Keamanan Power BI
Untuk informasi mendetail tentang keamanan Power BI, lihat laporan resmi Keamanan Power BI.
Untuk merencanakan keamanan Power BI, lihat seri keamanan perencanaan implementasi Power BI. Ini meluas pada konten di laporan resmi Keamanan Power BI. Meskipun laporan resmi keamanan Power BI berfokus pada topik teknis utama seperti autentikasi, residensi data, dan isolasi jaringan, tujuan utama seri ini adalah untuk memberi Anda pertimbangan dan keputusan untuk membantu Anda merencanakan keamanan dan privasi.
layanan Power BI dibangun di Azure, infrastruktur dan platform komputasi cloud Microsoft. Arsitektur layanan Power BI didasarkan pada dua kluster:
- Kluster Web Front End (WFE). Kluster WFE mengelola koneksi awal dan autentikasi ke layanan Power BI.
- Kluster Back-End . Setelah diautentikasi, Back-End menangani semua interaksi pengguna berikutnya. Power BI menggunakan ID Microsoft Entra untuk menyimpan dan mengelola identitas pengguna. MICROSOFT Entra ID juga mengelola penyimpanan data dan metadata masing-masing menggunakan Azure BLOB dan Azure SQL Database.
Arsitektur Power BI
Kluster WFE menggunakan ID Microsoft Entra untuk mengautentikasi klien, dan menyediakan token untuk koneksi klien berikutnya ke layanan Power BI. Power BI menggunakan Azure Traffic Manager (Traffic Manager) untuk mengarahkan lalu lintas pengguna ke pusat data terdekat. Traffic Manager mengarahkan permintaan menggunakan catatan DNS klien yang mencoba menyambungkan, mengautentikasi, dan mengunduh konten dan file statis. Power BI menggunakan Azure Content Delivery Network (CDN) untuk mendistribusikan konten dan file statis yang diperlukan secara efisien kepada pengguna berdasarkan lokal geografis.
Kluster Back-End menentukan bagaimana klien terautentikasi berinteraksi dengan layanan Power BI. Kluster Back-End mengelola visualisasi, dasbor pengguna, model semantik, laporan, penyimpanan data, koneksi data, refresh data, dan aspek lain dari berinteraksi dengan layanan Power BI. Peran Gateway bertindak sebagai gateway antara permintaan pengguna dan layanan Power BI. Pengguna tidak berinteraksi langsung dengan peran apa pun selain Peran Gateway. Azure API Management akhirnya menangani Peran Gateway.
Penting
Hanya peran Azure API Management dan Gateway yang dapat diakses melalui Internet publik. Mereka menyediakan autentikasi, otorisasi, perlindungan DDoS, pembatasan, penyeimbangan beban, perutean, dan kemampuan lainnya.
Keamanan Storage Data
Power BI menggunakan dua repositori utama untuk menyimpan dan mengelola data:
- Data yang diunggah dari pengguna biasanya dikirim ke Azure Blob Storage.
- Semua metadata termasuk item untuk sistem itu sendiri disimpan di Azure SQL Database.
Garis putus-putus yang ditunjukkan dalam diagram kluster Back-End , mengklarifikasi batas antara dua komponen yang dapat diakses oleh pengguna yang ditampilkan di sebelah kiri garis putus-putus. Peran yang hanya dapat diakses oleh sistem ditampilkan di sebelah kanan. Saat pengguna terautentikasi tersambung ke Layanan Power BI, koneksi dan permintaan apa pun oleh klien diterima dan dikelola oleh Peran Gateway yang kemudian berinteraksi atas nama pengguna dengan layanan Power BI lainnya. Misalnya, ketika klien mencoba menampilkan dasbor, Peran Gateway menerima permintaan tersebut, lalu secara terpisah mengirim permintaan ke Peran Presentasi untuk mengambil data yang diperlukan oleh browser untuk menampilkan dasbor. Akhirnya, koneksi dan permintaan klien ditangani oleh Azure API Management.
