Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dodatek Power Query umożliwia wyodrębnianie, przekształcanie i ładowanie danych z różnych źródeł do miejsc docelowych, takich jak Power BI, Excel, Dataverse i Azure Data Lake Storage. W przypadku korzystania z dodatku Power Query ważne jest stosowanie najlepszych rozwiązań w zakresie zabezpieczeń w celu ochrony danych, konfiguracji i połączeń.
Ten artykuł zawiera wskazówki dotyczące stosowania najlepszych rozwiązań w zakresie zabezpieczeń podczas pracy z programem Power Query, co pomaga chronić przed zagrożeniami zewnętrznymi.
Ochrona danych
Dodatek Power Query przetwarza dane z różnych źródeł, co sprawia, że niezbędne jest zaimplementowanie odpowiednich środków ochrony danych w celu zapobiegania nieautoryzowanemu dostępowi i wyciekowi danych między źródłami.
Skonfiguruj poziomy prywatności dla każdego źródła danych: ustaw odpowiednie poziomy prywatności (prywatne, organizacyjne, publiczne), aby zapobiec przypadkowemu transferowi danych między źródłami o różnych poziomach poufności. Prywatne źródła danych nie mogą udostępniać danych innym źródłom, zapewniając ochronę poufnych informacji. Aby uzyskać więcej informacji, zobacz Poziomy prywatności w dodatku Power Query.
Unikaj ignorowania poziomów prywatności: nie włączaj opcji Szybkiego łączenia ("Ignoruj poziomy prywatności"), ponieważ może ona uwidaczniać poufne lub poufne dane nieautoryzowanym użytkownikom. To ustawienie może poprawić wydajność, ale narusza zabezpieczenia zabezpieczeń. Aby uzyskać więcej informacji, zobacz Ustawianie opcji poziomu prywatności.
Bezpiecznie używaj sparametryzowanych zapytań: w przypadku używania dynamicznych parametrów zapytania języka M unikaj łączenia ciągów w zapytaniach i zamiast tego używaj operacji języka M złożonych do zapytania źródłowego, aby zapobiec potencjalnym atakom polegającym na wstrzyknięciu. Rozważ użycie mechanizmów przekazywania parametrów wbudowanych w źródłowy język zapytań, gdy jest dostępny. Aby uzyskać więcej informacji, zobacz Ograniczanie ryzyka zabezpieczeń przy użyciu parametrów.
Szyfruj połączenia danych: podczas nawiązywania połączenia ze źródłami danych obsługującymi szyfrowanie zawsze włączaj opcje bezpiecznego połączenia. Na przykład podczas nawiązywania połączenia z bazami danych upewnij się, że opcja "Użyj połączenia szyfrowanego" jest wybrana tam, gdzie jest dostępna. Aby uzyskać więcej informacji, zobacz Ustawienia połączenia w usłudze Power Query Online.
Zweryfikuj stan odwołania certyfikatów: Upewnij się, że połączenia SSL obejmują kontrole stanu odwołania certyfikatów, aby zapobiec połączeniom z serwerami z naruszonym zabezpieczeniami. Chociaż można wyłączyć te kontrole, może to spowodować ujawnienie danych zagrożeniom bezpieczeństwa. Aby uzyskać więcej informacji, przejdź do tematu Odwołania certyfikatów.
Zarządzanie tożsamością i dostępem
Zabezpieczanie dodatku Power Query rozpoczyna się od zaimplementowania niezawodnych mechanizmów kontroli tożsamości i dostępu w celu zapewnienia, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do źródeł danych i przekształceń.
Użyj uwierzytelniania Microsoft Entra ID, jeśli jest dostępne: Użyj Microsoft Entra ID (dawniej Azure AD), aby zabezpieczyć uwierzytelnianie w źródłach danych, zwłaszcza w przypadku usług w chmurze. Ten protokół zapewnia scentralizowane zarządzanie tożsamościami i obsługuje funkcje, takie jak dostęp warunkowy i uwierzytelnianie wieloskładnikowe. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie w aplikacjach desktopowych.
