Базовые параметры безопасности Azure для Power BI

Данные базовые параметры безопасности служат для применения рекомендаций из Azure Security Benchmark версии 2.0 к Power BI. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark, и связанному руководству, применимому к Power BI.

Если функция имеет соответствующие Политика Azure определения, которые они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Power BI, и те, для которых рекомендуется глобальное руководство, были исключены. Сведения о том, как Power BI полностью соответствует Azure Security Benchmark, см. в файле полного сопоставления базовых параметров безопасности Power BI.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-3: установка доступа к частной сети для служб Azure

Инструкции: Power BI поддерживает подключение клиента Power BI к конечной точке приватного канала и отключение доступа к общедоступному Интернету.

Ответственность: Совмещаемая блокировка

NS-4: защита приложений и служб от внешних сетевых атак

Руководство. Power BI является полностью управляемым решением SaaS и предлагает встроенные, управляемые корпорацией Майкрософт инструменты защиты от атак типа "отказ в обслуживании" (DDoS-атаки). От клиентов не требуются никакие действия по защите службы от сетевых атак извне.

Ответственность: Microsoft

NS-7: безопасная служба доменных имен (DNS)

Инструкции: неприменимо. Power BI не предоставляет свои базовые конфигурации DNS. Поддержку этих параметров осуществляет корпорация Майкрософт.

Ответственность: Microsoft

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1: стандартизация Azure Active Directory в качестве централизованной системы идентификации и проверки подлинности

Инструкции: Power BI интегрирована с Azure Active Directory (Azure AD), которая является службой управления удостоверениями и доступом Azure по умолчанию. Для управления удостоверениями и доступом в вашей организации следует стандартизировать Azure AD.

Обеспечение безопасности Azure AD должно быть высокоприоритетной задачей в стратегии безопасности облака вашей организации. Azure AD предоставляет оценку безопасности удостоверений, которая помогает оценить безопасность удостоверений в соответствии с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Примечание. Azure AD поддерживает внешние удостоверения, которые позволяют пользователям без учетной записи Майкрософт входить в свои приложения и ресурсы с помощью их внешнего удостоверения.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Инструкции: Power BI и Power BI Embedded поддерживают использование субъектов-служб. Храните учетные данные субъекта-службы, используемые для шифрования или доступа к Power BI, в Key Vault, назначьте соответствующие политики доступа к хранилищу и регулярно проверяйте разрешения на доступ.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Руководство. Power BI использует Azure Active Directory (Azure AD) для предоставления управления удостоверениями и доступом к ресурсам Azure, облачным и локальным приложениям. Сюда входят корпоративные удостоверения, например сотрудники, а также внешние удостоверения, например партнеры и поставщики. Это обеспечивает единый вход (SSO) для управления доступом к данным и ресурсам организации в локальной среде и в облаке, а также для обеспечения их безопасности. Подключите пользователей, приложения и устройства к Azure AD, чтобы обеспечить простой, безопасный доступ и более широкие возможности управления.

Ответственность: Customer

IM-7: исключение непреднамеренного раскрытия учетных данных

Инструкции: для встраиваемых приложений Power BI рекомендуется реализовать средство проверки учетных данных для обнаружения учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Храните ключи шифрования и учетные данные субъекта-службы, используемые для шифрования или доступа к Power BI, в Key Vault, назначьте соответствующие политики доступа к хранилищу и регулярно проверяйте разрешения на доступ.

Для GitHub можно использовать функцию проверки собственных секретов для обнаружения учетных данных или других форм секретов в коде.

Ответственность: Совмещаемая блокировка

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1: защита и ограничение пользователей с высоким уровнем привилегий

Инструкции: чтобы снизить риск и следовать принципу минимальных привилегий, рекомендуется, чтобы членство в группе администраторов Power BI было доступно небольшому кругу людей. Пользователи с этими привилегированными разрешениями могут получить доступ и изменить все функции управления для организации. Глобальные администраторы неявно получают прав администратора службы Power BI, используя Microsoft 365 или Azure Active Directory (Azure AD).

В Power BI имеются следующие учетные записи с высоким уровнем привилегий:

  • Глобальный администратор
  • Администратор выставления счетов
  • Администратор лицензий
  • администратор пользователей.
  • Администратор Power BI
  • Администратор емкости Power BI Premium
  • Администратор емкости Power BI Embedded

Power BI поддерживает политики сеансов в Azure AD для включения политик условного доступа и маршрутизации сеансов, используемых в Power BI, посредством службы Microsoft Defender для облачных приложений.

