Freigeben über

Häufig gestellte Fragen zur Sicherheit in Power Platform

  • Artikel

Häufig gestellte Fragen zur Sicherheit in Power Platform fallen in zwei Kategorien:

  • Wie Power Platform entwickelt wurde, um die 10 größten Open Web Application Security Project®-Risiken (OWASP) zu mindern

  • Fragen, die unsere Kunden stellen

Um Ihnen das Auffinden aktueller Informationen zu erleichtern, wurden neue Fragen am Ende dieses Artikels hinzugefügt.

Top-10-OWASP-Risiken: Risikominderung in Power Platform

Das Open Web Application Security Project® (OWASP) ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Softwaresicherheit einsetzt. Durch von der Community geführte Open-Source-Softwareprojekte, Hunderte Gruppen weltweit, Zehntausende von Mitgliedern und führende Bildungs- und Schulungskonferenzen ist die OWASP Foundation die Quelle für Entwickler und Technologen zum Schutz des Internets.

Top-10-OWASP ist ein Standardaufklärungsdokument für Entwickler und andere, die an der Sicherheit von Webanwendungen interessiert sind. Es enthält einen weitgehenden Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen. In diesem Abschnitt besprechen wir, wie Power Platform hilft, diese Risiken zu mindern.

A01:2021 Defekte Zugangskontrolle

  • Das Power Platform-SicherheitsModell basiert auf dem „Least Privileged Access“-Prinzip (LPA-Prinzip). LPA ermöglicht es Kunden, Anwendungen mit einer präziseren Zugriffskontrolle zu erstellen.
  • Power Platform verwendet Microsoft Entra IDs (Microsoft Entra ID) Microsoft Identity Platform zur Autorisierung aller API-Aufrufe mit dem Industriestandardprotokoll OAuth 2.0.
  • Dataverse, die die zugrunde liegenden Daten für Power Platform bereitstellt, verfügt über ein umfassendes SicherheitsModell, das Sicherheit auf Umgebungsebene, rollenbasierte Sicherheit sowie Sicherheit auf Datensatz- und Feldebene umfasst.

A02:2021 Kryptografische Fehler

In Transit befindliche Daten:

  • Power Platform verwendet TLS, um den gesamten HTTP-basierten Netzwerkverkehr zu verschlüsseln. Es verwendet andere Mechanismen, um den Nicht-HTTP-Netzwerkdatenverkehr zu verschlüsseln, der Kunden- oder vertrauliche Daten enthält.
  • Power Platform verwendet eine verstärkte TLS-Konfiguration, die HTTP Strict Transport Security (HSTS) ermöglicht:
    • TLS 1.2 oder höher
    • ECDHE-basierte Verschlüsselungssammlungen und NIST-Kurven
    • Starke Schlüssel

Ruhende Daten:

  • Alle Kundendaten werden verschlüsselt, bevor sie auf permanente Speichermedien geschrieben werden.

A03:2021 Injektion

Power Platform verwendet branchenübliche Best Practices, um Einschleuseangriffe zu verhindern, darunter:

  • Verwendung sicherer APIs mit parametrisierten Schnittstellen
  • Anwendung der sich ständig weiterentwickelnden Fähigkeiten von Front-End-Frameworks, um Eingaben zu bereinigen
  • Bereinigen der Ausgabe mit serverseitiger Validierung
  • Verwenden von statischen Analysetools während der Erstellungszeit
  • Überprüfen des BedrohungsModell jedes einzelnen Dienstes alle sechs Monate daraufhin, ob der Code, das Design oder die Infrastruktur aktualisiert wurde oder nicht

A04:2021 Unsicheres Design

  • Power Platform basiert auf einer Kultur und Methodik des sicheren Designs. Sowohl die Kultur als auch die Methodik werden ständig durch die branchenführenden Praktiken MicrosoftSecurity Development Lifecycle (SDL) und Threat Modeling gestärkt.
  • Der Überprüfungsprozess der BedrohungsModellierung stellt sicher, dass Bedrohungen während der Entwurfsphase identifiziert, eindämmt und überprüft werden, um sicherzustellen, dass sie eingedämmt wurden.
  • Die BedrohungsModellierung berücksichtigt auch alle Änderungen an Diensten, die bereits live sind, durch kontinuierliche regelmäßige Überprüfungen. Der Einsatz des STRIDE-Modells hilft, die häufigsten Probleme mit unsicherem Design zu lösen.
  • MicrosoftDer SDL von entspricht dem OWASP Software Assurance Maturity Model (SAMM). Beide basieren auf der Prämisse, dass sicheres Design ein integraler Bestandteil der Sicherheit von Webanwendungen ist.

