Power BI용 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0에서 Power BI에 대한 지침을 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark 및 Power BI에 적용되는 관련 지침에서 정의된 보안 컨트롤에 따라 그룹화됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Power BI에 적용할 수 없는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Power BI가 완전히 Azure Security Benchmark에 매핑되는 방법을 보려면 전체 Power BI 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-3: Azure 서비스에 대한 프라이빗 네트워크 액세스 설정

지침: Power BI는 Power BI 테넌트를 프라이빗 링크 엔드포인트에 연결하고 공용 인터넷 액세스를 비활성화하도록 지원합니다.

책임: 공유됨

NS-4: 외부의 네트워크 공격으로부터 애플리케이션 및 서비스 보호

지침: Power BI는 완전 관리형 SaaS 제품이며 Microsoft에서 관리하는 서비스 거부 보호 기능이 기본 제공되어 있습니다. 외부 네트워크 공격으로부터 서비스를 보호하기 위해 고객의 작업이 필요하지 않습니다.

책임: Microsoft

NS-7: 보안 DNS(Domain Name Service)

지침: 해당 없음; Power BI는 기본 DNS 구성을 노출하지 않으며 이러한 설정은 Microsoft에서 유지 관리합니다.

책임: Microsoft

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

지침: Power BI는 Azure의 기본 ID 및 액세스 관리 서비스인 Azure AD(Azure Active Directory)와 통합됩니다. 조직의 ID 및 액세스 관리를 관리하도록 Azure AD에서 표준화해야 합니다.

Azure AD 보안은 조직의 클라우드 보안 관행에서 높은 우선 순위에 둬야 합니다. Azure AD는 Microsoft의 모범 사례 권장 사항을 기준으로 ID 보안 태세를 평가하는 데 도움이 되는 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항에 얼마나 근접하게 일치하는지 측정하고 보안 태세를 개선할 수 있습니다.

참고: Azure AD는 Microsoft 계정이 없는 사용자가 애플리케이션 및 리소스에 로그인할 수 있게 하는 외부 ID를 지원합니다.

책임: Customer

IM-2: 애플리케이션 ID를 안전하게 자동으로 관리

지침: Power BI 및 Power BI Embedded는 서비스 주체의 사용을 지원합니다. Power BI를 암호화하거나 액세스하는 데 사용되는 서비스 주체 자격 증명을 Key Vault에 저장하고, 자격 증명 모음에 적절한 액세스 정책을 할당하고, 액세스 권한을 정기적으로 검토합니다.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

지침: Power BI는 Azure AD(Azure Active Directory)를 사용하여 Azure 리소스, 클라우드 애플리케이션, 온-프레미스 애플리케이션에 ID 및 액세스 관리를 제공합니다. 여기에는 엔터프라이즈 ID(예: 직원) 및 외부 ID(예: 파트너, 공급업체 및 공급자)가 포함됩니다. 이를 통해 SSO(Single Sign-On)가 온-프레미스 및 클라우드에서 조직의 데이터와 리소스에 대한 액세스를 관리하고 보호할 수 있습니다. 모든 사용자, 애플리케이션, 디바이스를 Azure AD에 연결하여 원활하고 안전하게 액세스하고 가시성과 제어를 강화할 수 있습니다.

책임: Customer

IM-7: 의도하지 않은 자격 증명 노출 제거

지침: Power BI Embedded 애플리케이션의 경우 코드 내에서 자격 증명을 식별하는 자격 증명 검사기를 구현하는 것이 좋습니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 더 안전한 위치(예: Azure Key Vault)로 이동하도록 추천합니다.

Power BI를 암호화하거나 액세스하는 데 사용되는 암호화 키 또는 서비스 주체 자격 증명을 Key Vault에 저장하고, 자격 증명 모음에 적절한 액세스 정책을 할당하고, 액세스 권한을 정기적으로 검토합니다.

GitHub의 경우 네이티브 암호 검색 기능을 사용하여 코드 내에서 자격 증명 또는 다른 형태의 암호를 식별할 수 있습니다.

