Linha de base de segurança do Azure para o Power BI

Esta linha de base de segurança aplica orientações do Azure Security Benchmark versão 2.0 ao Power BI. A Referência de Segurança do Azure disponibiliza recomendações para proteger as suas soluções cloud no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo Benchmark de Segurança do Azure e pelas diretrizes relacionadas aplicáveis ao Power BI.

Quando um recurso tem Definições de Política do Azure relevantes, elas são listadas nesta linha de base, para ajudá-lo a medir a conformidade com os controles e recomendações do Azure Security Benchmark. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Segurança de Rede

Para obter mais informações, consulte o Benchmark de Segurança do Azure: Segurança de Rede.

NS-3: Estabelecer acesso de rede privada aos serviços do Azure

Orientação: O Power BI suporta ligar o seu inquilino do Power BI a um ponto de extremidade de ligação privada e desativar o acesso público à Internet.

• Links privados para acessar o Power BI

Responsabilidade: Partilhada

NS-4: Proteja aplicativos e serviços contra ataques externos à rede

Orientação: O Power BI é uma oferta SaaS totalmente gerida e incorporou proteções de negação de serviço geridas pela Microsoft. Nenhuma ação é necessária dos clientes para proteger o serviço contra ataques externos à rede.

Responsabilidade: Microsoft

NS-7: Serviço de Nomes de Domínio Seguro (DNS)

Orientação: Não aplicável; O Power BI não expõe suas configurações de DNS subjacentes, essas configurações são mantidas pela Microsoft.

Responsabilidade: Microsoft

Gestão de Identidades

Para obter mais informações, consulte o Benchmark de Segurança do Azure: Gerenciamento de Identidades.

IM-1: Padronizar o Ative Directory do Azure como o sistema central de identidade e autenticação

Orientação: o Power BI está integrado com o Azure Ative Directory (Azure AD), que é o serviço de gestão de acesso e identidade predefinido do Azure. Você deve padronizar no Azure AD para controlar o gerenciamento de identidade e acesso da sua organização.

A proteção do Azure AD deve ser prioritária na prática de segurança da cloud para a sua organização. O Azure AD fornece uma pontuação segura de identidade para ajudá-lo a avaliar a postura de segurança de identidade em relação às recomendações de práticas recomendadas da Microsoft. Utilize a pontuação para determinar até que ponto é que a sua configuração corresponde às recomendações de melhores práticas e para fazer melhorias à postura de segurança.

Observação: o Azure AD dá suporte a identidades externas que permitem que usuários sem uma conta da Microsoft entrem em seus aplicativos e recursos com sua identidade externa.

• Inquilinos no Azure AD

• Como criar e configurar instâncias do Azure AD

• Usar provedores de identidade externos para o aplicativo

• O que é a pontuação de segurança de identidade no Azure AD

Responsabilidade: Cliente

IM-2: Gerencie identidades de aplicativos de forma segura e automática

Orientação: O Power BI e o Power BI Embedded suportam a utilização de Entidades de Serviço. Armazene todas as credenciais da Entidade de Serviço usadas para criptografar ou acessar o Power BI em um Cofre de Chaves, atribua políticas de acesso adequadas ao cofre e revise regularmente as permissões de acesso.

• Automatize tarefas de espaço de trabalho Premium e conjunto de dados com entidades de serviço

Responsabilidade: Cliente

IM-3: Usar o logon único (SSO) do Azure AD para acesso ao aplicativo

Orientação: o Power BI utiliza o Azure Ative Directory (Azure AD) para fornecer gestão de identidade e acesso a recursos do Azure, aplicações na nuvem e aplicações locais. Essas identidades incluem identidades empresariais, como colaboradores, bem como identidades externas, como parceiros, fornecedores e distribuidores. Com isto, o início de sessão único (SSO) pode gerir e proteger o acesso aos dados e recursos da sua organização, tanto no ambiente no local, como na cloud. Ligue todos os seus utilizadores, aplicações e dispositivos ao Azure AD para beneficiar de acesso seguro e ininterrupto e de mais visibilidade e controlo.