Включите привилегированный JIT-доступ привилегированный для учетных записей администратора Power BI, используя инструменты управления привилегированным доступом в Microsoft 365.

Ответственность: Customer

PA-3: регулярная проверка и сверка доступа пользователей

Инструкции: Администратор службы Power BI может анализировать использование всех ресурсов Power BI на уровне клиента с помощью пользовательских отчетов на основе журнала действий Power BI. Действия можно скачать с использованием REST API или командлета PowerShell. Кроме того, вы можете фильтровать данные о действиях по диапазону дат, пользователю или типу действия.

Чтобы получить доступ к журналам действий Power BI, необходимо соблюдение следующих требований:

  • Наличие разрешений глобального администратора или администратора службы Power BI.
  • Локальная установка командлетов управления Power BI или использование командлетов управления Power BI в Azure Cloud Shell.

После обеспечения соответствия этим требованиям можно следовать приведенным ниже рекомендациям по отслеживанию активности пользователей в Power BI:

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Инструкции: защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Используйте высокозащищенные рабочие станции пользователей и (или) Бастион Azure для выполнения административных задач, связанных с управлением Power BI. Используйте Azure Active Directory (Azure AD), Advanced Threat Protection (ATP) в Microsoft Defender и Microsoft Intune, чтобы развернуть безопасную и (или) управляемую рабочую станцию пользователя для выполнения административных задач. Защищенными рабочими станциями можно централизованно управлять, чтобы обеспечить безопасную настройку, включая строгую проверку подлинности, базовые параметры программного обеспечения и оборудования, ограниченный логический и сетевой доступ.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Руководство. Используйте метки конфиденциальности из Защита информации Microsoft Purview в отчетах, панелях мониторинга, наборах данных и потоках данных, чтобы защитить конфиденциальное содержимое от несанкционированного доступа к данным и утечки.

Используйте метки конфиденциальности из Защита информации Microsoft Purview для классификации и маркировки отчетов, панелей мониторинга, наборов данных и потоков данных в служба Power BI и защиты конфиденциального содержимого от несанкционированного доступа к данным и утечки при экспорте содержимого из служба Power BI в Excel, PowerPoint и PDF-файлы.

Ответственность: Customer

DP-2. Защита конфиденциальных данных

Руководство. Power BI интегрируется с метками конфиденциальности из Защита информации Microsoft Purview для защиты конфиденциальных данных. Дополнительные сведения см. в Защита информации Microsoft Purview меток конфиденциальности в Power BI

Power BI позволяет пользователям служб применять собственный ключ для защиты неактивных данных. Дополнительные сведения см. в разделе Использование собственных ключей шифрования для Power BI

У клиентов есть возможность размещать источники данных в локальной среде, использовать прямые запросы или Live Connect с локальным шлюзом данных, чтобы свести к минимуму раскрытие данных в облачной службе. Дополнительные сведения см. в разделе Что такое локальный шлюз данных?

Power BI поддерживает безопасность на уровне строк. Дополнительные сведения см. в статье Безопасность на уровне строк (RLS) в Power BI. Обратите внимание, что RLS может применяться даже к источникам данных прямых запросов, в которых PBIX-файл выступает в качестве прокси, обеспечивающего безопасность.

Ответственность: Customer

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Руководство. Этот элемент управления частично предоставляется за счет поддержки Microsoft Defender для облачных приложений в Power BI.

Использование Microsoft Defender для облачных приложений вместе с Power BI позволяет защитить отчеты, данные и Power BI от непредвиденных утечек данных и нарушений системы безопасности. Microsoft Defender для облачных приложений позволяет создавать политики условного доступа для данных вашей организации, используя элементы управления сеансами в режиме реального времени в Azure Active Directory (Azure AD), чтобы обеспечить безопасность аналитических данных Power BI. После настройки необходимых политик администраторы смогут отслеживать доступ пользователей и осуществляемые ими действия, выполнять анализ рисков в реальном времени, а также задавать элементы управления для меток.

Ответственность: Customer

DP-4: шифрование конфиденциальной информации во время передачи

Инструкции: убедитесь, что для согласования взаимодействия по протоколу HTTP все клиенты и источники данных, подключающиеся к ресурсам Power BI, могут использовать TLS версии 1.2 или более поздней.

Ответственность: Customer

DP-5: шифрование конфиденциальных неактивных данных

Инструкции: Power BI шифрует неактивные и внутрипроцессные данные. По умолчанию Power BI использует для шифрования ваших данных ключи, управляемые Майкрософт. Организации могут использовать собственные ключи для шифрования неактивных данных пользователя в Power BI, от изображений отчетов до импортированных наборов данных в емкостях Premium.

