Punkt odniesienia zabezpieczeń platformy Azure dla usługi Power BI

Ten punkt odniesienia zabezpieczeń stosuje wskazówki dotyczące testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Power BI. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Power BI.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić pomiar zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Power BI, a te, dla których zalecenia dotyczące globalnego wytycznych są zalecane, zostały wykluczone. Aby zobaczyć, jak usługa Power BI całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Power BI.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówka: Usługa Power BI obsługuje łączenie dzierżawy usługi Power BI z prywatnym punktem końcowym linku i wyłączanie publicznego dostępu do Internetu.

• Prywatne linki do uzyskiwania dostępu do usługi Power BI

Odpowiedzialność: Współużytkowane

NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej

Wskazówka: Usługa Power BI jest w pełni zarządzaną ofertą SaaS i ma wbudowaną ochronę przed odmową usługi, którą zarządza firma Microsoft. Klienci nie muszą podejmować żadnych działań w celu ochrony usługi przed atakami w sieci zewnętrznej.

Odpowiedzialność: Microsoft

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: Nie dotyczy; Usługa Power BI nie uwidacznia podstawowych konfiguracji DNS. Te ustawienia są obsługiwane przez firmę Microsoft.

Odpowiedzialność: Microsoft

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówka: Usługa Power BI jest zintegrowana z usługą Azure Active Directory (Azure AD), która jest domyślną usługą zarządzania tożsamościami i dostępem platformy Azure. Należy przeprowadzić standaryzację w usłudze Azure AD, aby zarządzać tożsamościami i dostępem w organizacji.

Zabezpieczanie usługi Azure AD powinno mieć wysoki priorytet w zakresie zabezpieczeń w chmurze w organizacji. Usługa Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który pomaga ocenić stan zabezpieczeń tożsamości w porównaniu z zaleceniami dotyczącymi najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Uwaga: Usługa Azure AD obsługuje tożsamości zewnętrzne, które umożliwiają użytkownikom bez konta Microsoft logowanie się do aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

• Dzierżawa w usłudze Azure AD

• Jak utworzyć i skonfigurować wystąpienie usługi Azure AD

• Używanie zewnętrznych dostawców tożsamości w aplikacji

• Co to jest wskaźnik bezpieczeństwa tożsamości w usłudze Azure AD

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówka: Usługi Power BI i Power BI Embedded obsługują korzystanie z jednostek usługi. Przechowuj wszystkie poświadczenia jednostki usługi używane do szyfrowania lub na potrzeby dostępu do usługi Power BI w magazynie kluczy, przypisuj odpowiednie zasady dostępu do magazynu i regularnie przeglądaj uprawnienia dostępu.

• Automatyzacja zadań dotyczących obszarów roboczych i zestawów danych w warstwie Premium przy użyciu jednostek usługi

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: usługa Power BI używa usługi Azure Active Directory (Azure AD) do zapewnienia zarządzania tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Obejmuje to tożsamości przedsiębiorstwa, takie jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy. Umożliwia to logowanie jednokrotne w celu zarządzania i bezpiecznego dostępu do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia z usługą Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu, lepszego wglądu i większej kontroli.

• Informacje na temat logowania jednokrotnego aplikacji za pomocą usługi Azure AD

Odpowiedzialność: Klient

IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówka: W przypadku aplikacji osadzonych usługi Power BI zaleca się zaimplementowanie skanera poświadczeń w celu identyfikowania poświadczeń w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Przechowuj wszystkie klucze szyfrowania i poświadczenia jednostki usługi używane do szyfrowania lub na potrzeby dostępu do usługi Power BI w magazynie kluczy, przypisuj odpowiednie zasady dostępu do magazynu i regularnie przeglądaj uprawnienia dostępu.

W usłudze GitHub można używać funkcji skanowania natywnego wpisu tajnego do identyfikowania poświadczeń lub innej formy wpisów tajnych w kodzie.

