Безбедност у услузи Microsoft Power Platform
Power Platform даје моћ брзог и лаког креирања свеобухватних решења у рукама непрофесионалних и професионалних програмера. Безбедност је од критичног значаја за ова решења. Power Platform је изграђен да би се обезбедила заштита по индустријском стандарду.
Организације убрзавају свој прелазак у облак, укључивање напредних технологија у пословање и доношење пословних одлука. Све више запослених ради на даљину. Потражња клијената за услугама на мрежи је у порасту. Безбедност традиционалних локалних апликација више није довољна. Организације које траже решења за податке пословног обавештавања који су природно у облаку, вишеслојни, безбедносно веома заштићени, окрећу се платформи Power Platform. Агенције за националну безбедност, финансијске институције и даваоци здравствених услуга поверавају своје најосетљивије информације платформи Power Platform.
Microsoft је од средине двехиљадитих масивно инвестирао у безбедност. Више од 3500 Microsoft инжењера ради на проактивном решавању стално променљивог амбијента претњи. Microsoft безбедност почиње у BIOS језгру на чиповима и протеже се све до корисничког искуства. Данас је наш безбедносни низ најнапреднији у делатности. Microsoft се широко посматра као глобални лидер у борби против злонамерних актера. Милијарде рачунара, билиони пријава и зетабајти података поверени су корпорацији Microsoft на заштиту.
Power Platform гради на овом јаком темељу. Користи исти безбедносни низ који је платформи Azure донео право да служи и штити најосетљивије податке на свету, и интегрише се са најнапреднијим Microsoft 365 алатима за заштиту информација и усаглашеност. Power Platform пружа свеобухватну заштиту осмишљену око најизазовнијих брига наших клијената у ери облака:
- Како можемо да контролишемо ко може да се повеже, одакле се повезује и како се повезује? Како да контролишемо везе?
- Како су подаци ускладиштени? Како су шифрирани? Какве контроле имамо о нашим подацима?
- Како можемо да контролишемо и заштитимо наше осетљиве податке? Како да осигурамо да наши подаци не могу да процуре изван организације?
- Како можемо да надгледамо ко шта може да уради? Како можемо брзо да реагујемо ако откријемо сумњиву активност?
Управљање
Услуга Power Platform је регулисана одредбама услуге Microsoft Online Services и изјавом о приватности компаније Microsoft. За локацију обраде података погледајте одредбе услуге Microsoft Online Services и Додатак за заштиту података.
Microsoft центар за поузданост је примарни ресурс за информације о Power Platform усаглашености. Сазнајте више у понудама за усаглашавање корпорације Microsoft.
Услуга Power Platform прати животни циклус безбедносног развоја (SDL). SDL је низ стриктних пракси које подржавају безбедносно осигурање и захтеве за усаглашавање. Сазнајте више о праксама животног циклуса развоја безбедности корпорације Microsoft.
Заједнички безбедносни концепти у услузи Power Platform
Power Platform укључује неколико услуга. Неки од безбедносних концепата које ћемо покрити у овој серији примењују се на све њих. Други концепти су специфични за појединачне услуге. Тамо где су безбедносни концепти различити, ми ћемо их позвати.
Безбедносни концепти који су заједнички свим Power Platform услугама укључују следеће:
- Архитектура услуге Power Platform или начин на који информације теку кроз систем
- Потврда идентитета Power Platform услуга или начин на који корисници добијају приступ услугама
- Повезивање и потврда идентитета са изворима података или начин на који се услуге повезују са изворима података и корисници добијају приступ подацима
- Складиштење података у услузи Power Platform или начин на који су подаци заштићени без обзира да ли су у одмору или у транзиту између система и услуга
Архитектура услуге Power Platform
Power Platform услуге су изграђене у услузи Azure, Microsoft платформи за рачунарство у облаку. Архитектура услуге Power Platform се састоји од четири компоненте:
- Изложени кластер на вебу
- Кластер у позадини
- Врхунска инфраструктура
- Платформе за мобилне уређаје
Изложени кластер на вебу
Примењује се на Power Platform услуге које приказују Web UI. Изложени кластер на вебу служи матичној страници апликације или услуге у прегледачу корисника. Користи се Microsoft Entra за потврду идентитета клијената у почетку и обезбеђивање токена за наредне клијентске везе задњој Power Platform услузи.
Изложени кластер на вебу се састоји од ASP.NET веб-локације која се покреће у окружењу услуге Azure апликације. Када корисник посети Power Platform услугу или апликацију, DNS услуга клијента може добити најприкладнији (обично најближи) центар података од Управљача саобраћајем услуге Azure. Више информација потражите у чланку Начин усмеравања саобраћаја перформанси за управљач саобраћајем услуге Azure.
Изложени кластер на вебу управља секвенцом пријављивања и потврде идентитета. Он добија грешку Microsoft Entra токен за приступ након потврде идентитета корисника. ASP.NET компонента рашчлањује токен да би одредила којој организацији корисник припада. Компонента затим консултује Power Platform глобалну услугу у позадини да би се прегледачу навело који кластер у позадини садржи закупца организације. Наредне интеракције клијената се дешавају директно са кластером у позадини, без потребе за посредником на вебу.
Прегледач доноси статичне ресурсе, као што су js, .css датотеке и датотеке слика, углавном из Azure мреже за испоруку садржаја (CDN). Примене суверених кластера за државне институције су изузетак. Из разлога усаглашености, ове примене изостављају Azure CDN. Уместо тога, они користе изложени кластер на вебу из усаглашеног региона да хостују статички садржај.
