Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta línea de base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a Power BI. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Power BI.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido los controles no aplicables a Power BI y aquellos para los que se recomiendan las orientaciones globales textualmente. Para ver cómo Power BI se mapea completamente con Azure Security Benchmark, vea el archivo completo de asignación de línea de base de seguridad de Power BI.
Seguridad de red
Para más información, consulte Azure Security Benchmark: Seguridad de red.
NS-3: Establecimiento del acceso de red privada a los servicios de Azure
Guía: Power BI admite la conexión del inquilino de Power BI a un punto de conexión de Private Link y la deshabilitación del acceso público a Internet.
Responsabilidad: Compartido
NS-4: Protección de aplicaciones y servicios frente a ataques de red externos
Guía: Power BI es una oferta SaaS totalmente administrada y tiene protecciones contra denegación de servicio que Microsoft administra. No se necesita ninguna acción por parte de los clientes para proteger el servicio frente a ataques de redes externas.
Responsabilidad: Microsoft
NS-7: Servicio de nombres de dominio seguro (DNS)
Guía: No aplicable; Power BI no expone sus configuraciones de DNS subyacentes, Microsoft mantiene esta configuración.
Responsabilidad: Microsoft
Administración de identidades
Para más información, consulte Azure Security Benchmark: Identity Management.
IM-1: Estandarización de Azure Active Directory como sistema central de identidad y autenticación
Guía: Power BI se integra con Azure Active Directory (Azure AD), que es el servicio de administración de identidades y acceso predeterminado de Azure. Debe estandarizar en Azure AD para controlar la administración de identidades y acceso de la organización.
La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar la posición de seguridad de las identidades en relación con los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.
Nota: Azure AD admite identidades externas que permiten a los usuarios sin una cuenta microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa.
Responsabilidad: Cliente
IM-2: Administrar identidades de aplicación de forma segura y automática
Guía: Power BI y Power BI Embedded admiten el uso de principales de servicio. Almacene las credenciales de entidad de servicio que se usan para cifrar o acceder a Power BI en un almacén de claves, asigne directivas de acceso adecuadas al almacén y revise periódicamente los permisos de acceso.
Responsabilidad: Cliente
IM-3: Uso del inicio de sesión único (SSO) de Azure AD para el acceso a aplicaciones
Guía: Power BI usa Azure Active Directory (Azure AD) para proporcionar administración de identidades y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Esto incluye no solo las identidades empresariales, como los empleados, sino también las identidades externas, como asociados y proveedores. Esto habilita el inicio de sesión único para administrar y proteger el acceso a los datos y recursos de su organización locales y en la nube. Conecte todos los usuarios, las aplicaciones y los dispositivos a Azure AD para obtener un acceso seguro y sin problemas, y para lograr mayor visibilidad y control.
Responsabilidad: Cliente
IM-7: Eliminar la exposición de credenciales no deseada
Guía: Para las aplicaciones insertadas de Power BI, se recomienda implementar el analizador de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.
Almacene las claves de cifrado o las credenciales de entidad de servicio que se usan para cifrar o acceder a Power BI en un almacén de claves, asigne directivas de acceso adecuadas al almacén y revise periódicamente los permisos de acceso.
En GitHub, puede usar la característica de escaneo de secretos nativos para identificar credenciales u otro tipo de secretos en el código.
Responsabilidad: Compartido
Acceso con privilegios
Para más información, consulte Azure Security Benchmark: Acceso con privilegios.
PA-1: Proteger y limitar usuarios con privilegios elevados
Guía: Para reducir el riesgo y seguir el principio de privilegios mínimos, se recomienda mantener la pertenencia de los administradores de Power BI a un pequeño número de personas. Los usuarios con estos permisos con privilegios podrían acceder y modificar todas las características de administración de la organización. Los administradores globales, mediante Microsoft 365 o Azure Active Directory (Azure AD), poseen también implícitamente derechos de administrador en el servicio Power BI.
