이 보안 기준은 Azure Security Benchmark 버전 2.0의 지침을 Power BI에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의한 보안 컨트롤 및 Power BI에 적용되는 관련 지침에 따라 그룹화됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고 항목
Power BI에 적용할 수 없는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Power BI가 완전히 Azure Security Benchmark에 매핑되는 방법을 보려면 전체 Power BI 보안 기준 매핑 파일을 참조하세요.
네트워크 보안
자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.
NS-3: Azure 서비스에 대한 프라이빗 네트워크 액세스 설정
지침: Power BI는 Power BI 테넌트를 프라이빗 링크 엔드포인트에 연결하고 공용 인터넷 액세스를 사용하지 않도록 설정합니다.
책임: 공유됨
NS-4: 외부의 네트워크 공격으로부터 애플리케이션 및 서비스 보호
지침: Power BI는 완전 관리형 SaaS 제품이며 Microsoft에서 관리하는 서비스 거부 보호 기능이 기본 제공되어 있습니다. 외부 네트워크 공격으로부터 서비스를 보호하기 위해 고객의 작업이 필요하지 않습니다.
책임: Microsoft
NS-7: DNS(보안 도메인 이름 서비스)
지침: 해당 없음; Power BI는 기본 DNS 구성을 노출하지 않으며 이러한 설정은 Microsoft에서 유지 관리합니다.
책임: Microsoft
ID 관리
자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.
IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화
지침: Power BI는 Azure의 기본 ID 및 액세스 관리 서비스인 Azure AD(Azure Active Directory)와 통합됩니다. 조직의 ID 및 액세스 관리를 관리하려면 Azure AD를 표준화해야 합니다.
Azure AD 보안은 조직의 클라우드 보안 사례에서 높은 우선 순위여야 합니다. Azure AD는 Microsoft의 모범 사례 권장 사항을 기준으로 ID 보안 상태를 평가하는 데 도움이 되는 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항과 얼마나 밀접하게 일치하는지 측정하고 보안 상태를 개선합니다.
참고: Azure AD는 Microsoft 계정이 없는 사용자가 외부 ID를 사용하여 애플리케이션 및 리소스에 로그인할 수 있도록 하는 외부 ID를 지원합니다.
책임: Customer
IM-2: 애플리케이션 ID를 안전하고 자동으로 관리
지침: Power BI 및 Power BI Embedded는 서비스 주체의 사용을 지원합니다. Key Vault에서 Power BI를 암호화하거나 액세스하는 데 사용되는 서비스 주체 자격 증명을 저장하고, 자격 증명 모음에 적절한 액세스 정책을 할당하고, 액세스 권한을 정기적으로 검토합니다.
책임: Customer
IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용
지침: Power BI는 Azure AD(Azure Active Directory)를 사용하여 Azure 리소스, 클라우드 애플리케이션, 온-프레미스 애플리케이션에 ID 및 액세스 관리를 제공합니다. 여기에는 직원과 같은 엔터프라이즈 ID뿐만 아니라 파트너, 공급업체 및 공급업체와 같은 외부 ID도 포함됩니다. 이를 통해 SSO(Single Sign-On)는 온-프레미스 및 클라우드에서 조직의 데이터 및 리소스에 대한 액세스를 관리하고 보호할 수 있습니다. 원활하고 안전한 액세스 및 가시성과 제어를 위해 모든 사용자, 애플리케이션 및 디바이스를 Azure AD에 연결합니다.
책임: Customer
IM-7: 의도하지 않은 자격 증명 노출 제거
지침: Power BI 임베디드 애플리케이션의 경우 코드 내에서 자격 증명을 식별하기 위해 자격 증명 스캐너를 구현하는 것이 좋습니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 더 안전한 위치(예: Azure Key Vault)로 이동하도록 추천합니다.
Key Vault에서 Power BI를 암호화하거나 액세스하는 데 사용되는 암호화 키 또는 서비스 주체 자격 증명을 저장하고, 자격 증명 모음에 적절한 액세스 정책을 할당하고, 정기적으로 액세스 권한을 검토합니다.
GitHub의 경우 네이티브 비밀 검사 기능을 사용하여 코드 내에서 자격 증명 또는 다른 형태의 비밀을 식별할 수 있습니다.
책임: 공유됨
권한 있는 액세스
자세한 내용은 Azure Security Benchmark: Privileged Access를 참조 하세요.