• Compreender o SSO de Aplicações com o Azure AD

Responsabilidade: Cliente

IM-7: Elimine a exposição não intencional de credenciais

Orientação: Para aplicativos incorporados do Power BI, é recomendável implementar o Credential Scanner para identificar credenciais em seu código. O Verificador de Credenciais também incentivará a movimentação de credenciais descobertas para locais mais seguros, como o Azure Key Vault.

Armazene quaisquer chaves de encriptação ou credenciais da Entidade de Serviço utilizadas para encriptar ou aceder ao Power BI num Cofre de Chaves, atribua políticas de acesso adequadas ao cofre e reveja regularmente as permissões de acesso.

Para o GitHub, você pode usar o recurso de verificação de segredo nativo para identificar credenciais ou outra forma de segredos dentro do código.

• Traga suas próprias chaves de criptografia para o Power BI

• Verificação secreta do GitHub

Responsabilidade: Partilhada

Acesso Privilegiado

Para obter mais informações, consulte o Benchmark de Segurança do Azure: Acesso privilegiado.

PA-1: Proteja e limite usuários altamente privilegiados

Orientação: Para reduzir o risco e seguir o princípio do menor privilégio, recomenda-se manter a associação dos administradores do Power BI a um pequeno número de pessoas. Os usuários com essas permissões privilegiadas poderiam potencialmente acessar e modificar todos os recursos de gerenciamento da organização. Os administradores globais, por meio do Microsoft 365 ou do Azure Ative Directory (Azure AD), também possuem implicitamente direitos de administrador no serviço do Power BI.

O Power BI tem abaixo contas altamente privilegiadas:

• Administrador Global do
• Administrador de faturação
• Administrador de licenças
• Administrador do usuário
• Administrador do Power BI
• Administrador de Capacidade Premium do Power BI
• Administrador de capacidade incorporada do Power BI

O Power BI dá suporte a políticas de sessão no Azure AD para habilitar políticas de acesso condicional e rotear sessões usadas no Power BI por meio do serviço Microsoft Defender for Cloud Apps.

Habilite o acesso privilegiado just-in-time (JIT) para as contas de administrador do Power BI usando o gerenciamento de acesso privilegiado no Microsoft 365.

• Funções de administrador relacionadas ao Power BI

• Gestão de acesso privilegiado

• Controles do Microsoft Defender for Cloud Apps no Power BI

Responsabilidade: Cliente

PA-3: Revise e reconcilie o acesso do usuário regularmente

Orientação: Como administrador de serviço do Power BI, você pode analisar o uso de todos os recursos do Power BI no nível do locatário usando relatórios personalizados com base no log de atividades do Power BI. Você pode baixar as atividades usando uma API REST ou cmdlet do PowerShell. Você também pode filtrar os dados de atividade por intervalo de datas, usuário e tipo de atividade.

Você deve atender a estes requisitos para acessar o log de atividades do Power BI:

• Você deve ser um administrador global ou um administrador de serviço do Power BI.
• Você instalou os cmdlets de Gerenciamento do Power BI localmente ou usa os cmdlets de Gerenciamento do Power BI no Azure Cloud Shell.

Depois que esses requisitos forem atendidos, você poderá seguir as orientações abaixo para acompanhar a atividade do usuário no Power BI:

• Controlar a atividade dos utilizadores no Power BI

Responsabilidade: Cliente

PA-6: Usar estações de trabalho de acesso privilegiado

Orientação: estações de trabalho isoladas e protegidas são extremamente importantes para a segurança de funções confidenciais, como administradores, desenvolvedores e operadores de serviços críticos. Use estações de trabalho de usuário altamente seguras e/ou o Azure Bastion para tarefas administrativas relacionadas ao gerenciamento do Power BI. Use o Azure Ative Directory (Azure AD), a Proteção Avançada contra Ameaças (ATP) do Microsoft Defender e/ou o Microsoft Intune para implantar uma estação de trabalho de usuário segura e gerenciada para tarefas administrativas. As estações de trabalho seguras podem ser gerenciadas centralmente para impor uma configuração segura, incluindo autenticação forte, linhas de base de software e hardware, acesso lógico restrito e à rede.

