Power BI:n käyttöönoton suunnittelu: Tietojen suojaaminen ja tietojen menetyksen estäminen

  • Artikkeli

Muistiinpano

Tämä artikkeli on osa Power BI:n käyttöönoton suunnittelun artikkelisarjaa. Tässä sarjassa keskitytään ensisijaisesti Power BI -kuormitukseen Microsoft Fabricissa. Johdanto sarjaan on artikkelissa Power BI:n käyttöönoton suunnittelu.

Tässä artikkelissa esitellään artikkelit Power BI:n tietojen suojaamisesta ja tietojen menetyksen estämisestä (DLP). Nämä artikkelit on kohdistettu useille käyttäjäryhmille:

  • Power BI -järjestelmänvalvojat: Järjestelmänvalvojat, jotka vastaavat Power BI:n valvonnasta organisaatiossa. Power BI -järjestelmänvalvojien on tehtävä yhteistyötä tietoturvatiimien ja muiden asiaankuuluvien tiimien kanssa.
  • Center of Excellence, IT- ja BI-tiimit: Tiimit, jotka vastaavat Power BI:n valvonnasta organisaatiossa. Heidän täytyy ehkä tehdä yhteistyötä Power BI -järjestelmänvalvojien, tietoturvatiimien ja muiden asiaankuuluvien tiimien kanssa.

Tärkeä

Tietosuoja ja DLP ovat merkittävä koko organisaation laajuinen yritys. Sen vaikutus on paljon suurempi kuin pelkästään Power BI:ssä. Tämäntyyppinen aloite edellyttää rahoitusta, priorisointia ja suunnittelua. Voit odottaa, että suunnitteluun, käyttöön ja valvontaan osallistuu useita funktionaalisia tiimejä.

Koska hallinnoit organisaatiosi Power BI:tä, et yleensä ole suoraan vastuussa suurimmasta osasta tietojen suojausta ja DLP:tä. Nämä vastuut kuuluvat todennäköisesti tietoturvatiimille ja muille järjestelmänvalvojille.

Tämän artikkelijoukon painopisteenä ovat seuraavat:

  • Miksi: Miksi nämä ominaisuudet ovat tärkeitä vaatimustenmukaisuuden ja valvonnan kannalta.
  • Mitä: Yleiskatsaus siitä, mitä päästä päähän -prosessi sisältää.
  • Ken: Mitkä tiimit osallistuvat alusta loppuun -prosessiin.
  • Edellytykset: Asiat, jotka on otettava käyttöön ennen tietojen suojaamisen ja DLP-ominaisuuksien käyttöönottoa Power BI:ssä.

Tärkeä

Power BI -järjestelmänvalvojan rooli on nimetty uudelleen. Roolin uusi nimi on Fabric-järjestelmänvalvoja.

Organisaation tietojen suojaaminen

Tietoja on useissa sovelluksissa ja palveluissa. Se tallennetaan lähdetietokantoihin ja -tiedostoihin. Se julkaistaan Power BI -palvelu. Se on myös Power BI -palvelu ulkopuolella alkuperäisinä tiedostoina, ladattuina tiedostoina ja vietyinä tietoina. Kun tiedot tulevat helppokäyttöisemmiksi ja useammissa resursseissa, tapa, jolla tietoja suojataan, muuttuu yhä tärkeämmäksi.

Lyhyesti sanottuna tietojen suojaamisessa on kyse:

  • Lokero organisaation tietojen vahtiminen.
  • Luottamuksellisten tietojen luvattoman tai tahattoman jakamisen riskin vähentäminen.
  • Säädösten vaatimustenmukaisuustilan vahvistaminen.

Tietojen suojaaminen on monimutkainen aihe. Ylätasolla Power BI:tä koskevia aiheita ovat muun muassa seuraavat:

