10 kerentanan teratas yang dieksploitasi secara rutin 2022

Lompati ke konten utama

Browser ini sudah tidak didukung.

Mutakhirkan ke Microsoft Edge untuk memanfaatkan fitur, pembaruan keamanan, dan dukungan teknis terkini.

Power Platform FAQ keamanan

• Artikel
• 10/04/2022
• 7 menit untuk membaca

Dalam artikel ini

Pertanyaan umum tentang Power Platform keamanan terbagi dalam dua kategori:

• Bagaimana Power Platform telah dirancang untuk membantu mengurangi 10 risiko Open Web Application Security Project® (OWASP) teratas

• Pertanyaan yang diajukan pelanggan kami

Untuk memudahkan Anda menemukan informasi terbaru, pertanyaan baru ditambahkan di akhir artikel ini.

10 risiko teratas OWASP: Mitigasi dalam Power Platform

Open Web Application Security Project® (OWASP) adalah yayasan nirlaba yang bekerja untuk meningkatkan keamanan perangkat lunak. Melalui proyek perangkat lunak sumber terbuka yang dipimpin komunitas, ratusan bab di seluruh dunia, puluhan ribu anggota, dan konferensi pendidikan dan pelatihan terkemuka, OWASP Foundation adalah sumber bagi pengembang dan teknolog untuk mengamankan web.

10 teratas OWASP adalah dokumen kesadaran standar untuk pengembang dan orang lain yang tertarik dengan keamanan aplikasi web. Ini mewakili konsensus luas tentang risiko keamanan paling kritis terhadap aplikasi web. Di bagian ini, kita akan membahas bagaimana Power Platform membantu mengurangi risiko ini.

A01:2021 Kontrol Akses Rusak

• Model Power Platform keamanan dibangun di atas Least Privileged Access (LPA). LPA memungkinkan pelanggan untuk membangun aplikasi dengan kontrol akses yang lebih terperinci.
• Power Platform menggunakan Azure Active Directory(Azure AD) Microsoft Identity Platform untuk otorisasi semua panggilan API dengan protokol OAuth 2.0 standar industri.
• Dataverse, yang menyediakan data yang mendasarinya untuk Power Platform, memiliki model keamanan yang kaya yang mencakup tingkat lingkungan, berbasis peran, dan keamanan tingkat catatan dan lapangan.

A02:2021 Kegagalan Kriptografi

Data saat transit:

• Power Platform menggunakan TLS untuk mengenkripsi semua lalu lintas jaringan berbasis HTTP. Ini menggunakan mekanisme lain untuk mengenkripsi lalu lintas jaringan non-HTTP yang berisi data pelanggan atau rahasia.
• Power Platform menggunakan konfigurasi TLS yang diperkuat yang memungkinkan HTTP Strict Transport Security (HSTS):
  • TLS 1.2 atau lebih tinggi
  • Suite cipher berbasis ECDHE dan kurva NIST
  • Kunci yang kuat

Data tidak aktif:

• Semua data pelanggan dienkripsi sebelum ditulis ke media penyimpanan non-volatil.

A03: 2021 Injeksi

Power Platform menggunakan praktik terbaik standar industri untuk mencegah serangan injeksi, termasuk:

• Menggunakan API aman dengan antarmuka berparameter
• Menerapkan kemampuan kerangka kerja front-end yang terus berkembang untuk membersihkan input
• Membersihkan output dengan validasi sisi server
• Menggunakan alat analisis statis selama waktu pembuatan
• Meninjau Model Ancaman dari setiap layanan setiap enam bulan apakah kode, desain, atau infrastruktur telah diperbarui atau tidak

A04: 2021 Desain Tidak Aman

• Power Platform dibangun di atas budaya dan metodologi desain yang aman. Budaya dan metodologi terus-menerus diperkuat melalui praktik Security Development Lifecycle (SDL) dan Threat Modeling Microsoft yang terkemuka di industri.
• Proses peninjauan Pemodelan Ancaman memastikan bahwa ancaman diidentifikasi selama fase desain, dikurangi, dan divalidasi untuk memastikan ancaman tersebut telah dimitigasi.
• Pemodelan Ancaman juga memperhitungkan semua perubahan pada layanan yang sudah ditayangkan melalui peninjauan rutin yang berkelanjutan. Mengandalkan model STRIDE membantu mengatasi masalah paling umum dengan desain yang tidak aman.
• SDL Microsoft setara dengan Model Kematangan Jaminan Perangkat Lunak OWASP (SAMM). Keduanya dibangun di atas premis bahwa desain aman merupakan bagian integral dari keamanan aplikasi web.

