Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Power Query proporciona funcionalidades para extraer, transformar y cargar datos de varios orígenes en destinos como Power BI, Excel, Dataverse y Azure Data Lake Storage. Al usar Power Query, es importante seguir los procedimientos recomendados de seguridad para proteger los datos, las configuraciones y las conexiones.
En este artículo se proporcionan instrucciones sobre cómo aplicar procedimientos recomendados de seguridad al trabajar con Power Query, lo que le ayuda a proteger contra riesgos externos.
Protección de los datos
Power Query procesa datos de varios orígenes, lo que hace esencial implementar medidas de protección de datos adecuadas para evitar el acceso no autorizado y la pérdida de datos entre orígenes.
Configurar niveles de privacidad para cada origen de datos: establezca los niveles de privacidad adecuados (privado, organizativo, público) para evitar la transferencia accidental de datos entre orígenes con distintos niveles de confidencialidad. Los orígenes de datos privados no pueden compartir datos con otros orígenes, lo que garantiza que la información confidencial permanece protegida. Para obtener más información, vaya a Niveles de privacidad en Power Query.
Evite omitir los niveles de privacidad: no habilite la opción Combinación rápida ("Omitir los niveles de privacidad") ya que podría exponer datos confidenciales o confidenciales a usuarios no autorizados. Esta configuración puede mejorar el rendimiento, pero pone en peligro las medidas de seguridad. Para obtener más información, vaya a Configuración de opciones de nivel de privacidad.
Usar consultas con parámetros de forma segura: al usar parámetros dinámicos de consulta M, evite la concatenación de cadenas dentro de las consultas y, en su lugar, use operaciones M que se doblan a la consulta de origen para evitar posibles ataques por inyección. Considere la posibilidad de usar mecanismos de paso de parámetros integrados en el lenguaje de consulta de origen cuando esté disponible. Para obtener más información, vaya a Mitigación de riesgos de seguridad con parámetros.
Cifrar conexiones de datos: al conectarse a orígenes de datos que admiten el cifrado, habilite siempre las opciones de conexión segura. Por ejemplo, al conectarse a bases de datos, asegúrese de que la opción "Usar conexión cifrada" esté seleccionada cuando esté disponible. Para obtener más información, vaya a Configuración de conexión en Power Query Online.
Validar el estado de revocación de certificados: asegúrese de que las conexiones SSL incluyen comprobaciones de estado de revocación de certificados para evitar conexiones a servidores en peligro. Aunque es posible deshabilitar estas comprobaciones, puede exponer los datos a riesgos de seguridad. Para obtener más información, vaya a Revocación de certificados.
Administración de identidades y acceso
La protección de Power Query comienza con la implementación de controles sólidos de identidad y acceso para asegurarse de que solo los usuarios autorizados pueden acceder a los orígenes de datos y las transformaciones.
Utilice la autenticación de ID de Entra de Microsoft de ser posible: Use Microsoft Entra ID (anteriormente Azure AD) para una autenticación segura en orígenes de datos, especialmente para servicios en la nube. Este protocolo proporciona administración de identidades centralizada y admite características como el acceso condicional y la autenticación multifactor. Para obtener más información, vaya a Autenticación en aplicaciones de escritorio.
Implementación del acceso con privilegios mínimos: asigne solo los permisos necesarios a los usuarios que se conectan a orígenes de datos a través de Power Query. Evite usar cuentas administrativas o con privilegios elevados para las conexiones de datos rutinarias. Para obtener más información, vaya a Conexiones y autenticación en Power Query Online.
Restringir conectores no certificados: de forma predeterminada, Power Query genera un error al intentar cargar conectores no certificados. Mantenga esta configuración para evitar el uso de conectores personalizados que no se validan para la seguridad. Para obtener más información, vaya a Opciones de seguridad de extensión de datos.
Requerir aprobación de usuario para consultas nativas: mantenga la configuración predeterminada que requiere aprobación de usuario antes de ejecutar consultas nativas de base de datos, ya que podría ejecutar instrucciones SQL malintencionadas que modifiquen o eliminen registros de base de datos cuando el usuario tenga permisos suficientes. Para obtener más información, vaya a Consultas de base de datos nativas.
Administrar el almacenamiento de credenciales de forma segura: Power Query cifra y almacena las credenciales por separado de los modelos de datos, lo que facilita la reutilización de credenciales sin exponer información confidencial. Asegúrese de que solo los usuarios autorizados tengan acceso para administrar estas credenciales almacenadas. Para más información, vaya a Planeamiento de implementación de Power BI: Planeamiento de la seguridad del creador de contenido.
Seguridad de red
La implementación de controles de seguridad de red ayuda a proteger las conexiones de Power Query y evita el acceso no autorizado a los orígenes de datos.