  • Käyttäjien vastuulliset toimet: Käyttäjät, jotka ovat saaneet opastusta ja koulutusta ja ymmärtävät selvästi, mitä heiltä odotetaan, voivat toimia eettisesti. He voivat ottaa käyttöön kulttuurin, joka arvostaa suojausta, yksityisyyttä ja yhteensopivuutta heidän työnsä normaalin kurssin aikana.
  • Oikean kokoiset käyttäjien suojausoikeudet: Power BI:ssä tietojen ja raporttien suojaaminen on erillään näissä artikkeleissa kuvatuista tietojen suojaamisesta ja DLP-toiminnoista. Power BI:n suojausmenetelmiä ovat esimerkiksi työtilan roolit, jakaminen, sovelluksen käyttöoikeudet ja rivitason suojaus (RLS). Suojaustekniikoita, kuten työtilan rooleja, sovelluksen käyttöoikeuksia, kohdekohtaista jakamista ja rivitason suojausta, käsitellään suojauksen suunnittelun artikkeleissa.
  • Tietojen elinkaaren hallinta: Varmuuskopioiden ja versionhallinnan kaltaiset prosessit ovat tärkeitä tietojen suojaamiseksi. Salausavaintenja maantieteellisten sijaintien määrittäminen tietojen tallennusta varten on myös huomioitavaa.
  • Tietojen suojaus: Sisällön merkitseminen ja luokitteleminen luottamuksellisuustunnisteiden avulla on ensimmäinen askel kohti sisällön suojaamista. Tietojen suojausta käsitellään tässä artikkelisarjassa.
  • Tietojen menetyksen estämiskäytännöt: DLP viittaa ohjausobjekteihin ja käytäntöihin, jotka vähentävät tietovuodoiden riskiä. Tietojen menetyksen estäminen käsitellään tässä artikkelisarjassa.

Artikkelisarjassa information protection ja DLP keskitytään kahteen viimeiseen luetelmakohtaan: tietojen suojaamiseen ja DLP:hen ja erityisesti siihen, miten ne liittyvät Power BI:hin.

Suosittelemme, että tutustut myös Microsoft Purview Information Protectionin täydelliseen kehykseen: tunnista tietosi, suojaa tietosi, estä tietojen menettäminen ja hallinnoi tietojasi.

Vihje

Organisaatiosi IT-osastolla on olemassa olevia prosesseja, joita pidetään tietojen suojaamisena, mutta jotka eivät kuulu tämän artikkelisarjan piiriin. Prosessit voivat sisältää lähdetietokantajärjestelmiin liittyviä suuren käytettävyyden ja järjestelmäpalautuksen toimia. Niihin voisi kuulua myös mobiililaitteiden suojaaminen. Muista tunnistaa ja ottaa mukaan asiaankuuluvat teknologia- ja hallintotiimit kaikissa suunnittelutoimissasi.

Yleiset käyttötapaukset

Power BI:n vaatimustenmukaisuushaasteet ja säädösten raportointivaatimukset ovat usein liikkeellepaneva tekijä tietojen suojaamisen ja DLP:n käytön aloittamisessa.

Vihje

Tietojen vuoto viittaa siihen vaaraan, että valtuuttamattomat käyttäjät tarkastelevat tietoja. Termiä käytetään usein viitattaessa ulkoisiin käyttäjiin. Se voi kuitenkin koskea myös sisäisiä käyttäjiä. Tietovuotoriskin vähentäminen on yleensä etusijalla tietosuoja- ja DLP-toimissa. Kaikki tässä osiossa luetellut käyttötapaukset voivat auttaa vähentämään tietovuotoja.

Tässä osiossa on yleisiä käyttötapauksia, joissa organisaatio pakotetaan toteuttamaan tietojen suojausta ja DLP:tä. Käyttötapaukset keskittyvät ensisijaisesti Power BI:hin, vaikka edut organisaatiolle ovat paljon laajemmat.

Tietojen luokitteleminen ja otsikoiminen

Organisaatioilla on yleensä ulkoisia tai sisäisiä vaatimuksia sisällön luokittelemiseksi ja merkitsemiseksi. Luottamuksellisuustunnisteiden käyttö Power BI:ssä (ja myös muissa organisaation sovelluksissa ja palveluissa) on keskeinen tekijä yhteensopivuusvaatimusten täyttämisessä.

Kun olet määrittänyt luottamuksellisuustunnisteen Power BI -sisältöön, voit saada tietoja ja merkityksellisiä tietoja:

  • Määrittää, sisältyykö luottamuksellisia tietoja Power BI -työtilaan.
  • Katsotaanko tiettyä Power BI -kohdetta, kuten semanttista mallia – jota aiemmin kutsutaan tietojoukoksi, luottamuksellisena.
  • Ken voivat käyttää Power BI -kohteita, joita pidetään arkaluonteisina.
  • Ken on käyttänyt luottamuksellisia tietoja Power BI -palvelu.

Luottamuksellisuustunnisteet voidaan päästä päähän -suojauksessa (valinnaisesti) periä automaattisesti tietolähteistä. Tunnisteiden periytyminen vähentää riskiä, että käyttäjät voivat käyttää ja jakaa luottamuksellisia tietoja valtuuttamattomille käyttäjille, koska niitä ei ole merkitty.

Kun luottamuksellisuustunnisteet viedään Power BI -palvelu, ne säilytetään, kun sisältö viedään tuettuihin tiedostotyyppeihin. Toinen avaintekijä tietovuodon vähentämisessä on tunnisteen säilyttäminen, kun sisältö viedään.