• Compreender as estações de trabalho de acesso privilegiado

• Implantar uma estação de trabalho de acesso privilegiado

Responsabilidade: Cliente

Proteção de Dados

Para obter mais informações, consulte o Benchmark de Segurança do Azure: Proteção de Dados.

DP-1: Descoberta, classificação e rotulagem de dados confidenciais

Orientação: use rótulos de confidencialidade do Microsoft Purview Information Protection em seus relatórios, painéis, conjuntos de dados e fluxos de dados para proteger seu conteúdo confidencial contra acesso não autorizado a dados e vazamentos.

Use rótulos de confidencialidade da Proteção de Informações do Microsoft Purview para classificar e rotular seus relatórios, painéis, conjuntos de dados e fluxos de dados no serviço Power BI e para proteger seu conteúdo confidencial contra acesso não autorizado a dados e vazamento quando o conteúdo é exportado do serviço Power BI para arquivos Excel, PowerPoint e PDF.

• Como aplicar rótulos de sensibilidade no Power BI

Responsabilidade: Cliente

DP-2: Proteja dados confidenciais

Orientação: O Power BI integra-se com etiquetas de confidencialidade do Microsoft Purview Information Protection para proteção de dados confidenciais. Para obter mais detalhes, consulte rótulos de sensibilidade da Proteção de Informações do Microsoft Purview no Power BI

O Power BI permite que os usuários do serviço tragam sua própria chave para proteger os dados em repouso. Para obter mais detalhes, consulte Trazer suas próprias chaves de criptografia para o Power BI

Os clientes têm a opção de manter as fontes de dados no local e aproveitar o Direct Query ou o Live Connect com um gateway de dados local para minimizar a exposição dos dados ao serviço de nuvem. Para obter mais detalhes, consulte O que é um gateway de dados local?

O Power BI dá suporte à Segurança em Nível de Linha. Para obter mais detalhes, consulte Segurança em nível de linha (RLS) com o Power BI. Observe que a RLS pode ser aplicada até mesmo a fontes de dados do Direct Query, caso em que o arquivo PBIX atua como um proxy habilitador de segurança.

Responsabilidade: Cliente

DP-3: Monitor para transferência não autorizada de dados confidenciais

Orientação: Este controlo pode ser parcialmente obtido utilizando o suporte do Microsoft Defender for Cloud Apps para o Power BI.

Usando o Microsoft Defender for Cloud Apps com o Power BI, você pode ajudar a proteger seus relatórios, dados e serviços do Power BI contra vazamentos ou violações não intencionais. Com o Microsoft Defender for Cloud Apps, você cria políticas de acesso condicional para os dados da sua organização, usando controles de sessão em tempo real no Azure Ative Directory (Azure AD), que ajudam a garantir que suas análises do Power BI estejam seguras. Depois que essas políticas forem definidas, os administradores poderão monitorar o acesso e a atividade do usuário, executar análises de risco em tempo real e definir controles específicos do rótulo.

• Usando controles do Microsoft Defender for Cloud Apps no Power BI

Responsabilidade: Cliente

DP-4: Criptografar informações confidenciais em trânsito

Orientação: Certifique-se, para o tráfego HTTP, de que todos os clientes e fontes de dados que se conectam aos seus recursos do Power BI podem negociar TLS v1.2 ou superior.

• Impondo o uso da versão TLS

• Informações sobre segurança TLS

Responsabilidade: Cliente

DP-5: Criptografar dados confidenciais em repouso

Orientação: O Power BI encripta dados em repouso e em processo. Por padrão, o Power BI usa chaves gerenciadas pela Microsoft para criptografar seus dados. As organizações podem optar por usar suas próprias chaves para criptografia de conteúdo de usuário em repouso no Power BI, de imagens de relatório a conjuntos de dados importados em capacidades Premium.

• Usar traga sua própria chave no Power BI

Responsabilidade: Partilhada

Gestão de Recursos

Para obter mais informações, consulte o Benchmark de Segurança do Azure: Gerenciamento de Ativos.

AM-1: Garantir que a equipe de segurança tenha visibilidade dos riscos dos ativos

Orientação: Use o Microsoft Sentinel com seus logs de Auditoria do Office do Power BI para garantir que sua equipe de segurança tenha visibilidade dos riscos de seus ativos do Power BI.