• Korzystanie z własnych kluczy szyfrowania na potrzeby usługi Power BI

• Jak skonfigurować skaner poświadczeń

• Skanowanie wpisów tajnych usługi GitHub

Odpowiedzialność: Współużytkowane

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówka: Aby zmniejszyć ryzyko i przestrzegać zasad najniższych uprawnień, zaleca się utrzymanie członkostwa administratorów usługi Power BI w niewielkiej liczbie osób. Użytkownicy z tymi uprawnieniami uprzywilejowanymi mogą potencjalnie uzyskać dostęp do wszystkich funkcji zarządzania w organizacji i je modyfikować. Administratorzy globalni, za pośrednictwem platformy Microsoft 365 lub usługi Azure Active Directory (Azure AD), niejawnie posiadają uprawnienia administratora w usługa Power BI.

Usługa Power BI ma poniżej konta o wysokim poziomie uprawnień:

• Administrator globalny
• Administrator rozliczeń
• Administrator licencji
• Administrator użytkowników
• Administrator usługi Power BI
• Administrator pojemności usługi Power BI Premium
• Administrator pojemności usługi Power BI Embedded

Usługa Power BI obsługuje zasady sesji w Azure AD w celu włączenia zasad dostępu warunkowego i trasowania sesji używanych w usłudze Power BI za pośrednictwem usługi Microsoft Defender for Cloud Apps.

Włącz dostęp uprzywilejowany just in time (JIT) dla kont administratorów usługi Power BI przy użyciu funkcji zarządzania dostępem uprzywilejowanym na platformie Microsoft 365.

• Role administratora powiązane z usługą Power BI

• Zarządzanie dostępem uprzywilejowanym

• kontrolki Microsoft Defender for Cloud Apps w usłudze Power BI

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówka: Jako administrator usługi Power BI możesz analizować użycie dla wszystkich zasobów usługi Power BI na poziomie dzierżawy, korzystając z raportów niestandardowych utworzonych na podstawie dziennika aktywności usługi Power BI. Możesz pobrać aktywności, korzystając z interfejsu API REST lub polecenia cmdlet programu PowerShell. Możesz również filtrować dane aktywności według zakresu dat, użytkownika i typu aktywności.

Aby uzyskać dostęp do dziennika aktywności usługi Power BI, musisz spełnić następujące wymagania:

• Musisz być administratorem globalnym lub administratorem usługi Power BI.
• Musisz mieć lokalnie zainstalowane polecenia cmdlet do zarządzania usługą Power BI lub użyć poleceń cmdlet do zarządzania usługą Power BI w usłudze Azure Cloud Shell.

Po spełnieniu tych wymagań można postępować zgodnie z poniższymi wskazówkami, aby śledzić aktywność użytkowników w ramach usługi Power BI:

• Śledzenie aktywności użytkowników w usłudze Power BI

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówka: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla bezpieczeństwa poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług o kluczowym znaczeniu. Używaj wysoce bezpiecznych stacji roboczych użytkowników i/lub usługi Azure Bastion na potrzeby zadań administracyjnych związanych z zarządzaniem usługą Power BI. Użyj usługi Azure Active Directory (Azure AD), usługi Microsoft Defender Advanced Threat Protection (ATP) i/lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze mogą być zarządzane centralnie, aby wymusić bezpieczną konfigurację, w tym silne uwierzytelnianie, oprogramowanie i sprzętowe punkty odniesienia, ograniczony dostęp logiczny i sieciowy.

• Informacje o stacjach roboczych z dostępem uprzywilejowanym

• Wdrażanie stacji roboczej z dostępem uprzywilejowanym

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie danych poufnych

Wskazówki: używanie etykiet poufności z Microsoft Purview Information Protection raportów, pulpitów nawigacyjnych, zestawów danych i przepływów danych w celu ochrony poufnej zawartości przed nieautoryzowanym dostępem do danych i wyciekiem.

