Základní úroveň zabezpečení Azure pro Power BI

Tato základní úroveň zabezpečení aplikuje pokyny z nástroje Azure Security Benchmark verze 2.0 na Power BI. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle řídicích prvků zabezpečení definovaných nástrojem Azure Security Benchmark a souvisejících pokynů platných pro Power BI.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky , které se nevztahují na Power BI, a ty, pro které se doporučují globální pokyny, byly vyloučeny doslovně. Pokud chcete zjistit, jak Power BI kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Power BI.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Power BI podporuje připojení tenanta Power BI ke koncovému bodu privátního propojení a zakázání přístupu k veřejnému internetu.

Odpovědnost: Sdílené

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Power BI je plně spravovaná nabídka SaaS a má integrovanou ochranu proti odepření služeb, kterou spravuje Microsoft. K ochraně služby před externími síťovými útoky není potřeba žádná akce.

Odpovědnost: Microsoft

NS-7: Secure Domain Name Service (DNS)

Pokyny: Nelze použít; Power BI nezpřístupňuje základní konfigurace DNS, tato nastavení spravuje Microsoft.

Odpovědnost: Microsoft

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Služba Power BI je integrovaná s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure. Ve službě Azure AD byste měli věci standardizovat, aby bylo možné řídit správu identit a přístupu vaší organizace.

Zabezpečení služby Azure AD by mělo mít vysokou prioritu v praxi cloudového zabezpečení vaší organizace. Azure AD poskytuje bezpečnostní skóre identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučeným osvědčeným postupům od Microsoftu. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity, které umožňují uživatelům bez účtu Microsoft přihlašovat se ke svým aplikacím a prostředkům se svou externí identitou.

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Power BI a Power BI Embedded podporují použití instančních objektů. Ukládejte každé přihlašovací údaje instančního objektu používané k šifrování nebo přístupu do Power BI v trezoru klíčů, přiřaďte trezoru správné zásady přístupu a pravidelně kontrolujte přístupová oprávnění.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Power BI používá Azure Active Directory (Azure AD) k zajištění správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. Patří sem podnikové identity, jako jsou zaměstnanci, i externí identity, jako jsou partneři a dodavatelé. Díky tomu je možné použít jednotné přihlašování (SSO) ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace v místním prostředí a v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Pro vložené aplikace Power BI se doporučuje implementovat nástroj Credential Scanner, abyste mohli identifikovat přihlašovací údaje v rámci vašeho kódu. Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Ukládejte všechny šifrovací klíče nebo přihlašovací údaje instančního objektu používané k šifrování nebo přístupu do Power BI v trezoru klíčů, přiřaďte trezoru správné zásady přístupu a pravidelně kontrolujte přístupová oprávnění.

V případě GitHubu můžete k identifikaci přihlašovacích údajů nebo jiné formy tajných kódů v kódu použít funkci nativního skenování tajných kódů.

Odpovědnost: Sdílené

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Aby se snížila rizika a dodržoval princip nejnižších oprávnění, doporučuje se ponechat členství správců Power BI malému počtu lidí. Uživatelé s těmito privilegovanými oprávněními by měli potenciálně přístup ke všem funkcím správy pro organizaci a jejich úpravám. Globální správci, prostřednictvím Microsoftu 365 nebo Azure Active Directory (Azure AD), implicitně mají v služba Power BI také práva správce.

Power BI má níže uvedené vysoce privilegované účty:

  • Globální správce
  • Správce fakturace
  • Správce licencí
  • Správce uživatelů
  • Správce Power BI
  • Správce kapacity Power BI Premium
  • Správce kapacity Power BI Embedded

Power BI podporuje zásady relací v Azure AD, které umožňují zásady podmíněného přístupu a směrovat relace používané v Power BI prostřednictvím služby Microsoft Defender for Cloud Apps.

Povolte privilegovaný přístup za běhu (JIT) pro účty správců Power BI pomocí správy privilegovaného přístupu v Microsoftu 365.

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Jako správce služby Power BI můžete analyzovat využití všech prostředků Power BI na úrovni tenanta pomocí vlastních sestav založených na protokolu aktivit Power BI. Tyto aktivity můžete stahovat pomocí rozhraní REST API nebo rutiny PowerShellu. Data aktivit můžete také filtrovat podle časového období, uživatele a typu aktivity.