Power BI tiene cuentas con privilegios elevados:
- Administración global
- Administrador de facturación…
- Administrador de licencias
- Administrador de usuarios
- Administrador de Power BI
- Administrador de capacidad de Power BI Premium
- Administrador de capacidad de Power BI Embedded
Power BI admite directivas de sesión en Azure AD para habilitar las directivas de acceso condicional y enrutar las sesiones que se usan en Power BI a través del servicio Microsoft Defender for Cloud Apps.
Habilite el acceso con privilegios Just-In-Time (JIT) para las cuentas de administrador de Power BI mediante la administración de acceso con privilegios en Microsoft 365.
Responsabilidad: Cliente
PA-3: Revisar y conciliar el acceso de los usuarios con regularidad
Guía: como administrador del servicio Power BI, puede analizar el uso de todos los recursos de Power BI en el nivel de inquilino mediante informes personalizados basados en el registro de actividad de Power BI. Puede descargar las actividades mediante una API REST o un cmdlet de PowerShell. También puede filtrar los datos de actividad por intervalo de fechas, usuario y tipo de actividad.
Debe cumplir estos requisitos para acceder al registro de actividad de Power BI:
- Debe ser un administrador global o un administrador de servicio Power BI.
- Ha instalado los cmdlets de administración de Power BI localmente o ha usado los cmdlets de administración de Power BI en Azure Cloud Shell.
Una vez cumplidos estos requisitos, puede seguir las instrucciones siguientes para realizar un seguimiento de la actividad del usuario en Power BI:
Responsabilidad: Cliente
PA-6: Uso de estaciones de trabajo con privilegios de acceso
Guía: Las estaciones de trabajo aisladas protegidas son importantes para la seguridad de roles confidenciales, como administradores, desarrolladores y operadores de servicio críticos. Use estaciones de trabajo de usuario altamente seguras o Azure Bastion para tareas administrativas relacionadas con la administración de Power BI. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.
Descripción de las estaciones de trabajo de acceso con privilegios
Implementación de una estación de trabajo de acceso con privilegios
Responsabilidad: Cliente
Protección de datos
Para más información, consulte Azure Security Benchmark: Protección de datos.
DP-1: Detección, clasificación y etiquetado de datos confidenciales
Guía: Use etiquetas de confidencialidad de Microsoft Purview Information Protection en los informes, paneles, conjuntos de datos y flujos de datos para proteger el contenido confidencial contra el acceso y la pérdida de datos no autorizados.
Use etiquetas de confidencialidad de Microsoft Purview Information Protection para clasificar y etiquetar los informes, paneles, conjuntos de datos y flujos de datos en servicio Power BI y para proteger el contenido confidencial contra el acceso a datos no autorizado y la pérdida cuando el contenido se exporta de servicio Power BI a archivos Excel, PowerPoint y PDF.
Responsabilidad: Cliente
DP-2: Protección de datos confidenciales
Guía: Power BI se integra con etiquetas de confidencialidad de Microsoft Purview Information Protection para la protección de datos confidenciales. Para obtener más información, consulte Etiquetas de confidencialidad de Microsoft Purview Information Protection en Power BI.
Power BI permite a los usuarios del servicio traer su propia clave para proteger los datos en reposo. Para más información, consulte Bring your own encryption keys for Power BI (Traiga sus propias claves de cifrado para Power BI).
Los clientes tienen la opción de mantener orígenes de datos locales y aprovechar Direct Query o Live Connect con una puerta de enlace de datos local para minimizar la exposición de datos al servicio en la nube. Para más información, consulte ¿Qué es una puerta de enlace de datos local?
Power BI admite la seguridad de nivel de fila. Para más información, consulte Seguridad de nivel de fila (RLS) con Power BI. Tenga en cuenta que RLS se puede aplicar incluso a orígenes de datos de Direct Query en cuyo caso el archivo PBIX actúa como un proxy de habilitación de seguridad.