A05:2021 Sicherheitsfehlkonfiguration

  • Eine der Grundlagen der Power Platform Design-Prinzipien ist das standardmäßige Ablehnen. Durch die standardmäßige Ablehnungen müssen Kunden neue Funktionen und Konfigurationen überprüfen und sich dafür entscheiden.
  • Alle Fehlkonfigurationen während der Erstellungszeit werden durch die integrierte Sicherheitsanalyse mithilfe von sicheren Entwicklungstools abgefangen.
  • Darüber hinaus durchläuft Power Platform dynamische Anwendungssicherheitstests (DAST), wobei ein interner Dienst genutzt wird, der auf den Top-10-OWASP-Risiken aufbaut.

A06:2021 Anfällige und veraltete Komponenten

  • Power Platform befolgt Microsoft die SDL-Praktiken zur Verwaltung von Open Source- und Drittanbieterkomponenten. Diese Methoden umfassen die Pflege eines vollständigen Inventars, die Durchführung von Sicherheitsanalysen, die Aktualisierung der Komponenten und ihre Ausrichtung an einem seit Langem bewährten Prozess zum Umgang mit Sicherheitsvorfällen.
  • In seltenen Fällen können einige Anwendungen aufgrund externer Abhängigkeiten Kopien veralteter Komponenten enthalten. Nachdem diese Abhängigkeiten jedoch in Übereinstimmung mit den zuvor beschriebenen Verfahren behandelt wurden, werden die Komponenten nachverfolgt und aktualisiert.

A07:2021 Identifizierungs- und Authentifizierungsfehler

  • Power Platform ist zur Identifizierung als auch zur Authentifizierung auf Microsoft Entra ID aufgebaut und stützt sich darauf.
  • Microsoft Entra hilft Power Platform sichere Funktionen zu aktivieren. Zu diesen Funktionen zählen einmaliges Anmelden, Multi-Faktor-Authentifizierung und eine einzige Plattform, um sicherer mit internen und externen Benutzern interagieren zu können.
  • Mit der bevorstehenden Implementierung der fortlaufenden Zugriffsevaluierung (CAE) von Microsoft Entra ID in Power Platform werden die Benutzeridentifikation und -authentifizierung noch sicherer und zuverlässiger.

A08:2021 Software- und Datenintegritätsfehler

  • Der Komponenten-Governance-Prozess von Power Platform erzwingt die sichere Konfiguration von Paketquelldateien zur Sicherstellung der Softwareintegrität.
  • Der Prozess stellt sicher, dass nur intern bezogene Pakete genutzt werden, um mit Substitutionsangriffen umzugehen. Der Substitutionsangriff, auch bekannt als Abhängigkeitsverwechslung, ist eine Technik, mit der der App-Erstellungsprozess in sicheren Unternehmensumgebungen vergiftet wird.
  • Auf alle verschlüsselten Daten wird vor der Übertragung ein Integritätsschutz angewendet. Alle Metadaten zum Integritätsschutz, die für eingehende verschlüsselte Daten vorhanden sind, werden überprüft.

Top 10 der Low-Code-/No-Code-Risiken laut OWASP: Risikominderung in Power Platform

Anleitungen zur Eindämmung der von OWASP veröffentlichten Top-10-Low-Code-/No-Code-Sicherheitsrisiken finden Sie in diesem Dokument:

Power Platform - OWASP Low Code No Code Top 10 Risiken (April 2024)

Häufige Sicherheitsfragen von Kunden

Im Folgenden finden Sie einige der Sicherheitsfragen, die unsere Kunden stellen.

Wie hilft Power Platform, vor Clickjacking zu schützen?

Beim Clickjacking werden unter anderem eingebettete Iframes verwendet, um die Interaktionen eines Benutzers mit einer Webseite zu kapern. Dies ist insbesondere für Anmeldeseiten eine erhebliche Bedrohung. Power Platform verhindert die Verwendung von iFrames auf Anmeldeseiten und reduziert so das Clickjacking-Risiko erheblich.

