Securitatea în Microsoft Power Platform
Power Platform depune eforturi de a crea rapid și ușor soluții integrale la îndemâna dezvoltatorilor neprofesioniști și profesioniști deopotrivă. Securitatea este esențială pentru aceste soluții. Power Platform este construită pentru a oferi o protecție de vârf în industrie.
Organizațiile își accelerează tranziția către cloud, încorporând tehnologii avansate în operațiuni și în luarea deciziilor de afaceri. Tot mai mulți angajați lucrează de la distanță. Cererea clienților pentru servicii online este în creștere. Securitatea tradițională locală a aplicațiilor nu mai este suficientă. Organizațiile care caută o soluție de securitate nativă în cloud, pe mai multe niveluri, de apărare în profunzime pentru datele lor datelor cu informaţii pentru afaceri se adresează serviciilor Power Platform. Agențiile naționale de securitate, instituțiile financiare și furnizorii de servicii medicale își încredințează platformei Power Platform informațiile cele mai sensibile.
Microsoft a făcut investiții masive în securitate începând cu mijlocul anilor 2000. Peste 3.500 de ingineri Microsoft lucrează pentru a aborda în mod proactiv peisajul amenințărilor în continuă schimbare. Securitatea Microsoft începe de la nucleul BIOS pe cip și se extinde până la experiența utilizatorului. Astăzi, stiva noastră de securitate este cea mai avansată din industrie. Microsoft este văzut în general drept lider global în lupta împotriva actorilor rău intenționați. Miliarde de computere, trilioane de autentificări și zettabytes de date sunt încredințate protecției Microsoft.
Power Platform se bazează pe această bază puternică. Folosește aceeași stivă de securitate care i-a adus lui Azure dreptul de a servi și proteja cele mai sensibile date din lume și se integrează cu cele mai avansate instrumente de protecție a informațiilor și de conformitate ale Microsoft 365. Power Platform oferă protecție integrală concepută în jurul preocupărilor celor mai provocatoare ale clienților noștri în era cloud:
- Cum putem controla cine se poate conecta, de unde se conectează și cum se conectează? Cum putem controla conexiunile?
- Cum sunt stocate datele noastre? Cum sunt criptate? Ce controale avem asupra datelor noastre?
- Cum putem controla și proteja datele noastre sensibile? Cum ne putem asigura că datele noastre nu pot fi divulgate în afara organizației?
- Cum putem verifica cine poate face și ce anume poate face? Cum putem reacționa rapid dacă detectăm o activitate suspectă?
Guvernanța
Serviciul Power Platform este guvernat de Condițiile Microsoft Online Services și Angajamentul de respectare a confidențialității pentru întreprinderi Microsoft. Pentru locația procesării datelor, consultați Condițiile Microsoft Online Services și Anexa privind protecția datelor.
Centrul de autorizare Microsoft este resursa principală pentru informații de conformitate Power Platform. Aflați mai multe la Oferte de conformitate Microsoft.
Serviciul Power Platform urmează Ciclul de viață al dezvoltării securității (SDL). SDL este un set de practici stricte care sprijină cerințele de asigurare a securității și de conformitate. Aflați mai multe la Practici pentru ciclul de viață al dezvoltării securității Microsoft.
Concepte de securitate comune în Power Platform
Power Platform include mai multe servicii. Unele dintre conceptele de securitate pe care le vom acoperi în această serie se aplică tuturor acestora. Alte concepte sunt specifice serviciilor individuale. În cazurile în care conceptele de securitate sunt diferite, le vom face cunoscute.
Conceptele de securitate care sunt comune tuturor Power Platform serviciilor includ:
- Arhitectura serviciului Power Platform sau modul în care informațiile circulă prin sistem
- Autentificarea la Power Platform servicii sau modul în care utilizatorii obțin acces la servicii
- Conectarea și autentificarea la sursele de date sau modul în care serviciile se conectează la sursele de date și utilizatorii obțin acces la date
- Stocarea datelor în Power Platform sau modul în care sunt protejate datele, indiferent dacă sunt în repaus sau în tranzit între sisteme și servicii
Arhitectura serviciilor Power Platform
Serviciile Power Platform sunt construite pe Azure, platforma de cloud computing a Microsoft. Arhitectura de servicii Power Platform este compusă din patru componente:
- Cluster front-end web
- Cluster back-end
- Infrastructură premium
- Platforme mobile
Cluster front-end web
Se aplică serviciilor Power Platform care afișează o interfață de utilizare web. Clusterul web front-end deservește pagina de pornire a aplicației sau a serviciului către browserul utilizatorului. Utilizează Microsoft Entra pentru autentificarea inițială a clienților și furnizarea de jetoane pentru conexiunile ulterioare ale clienților la Power Platform serviciul back-end.
