Azure-Sicherheitsbasisplan für Power BI

Diese Sicherheitsgrundlinie wendet Anleitungen aus der Azure Security Benchmark Version 2.0 auf Power BI an. Der Azure-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Azure Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für Power BI gelten.

Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Azure Security Benchmark-Steuerelemente und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.

Netzwerksicherheit

Weitere Informationen finden Sie unter Azure Security Benchmark: Netzwerksicherheit.

NS-3: Einrichten eines privaten Netzwerkzugriffs auf Azure-Dienste

Leitfaden: Power BI unterstützt die Verbindung Ihres Power BI-Mandanten mit einem Endpunkt für private Links und das Deaktivieren des öffentlichen Internetzugriffs.

• Private Links für den Zugriff auf Power BI

Verantwortlichkeit: Shared

NS-4: Schützen von Anwendungen und Diensten vor Externen Netzwerkangriffen

Leitfaden: Power BI ist ein vollständig verwaltetes SaaS-Angebot und verfügt über einen von Microsoft verwalteten Denial-of-Service-Schutz. Es ist keine Aktion durch Kunden erforderlich, um den Dienst vor Angriffen aus externen Netzwerken zu schützen.

Verantwortlichkeit: Microsoft

NS-7: Sicherer Domain Name Service (DNS)

Leitfaden: Nicht zutreffend. Power BI macht die zugrunde liegenden DNS-Konfigurationen nicht verfügbar. Diese Einstellungen werden von Microsoft verwaltet.

Verantwortlichkeit: Microsoft

Identitätsverwaltung

Weitere Informationen finden Sie im Azure Security Benchmark: Identity Management.

IM-1: Standardisieren von Azure Active Directory als zentrales Identitäts- und Authentifizierungssystem

Leitfaden: Power BI ist in Azure Active Directory (Azure AD) integriert, das der Standardmäßige Identitäts- und Zugriffsverwaltungsdienst von Azure ist. Sie sollten azure AD standardisieren, um die Identitäts- und Zugriffsverwaltung Ihrer Organisation zu steuern.

Die Sicherung von Azure AD sollte bei den Methoden Ihrer Organisation im Zusammenhang mit Cloudsicherheit eine hohe Priorität haben. Azure AD bietet eine Identitätssicherheitsbewertung, die Ihnen dabei hilft, den Identitätssicherheitsstatus in Bezug auf die Empfehlungen zu bewährten Methoden von Microsoft zu bewerten. Verwenden Sie die Bewertung, um zu beurteilen, wie gut Ihre Konfiguration den Empfehlungen zu bewährten Methoden entspricht, und um Ihren Sicherheitsstatus zu verbessern.

Hinweis: Azure AD unterstützt externe Identitäten, mit denen Benutzer ohne ein Microsoft-Konto sich bei ihren Anwendungen und Ressourcen mit ihrer externen Identität anmelden können.

• Mandant in Azure AD

• Erstellen und Konfigurieren einer Azure AD-Instanz

• Verwenden externer Identitätsanbieter für eine Anwendung

• Was ist die Identitätssicherheitsbewertung in Azure AD?

Verantwortlichkeit: Kunde

Chat-2: Verwalten von Anwendungsidentitäten sicher und automatisch

Leitfaden: Power BI und Power BI Embedded unterstützen die Verwendung von Dienstprinzipalen. Speichern Sie alle Dienstprinzipalanmeldeinformationen, die zum Verschlüsseln oder Zugreifen auf Power BI in einem Key Vault verwendet werden, weisen Sie dem Tresor ordnungsgemäße Zugriffsrichtlinien zu und überprüfen Sie regelmäßig Zugriffsberechtigungen.

• Automatisieren von Arbeitsbereichs- und Datasetaufgaben in Power BI Premium mithilfe von Dienstprinzipalen

Verantwortlichkeit: Kunde

CHAT-3: Verwenden des einmaligen Azure AD-Anmeldens (Single Sign-On, SSO) für den Anwendungszugriff

Leitfaden: Power BI verwendet Azure Active Directory (Azure AD), um die Identitäts- und Zugriffsverwaltung für Azure-Ressourcen, Cloudanwendungen und lokale Anwendungen bereitzustellen. Dies umfasst sowohl Unternehmensidentitäten wie Mitarbeiter als auch externe Identitäten wie Partner, Anbieter und Zulieferer. Auf diese Weise kann der Zugriff auf die Daten und Ressourcen Ihrer Organisation lokal und in der Cloud durch einmaliges Anmelden (Single Sign-On, SSO) verwaltet und geschützt werden. Verbinden Sie all Ihre Benutzer, Anwendungen und Geräte mit Azure AD, um einen nahtlosen, sicheren Zugriff sowie mehr Transparenz und Kontrolle zu ermöglichen.