• Conectar logs do Office 365 ao Microsoft Sentinel

Responsabilidade: Cliente

AM-2: Garanta que a equipe de segurança tenha acesso ao inventário de ativos e metadados

Orientação: Certifique-se de que as equipas de segurança têm acesso a um inventário continuamente atualizado dos recursos do Power BI Embedded. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.

O Azure Resource Graph pode consultar e descobrir todos os recursos do Power BI Embedded em suas assinaturas.

Organize logicamente os ativos de acordo com a taxonomia da sua organização usando Tags, bem como outros metadados no Azure (Nome, Descrição e Categoria).

• Como criar consultas com o Azure Resource Graph Explorer

• Guia de decisão de nomeação e marcação de recursos

Responsabilidade: Cliente

AM-3: Usar apenas serviços aprovados do Azure

Orientação: O Power BI dá suporte a implantações baseadas no Gerenciador de Recursos do Azure para o Power BI Incorporado e você pode restringir a implantação de seus recursos por meio da Política do Azure usando uma definição de Política personalizada.

Use a Política do Azure para auditar e restringir quais serviços os usuários podem provisionar em seu ambiente. Use o Azure Resource Graph para consultar e descobrir recursos em suas assinaturas. Você também pode usar o Azure Monitor para criar regras para disparar alertas quando um serviço não aprovado é detetado.

• Como configurar e gerenciar a Política do Azure

• Como negar um tipo de recurso específico com a Política do Azure

• Como criar consultas com o Azure Resource Graph Explorer

Responsabilidade: Cliente

Registos e Deteção de Ameaças

Para obter mais informações, consulte o Benchmark de Segurança do Azure: Registro em log e deteção de ameaças.

LT-2: Habilitar a deteção de ameaças para o gerenciamento de identidade e acesso do Azure

Diretriz: Encaminhe todos os logs do Power BI para seu SIEM que podem ser usados para configurar deteções de ameaças personalizadas. Além disso, use os controles do Microsoft Defender for Cloud Apps no Power BI para habilitar a deteção de anomalias usando o guia aqui.

• Controlar as atividades do utilizador no Power BI

Responsabilidade: Cliente

LT-3: Habilitar o log para atividades de rede do Azure

Orientação: O Power BI é uma oferta SaaS totalmente gerida e a configuração e registo da rede subjacente são da responsabilidade da Microsoft. Para clientes que utilizam Links Privados, alguns registros e monitoramento estão disponíveis que podem ser configurados.

• Registo e monitorização de ligações privadas

Responsabilidade: Partilhada

LT-4: Habilitar o log para recursos do Azure

Orientação: Com o Power BI, você tem duas opções para controlar a atividade do usuário: o log de atividades do Power BI e o log de auditoria unificado. Ambos os logs contêm uma cópia completa dos dados de auditoria do Power BI, mas há várias diferenças importantes, conforme resumido abaixo.

Log de auditoria unificado:

• Inclui eventos do SharePoint Online, Exchange Online, Dynamics 365 e outros serviços, além dos eventos de auditoria do Power BI.

• Somente usuários com permissões de Logs de Auditoria Somente Exibição ou Logs de Auditoria têm acesso, como administradores e auditores globais.

• Os administradores e auditores globais podem pesquisar o log de auditoria unificado usando o portal do Microsoft 365 Defender e o portal de conformidade do Microsoft Purview.

• Os administradores e auditores globais podem baixar entradas de log de auditoria usando APIs e cmdlets de gerenciamento do Microsoft 365.

• Mantém os dados de auditoria por 90 dias.

• Retém dados de auditoria, mesmo que o locatário seja movido para uma região diferente do Azure.

Log de atividades do Power BI:

• Inclui apenas os eventos de auditoria do Power BI.

• Os administradores globais e os administradores de serviço do Power BI têm acesso.

• Ainda não há interface de usuário para pesquisar o registro de atividades.

• Os administradores globais e os administradores de serviço do Power BI podem baixar entradas do log de atividades usando uma API REST do Power BI e um cmdlet de gerenciamento.

• Mantém os dados de atividade por 30 dias.