Responsabilidad: Cliente
DP-3: Supervisión de la transferencia no autorizada de datos confidenciales
Guía: Este control se puede lograr parcialmente mediante la compatibilidad de Microsoft Defender for Cloud Apps con Power BI.
Mediante Microsoft Defender for Cloud Apps con Power BI, puede ayudar a proteger los informes, datos y servicios de Power BI frente a fugas o vulneraciones no intencionadas. Con Microsoft Defender for Cloud Apps, puede crear directivas de acceso condicional para los datos de su organización, mediante controles de sesión en tiempo real en Azure Active Directory (Azure AD), que ayuden a garantizar que los análisis de Power BI estén protegidos. Una vez que se han establecido estas directivas, los administradores pueden supervisar el acceso y la actividad de los usuarios, realizar análisis de riesgos en tiempo real y establecer controles específicos de la etiqueta.
Responsabilidad: Cliente
DP-4: Cifrado de la información confidencial en tránsito
Guía: Asegúrese de que el tráfico HTTP, así como los clientes y orígenes de datos que se conectan a los recursos de Power BI, puedan negociar TLS v1.2 o superior.
Responsabilidad: Cliente
DP-5: Cifrar datos confidenciales en reposo
Guía: Power BI cifra los datos en reposo y en proceso. De forma predeterminada, Power BI usa claves administradas por Microsoft para cifrar los datos. Las organizaciones pueden optar por usar sus propias claves para el cifrado del contenido del usuario en reposo en Power BI, desde imágenes de informe hasta conjuntos de datos importados en capacidades Premium.
Responsabilidad: Compartido
Administración de recursos
Para más información, consulte Azure Security Benchmark: Asset Management.
AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad de los riesgos de los recursos
Guía: Use Microsoft Sentinel con los registros de auditoría de Office de Power BI para asegurarse de que el equipo de seguridad tenga visibilidad sobre los riesgos de los recursos de Power BI.
Responsabilidad: Cliente
AM-2: Asegurarse de que el equipo de seguridad tiene acceso al inventario de recursos y a los metadatos
Guía: asegúrese de que los equipos de seguridad tengan acceso a un inventario actualizado continuamente de los recursos de Power BI Embedded. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes y como una entrada para mejoras de seguridad continuas.
Azure Resource Graph puede consultar y detectar todos los recursos de Power BI Embedded en sus suscripciones.
Organice de forma lógica los recursos según la taxonomía de su organización mediante etiquetas y otros metadatos en Azure (nombre, descripción y categoría).
Responsabilidad: Cliente
AM-3: Uso de solo servicios de Azure aprobados
Guía: Power BI admite implementaciones basadas en Azure Resource Manager para Power BI Embedded y puede restringir la implementación de sus recursos a través de Azure Policy mediante una definición de directiva personalizada.
Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Responsabilidad: Cliente
registro y detección de amenazas
Para más información, consulte Azure Security Benchmark: Registro y detección de amenazas.
LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure
Guía: reenvíe los registros de Power BI a su SIEM que se pueden usar para configurar detecciones de amenazas personalizadas. Además, use los controles de Microsoft Defender for Cloud Apps en Power BI para habilitar la detección de anomalías mediante la guía aquí.
Responsabilidad: Cliente
LT-3: Habilitación del registro para las actividades de red de Azure
Guía: Power BI es una oferta saaS totalmente administrada y la configuración y el registro de red subyacentes son responsabilidad de Microsoft. Para los clientes que usan Private Links, hay disponible un registro y una supervisión que se pueden configurar.
Responsabilidad: Compartido
LT-4: Habilitación del registro para recursos de Azure
Guía: Con Power BI, tiene dos opciones para realizar un seguimiento de la actividad del usuario: el registro de actividad de Power BI y el registro de auditoría unificado. Estos registros contienen una copia completa de los datos de auditoría de Power BI, pero hay varias diferencias clave, como se resume a continuación.
