Securitate în Microsoft Power Platform
Power Platform pune puterea de a crea rapid și ușor soluții end-to-end în mâinile dezvoltatorilor neprofesioniști și profesioniști deopotrivă. Securitatea este esențială pentru aceste soluții. Power Platform este construit pentru a oferi o protecție de vârf în industrie.
Organizațiile își accelerează tranziția către cloud, încorporând tehnologii avansate în operațiuni și în luarea deciziilor de afaceri. Mai mulți angajați lucrează de la distanță. Cererea clienților pentru servicii online este în creștere. Securitatea tradițională a aplicațiilor on-premise nu mai este suficientă. Organizațiile care caută o soluție de securitate nativă în cloud, cu mai multe niveluri, de apărare în profunzime pentru datele lor de business intelligence apelează la Power Platform. Agențiile naționale de securitate, instituțiile financiare și furnizorii de servicii medicale au încredere Power Platform cu informațiile lor cele mai sensibile.
Microsoft a făcut investiții masive în securitate de la mijlocul anilor 2000. Peste 3.500 de ingineri Microsoft lucrează pentru a aborda în mod proactiv peisajul amenințărilor în continuă schimbare. Securitatea Microsoft începe de la nucleul BIOS pe cip și se extinde până la experiența utilizatorului. Astăzi, stiva noastră de securitate este cea mai avansată din industrie. Microsoft este văzut în general drept lider global în lupta împotriva actorilor rău intenționați. Miliarde de computere, trilioane de autentificări și zettabytes de date sunt încredințate protecției Microsoft.
Power Platform se bazează pe această bază puternică. Utilizează aceeași stivă de securitate care i-a adus lui Azure dreptul de a servi și proteja cele mai sensibile date din lume și se integrează cu Microsoft 365 Cele mai avansate instrumente de protecție și conformitate a informațiilor. Power Platform oferă protecție de la capăt la capăt concepută în jurul preocupărilor cele mai provocatoare ale clienților noștri în era cloud:
- Cum putem controla cine se poate conecta, de unde se conectează și cum se conectează? Cum putem controla conexiunile?
- Cum sunt stocate datele noastre? Cum este criptat? Ce controale avem asupra datelor noastre?
- Cum putem controla și proteja datele noastre sensibile? Cum ne putem asigura că datele noastre nu se pot scurge în afara organizației?
- Cum putem audita cine poate face ce? Cum putem reacționa rapid dacă detectăm o activitate suspectă?
Guvernare
The Power Platform serviciul este guvernat de Termenii Microsoft Online Services si Declarație de confidențialitate Microsoft Enterprise. Pentru locația procesării datelor, consultați Termenii Microsoft Online Services și Addendum privind protecția datelor.
The Centrul de încredere Microsoft este resursa primară pentru Power Platform informații de conformitate. Aflați mai multe la Oferte de conformitate Microsoft.
The Power Platform serviciul urmează ciclul de viață al dezvoltării securității (SDL). SDL este un set de practici stricte care sprijină cerințele de asigurare a securității și de conformitate. Aflați mai multe la Practici pentru ciclul de viață de dezvoltare a securității Microsoft.
Uzual Power Platform concepte de securitate
Power Platform include mai multe servicii. Unele dintre conceptele de securitate pe care le vom acoperi în această serie se aplică tuturor acestora. Alte concepte sunt specifice serviciilor individuale. Acolo unde conceptele de securitate sunt diferite, le vom chema.
Concepte de securitate care sunt comune tuturor Power Platform serviciile includ:
- The Power Platform arhitectura serviciului sau modul în care informațiile circulă prin sistem
- Autentificare la Power Platform Servicii, sau modul în care utilizatorii obțin acces la servicii
- Conectarea și autentificarea la sursele de date, sau modul în care serviciile se conectează la sursele de date și utilizatorii obțin acces la date
- Stocarea datelor în Power Platform, sau cum sunt protejate datele, indiferent dacă sunt în repaus sau în tranzit între sisteme și servicii
The Power Platform arhitectura serviciului
Power Platform serviciile sunt construite pe Azure, platforma de cloud computing a Microsoft. The Power Platform Arhitectura serviciului este compusă din patru componente:
- Cluster front-end web
- Cluster back-end
- Infrastructură premium
- Platforme mobile
Cluster front-end web
Se aplică la Power Platform servicii care afișează o interfață de utilizare web. Clusterul web front-end servește pagina de pornire a aplicației sau a serviciului către browserul utilizatorului. Folosește Azure Active Directory (Azure AD) pentru a autentifica clienții inițial și pentru a furniza token-uri pentru conexiunile ulterioare ale clientului, la Power Platform serviciu back-end.
