Varnost v storitvi Microsoft Power Platform
Power Platform omogoča hitro in preprosto ustvarjanje celovitih rešitev tako neprofesionalnim kot profesionalnim razvijalcem. Varnost je ključnega pomena za te rešitve. Power Platform je izdelan za zagotavljanje vodilne zaščite v tej panogi.
Organizacije pospešeno prehajajo v oblak, pri čemer v svoje delovanje vključujejo napredne tehnologije in poslovno odločanje. Vedno več zaposlenih dela na daljavo. Povpraševanje strank po spletnih storitvah narašča. Tradicionalna varnost aplikacij na mestu uporabe ni več dovolj. Organizacije, ki iščejo večnivojsko in poglobljeno varnostno rešitev v oblaku za svoje poslovno obveščanje, se obrnejo na Power Platform. Nacionalne varnostne agencije, finančne institucije in ponudniki zdravstvenih storitev zaupajo storitvi Power Platform svoje najobčutljivejše podatke.
Microsoft je od sredine 2. tisočletja izvedel ogromne naložbe v varnost. Več kot 3500 Microsoftovih inženirjev dela na proaktivnem reševanju nenehno spreminjajočega se okolja groženj. Microsoftova varnost se začne pri jedru BIOS-a na čipu in obsega vse do uporabniške izkušnje. Danes je naš varnostni sklop najnaprednejši v tej panogi. Microsoft na splošno velja za vodilnega v svetu v boju proti zlonamernim akterjem. Milijarde računalnikov, bilijoni prijav in zetabajti podatkov so zaupani Microsoftovi zaščiti.
Power Platform gradi na tem močnem temelju. Uporablja isti varnostni sklop, s katerim je Azure pridobil pravico do hrambe in zaščite najbolj občutljivih podatkov na svetu, in se integrira z najnaprednejšimi orodji Microsoft 365 za zaščito informacij in skladnost. Power Platform zagotavlja celostno zaščito, zasnovano glede na najzahtevnejše potrebe naših strank v dobi oblaka:
- Kako lahko nadzorujemo, kdo se lahko poveže, od kod se poveže in kako se poveže? Kako lahko nadzorujemo povezave?
- Kako so naši podatki hranjeni? Na kakšen način so šifrirani? Kakšne kontrolnike imamo na svojih podatkih?
- Kako lahko nadzorujemo in zaščitimo svoje občutljive podatke? Kako lahko zagotovimo, da naši podatki ne uhajajo izven organizacije?
- Kako lahko revidiramo, kdo kaj zmore? Kako se lahko hitro odzovemo, če zaznamo sumljivo dejavnost?
Upravljanje
Storitev Power Platform urejajo pogoji uporabe storitev Microsoft Online Services in Microsoftova izjava o zasebnosti za podjetja. Za lokacijo obdelave podatkov glejte pogoje uporabe storitev Microsoft Online Services in dodatek o varstvu podatkov.
Microsoftovo središče zaupanja je glavni vir za informacije o skladnosti Power Platform. Več o tem preberite v Microsoftovi ponudbi za zagotavljanje skladnosti.
Storitev Power Platform sledi življenjskemu ciklu varnostnega razvoja (SDL). SDL je nabor strogih praks, ki podpirajo zahteve glede zagotavljanja varnosti in skladnosti. Več si preberite v razdelku Microsoftove prakse življenjskega cikla varnostnega razvoja.
Pogosti varnostni koncepti v storitvi Power Platform
Power Platform vključuje več storitev. Nekateri varnostni koncepti, ki jih bomo obravnavali v tem sklopu, veljajo za vse. Drugi koncepti veljajo le za posamezne storitve. Če se varnostni koncepti razlikujejo, bomo to tudi poudarili.