Darüber hinaus können Organisationen Inhaltssicherheitsrichtlinien (CSP) verwenden, um die Einbettung auf vertrauenswürdige Domänen zu beschränken.

Unterstützt Power Platform die Inhaltssicherheitsrichtlinie?

Power Platform unterstützt die Inhaltssicherheitsrichtlinie (CSP) für Modellgesteuerte Apps. Wir unterstützen die folgenden Header nicht, die durch CSP ersetzt werden:

  • X-XSS-Protection
  • X-Frame-Options

Wie können wir eine sichere Verbindung zum SQL Server herstellen?

Siehe Microsoft SQL Server sicher mit Power Apps verwenden.

Welche Verschlüsselungsverfahren werden von Power Platform unterstützt? Wie sieht die Roadmap für eine kontinuierliche Entwicklung hin zu stärkeren Verschlüsselungsverfahren aus?

Alle Microsoft Dienste und Produkte sind so konfiguriert, dass sie die genehmigten Verschlüsselungssammlungen in der vom Microsoft Crypto Board vorgegebenen Reihenfolge verwenden. Die vollständige Liste und die genaue Reihenfolge finden Sie in der Power Platform Dokumentation.

Informationen über veraltete Verschlüsselungssammlungen werden über die Dokumentation zu wichtigen Änderungen von Power Platform kommuniziert.

Warum unterstützt Power Platform immer noch RSA-CBC-Verschlüsselungsverfahren (TLS_ECDHE_RSA_with_AES_128_CBC_SHA256 [0xC027] und TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 [0xC028]), die als schwächer gelten?

Microsoft wägt bei der Auswahl der zu unterstützenden Verschlüsselungssammlungen das relative Risiko und die Unterbrechung des Kundenbetriebs ab. Die RSA-CBC-Verschlüsselungssammlungen wurden noch nicht geknackt. Wir haben sie aktiviert, um die Konsistenz unserer Dienste und Produkte sicherzustellen und alle Kundenkonfigurationen zu unterstützen. Sie stehen jedoch ganz unten auf der Prioritätenliste.

Wir werden diese Chiffren zum gegebenen Zeitpunkt ablehnen, basierend auf der kontinuierlichen Bewertung des Crypto Board. Microsoft

Warum macht Power Automate MD5-Content-Hashes in Trigger-/Aktionseingaben und -ausgaben verfügbar?

Power Automate übergibt den optionalen MD5-Hashwert-Inhalt, der von Azure Storage zurückgegeben wird, unverändert an seine Clients. Dieser Hash wird von Azure Storage verwendet, um die Integrität der Seite während des Transports als Prüfsummenalgorithmus zu überprüfen. Er wird nicht als kryptografische Hashfunktion für Sicherheitszwecke in Power Automate verwendet. Weitere Details dazu finden Sie in der Azure Storage-Dokumentation zur Vorgehensweise Holen Sie sich Blob-Eigenschaften und wie man mit Anfrage-Header arbeitet.

Wie schützt Power Platform vor Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen)?

Power Platform ist auf Microsoft Azure aufgebaut und verwendet Azure DDoS Protection zum Schutz vor DDoS-Angriffen.

Erkennt Power Platform jailbroken iOS-Geräte und gerootete Android-Geräte, um den Schutz von Unternehmensdaten zu unterstützen?

Wir empfehlen Ihnen, Microsoft Intune zu verwenden. Intune ist eine Lösung zur mobilen Geräteverwaltung. Es kann zum Schutz von Unternehmensdaten beitragen, indem es an Benutzer und Geräte bestimmte Anforderungen stellt. Weitere Informationen finden Sie in den Compliance-Richtlinieneinstellungen von Intune.

Warum sind Sitzungscookies auf die übergeordnete Domäne beschränkt?

Power Platform ordnet Sitzungscookies der übergeordneten Domäne zu, um eine organisationsübergreifende Authentifizierung zu ermöglichen. Unterdomänen werden nicht als Sicherheitsgrenzen verwendet. Sie hosten auch keine Kundeninhalte.

Wie können wir die Anwendungssitzung so einstellen, dass sie beispielsweise nach 15 Minuten abläuft?