Ответственность: Совмещаемая блокировка

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Руководство. Используйте Microsoft Sentinel вместе с журналами аудита Power BI Office, чтобы специалисты по безопасности своевременно получали сведения о рисках для ресурсов Power BI.

Ответственность: Customer

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Инструкции: убедитесь, что группы безопасности имеют доступ к постоянно обновляемой инвентаризации ресурсов Power BI Embedded. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков, а также для использования их в качестве входных данных для непрерывного улучшения безопасности.

Azure Resource Graph может запрашивать и обнаруживать все ресурсы Power BI Embedded в подписках.

Упорядочите ресурсы логически в соответствии с классификацией вашей организации с помощью тегов, а также других метаданных в Azure (имя, описание и категория).

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Инструкции: Power BI поддерживает развертывание на основе Azure Resource Manager для Power BI Embedded, и вы можете ограничить развертывание своих ресурсов с помощью политики Azure, используя определение настраиваемой политики.

Используйте политику Azure для аудита и ограничения служб, которые пользователи могут подготавливать в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-2: включение обнаружения угроз для управления удостоверениями и доступом Azure

Инструкции: перешлите журналы из Power BI в SIEM, чтобы затем их можно было использовать для настройки обнаружения угроз. Кроме того, используйте Microsoft Defender для облачных приложений в Power BI, чтобы включить обнаружение аномалий с помощью информации в этом руководстве.

Ответственность: Customer

LT-3: включение ведения журнала для сетевых операций Azure

Инструкции: Power BI является полностью управляемым предложением SaaS, поэтому базовая настройка сети и ведение журнала — это обязанность корпорации Майкрософт. Для клиентов, использующих приватные каналы, можно настроить ведение журнала и мониторинг.

Ответственность: Совмещаемая блокировка

LT-4: включение ведения журнала для ресурсов Azure

Инструкции: В Power BI отслеживать действия пользователей можно двумя способами: с помощью журнала действий Power BI и единого журнала аудита. В каждом из этих журналов содержится полная копия данных аудита Power BI. Тем не менее между ними есть ряд важных отличий, которые описываются ниже.

Единый журнал аудита.

  • Содержит события из SharePoint Online, Exchange Online, Dynamics 365 и других служб, а также события аудита Power BI.

  • Доступ предоставляется только пользователям с разрешениями только на просмотр журналов аудита или доступ к журналам аудита, таким как глобальные администраторы или аудиторы.

  • Глобальные администраторы и аудиторы могут выполнять поиск в едином журнале аудита с помощью портала Microsoft 365 Defender и Портал соответствия требованиям Microsoft Purview.

  • Глобальные администраторы и аудиторы могут скачивать записи журнала аудита с помощью командлетов и API-интерфейсов управления Microsoft 365.

  • Данные аудита хранятся в течение 90 дней.

  • Данные аудита сохраняются, даже если клиент перемещается в другой регион Azure.

Журнал действий Power BI.

  • Содержит только события аудита Power BI.

  • Доступ предоставляется глобальным администраторам и администраторам службы Power BI.

  • Пользовательский интерфейс для поиска по журналу действий на данный момент отсутствует.

  • Глобальные администраторы и администраторы службы Power BI могут скачивать записи журнала действий с помощью командлета управления REST и API Power BI.

  • Данные о действиях хранятся в течение 30 дней.

  • Данные о действиях не сохраняются, если клиент перемещается в другой регион Azure.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Совмещаемая блокировка

LT-5: централизованные управление журналом безопасности и анализ

Инструкции: Power BI централизованно хранит журналы в двух местах: журнал действий Power BI и единый журнал аудита. В каждом из этих журналов содержится полная копия данных аудита Power BI. Тем не менее между ними есть ряд важных отличий, которые описываются ниже.

Единый журнал аудита.

  • Содержит события из SharePoint Online, Exchange Online, Dynamics 365 и других служб, а также события аудита Power BI.

  • Доступ предоставляется только пользователям с разрешениями только на просмотр журналов аудита или доступ к журналам аудита, таким как глобальные администраторы или аудиторы.

  • Глобальные администраторы и аудиторы могут выполнять поиск в едином журнале аудита с помощью портала Microsoft 365 Defender и Портал соответствия требованиям Microsoft Purview.

  • Глобальные администраторы и аудиторы могут скачивать записи журнала аудита с помощью командлетов и API-интерфейсов управления Microsoft 365.

  • Данные аудита хранятся в течение 90 дней.

  • Данные аудита сохраняются, даже если клиент перемещается в другой регион Azure.

Журнал действий Power BI.