• Grundlegendes zu Anwendungs-SSO mit Azure AD

Verantwortlichkeit: Kunde

CHAT-7: Unbeabsichtigte Gefährdung von Anmeldeinformationen beseitigen

Leitfaden: Für eingebettete Power BI-Anwendungen wird empfohlen, anmeldeinformationsscanner zu implementieren, um Anmeldeinformationen in Ihrem Code zu identifizieren. In Credential Scanner wird auch das Verschieben von ermittelten Anmeldeinformationen an sicherere Speicherorte (z. B. Azure Key Vault) empfohlen.

Speichern Sie alle Verschlüsselungsschlüssel oder Dienstprinzipalanmeldeinformationen, die zum Verschlüsseln oder Zugreifen auf Power BI in einem Key Vault verwendet werden, weisen Sie dem Tresor ordnungsgemäße Zugriffsrichtlinien zu und überprüfen Sie regelmäßig Zugriffsberechtigungen.

Für GitHub können Sie das native Feature zur geheimen Überprüfung verwenden, um Anmeldeinformationen oder eine andere Form von Geheimnissen im Code zu identifizieren.

• Verwenden eigener Verschlüsselungsschlüssel für Power BI

• Einrichten von Credential Scanner

• Geheime Überprüfung in GitHub

Verantwortlichkeit: Shared

Privilegierter Zugriff

Weitere Informationen finden Sie im Azure Security Benchmark: Privileged Access.

PA-1: Schützen und Einschränken von Benutzern mit hohen Rechten

Leitfaden: Um Risiken zu reduzieren und dem Prinzip der geringsten Berechtigungen zu folgen, wird empfohlen, die Mitgliedschaft der Power BI-Administratoren für eine kleine Anzahl von Personen beizubehalten. Benutzer mit diesen privilegierten Berechtigungen können potenziell auf alle Verwaltungsfeatures für die Organisation zugreifen und diese ändern. Globale Administratoren verfügen über Microsoft 365 oder Azure Active Directory (Azure AD) implizit auch über Administratorrechte im Power BI-Dienst.

Power BI verfügt über unter besonders privilegierte Konten:

• Globaler Administrator
• Abrechnungsadministrator...
• Lizenzadministrator
• Benutzeradministrator
• Power BI-Administrator
• Power BI Premium-Kapazitätsadministrator
• Power BI Embedded Capacity-Administrator

Power BI unterstützt Sitzungsrichtlinien in Azure AD, um Richtlinien für bedingten Zugriff zu nutzen und für das Routing von Sitzungen in Power BI über den Microsoft Defender für Cloud Apps-Dienst.

Aktivieren Sie den privilegierten Just-in-Time(JIT)-Zugriff für Power BI-Administratorkonten, indem Sie Privileged Access Management in Microsoft 365 nutzen.

• Administratorrollen im Zusammenhang mit Power BI

• Privileged Access Management

• Steuerelemente von Microsoft Defender für Cloud-Apps in Power BI

Verantwortlichkeit: Kunde

PA-3: Regelmäßige Überprüfung und Abstimmung des Benutzerzugriffs

Leitfaden: Als Power BI-Dienst-Administrator können Sie die Nutzung für alle Power BI-Ressourcen auf Mandantenebene mithilfe benutzerdefinierter Berichte basierend auf dem Power BI-Aktivitätsprotokoll analysieren. Sie können die Aktivitäten mithilfe einer REST-API oder eines PowerShell-Cmdlets herunterladen. Sie können die Aktivitätsdaten auch nach Datumsbereich, Benutzer und Aktivitätstyp filtern.

Sie müssen diese Anforderungen erfüllen, um auf das Power BI-Aktivitätsprotokoll zuzugreifen:

• Sie müssen entweder ein globaler Administrator oder ein Power BI-Dienst Administrator sein.
• Sie haben die Power BI-Verwaltungs-Cmdlets lokal installiert oder verwenden die Power BI-Verwaltungs-Cmdlets in Azure Cloud Shell.