Un cluster web front-end constă dintr-un ASP.NET site-ul web care rulează în Azure App Service Environment. Când un utilizator vizitează un Power Platform serviciu sau aplicație, serviciul DNS al clientului poate obține cel mai potrivit (de obicei cel mai apropiat) centru de date din Azure Traffic Manager. Pentru mai multe informații, vezi Metoda de rutare a traficului de performanță pentru Azure Traffic Manager.
Clusterul web front-end gestionează secvența de conectare și autentificare. Se obține un Azure AD jeton de acces după ce utilizatorul este autentificat. The ASP.NET componenta analizează jetonul pentru a determina cărei organizații îi aparține utilizatorul. Componenta consultă apoi Power Platform serviciu global de back-end pentru a specifica browserului care cluster back-end găzduiește chiriașul organizației. Interacțiunile ulterioare cu clientul au loc direct cu clusterul back-end, fără a fi nevoie de intermediarul web front-end.
Browserul preia resurse statice, cum ar fi fișiere .js, .css și imagine, în principal dintr-o rețea de livrare de conținut (CDN) Azure. Implementările de clustere ale guvernului suveran sunt o excepție. Din motive de conformitate, aceste implementări omit Azure CDN. În schimb, folosesc un cluster web front-end dintr-o regiune conformă pentru a găzdui conținut static.
Power Platform cluster back-end
Clusterul back-end este coloana vertebrală a tuturor funcționalităților disponibile în a Power Platform serviciu. Acesta constă din puncte finale de serviciu, servicii de lucru în fundal, baze de date, cache și alte componente.
Back-end-ul este disponibil în majoritatea regiunilor Azure și este implementat în regiuni noi pe măsură ce acestea devin disponibile. O regiune poate găzdui mai multe clustere. Această configurație permite Power Platform oferă scalare orizontală nelimitată după ce limitele de scalare verticală și orizontală ale unui singur cluster sunt atinse.
Clusterele back-end sunt cu stare. Un cluster back-end găzduiește toate datele tuturor chiriașilor alocați acestuia. Clusterul care conține datele unui anumit chiriaș este denumit clusterul de acasă al chiriașului. Informațiile despre clusterul de acasă al unui utilizator autentificat sunt furnizate de Power Platform serviciu global back-end către clusterul web front-end. Interfața web folosește informațiile pentru a direcționa cererile către clusterul back-end de acasă al chiriașului.
Metadatele și datele locatarului sunt stocate în limitele clusterului. Excepția este replicarea datelor la un cluster back-end secundar care se află într-o regiune asociată din aceeași geografie Azure. Clusterul secundar servește ca un failover dacă există o întrerupere regională și este pasiv în orice alt moment. Microservicii care rulează pe diferite mașini din rețeaua virtuală a clusterului servesc, de asemenea, funcționalități back-end. Doar două dintre aceste micro-servicii sunt accesibile de pe internetul public:
- Serviciul Gateway
- Azure API Management
Power Platform Infrastructură premium
Power Platform Premium oferă acces la un set extins de conectori ca serviciu plătit. Power Platform producătorii nu sunt restricționați în utilizarea conectorilor premium, dar utilizatorii de aplicații sunt. Adică, utilizatorii unei aplicații care include conectori premium trebuie să aibă licența corectă pentru a le accesa. The Power Platform serviciul back-end determină dacă un utilizator are acces la conectori premium.
