Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essa linha de base de segurança aplica diretrizes do Azure Security Benchmark versão 2.0 ao Power BI. O Azure Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo Azure Security Benchmark e pelas diretrizes relacionadas aplicáveis ao Power BI.
Quando um recurso tem definições relevantes do Azure Policy, elas são listadas nesta linha de base, para ajudá-lo a medir a conformidade com os controles e recomendações do Azure Security Benchmark. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.
Observação
Controles não aplicáveis ao Power BI e aqueles para os quais as diretrizes globais são recomendadas verbatim foram excluídos. Para ver como o Power BI é mapeado completamente para o Azure Security Benchmark, consulte o arquivo completo de mapeamento de linha de base de segurança do Power BI.
Segurança de rede
Para obter mais informações, consulte o Parâmetro de Comparação de Segurança do Azure: Segurança de Rede.
NS-3: Estabelecer acesso à rede privada aos serviços do Azure
Diretrizes: o Power BI dá suporte à conexão do locatário do Power BI a um ponto de extremidade de link privado e à desabilitação do acesso à Internet pública.
Responsabilidade: Compartilhado
NS-4: proteger aplicativos e serviços de ataques de rede externa
Diretrizes: o Power BI é uma oferta de SaaS totalmente gerenciada e tem proteções de negação de serviço integradas gerenciadas pela Microsoft. Nenhuma ação é necessária dos clientes para proteger o serviço contra ataques de rede externos.
Responsabilidade: Microsoft
NS-7: serviço de nomes de domínio seguro (DNS)
Diretrizes: não aplicável; O Power BI não expõe suas configurações de DNS subjacentes, essas configurações são mantidas pela Microsoft.
Responsabilidade: Microsoft
Gerenciamento de Identidades
Para obter mais informações, consulte o Azure Security Benchmark: Identity Management.
IM-1: padronizar o Azure Active Directory como o sistema central de identidade e autenticação
Diretrizes: o Power BI é integrado ao Azure AD (Azure Active Directory), que é o serviço de gerenciamento de acesso e identidade padrão do Azure. Você deve padronizar o Azure AD para controlar o gerenciamento de identidade e acesso da sua organização.
A proteção do Azure AD deve ser uma prioridade alta na prática de segurança de nuvem da sua organização. O Azure AD fornece uma classificação de segurança de identidade para ajudar você a avaliar a postura de segurança de identidade em relação às recomendações de melhores práticas da Microsoft. Use a classificação para medir o alinhamento da sua configuração com as recomendações de melhores práticas e fazer aprimoramentos na sua postura de segurança.
Observação: o Azure AD dá suporte a identidades externas que permitem que usuários sem uma conta da Microsoft entrem em seus aplicativos e recursos com sua identidade externa.
Responsabilidade: Cliente
IM-2: gerenciar identidades de aplicativo de maneira segura e automática
Diretrizes: Power BI e Power BI Embedded dão suporte ao uso de Principais de Serviço. Armazene todas as credenciais da Entidade de Serviço usadas para criptografar ou acessar o Power BI em um Key Vault, atribua políticas de acesso adequadas ao cofre e examine regularmente as permissões de acesso.
Responsabilidade: Cliente
IM-3: usar o SSO (logon único) do Azure AD para acesso ao aplicativo
Diretrizes: o Power BI usa o Azure AD (Azure Active Directory) para fornecer gerenciamento de identidade e acesso a recursos do Azure, aplicativos de nuvem e aplicativos locais. Isso inclui identidades corporativas, como funcionários, bem como identidades externas, como parceiros e fornecedores. Isso permite que o SSO (logon único) gerencie e proteja o acesso aos dados e aos recursos da sua organização no local e na nuvem. Conecte todos os seus usuários, aplicativos e dispositivos ao Azure AD para obter acesso contínuo e seguro, além de maior visibilidade e controle.
Responsabilidade: Cliente
IM-7: Elimine a exposição não intencional de credenciais
Diretrizes: para aplicativos inseridos do Power BI, é recomendável implementar o Verificador de Credenciais para identificar credenciais em seu código. O verificador de credenciais também encorajará a migração de credenciais descobertas para locais mais seguros, como o Azure Key Vault.
Armazene todas as chaves de criptografia ou credenciais da entidade de serviço usadas para criptografar ou acessar o Power BI em um Key Vault, atribua políticas de acesso adequadas ao cofre e examine regularmente as permissões de acesso.
Para o GitHub, você pode usar o recurso de verificação de segredo nativo para identificar credenciais ou outra forma de segredos no código.