Un cluster web front-end constă dintr-un site web ASP.NET care rulează în Azure App Service Environment. Când un utilizator vizitează un serviciu Power Platform sau o aplicație, serviciul DNS al clientului poate obține cel mai potrivit (de obicei cel mai apropiat) centru de date din Azure Traffic Manager. Pentru mai multe informații, consultați Metoda de rutare a traficului de performanță pentru Azure Traffic Manager.
Clusterul web front-end gestionează secvența de conectare și autentificare. Acesta obține un Microsoft Entra simbol de acces după ce utilizatorul este autentificat. Componenta ASP.NET analizează simbolul pentru a determina cărei organizații îi aparține utilizatorul. Apoi, componenta consultă serviciul back-end global Power Platform pentru a specifica browserului care cluster back-end găzduiește entitatea găzduită a organizației. Interacțiunile ulterioare ale clientului au loc direct cu clusterul back-end, fără a fi nevoie de intermediarul web front-end.
Browserul preia resurse statice, cum ar fi fișiere .js, .css și imagine, în principal dintr-o rețea de livrare de conținut Azure Content Delivery Network (CDN). Implementările de clustere ale guvernului suveran sunt o excepție. Din motive de conformitate, aceste implementări omit Azure CDN. În schimb, folosesc un cluster web front-end dintr-o regiune conformă pentru a găzdui conținut static.
Cluster back-end Power Platform
Clusterul back-end este coloana vertebrală a tuturor funcționalităților disponibile într-un serviciu Power Platform . Acesta constă din puncte finale de serviciu, servicii de lucru în fundal, baze de date, cache și alte componente.
Back-end-ul este disponibil în majoritatea regiunilor Azure și este implementat în regiuni noi pe măsură ce acestea devin disponibile. O regiune poate găzdui mai multe clustere. Această configurație permite serviciilor Power Platform o scalare orizontală nelimitată după ce limitele de scalare verticală și orizontală ale unui singur cluster sunt atinse.
Clusterele back-end sunt cu menținere de stare. Un cluster back-end găzduiește toate datele tuturor entităților găzduite alocate acestuia. Clusterul care conține datele unei anumite entități găzduite este denumit clusterul de origine al entității găzduite. Informațiile despre clusterul principal al unui utilizator autentificat sunt furnizate de serviciul back-end global Power Platform către clusterul web front-end. Interfața web folosește informațiile pentru a direcționa cererile către clusterul back-end de origine al entității găzduite.
Metadatele și datele entității găzduite sunt stocate în limitele clusterului. Excepția este replicarea datelor la un cluster back-end secundar care se află într-o regiune asociată din aceeași zonă geografică Azure. Clusterul secundar servește ca o reluare în caz de nereușită dacă există o întrerupere regională și este pasiv în orice alt moment. Microserviciile care rulează pe diferite mașini din rețeaua virtuală a clusterului servesc, de asemenea, funcționalității back-end. Doar două dintre aceste microservicii sunt accesibile de pe internetul public:
- Serviciul gateway
- Gestionare API Azure
Infrastructura premium Power Platform
Power Platform Premium oferă acces la un set extins de conectori ca serviciu plătit. Creatorii Power Platform nu sunt restricționați în ceea ce privește utilizarea conectorilor premium, dar utilizatorii de aplicații sunt. Adică, utilizatorii unei aplicații care include conectori premium trebuie să aibă licența corectă pentru a le accesa. Serviciul back-end Power Platform determină dacă un utilizator are acces la conectori premium.
