此安全性基準會將 Azure 安全性效能評定 2.0 版的指引套用至 Power BI。 Azure 安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Azure 安全性效能評定所定義的安全性控件 和適用於 Power BI 的相關指引分組。
當功能有相關的 Azure 原則 定義列在此基準中時,可協助您測量 Azure 安全性效能評定控件和建議的合規性。 某些建議可能需要付費的 Microsoft Defender 方案,才能啟用特定的安全性案例。
注意
已排除不適用於Power BI的控制件 ,以及建議逐字處理全域指引的控件。 若要查看 Power BI 如何完全對應至 Azure 安全性效能評定,請參閱 完整的 Power BI 安全性基準對應檔案。
網路安全性
如需詳細資訊,請參閱 Azure 安全性效能評定:網路安全性。
NS-3:建立 Azure 服務的私人網路存取
指引:P ower BI 支援將Power BI租用戶連線到私人連結端點,以及停用公用因特網存取。
責任:共同
NS-4:保護應用程式與服務不受外部網路攻擊
指引:P ower BI 是完全受控的 SaaS 供應專案,且內建了拒絕服務保護,Microsoft管理。 客戶不需要採取任何動作,以保護服務免受外部網路攻擊。
責任:Microsoft
NS-7:安全網域名稱服務 (DNS)
指引:不適用;Power BI 不會公開其基礎 DNS 組態,這些設定是由Microsoft維護。
責任:Microsoft
身分識別管理
如需詳細資訊,請參閱 Azure 安全性效能評定:身分識別管理。
IM-1:將 Azure Active Directory 標準化為中央身分識別和驗證系統
指引:P ower BI 與 Azure Active Directory (Azure AD) 整合,這是 Azure 的預設身分識別和存取管理服務。 您應該在 Azure AD 上標準化,以控管組織的身分識別和存取管理。
保護 Azure AD 在貴組織的雲端安全性實務中應該是高優先順序。 Azure AD 提供身分識別安全分數,可協助您評估與Microsoft最佳做法建議相關的身分識別安全性狀態。 使用分數來量測設定與最佳做法建議的相符程度,以及改善安全性狀態。
注意:Azure AD 支援外部身分識別,允許沒有Microsoft帳戶的使用者使用其外部身分識別登入其應用程式和資源。
責任:客戶
IM-2:安全地且自動管理應用程式身分識別
指引:P ower BI 和 Power BI Embedded 支援使用服務主體。 將用於加密或存取 Power BI 的任何服務主體認證儲存在 金鑰保存庫 中、將適當的存取原則指派給保存庫,並定期檢閱訪問許可權。
責任:客戶
IM-3:使用 Azure AD 單一登錄 (SSO) 進行應用程式存取
指引:P ower BI 使用 Azure Active Directory (Azure AD) 來提供 Azure 資源、雲端應用程式和內部部署應用程式的身分識別和存取管理。 這包括企業身分識別,例如員工,以及外部身分識別,例如合作夥伴、廠商和供應商。 這可讓單一登錄 (SSO) 管理及保護組織內部部署和雲端中數據和資源存取的安全。 將所有使用者、應用程式和裝置連線至 Azure AD,以順暢、安全存取,以及更高的可見度和控制。
責任:客戶
IM-7:消除非預期的認證暴露
指引:針對Power BI內嵌應用程式,建議實作認證掃描器來識別程式代碼內的認證。 認證掃描器也會鼓勵將探索到的認證移至更安全的位置,例如 Azure 金鑰保存庫。
將用於加密或存取 Power BI 的任何加密金鑰或服務主體認證儲存在 金鑰保存庫 中、將適當的存取原則指派給保存庫,並定期檢閱訪問許可權。
針對 GitHub,您可以使用原生秘密掃描功能來識別程式代碼中的認證或其他形式的秘密。
責任:共同
特殊權限存取
如需詳細資訊,請參閱 Azure 安全性效能評定:特殊許可權存取。
PA-1:保護及限制高度特殊許可權的使用者
指引:若要降低風險並遵循最低許可權原則,建議將Power BI系統管理員的成員資格保留給少數人。 具有這些特殊許可權的使用者可能會存取及修改組織的所有管理功能。 全域管理員也可以透過 Microsoft 365 或 Azure Active Directory(Azure AD)隱含地擁有 Power BI 服務 中的系統管理員許可權。
Power BI 具有下列高許可權帳戶:
- 全域管理員
- 帳單管理員…
- 授權管理員
- 使用者系統管理員
- Power BI 管理員
- Power BI Premium 容量管理員