Power Platform verwendet Microsoft Entra ID für die Identitäts- und Zugriffsverwaltung. Sie folgt der empfohlenen Konfiguration für die Sitzungsverwaltung von Microsoft Entra ID, um ein optimales Benutzererlebnis zu bieten.

Sie können Umgebungen jedoch so anpassen, dass sie explizite Sitzungs- und/oder Aktivitäts-Timeouts haben. Weitere Informationen finden Sie unter Benutzersitzungs- und Zugangsverwaltung.

Mit der bevorstehenden Implementierung der fortlaufenden Zugriffsevaluierung von Microsoft Entra ID in Power Platform werden die Benutzeridentifikation und -authentifizierung noch sicherer und zuverlässiger.

Die Anwendung erlaubt demselben Benutzer den Zugriff von mehr als einem Computer oder Browser gleichzeitig. Wie können wir das verhindern?

Der Zugriff von mehr als einem Gerät oder Browser gleichzeitig geschieht, weil es für Benutzer angenehm ist. Die bevorstehende Implementierung der fortlaufenden Zugriffsevaluierung von Microsoft Entra ID durch Power Platform hilft sicherzustellen, dass der Zugriff von autorisierten Geräten und Browsern erfolgt und weiterhin gültig ist.

Warum blenden einige Power Platform-Dienste Serverheader mit ausführlichen Informationen ein?

Power Platform-Dienste haben sind dabei, unnötige Informationen im Serverheader zu entfernen. Das Ziel ist es, einen Ausgleich zwischen dem Grad der Detailliertheit und dem Risiken ungewollt Informationen weiterzugeben zu schaffen, was die allgemeine Sicherheitslage schwächen könnte.

Wie wirken sich Log4j-Schwachstellen auf Power Platform aus? Was sollten Kunden diesbezüglich tun?

Microsoft hat festgestellt, dass keine Log4j-Sicherheitslücken Auswirkungen haben Power Platform. Weitere Informationen finden Sie in unserem Blogbeitrag zum Verhindern, Erkennen und Suchen nach ausgenutzten Log4j-Schwachstellen.

Wie können wir sicherstellen, dass es keine nicht autorisierten Transaktionen aufgrund von Browsererweiterungen oder Client-APIs der einheitlichen Oberfläche gibt, die die Aktivierung deaktivierter Steuerelemente ermöglichen?

Das Konzept der deaktivierten Steuerelemente gehört nicht zum Power Apps-SicherheitsModell. Das Deaktivieren von Steuerelementen ist eine Erweiterung der Benutzeroberfläche. Sie sollten sich zur Gewährleistung der Sicherheit nicht auf deaktivierte Steuerelemente verlassen. Benutzen Sie stattdessen Dataverse-Steuerelemente, wie Sicherheit auf Feldebene, um unbefugte Transaktionen zu verhindern.

Welche HTTP-Sicherheitsheader werden verwendet, um Antwortdaten zu schützen?

Name des Dataflows Informationen
Strikte Transportsicherheit Dies ist für alle Antworten auf max-age=31536000; includeSubDomains gesetzt.
X-Frame-Optionen Diese ist zugunsten von CSP veraltet.
X-Inhaltstyp-Optionen Dies ist für alle Ressourcenantworten auf nosniff gesetzt.
Inhaltssicherheitsrichtlinie Dies wird festgelegt, wenn Benutzer CSP aktivieren.
X-XSS-Schutz Diese ist zugunsten von CSP veraltet.

Wo kann ich Power Platform oder Dynamics 365 Penetrationstests finden?

Die neuesten Penetrationstests und Sicherheitsbewertungen finden Sie im Microsoft Service Trust Portal.

Anmerkung

Um auf einige der Ressourcen im Service Trust Portal zuzugreifen, müssen Sie sich als authentifizierter Benutzer mit Ihrem Microsoft Cloud Services-Konto (Microsoft Entra Organisationskonto) anmelden und die Microsoft Geheimhaltungsvereinbarung für Compliance-Materialien lesen und akzeptieren.

Sicherheit in Microsoft Power Platform
Authentifizierung gegenüber Power Platform Diensten
Herstellen einer Verbindung und Authentifizierung bei Datenquellen
Datenspeicherung in Power Platform

Siehe auch