Verificação de segredo do GitHub
Responsabilidade: Compartilhado
Acesso privilegiado
Para obter mais informações, consulte o Parâmetro de Comparação de Segurança do Azure: Acesso Privilegiado.
PA-1: proteger e limitar os usuários altamente privilegiados
Diretrizes: para reduzir o risco e seguir o princípio de privilégios mínimos, é recomendável manter a associação dos administradores do Power BI a um pequeno número de pessoas. Os usuários com essas permissões privilegiadas podem acessar e modificar todos os recursos de gerenciamento da organização. Os administradores globais, por meio do Microsoft 365 ou do Azure AD (Azure Active Directory), também possuem direitos de administrador implicitamente no serviço do Power BI.
O Power BI tem as seguintes contas altamente privilegiadas:
- Administrador global
- Administrador de cobrança
- Administrador de licenças
- Usuário administrador
- Administrador do Power BI
- Administrador de capacidade do Power BI Premium
- Administrador de capacidade do Power BI Embedded
O Power BI dá suporte a políticas de sessão no Azure AD para habilitar políticas de acesso condicional e sessões de roteamento usadas no Power BI por meio do serviço do Microsoft Defender for Cloud Apps.
Habilite o acesso privilegiado JIT (just-in-time) para as contas de administrador do Power BI usando o gerenciamento de acesso privilegiado no Microsoft 365.
Responsabilidade: Cliente
PA-3: examinar e reconciliar regularmente o acesso do usuário
Diretrizes: como administrador de serviços do Power BI, você pode analisar o uso de todos os recursos do Power BI no nível do locatário usando relatórios personalizados com base no log de atividades do Power BI. Você pode baixar as atividades usando uma API REST ou um cmdlet do PowerShell. Você também pode filtrar os dados da atividade por intervalo de datas, usuário e tipo de atividade.
Você deve atender a estes requisitos para acessar o log de atividades do Power BI:
- Você deve ser um administrador global ou um administrador de serviço do Power BI.
- Você instalou os cmdlets de Gerenciamento do Power BI localmente ou usa os cmdlets de Gerenciamento do Power BI no Azure Cloud Shell.
Depois que esses requisitos forem atendidos, você poderá seguir as diretrizes abaixo para acompanhar a atividade do usuário no Power BI:
Responsabilidade: Cliente
PA-6: usar estações de trabalho com acesso privilegiado
Diretrizes: Estações de trabalho protegidas e isoladas são extremamente importantes para a segurança de funções confidenciais, como administradores, desenvolvedores e operadores de serviços críticos. Use estações de trabalho de usuário altamente protegidas e/ou Azure Bastion para tarefas administrativas relacionadas ao gerenciamento do Power BI. Use o AAD (Azure Active Directory), a ATP (Proteção Avançada contra Ameaças) do Microsoft Defender e/ou o Microsoft Intune para implantar uma estação de trabalho do usuário protegida e gerenciada para tarefas administrativas. As estações de trabalho protegidas podem ser gerenciadas de modo central para impor a configuração protegida, incluindo autenticação forte, linhas de base de software e hardware, acesso lógico restrito e de rede.
Responsabilidade: Cliente
Proteção de dados
Para obter mais informações, consulte o Parâmetro de Comparação de Segurança do Azure: Proteção de Dados.
DP-1: Descoberta, classificação e rotulagem de dados confidenciais
Diretrizes: use rótulos de confidencialidade da Proteção de Informações do Microsoft Purview em seus relatórios, dashboards, conjuntos de dados e fluxos de dados para proteger seu conteúdo confidencial contra acesso e vazamento de dados não autorizados.
Use rótulos de confidencialidade da Proteção de Informações do Microsoft Purview para classificar e rotular seus relatórios, dashboards, conjuntos de dados e fluxos de dados no serviço do Power BI e para proteger seu conteúdo confidencial contra acesso não autorizado a dados e vazamento quando o conteúdo é exportado do serviço do Power BI para arquivos Excel, PowerPoint e PDF.
Responsabilidade: Cliente
DP-2: proteger dados confidenciais
Diretrizes: o Power BI integra-se com rótulos de confidencialidade da Proteção de Informações do Microsoft Purview para proteção de dados confidenciais. Para obter mais detalhes, consulte os rótulos de confidencialidade da Proteção de Informações do Microsoft Purview no Power BI
O Power BI permite que os usuários do serviço tragam sua própria chave para proteger os dados em repouso. Para obter mais detalhes, consulte Traga suas próprias chaves de criptografia para o Power BI
Os clientes têm a opção de manter as fontes de dados no local e aproveitar o Direct Query ou o Live Connect com um gateway de dados no local para minimizar a exposição de dados ao serviço de nuvem. Para obter mais detalhes, veja O que é um gateway de dados local?
