Безопасность Power BI за десять шагов

Tags: Power BI, безопасность

Вы боитесь перехода на новое решение для визуализации данных или размещения данных в облаке? Сила Power BI слишком велика, чтобы ее игнорировать, и она предлагает множество функций безопасности, чтобы облегчить ваши проблемы.

Вот десять шагов, которые вы должны предпринять для защиты ваших данных.

1. Условный доступ Azure AD 

Мы предполагаем, что вы знакомы с основными концепциями Power BI. Сводка одного предложения заключается в том, что вы разрабатываете локально с помощью бесплатного инструмента Power BI для настольных ПК и публикуете его в облачной службе Power BI для обмена контентом.

Azure Active Directory (AD) управляет проверкой подлинности для службы Power BI. Синхронизируйте AD с Azure с помощью подключения Azure AD, чтобы обеспечить единый вход для локальной и облачной среды.

Используйте условный доступ Azure AD (требуется премиальный Azure AD), чтобы обеспечить дополнительные уровни безопасности и внедрить политики, такие как:

  • Многофакторная аутентификация (MFA)
  • Машина должна быть присоединена к домену
  • Блокируйте доступ из определенных операционных систем
  • Разрешайте доступ только из мест, помеченных как доверенные
  • Блокируйте доступ от отдельных клиентов, таких как мобильные

Используйте условный доступ Azure AD, чтобы включить MFA и заблокировать несанкционированный доступ

2. Рабочие пространства

Вы публикуете контент с рабочего стола Power BI в рабочие пространства в облачной службе. Добавьте коллег по авторам отчетов в рабочую область в одной из следующих ролей с возрастающими уровнями привилегий:

  • Участник
  • Член
  • Администратор

Примените принцип наименьших привилегий, как вы всегда делали с другими данными. Администраторы рабочего пространства могут удалить рабочее пространство, кому нужно это разрешение в вашей компании.

Не давайте пользователям отчетов никаких разрешений на рабочие пространства и не добавляйте их к каким-либо ролям, но мы подойдем к этому позже.

Создавайте рабочие пространства и предоставляйте разрешения выборочно

3. Приложения

Теперь вы являетесь экспертом в рабочей области, но как вы распространяете отчеты среди наших читателей, упомянутых выше?

Публикация контента - это то, где приходят приложения. Каждое рабочее пространство называется рабочим пространством приложения и предоставляет возможность аккуратно упаковать весь контент в единый объект, называемый приложением. Затем вы даете доступ к приложению отдельным лицам, группам или всей вашей компании.

Получатели получают доступ через меню приложений для фантастической визуализации данных только для чтения. Пользователи отчетов могут полностью взаимодействовать с данными, нажимая на диаграммы, срезы и фильтры, но не могут редактировать любой контент. Автор приложения может обновлять приложение и редактировать разрешения очень легко после публикации.

Распространяйте контент через приложения

4. Администрирование

Администраторы Power BI имеют ключи к замку для администрирования вашего клиента Power BI. Администраторы имеют доступ к порталу администрирования Power BI для выполнения таких действий, как:

  • Контроль тех, кто может создавать рабочие пространства
  • Указание на то, могут ли данные использоваться совместно
  • Ограничение возможности экспорта данных из Power BI

По умолчанию ваш Office 365 Global Administrator является администратором Power BI. Глобальный администратор Office 365 также назначает других пользователей администраторами Power BI. Убедитесь, что права администратора Power BI предоставляются выборочно только тем пользователям, которым требуются эти повышенные уровни разрешений.

Будьте очень избирательны в предоставлении прав администратора

5. Безопасность на уровне строк

Безопасность на уровне строк (RLS) предоставляет возможность публиковать один и тот же отчет для вашей пользовательской базы, но предоставляет разные горизонтальные фрагменты данных каждому человеку. Например:

  • Менеджер по продажам видит только продажи для своего региона
  • Спортсмен видит только свои показатели производительности

Реализуйте защиту на уровне строк в своей модели данных Power BI или в службах Analysis Services. В Power BI нажмите кнопку «Manage Roles» на ленте моделирования. Оттуда добавьте выражение DAX, которое возвращает логическое значение TRUE/FALSE для фильтрации столбца. Добавьте пользователей в роли в службе Power BI, чтобы увидеть безопасность на уровне строк в действии.