A05:2021 Kesalahan Konfigurasi Keamanan

• "Default Deny" adalah salah satu dasar dari Power Platform prinsip-prinsip desain. Dengan "Default Deny", pelanggan perlu meninjau dan ikut serta dalam fitur dan konfigurasi baru.
• Setiap kesalahan konfigurasi selama waktu pembuatan ditangkap oleh analisis keamanan terintegrasi menggunakan Secure Development Tools.
• Selain itu, Power Platform menjalani Dynamic Analysis Security Testing (DAST) menggunakan layanan internal yang dibangun di atas risiko OWASP Top 10.

A06:2021 Komponen rentan dan ketinggalan zaman

• Power Platform mengikuti praktik SDL Microsoft untuk mengelola komponen sumber terbuka dan pihak ketiga. Praktik-praktik ini termasuk memelihara inventaris lengkap, melakukan analisis keamanan, menjaga komponen tetap up-to-date, dan menyelaraskan komponen dengan proses respons insiden keamanan yang telah dicoba dan diuji.
• Dalam kasus yang jarang terjadi, beberapa aplikasi mungkin berisi salinan komponen yang sudah ketinggalan zaman karena dependensi eksternal. Namun, setelah dependensi tersebut ditangani sesuai dengan praktik yang diuraikan sebelumnya, komponen dilacak dan diperbarui.

A07:2021 Identifikasi dan Kegagalan Otentikasi

• Power Platform dibangun di atas dan tergantung pada Azure AD untuk identifikasi dan otentikasi.
• Azure AD membantu Power Platform mengaktifkan fitur yang aman. Fitur-fitur ini termasuk akses menyeluruh, autentikasi multifaktor, dan satu platform untuk terlibat dengan pengguna internal dan eksternal dengan lebih aman.
• Dengan Power Platform implementasi Azure AD Continuous Access Evaluation (CAE) yang akan datang, identifikasi dan otentikasi pengguna akan menjadi lebih aman dan andal.

A08:2021 Kegagalan Integritas Perangkat Lunak dan Data

• Power Platform Proses Tata Kelola Komponen memberlakukan konfigurasi aman file sumber paket untuk menjaga integritas perangkat lunak.
• Proses ini memastikan bahwa hanya paket yang bersumber secara internal yang dilayani untuk mengatasi serangan substitusi. Serangan substitusi, juga dikenal sebagai kebingungan ketergantungan, adalah teknik yang dapat digunakan untuk meracuni proses pembuatan aplikasi di dalam lingkungan perusahaan yang aman.
• Semua data terenkripsi memiliki perlindungan integritas yang diterapkan sebelum dikirimkan. Semua metadata perlindungan integritas yang ada untuk data terenkripsi yang masuk divalidasi.

Pertanyaan keamanan umum dari pelanggan

Berikut ini adalah beberapa pertanyaan keamanan yang diajukan pelanggan kami.

Power Platform Bagaimana cara membantu melindungi dari clickjacking?

Clickjacking menggunakan iframe yang disematkan, di antara komponen lainnya, untuk membajak interaksi pengguna dengan halaman web. Ini adalah ancaman yang signifikan untuk halaman masuk pada khususnya. Power Platform mencegah penggunaan iframe pada halaman masuk, secara signifikan mengurangi risiko clickjacking.

Selain itu, organisasi dapat menggunakan Kebijakan Keamanan Konten (CSP) untuk membatasi penyematan ke domain tepercaya.

Apakah Power Platform mendukung Kebijakan Keamanan Konten?

Power Platform mendukung Kebijakan keamanan konten (CSP) untuk aplikasi berbasis model. Kami tidak mendukung header berikut yang digantikan oleh CSP:

• X-XSS-Protection
• X-Frame-Options

Bagaimana kita bisa terhubung ke SQL Server dengan aman?

Lihat Menggunakan Microsoft SQL Server dengan aman dengan Power Apps.

Sandi apa yang didukung oleh Power Platform? Apa peta jalan untuk terus bergerak menuju sandi yang lebih kuat?

Semua layanan dan produk Microsoft dikonfigurasi untuk menggunakan suite cipher yang disetujui, dalam urutan yang tepat yang diarahkan oleh Microsoft Crypto Board. Untuk daftar lengkap dan urutan yang tepat, lihat Power Platform dokumentasi.

Informasi tentang penghentian cipher suite dikomunikasikan melalui Power Platform dokumentasi Perubahan Penting.

Power Platform Mengapa masih mendukung sandi RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) dan TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), yang dianggap lebih lemah?

Microsoft mempertimbangkan risiko relatif dan gangguan pada operasi pelanggan dalam memilih cipher suite untuk didukung. Suite sandi RSA-CBC belum rusak. Kami telah memungkinkan mereka untuk memastikan konsistensi di seluruh layanan dan produk kami, dan untuk mendukung semua konfigurasi pelanggan. Namun, mereka berada di bagian bawah daftar prioritas.

Kami akan menghentikan cipher ini pada waktu yang tepat, berdasarkan penilaian berkelanjutan Microsoft Crypto Board.