Używanie etykiet poufności z Microsoft Purview Information Protection do klasyfikowania i etykietowania raportów, pulpitów nawigacyjnych, zestawów danych i przepływów danych w usługa Power BI oraz ochrony poufnej zawartości przed nieautoryzowanym dostępem do danych i wyciekiem po wyeksportowaniu zawartości z usługa Power BI w plikach excel, PowerPoint i PDF.

• Jak stosować etykiety poufności w usłudze Power BI

Odpowiedzialność: Klient

DP-2: Ochrona poufnych danych

Wskazówki: usługa Power BI integruje się z etykietami poufności z Microsoft Purview Information Protection w celu ochrony poufnych danych. Aby uzyskać więcej informacji, zobacz etykiety poufności z Microsoft Purview Information Protection w usłudze Power BI

Usługa Power BI umożliwia użytkownikom usługi przenoszenie własnych kluczy w celu ochrony danych nieużywanych. Aby uzyskać więcej informacji, zobacz Korzystanie z własnych kluczy szyfrowania na potrzeby usługi Power BI

Klienci mają możliwość utrzymywania lokalnych źródeł danych i korzystania z zapytań bezpośrednich lub połączeń na żywo z lokalną bramą danych, aby zminimalizować narażenie danych w usłudze w chmurze. Aby uzyskać więcej informacji, zobacz Co to jest lokalna brama danych?

Usługa Power BI obsługuje zabezpieczenia na poziomie wiersza. Aby uzyskać więcej informacji, zobacz Zabezpieczenia na poziomie wiersza w usłudze Power BI. Należy pamiętać, że zabezpieczenia na poziomie wiersza można zastosować nawet w przypadku bezpośrednich zapytań o źródła danych, w których plik PBIX jest traktowany jako serwer proxy obsługujący zabezpieczenia.

Odpowiedzialność: Klient

DP-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Wskazówki: ta kontrolka może zostać częściowo osiągnięta przy użyciu Microsoft Defender for Cloud Apps obsługi usługi Power BI.

Korzystając z Microsoft Defender for Cloud Apps z usługą Power BI, możesz pomóc w ochronie raportów, danych i usług usługi Power BI przed niezamierzonym wyciekiem lub naruszeniami. Za pomocą Microsoft Defender for Cloud Apps tworzysz zasady dostępu warunkowego dla danych organizacji przy użyciu kontrolek sesji w czasie rzeczywistym w usłudze Azure Active Directory (Azure AD), które pomagają zapewnić bezpieczeństwo analizy usługi Power BI. Po ustawieniu tych zasad administratorzy mogą monitorować dostęp i działania użytkowników, przeprowadzać analizę ryzyka w czasie rzeczywistym i ustawiać mechanizmy kontroli właściwe dla danej etykiety.

• Korzystanie z kontrolek Microsoft Defender for Cloud Apps w usłudze Power BI

Odpowiedzialność: Klient

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówka: Upewnij się, że dla ruchu HTTP wszyscy klienci i wszystkie źródła danych łączące się z zasobami usługi Power BI mogą negocjować protokół TLS w wersji 1.2 lub nowszej.

• Wymuszanie użycia wersji protokołu TLS

• Informacje o zabezpieczeniach protokołu TLS

Odpowiedzialność: Klient

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówka: W usłudze Power BI dane są szyfrowane podczas magazynowania oraz przetwarzania. Domyślnie usługa Power BI na potrzeby szyfrowania danych używa kluczy zarządzanych przez firmę Microsoft. Organizacje mogą zdecydować się na używanie własnych kluczy do szyfrowania magazynowanej zawartości użytkowników w usłudze Power BI, od obrazów raportów po zaimportowane zestawy danych w ramach pojemności Premium.

• Korzystanie z własnego klucza w usłudze Power BI

Odpowiedzialność: Współużytkowane

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówki: skorzystaj z usługi Microsoft Sentinel z dziennikami inspekcji pakietu Office usługi Power BI, aby upewnić się, że zespół ds. zabezpieczeń ma wgląd w zagrożenia dla zasobów usługi Power BI.