Platforme mobile
Power Platform suportă Android, iOS, și aplicații Windows (UWP). Considerațiile de securitate pentru aplicațiile mobile se împart în două categorii:
- Comunicarea cu dispozitivul
- Aplicația și datele de pe dispozitiv
Comunicarea cu dispozitivul
Aplicațiile mobile Power Platform folosesc aceleași secvențe de conexiune și autentificare utilizate de browsere. Android iar iOS aplicațiile deschid o sesiune de browser în aplicație. Aplicațiile Windows folosesc un broker pentru a stabili un canal de comunicare cu serviciile Power Platform pentru procesul de conectare.
Următorul tabel arată compatibilitatea cu autentificarea bazată pe certificat (CBA) pentru aplicațiile mobile:
| Asistență CBA | iOS | Android | Ferestre |
|---|---|---|---|
| Conectarea la serviciu | Acceptat | Acceptat | Neacceptat |
| SSRS ADFS on-prem (conectarea la serverul SSRS) | Neacceptat | Acceptat | Neacceptat |
| Proxy de aplicație SSRS | Acceptat | Acceptat | Neacceptat |
Aplicațiile mobile comunică în mod activ cu serviciile Power Platform. Statisticile de utilizare a aplicațiilor și date similare sunt transmise serviciilor care monitorizează utilizarea și activitatea. Nu există date ale clienților incluse.
Aplicația și datele de pe dispozitiv
Aplicația mobilă și datele de care are nevoie sunt stocate în siguranță pe dispozitiv. Microsoft Entra iar jetoanele de reîmprospătare sunt stocate utilizând măsuri de securitate standard în domeniu.
Datele stocate în cache pe dispozitiv includ datele aplicației, setările utilizatorului și tablourile de bord și rapoartele accesate în sesiunile anterioare. Cache-ul este stocat într-un sandbox în stocarea internă. Cache-ul este accesibil numai aplicației și poate fi criptat de sistemul de operare.
- iOS: Criptarea este automată atunci când utilizatorul setează un cod de acces.
- Android: Criptarea poate fi configurată în setări.
- Windows: Criptarea este gestionată de BitLocker.
Criptarea la nivel de fișier Microsoft Intune poate fi utilizată pentru a îmbunătăți criptarea datelor. Intune este un serviciu software care oferă dispozitive mobile și gestionarea aplicațiilor. Toate cele trei platforme mobile acceptă Intune. Cu Intune activat și configurat, datele de pe dispozitivul mobil sunt criptate, iar aplicația Power Platform nu poate fi instalată pe un card SD.
Aplicațiile Windows acceptă, de asemenea, Windows Information Protection (WIP).
Datele din cache sunt șterse atunci când utilizatorul:
- dezinstalează aplicația
- se deconectează de la serviciul Power Platform
- nu reușește să se autentifice după schimbarea unei parole sau după expirarea unui simbol
Localizarea geografică este activată sau dezactivată explicit de către utilizator. Dacă este activată, datele de localizare geografică nu sunt salvate pe dispozitiv și nu sunt partajate cu Microsoft.
Notificările sunt activte sau dezactivate explicit de către utilizator. Dacă notificările sunt activate Android și iOS nu acceptă cerințele privind rezidența datelor geografice.
Serviciile mobile Power Platform nu accesează alte dosare de aplicații sau fișiere de pe dispozitiv.
Unele date de autentificare bazate pe simbol sunt disponibile pentru alte aplicații Microsoft, cum ar fi Authenticator, pentru a activa conectarea unică. Aceste date sunt gestionate de SDK-ul bibliotecii Microsoft Entra de autentificare.
Articole asociate
Autentificarea la serviciile Power Platform
Conectarea și autentificarea la sursele de date
Stocarea datelor în Power Platform
Power Platform - Întrebări frecvente despre securitate
Consultați și
- Securitate în Microsoft Dataverse
- Condiții Microsoft Online Services
- Angajament de respectare a confidențialității pentru întreprinderi Microsoft
- Anexa privind protecția datelor
- Practici pentru ciclul de viață al dezvoltării securității Microsoft
- Metoda de rutare a traficului de performanță pentru Azure Traffic Manager
- Microsoft Intune
- Windows Information Protection (WIP)