεδομένων
- Πρακτικές κύκλου ζωής ανάπτυξης ασφάλειας της Microsoft
- Μέθοδος δρομολόγησης κυκλοφορίας επιδόσεων για τη Διαχείριση κυκλοφορίας Azure
- Microsoft Intune
- Προστασία πληροφοριών των Windows (WIP)