• Łączenie dzienników Office 365 z usługą Microsoft Sentinel

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówka: Upewnij się, że zespoły zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów usługi Power BI Embedded. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby oszacować potencjalne zagrożenie w organizacji do pojawiających się zagrożeń i jako dane wejściowe w celu ciągłego ulepszania zabezpieczeń.

Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących wszystkich zasobów usługi Power BI Embedded w ramach subskrypcji oraz odnajdywanie tych zasobów.

Logicznie organizuj elementy zawartości zgodnie z taksonomią organizacji przy użyciu tagów, a także innych metadanych na platformie Azure (nazwa, opis i kategoria).

• Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph

• Przewodnik po decyzjach dotyczących nazewnictwa i tagowania zasobów

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówka: Usługa Power BI obsługuje wdrożenia oparte na usłudze Azure Resource Managerach dla usługi Power BI Embedded i można ograniczyć wdrażanie zasobów za pośrednictwem usługi Azure Policy przy użyciu niestandardowej definicji zasad.

Usługa Azure Policy pozwala przeprowadzić inspekcję i ograniczyć liczbę usług, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.

• Jak skonfigurować usługę Azure Policy i zarządzać nią

• Jak odmówić określonego typu zasobu za pomocą Azure Policy

• Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówka: Przekazuj wszystkie dzienniki z usługi Power BI do rozwiązania SIEM, aby móc skonfigurować niestandardowe wykrycia zagrożeń. Ponadto użyj kontrolek Microsoft Defender for Cloud Apps w usłudze Power BI, aby włączyć wykrywanie anomalii przy użyciu przewodnika tutaj.

• Śledzenie aktywności użytkowników w usłudze Power BI

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówka: Usługa Power BI jest w pełni zarządzaną ofertą SaaS, a za podstawową konfigurację sieci i rejestrowanie odpowiada firma Microsoft. W przypadku klientów korzystających z linków prywatnych można skonfigurować rejestrowanie i monitorowanie.

• Rejestrowanie i monitorowanie linków prywatnych

Odpowiedzialność: Współużytkowane

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówka: W usłudze Power BI są dwie opcje śledzenia aktywności użytkowników: Dziennik aktywności usługi Power BI i ujednolicony dziennik inspekcji. Oba te dzienniki zawierają kompletną kopię danych inspekcji usługi Power BI, ale jest między nimi kilka kluczowych różnic, które zostały opisane poniżej.

Ujednolicony dziennik inspekcji:

• Oprócz zdarzeń inspekcji usługi Power BI zawiera zdarzenia z usług SharePoint Online, Exchange Online, Dynamics 365 i innych.

• Dostęp mają wyłącznie użytkownicy z uprawnieniami „Dzienniki inspekcji tylko do wyświetlania” lub „Dzienniki inspekcji”, na przykład administratorzy globalni lub audytorzy.

• Administratorzy globalni i audytorzy mogą przeszukiwać ujednolicony dziennik inspekcji przy użyciu portalu Microsoft 365 Defender i portal zgodności Microsoft Purview.

• Administratorzy globalni i audytorzy mogą pobierać wpisy dziennika inspekcji za pomocą interfejsów API zarządzania platformy Microsoft 365 i poleceń cmdlet.

• Dane inspekcji są przechowywane przez 90 dni.

• Dane inspekcji są zachowywane, nawet jeśli dzierżawa zostanie przeniesiona do innego regionu świadczenia usługi Azure.

Dziennik aktywności usługi Power BI:

• Zawiera tylko zdarzenia inspekcji usługi Power BI.

• Dostęp mają administratorzy globalni oraz administratorzy usługi Power BI.

• Interfejs użytkownika do przeszukiwania dziennika aktywności nie jest jeszcze dostępny.