PA-1: 높은 권한의 사용자 보호 및 제한
지침: 위험을 줄이고 최소 권한 원칙을 따르려면 Power BI 관리자의 멤버 자격을 소수의 사용자에게 유지하는 것이 좋습니다. 이러한 권한 있는 권한이 있는 사용자는 잠재적으로 조직의 모든 관리 기능에 액세스하고 수정할 수 있습니다. 전역 관리자는 Microsoft 365 또는 Azure AD(Azure Active Directory)를 통해 Power BI 서비스에 대한 관리자 권한도 암시적으로 소유합니다.
Power BI에는 높은 권한의 계정이 있습니다.
- 전역 관리자
- 청구 관리자…
- 라이선스 관리자
- 사용자 관리
- Power BI 관리자
- Power BI Premium 용량 관리자
- Power BI Embedded 용량 관리자
Power BI는 Azure AD에서 세션 정책을 지원하여 조건부 액세스 정책을 사용하도록 설정하고 클라우드용 Microsoft Defender Apps 서비스를 통해 Power BI에서 사용되는 세션을 라우팅합니다.
Microsoft 365에서 권한 있는 액세스 관리를 사용하여 Power BI 관리자 계정에 대해 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정합니다.
책임: Customer
PA-3: 정기적으로 사용자 액세스 검토 및 조정
지침: Power BI 서비스 관리자는 Power BI 활동 로그를 기반으로 하는 사용자 지정 보고서를 사용하여 테넌트 수준에서 모든 Power BI 리소스의 사용량을 분석할 수 있습니다. REST API 또는 PowerShell cmdlet을 사용하여 활동을 다운로드할 수 있습니다. 날짜 범위, 사용자 및 활동 유형별로 활동 데이터를 필터링할 수도 있습니다.
Power BI 활동 로그에 액세스하려면 다음 요구 사항을 충족해야 합니다.
- 전역 관리자이거나 Power BI 서비스 관리자여야 합니다.
- Power BI Management cmdlet을 로컬로 설치했거나 Azure Cloud Shell에서 Power BI Management cmdlet을 사용합니다.
이러한 요구 사항이 충족되면 아래 지침에 따라 Power BI 내에서 사용자 활동을 추적할 수 있습니다.
책임: Customer
PA-6: 권한 있는 액세스 워크스테이션 사용
지침: 보안이 유지되고 격리된 워크스테이션은 관리자, 개발자 및 중요한 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. Power BI 관리와 관련된 관리 작업에는 보안이 높은 사용자 워크스테이션 및/또는 Azure Bastion을 사용합니다. Azure AD(Azure Active Directory), Microsoft Defender ATP(Advanced Threat Protection) 및/또는 Microsoft Intune을 사용하여 관리 작업을 위한 안전하고 관리되는 사용자 워크스테이션을 배포합니다. 보안 워크스테이션은 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리 및 네트워크 액세스를 포함하여 보안 구성을 적용하도록 중앙에서 관리할 수 있습니다.
책임: Customer
데이터 보호
자세한 내용은 Azure Security Benchmark: Data Protection을 참조하세요.
DP-1: 중요한 데이터 검색, 분류 및 레이블 지정
지침: 보고서, 대시보드, 데이터 세트 및 데이터 흐름에서 Microsoft Purview Information Protection의 민감도 레이블을 사용하여 무단 데이터 액세스 및 누출로부터 중요한 콘텐츠를 보호합니다.
Microsoft Purview Information Protection의 민감도 레이블을 사용하여 Power BI 서비스 보고서, 대시보드, 데이터 세트 및 데이터 흐름의 분류 및 레이블을 지정하고, 콘텐츠가 Power BI 서비스 Excel, PowerPoint 및 PDF 파일로 내보내질 때 무단 데이터 액세스 및 누출로부터 중요한 콘텐츠를 보호합니다.
책임: Customer
DP-2: 중요한 데이터 보호
지침: Power BI는 중요한 데이터 보호를 위해 Microsoft Purview Information Protection의 민감도 레이블과 통합됩니다. 자세한 내용은 Power BI의 Microsoft Purview Information Protection의 민감도 레이블을 참조 하세요.
Power BI를 사용하면 서비스 사용자가 자신의 키를 가져와 미사용 데이터를 보호할 수 있습니다. 자세한 내용은 Power BI에 대한 사용자 고유의 암호화 키 가져오기를 참조 하세요.
고객은 온-프레미스 데이터 원본을 유지하고 온-프레미스 데이터 게이트웨이와 직접 쿼리 또는 라이브 연결을 활용하여 클라우드 서비스에 대한 데이터 노출을 최소화할 수 있습니다. 자세한 내용은 온-프레미스 데이터 게이트웨이란?