Zaimplementuj dostęp z najmniejszymi uprawnieniami: przypisz tylko niezbędne uprawnienia do użytkowników łączących się ze źródłami danych za pośrednictwem dodatku Power Query. Unikaj używania kont administracyjnych lub wysokich uprawnień w przypadku rutynowych połączeń danych. Aby uzyskać więcej informacji, przejdź do tematu Połączenia i uwierzytelnianie w usłudze Power Query Online.
Ogranicz niecertyfikowane łączniki: domyślnie dodatek Power Query zgłasza błąd podczas próby załadowania niecertyfikowanych łączników. Zachowaj to ustawienie, aby zapobiec używaniu łączników niestandardowych, które nie są weryfikowane pod kątem zabezpieczeń. Aby uzyskać więcej informacji, zobacz Opcje zabezpieczeń rozszerzenia danych.
Wymagaj zatwierdzenia przez użytkownika dla zapytań natywnych: zachowaj ustawienie domyślne, które wymaga zatwierdzenia użytkownika przed uruchomieniem natywnych zapytań bazy danych, ponieważ potencjalnie mogą wykonywać złośliwe instrukcje SQL, które modyfikują lub usuwają rekordy bazy danych, gdy użytkownik ma wystarczające uprawnienia. Aby uzyskać więcej informacji, zobacz Natywne zapytania bazy danych.
Bezpieczne zarządzanie magazynem poświadczeń: dodatek Power Query szyfruje i przechowuje poświadczenia oddzielnie od modeli danych, ułatwiając ponowne użycie poświadczeń bez ujawniania poufnych informacji. Upewnij się, że tylko autoryzowani użytkownicy mają dostęp do zarządzania tymi przechowywanymi poświadczeniami. Aby uzyskać więcej informacji, zobacz Planowanie implementacji usługi Power BI: Planowanie zabezpieczeń twórcy zawartości.
Bezpieczeństwo sieci
Implementowanie kontrolek zabezpieczeń sieciowych pomaga zabezpieczać połączenia Power Query i uniemożliwia nieautoryzowany dostęp do źródeł danych.
Użyj bram danych dla lokalnych źródeł danych: zaimplementuj lokalne bramy danych lub bramy danych sieci wirtualnej, aby bezpiecznie łączyć się ze źródłami danych w sieciach prywatnych bez uwidaczniania ich do publicznego Internetu. Aby uzyskać więcej informacji, zobacz Łączenie ze źródłem danych dodatku Power Query.
Implementowanie izolacji sieci dla poufnych źródeł danych: użyj bram danych sieci wirtualnej, aby połączyć się z usługami platformy Azure w sieci wirtualnej bez konieczności lokalnej bramy danych na maszynie wirtualnej. Użycie bramy sieci wirtualnej zapewnia kolejną warstwę izolacji sieci dla poufnych danych. Aby uzyskać więcej informacji, zobacz Bramy danych sieci wirtualnej.
Włącz szyfrowanie TLS dla wszystkich połączeń: upewnij się, że połączenia ze źródłami danych korzystają z szyfrowania Tls (Transport Layer Security) z nowoczesnymi zestawami szyfrowania. Nieaktualne zestawy szyfrowania mogą nie być obsługiwane i mogą stanowić zagrożenie bezpieczeństwa. Aby uzyskać więcej informacji, przejdź do tematu Zestawy szyfrowania Power Query.
Konfigurowanie zapór na potrzeby dostępu do źródła danych: w przypadku korzystania z usługi Power Query Online z usługą Azure Storage lub innymi usługami w chmurze z ustawieniami zapory upewnij się, że prawidłowa konfiguracja zezwala na uwierzytelnione połączenia podczas blokowania nieautoryzowanego dostępu. Aby uzyskać więcej informacji, zobacz Ograniczenia usługi Azure Blob Storage.
Rejestrowanie i monitorowanie
Implementowanie kompleksowego rejestrowania i monitorowania pomaga wykrywać podejrzane działania i rozwiązywać problemy z wdrożeniami dodatku Power Query.
