Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Power BI. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Power BI.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Kontrolki nie mają zastosowania do usługi Power BI, a te, dla których zalecane są wskazówki globalne, zostały wykluczone. Aby zobaczyć, jak usługa Power BI całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Power BI.
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia sieci.
NS-3: Ustanawianie dostępu do sieci prywatnej do usług platformy Azure
Wskazówki: usługa Power BI obsługuje łączenie dzierżawy usługi Power BI z punktem końcowym usługi Private Link i wyłączanie publicznego dostępu do Internetu.
Odpowiedzialność: wspólna
NS-4: Ochrona aplikacji i usług przed atakami sieci zewnętrznej
Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS i ma wbudowaną ochronę typu "odmowa usługi", którymi zarządza firma Microsoft. Klienci nie muszą podejmować żadnych działań w celu ochrony usługi przed atakami w sieci zewnętrznej.
Odpowiedzialność: Microsoft
NS-7: Bezpieczna usługa nazw domen (DNS)
Wskazówki: Nie dotyczy; Usługa Power BI nie uwidacznia podstawowych konfiguracji DNS. Te ustawienia są obsługiwane przez firmę Microsoft.
Odpowiedzialność: Microsoft
Zarządzanie tożsamością
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie tożsamościami.
IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania
Wskazówki: usługa Power BI jest zintegrowana z usługą Azure Active Directory (Azure AD), która jest domyślną usługą zarządzania tożsamościami i dostępem platformy Azure. Należy standandaryzować usługę Azure AD, aby zarządzać tożsamościami i dostępem w organizacji.
Zabezpieczenie usługi Azure AD powinno być jednym z najważniejszych priorytetów w zakresie zabezpieczeń w chmurze organizacji. Usługa Azure AD udostępnia wskaźnik bezpieczeństwa tożsamości, który ułatwia ocenę stanu zabezpieczeń tożsamości względem zaleceń dotyczących najlepszych rozwiązań firmy Microsoft. Użyj tego wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań oraz poprawić stan zabezpieczeń.
Uwaga: usługa Azure AD obsługuje tożsamości zewnętrzne, które umożliwiają użytkownikom bez konta Microsoft logowanie się do aplikacji i zasobów przy użyciu tożsamości zewnętrznej.
Odpowiedzialność: Klient
IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Wskazówki: Usługi Power BI i Power BI Embedded obsługują korzystanie z jednostek usługi. Przechowuj wszystkie poświadczenia jednostki usługi używane do szyfrowania lub uzyskiwania dostępu do usługi Power BI w usłudze Key Vault, przypisz odpowiednie zasady dostępu do magazynu i regularnie przeglądaj uprawnienia dostępu.
Odpowiedzialność: Klient
IM-3: Używanie logowania jednokrotnego (SSO) usługi Azure AD na potrzeby dostępu do aplikacji
Wskazówki: usługa Power BI używa usługi Azure Active Directory (Azure AD) do zapewnienia zarządzania tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Dotyczy to zarówno tożsamości przedsiębiorstwa, takich jak pracownicy, jak i tożsamości zewnętrznych, takich jak partnerzy, sprzedawcy i dostawcy. Umożliwia to zarządzanie dostępem do danych i zasobów organizacji w środowisku lokalnym i w chmurze oraz zabezpieczenie tego dostępu za pomocą logowania jednokrotnego. Połącz wszystkich użytkowników, aplikacje i urządzenia z usługą Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu, lepszego wglądu i kontroli.
Odpowiedzialność: Klient
IM-7: Eliminowanie niezamierzonej ekspozycji poświadczeń
Wskazówki: W przypadku aplikacji osadzonych usługi Power BI zaleca się zaimplementowanie skanera poświadczeń w celu zidentyfikowania poświadczeń w kodzie. Skaner poświadczeń zachęca również do przenoszenia odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.
Przechowuj wszystkie klucze szyfrowania lub poświadczenia jednostki usługi używane do szyfrowania lub uzyskiwania dostępu do usługi Power BI w usłudze Key Vault, przypisz odpowiednie zasady dostępu do magazynu i regularnie przeglądaj uprawnienia dostępu.