Sobald diese Anforderungen erfüllt sind, können Sie die nachstehenden Anleitungen befolgen, um Benutzeraktivitäten in Power BI nachzuverfolgen:

• Nachverfolgen von Benutzeraktivitäten in Power BI

Verantwortlichkeit: Kunde

PA-6: Verwenden von Privileged Access Workstations

Leitfaden: Gesicherte, isolierte Arbeitsstationen sind für die Sicherheit vertraulicher Rollen wie Administratoren, Entwickler und kritischer Dienstanbieter von entscheidender Bedeutung. Verwenden Sie hoch gesicherte Benutzerarbeitsstationen und/oder Azure Bastion für administrative Aufgaben im Zusammenhang mit der Verwaltung von Power BI. Verwenden Sie Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) und/oder Microsoft Intune, um eine sichere und verwaltete Benutzerworkstation für administrative Aufgaben einzurichten. Die gesicherten Workstations können zentral verwaltet werden, um eine gesicherte Konfiguration einschließlich starker Authentifizierung, Software- und Hardwarebaselines, eingeschränktem logischen und Netzwerkzugang durchzusetzen.

• Informationen zu sicheren, von Azure verwalteten Arbeitsstationen

• Bereitstellen einer sicheren, von Azure verwalteten Arbeitsstation

Verantwortlichkeit: Kunde

Schutz von Daten

Weitere Informationen finden Sie im Azure Security Benchmark: Datenschutz.

DP-1: Ermittlung, Klassifizierung und Bezeichnung vertraulicher Daten

Leitfaden: Verwenden Sie Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection für Ihre Berichte, Dashboards, Datasets und Datenflüsse, um Ihre vertraulichen Inhalte vor unbefugtem Datenzugriff und -leck zu schützen.

Verwenden Sie Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection, um Ihre Berichte, Dashboards, Datasets und Datenflüsse in Power BI-Dienst zu klassifizieren und zu kennzeichnen und Ihre vertraulichen Inhalte vor unbefugtem Datenzugriff und -leck zu schützen, wenn Inhalte aus Power BI-Dienst in Excel-, PowerPoint- und PDF-Dateien exportiert werden.

• Anwenden von Vertraulichkeitsbezeichnungen in Power BI

Verantwortlichkeit: Kunde

DP-2: Schützen von vertraulichen Daten

Leitfaden: Power BI ist in Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection für den Schutz vertraulicher Daten integriert. Weitere Informationen finden Sie unter Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection in Power BI

Power BI ermöglicht es Servicebenutzern, ihren eigenen Schlüssel zum Schutz ruhender Daten zu verwenden. Weitere Details finden Sie unter Bring your own encryption keys for Power BI

Kunden haben die Möglichkeit, Datenquellen lokal zu halten und Direct Query oder Live Connect mit einem lokalen Datengateway zu nutzen, um die Datenexposition für den Clouddienst zu minimieren. Weitere Informationen finden Sie unter Was ist ein lokales Datengateway?

Power BI unterstützt Die Sicherheit auf Zeilenebene. Weitere Informationen finden Sie unter Sicherheit auf Zeilenebene (RLS) mit Power BI. Beachten Sie, dass RLS auch auf Direct Query-Datenquellen angewendet werden kann, in diesem Fall die PBIX-Datei als Sicherheitsproxy fungiert.

Verantwortlichkeit: Kunde

DP-3: Überwachung auf nicht autorisierte Übertragung vertraulicher Daten

Leitfaden: Diese Überwachung kann teilweise mithilfe der Unterstützung von Microsoft Defender für Cloud-Apps für Power BI umgesetzt werden.

Wenn Sie Microsoft Defender für Cloud-Apps mit Power BI verwenden, können Sie Ihre Power BI-Berichte, Daten und Dienste vor unbeabsichtigten Datenlecks oder Sicherheitsverletzungen schützen. Mit Microsoft Defender für Cloud-Apps erstellen Sie Richtlinien für bedingten Zugriff auf die Daten Ihrer Organisation mithilfe von Echtzeit-Sitzungssteuerungen in Azure Active Directory (Azure AD), die zum Gewährleisten der Sicherheit Ihrer Power BI-Analysen beitragen. Sobald diese Richtlinien festgelegt wurden, können Administratoren den Zugriff und die Aktivitäten der Benutzer überwachen, Risikoanalysen in Echtzeit durchführen und bezeichnungsspezifische Steuerelemente festlegen.