Varnostni koncepti, ki so skupni vsem storitvam Power Platform, vključujejo naslednje elemente:
- Arhitektura storitve Power Platform ali kako informacije tečejo skozi sistem
- Preverjanje pristnosti storitev Power Platform ali kako uporabniki pridobijo dostop do storitev
- Povezovanje in preverjanje pristnosti z viri podatkov ali kako se storitve povežejo z viri podatkov in uporabniki pridobijo dostop do podatkov
- Shranjevanje podatkov v Power Platform ali kako so podatki zaščiteni, ne glede na to, ali mirujejo ali se prenašajo med sistemi in storitvami
Arhitektura storitev Power Platform
Storitve Power Platform so zgrajene na Azure, Microsoftovi platformi za računalništvo v oblaku. Arhitektura storitev Power Platform je sestavljena iz štirih komponent:
- Spletna čelna gruča
- Zaledna gruča
- Vrhunska infrastruktura
- Mobilne platforme
Spletna čelna gruča
Velja za storitve Power Platform, ki prikazujejo spletni uporabniški vmesnik. Spletna čelna gruča služi domači strani aplikacije ali storitve uporabnikovega brskalnika. Uporablja Microsoft Entra se za začetno preverjanje pristnosti strank in zagotavljanje žetonov za nadaljnje povezave odjemalca Power Platform z zaledno storitvijo.
Spletna čelna gruča je sestavljena iz spletnega mesta ASP.NET, ki se izvaja v okolju storitve Azure App Service. Ko uporabnik obišče storitev ali aplikacijo Power Platform, lahko odjemalčeva storitev DNS pridobi najustreznejše (običajno najbližje) podatkovno središče od Azure Traffic Manager. Za več informacij glejte Način preusmerjanja prometa v zmogljivosti za Azure Traffic Manager.
Spletna čelna gruča upravlja zaporedje prijave in preverjanja pristnosti. Pridobi # Microsoft Entra žeton za dostop po preverjanju pristnosti uporabnika. Komponenta ASP.NET razčleni žeton, da ugotovi, kateri organizaciji pripada uporabnik. Komponenta se nato posvetuje z globalno zaledno storitvijo Power Platform, da brskalniku določi, v kateri zaledni gruči je najemnik organizacije. Naknadne interakcije odjemalca potekajo neposredno z zaledno gručo, brez potrebe po spletnem čelnem posredniku.
Brskalnik pridobi statične vire, kot so .js, .css in slikovne datoteke, predvsem iz omrežja za dostavo vsebine Azure (CDN). Uvedbe gruč za državno javno upravo so izjema. Zaradi skladnosti je za te uvedbe izpuščen Azure CDN. Namesto tega uporabljajo spletno čelno gručo iz skladne regije za gostovanje statične vsebine.
Zaledna gruča Power Platform
Zaledna gruča je hrbtenica vseh funkcij, ki so na voljo v storitvi Power Platform. Sestavljena je iz končnih točk storitve, storitev, ki delujejo v ozadju, zbirk podatkov, predpomnilnikov in drugih komponent.
Zaledje je na voljo v večini regij Azure in se uvede v novih regijah, ko te postanejo na voljo. Ena regija lahko gosti več gruč. Ta konfiguracija omogoča neomejeno horizontalno spreminjanje velikosti storitev Power Platform, ko so dosežene navpične in vodoravne omejitve spreminjanja velikosti ene gruče.
Zaledne gruče temeljijo na stanju. Zaledna gruča gosti vse podatke vseh najemnikov, ki so ji dodeljeni. Gruča, ki vsebuje podatke določenega najemnika, se imenuje domača gruča najemnika. Informacije o domači gruči preverjenega uporabnika posreduje globalna zaledna storitev Power Platform spletni čelni gruči. Spletni čelni sistem uporablja informacije za preusmerjanje zahtev v najemnikovo domačo zaledno gručo.
Metapodatki in podatki najemnika so shranjeni znotraj omejitev gruče. Izjema je podvajanje podatkov v sekundarno zaledno gručo, ki se nahaja v seznanjeni regiji na isti geografski lokaciji storitve Azure. Sekundarna gruča služi kot varnostni preklop, če pride do regionalnega izpada, sicer pa je pasivna. Mikrostoritve, ki se izvajajo na različnih strojih v virtualnem omrežju gruče, služijo tudi zaledni funkcionalnosti. Samo dve od teh mikrostoritev sta dostopni iz javnega interneta:
- Gateway Service
- Azure API Management
Vrhunska infrastruktura Power Platform
Vrhunska storitev Power Platform omogoča dostop do razširjenega nabora povezovalnikov v obliki plačljive storitve. Ustvarjalci Power Platform niso omejeni pri uporabi vrhunskih povezovalnikov, uporabniki aplikacij pa so. To pomeni, da morajo imeti uporabniki aplikacije, ki vključuje vrhunske povezovalnike, ustrezno licenco za dostop do njih. Zaledna storitev Power Platform določa, ali ima uporabnik dostop do vrhunskih povezovalnikov.