Power Automate Mengapa mengekspos hash konten MD5 dalam input dan output pemicu/tindakan?

Power Automate meneruskan nilai hash content-MD5 opsional yang dikembalikan oleh Azure Storage apa adanya kepada kliennya. Hash ini digunakan oleh Azure Storage untuk memverifikasi integritas halaman selama transportasi sebagai algoritma checksum dan tidak digunakan sebagai fungsi hash kriptografi untuk tujuan keamanan di Power Automate. Anda dapat menemukan detail selengkapnya tentang ini di dokumentasi Azure Storage tentang cara Mendapatkan Properti Blob dan cara bekerja dengan Header Permintaan.

Bagaimana cara Power Platform melindungi dari serangan Distributed Denial of Service (DDoS)?

Power Platform dibangun di atas Microsoft Azure dan menggunakan Azure DDoS Protection untuk menjaga dari serangan DDoS.

Apakah Power Platform mendeteksi perangkat iOS yang di-jailbreak dan perangkat yang di-rooting Android untuk membantu melindungi data organisasi?

Kami menyarankan Anda menggunakan Microsoft Intune. Intune adalah solusi manajemen perangkat seluler. Ini dapat membantu melindungi data organisasi dengan mengharuskan pengguna dan perangkat untuk memenuhi persyaratan tertentu. Untuk informasi selengkapnya, lihat Pengaturan kebijakan kepatuhan Intune.

Mengapa cookie sesi dicakup ke domain induk?

Power Platform cakupan cookie sesi ke domain induk untuk memungkinkan autentikasi di seluruh organisasi. Subdomain tidak digunakan sebagai batas keamanan. Mereka juga tidak meng-host konten pelanggan.

Bagaimana kita bisa mengatur sesi aplikasi ke waktu habis setelah, katakanlah, 15 menit?

Power Platform penggunaan Azure AD untuk manajemen identitas dan akses. Ini mengikuti Azure AD konfigurasi manajemen sesi yang direkomendasikan untuk pengalaman pengguna yang optimal.

Namun, Anda dapat menyesuaikan lingkungan untuk memiliki sesi eksplisit dan/atau batas waktu aktivitas. Untuk informasi selengkapnya, lihat Sesi pengguna dan manajemen akses.

Dengan Power Platform implementasi Azure AD Evaluasi Akses Berkelanjutan yang akan datang, identifikasi dan otentikasi pengguna akan menjadi lebih aman dan andal.

Aplikasi ini memungkinkan pengguna yang sama untuk mengakses dari lebih dari satu mesin atau browser secara bersamaan. Bagaimana kita bisa mencegahnya?

Mengakses aplikasi dari lebih dari satu perangkat atau browser secara bersamaan adalah kenyamanan bagi pengguna. Power Platform Implementasi Azure AD Evaluasi Akses Berkelanjutan yang akan datang akan membantu memastikan bahwa akses berasal dari perangkat dan browser resmi dan masih valid.

Mengapa beberapa Power Platform layanan mengekspos header server dengan informasi verbose?

Power Platform layanan telah bekerja untuk menghapus informasi yang tidak perlu di header server. Tujuannya adalah untuk menyeimbangkan tingkat detail dengan risiko mengekspos informasi yang dapat melemahkan postur keamanan secara keseluruhan.

Bagaimana kerentanan Log4j berdampak Power Platform? Apa yang harus dilakukan pelanggan dalam hal ini?

Microsoft telah menilai bahwa tidak ada dampak kerentanan Power Platform Log4j. Lihat posting blog kami tentang mencegah, mendeteksi, dan berburu eksploitasi kerentanan Log4j.

Bagaimana kami dapat memastikan tidak ada transaksi yang tidak sah karena ekstensi browser atau Antarmuka Terpadu API Klien yang memungkinkan kontrol yang dinonaktifkan diaktifkan?

Model Power Apps keamanan tidak menyertakan konsep kontrol yang dinonaktifkan. Menonaktifkan kontrol adalah peningkatan UI. Anda tidak boleh mengandalkan kontrol yang dinonaktifkan untuk memberikan keamanan. Sebagai gantinya, gunakan Dataverse kontrol seperti keamanan tingkat bidang untuk mencegah transaksi yang tidak sah.

Artikel terkait

Keamanan dalam Microsoft Power Platform
Mengautentikasi ke Power Platform layanan
Menyambungkan dan mengautentikasi ke sumber data
Penyimpanan data di Power Platform

Lihat juga

• Platform Identitas Microsoft
• Siklus Hidup Pengembangan Keamanan
• Pemodelan Ancaman
• Azure AD Evaluasi Akses Berkelanjutan
• Kebijakan Keamanan Konten
• Perlindungan Azure DDoS
• Pengaturan kebijakan kepatuhan Intune