Włącz diagnostykę zapytań dla operacji poufnych: użyj diagnostyki zapytań w programie Power BI Desktop, aby zbadać wydajność dodatku Power Query i zrozumieć, jakie zapytania są wysyłane do źródeł danych. Ta diagnostyka gwarantuje prawidłowe działanie mechanizmu składania zapytań. Jednak jeśli nie potrzebujesz diagnostyki zapytań do rozwiązywania problemów, najlepiej wyłączyć te dane diagnostyczne. Ta diagnostyka jest przechowywana w plikach dziennika i może zawierać zawartość klienta, taką jak nazwy zapytań, ścieżki źródłowe itd. Aby uzyskać więcej informacji, przejdź do pozycji Diagnostyka zapytań.
Użyj odpowiedniego poziomu ostrzeżenia Podglądu sieci Web — użyj odpowiedniego poziomu ostrzeżenia Podglądu sieci Web w kompilacjach pulpitu dodatku Power Query. Tryby umiarkowany i ścisły upewniają się, że nie ładujesz żadnych witryn internetowych, których wcześniej nie odwiedzałeś, co może chronić Ciebie przed ładowaniem złośliwych stron. Opcja Poziom ostrzeżeń podglądu sieciowego w Power Query jest dostępna jedynie w Power BI Desktop lub Excel.
Monitoruj zapytania natywne wysyłane do źródeł danych: aby upewnić się, że zapytania nie zawierają nieoczekiwanych lub potencjalnie szkodliwych operacji, regularnie przejrzyj rzeczywiste zapytania wysyłane do źródeł danych. Diagnostyka zapytań może pomóc określić, które zapytania są wysyłane. Aby uzyskać więcej informacji, przejdź do artykułu Ocena zapytań i składanie.
Śledzenie połączeń ze źródłem danych: monitoruj, do których źródeł danych uzyskuje się dostęp, jak często i przez których użytkowników można zidentyfikować nietypowe wzorce dostępu, które mogą wskazywać na problemy z zabezpieczeniami. Aby uzyskać więcej informacji, zobacz Monitorowanie wydajności.
Przeprowadzanie inspekcji operacji przepływu danych: śledzenie działań użytkownika dla przepływów danych usługi Power BI przy użyciu dziennika aktywności usługi Power BI w celu zachowania wglądu w operacje przekształcania danych. Aby uzyskać więcej informacji, przejdź do tematu Monitorowanie przepływu danych.
Zabezpieczenia specyficzne dla usługi
Dodatek Power Query obejmuje konkretne zagadnienia dotyczące zabezpieczeń związane z implementacją różnych produktów i usług firmy Microsoft.
Zweryfikuj łączniki niestandardowe: jeśli używasz łączników niestandardowych, upewnij się, że pochodzą one z zaufanych źródeł i są prawidłowo sprawdzane pod kątem luk w zabezpieczeniach. Preferuj używanie certyfikowanych łączników, jeśli jest to możliwe. Aby uzyskać więcej informacji, zobacz Łączniki niestandardowe.
Zabezpieczanie skryptów języka R i Python: w przypadku używania skryptów języka R lub Python w dodatku Power Query należy pamiętać, że są one wykonywane z uprawnieniami użytkownika i mogą mieć potencjalnie dostęp do poufnych danych. Używaj tylko skryptów z zaufanych źródeł i ustawiaj odpowiednie poziomy prywatności. Aby uzyskać więcej informacji, przejdź do tematu Używanie języka R w edytorze Power Query.
Najlepsze rozwiązania dotyczące bram
- Rozważ klastrowanie bram dla obciążeń krytycznych: w przypadku środowisk przedsiębiorstwa z krytycznymi potrzebami przetwarzania danych zaimplementuj klastry bramy w celu zwiększenia niezawodności i spełnienia różnych wymagań dotyczących zgodności lub zabezpieczeń dla różnych źródeł danych. Aby uzyskać więcej informacji, zobacz Łączenie z zasobami lokalnymi.