• Não retém dados de atividade quando o locatário é movido para uma região diferente do Azure.

Para obter mais informações, veja as seguintes referências:

• Dados de auditoria do Power BI

• Log de atividades do Power BI

• Log de auditoria do Power BI

Responsabilidade: Partilhada

LT-5: Centralize o gerenciamento e a análise de logs de segurança

Orientação: o Power BI centraliza os logs em dois locais: o log de atividades do Power BI e o log de auditoria unificado. Ambos os logs contêm uma cópia completa dos dados de auditoria do Power BI, mas há várias diferenças importantes, conforme resumido abaixo.

Log de auditoria unificado:

• Inclui eventos do SharePoint Online, Exchange Online, Dynamics 365 e outros serviços, além dos eventos de auditoria do Power BI.

• Somente usuários com permissões de Logs de Auditoria Somente Exibição ou Logs de Auditoria têm acesso, como administradores e auditores globais.

• Os administradores e auditores globais podem pesquisar o log de auditoria unificado usando o portal do Microsoft 365 Defender e o portal de conformidade do Microsoft Purview.

• Os administradores e auditores globais podem baixar entradas de log de auditoria usando APIs e cmdlets de gerenciamento do Microsoft 365.

• Mantém os dados de auditoria por 90 dias.

• Retém dados de auditoria, mesmo que o locatário seja movido para uma região diferente do Azure.

Log de atividades do Power BI:

• Inclui apenas os eventos de auditoria do Power BI.

• Os administradores globais e os administradores de serviço do Power BI têm acesso.

• Ainda não há interface de usuário para pesquisar o registro de atividades.

• Os administradores globais e os administradores de serviço do Power BI podem baixar entradas do log de atividades usando uma API REST do Power BI e um cmdlet de gerenciamento.

• Mantém os dados de atividade por 30 dias.

• Não retém dados de atividade quando o locatário é movido para uma região diferente do Azure.

Para obter mais informações, veja as seguintes referências:

• Dados de auditoria do Power BI

• Log de atividades do Power BI

• Log de auditoria do Power BI

Responsabilidade: Cliente

LT-6: Configurar a retenção de armazenamento de log

Orientação: Configure suas políticas de retenção de armazenamento para seus logs de auditoria do Office de acordo com seus requisitos de conformidade, regulamentação e negócios.

• Políticas de retenção de log de auditoria do Office

Responsabilidade: Cliente

LT-7: Usar fontes de sincronização de tempo aprovadas

Orientação: O Power BI não suporta a configuração das suas próprias origens de sincronização de tempo. O serviço Power BI depende de fontes de sincronização de tempo da Microsoft e não é exposto aos clientes para configuração.

Responsabilidade: Microsoft

Gestão da Postura e da Vulnerabilidade

Para obter mais informações, consulte o Benchmark de Segurança do Azure: Gerenciamento de Postura e Vulnerabilidade.

PV-1: Estabelecer configurações seguras para os serviços do Azure

Orientação: Configure o serviço do Power BI com as definições adequadas à sua organização e posição de segurança. As configurações de acesso ao serviço e ao conteúdo, bem como a segurança do espaço de trabalho e do aplicativo devem ser cuidadosamente consideradas. Consulte Segurança e Proteção de Dados do Power BI no whitepaper Implantação do Power BI Enterprise.

• Whitepaper de implantação corporativa

Responsabilidade: Cliente

PV-2: Sustentar configurações seguras para serviços do Azure

Orientação: monitore sua instância do Power BI usando as APIs REST de administração do Power BI.

• APIs REST de administração do Power BI

• Whitepaper de implantação corporativa do Power BI

Responsabilidade: Cliente

PV-3: Estabeleça configurações seguras para recursos de computação

Orientação: O Power BI é uma oferta SaaS totalmente gerida, os recursos de computação subjacentes do serviço são protegidos e geridos pela Microsoft.

Responsabilidade: Microsoft

PV-4: Sustente configurações seguras para recursos de computação

Orientação: O Power BI é uma oferta SaaS totalmente gerida, os recursos de computação subjacentes do serviço são protegidos e geridos pela Microsoft.

