Lompati ke konten utama Browser ini sudah tidak didukung. Show
Mutakhirkan ke Microsoft Edge untuk memanfaatkan fitur, pembaruan keamanan, dan dukungan teknis terkini. Power Platform FAQ keamanan
Dalam artikel iniPertanyaan umum tentang Power Platform keamanan terbagi dalam dua kategori:
Untuk memudahkan Anda menemukan informasi terbaru, pertanyaan baru ditambahkan di akhir artikel ini. 10 risiko teratas OWASP: Mitigasi dalam Power PlatformOpen Web Application Security Project® (OWASP) adalah yayasan nirlaba yang bekerja untuk meningkatkan keamanan perangkat lunak. Melalui proyek perangkat lunak sumber terbuka yang dipimpin komunitas, ratusan bab di seluruh dunia, puluhan ribu anggota, dan konferensi pendidikan dan pelatihan terkemuka, OWASP Foundation adalah sumber bagi pengembang dan teknolog untuk mengamankan web. 10 teratas OWASP adalah dokumen kesadaran standar untuk pengembang dan orang lain yang tertarik dengan keamanan aplikasi web. Ini mewakili konsensus luas tentang risiko keamanan paling kritis terhadap aplikasi web. Di bagian ini, kita akan membahas bagaimana Power Platform membantu mengurangi risiko ini. A01:2021 Kontrol Akses Rusak
A02:2021 Kegagalan Kriptografi Data saat transit:
Data tidak aktif:
A03: 2021 Injeksi Power Platform menggunakan praktik terbaik standar industri untuk mencegah serangan injeksi, termasuk:
A04: 2021 Desain Tidak Aman
A05:2021 Kesalahan Konfigurasi Keamanan
A06:2021 Komponen rentan dan ketinggalan zaman
A07:2021 Identifikasi dan Kegagalan Otentikasi
A08:2021 Kegagalan Integritas Perangkat Lunak dan Data
Pertanyaan keamanan umum dari pelangganBerikut ini adalah beberapa pertanyaan keamanan yang diajukan pelanggan kami. Power Platform Bagaimana cara membantu melindungi dari clickjacking?Clickjacking menggunakan iframe yang disematkan, di antara komponen lainnya, untuk membajak interaksi pengguna dengan halaman web. Ini adalah ancaman yang signifikan untuk halaman masuk pada khususnya. Power Platform mencegah penggunaan iframe pada halaman masuk, secara signifikan mengurangi risiko clickjacking. Selain itu, organisasi dapat menggunakan Kebijakan Keamanan Konten (CSP) untuk membatasi penyematan ke domain tepercaya. Apakah Power Platform mendukung Kebijakan Keamanan Konten?Power Platform mendukung Kebijakan keamanan konten (CSP) untuk aplikasi berbasis model. Kami tidak mendukung header berikut yang digantikan oleh CSP:
Bagaimana kita bisa terhubung ke SQL Server dengan aman?Lihat Menggunakan Microsoft SQL Server dengan aman dengan Power Apps. Sandi apa yang didukung oleh Power Platform? Apa peta jalan untuk terus bergerak menuju sandi yang lebih kuat?Semua layanan dan produk Microsoft dikonfigurasi untuk menggunakan suite cipher yang disetujui, dalam urutan yang tepat yang diarahkan oleh Microsoft Crypto Board. Untuk daftar lengkap dan urutan yang tepat, lihat Power Platform dokumentasi. Informasi tentang penghentian cipher suite dikomunikasikan melalui Power Platform dokumentasi Perubahan Penting. Power Platform Mengapa masih mendukung sandi RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) dan TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), yang dianggap lebih lemah?Microsoft mempertimbangkan risiko relatif dan gangguan pada operasi pelanggan dalam memilih cipher suite untuk didukung. Suite sandi RSA-CBC belum rusak. Kami telah memungkinkan mereka untuk memastikan konsistensi di seluruh layanan dan produk kami, dan untuk mendukung semua konfigurasi pelanggan. Namun, mereka berada di bagian bawah daftar prioritas. Kami akan menghentikan cipher ini pada waktu yang tepat, berdasarkan penilaian berkelanjutan Microsoft Crypto Board. Power Automate Mengapa mengekspos hash konten MD5 dalam input dan