Abyste měli přístup k protokolu aktivit Power BI, musíte splňovat tyto požadavky:

  • Musíte být buď globálním správcem, nebo správcem služby Power BI.
  • Máte místně nainstalované rutiny pro správu Power BI nebo používáte rutiny pro správu Power BI v Azure Cloud Shellu.

Po splnění těchto požadavků můžete postupovat podle pokynů níže, abyste mohli sledovat činnost uživatele v rámci Power BI:

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou nesmírně důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a obsluha nejdůležitějších služeb. Pro úlohy správy související se správou Power BI používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky (ATP) v programu Microsoft Defender a/nebo Microsoft Intune. Zabezpečené pracovní stanice se dají centrálně spravovat, aby byla vynucena zabezpečená konfigurace, včetně silného ověřování, základních úrovní softwaru a hardwaru a omezeného logického a síťového přístupu.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označení citlivých dat

Pokyny: Použití popisků citlivosti z Microsoft Purview Information Protection na sestavách, řídicích panelech, datových sadách a tocích dat k ochraně citlivého obsahu před neoprávněným přístupem k datům a únikem informací.

Použití popisků citlivosti z Microsoft Purview Information Protection ke klasifikaci a označení sestav, řídicích panelů, datových sad a toků dat v služba Power BI a k ochraně citlivého obsahu před neoprávněným přístupem k datům a únikem informací při exportu obsahu z služba Power BI do excelových, powerpointových a PDF souborů.

Odpovědnost: Zákazník

DP-2: Ochrana citlivých dat

Pokyny: Power BI se integruje s popisky citlivosti z Microsoft Purview Information Protection pro ochranu citlivých dat. Další podrobnosti najdete v popiscích citlivosti z Microsoft Purview Information Protection v Power BI.

Power BI umožňuje uživatelům služby přinést si vlastní klíč k ochraně neaktivních uložených dat. Další podrobnosti najdete v článku Funkce vlastních šifrovacích klíčů (BYOK) pro Power BI.

Zákazníci mají možnost uchovávat zdroje dat místně a využívat přímé dotazy (Direct Query) nebo Live Connect s místní bránou dat, aby cloudová služba měla volný přístup k co nejmenšímu množství dat. Další podrobnosti najdete v článku Co je místní brána dat.

Power BI podporuje zabezpečení na úrovni řádků. Další podrobnosti najdete v článku Zabezpečení na úrovni řádků (RLS) v Power BI. Mějte na paměti, že RLS lze použít i pro přímé dotazování zdrojů dat, kdy pak soubor PBIX funguje jako proxy umožňující zabezpečení.

Odpovědnost: Zákazník

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Tento ovládací prvek lze částečně dosáhnout pomocí podpory Microsoft Defender for Cloud Apps pro Power BI.

Pomocí Microsoft Defender for Cloud Apps s Power BI můžete chránit sestavy, data a služby Power BI před neúmyslným únikem nebo porušením zabezpečení. Pomocí Microsoft Defender for Cloud Apps vytvoříte zásady podmíněného přístupu pro data vaší organizace pomocí ovládacích prvků relací v reálném čase v Azure Active Directory (Azure AD), které vám pomůžou zajistit zabezpečení analýz Power BI. Jakmile tyto zásady nastavíte, můžou správci monitorovat přístup a aktivitu uživatelů, provádět v reálném čase analýzu rizika a nastavovat ovládací prvky na specifický popisek.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Zajistěte u přenosu přes protokol HTTP, aby všichni klienti a zdroje dat, které se připojují k vašim prostředkům Power BI, mohly vyjednávat TLS v1.2 nebo vyšší.

Odpovědnost: Zákazník

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Power BI šifruje neaktivní uložená data a i data v procesu. Ve výchozím nastavení Power BI používá k šifrování dat klíče spravované Microsoftem. Organizace se mohou rozhodnout používat v rámci celého Power BI (od obrázků v sestavách po naimportované datové sady v rámci kapacit Premium) k šifrování neaktivního uloženého uživatelského obsahu své vlastní klíče.

