Sigurnost na usluzi Microsoft Power Platform
Power Platform daje moć brzog i jednostavnog stvaranja sveobuhvatnih rješenja u ruke neprofesionalnih i profesionalnih razvojnih inženjera. Sigurnost je ključna za ova rješenja. Usluga Power Platform je stvorena da pruži vodeću zaštitu u industriji.
Tvrtke ili ustanove ubrzavaju prelazak na oblak, ugrađujući napredne tehnologije u poslovanje i donošenje poslovnih odluka. Sve više zaposlenika radi na daljinu. Raste potražnja klijenata za mrežnim servisima. Tradicionalna lokalna sigurnost aplikacija više nije dovoljna. Tvrtke ili ustanove koje traže višeslojno sigurnosno rješenje s dubinskom obranom u oblaku za svoje podatke poslovne inteligencije okreću se usluzi Power Platform. Nacionalne sigurnosne agencije, financijske institucije i pružatelji zdravstvenih usluga povjeravaju usluzi Power Platform svoje najosjetljivije podatke.
Microsoft je napravio velika ulaganja u sigurnost od sredine 2000-ih. Više od 3500 Microsoftovih inženjera radi na proaktivnom rješavanju krajolika sigurnosnih prijetnji koji se stalno mijenja. Microsoftova sigurnost počinje u BIOS jezgri na čipu i proteže se sve do korisničkog iskustva. Danas je naš sigurnosni paket najnapredniji u industriji. Microsoft se općenito smatra globalnim liderom u borbi protiv zlonamjernih aktera. Milijarde računala, trilijuni prijava i zetabajti podataka povjereni su Microsoftovoj zaštiti.
Power Platform gradi na ovom snažnom temelju. Koristi isti sigurnosni skup koji je servisu Azure priskrbio pravo da služi i štiti najosjetljivije podatke na svijetu i integrira se s najnaprednijim alatima za zaštitu informacija i usklađenost okruženja Microsoft 365. Power Platform pruža sveobuhvatnu zaštitu osmišljenu oko najizazovnijih problema naših klijenata u eri oblaka:
- Kako možemo kontrolirati tko se može povezati, odakle se povezuje i kako se povezuje? Kako možemo kontrolirati veze?
- Kako se naši podaci pohranjuju? Kako se šifriraju? Koje kontrole imamo nad našim podacima?
- Kako možemo kontrolirati i zaštititi svoje povjerljive podatke? Kako možemo osigurati da naši podaci ne iscure izvan tvrtke ili ustanove?
- Kako možemo nadzirati tko što može? Kako možemo brzo reagirati ako otkrijemo sumnjivu aktivnost?
Upravljanje
Uslugu Power Platform reguliraju Microsoftove odredbe online usluga i Microsoftova izjava o zaštiti privatnosti za velike tvrtke. Mjesto obrade podataka potražite u Microsoftovim odredbama online usluga i Dopuni o zaštiti osobnih podataka.
Microsoftov centar za pouzdanost primarni je resurs za informacije o usklađenosti usluge Power Platform. Saznajte više u Microsoftovim ponudama za usklađenost.
Usluga Power Platform slijedi Razvojni životni ciklus sigurnosti (SDL). SDL je skup strogih praksi koje podržavaju sigurnosno jamstvo i zahtjeve usklađenosti. Saznajte više u odjeljku Prakse za Microsoftov razvojni životni ciklus s fokusom na sigurnost.
Uobičajeni sigurnosni koncepti usluge Power Platform
Power Platform uključuje nekoliko usluga. Neki od sigurnosnih koncepata koje ćemo pokriti u ovoj seriji odnose se na sve njih. Ostali koncepti specifični su za pojedinačne usluge. Gdje su sigurnosni koncepti drugačiji, istaknut ćemo ih.
Sigurnosni koncepti koji su zajednički svim Power Platform uslugama uključuju:
- Arhitektura usluge Power Platform ili kako informacije teku kroz sustav
- Provjera autentičnosti za Power Platform usluge ili kako korisnici dobivaju pristup uslugama
- Povezivanje i provjera autentičnosti s izvorima podataka ili kako se usluge povezuju s izvorima podataka i kako korisnici dobivaju pristup podacima
- Pohrana podataka u usluzi Power Platform ili kako su podaci zaštićeni bilo da su u mirovanju ili se prenose između sustava i usluga
Arhitektura usluge Power Platform
Power Platform usluge su izgrađene na usluzi Azure, Microsoftovoj platformi za računalstvo u oblaku. Arhitektura usluge Power Platform sastoji se od četiri komponente:
- Pristupni web klaster
- Pozadinski klaster
- Vrhunska infrastruktura
- Mobilne platforme
Pristupni web klaster
Odnosi se na Power Platform usluge koje prikazuju korisničko sučelje za web. Pristupni web klaster poslužuje početnu stranicu aplikacije ili usluge korisničkom pregledniku. Koristi Microsoft Entra se za provjeru autentičnosti klijenata u početku i pružanje tokena za naknadne klijentske veze s pozadinskom uslugom Power Platform .