O Power BI dá suporte à Segurança em Nível de Linha. Para obter mais detalhes, consulte RLS (segurança em nível de linha) com o Power BI. Observe que a RLS pode ser aplicada até mesmo a fontes de dados do Direct Query, caso em que o arquivo PBIX atua como um proxy de habilitação de segurança.
Responsabilidade: Cliente
DP-3: monitorar a transferência não autorizada de dados confidenciais
Diretrizes: esse controle pode ser parcialmente alcançado usando o suporte do Microsoft Defender para Aplicativos de Nuvem para o Power BI.
Usando o Microsoft Defender for Cloud Apps com Power BI, você pode ajudar a proteger seus relatórios, dados e serviços do Power BI contra vazamentos ou violações indesejados. Com o Microsoft Defender for Cloud Apps, você cria políticas de acesso condicional para os dados da sua organização, usando controles de sessão em tempo real no Azure AD (Azure Active Directory), que ajudam a garantir que suas análises do Power BI sejam seguras. Após essas políticas terem sido definidas, os administradores poderão monitorar o acesso e a atividade do usuário, executar a análise de risco em tempo real e definir controles específicos do rótulo.
Responsabilidade: Cliente
DP-4: criptografar informações confidenciais em trânsito
Diretrizes: Certifique-se de que, para o tráfego HTTP, clientes e fontes de dados que se conectam aos seus recursos do Power BI possam negociar o TLS v1.2 ou superior.
Responsabilidade: Cliente
DP-5: criptografar dados confidenciais em repouso
Diretrizes: o Power BI criptografa dados em repouso e em processo. Por padrão, o Power BI usa chaves gerenciadas pela Microsoft para criptografar seus dados. As organizações podem optar por usar chaves próprias para a criptografia do conteúdo do usuário em repouso no Power BI, de imagens de relatórios a conjuntos de dados importados em capacidades Premium.
Responsabilidade: Compartilhado
Gerenciamento de Ativos
Para obter mais informações, consulte o Azure Security Benchmark: Asset Management.
AM-1: garantir que a equipe de segurança tenha visibilidade dos riscos de ativos
Orientação: use Microsoft Sentinel com os logs de auditoria do Power BI Office para garantir que sua equipe de segurança tenha visibilidade dos riscos para os ativos do Power BI.
Responsabilidade: Cliente
AM-2: Garanta que a equipe de segurança tenha acesso ao inventário de ativos e metadados
Diretrizes: verifique se as equipes de segurança têm acesso a um inventário atualizado continuamente de recursos do Power BI Embedded. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.
O Azure Resource Graph pode consultar e descobrir todos os recursos do Power BI Embedded em suas assinaturas.
Organize logicamente os ativos de acordo com a taxonomia da sua organização usando Marcas, bem como outros metadados no Azure (Nome, Descrição e Categoria).
Responsabilidade: Cliente
AM-3: Usar apenas serviços aprovados do Azure
Diretrizes: o Power BI dá suporte a implantações baseadas no Azure Resource Manager para o Power BI Embedded e você pode restringir a implantação de seus recursos por meio do Azure Policy usando uma definição de política personalizada.
Use o Azure Policy para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Use o Azure Resource Graph para consultar e descobrir recursos em suas assinaturas. Você também pode usar o Azure Monitor para criar regras para disparar alertas quando um serviço não aprovado for detectado.
Responsabilidade: Cliente
Log e detecção de ameaças
Para obter mais informações, consulte o Azure Security Benchmark: Registro em log e detecção de ameaças.
LT-2: habilitar a detecção de ameaças para o gerenciamento de identidades e acesso do Azure
Diretrizes: encaminhe todos os logs do Power BI para o SIEM, que podem ser usados para configurar detecções personalizadas de ameaças. Além disso, use os controles do Microsoft Defender para Aplicativos de Nuvem no Power BI para habilitar a detecção de anomalias usando o guia aqui.
Responsabilidade: Cliente
LT-3: Habilitar o registro em log para atividades de rede do Azure
Diretrizes: o Power BI é uma oferta de SaaS totalmente gerenciada e a configuração de rede subjacente e o registro em log são responsabilidade da Microsoft. Para clientes que utilizam links privados, alguns registros e monitoramento estão disponíveis e podem ser configurados.