책임: 공유됨

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-1: 권한이 높은 사용자 보호 및 제한

지침: 위험을 줄이고 최소 권한의 원칙을 따르기 위해 Power BI 관리자의 구성원을 소수의 사용자로 유지하는 것이 좋습니다. 해당 권한이 있는 사용자는 잠재적으로 조직의 모든 관리 기능에 액세스하고 수정할 수 있습니다. 전역 관리자는 Microsoft 365 또는 Azure AD(Azure Active Directory)를 통해 Power BI 서비스에 대한 관리자 권한도 암시적으로 소유합니다.

Power BI에 있는 권한이 높은 계정은 다음과 같습니다.

  • 글로벌 관리자
  • 청구 관리자
  • 라이선스 관리자
  • 사용자 관리자
  • Power BI 관리자
  • Power BI Premium 용량 관리자
  • Power BI Embedded 용량 관리자

Power BI는 Azure AD에서 세션 정책을 지원하여 조건부 액세스 정책을 사용하도록 설정하고 클라우드용 Microsoft Defender Apps 서비스를 통해 Power BI에서 사용되는 세션을 라우팅합니다.

Microsoft 365에서 권한 있는 액세스 관리를 사용하여 Power BI 관리자 계정에 대해 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정합니다.

책임: Customer

PA-3: 정기적으로 사용자 액세스 권한 검토 및 조정

지침: Power BI 서비스 관리자는 Power BI 활동 로그를 기반으로 하는 사용자 지정 보고서를 사용하여 테넌트 수준에서 모든 Power BI 리소스의 사용량을 분석할 수 있습니다. REST API 또는 PowerShell cmdlet을 사용하여 활동을 다운로드할 수 있습니다. 날짜 범위, 사용자, 활동 유형을 기준으로 활동 데이터를 필터링할 수도 있습니다.

Power BI 활동 로그에 액세스하려면 다음과 같은 요구 사항을 충족해야 합니다.

  • 전역 관리자 또는 Power BI 서비스 관리자여야 합니다.
  • Power BI 관리 cmdlet을 로컬에 설치했거나, Azure Cloud Shell에서 Power BI 관리 cmdlet을 사용해야 합니다.

위의 요구 사항이 충족되면 아래 지침에 따라 Power BI 내에서 사용자 활동을 추적할 수 있습니다.

책임: Customer

PA-6: 권한 있는 액세스 워크스테이션 사용

지침: 안전하고 격리된 워크스테이션은 관리자, 개발자 및 중요 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. Power BI 관리와 관련된 관리 작업에는 안전성이 뛰어난 사용자 워크스테이션 및/또는 Azure Bastion을 사용합니다. Azure AD(Azure Active Directory), Microsoft Defender ATP(Advanced Threat Protection) 및/또는 Microsoft Intune을 사용하여 관리 작업을 위한 관리형 보안 사용자 워크스테이션을 배포합니다. 보안 워크스테이션을 중앙에서 관리하여 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리적 액세스 및 네트워크 액세스를 비롯한 보안 구성을 적용할 수 있습니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-1: 중요한 데이터 검색, 분류 및 레이블 지정

지침: 보고서, 대시보드, 데이터 세트 및 데이터 흐름의 Microsoft Purview Information Protection 민감도 레이블을 사용하여 무단 데이터 액세스 및 누출로부터 중요한 콘텐츠를 보호합니다.

Microsoft Purview Information Protection 민감도 레이블을 사용하여 Power BI 서비스 보고서, 대시보드, 데이터 세트 및 데이터 흐름을 분류하고 레이블을 지정하고 콘텐츠를 Power BI 서비스 내보낼 때 무단 데이터 액세스 및 누출로부터 중요한 콘텐츠를 보호합니다. Excel, PowerPoint 및 PDF 파일로 연결합니다.

책임: Customer

DP-2: 중요한 데이터 보호

지침: Power BI는 중요한 데이터 보호를 위해 Microsoft Purview Information Protection 민감도 레이블과 통합됩니다. 자세한 내용은 Power BI의 Microsoft Purview Information Protection 민감도 레이블을 참조하세요.

Power BI를 통해 서비스 사용자는 미사용 데이터를 보호하기 위해 고유한 키를 가져올 수 있습니다. 자세한 내용은 Power BI의 BYOK(Bring Your Own Encryption Key)를 참조하세요.

