Atsiliepimai

„Microsoft Power Platform“ sauga

  • Straipsnis
  • 6 min. skaityti

Power Platform suteikia galią greitai ir lengvai kurti galutinius sprendimus tiek neprofesionalių, tiek profesionalių kūrėjų rankose. Saugumas yra labai svarbus šiems sprendimams. Power Platform sukurta siekiant užtikrinti pirmaujančią pramonės apsaugą.

Organizacijos spartina perėjimą prie debesies, įtraukdamos pažangias technologijas į operacijas ir verslo sprendimų priėmimą. Daugiau darbuotojų dirba nuotoliniu būdu. Klientų paklausa internetinėms paslaugoms sparčiai auga. Tradicinio vietinio taikymo saugumo nebepakanka. Organizacijos, ieškančios debesies gimtojo, daugiapakopio, gynybos nuodugnaus saugumo sprendimo savo verslo žvalgybos duomenims, kreipiasi į Power Platform. Nacionalinio saugumo agentūros, finansų įstaigos ir sveikatos priežiūros paslaugų teikėjai pasitiki Power Platform savo jautriausia informacija.

"Microsoft" nuo 2000-ųjų vidurio daug investavo į saugą. Daugiau nei 3 500 "Microsoft" inžinierių dirba, kad aktyviai spręstų nuolat kintančios grėsmės kraštovaizdžio problemą. "Microsoft" saugumas prasideda nuo lusto BIOS branduolio ir tęsiasi iki pat vartotojo patirties. Šiandien mūsų saugumo kaminas yra pažangiausias pramonėje. "Microsoft" yra plačiai vertinama kaip pasaulinė lyderė kovoje su kenkėjiškais veikėjais. Milijardai kompiuterių, trilijonai prisijungimų ir zettabytes duomenų yra patikėti "Microsoft" apsaugai.

Power Platform Jis remiasi šiuo tvirtu pagrindu. Ji naudoja tą pačią saugumo krūvą, kuri uždirbo "Azure" teisę aptarnauti ir apsaugoti jautriausius pasaulio duomenis ir integruojasi su Microsoft 365 pažangiausiomis informacijos apsaugos ir atitikties priemonėmis. Power Platform užtikrina visapusišką apsaugą, sukurtą atsižvelgiant į sudėtingiausius mūsų klientų rūpesčius debesų eroje:

  • Kaip mes galime kontroliuoti, kas gali prisijungti, iš kur jie jungiasi ir kaip jie jungiasi? Kaip kontroliuoti ryšius?
  • Kaip saugomi mūsų duomenys? Kaip jis užšifruojamas? Kokią kontrolę turime savo duomenyse?
  • Kaip mes galime kontroliuoti ir apsaugoti savo slaptus duomenis? Kaip galime užtikrinti, kad mūsų duomenys negalėtų nutekėti už organizacijos ribų?
  • Kaip mes galime patikrinti, kas gali ką nors padaryti? Kaip greitai reaguoti, jei aptinkame įtartiną veiklą?

Valdymas

Tarnybai Power Platform taikomos "Microsoft Online Services" sąlygos ir "Microsoft Enterprise" privatumo patvirtinimas. Duomenų tvarkymo vietą rasite "Microsoft Online Services" sąlygose ir duomenų apsaugos priede.

" Microsoft" patikimumo centras yra pagrindinis atitikties informacijos šaltinis Power Platform. Sužinokite daugiau " Microsoft" atitikties pasiūlymuose.

Ši Power Platform paslauga atitinka saugumo plėtros gyvavimo ciklą (SDL). SDL yra griežtų praktikų rinkinys, palaikantis saugumo užtikrinimo ir atitikties reikalavimus. Sužinokite daugiau apie "Microsoft" saugos kūrimo gyvavimo ciklo praktikas.

Bendros Power Platform saugumo koncepcijos

Power Platform Apima keletą paslaugų. Kai kurios saugumo koncepcijos, kurias aptarsime šioje serijoje, taikomos visoms joms. Kitos sąvokos yra būdingos individualioms paslaugoms. Jei saugumo sąvokos yra skirtingos, mes jas iškviesime.