Registro de auditoría unificado:
Incluye eventos de SharePoint Online, Exchange Online, Dynamics 365 y otros servicios además de los eventos de auditoría de Power BI.
Solo tienen acceso, como administradores globales y auditores, los usuarios con permisos Registros de auditoría o Registros de auditoría de solo lectura.
Los administradores y auditores globales pueden buscar en el registro de auditoría unificado mediante el portal de Microsoft 365 Defender y el Centro de cumplimiento de Microsoft Purview.
Los administradores globales y auditores pueden descargar entradas del registro de auditoría mediante las API y cmdlets de administración de Microsoft 365.
Mantiene los datos de auditoría durante 90 días.
Conserva los datos de auditoría, incluso si el inquilino se mueve a otra región de Azure.
Registro de actividad de Power BI:
Solo incluye los eventos de auditoría de Power BI.
Los administradores globales y los administradores del servicio Power BI tienen acceso.
Todavía no hay ninguna interfaz de usuario para buscar en el registro de actividad.
Los administradores globales y los administradores del servicio Power BI pueden descargar entradas del registro de actividad mediante una API REST de Power BI y un cmdlet de administración.
Mantiene los datos de actividad durante 30 días.
No conserva los datos de actividad cuando el inquilino se mueve a otra región de Azure.
Para obtener más información, consulte las referencias siguientes:
Responsabilidad: Compartido
LT-5: Centralizar la administración y el análisis de los registros de seguridad
Guía: Power BI centraliza los registros en dos lugares: el registro de actividad de Power BI y el registro de auditoría unificado. Estos registros contienen una copia completa de los datos de auditoría de Power BI, pero hay varias diferencias clave, como se resume a continuación.
Registro de auditoría unificado:
Incluye eventos de SharePoint Online, Exchange Online, Dynamics 365 y otros servicios además de los eventos de auditoría de Power BI.
Solo tienen acceso, como administradores globales y auditores, los usuarios con permisos Registros de auditoría o Registros de auditoría de solo lectura.
Los administradores y auditores globales pueden buscar en el registro de auditoría unificado mediante el portal de Microsoft 365 Defender y el Centro de cumplimiento de Microsoft Purview.
Los administradores globales y auditores pueden descargar entradas del registro de auditoría mediante las API y cmdlets de administración de Microsoft 365.
Mantiene los datos de auditoría durante 90 días.
Conserva los datos de auditoría, incluso si el inquilino se mueve a otra región de Azure.
Registro de actividad de Power BI:
Solo incluye los eventos de auditoría de Power BI.
Los administradores globales y los administradores del servicio Power BI tienen acceso.
Todavía no hay ninguna interfaz de usuario para buscar en el registro de actividad.
Los administradores globales y los administradores del servicio Power BI pueden descargar entradas del registro de actividad mediante una API REST de Power BI y un cmdlet de administración.
Mantiene los datos de actividad durante 30 días.
No conserva los datos de actividad cuando el inquilino se mueve a otra región de Azure.
Para obtener más información, consulte las referencias siguientes:
Responsabilidad: Cliente
LT-6: Configuración de la retención del almacenamiento de registros
Guía: Configure las directivas de retención de almacenamiento para los registros de auditoría de Office según los requisitos de cumplimiento, normativas y empresariales.
Responsabilidad: Cliente
LT-7: Uso de orígenes de sincronización de hora aprobados
Guía: Power BI no admite la configuración de sus propios orígenes de sincronización de hora. El servicio Power BI se basa en los orígenes de sincronización de hora de Microsoft y no se expone a los clientes para su configuración.
Responsabilidad: Microsoft
administración de posturas y vulnerabilidades
Para más información, consulte Azure Security Benchmark: Posture and Vulnerability Management.