고객은 데이터 원본을 온-프레미스에 유지하고 온-프레미스 데이터 게이트웨이에 Direct Query 또는 Live Connect를 활용하여 클라우드 서비스에 대한 데이터 노출을 최소화하는 옵션을 사용할 수 있습니다. 자세한 내용은 온-프레미스 데이터 게이트웨이란?을 참조하세요.

Power BI는 행 수준 보안을 지원합니다. 자세한 내용은 Power BI에서 RLS(행 수준 보안)를 참조하세요. PBIX 파일이 보안 설정 프록시의 역할을 하는 경우 Direct Query 데이터 원본에도 RLS를 적용할 수 있습니다.

책임: Customer

DP-3: 중요한 데이터의 무단 전송 모니터링

지침: 이 제어는 Power BI에 대한 클라우드용 Microsoft Defender Apps 지원을 사용하여 부분적으로 달성할 수 있습니다.

Power BI와 함께 클라우드용 Microsoft Defender Apps을 사용하면 의도하지 않은 누출이나 위반으로부터 Power BI 보고서, 데이터 및 서비스를 보호할 수 있습니다. 클라우드용 Microsoft Defender Apps을 사용하면 Azure AD(Azure Active Directory)의 실시간 세션 제어를 사용하여 조직 데이터에 대한 조건부 액세스 정책을 만들어 Power BI 분석을 안전하게 보호할 수 있습니다. 이러한 정책을 설정하면 관리자가 사용자 액세스 및 활동을 모니터링하고, 실시간 위험 분석을 수행하며, 레이블 관련 제어를 설정할 수 있습니다.

책임: Customer

DP-4: 전송 중인 중요한 정보 암호화

지침: HTTP 트래픽에서 Power BI 리소스에 연결되는 모든 클라이언트 및 데이터 원본은 TLS v1.2 이상을 협상할 수 있는지 확인합니다.

책임: Customer

DP-5: 중요한 미사용 데이터 암호화

지침: Power BI는 미사용 데이터 및 처리 중인 데이터를 암호화합니다. 기본적으로 Power BI는 Microsoft 관리형 키를 사용하여 데이터를 암호화합니다. 조직은 보고서 이미지에서 프리미엄 용량의 가져온 데이터 세트에 이르기까지 Power BI 전체에서 미사용 사용자 콘텐츠 암호화를 위해 자체 키를 사용하도록 선택할 수 있습니다.

책임: 공유됨

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

지침: Power BI Office 감사 로그와 함께 Microsoft Sentinel을 사용하여 보안 팀이 Power BI 자산의 위험을 파악할 수 있도록 합니다.

책임: Customer

AM-2: 보안 팀에 자산 인벤토리 및 메타데이터에 대한 액세스 권한이 있는지 확인

지침: 보안 팀이 지속적으로 업데이트되는 Power BI Embedded 리소스 인벤토리에 액세스할 수 있는지 확인합니다. 보안 팀은 새로운 위험에 대한 조직의 잠재적인 노출을 평가하기 위해, 그리고 지속적으로 보안을 향상하기 위한 입력 정보로서 이 인벤토리가 필요한 경우가 많습니다.

Azure Resource Graph는 구독에서 모든 Power BI Embedded 리소스를 쿼리하고 검색할 수 있습니다.

Azure에서 태그뿐만 아니라 다른 메타데이터(이름, 설명, 범주)도 사용하여 조직의 분류법에 따라 자산을 논리적으로 구성합니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

지침: Power BI는 Power BI Embedded에 대한 Azure Resource Manager 기반 배포를 지원합니다. 사용자 지정 정책 정의를 사용하여 Azure Policy를 통해 해당 리소스의 배포를 제한할 수 있습니다.

Azure Policy를 사용하여 환경에서 사용자가 프로비저닝할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스가 검색되면 경고를 트리거하는 규칙을 만들 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-2: Azure ID 및 액세스 관리를 위한 위협 탐지 사용

지침: Power BI의 모든 로그를 사용자 지정 위협 탐지를 설정하는 데 사용할 수 있는 SIEM으로 전달합니다. 또한 Power BI에서 클라우드용 Microsoft Defender Apps 컨트롤을 사용하여 여기에 있는 가이드에 따라 변칙 검색을 사용하도록 설정합니다.