W usłudze GitHub możesz użyć natywnej funkcji skanowania wpisów tajnych w celu zidentyfikowania poświadczeń lub innej formy wpisów tajnych w kodzie.
Odpowiedzialność: wspólna
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: dostęp uprzywilejowany.
PA-1: Ochrona i ograniczanie użytkowników z wysokimi uprawnieniami
Wskazówki: Aby zmniejszyć ryzyko i przestrzegać zasady najniższych uprawnień, zaleca się utrzymanie członkostwa administratorów usługi Power BI w niewielkiej liczbie osób. Użytkownicy z tymi uprawnieniami uprzywilejowanymi mogą potencjalnie uzyskiwać dostęp do wszystkich funkcji zarządzania dla organizacji i modyfikować je. Administratorzy globalni, za pośrednictwem platformy Microsoft 365 lub usługi Azure Active Directory (Azure AD), niejawnie posiadają prawa administratora w usługa Power BI.
Usługa Power BI ma poniżej kont z wysokimi uprawnieniami:
- Administrator globalny
- Administrator rozliczeń
- Administrator licencji
- Administrator użytkownika
- Administrator usługi Power BI
- Administrator pojemności usługi Power BI Premium
- Administrator pojemności usługi Power BI Embedded
Usługa Power BI obsługuje zasady sesji w usłudze Azure AD w celu włączenia zasad dostępu warunkowego i routingu sesji używanych w usłudze Power BI za pośrednictwem usługi Microsoft Defender dla Chmury Apps.
Włącz dostęp uprzywilejowany just in time (JIT) dla kont administratorów usługi Power BI przy użyciu uprzywilejowanego zarządzania dostępem na platformie Microsoft 365.
Odpowiedzialność: Klient
PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników
Wskazówki: jako administrator usługa Power BI możesz analizować użycie dla wszystkich zasobów usługi Power BI na poziomie dzierżawy przy użyciu niestandardowych raportów opartych na dzienniku aktywności usługi Power BI. Działania można pobrać przy użyciu interfejsu API REST lub polecenia cmdlet programu PowerShell. Możesz również filtrować dane działań według zakresu dat, użytkownika i typu działania.
Aby uzyskać dostęp do dziennika aktywności usługi Power BI, musisz spełnić następujące wymagania:
- Musisz być administratorem globalnym lub administratorem usługa Power BI.
- Polecenia cmdlet zarządzania usługą Power BI zostały zainstalowane lokalnie lub są używane polecenia cmdlet zarządzania usługą Power BI w usłudze Azure Cloud Shell.
Po spełnieniu tych wymagań możesz postępować zgodnie z poniższymi wskazówkami, aby śledzić aktywność użytkowników w usłudze Power BI:
Odpowiedzialność: Klient
PA-6: Używanie stacji roboczych z dostępem uprzywilejowanym
Wskazówki: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług krytycznych. Używaj wysoce zabezpieczonych stacji roboczych użytkowników i/lub usługi Azure Bastion do zadań administracyjnych związanych z zarządzaniem usługą Power BI. Użyj usługi Azure Active Directory (Azure AD), usługi Microsoft Defender Advanced Threat Protection (ATP) i/lub usługi Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze można centralnie zarządzać w celu wymuszania zabezpieczonej konfiguracji, w tym silnego uwierzytelniania, punktów odniesienia oprogramowania i sprzętu, ograniczonego dostępu logicznego i sieciowego.
Odpowiedzialność: Klient
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Wskazówki: używanie etykiet poufności z usługi Microsoft Purview Information Protection w raportach, pulpitach nawigacyjnych, zestawach danych i przepływach danych w celu ochrony poufnej zawartości przed nieautoryzowanym dostępem do danych i wyciekiem.
Etykiety poufności z usługi Microsoft Purview Information Protection umożliwiają klasyfikowanie i etykietowanie raportów, pulpitów nawigacyjnych, zestawów danych i przepływów danych w usługa Power BI oraz ochronę poufnej zawartości przed nieautoryzowanym dostępem do danych i wyciekiem podczas eksportowania zawartości z usługa Power BI do plików programu Excel, PowerPoint i PDF.