• Administratorzy globalni i administratorzy usługi Power BI mogą pobierać wpisy dziennika aktywności za pomocą interfejsu API REST usługi Power BI i poleceń cmdlet zarządzania.

• Dane aktywności są przechowywane przez 30 dni.

• Dane aktywności nie są zachowywane, kiedy dzierżawa zostanie przeniesiona do innego regionu świadczenia usługi Azure.

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

• Dane inspekcji usługi Power BI

• Dziennik aktywności usługi Power BI

• Dziennik inspekcji usługi Power BI

Odpowiedzialność: Współużytkowane

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówka: Usługa Power BI centralizuje dzienniki w dwóch miejscach: dziennik aktywności usługi Power BI i ujednolicony dziennik inspekcji. Oba te dzienniki zawierają kompletną kopię danych inspekcji usługi Power BI, ale jest między nimi kilka kluczowych różnic, które zostały opisane poniżej.

Ujednolicony dziennik inspekcji:

• Oprócz zdarzeń inspekcji usługi Power BI zawiera zdarzenia z usług SharePoint Online, Exchange Online, Dynamics 365 i innych.

• Dostęp mają wyłącznie użytkownicy z uprawnieniami „Dzienniki inspekcji tylko do wyświetlania” lub „Dzienniki inspekcji”, na przykład administratorzy globalni lub audytorzy.

• Administratorzy globalni i audytorzy mogą przeszukiwać ujednolicony dziennik inspekcji przy użyciu portalu Microsoft 365 Defender i portal zgodności Microsoft Purview.

• Administratorzy globalni i audytorzy mogą pobierać wpisy dziennika inspekcji za pomocą interfejsów API zarządzania platformy Microsoft 365 i poleceń cmdlet.

• Dane inspekcji są przechowywane przez 90 dni.

• Dane inspekcji są zachowywane, nawet jeśli dzierżawa zostanie przeniesiona do innego regionu świadczenia usługi Azure.

Dziennik aktywności usługi Power BI:

• Zawiera tylko zdarzenia inspekcji usługi Power BI.

• Dostęp mają administratorzy globalni oraz administratorzy usługi Power BI.

• Interfejs użytkownika do przeszukiwania dziennika aktywności nie jest jeszcze dostępny.

• Administratorzy globalni i administratorzy usługi Power BI mogą pobierać wpisy dziennika aktywności za pomocą interfejsu API REST usługi Power BI i poleceń cmdlet zarządzania.

• Dane aktywności są przechowywane przez 30 dni.

• Dane aktywności nie są zachowywane, kiedy dzierżawa zostanie przeniesiona do innego regionu świadczenia usługi Azure.

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

• Dane inspekcji usługi Power BI

• Dziennik aktywności usługi Power BI

• Dziennik inspekcji usługi Power BI

Odpowiedzialność: Klient

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówka: Skonfiguruj zasady przechowywania magazynu dla dzienników inspekcji pakietu Office zgodnie z wymaganiami dotyczącymi zgodności i regulacji oraz wymagań biznesowych.

• Zasady przechowywania dzienników inspekcji pakietu Office

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: usługa Power BI nie obsługuje konfigurowania własnych źródeł synchronizacji czasu. Usługa Power BI opiera się na źródłach synchronizacji czasu firmy Microsoft i nie jest uwidoczniona dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówka: Skonfiguruj usługę Power BI przy użyciu ustawień odpowiednich dla Twojej organizacji i zasobów zakresie zabezpieczeń. Należy uważnie rozważyć ustawienia dostępu do usługi i bezpieczeństwa zawartości oraz obszarów roboczych i aplikacji. Zobacz zabezpieczenia usługi Power BI i ochronę danych w dokumencie dotyczącym wdrożenia usługi Power BI Enterprise.

• Oficjalny dokument dotyczący wdrażania usługi Enterprise

Odpowiedzialność: Klient

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówka: Monitoruj wystąpienie usługi Power BI przy użyciu interfejsów API REST administratora usługi Power BI.