책임: Customer

LT-3: Azure 네트워크 활동에 대한 로깅 사용

지침: Power BI는 완전 관리형 SaaS 제품이며 기본 네트워크 구성 및 로깅은 Microsoft의 책임입니다. Private Link를 활용하는 고객의 경우 일부 로깅 및 모니터링을 구성할 수 있습니다.

책임: 공유됨

LT-4: Azure 리소스에 대한 로깅 사용

지침: Power BI에는 사용자 활동을 추적하는 두 가지 옵션인 Power BI 활동 로그 및 통합 감사 로그가 있습니다. 두 로그에는 모두 Power BI 감사 데이터의 전체 복사본이 포함되지만, 다음에 요약된 것처럼 몇 가지 주요 차이점이 있습니다.

통합 감사 로그:

  • Power BI 감사 이벤트 외에도 SharePoint Online, Exchange Online, Dynamics 365 및 기타 서비스의 이벤트를 포함합니다.

  • 전역 관리자 및 감사자와 같이 보기 전용 감사 로그 또는 감사 로그 사용 권한이 있는 사용자만 액세스할 수 있습니다.

  • 전역 관리자 및 감사자가 Microsoft 365 Defender 포털 및 Microsoft Purview 규정 준수 포털 사용하여 통합 감사 로그를 검색할 수 있습니다.

  • 전역 관리자 및 감사자는 Microsoft 365 관리 API 및 cmdlet을 사용하여 감사 로그 항목을 다운로드할 수 있습니다.

  • 90일간 감사 데이터를 유지합니다.

  • 테넌트가 다른 Azure 지역으로 이동하더라도 감사 데이터를 유지합니다.

Power BI 활동 로그:

  • Power BI 감사 이벤트만 포함합니다.

  • 전역 관리자 및 Power BI 서비스 관리자가 액세스할 수 있습니다.

  • 활동 로그를 검색하기 위한 사용자 인터페이스는 아직 없습니다.

  • 전역 관리자 및 Power BI 서비스 관리자는 Power BI REST API 및 관리 cmdlet을 사용하여 활동 로그 항목을 다운로드할 수 있습니다.

  • 30일간 활동 데이터를 유지합니다.

  • 테넌트가 다른 Azure 지역으로 이동하면 활동 데이터를 보존하지 않습니다.

자세한 내용은 다음 참조 문서를 참조하세요.

책임: 공유됨

LT-5: 보안 로그 관리 및 분석 중앙 집중화

지침: Power BI는 Power BI 활동 로그와 통합 감사 로그의 두 위치에 로그를 중앙 집중화합니다. 두 로그에는 모두 Power BI 감사 데이터의 전체 복사본이 포함되지만, 다음에 요약된 것처럼 몇 가지 주요 차이점이 있습니다.

통합 감사 로그:

  • Power BI 감사 이벤트 외에도 SharePoint Online, Exchange Online, Dynamics 365 및 기타 서비스의 이벤트를 포함합니다.

  • 전역 관리자 및 감사자와 같이 보기 전용 감사 로그 또는 감사 로그 사용 권한이 있는 사용자만 액세스할 수 있습니다.

  • 전역 관리자 및 감사자가 Microsoft 365 Defender 포털 및 Microsoft Purview 규정 준수 포털 사용하여 통합 감사 로그를 검색할 수 있습니다.

  • 전역 관리자 및 감사자는 Microsoft 365 관리 API 및 cmdlet을 사용하여 감사 로그 항목을 다운로드할 수 있습니다.

  • 90일간 감사 데이터를 유지합니다.

  • 테넌트가 다른 Azure 지역으로 이동하더라도 감사 데이터를 유지합니다.

Power BI 활동 로그:

  • Power BI 감사 이벤트만 포함합니다.

  • 전역 관리자 및 Power BI 서비스 관리자가 액세스할 수 있습니다.

  • 활동 로그를 검색하기 위한 사용자 인터페이스는 아직 없습니다.

  • 전역 관리자 및 Power BI 서비스 관리자는 Power BI REST API 및 관리 cmdlet을 사용하여 활동 로그 항목을 다운로드할 수 있습니다.