Platforme mobile
Power Platform suporturi Android aplicații, iOS și Windows (UWP). Considerațiile de securitate pentru aplicațiile mobile se împart în două categorii:
- Comunicarea dispozitivului
- Aplicația și datele de pe dispozitiv
Comunicarea dispozitivului
Power Platform aplicațiile mobile folosesc aceleași secvențe de conexiune și autentificare folosite de browsere. Android și aplicațiile iOS deschid o sesiune de browser în aplicație. Aplicațiile Windows folosesc un broker pentru a stabili un canal de comunicare cu Power Platform servicii pentru procesul de conectare.
Următorul tabel arată compatibilitatea cu autentificarea bazată pe certificat (CBA) pentru aplicațiile mobile:
| Suport CBA | iOS | Android | Ferestre |
|---|---|---|---|
| conectați-vă la service | Acceptat | Acceptat | Neacceptat |
| SSRS ADFS local (conectați-vă la serverul SSRS) | Neacceptat | Acceptat | Neacceptat |
| Proxy de aplicație SSRS | Acceptat | Acceptat | Neacceptat |
Aplicațiile mobile comunică activ cu Power Platform Servicii. Statisticile de utilizare a aplicațiilor și datele similare sunt transmise serviciilor care monitorizează utilizarea și activitatea. Nu sunt incluse date despre clienți.
Aplicația și datele de pe dispozitiv
Aplicația mobilă și datele de care are nevoie sunt stocate în siguranță pe dispozitiv. Azure AD și jetoanele de reîmprospătare sunt stocate folosind măsuri de securitate standard din industrie.
Datele stocate în cache pe dispozitiv includ datele aplicației, setările utilizatorului și tablourile de bord și rapoartele accesate în sesiunile anterioare. Cache-ul este stocat într-un sandbox în stocarea internă. Cache-ul este accesibil doar aplicației și poate fi criptat de sistemul de operare.
- iOS: Criptarea este automată atunci când utilizatorul setează o parolă.
- Android: Criptarea poate fi configurată în setări.
- Windows: Criptarea este gestionată de BitLocker.
Microsoft Intune criptarea la nivel de fișier poate fi utilizată pentru a îmbunătăți criptarea datelor. Intune este un serviciu software care oferă dispozitive mobile și gestionarea aplicațiilor. Toate cele trei platforme mobile acceptă Intune. Cu Intune activat și configurat, datele de pe dispozitivul mobil sunt criptate și Power Platform aplicația nu poate fi instalată pe un card SD.
Aplicațiile Windows acceptă, de asemenea Windows Information Protection (WIP).
Datele din cache sunt șterse atunci când utilizatorul:
- Dezinstalează aplicația
- Semne din Power Platform serviciu
- Nu reușește să se autentifice după schimbarea unei parole sau după expirarea unui simbol
Localizarea geografică este activată sau dezactivată în mod explicit de către utilizator. Dacă este activată, datele de localizare geografică nu sunt salvate pe dispozitiv și nu sunt partajate cu Microsoft.
Notificările sunt activate sau dezactivate explicit de către utilizator. Dacă notificările sunt activate,Android și iOS nu acceptă cerințele privind rezidența datelor geografice.
The Power Platform serviciile mobile nu accesează alte foldere de aplicații sau fișiere de pe dispozitiv.
Unele date de autentificare bazate pe token sunt disponibile pentru alte aplicații Microsoft, cum ar fi Authenticator, pentru a activa conectarea unică. Aceste date sunt gestionate de către Azure AD Bibliotecă SDK de autentificare.
Articole asociate
Autentificare la Power Platform Servicii
Conectarea și autentificarea la sursele de date
Stocarea datelor în Power Platform
Power Platform Întrebări frecvente privind securitatea
Consultați și
- Securitatea în Microsoft Dataverse
- Termenii Microsoft Online Services
- Declarație de confidențialitate Microsoft Enterprise
- Addendum privind protecția datelor
- Practici pentru ciclul de viață de dezvoltare a securității Microsoft
- Metoda de rutare a traficului de performanță pentru Azure Traffic Manager
- Microsoft Intune
- Windows Information Protection (WIP)
Feedback
Trimiteți și vizualizați feedback pentru