• Interfejsy API REST administratora usługi Power BI

• Oficjalny dokument dotyczący wdrażania usługi Power BI Enterprise

Odpowiedzialność: Klient

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS, a bazowe zasoby obliczeniowe usługi są zabezpieczone i zarządzane przez firmę Microsoft.

Odpowiedzialność: Microsoft

PV-4: Utrzymywanie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS, a bazowe zasoby obliczeniowe usługi są zabezpieczone i zarządzane przez firmę Microsoft.

Odpowiedzialność: Microsoft

PV-5: Bezpieczne przechowywanie niestandardowych obrazów systemów operacyjnych i kontenerów

Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS, a bazowe zasoby obliczeniowe usługi są zabezpieczone i zarządzane przez firmę Microsoft.

Odpowiedzialność: Microsoft

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS. Bazowe zasoby obliczeniowe usługi są skanowane i zarządzane przez firmę Microsoft.

Odpowiedzialność: Microsoft

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS. Bazowe zasoby obliczeniowe usługi są skanowane i zarządzane przez firmę Microsoft.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

• Testy penetracyjne na platformie Azure

• Reguły testów penetracyjnych zaangażowania

• Testy typu „red team” w chmurze firmy Microsoft

Odpowiedzialność: Współużytkowane

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.

ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)

Wskazówki: usługa Power BI nie wdraża żadnych zasobów obliczeniowych przeznaczonych dla klientów, które wymagają od klientów skonfigurowania ochrony wykrywania i reagowania na punkty końcowe (EDR). Podstawowa infrastruktura usługi Power BI jest obsługiwana przez firmę Microsoft, która obejmuje obsługę ochrony przed złośliwym oprogramowaniem i obsługę EDR.

Odpowiedzialność: Microsoft

ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: usługa Power BI nie wdraża żadnych zasobów obliczeniowych, które wymagają od klientów skonfigurowania ochrony przed złośliwym oprogramowaniem. Podstawowa infrastruktura usługi Power BI jest obsługiwana przez firmę Microsoft, która obejmuje skanowanie przed złośliwym oprogramowaniem.

Odpowiedzialność: Microsoft

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Wskazówki: usługa Power BI nie wdraża żadnych zasobów obliczeniowych przeznaczonych dla klientów, co wymagałoby od klientów spójnego aktualizowania podpisów chroniących przed złośliwym oprogramowaniem. Podstawowa infrastruktura usługi Power BI jest obsługiwana przez firmę Microsoft, która obejmuje całą obsługę złośliwego oprogramowania.

Odpowiedzialność: Microsoft

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówka: Jeśli używasz funkcji Bring Your Own Key (BYOK) w usłudze Power BI, musisz okresowo weryfikować, czy masz dostęp do kluczy zarządzanych przez klienta i możesz je przywracać.

• Model BYOK w usłudze Power BI

Odpowiedzialność: Klient

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówka: Jeśli używasz funkcji Bring Your Own Key (BYOK) w usłudze Power BI, musisz upewnić się, że usługa Key Vault kontrolująca klucze zarządzane przez klienta jest skonfigurowana zgodnie ze wskazówkami w dokumentacji modelu BYOK w usłudze Power BI poniżej. Włącz usuwanie nietrwałe i przeczyść ochronę w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

• Model BYOK w usłudze Power BI

• Jak włączyć ochronę w formie usuwania nietrwałego i przeczyszczania w usłudze Key Vault

W przypadku zasobów kluczy bramy upewnij się, że postępujesz zgodnie ze wskazówkami opisanymi w dokumentacji klucza odzyskiwania bramy poniżej.

• Klucz odzyskiwania lokalnej bramy danych

Odpowiedzialność: Klient

Następne kroki

• Zobacz Omówienie testu porównawczego zabezpieczeń platformy Azure w wersji 2
• Dowiedz się więcej o punktach odniesienia zabezpieczeń platformy Azure