Responsabilidade: Microsoft

PV-5: armazene com segurança imagens personalizadas do sistema operacional e do contêiner

Orientação: O Power BI é uma oferta SaaS totalmente gerida, os recursos de computação subjacentes do serviço são protegidos e geridos pela Microsoft.

Responsabilidade: Microsoft

PV-6: Realizar avaliações de vulnerabilidade de software

Orientação: O Power BI é uma oferta SaaS totalmente gerida, os recursos de computação subjacentes do serviço são digitalizados e geridos pela Microsoft.

Responsabilidade: Microsoft

PV-7: Corrija rápida e automaticamente vulnerabilidades de software

Orientação: O Power BI é uma oferta SaaS totalmente gerida, os recursos de computação subjacentes do serviço são digitalizados e geridos pela Microsoft.

Responsabilidade: Microsoft

PV-8: Realizar simulação de ataque regular

Orientação: conforme necessário, realize testes de penetração ou atividades de equipe vermelha em seus recursos do Azure e garanta a correção de todas as descobertas críticas de segurança.

Para ter a certeza de que os seus testes de penetração não infringem as políticas da Microsoft, siga as Regras de Interação para Testes de Penetração da Microsoft Cloud. Utilize a estratégia e a execução de "Equipas de Ataque" e os testes de penetração no local em direto da Microsoft na infraestrutura, nos serviços e nas aplicações cloud geridas pela Microsoft.

• Testes de Penetração no Azure

• Regras de Interação para os Testes de Penetração

• "Equipa de Ataque" da Microsoft Cloud

Responsabilidade: Partilhada

Segurança de Endpoint

Para obter mais informações, consulte o Benchmark de Segurança do Azure: Segurança de Ponto de Extremidade.

ES-1: Usar EDR (Endpoint Detection and Response)

Orientação: O Power BI não implanta nenhum recurso de computação voltado para o cliente que exija que os clientes configurem a proteção EDR (Endpoint Detection and Response). A infraestrutura subjacente do Power BI é tratada pela Microsoft, o que inclui tratamento antimalware e EDR.

Responsabilidade: Microsoft

ES-2: Use software antimalware moderno gerenciado centralmente

Orientação: O Power BI não implanta nenhum recurso de computação voltado para o cliente que exija que os clientes configurem a proteção antimalware. A infraestrutura subjacente do Power BI é tratada pela Microsoft, que inclui a verificação antimalware.

Responsabilidade: Microsoft

ES-3: Garantir que o software antimalware e as assinaturas estejam atualizados

Orientação: O Power BI não implanta recursos de computação voltados para o cliente que exijam que os clientes garantam que as assinaturas antimalware sejam atualizadas de forma consistente. A infraestrutura subjacente do Power BI é tratada pela Microsoft, que inclui todo o tratamento antimalware.

Responsabilidade: Microsoft

Cópia de Segurança e Recuperação

Para obter mais informações, consulte o Benchmark de Segurança do Azure: Backup e Recuperação.

BR-3: Valide todos os backups, incluindo chaves gerenciadas pelo cliente

Orientação: Se estiver a utilizar a funcionalidade Bring Your Own Key (BYOK) no Power BI, terá de validar periodicamente que pode aceder e restaurar as chaves geridas pelo cliente.

• BYOK no Power BI

Responsabilidade: Cliente

BR-4: Mitigar o risco de perda de chaves

Orientação: Se estiver a utilizar a funcionalidade Bring Your Own Key (BYOK) no Power BI, tem de garantir que o Cofre de Chaves que controla as chaves geridas pelo cliente está configurado com a orientação na documentação BYOK no Power BI abaixo. Habilite a proteção de exclusão suave e limpeza no Cofre de Chaves do Azure para proteger as chaves contra exclusão acidental ou mal-intencionada.

• BYOK no Power BI

• Como ativar a proteção de exclusão suave e limpeza no Cofre da Chave

Para recursos de chave de gateway, certifique-se de que você está seguindo as orientações na documentação de chave de recuperação de gateway abaixo.

• Chave de recuperação do gateway de dados local

Responsabilidade: Cliente

Próximos passos

• Veja a Descrição geral da Referência de Segurança do Azure v2
• Saiba mais sobre as linhas de base de segurança do Azure