Saugumo koncepcijos, būdingos visoms Power Platform paslaugoms, apima:

  • Paslaugų Power Platform architektūra arba tai, kaip informacija teka per sistemą
  • Paslaugų Power Platform autentifikuoti arba kaip naudotojai gauna prieigą prie paslaugų
  • Duomenų šaltinių prijungimas ir autentifikuotas arba tai, kaip paslaugos jungiasi prie duomenų šaltinių, o vartotojai gauna prieigą prie duomenų
  • Duomenų saugojimas Power Platform, arba kaip duomenys yra apsaugoti, nesvarbu, ar jie yra ramybėje, ar tranzitu tarp sistemų ir paslaugų

Paslaugų Power Platform architektūra

Power Platform paslaugos yra sukurtos "Azure", "Microsoft" debesų kompiuterijos platformoje. Paslaugų Power Platform architektūrą sudaro keturi komponentai:

  • Žiniatinklio priekinis klasteris
  • Back-end klasteris
  • Aukščiausios kokybės infrastruktūra
  • Mobiliosios platformos

Žiniatinklio priekinis klasteris

Taikoma tarnyboms Power Platform, kuriose rodoma žiniatinklio vartotojo sąsaja. Žiniatinklio priekinis klasteris teikia programos ar paslaugos pagrindinį puslapį vartotojo naršyklei. Ji naudoja Azure Active Directory (Azure AD) iš pradžių autentifikuoti klientus ir pateikti žetonus vėlesniems klientų ryšiams, į Power Platform "back-end" paslaugą.

Diagrama, iliustruojanti, kaip žiniatinklio Power Platform priekinis klasteris veikia su "Azure App Service Environment" ASP.NET ir Power Platform "Service Back-end" klasteriais.

Žiniatinklio priekinį klasterį ASP.NET sudaro svetainė, veikianti "Azure App Service" aplinkoje. Kai vartotojas apsilanko tarnyboje Power Platform ar taikomojoje programoje, kliento DNS tarnyba gali gauti tinkamiausią (paprastai artimiausią) duomenų centrą iš "Azure Traffic Manager". Daugiau informacijos ieškokite "Azure Traffic Manager" našumo srauto nukreipimo metodas.

Žiniatinklio priekinis klasteris valdo prisijungimo ir autentifikavimo seką. Jis gauna prieigos atpažinimo ženklą Azure AD po to, kai vartotojas yra autentifikuotas. Komponentas ASP.NET analizuoja atpažinimo ženklą, kad nustatytų, kuriai organizacijai priklauso vartotojas. Tada komponentas konsultuojasi su Power Platform pasauline "back-end" paslauga, kad naršyklėje nurodytų, kuriame galiniame skydelyje yra organizacijos nuomininkas. Vėlesnės sąveikos su klientais vyksta tiesiogiai su galiniu klasteriu, nereikalaujant žiniatinklio priekinio tarpininko.

Naršyklė gauna statinius išteklius, pvz., .js, .css ir vaizdo failus, daugiausia iš "Azure" turinio pristatymo tinklo (CDN). Suverenios vyriausybės klasterių dislokavimas yra išimtis. Dėl atitikties priežasčių šiuose diegimuose praleidžiamas "Azure CDN". Vietoj to, jie naudoja žiniatinklio priekinį klasterį iš reikalavimus atitinkančio regiono, kad priimtų statinį turinį.

Power Platform back-end klasteris

"Back-end" klasteris yra visų tarnyboje esančių Power Platform funkcijų pagrindas. Jį sudaro tarnybos galiniai punktai, fono darbo tarnybos, duomenų bazės, talpyklos ir kiti komponentai.

"Back-end" yra prieinamas daugelyje "Azure" regionų ir yra įdiegtas naujuose regionuose, kai jie tampa prieinami. Viename regione gali būti keli klasteriai. Ši konfigūracija leidžia Power Platform teikti neribotas horizontalias mastelio keitimo paslaugas pasiekus vieno klasterio vertikalias ir horizontalias mastelio keitimo ribas.

Back-end klasteriai yra stateful. Vidiniame klasteryje yra visi visų jam priskirtų nuomininkų duomenys. Klasteris, kuriame yra konkretaus nuomininko duomenys, vadinamas nuomininko namų klasteriu. Informaciją apie autentifikuoto vartotojo namų klasterį Power Platform teikia pasaulinė "back-end" paslauga žiniatinklio priekiniam klasteriui. Žiniatinklio priekinė dalis naudoja informaciją, kad nukreiptų užklausas į nuomininko namų užnugarį.

Nuomotojo metaduomenys ir duomenys saugomi klasterio ribose. Išimtis yra duomenų replikavimas antriniam vidiniam klasteriui, esančiame suporuotame regione toje pačioje "Azure" geografijoje. Antrinis klasteris tarnauja kaip nesėkmė, jei yra regioninis nutraukimas, ir yra pasyvus bet kuriuo kitu metu. Mikro paslaugos, veikiančios skirtingose klasterio virtualaus tinklo mašinose, taip pat teikia galines funkcijas. Tik dvi iš šių mikropaslaugų yra prieinamos iš viešojo interneto:

  • Šliuzo tarnyba
  • Azure API Management

"Back-end" paslaugų diagrama Power Platform, kurioje pateikiamos trys pagrindinės dalys: API ir "Gateway" paslaugos, kurios yra prieinamos iš viešojo interneto, ir mikropaslaugų paslaugų, kurios yra privačios, rinkinys.

