Ασφάλεια του Power BI
Για αναλυτικές πληροφορίες σχετικά με την ασφάλεια του Power BI, ανατρέξτε στη Λευκή Βίβλο για την Ασφάλεια του Power BI.
Για να προγραμματίσετε την ασφάλεια του Power BI, ανατρέξτε στο θέμα Σειρά άρθρων για τον σχεδιασμό ασφάλειας υλοποίησης Power BI. Επεκτείνεται με βάση το περιεχόμενο στη λευκή βίβλο Ασφάλεια του Power BI. Ενώ η Λευκή Βίβλος ασφαλείας του Power BI εστιάζει σε βασικά τεχνικά θέματα όπως ο έλεγχος ταυτότητας, η θέση δεδομένων και η απομόνωση δικτύου, ο κύριος στόχος της σειράς είναι να σας παρέχει ζητήματα και αποφάσεις για να σας βοηθήσει να σχεδιάσετε την ασφάλεια και την προστασία των προσωπικών δεδομένων.
Η Υπηρεσία Power BI βασίζεται στο Azure, την υποδομή και την πλατφόρμα υπολογιστικού cloud της Microsoft. Η αρχιτεκτονική του Υπηρεσία Power BI βασίζεται σε δύο συμπλέγματα:
- Το σύμπλεγμα προσκηνίου Web (WFE). Το σύμπλεγμα WFE διαχειρίζεται την αρχική σύνδεση και τον έλεγχο ταυτότητας στον Υπηρεσία Power BI.
- Το σύμπλεγμα παρασκηνίου . Μετά τον έλεγχο ταυτότητας, το παρασκήνιο χειρίζεται όλες τις επόμενες αλληλεπιδράσεις του χρήστη. Το Power BI χρησιμοποιεί το αναγνωριστικό Microsoft Entra για την αποθήκευση και τη διαχείριση ταυτοτήτων χρήστη. Το Microsoft Entra ID διαχειρίζεται επίσης τον χώρο αποθήκευσης δεδομένων και τα μετα-δεδομένα χρησιμοποιώντας blob Azure και Azure Βάση δεδομένων SQL, αντίστοιχα.
Αρχιτεκτονική του Power BI
Το σύμπλεγμα WFE χρησιμοποιεί το Αναγνωριστικό Microsoft Entra για τον έλεγχο ταυτότητας προγραμμάτων-πελατών και παρέχει διακριτικά για μετέπειτα συνδέσεις προγράμματος-πελάτη στον Υπηρεσία Power BI. Το Power BI χρησιμοποιεί το azure Διαχείριση κυκλοφορίας (Διαχείριση κυκλοφορίας) για να κατευθύνει την κυκλοφορία χρήστη στο πλησιέστερο κέντρο δεδομένων. Διαχείριση κυκλοφορίας κατευθύνει αιτήσεις χρησιμοποιώντας την εγγραφή DNS του προγράμματος-πελάτη που προσπαθεί να συνδεθεί, να πραγματοποιήσει έλεγχο ταυτότητας και να κάνει λήψη στατικού περιεχομένου και αρχείων. Το Power BI χρησιμοποιεί το δίκτυο παροχής περιεχομένου Azure (CDN) για τη διανομή του στατικού περιεχομένου και των στατικών αρχείων που απαιτούνται σε χρήστες με βάση τη γεωγραφική τοποθεσία.
Το σύμπλεγμα παρασκηνίου καθορίζει τον τρόπο αλληλεπίδρασης των πιστοποιημένων πελατών με το Υπηρεσία Power BI. Το σύμπλεγμα παρασκηνίου διαχειρίζεται απεικονίσεις, πίνακες εργαλείων χρήστη, σημασιολογικά μοντέλα, αναφορές, χώρο αποθήκευσης δεδομένων, συνδέσεις δεδομένων, ανανέωση δεδομένων και άλλες πτυχές της αλληλεπίδρασης με τις Υπηρεσία Power BI. Ο Ρόλος πύλης λειτουργεί ως πύλη μεταξύ των αιτημάτων των χρηστών και των Υπηρεσία Power BI. Οι χρήστες δεν αλληλεπιδρούν απευθείας με κανέναν ρόλο εκτός από τον Ρόλο πύλης. Το Azure Διαχείριση API χειρίζεται τελικά τον Ρόλο πύλης.