Mobilne platforme
Power Platform podpira Android iOS in Windows (UWP) aplikacije. Varnostni vidiki mobilnih aplikacij spadajo v dve kategoriji:
- Komunikacija naprave
- Aplikacije in podatki na napravi
Komunikacija naprave
Mobilne aplikacije Power Platform uporabljajo enaka zaporedja povezave in preverjanja pristnosti kot brskalniki. Android in iOS aplikacije odprejo sejo brskalnika v aplikaciji. Aplikacije Windows uporabljajo posrednika za vzpostavitev komunikacijskega kanala s storitvami Power Platform za postopek prijave.
Naslednja tabela prikazuje podporo za preverjanje pristnosti na podlagi potrdila (CBA) za mobilne aplikacije:
| Podpora za CBA | iOS | Android | Okna |
|---|---|---|---|
| Prijava v storitev | Podprto | Podprto | Ni podprto |
| SSRS ADFS on-prem (vzpostavitev povezave s strežnikom SSRS) | Ni podprto | Podprto | Ni podprto |
| SSRS App Proxy | Podprto | Podprto | Ni podprto |
Mobilne aplikacije aktivno komunicirajo s storitvami Power Platform. Statistika uporabe aplikacije in podobni podatki se prenašajo v storitve, ki spremljajo uporabo in dejavnost. Podatki o strankah niso vključeni.
Aplikacije in podatki na napravi
Mobilna aplikacija in podatki, ki jih potrebuje, so varno shranjeni v napravi. Microsoft Entra in žetoni za osveževanje so shranjeni z uporabo standardnih industrijskih varnostnih ukrepov.
Podatki, shranjeni v napravi, vključujejo podatke aplikacij, uporabniške nastavitve ter nadzorne plošče in poročila, do katerih ste dostopali v prejšnjih sejah. Predpomnilnik je shranjen v peskovniku v notranjem pomnilniku. Predpomnilnik je dostopen samo aplikaciji in ga lahko šifrira operacijski sistem.
- iOS: šifriranje je samodejno, ko uporabnik nastavi geslo.
- Android: šifriranje je mogoče konfigurirati v nastavitvah.
- Windows: za šifriranje skrbi BitLocker.
Microsoft Intune: šifriranje na ravni datoteke je mogoče uporabiti za izboljšanje šifriranja podatkov. Intune je programska storitev, ki omogoča upravljanje mobilnih naprav in aplikacij. Vse tri mobilne platforme podpirajo Intune. Ko je Intune omogočen in konfiguriran, se podatki v mobilni napravi šifrirajo, aplikacije Power Platform pa ni mogoče več namestiti na kartico SD.
Aplikacije za Windows podpirajo tudi storitev Windows Information Protection (WIP).
Predpomnjeni podatki se izbrišejo, ko uporabnik stori naslednje:
- razmesti aplikacijo
- se odjavi iz storitve Power Platform
- se ne more prijaviti po spremembi gesla ali po preteku veljavnosti žetona
Geolokacijo izrecno omogoči ali onemogoči uporabnik. Če je omogočena, se geolokacijski podatki ne shranijo v napravo in se ne delijo z Microsoftom.
Obvestila izrecno omogoči ali onemogoči uporabnik. Če so obvestila omogočena Android in iOS ne podpirajo zahtev glede geografske hrambe podatkov.
Mobilne storitve Power Platform ne dostopajo do drugih map aplikacij ali datotek v napravi.
Nekateri podatki za preverjanje pristnosti na podlagi žetonov so na voljo drugim Microsoftovim aplikacijam, kot je Authenticator, za omogočanje enotne prijave. Te podatke upravlja SDK knjižnice Microsoft Entra za preverjanje pristnosti.
Povezani članki
Preverjanje pristnosti za storitve Power Platform
Povezovanje in preverjanje pristnosti z viri podatkov
Podatkovna shramba v storitvi Power Platform
Pogosta vprašanja o varnosti v okolju Power Platform
Glejte tudi
- Varnost v storitvi Microsoft Dataverse
- Microsoftovi pogoji za spletne storitve
- Microsoftova izjava o zasebnosti za podjetja
- Dopolnilo o varstvu podatkov
- Microsoftove prakse življenjskega cikla varnostnega razvoja.
- Način preusmerjanja prometa v zmogljivosti za Azure Traffic Manager
- Microsoft Intune
- Windows Information Protection (WIP)