Power BI는 행 수준 보안을 지원합니다. 자세한 내용은 Power BI를 사용한 RLS(행 수준 보안)를 참조하세요. RLS는 직접 쿼리 데이터 원본에도 적용할 수 있습니다. 이 경우 PBIX 파일은 보안 사용 프록시 역할을 합니다.
책임: Customer
DP-3: 중요한 데이터의 무단 전송 모니터링
지침: 이 제어는 Power BI에 대한 클라우드용 Microsoft Defender Apps 지원을 사용하여 부분적으로 달성할 수 있습니다.
Power BI와 함께 클라우드용 Microsoft Defender Apps을 사용하면 의도하지 않은 누출이나 위반으로부터 Power BI 보고서, 데이터 및 서비스를 보호할 수 있습니다. 클라우드용 Microsoft Defender Apps을 사용하면 Azure AD(Azure Active Directory)의 실시간 세션 제어를 사용하여 조직 데이터에 대한 조건부 액세스 정책을 만들어 Power BI 분석을 안전하게 보호할 수 있습니다. 이러한 정책이 설정되면 관리자는 사용자 액세스 및 활동을 모니터링하고, 실시간 위험 분석을 수행하고, 레이블별 컨트롤을 설정할 수 있습니다.
책임: Customer
DP-4: 전송 중인 중요한 정보 암호화
지침: HTTP 트래픽에 대해 Power BI 리소스에 연결하는 모든 클라이언트 및 데이터 원본이 TLS v1.2 이상과 협상할 수 있는지 확인합니다.
책임: Customer
DP-5: 미사용 데이터 암호화
지침: Power BI는 미사용 데이터와 처리 중인 데이터를 암호화합니다. 기본적으로 Power BI는 Microsoft 관리형 키를 사용하여 데이터를 암호화합니다. 조직은 보고서 이미지에서 프리미엄 용량의 가져온 데이터 세트에 이르기까지 Power BI 전체의 미사용 사용자 콘텐츠 암호화에 자체 키를 사용하도록 선택할 수 있습니다.
책임: 공유됨
자산 관리
자세한 내용은 Azure Security Benchmark: Asset Management를 참조하세요.
AM-1: 보안 팀이 자산에 대한 위험에 대한 가시성을 갖도록 합니다.
지침: Power BI Office 감사 로그와 함께 Microsoft Sentinel을 사용하여 보안 팀이 Power BI 자산의 위험을 파악할 수 있도록 합니다.
책임: Customer
AM-2: 보안 팀이 자산 인벤토리 및 메타데이터에 액세스할 수 있는지 확인
지침: 보안 팀이 Power BI Embedded 리소스의 지속적으로 업데이트되는 인벤토리에 액세스할 수 있는지 확인합니다. 보안 팀은 새로운 위험에 대한 조직의 잠재적 노출을 평가하고 지속적인 보안 개선에 대한 입력으로 이 인벤토리가 필요한 경우가 많습니다.
Azure Resource Graph는 구독의 모든 Power BI Embedded 리소스를 쿼리하고 검색할 수 있습니다.
태그 및 Azure의 다른 메타데이터(이름, 설명 및 범주)를 사용하여 조직의 분류에 따라 자산을 논리적으로 구성합니다.
책임: Customer
AM-3: 승인된 Azure 서비스만 사용
지침: Power BI는 Power BI Embedded에 대한 Azure Resource Manager 기반 배포를 지원하며, 사용자 지정 정책 정의를 사용하여 Azure Policy를 통해 리소스 배포를 제한할 수 있습니다.
Azure Policy를 사용하여 사용자가 환경에서 프로비전할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. Azure Monitor를 사용하여 승인되지 않은 서비스가 검색될 때 경고를 트리거하는 규칙을 만들 수도 있습니다.
책임: Customer
로깅 및 위협 탐지
자세한 내용은 Azure Security Benchmark: 로깅 및 위협 검색을 참조하세요.
LT-2: Azure ID 및 액세스 관리에 대한 위협 탐지 사용
지침: 사용자 지정 위협 검색을 설정하는 데 사용할 수 있는 모든 로그를 Power BI에서 SIEM으로 전달합니다. 또한 Power BI에서 클라우드용 Microsoft Defender Apps 컨트롤을 사용하여 여기에 있는 가이드에 따라 변칙 검색을 사용하도록 설정합니다.