Σημαντικό
Μόνο οι ρόλοι Azure Διαχείριση API και Πύλης είναι προσβάσιμοι μέσω του δημόσιου Internet. Παρέχουν έλεγχο ταυτότητας, εξουσιοδότηση, προστασία DDoS, περιορισμό, εξισορρόπηση φόρτου, δρομολόγηση και άλλες δυνατότητες.
Ασφάλεια Υπηρεσία αποθήκευσης δεδομένων
Το Power BI χρησιμοποιεί δύο πρωτεύοντα αποθετήρια για την αποθήκευση και τη διαχείριση δεδομένων:
- Τα δεδομένα που αποστέλλονται από χρήστες συνήθως αποστέλλονται στο Azure Blob Υπηρεσία αποθήκευσης.
- Όλα τα μετα-δεδομένα, συμπεριλαμβανομένων των στοιχείων για το ίδιο το σύστημα, αποθηκεύονται στο Βάση δεδομένων SQL του Azure.
Η διάστικτη γραμμή που εμφανίζεται στο διάγραμμα συμπλέγματος παρασκηνίου, αποσαφηνίζει το όριο μεταξύ των δύο στοιχείων τα οποία είναι προσβάσιμα από τους χρήστες που εμφανίζονται στα αριστερά της διάστικτης γραμμής. Οι ρόλοι που είναι προσβάσιμοι μόνο από το σύστημα εμφανίζονται στη δεξιά πλευρά. Όταν ένας εξουσιοδοτημένος χρήστης συνδέεται στην υπηρεσία Power BI, η σύνδεση και κάθε αίτημα από το πρόγραμμα-πελάτη γίνονται αποδεκτά και ελέγχονται από τον Ρόλο πύλης, ο οποίος στη συνέχεια αλληλεπιδρά για λογαριασμό του χρήστη με την υπόλοιπη υπηρεσία Power BI. Για παράδειγμα, όταν ένα πρόγραμμα-πελάτης επιχειρεί να προβάλει έναν πίνακα εργαλείων, ο Ρόλος πύλης αποδέχεται αυτή την αίτηση και, στη συνέχεια, στέλνει ξεχωριστά μια αίτηση στον Ρόλο παρουσίασης για να ανακτήσει τα δεδομένα που απαιτούνται από το πρόγραμμα περιήγησης για να εμφανίσει τον πίνακα εργαλείων. Τελικά, ο χειρισμός των συνδέσεων και αιτήσεων προγράμματος-πελάτη γίνεται από το Azure Διαχείριση API.
Έλεγχος ταυτότητας χρήστη
Το Power BI χρησιμοποιεί το Αναγνωριστικό Microsoft Entra για τον έλεγχο ταυτότητας χρηστών που εισέρχονται στον Υπηρεσία Power BI. Τα διαπιστευτήρια εισόδου απαιτούνται κάθε φορά που ένας χρήστης επιχειρεί να αποκτήσει πρόσβαση σε ασφαλείς πόρους. Οι χρήστες εισέρχονται στον Υπηρεσία Power BI χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου με την οποία δημιούργησαν τον λογαριασμό τους Power BI. Το Power BI χρησιμοποιεί τα ίδια διαπιστευτήρια με το ισχύον όνομα χρήστη και τα μεταβιβάζει σε πόρους κάθε φορά που ένας χρήστης επιχειρεί να συνδεθεί με δεδομένα. Το ισχύον όνομα χρήστη αντιστοιχίζεται, στη συνέχεια, σε ένα κύριο όνομα χρήστη και επιλύεται στον συσχετισμένο λογαριασμό τομέα των Windows, έναντι του οποίου εφαρμόζεται ο έλεγχος ταυτότητας.
Για οργανισμούς που χρησιμοποίησαν εταιρικές διευθύνσεις ηλεκτρονικού ταχυδρομείου για είσοδο στο Power BI, για παράδειγμαdavid@contoso.com, το ουσιαστικό όνομα χρήστη για την αντιστοίχιση UPN είναι απλό. Για οργανισμούς που δεν χρησιμοποιούσαν εταιρικές διευθύνσεις ηλεκτρονικού ταχυδρομείου, για παράδειγμα david@contoso.onmicrosoft.com , η αντιστοίχιση μεταξύ του αναγνωριστικού Microsoft Entra και των διαπιστευτηρίων εσωτερικής εγκατάστασης απαιτεί διαπιστευτήρια συγχρονισμού καταλόγου για να λειτουργήσει σωστά.