Otentikasi Pengguna
Power BI menggunakan ID Microsoft Entra untuk mengautentikasi pengguna yang masuk ke layanan Power BI. Kredensial masuk diperlukan setiap kali pengguna mencoba mengakses sumber daya yang aman. Pengguna masuk ke layanan Power BI menggunakan alamat email tempat mereka membuat akun Power BI mereka. Power BI menggunakan kredensial yang sama dengan nama pengguna yang efektif dan meneruskannya ke sumber daya setiap kali pengguna mencoba menyambungkan ke data. Nama pengguna yang efektif kemudian dipetakan ke Nama Prinsipal Pengguna dan diselesaikan ke akun domain Windows terkait tempat autentikasi diterapkan.
Untuk organisasi yang menggunakan alamat email kerja untuk masuk Power BI, misalnya david@contoso.com
, nama pengguna yang efektif untuk pemetaan UPN sangat mudah. Untuk organisasi yang tidak menggunakan alamat email kerja, misalnya david@contoso.onmicrosoft.com
pemetaan antara ID Microsoft Entra dan kredensial lokal mengharuskan sinkronisasi direktori berfungsi dengan baik.
Keamanan platform untuk Power BI juga mencakup keamanan lingkungan multi-penyewa, keamanan jaringan, dan kemampuan untuk menambahkan langkah-langkah keamanan berbasis ID Microsoft Entra lainnya.
Keamanan Data dan Layanan
Untuk informasi selengkapnya, lihat Pusat Kepercayaan Microsoft, Produk, dan layanan yang berjalan berdasarkan kepercayaan.
Seperti yang dijelaskan sebelumnya, server AD lokal menggunakan masuk Power BI untuk memetakan ke UPN untuk kredensial. Namun, pengguna harus memahami sensitivitas data yang mereka bagikan. Setelah Anda terhubung dengan aman ke sumber data, lalu berbagi laporan, dasbor, atau model semantik dengan orang lain, penerima diberikan akses ke laporan. Penerima tidak perlu masuk ke sumber data.
Pengecualian menyambungkan ke SQL Server Analysis Services menggunakan gateway data lokal. Dasbor di-cache di Power BI, tetapi akses ke laporan atau model semantik yang mendasar memulai autentikasi untuk setiap pengguna yang mencoba mengakses laporan atau model semantik. Akses hanya akan diberikan jika pengguna memiliki kredensial yang memadai untuk mengakses data. Untuk informasi selengkapnya, lihat Gateway data lokal secara mendalam.
Menerapkan penggunaan versi TLS
Administrator jaringan dan TI dapat memberlakukan persyaratan untuk menggunakan Keamanan Lapisan Transportasi (TLS) saat ini untuk komunikasi aman apa pun di jaringan mereka. Windows menyediakan dukungan untuk versi TLS melalui Penyedia Microsoft Schannel, untuk informasi selengkapnya, lihat Protokol di TLS/SSL (Schannel SSP).
Penerapan ini diimplementasikan dengan mengatur kunci registri secara administratif. Untuk detail penerapan, lihat Mengelola Protokol SSL/TLS dan Cipher Suites untuk Layanan Federasi Direktori Aktif.
Power BI Desktop memerlukan TLS (Keamanan Lapisan Transportasi) versi 1.2 (atau lebih tinggi) untuk mengamankan titik akhir Anda. Browser web dan aplikasi klien lain yang menggunakan versi TLS yang lebih lama dari TLS 1.2 tidak dapat terhubung. Jika versi TLS yang lebih baru diperlukan, Power BI Desktop menghormati pengaturan kunci registri yang dijelaskan dalam artikel tersebut, dan hanya membuat koneksi yang memenuhi persyaratan versi TLS yang diizinkan berdasarkan pengaturan registri tersebut, saat ada.
Untuk informasi selengkapnya tentang mengatur kunci registri ini, lihat Pengaturan registri Keamanan Lapisan Transportasi (TLS).