Большим преимуществом является то, что вы избегаете поддержки нескольких версий одной и той же визуализации для предоставления разных данных. Опубликуйте единый отчет для чистого решения, отвечающего всем требованиям безопасности.

Используйте RLS для защиты данных и упрощения администрирования

6. Дополнительные компоненты

Многие в Power BI обеспокоены распространением данных в многочисленных моделях данных Power BI. Подумайте, многие разработчики подключаются к исходным данным и публикуют отдельные наборы данных неуправляемым способом, который сложно администрировать и обслуживать.

Решением этой проблемы является создание единой версионной организационной модели данных в службах аналитики Azure, используемой всеми для целей отчетности. Этот подход позволяет избежать хранения данных во многих настольных файлах Power BI и облачных наборах данных.

Вместо того чтобы каждый разработчик отчетов повторял одно и то же логическое преобразование извлечения и загрузки, ИТ-отдел выполняет эту задачу один раз. Полученная единая модель данных является более последовательной и простой в обслуживании. Используйте Power BI только для визуализации отчетов и подключайтесь к службам аналитики Azure через Live Connection. Данные размещаются в службах аналитики Azure один раз, что исключает их разрастание.

Примените лучшие практики безопасности на всех уровнях этой архитектуры. Используйте принцип наименьших привилегий, когда каждый компонент связывается с другим. Например, настройте службы аналитики Azure для аутентификации в вашем хранилище данных с помощью имени входа, которое может выбирать только из определенных представлений уровня абстракции, у входа в систему будут нулевые разрешения для базовых таблиц или возможность редактирования данных.

Создайте единственную версию правды

7. Аудит

Доверяй, но проверяй. Администраторы и люди с соответствующими полномочиями имеют доступ к Office 365 Admin Center. Эта сокровищница информации регистрирует множество событий Power BI, позволяя выполнять поиск по диапазону дат и пользователю. Примеры проверенных событий:

  • Создан набор данных Power BI
  • Удален отчет Power BI
  • Экспортированы визуальные данные отчета Power BI
  • Дан доступ к панели управления Power BI

Используйте журналы аудита как важнейший инструмент для выполнения ваших нормативных обязательств.

Пересмотрите аудиты, чтобы убедиться в соответствии

8. Классификация

Первая цель вашего механизма, обеспечивающего соответствие - показать, что вы знаете, где находятся все ваши конфиденциальные данные. Вам также необходимо четко определить, какие из ваших панелей инструментов подвержены влиянию каждого законодательного акта, касающегося вашей организации.

Power BI позволяет классифицировать ваши панели мониторинга на основе определенных вами категорий. Вы можете создать ярлыки, такие как Classified, Internal, Sales или PII. Кроме того, укажите URL-адрес, чтобы отправлять своих пользователей в определенное место для получения дополнительной информации о классификации безопасности.

Классификация не является функцией безопасности как таковой, но является необходимым действием, которое вы должны предпринять для документирования публикуемых вами панелей мониторинга и обмена данными с другими, где находятся конфиденциальные данные.

Классифицируйте свои информационные панели, создайте URL, чтобы обучить своих пользователей.

9. Внешнее совместное использование

Power BI предоставляет возможность обмениваться отчетами за пределами вашей организации или даже публиковать их в общедоступном Интернете. Если это вызывает дрожь, отключите эти функции. Ваш администратор Power BI должен открыть портал администратора и переместить ползунок - проблема решена.

Отключите совместное использование извне (если оно не нужно)

10. Экспорт данных

Вы выполнили все описанные выше шаги и комфортно спите с безопасным решением, которое любят ваши пользователи. Тем не менее, есть одно последнее действие. Power BI предоставляет возможность экспортировать данные за пределы своих границ путем печати или экспорта в Excel или PowerPoint. Вся безопасность Power BI в мире не поможет вам, если люди покинут ваше здание с конфиденциальными данными в электронных таблицах на своем ноутбуке.

Вы уже знаете, что делать: выключите администраторский портал.

Отключите экспорт данных (если он не нужен)



No Comments

Add a Comment