책임: Customer
LT-3: Azure 네트워크 활동에 대한 로깅 사용
지침: Power BI는 완전히 관리되는 SaaS 제품이며 기본 네트워크 구성 및 로깅은 Microsoft의 책임입니다. Private Links를 활용하는 고객의 경우 구성할 수 있는 일부 로깅 및 모니터링을 사용할 수 있습니다.
책임: 공유됨
LT-4: Azure 리소스에 대한 로깅 사용
지침: Power BI를 사용하면 사용자 활동을 추적하는 두 가지 옵션인 Power BI 활동 로그와 통합 감사 로그가 있습니다. 이러한 로그는 모두 Power BI 감사 데이터의 전체 복사본을 포함하지만 아래에 요약된 대로 몇 가지 주요 차이점이 있습니다.
통합 감사 로그:
Power BI 감사 이벤트 외에도 SharePoint Online, Exchange Online, Dynamics 365 및 기타 서비스의 이벤트를 포함합니다.
전역 관리자 및 감사자와 같이 보기 전용 감사 로그 또는 감사 로그 사용 권한이 있는 사용자만 액세스할 수 있습니다.
전역 관리자 및 감사자는 Microsoft 365 Defender 포털 및 Microsoft Purview 규정 준수 포털을 사용하여 통합 감사 로그를 검색할 수 있습니다.
전역 관리자 및 감사자는 Microsoft 365 관리 API 및 cmdlet을 사용하여 감사 로그 항목을 다운로드할 수 있습니다.
감사 데이터를 90일 동안 유지합니다.
테넌트가 다른 Azure 지역으로 이동되더라도 감사 데이터를 유지합니다.
Power BI 활동 로그:
Power BI 감사 이벤트만 포함합니다.
전역 관리자 및 Power BI 서비스 관리자가 액세스할 수 있습니다.
활동 로그를 검색하기 위한 사용자 인터페이스는 아직 없습니다.
전역 관리자 및 Power BI 서비스 관리자는 Power BI REST API 및 관리 cmdlet을 사용하여 활동 로그 항목을 다운로드할 수 있습니다.
활동 데이터를 30일 동안 유지합니다.
테넌트를 다른 Azure 지역으로 이동할 때는 활동 데이터를 유지하지 않습니다.
자세한 내용은 다음 참조 문서를 참조하세요.
책임: 공유됨
LT-5: 보안 로그 관리 및 분석 중앙 집중화
지침: Power BI는 Power BI 활동 로그와 통합 감사 로그의 두 위치에서 로그를 중앙 집중화합니다. 이러한 로그는 모두 Power BI 감사 데이터의 전체 복사본을 포함하지만 아래에 요약된 대로 몇 가지 주요 차이점이 있습니다.
통합 감사 로그:
Power BI 감사 이벤트 외에도 SharePoint Online, Exchange Online, Dynamics 365 및 기타 서비스의 이벤트를 포함합니다.
전역 관리자 및 감사자와 같이 보기 전용 감사 로그 또는 감사 로그 사용 권한이 있는 사용자만 액세스할 수 있습니다.
전역 관리자 및 감사자는 Microsoft 365 Defender 포털 및 Microsoft Purview 규정 준수 포털을 사용하여 통합 감사 로그를 검색할 수 있습니다.
전역 관리자 및 감사자는 Microsoft 365 관리 API 및 cmdlet을 사용하여 감사 로그 항목을 다운로드할 수 있습니다.
감사 데이터를 90일 동안 유지합니다.
테넌트가 다른 Azure 지역으로 이동되더라도 감사 데이터를 유지합니다.
Power BI 활동 로그:
Power BI 감사 이벤트만 포함합니다.
전역 관리자 및 Power BI 서비스 관리자가 액세스할 수 있습니다.
활동 로그를 검색하기 위한 사용자 인터페이스는 아직 없습니다.
전역 관리자 및 Power BI 서비스 관리자는 Power BI REST API 및 관리 cmdlet을 사용하여 활동 로그 항목을 다운로드할 수 있습니다.
활동 데이터를 30일 동안 유지합니다.
테넌트를 다른 Azure 지역으로 이동할 때는 활동 데이터를 유지하지 않습니다.
자세한 내용은 다음 참조 문서를 참조하세요.
책임: Customer
LT-6: 로그 스토리지 보존 구성
지침: 규정 준수, 규정 및 비즈니스 요구 사항에 따라 Office 감사 로그에 대한 스토리지 보존 정책을 구성합니다.