Pristupni web klaster sastoji se od ASP.NET web-mjesta koje se pokreće u okruženju usluge Azure aplikacije. Kada korisnik posjeti Power Platform uslugu ili aplikaciju, klijentova DNS usluga može dobiti najprikladniji (obično najbliži) podatkovni centar od Upravitelja prometom usluge Azure. Dodatne informacije potražite u odjeljku Metoda usmjeravanja prometa performansi za Upravitelja prometom usluge Azure.
Pristupni web klaster upravlja slijedom prijave i provjere autentičnosti. Dobiva pristupni token Microsoft Entra nakon provjere autentičnosti korisnika. Komponenta ASP.NET raščlanjuje token kako bi odredila kojoj tvrtki ili ustanovi korisnik pripada. Komponenta zatim konzultira globalnu pozadinsku uslugu Power Platform kako bi odredila pregledniku koji pozadinski klaster sadrži klijenta tvrtke ili ustanove. Naknadne interakcije klijenta odvijaju se izravno s pozadinskim klasterom, bez potrebe za pristupnim web posrednikom.
Preglednik dohvaća statičke resurse, kao što su .js, .css i slikovne datoteke, uglavnom iz Azure mreže za isporuku sadržaja (CDN). Iznimka su uvođenja klastera za državne ustanove usklađenih s nacionalnim propisima. Zbog usklađenosti, ova uvođenja izostavljaju Azure CDN. Umjesto toga, koriste pristupni web klaster iz usklađenog područja za hostiranje statičnog sadržaja.
Pozadinski klaster usluge Power Platform
Pozadinski klaster okosnica je svih funkcija dostupnih u usluzi Power Platform. Sastoji se od krajnjih točaka usluge, usluga koje rade u pozadini, baza podataka, predmemorija i drugih komponenti.
Pozadinski poslužitelj je dostupan u većini Azure područja i uvodi se u nova područja čim postanu dostupna. Jedno područje može hostirati više klastera. Ova konfiguracija omogućuje Power Platform uslugama neograničeno horizontalno skaliranje nakon što se dostignu ograničenja okomitog i vodoravnog skaliranja jednog klastera.
Pozadinski klasteri imaju praćenje stanja. Pozadinski klaster hostira sve podatke svih klijenata koji su mu dodijeljeni. Klaster koji sadrži podatke određenog klijenta naziva se matični klaster klijenta. Informacije o matičnom klasteru provjerenog korisnika daje globalna pozadinska usluga Power Platform pristupnom web klasteru. Pristupni poslužitelj za web informacije koristi za usmjeravanje zahtjeva matičnom pozadinskom klasteru klijenta.
Metapodaci i podaci klijenta pohranjuju se unutar ograničenja klastera. Iznimka je replikacija podataka u sekundarni pozadinski klaster koji se nalazi u uparenom području u istom Azure geografskom području. Sekundarni klaster služi za prebacivanje ako dođe do regionalnog prekida, a pasivan je u bilo koje drugo vrijeme. Mikro-usluge koje se izvode na različitim strojevima u virtualnoj mreži klastera također služe pozadinskoj funkcionalnosti. Samo dvije od ovih mikro-usluga dostupne su s javnog interneta:
- Usluga pristupnika
- Upravljanje Azure API-jem
Infrastruktura usluge Power Platform Premium
Power Platform Premium pruža pristup proširenom skupu poveznika kao usluga koja se plaća. Autori usluge Power Platform nisu ograničeni u korištenju premium poveznika, ali korisnici aplikacija jesu. Odnosno, korisnici aplikacije koja uključuje premium poveznike moraju imati ispravnu licencu za pristup. Pozadinska usluga Power Platform određuje ima li korisnik pristup premium poveznicima.