Odpowiedzialność: Klient
DP-2: Ochrona poufnych danych
Wskazówki: usługa Power BI integruje się z etykietami poufności z usługi Microsoft Purview Information Protection w celu ochrony poufnych danych. Aby uzyskać więcej informacji, zobacz etykiety poufności z usługi Microsoft Purview Information Protection w usłudze Power BI
Usługa Power BI umożliwia użytkownikom usługi korzystanie z własnego klucza w celu ochrony danych magazynowanych. Aby uzyskać więcej informacji, zobacz Bring your own encryption keys for Power BI (Używanie własnych kluczy szyfrowania dla usługi Power BI)
Klienci mają możliwość przechowywania źródeł danych lokalnych i używania zapytań bezpośrednich lub połączenia na żywo z lokalną bramą danych, aby zminimalizować narażenie danych na usługę w chmurze. Aby uzyskać więcej informacji, zobacz Co to jest lokalna brama danych?
Usługa Power BI obsługuje zabezpieczenia na poziomie wiersza. Aby uzyskać więcej informacji, zobacz Zabezpieczenia na poziomie wiersza (RLS) w usłudze Power BI. Należy pamiętać, że zabezpieczenia na poziomie wiersza można zastosować nawet do źródeł danych zapytań bezpośrednich, w tym przypadku plik PBIX działa jako serwer proxy zabezpieczeń.
Odpowiedzialność: Klient
DP-3: Monitorowanie nieautoryzowanego transferu poufnych danych
Wskazówki: tę kontrolkę można częściowo osiągnąć przy użyciu obsługi aplikacji Microsoft Defender dla Chmury dla usługi Power BI.
Korzystając z usługi Microsoft Defender dla Chmury Apps w usłudze Power BI, możesz pomóc w ochronie raportów, danych i usług usługi Power BI przed niezamierzonym wyciekiem lub naruszeniami. Za pomocą Microsoft Defender dla Chmury Apps można tworzyć zasady dostępu warunkowego dla danych organizacji przy użyciu kontrolek sesji w czasie rzeczywistym w usłudze Azure Active Directory (Azure AD), które pomagają zapewnić bezpieczeństwo analizy usługi Power BI. Po ustawieniu tych zasad administratorzy mogą monitorować dostęp i aktywność użytkowników, przeprowadzać analizę ryzyka w czasie rzeczywistym i ustawiać kontrolki specyficzne dla etykiety.
Odpowiedzialność: Klient
DP-4: Szyfrowanie poufnych informacji podczas przesyłania
Wskazówki: Upewnij się, że w przypadku ruchu HTTP wszyscy klienci i źródła danych łączące się z zasobami usługi Power BI mogą negocjować protokół TLS w wersji 1.2 lub nowszej.
Odpowiedzialność: Klient
DP-5: Szyfrowanie poufnych danych magazynowanych
Wskazówki: usługa Power BI szyfruje dane magazynowane i przetwarzane. Domyślnie usługa Power BI używa kluczy zarządzanych przez firmę Microsoft do szyfrowania danych. Organizacje mogą używać własnych kluczy do szyfrowania zawartości użytkownika magazynowanej w usłudze Power BI, od obrazów raportów po zaimportowane zestawy danych w pojemnościach Premium.
Odpowiedzialność: wspólna
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie zasobami.
AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w zagrożenia dla zasobów
Wskazówki: Użyj usługi Microsoft Sentinel z dziennikami inspekcji pakietu Office usługi Power BI, aby upewnić się, że zespół ds. zabezpieczeń ma wgląd w zagrożenia dla zasobów usługi Power BI.
Odpowiedzialność: Klient
AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu zasobów i metadanych
Wskazówki: Upewnij się, że zespoły ds. zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów usługi Power BI Embedded. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia i jako wkład w ciągłe ulepszenia zabezpieczeń.