Η ασφάλεια πλατφόρμας για το Power BI περιλαμβάνει επίσης ασφάλεια περιβάλλοντος πολλαπλών μισθωτών, ασφάλεια δικτύωσης και δυνατότητα προσθήκης άλλων μέτρων ασφαλείας που βασίζονται στο Αναγνωριστικό Microsoft Entra.
Ασφάλεια δεδομένων και υπηρεσιών
Για περισσότερες πληροφορίες, ανατρέξτε στο Κέντρο αξιοπιστίας της Microsoft, Προϊόντα και υπηρεσίες που εκτελούνται με αξιοπιστία.
Όπως περιγράφηκε παραπάνω, οι διακομιστές AD εσωτερικής εγκατάστασης χρησιμοποιούν μια είσοδο Power BI για την αντιστοίχιση σε ένα UPN για διαπιστευτήρια. Ωστόσο, οι χρήστες πρέπει να κατανοήσουν την ευαισθησία των δεδομένων που μοιράζονται. Αφού συνδεθείτε με ασφάλεια σε μια προέλευση δεδομένων και, στη συνέχεια, κάνετε κοινή χρήση αναφορών, πινάκων εργαλείων ή σημασιολογικών μοντέλων με άλλους χρήστες, στους παραλήπτες εκχωρείται πρόσβαση στην αναφορά. Οι παραλήπτες δεν χρειάζεται να εισέλθουν στην προέλευση δεδομένων.
Μια εξαίρεση είναι η σύνδεση σε Υπηρεσίες ανάλυσης του SQL Server με χρήση της πύλης δεδομένων εσωτερικής εγκατάστασης. Οι πίνακες εργαλείων αποθηκεύονται προσωρινά στο Power BI, αλλά η πρόσβαση σε υποκείμενες αναφορές ή σημασιολογικά μοντέλα ξεκινά τον έλεγχο ταυτότητας για κάθε χρήστη που επιχειρεί να αποκτήσει πρόσβαση στην αναφορά ή στο μοντέλο σημασιολογίας. Η πρόσβαση θα εκχωρηθεί μόνο εάν ο χρήστης διαθέτει επαρκή διαπιστευτήρια για πρόσβαση στα δεδομένα. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Εμπεριστατωμένη ανάλυση της πύλης δεδομένων εσωτερικής εγκατάστασης.
Επιβολή χρήσης έκδοσης TLS
Οι διαχειριστές δικτύου και IT μπορούν να επιβάλουν την απαίτηση για τη χρήση του τρέχοντος Transport Layer Security (TLS) για οποιαδήποτε ασφαλή επικοινωνία στο δίκτυό τους. Τα Windows παρέχουν υποστήριξη για εκδόσεις TLS μέσω της υπηρεσίας παροχής Schannel της Microsoft, για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Πρωτόκολλα στο TLS/SSL (Schannel SSP).
Αυτή η επιβολή εφαρμόζεται ορίζοντας διαχειριστικά τα κλειδιά μητρώου. Για λεπτομέρειες επιβολής, ανατρέξτε στο θέμα Διαχείριση πρωτοκόλλων SSL/TLS και Cipher Suites για AD FS.
Το Power BI Desktop απαιτεί TLS (Transport Layer Security) έκδοση 1.2 (ή νεότερη έκδοση) για την προστασία των τελικών σημείων σας. Τα προγράμματα περιήγησης Web και άλλες εφαρμογές-πελάτες που χρησιμοποιούν εκδόσεις TLS παλαιότερες από το TLS 1.2 δεν θα μπορούν να συνδεθούν. Εάν απαιτούνται νεότερες εκδόσεις του TLS, το Power BI Desktop σέβεται τις ρυθμίσεις κλειδιού μητρώου που περιγράφονται σε αυτά τα άρθρα και δημιουργεί μόνο συνδέσεις που πληρούν τις απαιτήσεις έκδοσης του TLS που επιτρέπονται βάσει αυτών των ρυθμίσεων μητρώου, όταν υπάρχουν.
Για περισσότερες πληροφορίες σχετικά με τον ορισμό αυτών των κλειδιών μητρώου, ανατρέξτε στο θέμα Ρυθμίσεις μητρώου Transport Layer Security (TLS).
Σχόλια
Σύντομα διαθέσιμα: Καθ' όλη τη διάρκεια του 2024 θα καταργήσουμε σταδιακά τα ζητήματα GitHub ως μηχανισμό ανάδρασης για το περιεχόμενο και θα το αντικαταστήσουμε με ένα νέο σύστημα ανάδρασης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα: https://aka.ms/ContentUserFeedback.
Υποβολή και προβολή σχολίων για