Odpovědnost: Sdílené

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Použití Microsoft Sentinelu s protokoly auditu Office Power BI k zajištění toho, aby váš bezpečnostní tým získal přehled o rizicích pro vaše prostředky Power BI.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Zajistěte, aby bezpečnostní týmy měly přístup k průběžně aktualizovanému inventáři prostředků Power BI Embedded. Bezpečnostní týmy tento inventář často potřebují k tomu, aby vyhodnotily potenciální slabá místa organizace vůči vznikajícím rizikům, a jako vstup pro průběžná vylepšování zabezpečení.

Azure Resource Graph se může dotazovat na všechny prostředky Power BI Embedded ve vašich předplatných a zjišťovat je.

Uspořádejte logicky prostředky podle taxonomie vaší organizace pomocí značek i dalších metadat v Azure (název, popis a kategorie).

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Power BI podporuje nasazení na základě Azure Resource Manageru pro Power BI Embedded a vy můžete omezit nasazení jeho prostředků prostřednictvím Azure Policy pomocí definice vlastní zásady.

Pomocí Azure Policy můžete auditovat a omezovat služby, které můžou uživatelé zřídit ve vašem prostředí. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Předávejte všechny protokoly z Power BI do svého systému SIEM (správa akcí a informací o zabezpečení), který se dá použít k nastavení vlastních detekcí hrozeb. Kromě toho pomocí ovládacích prvků Microsoft Defender for Cloud Apps v Power BI povolte detekci anomálií pomocí této příručky.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Power BI je plně spravovaná nabídka SaaS a podkladová konfigurace sítě a protokolování je zodpovědností Microsoftu. Pro zákazníky, kteří využívají privátní propojení, je k dispozici část protokolování a monitorování, které je možné nakonfigurovat.

Odpovědnost: Sdílené

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Power BI nabízí dvě možnosti, jak sledovat aktivity uživatelů: protokol aktivit Power BI a jednotný protokol auditu. Oba tyto protokoly obsahují úplnou kopii dat auditování Power BI, je mezi nimi ale několik klíčových rozdílů, které jsou shrnuté níže.

Jednotný protokol auditu:

  • Kromě událostí auditování Power BI obsahuje události ze SharePointu Online, Exchange Online, Dynamics 365 a jiných služeb.

  • Přístup mají jen uživatelé s oprávněními Protokoly auditu jen pro čtení nebo Protokoly auditu, například globální správci a auditoři.

  • Globální správci a auditoři můžou prohledávat jednotný protokol auditu pomocí portálu Microsoft 365 Defender a Portál dodržování předpisů Microsoft Purview.

  • Globální správci a auditoři mohou stahovat položky protokolu auditu pomocí rozhraní API a rutin pro správu Microsoftu 365.

  • Data auditu se uchovávají po dobu 90 dnů.

  • Data auditu se uchovávají i v případě, že se tenant přesune do jiné oblasti Azure.

Protokol aktivit Power BI:

  • Obsahuje jen události auditování Power BI.

  • Přístup mají globální správci a správci služby Power BI.

  • Zatím neexistuje žádné uživatelské rozhraní pro prohledávání protokolu aktivit.

  • Globální správci a správci služby Power BI mohou stahovat položky protokolu aktivit pomocí rozhraní Power BI REST API a rutiny pro správu.

  • Data aktivit se uchovávají po dobu 30 dnů.

  • Data aktivit nejsou uchována, když se tenant přesune do jiné oblasti Azure.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Sdílené

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Power BI centralizuje protokoly na dvou místech: protokol aktivit Power BI a jednotný protokol auditu. Oba tyto protokoly obsahují úplnou kopii dat auditování Power BI, je mezi nimi ale několik klíčových rozdílů, které jsou shrnuté níže.

Jednotný protokol auditu:

  • Kromě událostí auditování Power BI obsahuje události ze SharePointu Online, Exchange Online, Dynamics 365 a jiných služeb.

  • Přístup mají jen uživatelé s oprávněními Protokoly auditu jen pro čtení nebo Protokoly auditu, například globální správci a auditoři.

  • Globální správci a auditoři můžou prohledávat jednotný protokol auditu pomocí portálu Microsoft 365 Defender a Portál dodržování předpisů Microsoft Purview.

  • Globální správci a auditoři mohou stahovat položky protokolu auditu pomocí rozhraní API a rutin pro správu Microsoftu 365.