PV-1: Establecimiento de configuraciones seguras para los servicios de Azure
Guía: configure el servicio Power BI con la configuración adecuada para la organización y la postura de seguridad. La configuración para el acceso al servicio y el contenido, así como el área de trabajo y la seguridad de la aplicación deben tenerse en cuenta cuidadosamente. Consulte Seguridad y protección de datos de Power BI en las notas del producto Implementación de Power BI Enterprise.
Responsabilidad: Cliente
PV-2: Mantenimiento de configuraciones seguras para los servicios de Azure
Guía: supervise la instancia de Power BI mediante las API REST de administración de Power BI.
Responsabilidad: Cliente
PV-3: Establecimiento de configuraciones seguras para los recursos de proceso
Guía: Power BI es una oferta saaS totalmente administrada, los recursos de proceso subyacentes del servicio están protegidos y administrados por Microsoft.
Responsabilidad: Microsoft
PV-4: Mantener configuraciones seguras para los recursos de proceso
Guía: Power BI es una oferta saaS totalmente administrada, los recursos de proceso subyacentes del servicio están protegidos y administrados por Microsoft.
Responsabilidad: Microsoft
PV-5: Almacenar de forma segura imágenes de contenedor y sistema operativo personalizados
Guía: Power BI es una oferta saaS totalmente administrada, los recursos de proceso subyacentes del servicio están protegidos y administrados por Microsoft.
Responsabilidad: Microsoft
PV-6: Realizar evaluaciones de vulnerabilidades de software
Guía: Power BI es una oferta saaS totalmente administrada, microsoft examina y administra los recursos de proceso subyacentes del servicio.
Responsabilidad: Microsoft
PV-7: Corregir rápidamente y automáticamente las vulnerabilidades de software
Guía: Power BI es una oferta saaS totalmente administrada, microsoft examina y administra los recursos de proceso subyacentes del servicio.
Responsabilidad: Microsoft
PV-8: Realizar simulación de ataque regular
Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados críticos de seguridad.
siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.
Responsabilidad: Compartido
seguridad de los puntos de conexión
Para obtener más información, consulte Azure Security Benchmark: Endpoint Security.
ES-1: Uso de la detección y respuesta de puntos de conexión (EDR)
Guía: Power BI no implementa ningún recurso de proceso orientado al cliente que requeriría a los clientes configurar la protección de detección y respuesta de puntos de conexión (EDR). Microsoft controla la infraestructura subyacente de Power BI, que incluye antimalware y el control de EDR.
Responsabilidad: Microsoft
ES-2: Uso de software antimalware moderno administrado centralmente
Guía: Power BI no implementa ningún recurso de proceso orientado al cliente que requeriría a los clientes configurar la protección contra malware. Microsoft controla la infraestructura subyacente de Power BI, que incluye el examen antimalware.
Responsabilidad: Microsoft
ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware
Guía: Power BI no implementa ningún recurso de proceso orientado al cliente que requeriría a los clientes asegurarse de que las firmas antimalware se actualizan de forma coherente. Microsoft controla la infraestructura subyacente de Power BI, que incluye el control de todo el antimalware.
Responsabilidad: Microsoft
Copia de seguridad y recuperación
Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.
BR-3: Validar todas las copias de seguridad, incluidas las claves administradas por el cliente
Guía: Si usa la característica Bring Your Own Key (BYOK) en Power BI, debe validar periódicamente que puede acceder a las claves administradas por el cliente y restaurarla.
Responsabilidad: Cliente
BR-4: Mitigación del riesgo de pérdida de claves
Orientación: Si utiliza la funcionalidad Bring Your Own Key (BYOK) en Power BI, debe asegurarse de que el almacén de claves que controla las claves administradas por el cliente esté configurado según las orientaciones en la documentación de BYOK en Power BI a continuación. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.
Para los recursos de la clave de puerta de enlace, asegúrese de seguir las instrucciones de la documentación de la clave de recuperación de puerta de enlace siguiente.
Responsabilidad: Cliente
Pasos siguientes
- Consulte la introducción a Azure Security Benchmark V2.
- Más información sobre las líneas base de seguridad de Azure