Power Platform кластер у позадини
Кластер у позадини је окосница свих функционалности доступних у услузи Power Platform. Састоји се од крајњих тачака услуге, радних услуга у позадини, база података, кеша и других компоненти.
Позадински део је доступан у већини Azure региона и примењен је у новим регионима када постану доступни. Један регион може да хостује више кластера. Ова конфигурација омогућава Power Platform услугама неограничено хоризонтално подешавање размере након достизања вертикалних и хоризонталних ограничења размере једног кластера.
Кластери у позадини препознају државу. Кластер у позадини хостује све податке свих закупаца који су му додељени. Кластер који садржи податке одређеног закупца назива се матични кластер закупца. Информације о матичном кластеру овлашћеног корисника пружа Power Platform глобална услуга у позадини изложеног кластера на вебу. Изложени кластер на вебу користи информације за усмеравање захтева ка матичном кластеру закупца.
Метаподаци и подаци закупца се чувају у границама кластера. Изузетак је репликација података на секундарни кластер у позадини, који се налази у упареном региону у истој Azure географској области. Секундарни кластер служи као резерва у случају неуспеха ако дође до регионалног прекида, а пасиван је у било ком другом тренутку. Микро-услуге које раде на различитим рачунарима у виртуелној мрежи кластера такође опслужују функционалност у позадини. Само две од ових микро услуга су доступне са јавног интернета:
- Услуга мрежног пролаза
- Управљање Azure API-јима
Инфраструктура Power Platform Premium
Power Platform Premium омогућава приступ проширеном скупу конектора као плаћеној услузи. Power Platform аутори нису ограничени на коришћење премијум конектора, али корисници апликација јесу. То јест, корисници апликације која укључује премијум конекторе морају да имају исправну лиценцу за приступ њима. Power Platform услуга у позадини одређује да ли корисник има приступ премијум конекторима.
Платформе за мобилне уређаје
Power Platform подржава Android и iOS Wиндоwс (УWП) апликације. Безбедносна питања за апликације за мобилне уређаје спадају у две категорије:
- Комуникација са уређајем
- Апликација и подаци на уређају
Комуникација са уређајем
Power Platform апликације за мобилне уређаје користе исте секвенце везе и потврде идентитета које користе прегледачи. Android и апликације iOS отварају сесију прегледача у апликацији. Windows апликације користе брокера за успостављање канала комуникације са Power Platform услугама за поступак пријављивања.
Следећа табела приказује подршку за потврду идентитета (CBA) засновану на цертификату за мобилне апликације:
| CBA подршку | iOS | Android | Прозори |
|---|---|---|---|
| Пријављивање у услугу | Подржано | Подржано | Није подржано |
| Локални SSRS ADFS (повезивање на SSRS сервер) | Није подржано | Подржано | Није подржано |
| Прокси за SSRS апликације | Подржано | Подржано | Није подржано |
Апликације за мобилне уређаје активно комуницирају са Power Platform услугама. Статистика коришћења апликација и слични подаци преносе се на услуге које надгледају употребу и активност. Нема укључених клијентских података.
Апликација и подаци на уређају
Апликација за мобилне уређаје и подаци које она захтева безбедно се складиште на уређају. Microsoft Entra и освежавање токена се складишти помоћу безбедносних мера стандардне делатности.
Подаци кеширани на уређају укључују податке апликације, корисничке поставке и контролне табле и извештаје којима се приступало у претходним сесијама. Кеш се складишти у sandbox окружењу у интерном складишту. Кешу се може приступити само из апликације и оперативни систем га може шифровати.
- iOS: Шифровање је аутоматско када корисник постави шифру за пролаз.
- Android: Шифровање се може конфигурисати у поставкама.
- Windows: Шифровањем управља BitLocker.
Microsoft Intune шифровање на нивоу датотеке може да се користи за побољшање шифровања података. Intune је софтверска услуга која обезбеђује управљање мобилним уређајем и апликацијама. Све три платформе за мобилне уређаје подржавају Intune. Када је Intune омогућен и конфигурисан, подаци на мобилном уређају су шифровани, а Power Platform апликација не може да се инсталира на SD картицу.
Windows апликације такође подржавају Windows Information Protection (WIP).
Кеширани подаци корисника се бришу када корисник:
- деинсталира апликацију
- одјави се из Power Platform услуге
- не успе да се пријави након промене лозинке или истекне токен
Корисник је изричито омогућио или онемогућио географску локацију. Ако су омогућени, подаци о географској локацији се не чувају на уређају и не деле се са корпорацијом Microsoft.
Корисник је изричито омогућио или онемогућио обавештења. Ако су обавештења омогућена и не Android подржавају iOS географске захтеве боравка података.
Power Platform услуге за мобилне уређаје не приступају другим фасциклама апликација или датотекама на уређају.
Неки подаци за потврду идентитета засновани на токенима доступни су другим Microsoft апликацијама, као што је Authenticator, да би се омогућило јединствено пријављивање. Овим подацима управља Microsoft Entra СДК библиотеке потврде идентитета.
Сродни чланци
Потврда идентитета у Power Platform услугама
Повезивање са изворима података и потврда идентитета у њима
Складиште података у услузи Power Platform
Најчешћа питања о безбедности услуге Power Platform
Погледајте и
- Безбедност у услузи Microsoft Dataverse
- Одредбе услуге Microsoft Online Services
- Изјава о приватности на мрежи корпорације Microsoft
- Додатак о заштити података
- Праксе животног циклуса развоја безбедности корпорације Microsoft
- Начин усмеравања саобраћаја перформанси за управљач саобраћајем услуге Azure
- Microsoft Intune
- Windows Information Protection (WIP)