- Power BI Embedded 容量管理員
Power BI 支援 Azure AD 中的會話原則,以透過 適用於雲端的 Microsoft Defender Apps 服務啟用條件式存取原則,以及路由傳送 Power BI 中使用的會話。
在 Microsoft 365 中使用特殊許可權存取管理,為 Power BI 系統管理員帳戶啟用 Just-In-Time (JIT) 特殊許可權存取。
責任:客戶
PA-3:定期檢閱和協調使用者存取
指引:身為 Power BI 服務 系統管理員,您可以使用以Power BI活動記錄為基礎的自定義報表,分析租用戶層級所有Power BI資源的使用量。 您可以使用 REST API 或 PowerShell Cmdlet 下載活動。 您也可以依日期範圍、用戶和活動類型篩選活動數據。
您必須符合這些需求,才能存取 Power BI 活動記錄:
- 您必須是全域管理員或 Power BI 服務 系統管理員。
- 您已在本機安裝 Power BI 管理 Cmdlet ,或使用 Azure Cloud Shell 中的 Power BI 管理 Cmdlet。
符合這些需求之後,您可以遵循下列指引來追蹤Power BI中的用戶活動:
責任:客戶
PA-6:使用特殊許可權存取工作站
指引:安全、隔離的工作站對於系統管理員、開發人員和重要服務操作員等敏感性角色的安全性而言非常重要。 針對與管理 Power BI 相關的系統管理工作,使用高度保護的使用者工作站和/或 Azure Bastion。 使用 Azure Active Directory(Azure AD)、Microsoft Defender 進階威脅防護 (ATP) 和/或 Microsoft Intune 來部署安全且受控的使用者工作站來執行系統管理工作。 安全工作站可以集中管理,以強制執行安全的設定,包括強身份驗證、軟體和硬體基準、限制的邏輯和網路存取。
責任:客戶
資料保護
如需詳細資訊,請參閱 Azure 安全性效能評定:數據保護。
DP-1:探索、分類和標記敏感數據
指引:在報表、儀錶板、數據集和數據流上使用來自 Microsoft Purview 資訊保護 的敏感度卷標,以保護您的敏感性內容,防止未經授權的數據存取和外洩。
使用來自 Microsoft Purview 資訊保護 的敏感度標籤分類和標記 Power BI 服務 中的報表、儀錶板、數據集和數據流,並在內容從 Power BI 服務 導出至 Excel、PowerPoint 和 PDF 檔案時,防止未經授權的數據存取和外洩。
責任:客戶
DP-2:保護敏感性資料
指引:P ower BI 會與來自 Microsoft Purview 資訊保護 的敏感度標籤整合,以保護敏感數據。 如需詳細資訊,請參閱 Power BI 中 Microsoft Purview 資訊保護 的敏感度標籤
Power BI 可讓服務用戶攜帶自己的密鑰來保護待用數據。 如需詳細資訊,請參閱 自備 Power BI 加密密鑰
客戶可以選擇將數據源保留在內部部署環境,並利用直接查詢或即時連線與內部部署數據閘道,以將數據暴露在雲端服務中最小化。 如需詳細資訊,請參閱 什麼是內部部署數據閘道?
Power BI 支援數據列層級安全性。 如需詳細資訊,請參閱 Power BI 的數據列層級安全性 (RLS)。 請注意,RLS 甚至可以套用至直接查詢數據源,在此情況下,PBIX 檔案會作為啟用 Proxy 的安全性。
責任:客戶
DP-3:監視未經授權轉送敏感性資料
指引:您可以使用Power BI的 適用於雲端的 Microsoft Defender Apps支援,部分達成此控件。
使用 適用於雲端的 Microsoft Defender Apps 搭配 Power BI,您可以協助保護 Power BI 報表、數據和服務免於意外洩漏或缺口。 使用 適用於雲端的 Microsoft Defender Apps 時,您會使用 Azure Active Directory (Azure AD) 中的即時會話控件,為組織的數據建立條件式存取原則,以協助確保您的 Power BI 分析安全。 設定這些原則之後,系統管理員可以監視使用者存取和活動、執行實時風險分析,以及設定標籤特定的控制件。
責任:客戶
DP-4:加密傳輸中的敏感性資訊
指引:確定針對 HTTP 流量,連線到 Power BI 資源的任何用戶端和數據源都可以交涉 TLS v1.2 或更高版本。
責任:客戶
DP-5:加密待用敏感數據
指引:P ower BI 會加密待用和處理中的數據。 根據預設,Power BI 會使用 Microsoft 管理的金鑰來為您加密資料。 組織可以選擇使用自己的密鑰,在 Power BI 之間加密待用用戶內容,從報表影像到 Premium 容量中的匯入數據集。