Usar puertas de enlace de datos para orígenes de datos locales: implemente puertas de enlace de datos locales o puertas de enlace de datos de red virtual para conectarse de forma segura a orígenes de datos en redes privadas sin exponerlas a la red pública de Internet. Para obtener más información, vaya a Conectar con un origen de datos de Power Query.
Implementación del aislamiento de red para orígenes de datos confidenciales: use puertas de enlace de datos de red virtual para conectarse a servicios de Azure dentro de una red virtual sin necesidad de una puerta de enlace de datos local en una máquina virtual. El uso de una puerta de enlace de red virtual proporciona otra capa de aislamiento de red para datos confidenciales. Para obtener más información, vaya a las puertas de enlace de red de datos virtual.
Habilitar el cifrado TLS para todas las conexiones: asegúrese de que las conexiones a orígenes de datos usan el cifrado de seguridad de la capa de transporte (TLS) con conjuntos de cifrado modernos. Es posible que los conjuntos de cifrado obsoletos no se admitan y podrían suponer riesgos de seguridad. Para más información, vaya a Conjuntos de cifrado de Power Query.
Configuración de firewalls para el acceso al origen de datos: al usar Power Query Online con Azure Storage u otros servicios en la nube con la configuración del firewall, asegúrese de que la configuración adecuada permita conexiones autenticadas al bloquear el acceso no autorizado. Para más información, vaya a Limitaciones de Azure Blob Storage.
Registro y supervisión
La implementación completa de registros y supervisión ayuda a detectar actividades sospechosas y a solucionar problemas con las implementaciones de Power Query.
Habilitar diagnósticos de consultas para operaciones confidenciales: use diagnósticos de consultas en Power BI Desktop para investigar el rendimiento de Power Query y comprender qué consultas se envían a orígenes de datos. Estos diagnósticos aseguran que el plegado de consultas esté funcionando correctamente. Sin embargo, a menos que necesite usar el diagnóstico de consultas para solucionar problemas, es mejor mantener estos diagnósticos desactivados. Estos diagnósticos se almacenan en archivos de registro y pueden contener contenido del cliente, como nombres de consulta, rutas de acceso de origen, etc. Para obtener más información, vaya a Diagnósticos de consultas.
Usar el nivel de advertencia de vista previa web adecuado : use el nivel de advertencia de vista previa web adecuado en las compilaciones de escritorio de Power Query. Moderado y Estricto aseguran que no se carguen sitios web que no haya visitado antes, lo que puede protegerle de cargar sitios web maliciosos. La opción Nivel de advertencia de vista previa web de Power Query solo está disponible en Power BI Desktop o Excel.
Supervisión de consultas nativas enviadas a orígenes de datos: para asegurarse de que las consultas no contienen operaciones inesperadas o potencialmente dañinas, revise periódicamente las consultas reales enviadas a los orígenes de datos. El diagnóstico de consultas puede ayudar a identificar qué consultas se envían. Para obtener más información, diríjase a Evaluación y optimización de consultas.
Seguimiento de las conexiones de los orígenes de datos: supervise a qué orígenes de datos se accede, con qué frecuencia y por qué usuarios para identificar patrones de acceso inusuales que podrían indicar problemas de seguridad. Para obtener más información, vaya a Supervisión del rendimiento.
Auditoría de las operaciones de flujo de datos: realice un seguimiento de las actividades de usuario de los flujos de datos de Power BI mediante el registro de actividad de Power BI para mantener la visibilidad de las operaciones de transformación de datos. Para obtener más información, vaya a Supervisión del flujo de datos.
Seguridad específica del servicio
Power Query incluye consideraciones de seguridad específicas relacionadas con su implementación en diferentes productos y servicios de Microsoft.
Validar conectores personalizados: si usa conectores personalizados, asegúrese de que proceden de orígenes de confianza y que se revisan correctamente para detectar vulnerabilidades de seguridad. Prefiera usar conectores certificados siempre que sea posible. Para más información, vaya a Conectores personalizados.
Scripts seguros de R y Python: al usar scripts de R o Python en Power Query, tenga en cuenta que se ejecutan con los permisos del usuario y podrían acceder a datos confidenciales. Use solo scripts de orígenes de confianza y establezca los niveles de privacidad adecuados. Para obtener más información, vaya a Usar R en el Editor de Power Query.
Procedimientos recomendados para puertas de enlace
- Considere la posibilidad de agrupar en clústeres de puerta de enlace para cargas de trabajo críticas: para entornos empresariales con necesidades críticas de procesamiento de datos, implemente clústeres de puerta de enlace para mejorar la confiabilidad y cumplir distintos requisitos de cumplimiento o seguridad para varios orígenes de datos. Para obtener más información, vaya a Conexión a recursos locales.