책임: Customer
LT-7: 승인된 시간 동기화 원본 사용
지침: Power BI는 자체 시간 동기화 원본 구성을 지원하지 않습니다. Power BI 서비스는 Microsoft 시간 동기화 원본에 의존하며 구성을 위해 고객에게 노출되지 않습니다.
책임: Microsoft
보안 상태 및 취약성 관리
자세한 내용은 Azure Security Benchmark: 자세 및 취약성 관리를 참조하세요.
PV-1: Azure 서비스에 대한 보안 구성 설정
지침: 조직 및 보안 입장에 적합한 설정을 사용하여 Power BI 서비스 구성합니다. 서비스 및 콘텐츠에 대한 액세스 설정과 작업 영역 및 앱 보안을 신중하게 고려해야 합니다. Power BI Enterprise 배포 백서에서 Power BI 보안 및 데이터 보호를 참조하세요.
책임: Customer
PV-2: Azure 서비스에 대한 보안 구성 유지
지침: Power BI Admin REST API를 사용하여 Power BI 인스턴스를 모니터링합니다.
책임: Customer
PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정
지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 보호하고 관리합니다.
책임: Microsoft
PV-4: 컴퓨팅 리소스에 대한 보안 구성 유지
지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 보호하고 관리합니다.
책임: Microsoft
PV 5: 사용자 지정 운영 체제 및 컨테이너 이미지를 안전하게 저장
지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 보호하고 관리합니다.
책임: Microsoft
PV-6: 소프트웨어 취약성 평가 수행
지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 검사하고 관리합니다.
책임: Microsoft
PV-7: 소프트웨어 취약성을 신속하고 자동으로 수정
지침: Power BI는 완전 관리형 SaaS 제품이며 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 검사하고 관리합니다.
책임: Microsoft
PV-8: 정기적인 공격 시뮬레이션 수행
지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 빨간색 팀 활동을 수행하고 모든 중요한 보안 결과를 수정합니다.
Microsoft 클라우드 침투 테스트 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft 관리형 클라우드 인프라, 서비스 및 애플리케이션에 대한 Microsoft의 Red Teaming 및 라이브 사이트 침투 테스트 전략 및 실행을 사용합니다.
책임: 공유됨
엔드포인트 보안
자세한 내용은 Azure Security Benchmark: 엔드포인트 보안을 참조하세요.
ES-1: EDR(엔드포인트 검색 및 응답) 사용
지침: Power BI는 고객이 EDR(엔드포인트 감지 및 응답) 보호를 구성해야 하는 고객 대면 컴퓨팅 리소스를 배포하지 않습니다. Power BI의 기본 인프라는 맬웨어 방지 및 EDR 처리를 포함하여 Microsoft에서 처리합니다.
책임: Microsoft
ES-2: 중앙 관리형 최신 맬웨어 방지 소프트웨어 사용
지침: Power BI는 고객이 맬웨어 방지 보호를 구성해야 하는 고객 대면 컴퓨팅 리소스를 배포하지 않습니다. Power BI의 기본 인프라는 맬웨어 방지 검사를 포함하여 Microsoft에서 처리합니다.
책임: Microsoft
ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되는지 확인
지침: Power BI는 고객이 맬웨어 방지 서명을 일관되게 업데이트해야 하는 고객 대면 컴퓨팅 리소스를 배포하지 않습니다. Power BI의 기본 인프라는 모든 맬웨어 방지 처리를 포함하는 Microsoft에서 처리합니다.
책임: Microsoft
백업 및 복구
자세한 내용은 Azure Security Benchmark: Backup 및 Recovery를 참조 하세요.
BR-3: 고객 관리형 키를 포함한 모든 백업의 유효성 검사
지침: Power BI에서 BYOK(Bring Your Own Key) 기능을 사용하는 경우 고객 관리형 키에 액세스하고 복원할 수 있는지 주기적으로 확인해야 합니다.
책임: Customer
BR-4: 키 손실 위험 완화
지침: Power BI에서 BYOK(Bring Your Own Key) 기능을 사용하는 경우 아래 Power BI 설명서의 BYOK 지침에 따라 고객 관리형 키를 제어하는 Key Vault를 구성해야 합니다. Azure Key Vault에서 일시 삭제 및 제거 보호를 사용하도록 설정하여 실수로 또는 악의적인 삭제로부터 키를 보호합니다.
게이트웨이 키 리소스의 경우 아래 게이트웨이 복구 키 설명서의 지침을 따르고 있는지 확인합니다.
책임: Customer
다음 단계
- Azure Security Benchmark V2 개요 참조
- Azure 보안 기준에 대해 자세히 알아보세요.