• Verwenden von Microsoft Defender for Cloud Apps-Steuerelementen in Power BI

Verantwortlichkeit: Kunde

DP-4: Verschlüsseln vertraulicher Informationen während der Übertragung

Leitfaden: Stellen Sie sicher, dass alle Clients und Datenquellen, die eine Verbindung mit Ihren Power BI-Ressourcen herstellen, TLS v1.2 oder höher aushandeln können.

• Erzwingen der TLS-Versionsverwendung

• Informationen zur TLS-Sicherheit

Verantwortlichkeit: Kunde

DP-5: Verschlüsseln vertraulicher Daten im Ruhezustand

Leitfaden: Power BI verschlüsselt ruhende und verarbeitete Daten. Standardmäßig verwendet Power BI von Microsoft verwaltete Schlüssel zur Verschlüsselung Ihrer Daten. Organisationen können ihre eigenen Schlüssel für die Verschlüsselung von ruhenden Benutzerinhalten in Power BI verwenden, von Berichtsimages bis zu importierten Datasets in Premium-Kapazitäten.

• Verwenden von Bring-your-own-Key in Power BI

Verantwortlichkeit: Shared

Ressourcenverwaltung

Weitere Informationen finden Sie im Azure Security Benchmark: Asset Management.

AM-1: Sicherstellen, dass das Sicherheitsteam Einblicke in Risiken für Ressourcen hat

Leitfaden: Verwenden Sie Microsoft Sentinel mit Ihren Power BI Office-Überwachungsprotokollen, um sicherzustellen, dass Ihr Sicherheitsteam Einblick in Risiken für Ihre Power BI Ressourcen hat.

• Verbinden von Office 365-Protokollen mit Microsoft Sentinel

Verantwortlichkeit: Kunde

AM-2: Sicherstellen, dass das Sicherheitsteam Zugriff auf Bestandsbestand und Metadaten hat

Leitfaden: Stellen Sie sicher, dass Sicherheitsteams Zugriff auf einen kontinuierlich aktualisierten Bestand von Power BI Embedded-Ressourcen haben. Sicherheitsteams benötigen diesen Bestand häufig, um die potenziellen Angriffsflächen ihrer Organisation im Hinblick auf neue Risiken zu evaluieren, sowie als Quelle für die kontinuierliche Verbesserung der Sicherheit.

Azure Resource Graph kann alle Power BI Embedded-Ressourcen in Ihren Abonnements abfragen und ermitteln.

Organisieren Sie Ressourcen logisch gemäß der Taxonomie Ihrer Organisation mithilfe von Tags und anderen Metadaten in Azure (Name, Beschreibung und Kategorie).

• Schnellstart: Ausführen Ihrer ersten Resource Graph-Abfrage mithilfe des Azure Resource Graph-Explorers

• Leitfaden zur Entscheidungsfindung für Ressourcenbenennung und -markierung

Verantwortlichkeit: Kunde

AM-3: Nur genehmigte Azure-Dienste verwenden

Leitfaden: Power BI unterstützt Azure Resource Manager-basierte Bereitstellungen für Power BI Embedded, und Sie können die Bereitstellung ihrer Ressourcen über Azure-Richtlinie mithilfe einer benutzerdefinierten Richtliniendefinition einschränken.

Verwenden Sie Azure Policy, um die Dienste, die von Benutzern in Ihrer Umgebung bereitgestellt werden, zu überwachen und einzuschränken. Verwenden Sie Azure Resource Graph, um Ressourcen in Ihren Abonnements abzufragen und zu ermitteln. Sie können auch mit Azure Monitor Regeln erstellen, mit denen Warnungen ausgelöst werden, wenn ein nicht genehmigter Dienst erkannt wird.

• Konfigurieren und Verwalten von Azure Policy

• Ablehnen eines bestimmten Ressourcentyps mit Azure Policy

• Schnellstart: Ausführen Ihrer ersten Resource Graph-Abfrage mithilfe des Azure Resource Graph-Explorers

Verantwortlichkeit: Kunde

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie im Azure Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-2: Aktivieren der Bedrohungserkennung für Azure-Identitäts- und Zugriffsverwaltung

Leitfaden: Leiten Sie alle Protokolle von Power BI an Ihr SIEM weiter, die zum Einrichten von benutzerdefinierten Bedrohungserkennungen verwendet werden können. Verwenden Sie außerdem Steuerelemente von Microsoft Defender für Cloud-Apps in Power BI, um die Anomalieerkennung mithilfe der hier aufgeführten Anleitung einzurichten.