Usługa Azure Resource Graph może wysyłać zapytania dotyczące wszystkich zasobów usługi Power BI Embedded i odnajdywać je w subskrypcjach.
Logicznie organizuj zasoby zgodnie z taksonomią organizacji przy użyciu tagów, a także innych metadanych na platformie Azure (Nazwa, Opis i Kategoria).
Jak tworzyć zapytania za pomocą Eksploratora usługi Azure Resource Graph
Przewodnik po decyzjach dotyczących nazewnictwa zasobów i tagowania
Odpowiedzialność: Klient
AM-3: Używanie tylko zatwierdzonych usług platformy Azure
Wskazówki: usługa Power BI obsługuje wdrożenia oparte na usłudze Azure Resource Manager dla usługi Power BI Embedded i można ograniczyć wdrażanie jej zasobów za pośrednictwem usługi Azure Policy przy użyciu niestandardowej definicji zasad.
Użyj usługi Azure Policy, aby przeprowadzić inspekcję i ograniczyć usługi, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można również tworzyć reguły wyzwalania alertów po wykryciu niezatwierdzonej usługi.
Jak odmówić określonego typu zasobu za pomocą usługi Azure Policy
Jak tworzyć zapytania za pomocą Eksploratora usługi Azure Resource Graph
Odpowiedzialność: Klient
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i wykrywanie zagrożeń.
LT-2: Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem platformy Azure
Wskazówki: Przekazywanie wszelkich dzienników z usługi Power BI do rozwiązania SIEM, które mogą służyć do konfigurowania niestandardowych wykrywania zagrożeń. Ponadto użyj kontrolek Microsoft Defender dla Chmury Apps w usłudze Power BI, aby włączyć wykrywanie anomalii przy użyciu przewodnika tutaj.
Odpowiedzialność: Klient
LT-3: Włączanie rejestrowania dla działań sieciowych platformy Azure
Wskazówki: Usługa Power BI to w pełni zarządzana oferta SaaS, a podstawowa konfiguracja sieci i rejestrowanie to odpowiedzialność firmy Microsoft. W przypadku klientów korzystających z linków prywatnych dostępne jest rejestrowanie i monitorowanie, które można skonfigurować.
Odpowiedzialność: wspólna
LT-4: Włączanie rejestrowania dla zasobów platformy Azure
Wskazówki: W usłudze Power BI dostępne są dwie opcje śledzenia aktywności użytkownika: dziennik aktywności usługi Power BI i ujednolicony dziennik inspekcji. Oba te dzienniki zawierają pełną kopię danych inspekcji usługi Power BI, ale istnieje kilka kluczowych różnic, jak podsumowano poniżej.
Ujednolicony dziennik inspekcji:
Obejmuje zdarzenia z usług SharePoint Online, Exchange Online, Dynamics 365 i innych usług oprócz zdarzeń inspekcji usługi Power BI.
Dostęp mają tylko użytkownicy z uprawnieniami dzienników inspekcji tylko do wyświetlania lub dzienników inspekcji, takich jak administratorzy globalni i audytorzy.
Administratorzy globalni i audytorzy mogą przeszukiwać ujednolicony dziennik inspekcji przy użyciu portalu usługi Microsoft 365 Defender i portal zgodności Microsoft Purview.
Administratorzy globalni i audytorzy mogą pobierać wpisy dziennika inspekcji przy użyciu interfejsów API zarządzania platformy Microsoft 365 i poleceń cmdlet.
Przechowuje dane inspekcji przez 90 dni.
Zachowuje dane inspekcji, nawet jeśli dzierżawa zostanie przeniesiona do innego regionu świadczenia usługi Azure.
Dziennik aktywności usługi Power BI:
Obejmuje tylko zdarzenia inspekcji usługi Power BI.
Administratorzy globalni i administratorzy usługa Power BI mają dostęp.
Nie ma jeszcze interfejsu użytkownika do przeszukiwania dziennika aktywności.
Administratorzy globalni i administratorzy usługa Power BI mogą pobierać wpisy dziennika aktywności przy użyciu interfejsu API REST usługi Power BI i polecenia cmdlet do zarządzania.