Responsabilidade: Compartilhado
LT-4: habilitar o registro em log para recursos do Azure
Diretrizes: Com o Power BI, você tem duas opções para acompanhar a atividade do usuário: o log de atividades do Power BI e o log de auditoria unificado. Esses logs contêm uma cópia completa dos dados de auditoria do Power BI, mas há várias diferenças importantes, conforme resumido abaixo.
Log de auditoria unificado:
Inclui eventos do SharePoint Online, Exchange Online, Dynamics 365 e outros serviços, além dos eventos de auditoria do Power BI.
O acesso é permitido somente aos usuários com logs de auditoria somente exibição ou permissões de logs de auditoria, como administradores globais e auditores.
Os administradores e auditores globais podem pesquisar o log de auditoria unificado usando o portal do Microsoft 365 Defender e o portal de conformidade do Microsoft Purview.
Administradores e auditores globais podem baixar entradas de log de auditoria usando APIs e cmdlets de gerenciamento do Microsoft 365.
Mantém os dados de auditoria por 90 dias.
Retém os dados de auditoria, mesmo que o locatário seja movido para uma região diferente do Azure.
Log de atividades do Power BI:
Inclui apenas os eventos de auditoria do Power BI.
Administradores globais e administradores de serviço do Power BI têm acesso.
Ainda não há nenhuma interface do usuário para pesquisar o log de atividades.
Administradores globais e administradores de serviço do Power BI podem baixar entradas do log de atividades usando uma API REST do Power BI e um cmdlet de gerenciamento.
Mantém os dados de atividade por 30 dias.
Não retém dados de atividade quando o locatário é movido para uma região diferente do Azure.
Para obter mais informações, consulte as seguintes referências:
Responsabilidade: Compartilhado
LT-5: centralizar o gerenciamento e a análise do log de segurança
Diretrizes: Power BI centraliza logs em dois locais: o log de atividades do Power BI e o log de auditoria unificado. Esses logs contêm uma cópia completa dos dados de auditoria do Power BI, mas há várias diferenças importantes, conforme resumido abaixo.
Log de auditoria unificado:
Inclui eventos do SharePoint Online, Exchange Online, Dynamics 365 e outros serviços, além dos eventos de auditoria do Power BI.
O acesso é permitido somente aos usuários com logs de auditoria somente exibição ou permissões de logs de auditoria, como administradores globais e auditores.
Os administradores e auditores globais podem pesquisar o log de auditoria unificado usando o portal do Microsoft 365 Defender e o portal de conformidade do Microsoft Purview.
Administradores e auditores globais podem baixar entradas de log de auditoria usando APIs e cmdlets de gerenciamento do Microsoft 365.
Mantém os dados de auditoria por 90 dias.
Retém os dados de auditoria, mesmo que o locatário seja movido para uma região diferente do Azure.
Log de atividades do Power BI:
Inclui apenas os eventos de auditoria do Power BI.
Administradores globais e administradores de serviço do Power BI têm acesso.
Ainda não há nenhuma interface do usuário para pesquisar o log de atividades.
Administradores globais e administradores de serviço do Power BI podem baixar entradas do log de atividades usando uma API REST do Power BI e um cmdlet de gerenciamento.
Mantém os dados de atividade por 30 dias.
Não retém dados de atividade quando o locatário é movido para uma região diferente do Azure.
Para obter mais informações, consulte as seguintes referências:
Responsabilidade: Cliente
LT-6: configurar a retenção do armazenamento de log
Diretrizes: configure suas políticas de retenção de dados para seus logs de Auditoria do Office em conformidade com seus requisitos regulatórios e comerciais.
Responsabilidade: Cliente
LT-7: usar fontes de sincronização de tempo aprovadas
Diretrizes: o Power BI não dá suporte à configuração de suas próprias fontes de sincronização de tempo. O serviço do Power BI depende de fontes de sincronização de data/hora da Microsoft e não é exposto aos clientes para configuração.
Responsabilidade: Microsoft
Gerenciamento de postura e vulnerabilidades
Para obter mais informações, consulte o Parâmetro de Comparação de Segurança do Azure: Postura e Gerenciamento de Vulnerabilidades.
PV-1: estabelecer configurações seguras para os serviços do Azure
Diretrizes: defina seu serviço do Power BI com as configurações apropriadas para sua organização e política de segurança. As configurações de acesso ao serviço e ao conteúdo, bem como a segurança do espaço de trabalho e do aplicativo, devem ser cuidadosamente consideradas. Confira Segurança e Proteção de Dados do Power BI no white paper Implantação do Power BI Enterprise.
Responsabilidade: Cliente
PV-2: manter configurações seguras para os serviços do Azure
Diretrizes: Monitore sua instância do Power BI usando as APIs REST do Administrador do Power BI.