責任:共同
資產管理
如需詳細資訊,請參閱 Azure 安全性效能評定:資產管理。
AM-1:確保安全性小組能夠了解資產的風險
指引:搭配 Power BI Office 稽核記錄使用Microsoft Sentinel,以確保您的安全性小組能夠看到 Power BI 資產的風險。
責任:客戶
AM-2:確保安全性小組能夠存取資產清查和元數據
指引:確保安全性小組能夠存取 Power BI Embedded 資源的持續更新清查。 安全性小組通常需要此清查來評估其組織可能暴露在新興風險中的風險,並作為持續安全性改善的輸入。
Azure Resource Graph 可以查詢並探索訂用帳戶中的所有 Power BI Embedded 資源。
使用標籤,以及 Azure 中的其他元數據,根據貴組織的分類法,以邏輯方式組織資產(名稱、描述和類別)。
責任:客戶
AM-3:僅使用已核准的 Azure 服務
指引:P ower BI 支援以 Azure Resource Manager 為基礎的 Power BI Embedded 部署,而且您可以使用自定義原則定義,透過 Azure 原則 限制其資源的部署。
使用 Azure 原則 來稽核及限制用戶可以在您的環境中布建的服務。 使用 Azure Resource Graph 查詢和探索其訂用帳戶內的資源。 您也可以使用 Azure 監視器來建立規則,以在偵測到未核准的服務時觸發警示。
責任:客戶
記錄與威脅偵測
如需詳細資訊,請參閱 Azure 安全性效能評定:記錄和威脅偵測。
LT-2:啟用 Azure 身分識別和存取管理的威脅偵測
指引:將Power BI的任何記錄轉送至SIEM,可用來設定自定義威脅偵測。 此外,使用Power BI中的 適用於雲端的 Microsoft Defender Apps 控件,在這裡使用指南啟用異常偵測。
責任:客戶
LT-3:啟用 Azure 網路活動的記錄
指引:P ower BI 是完全受控的 SaaS 供應專案,而基礎網路組態和記錄Microsoft的責任。 對於使用 Private Link 的客戶,可以使用可設定的一些記錄和監視。
責任:共同
LT-4:啟用 Azure 資源的記錄
指引:使用 Power BI 時,您有兩個選項可追蹤用戶活動:Power BI 活動記錄和統一稽核記錄。 這些記錄都包含Power BI稽核數據的完整複本,但有數個主要差異,如下所示。
整合稽核記錄:
除了 Power BI 稽核事件之外,還包含來自 SharePoint Online、Exchange Online、Dynamics 365 和其他服務的事件。
只有具有僅限檢視稽核記錄或稽核記錄許可權的使用者具有存取權,例如全域管理員和稽核員。
全域系統管理員和稽核員可以使用 Microsoft 365 Defender 入口網站和 Microsoft Purview 合規性入口網站 來搜尋統一稽核記錄。
全域系統管理員和稽核員可以使用 Microsoft 365 管理 API 和 Cmdlet 來下載稽核記錄專案。
將稽核數據保留 90 天。
即使租使用者移至不同的 Azure 區域,仍會保留稽核數據。
Power BI 活動記錄:
只包含 Power BI 審核事件。
可供全域管理員和 Power BI 服務管理員存取。
目前沒有任何使用者介面可搜尋活動記錄。
全域系統管理員和 Power BI 服務 系統管理員可以使用Power BI REST API和管理 Cmdlet 來下載活動記錄專案。
將活動數據保留 30 天。
當租使用者移至不同的 Azure 區域時,不會保留活動數據。
如需詳細資訊,請參閱下列參考資料:
責任:共同
LT-5: 集中化安全性記錄管理與分析
指引:P ower BI 會將記錄集中化兩個位置:Power BI 活動記錄和統一稽核記錄。 這些記錄都包含Power BI稽核數據的完整複本,但有數個主要差異,如下所示。
整合稽核記錄:
除了 Power BI 稽核事件之外,還包含來自 SharePoint Online、Exchange Online、Dynamics 365 和其他服務的事件。
只有具有僅限檢視稽核記錄或稽核記錄許可權的使用者具有存取權,例如全域管理員和稽核員。
全域系統管理員和稽核員可以使用 Microsoft 365 Defender 入口網站和 Microsoft Purview 合規性入口網站 來搜尋統一稽核記錄。
全域系統管理員和稽核員可以使用 Microsoft 365 管理 API 和 Cmdlet 來下載稽核記錄專案。
將稽核數據保留 90 天。
即使租使用者移至不同的 Azure 區域,仍會保留稽核數據。