Przechowuje dane aktywności przez 30 dni.
Nie zachowuje danych aktywności, gdy dzierżawa zostanie przeniesiona do innego regionu świadczenia usługi Azure.
Więcej informacji można znaleźć w następującej dokumentacji:
Odpowiedzialność: wspólna
LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza
Wskazówki: Usługa Power BI centralizuje dzienniki w dwóch miejscach: dziennik aktywności usługi Power BI i ujednolicony dziennik inspekcji. Oba te dzienniki zawierają pełną kopię danych inspekcji usługi Power BI, ale istnieje kilka kluczowych różnic, jak podsumowano poniżej.
Ujednolicony dziennik inspekcji:
Obejmuje zdarzenia z usług SharePoint Online, Exchange Online, Dynamics 365 i innych usług oprócz zdarzeń inspekcji usługi Power BI.
Dostęp mają tylko użytkownicy z uprawnieniami dzienników inspekcji tylko do wyświetlania lub dzienników inspekcji, takich jak administratorzy globalni i audytorzy.
Administratorzy globalni i audytorzy mogą przeszukiwać ujednolicony dziennik inspekcji przy użyciu portalu usługi Microsoft 365 Defender i portal zgodności Microsoft Purview.
Administratorzy globalni i audytorzy mogą pobierać wpisy dziennika inspekcji przy użyciu interfejsów API zarządzania platformy Microsoft 365 i poleceń cmdlet.
Przechowuje dane inspekcji przez 90 dni.
Zachowuje dane inspekcji, nawet jeśli dzierżawa zostanie przeniesiona do innego regionu świadczenia usługi Azure.
Dziennik aktywności usługi Power BI:
Obejmuje tylko zdarzenia inspekcji usługi Power BI.
Administratorzy globalni i administratorzy usługa Power BI mają dostęp.
Nie ma jeszcze interfejsu użytkownika do przeszukiwania dziennika aktywności.
Administratorzy globalni i administratorzy usługa Power BI mogą pobierać wpisy dziennika aktywności przy użyciu interfejsu API REST usługi Power BI i polecenia cmdlet do zarządzania.
Przechowuje dane aktywności przez 30 dni.
Nie zachowuje danych aktywności, gdy dzierżawa zostanie przeniesiona do innego regionu świadczenia usługi Azure.
Więcej informacji można znaleźć w następującej dokumentacji:
Odpowiedzialność: Klient
LT-6: Konfigurowanie przechowywania magazynu dzienników
Wskazówki: Skonfiguruj zasady przechowywania magazynu dla dzienników inspekcji pakietu Office zgodnie ze swoimi wymaganiami dotyczącymi zgodności, regulacji i działalności biznesowej.
Odpowiedzialność: Klient
LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu
Wskazówki: usługa Power BI nie obsługuje konfigurowania własnych źródeł synchronizacji czasu. Usługa Power BI opiera się na źródłach synchronizacji czasu firmy Microsoft i nie jest uwidoczniony dla klientów w celu skonfigurowania.
Odpowiedzialność: Microsoft
Zarządzanie lukami w zabezpieczeniach i stanem
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: stan i zarządzanie lukami w zabezpieczeniach.
PV-1: Ustanawianie bezpiecznych konfiguracji dla usług platformy Azure
Wskazówki: Skonfiguruj usługa Power BI przy użyciu ustawień odpowiednich dla organizacji i stanu zabezpieczeń. Należy dokładnie rozważyć ustawienia dostępu do usługi i zawartości, a także obszaru roboczego i zabezpieczeń aplikacji. Zobacz oficjalny dokument Dotyczący zabezpieczeń i ochrony danych w usłudze Power BI Enterprise Deployment.
Odpowiedzialność: Klient
PV-2: Utrzymywanie bezpiecznych konfiguracji dla usług platformy Azure
Wskazówki: Monitorowanie wystąpienia usługi Power BI przy użyciu interfejsów API REST administratora usługi Power BI.
Odpowiedzialność: Klient
PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS, a bazowe zasoby obliczeniowe usługi są zabezpieczone i zarządzane przez firmę Microsoft.