• Nachverfolgen von Benutzeraktivitäten in Power BI

Verantwortlichkeit: Kunde

LT-3: Aktivieren der Protokollierung für Azure-Netzwerkaktivitäten

Leitfaden: Power BI ist ein vollständig verwaltetes SaaS-Angebot, und die zugrunde liegende Netzwerkkonfiguration und -protokollierung liegt in der Verantwortung von Microsoft. Für Kunden, die private Links verwenden, stehen einige Protokollierungs- und Überwachungsfunktionen zur Verfügung, die konfiguriert werden können.

• Protokollierung und Überwachung von privaten Links

Verantwortlichkeit: Shared

LT-4: Aktivieren der Protokollierung für Azure-Ressourcen

Leitfaden: Mit Power BI haben Sie zwei Optionen zum Nachverfolgen von Benutzeraktivitäten: das Power BI-Aktivitätsprotokoll und das einheitliche Überwachungsprotokoll. Diese Protokolle enthalten beide eine vollständige Kopie der Power BI-Überwachungsdaten, aber es gibt mehrere wichtige Unterschiede, wie unten zusammengefasst.

Einheitliches Überwachungsprotokoll:

• Umfasst Ereignisse aus SharePoint Online, Exchange Online, Dynamics 365 und anderen Diensten zusätzlich zu den Power BI-Überwachungsereignissen.

• Nur Benutzer wie beispielsweise globale Administratoren oder Prüfer mit der Rolle „Überwachungsprotokolle nur anzeigen“ oder „Berechtigungen der Überwachungsprotokolle“ haben darauf Zugriff.

• Globale Administratoren und Auditoren können das einheitliche Überwachungsprotokoll über das Microsoft 365 Defender-Portal und das Microsoft Purview-Complianceportal durchsuchen.

• Globale Administratoren und Auditoren können Überwachungsprotokolleinträge mithilfe von Microsoft 365-Verwaltungs-APIs und Cmdlets herunterladen.

• Speichert Überwachungsdaten für 90 Tage.

• Speichert Überwachungsdaten, auch wenn der Mandant in eine andere Azure-Region verschoben wird.

Power BI-Aktivitätsprotokoll:

• Dieses Protokoll enthält nur die Power BI-Überwachungsereignisse.

• Globale Administratoren und Power BI-Dienstadministratoren haben darauf Zugriff.

• Es gibt bis jetzt keine Benutzeroberfläche, um das Aktivitätsprotokoll zu durchsuchen.

• Globale Administratoren und Power BI-Dienstadministratoren können Aktivitätsprotokolleinträge mithilfe einer Power BI-REST-API und einer Verwaltungs-Cmdlet herunterladen.

• Speichert Aktivitätsdaten für 30 Tage.

• Speichert Aktivitätsdaten nicht, wenn der Mandant in eine andere Azure-Region verschoben wird.

Weitere Informationen finden Sie in den folgenden Referenzen:

• Power BI-Überwachungsdaten

• Power BI-Aktivitätsprotokoll

• Power BI-Überwachungsprotokoll

Verantwortlichkeit: Shared

LT-5: Zentralisieren der Verwaltung und Analyse von Sicherheitsprotokollen

Leitfaden: Power BI zentralisiert Protokolle an zwei Stellen: das Power BI-Aktivitätsprotokoll und das einheitliche Überwachungsprotokoll. Diese Protokolle enthalten beide eine vollständige Kopie der Power BI-Überwachungsdaten, aber es gibt mehrere wichtige Unterschiede, wie unten zusammengefasst.

Einheitliches Überwachungsprotokoll:

• Umfasst Ereignisse aus SharePoint Online, Exchange Online, Dynamics 365 und anderen Diensten zusätzlich zu den Power BI-Überwachungsereignissen.

• Nur Benutzer wie beispielsweise globale Administratoren oder Prüfer mit der Rolle „Überwachungsprotokolle nur anzeigen“ oder „Berechtigungen der Überwachungsprotokolle“ haben darauf Zugriff.

• Globale Administratoren und Auditoren können das einheitliche Überwachungsprotokoll über das Microsoft 365 Defender-Portal und das Microsoft Purview-Complianceportal durchsuchen.