Responsabilidade: Cliente
PV-3: Estabelecer configurações seguras para recursos de computação
Diretrizes: o Power BI é uma oferta de SaaS totalmente gerenciada, os recursos de computação subjacentes do serviço são protegidos e gerenciados pela Microsoft.
Responsabilidade: Microsoft
PV-4: manter configurações seguras para recursos de computação
Diretrizes: o Power BI é uma oferta de SaaS totalmente gerenciada, os recursos de computação subjacentes do serviço são protegidos e gerenciados pela Microsoft.
Responsabilidade: Microsoft
PV-5: armazenar com segurança imagens de contêiner e do sistema operacional personalizado
Diretrizes: o Power BI é uma oferta de SaaS totalmente gerenciada, os recursos de computação subjacentes do serviço são protegidos e gerenciados pela Microsoft.
Responsabilidade: Microsoft
PV-6: executar avaliações de vulnerabilidade de software
Diretrizes: o Power BI é uma oferta de SaaS totalmente gerenciada, os recursos de computação subjacentes do serviço são verificados e gerenciados pela Microsoft.
Responsabilidade: Microsoft
PV-7: corrija vulnerabilidades de software de forma rápida e automática
Diretrizes: o Power BI é uma oferta de SaaS totalmente gerenciada, os recursos de computação subjacentes do serviço são verificados e gerenciados pela Microsoft.
Responsabilidade: Microsoft
PV-8: realizar uma simulação de ataque regular
Diretrizes: conforme necessário, realize testes de penetração ou atividades de equipe vermelhas em seus recursos do Azure e garanta a correção de todas as descobertas críticas de segurança.
Siga as Regras de Participação no Teste de Penetração do Microsoft Cloud para garantir que os testes de penetração não violem as políticas da Microsoft. Use a estratégia da Microsoft, a execução de Equipes Vermelhas e os testes de penetração de sites online na infraestrutura, nos serviços e nos aplicativos de nuvem gerenciados pela Microsoft.
Responsabilidade: Compartilhado
Segurança de ponto de extremidade
Para obter mais informações, consulte o Azure Security Benchmark: Endpoint Security.
ES-1: usar EDR (detecção e resposta de ponto de extremidade)
Orientação: o Power BI não implanta recursos de computação voltados para o consumidor que exijam a configuração de proteção EDR (Detecção e Resposta de Ponto de Extremidade) pelos clientes. A infraestrutura subjacente do Power BI é gerenciada pela Microsoft, que inclui tratamento antimalware e EDR.
Responsabilidade: Microsoft
ES-2: usar software antimalware moderno gerenciado centralmente
Diretrizes: o Power BI não implanta recursos de computação voltados para o cliente, o que exigiria que os clientes configurassem a proteção antimalware. A infraestrutura subjacente do Power BI é gerenciada pela Microsoft, que inclui a verificação antimalware.
Responsabilidade: Microsoft
ES-3: garantir que as assinaturas e o software antimalware estejam atualizados
Diretrizes: o Power BI não implanta recursos de computação voltados para o cliente, o que exigiria que os clientes garantissem que as assinaturas antimalware fossem atualizadas consistentemente. A infraestrutura subjacente do Power BI é gerenciada pela Microsoft, que inclui todo o tratamento antimalware.
Responsabilidade: Microsoft
Backup e recuperação
Para obter mais informações, consulte o Parâmetro de Comparação de Segurança do Azure: Backup e Recuperação.
BR-3: Valide todos os backups, incluindo chaves gerenciadas pelo cliente
Diretrizes: se você estiver usando o recurso ByOK (Bring Your Own Key) no Power BI, será necessário validar periodicamente que pode acessar e restaurar suas chaves gerenciadas pelo cliente.
Responsabilidade: Cliente
BR-4: Reduza o risco de perda de chaves
Diretrizes: se você estiver usando o recurso ByOK (Bring Your Own Key) no Power BI, será necessário garantir que o Key Vault que controla suas chaves gerenciadas pelo cliente esteja configurado com as diretrizes na documentação BYOK no Power BI abaixo. Habilite a exclusão reversível e a proteção contra limpeza no Azure Key Vault para proteger as chaves contra exclusão acidental ou mal-intencionada.
Para recursos de chave do Gateway, certifique-se de seguir as orientações na documentação da chave de recuperação do Gateway abaixo.
Responsabilidade: Cliente
Próximas etapas
- Confira a visão geral do Azure Security Benchmark V2
- Saiba mais sobre as linhas de base de segurança do Azure