Odpowiedzialność: Microsoft
PV-4: Utrzymywanie bezpiecznych konfiguracji dla zasobów obliczeniowych
Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS, a bazowe zasoby obliczeniowe usługi są zabezpieczone i zarządzane przez firmę Microsoft.
Odpowiedzialność: Microsoft
PV-5: Bezpieczne przechowywanie niestandardowych systemów operacyjnych i obrazów kontenerów
Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS, a bazowe zasoby obliczeniowe usługi są zabezpieczone i zarządzane przez firmę Microsoft.
Odpowiedzialność: Microsoft
PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania
Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS, a bazowe zasoby obliczeniowe usługi są skanowane i zarządzane przez firmę Microsoft.
Odpowiedzialność: Microsoft
PV-7: Szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania
Wskazówki: Usługa Power BI jest w pełni zarządzaną ofertą SaaS, a bazowe zasoby obliczeniowe usługi są skanowane i zarządzane przez firmę Microsoft.
Odpowiedzialność: Microsoft
PV-8: Przeprowadzanie regularnej symulacji ataku
Wskazówki: W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy Azure i zapewnij korygowanie wszystkich krytycznych ustaleń zabezpieczeń.
Postępuj zgodnie z regułami dotyczącymi testów penetracyjnych w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Wykorzystaj strategię i podejście do działań typu „red team” firmy Microsoft oraz przeprowadzaj testy penetracyjne aktywnej witryny w odniesieniu do zarządzanej przez firmę Microsoft infrastruktury w chmurze, usług i aplikacji.
Odpowiedzialność: wspólna
Zabezpieczenia punktu końcowego
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.
ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)
Wskazówki: usługa Power BI nie wdraża żadnych zasobów obliczeniowych przeznaczonych dla klientów, które wymagają od klientów skonfigurowania ochrony funkcji wykrywania i reagowania na punkty końcowe (EDR). Podstawowa infrastruktura usługi Power BI jest obsługiwana przez firmę Microsoft, która obejmuje obsługę ochrony przed złośliwym oprogramowaniem i EDR.
Odpowiedzialność: Microsoft
ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
Wskazówki: usługa Power BI nie wdraża żadnych zasobów obliczeniowych przeznaczonych dla klientów, które wymagają od klientów skonfigurowania ochrony przed złośliwym oprogramowaniem. Podstawowa infrastruktura usługi Power BI jest obsługiwana przez firmę Microsoft, która obejmuje skanowanie chroniące przed złośliwym oprogramowaniem.
Odpowiedzialność: Microsoft
ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane
Wskazówki: usługa Power BI nie wdraża żadnych zasobów obliczeniowych przeznaczonych dla klientów, co wymagałoby od klientów spójnego aktualizowania podpisów chroniących przed złośliwym oprogramowaniem. Podstawowa infrastruktura usługi Power BI jest obsługiwana przez firmę Microsoft, która obejmuje całą obsługę ochrony przed złośliwym oprogramowaniem.
Odpowiedzialność: Microsoft
Kopia zapasowa i odzyskiwanie
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tworzenie kopii zapasowych i odzyskiwanie.
BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta
Wskazówki: Jeśli używasz funkcji ByOK (Bring Your Own Key) w usłudze Power BI, musisz okresowo weryfikować, czy możesz uzyskać dostęp do kluczy zarządzanych przez klienta i przywrócić je.
Odpowiedzialność: Klient
BR-4: Ograniczenie ryzyka utraty kluczy
Wskazówki: Jeśli używasz funkcji ByOK (Bring Your Own Key) w usłudze Power BI, musisz upewnić się, że usługa Key Vault kontrolująca klucze zarządzane przez klienta jest skonfigurowana zgodnie ze wskazówkami w dokumentacji usługi ByOK w usłudze Power BI poniżej. Włącz usuwanie nietrwałe i przeczyszczanie w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.
W przypadku zasobów klucza bramy upewnij się, że przestrzegasz wskazówek w poniższej dokumentacji klucza odzyskiwania bramy.
Odpowiedzialność: Klient