• Globale Administratoren und Auditoren können Überwachungsprotokolleinträge mithilfe von Microsoft 365-Verwaltungs-APIs und Cmdlets herunterladen.

• Speichert Überwachungsdaten für 90 Tage.

• Speichert Überwachungsdaten, auch wenn der Mandant in eine andere Azure-Region verschoben wird.

Power BI-Aktivitätsprotokoll:

• Dieses Protokoll enthält nur die Power BI-Überwachungsereignisse.

• Globale Administratoren und Power BI-Dienstadministratoren haben darauf Zugriff.

• Es gibt bis jetzt keine Benutzeroberfläche, um das Aktivitätsprotokoll zu durchsuchen.

• Globale Administratoren und Power BI-Dienstadministratoren können Aktivitätsprotokolleinträge mithilfe einer Power BI-REST-API und einer Verwaltungs-Cmdlet herunterladen.

• Speichert Aktivitätsdaten für 30 Tage.

• Speichert Aktivitätsdaten nicht, wenn der Mandant in eine andere Azure-Region verschoben wird.

Weitere Informationen finden Sie in den folgenden Referenzen:

• Power BI-Überwachungsdaten

• Power BI-Aktivitätsprotokoll

• Power BI-Überwachungsprotokoll

Verantwortlichkeit: Kunde

LT-6: Konfigurieren der Aufbewahrungsdauer von Protokollen im Speicher

Leitfaden: Konfigurieren Sie Ihre Speicheraufbewahrungsrichtlinien für Ihre Office-Überwachungsprotokolle gemäß Ihren Compliance-, Verordnungs- und Geschäftsanforderungen.

• Aufbewahrungsrichtlinien für Office-Überwachungsprotokolle

Verantwortlichkeit: Kunde

LT-7: Verwenden von genehmigten Zeitsynchronisierungsquellen

Leitfaden: Die Konfiguration Ihrer eigenen Zeitsynchronisierungsquellen wird von Power BI nicht unterstützt. Der Power BI-Dienst ist von Microsoft-Zeitsynchronisierungsquellen abhängig und für Kunden nicht konfigurierbar.

Verantwortlichkeit: Microsoft

Status- und Sicherheitsrisikoverwaltung

Weitere Informationen finden Sie im Azure Security Benchmark: Haltungs- und Sicherheitsrisikomanagement.

PV-1: Einrichten sicherer Konfigurationen für Azure-Dienste

Leitfaden: Konfigurieren Sie Ihre Power BI-Dienst mit den Einstellungen, die für Ihre Organisation und die Sicherheitsposition geeignet sind. Einstellungen für den Zugriff auf den Dienst und Inhalte sowie Arbeitsbereichs- und App-Sicherheit sollten sorgfältig berücksichtigt werden. Siehe Power BI Security and Data Protection im Whitepaper zur Power BI Enterprise-Bereitstellung.

• Whitepaper zur Unternehmensbereitstellung

Verantwortlichkeit: Kunde

PV-2: Sichere Konfigurationen für Azure-Dienste erhalten

Leitfaden: Überwachen Sie Ihre Power BI-Instanz mithilfe der Power BI-Administrator-REST-APIs.

• Rest-APIs für Power BI-Administratoren

• Whitepaper zur Bereitstellung von Power BI-Unternehmen

Verantwortlichkeit: Kunde

PV-3: Einrichten sicherer Konfigurationen für Computeressourcen

Leitfaden: Da Power BI ein vollständig verwaltetes SaaS-Angebot ist, werden die zugrunde liegenden Computeressourcen des Diensts von Microsoft gesichert und verwaltet.

Verantwortlichkeit: Microsoft

PV-4: Sichere Konfigurationen für Computeressourcen erhalten

Leitfaden: Da Power BI ein vollständig verwaltetes SaaS-Angebot ist, werden die zugrunde liegenden Computeressourcen des Diensts von Microsoft gesichert und verwaltet.

Verantwortlichkeit: Microsoft

PV-5: Sicheres Speichern von benutzerdefinierten Betriebssystem- und Containerimages

Leitfaden: Da Power BI ein vollständig verwaltetes SaaS-Angebot ist, werden die zugrunde liegenden Computeressourcen des Diensts von Microsoft gesichert und verwaltet.

Verantwortlichkeit: Microsoft

PV-6: Durchführen von Sicherheitsrisikobewertungen für Software

Leitfaden: Da Power BI ein vollständig verwaltetes SaaS-Angebot ist, werden die zugrunde liegenden Computeressourcen des Diensts von Microsoft überprüft und verwaltet.