Power BI 活動記錄:
只包含 Power BI 審核事件。
可供全域管理員和 Power BI 服務管理員存取。
目前沒有任何使用者介面可搜尋活動記錄。
全域系統管理員和 Power BI 服務 系統管理員可以使用Power BI REST API和管理 Cmdlet 來下載活動記錄專案。
將活動數據保留 30 天。
當租使用者移至不同的 Azure 區域時,不會保留活動數據。
如需詳細資訊,請參閱下列參考資料:
責任:客戶
LT-6: 設定記錄儲存保留
指引:根據您的合規性、法規和商務需求,為您的 Office 稽核記錄設定記憶體保留原則。
責任:客戶
LT-7: 使用核准的時間同步處理來源
指引:P ower BI 不支援設定您自己的時間同步處理來源。 Power BI 服務 依賴Microsoft時間同步處理來源,而且不會向客戶公開以進行設定。
責任:Microsoft
狀況和弱點管理
如需詳細資訊,請參閱 Azure 安全性效能評定:狀態和弱點管理。
PV-1:建立 Azure 服務的安全設定
指引:使用適合您組織和安全性立場的設定來設定您的 Power BI 服務。 應仔細考慮存取服務與內容的設定,以及工作區和應用程式安全性。 請參閱 Power BI 企業部署白皮書中的 Power BI 安全性和數據保護。
責任:客戶
PV-2:維持 Azure 服務的安全設定
指引:使用 Power BI 管理員 REST API 監視 Power BI 實例。
責任:客戶
PV-3:建立計算資源的安全設定
指引:P ower BI 是完全受控的 SaaS 供應專案,服務的基礎計算資源會受到Microsoft保護及管理。
責任:Microsoft
PV-4:維持計算資源的安全設定
指引:P ower BI 是完全受控的 SaaS 供應專案,服務的基礎計算資源會受到Microsoft保護及管理。
責任:Microsoft
PV-5:安全地儲存自定義操作系統和容器映像
指引:P ower BI 是完全受控的 SaaS 供應專案,服務的基礎計算資源會受到Microsoft保護及管理。
責任:Microsoft
PV-6:執行軟體弱點評估
指引:P ower BI 是完全受控的 SaaS 供應專案,服務的基礎計算資源會掃描及管理Microsoft。
責任:Microsoft
PV-7:快速且自動補救軟體弱點
指引:P ower BI 是完全受控的 SaaS 供應專案,服務的基礎計算資源會掃描及管理Microsoft。
責任:Microsoft
PV-8:進行一般攻擊模擬
指引:視需要,在您的 Azure 資源上執行滲透測試或紅色小組活動,並確保補救所有重要的安全性結果。
遵循Microsoft雲端滲透測試參與規則,以確保您的滲透測試不會違反Microsoft原則。 針對受Microsoft管理的雲端基礎結構、服務和應用程式,使用Microsoft的 Red Teaming 和即時網站滲透測試策略和執行。
責任:共同
端點安全性
如需詳細資訊,請參閱 Azure 安全性效能評定:端點安全性。
ES-1:使用端點偵測及回應 (EDR)
指引:P ower BI 不會部署任何需要客戶設定端點偵測和回應 (EDR) 保護的客戶面向計算資源。 Power BI 的基礎結構是由 Microsoft 處理,其中包括反惡意代碼和 EDR 處理。
責任:Microsoft
ES-2:使用集中管理的新式反惡意代碼軟體
指引:P ower BI 不會部署任何需要客戶設定反惡意代碼保護的客戶面向計算資源。 Power BI 的基礎結構是由 Microsoft 處理,其中包括反惡意代碼掃描。
責任:Microsoft
ES-3:確定反惡意程式碼軟體和簽章已更新
指引:P ower BI 不會部署任何客戶面向的計算資源,這需要客戶確保反惡意代碼簽章會一致地更新。 Power BI 的基礎結構是由 Microsoft 處理,其中包含所有反惡意代碼處理。
責任:Microsoft
備份和復原
如需詳細資訊,請參閱 Azure 安全性效能評定:備份和復原。
BR-3:驗證所有備份,包括客戶管理的密鑰
指引:如果您在 Power BI 中使用「攜帶您自己的金鑰」(BYOK)功能,您必須定期驗證您是否可以存取及還原客戶管理的密鑰。
責任:客戶
BR-4:降低遺失密鑰的風險
指引:如果您在 Power BI 中使用「攜帶您自己的金鑰」(BYOK)功能,您必須確保 金鑰保存庫 控制客戶自控密鑰的設定方式,如下列 Power BI 檔中的 BYOK 檔中的指引。 在 Azure 金鑰保存庫 中啟用虛刪除和清除保護,以防止意外或惡意刪除密鑰。
針對閘道金鑰資源,請確定您遵循下列閘道復原金鑰檔中的指引。
責任:客戶