  • Data auditu se uchovávají po dobu 90 dnů.

  • Data auditu se uchovávají i v případě, že se tenant přesune do jiné oblasti Azure.

Protokol aktivit Power BI:

  • Obsahuje jen události auditování Power BI.

  • Přístup mají globální správci a správci služby Power BI.

  • Zatím neexistuje žádné uživatelské rozhraní pro prohledávání protokolu aktivit.

  • Globální správci a správci služby Power BI mohou stahovat položky protokolu aktivit pomocí rozhraní Power BI REST API a rutiny pro správu.

  • Data aktivit se uchovávají po dobu 30 dnů.

  • Data aktivit nejsou uchována, když se tenant přesune do jiné oblasti Azure.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Nakonfigurujte zásady uchovávání úložiště pro protokoly auditu Office podle vašich požadavků na dodržování předpisů, nařízení a obchodních požadavků.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Power BI nepodporuje konfiguraci vlastních zdrojů synchronizace času. Služba Power BI spoléhá na zdroje synchronizace času Microsoftu a nejsou vystaveny zákazníkům pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Nakonfigurujte službu Power BI s nastavením vhodným pro vaši organizaci a postoj k zabezpečení. Nastavení přístupu ke službě a obsahu a také k pracovnímu prostoru a zabezpečení aplikace byste měli pečlivě promyslet. Informace najdete v části o zabezpečení a ochraně dat v Power BI v dokumentu white paper k podnikovému nasazení Power BI.

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Monitorujte svoji instanci Power BI pomocí rozhraní REST API pro správu Power BI.

Odpovědnost: Zákazník

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Power BI je plně spravovaná nabídka SaaS, základní výpočetní prostředky služby jsou zabezpečené a spravované Microsoftem.

Odpovědnost: Microsoft

PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Power BI je plně spravovaná nabídka SaaS, základní výpočetní prostředky služby jsou zabezpečené a spravované Microsoftem.

Odpovědnost: Microsoft

PV-5: Bezpečné ukládání vlastních operačních systémů a imagí kontejnerů

Pokyny: Power BI je plně spravovaná nabídka SaaS, základní výpočetní prostředky služby jsou zabezpečené a spravované Microsoftem.

Odpovědnost: Microsoft

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Power BI je plně spravovaná nabídka SaaS, základní výpočetní prostředky služby se naskenují a spravují Microsoft.

Odpovědnost: Microsoft

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Power BI je plně spravovaná nabídka SaaS, základní výpočetní prostředky služby se naskenují a spravují Microsoft.

Odpovědnost: Microsoft

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení.

Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-1: Použití detekce a odezvy koncových bodů (EDR)

Pokyny: Power BI nenasazuje žádné výpočetní prostředky, které by vyžadovaly, aby zákazníci nakonfigurovali ochranu detekce koncových bodů a odpovědí (EDR). Základní infrastrukturu Power BI zpracovává Microsoft, která zahrnuje zpracování antimalwaru a EDR.

Odpovědnost: Microsoft

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Power BI nenasazuje žádné výpočetní prostředky, které by vyžadovaly, aby zákazníci nakonfigurovali ochranu proti malwaru. Základní infrastrukturu Power BI zpracovává Microsoft, která zahrnuje kontrolu proti malwaru.

Odpovědnost: Microsoft

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Power BI nenasazuje žádné výpočetní prostředky, které by vyžadovaly, aby zákazníci zajistili konzistentní aktualizaci podpisů proti malwaru. Základní infrastrukturu Power BI zpracovává Microsoft, která zahrnuje veškeré zpracování malwaru.

Odpovědnost: Microsoft

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Pokud používáte funkci Bring Your Own Key (BYOK) v Power BI, musíte pravidelně ověřovat, že máte přístup ke klíčům spravovaným zákazníkem a můžete je obnovit.

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Pokud v Power BI používáte funkci Bring Your Own Key (BYOK), musíte zajistit, aby byl trezor klíčů (Key Vault), který řídí vaše klíče spravované zákazníky, nakonfigurovaný podle pokynů v dokumentaci k funkci BYOK v Power BI níže. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.

U klíčových prostředků brány je nutné, abyste postupovali podle pokynů v následující dokumentaci ke klíči pro obnovení brány.

Odpovědnost: Zákazník

Další kroky