  • Содержит только события аудита Power BI.

  • Доступ предоставляется глобальным администраторам и администраторам службы Power BI.

  • Пользовательский интерфейс для поиска по журналу действий на данный момент отсутствует.

  • Глобальные администраторы и администраторы службы Power BI могут скачивать записи журнала действий с помощью командлета управления REST и API Power BI.

  • Данные о действиях хранятся в течение 30 дней.

  • Данные о действиях не сохраняются, если клиент перемещается в другой регион Azure.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

LT-6: Настройка хранения журналов

Инструкции: настройте политики хранения для журналов аудита Office в соответствии с требованиями, нормативными актами и бизнес-требованиями.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Руководство. Power BI не поддерживают настройку ваших собственных источников синхронизации времени. Служба Power BI используют источники синхронизации времени Майкрософт и недоступна клиентам для настройки.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Инструкции: настройте службу Power BI с помощью параметров, соответствующих вашей организации и состоянию безопасности. Следует тщательно продумать варианты доступа к службе и содержимому, а также безопасность рабочих областей и приложений. См. раздел, посвященный безопасности и защите данных Power BI, в техническом документе по развертыванию Power BI Enterprise.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Инструкции: отслеживайте свой экземпляр Power BI с помощью REST API для администрирования Power BI.

Ответственность: Customer

PV-3: настройка безопасных конфигураций вычислительных ресурсов

Руководство. Power BI является полностью управляемым решением SaaS, защиту базовых вычислительных ресурсов и управление ими обеспечивает корпорация Майкрософт.

Ответственность: Microsoft

PV-4: сохранение безопасных конфигураций для вычислительных ресурсов

Руководство. Power BI является полностью управляемым решением SaaS, защиту базовых вычислительных ресурсов и управление ими обеспечивает корпорация Майкрософт.

Ответственность: Microsoft

PV-5: безопасное хранение пользовательских операционных систем и образов контейнеров

Руководство. Power BI является полностью управляемым решением SaaS, защиту базовых вычислительных ресурсов и управление ими обеспечивает корпорация Майкрософт.

Ответственность: Microsoft

PV-6: выполнение оценок уязвимостей программного обеспечения

Руководство. Power BI является полностью управляемым решением SaaS, сканирование базовых вычислительных ресурсов и управление ими обеспечивает корпорация Майкрософт.

Ответственность: Microsoft

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Руководство. Power BI является полностью управляемым решением SaaS, сканирование базовых вычислительных ресурсов и управление ими обеспечивает корпорация Майкрософт.

Ответственность: Microsoft

PV-8: регулярное моделирование атак

Инструкции: при необходимости выполните тестирование на проникновение в ресурсы Azure или привлеките для участия "красные команды" и обеспечьте исправление всех обнаруженных проблем с безопасностью.

Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)

Рекомендации. Power BI не развертывает какие-либо клиентские ресурсы, которые требуют от клиентов настроить службу "Обнаружение и нейтрализация атак на конечные точки (EDR)". Обслуживание базовой инфраструктуры для Power BI осуществляется корпорацией Майкрософт, в том числе обеспечение защиты от вредоносных программ и EDR.

Ответственность: Microsoft

ES-2: защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Рекомендации. Power BI не развертывает какие-либо клиентские ресурсы, которые требуют от клиентов настроить защиты от вредоносных программ. Обслуживание базовой инфраструктуры для Power BI осуществляется корпорацией Майкрософт, в том числе проверка на наличие вредоносных программ.

Ответственность: Microsoft

ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур

Рекомендации. Power BI не развертывает какие-либо клиентские ресурсы, которые требуют от клиентов обеспечить актуализацию сигнатур. Обслуживание базовой инфраструктуры для Power BI осуществляется корпорацией Майкрософт, в том числе обеспечение защиты от вредоносных программ.

Ответственность: Microsoft

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Инструкции: при использовании функции создания собственных ключей (BYOK) в Power BI необходимо периодически проверять, что у вас есть доступ к ключам, управляемым клиентом, и восстанавливать их.

Ответственность: Customer

BR-4: снижение риска потери ключей

Инструкции: если вы используете функцию создания собственных ключей (BYOK) в Power BI, убедитесь, что служба Key Vault, которая управляет ключами, управляемыми клиентом, настроена с помощью рекомендаций к BYOK, приведенным в документации по Power BI ниже. Включите обратимое удаление и очистку защиты в Azure Key Vault, чтобы защитить ключи от случайного или вредоносного удаления.

Сведения о ключах для ресурсов шлюза см. в документации по ключу восстановления шлюза ниже.

Ответственность: Customer

Следующие шаги