Lisätietoja Power BI -sisällön otsikoimisesta ja luokittelusta on artikkelissa Power BI:n tietojen suojaus.

Käyttäjien kouluttaminen

Kuten edellä mainittiin, tietojen suojaamiseen liittyy vastuullisia toimia, joihin käyttäjät ovat ryhtyneet.

Koska luottamuksellisuustunnisteet näkyvät selvästi vain teksti -muodossa, ne toimivat hyödyllisinä muistutuksina käyttäjille. Työnsä normaalin kurssin aikana tunnisteet lisäävät tietoisuutta siitä, miten käyttäjien tulee käsitellä tietoja organisaation ohjeiden ja käytäntöjen mukaisesti.

Jos käyttäjä esimerkiksi näkee erittäin luottamuksellisuustunnisteen erittäin luottamuksellinen , hänen tulisi olla erityisen varovainen, kun hän tekee päätöksiä sisällön lataamisesta, tallentamisesta tai jakamisesta muiden kanssa. Näin luottamuksellisuustunnisteet auttavat käyttäjiä käsittelemään luottamuksellisia tietoja vastuullisesti ja vähentämään riskiä siitä, että tiedot on jaettu vahingossa valtuuttamattomille käyttäjille.

Lisätietoja on artikkelissa Power BI:n tietojen suojaus.

Luottamuksellisten tietojen tunnistaminen

Mahdollisuus tunnistaa, minne luottamukselliset tiedot tallennetaan, on toinen tärkeä tietovuodon osa.

Kun tietojoukko on julkaistu Power BI -palvelu ja se on Premium-työtilassa, voit käyttää Power BI:n DLP:tä tiettyjen luottamuksellisten tietotyyppien olemassaolon tunnistamiseen. Tästä ominaisuudesta on hyötyä sellaisten luottamuksellisten tietojen (kuten taloudellisten tietojen tai henkilötietojen) löytämisessä, jotka on tallennettu Power BI:n semanttisiin malleihin.

Tärkeä

Joskus tämä artikkeli viittaa Power BI Premiumiin tai sen kapasiteettitilauksiin (P-varastointiyksiköt). Ota huomioon, että Microsoft vahvistaa parhaillaan ostovaihtoehtoja ja poistaa käytöstä Kapasiteettikohtaisen Power BI Premiumin. Uusien ja nykyisten asiakkaiden kannattaa harkita Fabric-kapasiteettitilausten (F-varastointiyksiköiden) ostamista.

Lisätietoja on artikkelissa Power BI Premium -käyttöoikeuksien tärkeä päivitys ja Power BI Premiumin usein kysytyt kysymykset.

Tämäntyyppisen Power BI:n DLP-käytännön avulla suojauksen järjestelmänvalvojat voivat valvoa ja tunnistaa, milloin valtuuttamattomat arkaluontoiset tiedot ladataan Power BI -palvelu. Ne voivat riippua siitä, että hälytykset toimivat nopeasti. Käytäntövinkkejä käytetään myös ohjaamaan sisällöntekijöille ja omistajille, miten arkaluontoisia tietoja käsitellään oikein. Lisätietoja DLP for Power BI:stä on artikkelissa Tietojen menetyksen estäminen Power BI:ssä.

Vihje

Kun olet luokitellut tiedot oikein, voit korreloida, analysoida ja raportoida niitä. Useimmissa tapauksissa sinun on suhteutettava tietoja useista lähteistä, jotta saat kokonaisymmärryksen. Voit tallentaa tietoja käyttämällä työkaluja, kuten Power BI -skannerin ohjelmointirajapintoja ja Power BI:n toimintalokia. Lisätietoja näistä aiheista sekä valvontalokeista Microsoft Purview -yhteensopivuusportaali on artikkelissa Tietojen suojaamisen valvonta ja tietojen menetyksen estäminen Power BI:ssä.

Tietojen salauksen käyttäminen

Luottamuksellisuustunnisteella luokitellut tiedostot voivat (valinnaisesti) sisältää suojauksen. Kun tiedosto on suojattu salauksella, se vähentää tietovuodon ja ylijakamisen riskiä. Salausasetus seuraa tiedostoa laitteesta tai käyttäjästä riippumatta. Valtuuttamattomat käyttäjät (organisaation sisäiset ja ulkoiset käyttäjät) eivät voi avata, purkaa salausta tai tarkastella tiedoston sisältöä.