Mobilne platforme
Power Platform Android iOSpodržava i Windows (UWP) aplikacije. Sigurnosna razmatranja za mobilne aplikacije spadaju u dvije kategorije:
- Komunikacija uređaja
- Aplikacija i podaci na uređaju
Komunikacija uređaja
Mobilne aplikacije Power Platform koriste iste sekvence povezivanja i provjere autentičnosti koje koriste preglednici. Android i iOS aplikacije otvaraju sesiju preglednika u aplikaciji. Windows aplikacije koriste pokretača za uspostavljanje komunikacijskog kanala s Power Platform uslugama za postupak prijave.
Sljedeća tablica prikazuje podršku za provjeru autentičnosti na temelju certifikata (CBA) za mobilne aplikacije:
| Podrška za CBA | iOS | Android | Prozori |
|---|---|---|---|
| Prijava u uslugu | Podržano | Podržano | Nije podržano |
| SSRS ADFS lokalno (povezivanje sa SSRS poslužiteljem) | Nije podržano | Podržano | Nije podržano |
| SSRS proxy aplikacije | Podržano | Podržano | Nije podržano |
Mobilne aplikacije aktivno komuniciraju s Power Platform uslugama. Statistika korištenja aplikacije i slični podaci prenose se servisima koji nadziru korištenje i aktivnost. Nisu uključeni korisnički podaci.
Aplikacija i podaci na uređaju
Mobilna aplikacija i podaci koji su joj potrebni sigurno su pohranjeni na uređaju. Microsoft Entra Tokeni za osvježavanje pohranjuju se pomoću standardnih sigurnosnih mjera.
Podaci spremljeni na uređaju uključuju podatke aplikacije, korisničke postavke te nadzorne ploče i izvješća kojima se pristupilo u prethodnim sesijama. Predmemorija je pohranjena u sigurnosnoj ogradi unutarnje pohrane. Predmemorija je dostupna samo aplikaciji i može je šifrirati OS.
- iOS: šifriranje je automatsko kada korisnik postavi šifru.
- Android: Šifriranje se može konfigurirati u postavkama.
- Windows: Šifriranjem upravlja BitLocker.
Microsoft Intune šifriranje na razini datoteke može se koristiti za poboljšanje šifriranja podataka. Intune je softverska usluga koja omogućuje upravljanje mobilnim uređajima i aplikacijama. Sve tri mobilne platforme podržavaju Intune. S omogućenom i konfiguriranom uslugom Intune, podaci na mobilnom uređaju su šifrirani, a Power Platform aplikacija se ne može instalirati na SD karticu.
Windows aplikacije također podržavaju Windows Information Protection (WIP).
Predmemorirani podaci se brišu kada korisnik:
- deinstalira aplikaciju
- odjavi se iz Power Platform usluge
- ne uspije se prijaviti nakon promjene lozinke ili isteka tokena
Geolokaciju izričito omogućuje ili onemogućuje korisnik. Ako je omogućeno, geolokacijski podaci ne spremaju se na uređaj i ne dijele se s Microsoftom.
Obavijesti izričito omogućuje ili onemogućuje korisnik. Ako su obavijesti omogućene Android i iOS ne podržavaju zahtjeve za prebivalište geografskih podataka.
Mobilne Power Platform usluge ne pristupaju drugim mapama ili datotekama aplikacija na uređaju.
Neki podaci o provjeri autentičnosti temeljeni na tokenima dostupni su drugim Microsoftovim aplikacijama, kao što je Authenticator, za omogućavanje jedinstvene prijave. Tim podacima upravlja SDK biblioteke Microsoft Entra provjere autentičnosti.
Povezani članci
Provjera autentičnosti za usluge platforme Power Platform
Povezivanje i provjera autentičnosti izvora podataka
Pohrana podataka na platformi Power Platform
Najčešća pitanja o sigurnosti usluge Power Platform
Pogledajte
- Sigurnost u usluzi Microsoft Dataverse
- Microsoftove odredbe online usluga
- Microsoftova izjava o zaštiti privatnosti za velike tvrtke
- Dopuna za zaštitu osobnih podataka
- Prakse za Microsoftov razvojni životni ciklus s fokusom na sigurnost
- Metoda usmjeravanja prometa performansi za Upravitelja prometom usluge Azure
- Microsoft Intune
- Windows Information Protection (WIP)
Povratne informacije
Stiže uskoro: Tijekom 2024. postupno ćemo ukinuti servis Problemi sa servisom GitHub kao mehanizam za povratne informacije za sadržaj i zamijeniti ga novim sustavom za povratne informacije. Dodatne informacije potražite u članku: https://aka.ms/ContentUserFeedback.
Pošaljite i pogledajte povratne informacije za