output pemicu/tindakan?Power Automate meneruskan nilai hash content-MD5 opsional yang dikembalikan oleh Azure Storage apa adanya kepada kliennya. Hash ini digunakan oleh Azure Storage untuk memverifikasi integritas halaman selama transportasi sebagai algoritma checksum dan tidak digunakan sebagai fungsi hash kriptografi untuk tujuan keamanan di Power Automate. Anda dapat menemukan detail selengkapnya tentang ini di dokumentasi Azure Storage tentang cara Mendapatkan Properti Blob dan cara bekerja dengan Header Permintaan. Bagaimana cara Power Platform melindungi dari serangan Distributed Denial of Service (DDoS)?Power Platform dibangun di atas Microsoft Azure dan menggunakan Azure DDoS Protection untuk menjaga dari serangan DDoS. Apakah Power Platform mendeteksi perangkat iOS yang di-jailbreak dan perangkat yang di-rooting Android untuk membantu melindungi data organisasi?Kami menyarankan Anda menggunakan Microsoft Intune. Intune adalah solusi manajemen perangkat seluler. Ini dapat membantu melindungi data organisasi dengan mengharuskan pengguna dan perangkat untuk memenuhi persyaratan tertentu. Untuk informasi selengkapnya, lihat Pengaturan kebijakan kepatuhan Intune. Mengapa cookie sesi dicakup ke domain induk?Power Platform cakupan cookie sesi ke domain induk untuk memungkinkan autentikasi di seluruh organisasi. Subdomain tidak digunakan sebagai batas keamanan. Mereka juga tidak meng-host konten pelanggan. Bagaimana kita bisa mengatur sesi aplikasi ke waktu habis setelah, katakanlah, 15 menit?Power Platform penggunaan Azure AD untuk manajemen identitas dan akses. Ini mengikuti Azure AD konfigurasi manajemen sesi yang direkomendasikan untuk pengalaman pengguna yang optimal. Namun, Anda dapat menyesuaikan lingkungan untuk memiliki sesi eksplisit dan/atau batas waktu aktivitas. Untuk informasi selengkapnya, lihat Sesi pengguna dan manajemen akses. Dengan Power Platform implementasi Azure AD Evaluasi Akses Berkelanjutan yang akan datang, identifikasi dan otentikasi pengguna akan menjadi lebih aman dan andal. Aplikasi ini memungkinkan pengguna yang sama untuk mengakses dari lebih dari satu mesin atau browser secara bersamaan. Bagaimana kita bisa mencegahnya?Mengakses aplikasi dari lebih dari satu perangkat atau browser secara bersamaan adalah kenyamanan bagi pengguna. Power Platform Implementasi Azure AD Evaluasi Akses Berkelanjutan yang akan datang akan membantu memastikan bahwa akses berasal dari perangkat dan browser resmi dan masih valid. Mengapa beberapa Power Platform layanan mengekspos header server dengan informasi verbose?Power Platform layanan telah bekerja untuk menghapus informasi yang tidak perlu di header server. Tujuannya adalah untuk menyeimbangkan tingkat detail dengan risiko mengekspos informasi yang dapat melemahkan postur keamanan secara keseluruhan. Bagaimana kerentanan Log4j berdampak Power Platform? Apa yang harus dilakukan pelanggan dalam hal ini?Microsoft telah menilai bahwa tidak ada dampak kerentanan Power Platform Log4j. Lihat posting blog kami tentang mencegah, mendeteksi, dan berburu eksploitasi kerentanan Log4j. Bagaimana kami dapat memastikan tidak ada transaksi yang tidak sah karena ekstensi browser atau Antarmuka Terpadu API Klien yang memungkinkan kontrol yang dinonaktifkan diaktifkan?Model Power Apps keamanan tidak menyertakan konsep kontrol yang dinonaktifkan. Menonaktifkan kontrol adalah peningkatan UI. Anda tidak boleh mengandalkan kontrol yang dinonaktifkan untuk memberikan keamanan. Sebagai gantinya, gunakan Dataverse kontrol seperti keamanan tingkat bidang untuk mencegah transaksi yang tidak sah. Artikel terkaitKeamanan dalam Microsoft Power Platform Lihat juga
Saran dan KomentarKirim dan lihat umpan balik untuk |