Tärkeä

Salauksen käyttöönottoon liittyvät kompromissit on syytä ymmärtää. Lisätietoja, mukaan lukien salaukseen liittyvät seikat, on artikkelissa Power BI:n tietojen suojaus.

Lisätietoja ohjausobjektityypeistä, joita voit käyttää tietovuodon vähentämiseksi, on artikkelissa Defender for Cloud Apps for Power BI.

Toimintojen reaaliaikainen hallinta

Jos haluat laajentaa Power BI:n olemassa olevia suojausasetuksia, voit ottaa käyttöön reaaliaikaisia ohjausobjekteja tietovuodon riskin pienentämiseksi.

Voit esimerkiksi rajoittaa käyttäjiä lataamasta erittäin arkaluontoisia tietoja ja raportteja Power BI -palvelu. Tämäntyyppisestä reaaliaikaisista valvonnasta on hyötyä, kun käyttäjä saa tarkastella sisältöä itse, mutta häntä ei pidä estää lataamasta ja jakamasta sitä muille.

Lisätietoja ohjausobjektityypeistä, joita voit käyttää, on kohdassa Defender for Cloud Apps for Power BI.

Vihje

Lisätietoja Power BI:n vaatimustenmukaisuuden vahvistamisesta on artikkelissa Suojauksen suunnittelun artikkelit.

Tietojen suojaaminen ja DLP-palvelut

Monet information protectioniin ja DLP:hen liittyvät ominaisuudet ja palvelut on nimetty uudelleen, ja ne ovat nyt osa Microsoft Purview'ta. Myös Microsoft 365:n tietoturva- ja yhteensopivuustoiminnoista on tullut osa Microsoft Purview'ta.

Tämän artikkelisarjan tärkeimpiä ominaisuuksia ja palveluita ovat seuraavat:

  • Microsoft Purview Information Protection (aiemmalta nimeltään Microsoft Information Protection): Microsoft Purview Information Protection sisältää ominaisuuksia tietojen etsimiseen, luokittelemiseen ja suojaamiseen. Avainperiaate on, että tiedot voidaan suojata paremmin luokitelluissa tiedoissa. Tietojen luokittelun peruselementit ovat luottamuksellisuustunnisteet, jotka on kuvattu Artikkelissa Power BI:n tietojen suojaaminen.
  • Microsoft Purview -yhteensopivuusportaali (aiemmalta nimeltään Microsoft 365 -yhteensopivuuskeskus): Luottamuksellisuustunnisteet määritetään portaalissa. Siellä määrität myös Power BI:n DLP:lle, joka on kuvattu artikkelissa Tietojen menetyksen estäminen Power BI:lle.
  • Microsoft Purview -tuotteen tietojen menetyksen esto (aiemmalta nimeltään Office 365 Data Loss Prevention): DLP-toimissa keskitytään ensisijaisesti tietovuodoiden vähentämiseen. Käyttämällä luottamuksellisuustunnisteita tai luottamuksellisia tietotyyppejä Microsoft Purview -tuotteen tietojen menetyksen esto käytäntöjen avulla organisaatio voi paikantaa arkaluontoisia tietoja ja suojata ne. Power BI:hin liittyvät toiminnot on kuvattu artikkelissa Tietojen menetyksen estäminen Power BI:lle.
  • Microsoft Defender for Cloud Apps (aiemmalta nimeltään Microsoft Cloud App Security): Microsoft Defender for Cloud Appsin käytännöt (jotka on määritetty erillisessä sovelluksessa) auttavat myös suojaamaan tietoja, myös reaaliaikaisia ohjausobjekteja. Power BI:hin liittyvät toiminnot on kuvattu Artikkelissa Defender for Cloud Apps for Power BI .

Yllä oleva luettelo ei ole tyhjentävä. Microsoft Purview sisältää laajan ominaisuusjoukon, joka ylittää tämän artikkelisarjan laajuuden. Esimerkiksi Microsoft Purview -tietojen luetteloinnin ja hallinnon ominaisuudet ovat tärkeitä. Ne eivät kuitenkaan kuulu suoraan tämän artikkelisarjan piiriin.

Vihje

Jos sinulla on kysyttävää palveluista, ominaisuuksista tai käyttöoikeuksista, ota yhteyttä Microsoft-tilitiimiisi. He voivat selventää organisaatiosi tarjoamia ominaisuuksia parhaalla mahdollisella tavalla.

Tietojen suojaamisen ja DLP-sisällön loppuosa on jaettu seuraaviin artikkeleihin:

Liittyvä sisältö

Tämän sarjan seuraavassa artikkelissa kerrotaan, miten voit aloittaa tietojen suojaamisen Power BI:n organisaatiotason suunnittelutoimilla.