  • 30일간 활동 데이터를 유지합니다.

  • 테넌트가 다른 Azure 지역으로 이동하면 활동 데이터를 보존하지 않습니다.

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

LT-6: 로그 스토리지 보존 구성

지침: 규정 준수, 규정 및 비즈니스 요구 사항에 따라 Office 감사 로그의 스토리지 보존 정책을 구성합니다.

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

지침: Power BI는 자체 시간 동기화 원본 구성을 지원하지 않습니다. Power BI 서비스는 Microsoft 시간 동기화 원본에 의존하며 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

지침: 조직과 보안 태세에 적절한 설정으로 Power BI 서비스를 구성합니다. 서비스, 콘텐츠에 대한 액세스와 작업 영역 및 앱 보안에 대한 설정은 신중하게 고려해야 합니다. Power BI 엔터프라이즈 배포 백서에서 Power BI 보안 및 데이터 보호를 참조하세요.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

지침: Power BI Admin REST API를 사용하여 Power BI 인스턴스를 모니터링합니다.

책임: Customer

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 보호하고 관리합니다.

책임: Microsoft

PV-4: 컴퓨팅 리소스에 대한 보안 구성 유지

지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 보호하고 관리합니다.

책임: Microsoft

PV 5: 사용자 지정 운영 체제 및 컨테이너 이미지를 안전하게 저장

지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 보호하고 관리합니다.

책임: Microsoft

PV-6: 소프트웨어 취약성 평가 수행

지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 검사하고 관리합니다.

책임: Microsoft

PV-7: 자동으로 신속하게 소프트웨어 취약성 수정

지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 검사하고 관리합니다.

책임: Microsoft

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정해야 합니다.

Microsoft Cloud 침투 테스트 시행 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: 공유됨

엔드포인트 보안

자세한 내용은 Azure Security Benchmark: 엔드포인트 보안을 참조하세요.

ES-1: EDR(엔드포인트 검색 및 응답) 사용

지침: Power BI는 고객이 EDR(엔드포인트 감지 및 응답) 보호를 구성해야 하는 고객 대면 컴퓨팅 리소스를 배포하지 않습니다. Power BI의 기본 인프라는 맬웨어 방지 및 EDR 처리를 포함하여 Microsoft에서 처리합니다.

책임: Microsoft

ES-2: 중앙 관리형 최신 맬웨어 방지 소프트웨어 사용

지침: Power BI는 고객이 맬웨어 방지 보호를 구성해야 하는 고객 대면 컴퓨팅 리소스를 배포하지 않습니다. Power BI의 기본 인프라는 맬웨어 방지 검사를 포함하여 Microsoft에서 처리합니다.

책임: Microsoft

ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되는지 확인

지침: Power BI는 고객이 맬웨어 방지 서명을 일관되게 업데이트해야 하는 고객 대면 컴퓨팅 리소스를 배포하지 않습니다. Power BI의 기본 인프라는 모든 맬웨어 방지 처리를 포함하는 Microsoft에서 처리합니다.

책임: Microsoft

백업 및 복구

자세한 내용은 Azure Security Benchmark: 백업 및 복구를 참조하세요.

BR-3: 고객 관리형 키를 비롯한 모든 백업 유효성 검사

지침: Power BI에서 BYOK(Bring Your Own Key) 기능을 사용하는 경우 고객 관리형 키에 액세스하고 복원할 수 있는지 주기적으로 확인해야 합니다.

책임: Customer

BR-4: 분실한 키의 위험 완화

지침: Power BI에서 BYOK(Bring Your Own Key) 기능을 사용하는 경우 고객 관리형 키를 제어하는 Key Vault가 아래에 나온 Power BI의 BYOK 설명서 지침에 따라 구성되었는지 확인해야 합니다. Azure Key Vault에서 일시 삭제 및 제거 보호를 사용하도록 설정하여 실수로 또는 악의적으로 삭제되지 않도록 키를 보호합니다.

게이트웨이 키 리소스의 경우 아래의 게이트웨이 복구 키 설명서에 나온 지침을 수행하고 있는지 확인합니다.

책임: Customer

다음 단계