Power Platform Aukščiausios kokybės infrastruktūra

Power Platform"Premium" suteikia prieigą prie išplėsto jungčių rinkinio kaip mokamos paslaugos. Power Platform kūrėjai neapsiriboja aukščiausios kokybės jungčių naudojimu, tačiau programų naudotojai yra. Tai reiškia, kad programos, kurioje yra aukščiausios kokybės jungtys, vartotojai turi turėti tinkamą licenciją, kad galėtų juos pasiekti. " Power Platform Back-end" paslauga nustato, ar vartotojas turi prieigą prie aukščiausios kokybės jungčių.

Mobiliosios platformos

Power Platform palaiko Android, "iOS" ir "Windows" (UWP) programas. Mobiliųjų programų saugumo aspektai skirstomi į dvi kategorijas:

  • Įrenginio ryšys
  • Programa ir duomenys įrenginyje

Įrenginio ryšys

Power Platform mobiliosios programos naudoja tas pačias ryšio ir autentifikavimo sekas, kurias naudoja naršyklės. Android o "iOS" programos programoje atidaro naršyklės seansą. "Windows" programėlės naudoja brokerį, kad sukurtų ryšio kanalą Power Platform su prisijungimo proceso paslaugomis.

Šioje lentelėje rodomas sertifikatais pagrįstas autentifikavimo (CBA) palaikymas mobiliosioms programoms:

ENA palaikymas iOS Android „Windows“
Prisijungti prie paslaugos Palaikomas Palaikomas Nepalaikomas
SSRS ADFS on-prem (prisijungti prie SSRS serverio) Nepalaikomas Palaikomas Nepalaikomas
SSRS taikomosios programos tarpinis serveris Palaikomas Palaikomas Nepalaikomas

Mobiliosios programos aktyviai bendrauja su Power Platform paslaugomis. Programų naudojimo statistika ir panašūs duomenys perduodami paslaugoms, kurios stebi naudojimą ir veiklą. Klientų duomenys neįtraukiami.

Programa ir duomenys įrenginyje

Mobilioji programa ir jos reikalingi duomenys saugiai saugomi įrenginyje. Azure AD ir atnaujinimo žetonai saugomi naudojant pramonės standartus atitinkančias saugumo priemones.

Įrenginyje saugomi duomenys apima programos duomenis, vartotojo parametrus ir ataskaitų sritis bei ataskaitas, kurias galima pasiekti ankstesniuose seansuose. Talpykla saugoma smėlio dėžėje vidinėje saugykloje. Talpykla pasiekiama tik programai ir gali būti užšifruota OS.

  • "iOS": šifravimas yra automatinis, kai vartotojas nustato slaptažodį.
  • Android: Šifravimą galima konfigūruoti parametruose.
  • "Windows": šifravimą tvarko "BitLocker".

"Microsoft Intune " failų lygio šifravimas gali būti naudojamas duomenų šifravimui pagerinti. "Intune" yra programinės įrangos paslauga, teikianti mobiliųjų įrenginių ir programų valdymą. Visos trys mobiliosios platformos palaiko "Intune". Įjungus ir sukonfigūravus "Intune", duomenys mobiliajame įrenginyje yra užšifruojami, o Power Platform programos negalima įdiegti SD kortelėje.

"Windows" programėlės taip pat palaiko "Windows" informacijos apsaugą (NG).

Talpykloje saugomi duomenys panaikinami, kai vartotojas:

  • Pašalina programą
  • Pasirašymai iš Power Platform tarnybos
  • Nepavyksta prisijungti pakeitus slaptažodį arba baigiasi atpažinimo ženklo galiojimo laikas

Vartotojas aiškiai įjungia arba išjungia geografinę vietą. Jei įgalinta, geografinės vietos nustatymo duomenys neįrašomi įrenginyje ir nėra bendrinami su "Microsoft".

Vartotojas aiškiai įgalina arba išjungia pranešimus. Jei pranešimai įjungti, Android o "iOS" nepalaiko geografinių duomenų gyvenamosios vietos reikalavimų.

Mobiliosios Power Platform tarnybos nepasiekia kitų įrenginyje esančių programų aplankų ar failų.

Kai kurie atpažinimo ženklu pagrįsti autentifikavimo duomenys pasiekiami kitoms "Microsoft" programoms, pvz., "Authenticator", kad būtų galima prisijungti vienu prisijungimu. Šiuos duomenis valdo autentifikavimo Azure AD bibliotekos SDK.

Autentifikuoti paslaugas Power Platform
Duomenų šaltinių prijungimas ir autentifikavimas
Duomenų saugojimas Power Platform
Power Platform saugos DUK

Taip pat žr.