Verantwortlichkeit: Microsoft

PV-7: Schnelle und automatische Behebung von Softwarerisiken

Leitfaden: Da Power BI ein vollständig verwaltetes SaaS-Angebot ist, werden die zugrunde liegenden Computeressourcen des Diensts von Microsoft überprüft und verwaltet.

Verantwortlichkeit: Microsoft

PV-8: Regelmäßige Angriffssimulation durchführen

Leitfaden: Führen Sie nach Bedarf Penetrationstests oder rote Teamaktivitäten für Ihre Azure-Ressourcen durch, und stellen Sie die Behebung aller kritischen Sicherheitsergebnisse sicher.

Befolgen Sie die Einsatzregeln für Penetrationstests für die Microsoft Cloud, um sicherzustellen, dass die Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Nutzen Sie die Microsoft-Strategie und Durchführung von Red Team- und Livewebsite-Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, Dienste und Anwendungen.

• Penetrationstests in Azure

• Penetrationstests – Rules of Engagement

• Microsoft Cloud Red Teaming

Verantwortlichkeit: Shared

Endpunktsicherheit

Weitere Informationen finden Sie im Azure Security Benchmark: Endpoint Security.

ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)

Leitfaden: Power BI enthält keine für Kunden zugänglichen Computeressourcen, für die Kunden den Schutz durch Endpoint Detection and Response (Endpunkterkennung und Reaktion, EDR) konfigurieren müssten. Die zugrunde liegende Infrastruktur für Power BI wird von Microsoft verwaltet, einschließlich Antischadsoftware- und EDR-Verwaltung.

Verantwortlichkeit: Microsoft

ES-2: Verwenden zentral verwalteter moderner Antischadsoftware

Leitfaden: Power BI enthält keine für Kunden zugänglichen Computeressourcen, für die Kunden den Antischadsoftwareschutz konfigurieren müssten. Die zugrunde liegende Infrastruktur für Power BI wird von Microsoft verwaltet, einschließlich Antischadsoftware-Scans.

Verantwortlichkeit: Microsoft

ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen

Leitfaden: Power BI enthält keine für Kunden zugänglichen Computeressourcen, für die Kunden die konsistente Aktualisierung von Antischadsoftware-Signaturen sicherstellen müssten. Die zugrunde liegende Infrastruktur für Power BI wird von Microsoft verwaltet, einschließlich sämtlichen Antischadsoftware-Maßnahmen.

Verantwortlichkeit: Microsoft

Sicherung und Wiederherstellung

Weitere Informationen finden Sie im Azure Security Benchmark: Backup and Recovery.

BR-3: Überprüfen aller Sicherungen einschließlich vom Kunden verwalteter Schlüssel

Leitfaden: Wenn Sie das Feature "Eigenen Schlüssel mitbringen" (BYOK) in Power BI verwenden, müssen Sie regelmäßig überprüfen, ob Sie auf ihre vom Kunden verwalteten Schlüssel zugreifen und diese wiederherstellen können.

• BYOK in Power BI

Verantwortlichkeit: Kunde

BR-4: Minimieren des Risikos verlorener Schlüssel

Leitfaden: Wenn Sie die Funktion "Eigenen Schlüssel mitbringen" (BYOK) in Power BI verwenden, müssen Sie sicherstellen, dass der Key Vault, der Ihre vom Kunden verwalteten Schlüssel steuert, mit den Anleitungen in der BYOK-Dokumentation unten in der Power BI-Dokumentation konfiguriert ist. Aktivieren Sie vorläufiges Löschen und den Löschschutz in Azure Key Vault, um Schlüssel vor versehentlichem oder böswilligem Löschen zu schützen.

• BYOK in Power BI

• Aktivieren des vorläufigen Löschens und des Löschschutzes in Key Vault

Stellen Sie für Gatewayschlüsselressourcen sicher, dass Sie die Anleitungen in der Dokumentation zu Gatewaywiederherstellungsschlüsseln unten befolgen.

• Lokaler Wiederherstellungsschlüssel für das Datengateway

Verantwortlichkeit: Kunde

Nächste Schritte

• Sehen Sie sich die Übersicht über Version 2 des Azure-Sicherheitsvergleichstests an.
• Erfahren Sie mehr über Azure-Sicherheitsbaselines.