Microsoft Power BI-Sicherheit

Schutz Ihrer Daten und Berichte über eine sichere Cloudlösung zur Datenvisualisierung

Microsoft Power BI ist eine cloudbasierte Suite mit Analysewerkzeugen zur Datenanalyse, zur Veröffentlichung von Berichten und zum Abrufen von Erkenntnissen.

Der Power BI-Dienst basiert auf Microsoft Azure und nutzt die robusten Microsoft Azure Platform-Sicherheitstechnologien. Power BI verwendet separate Front-End- und Back-End-Cluster, die Gateway-Rolle und eine sichere Datenspeicherarchitektur zum Schutz Ihrer Daten. Der Authentifizierungsprozess verhindert den Zugriff nicht autorisierter Benutzer. Durch ein Verschlüsselungsverfahren bleibt die Vertraulichkeit der Daten während der Übertragung und Speicherung gewahrt. Power BI kann alle Daten Ihrer Organisation in der Cloud oder lokal vereinen.

Der Power BI-Dienst unterliegt den Microsoft Online Services-Nutzungsbedingungen und den Microsoft Online Services-Datenschutzbestimmungen.

Themen

Sichere Identitäten

Power BI basiert auf Azure und nutzt Azure Active Directory (Azure AD)-Mechanismen zur Identitäts- und Zugriffsverwaltung. So ist sichergestellt, dass nur autorisierte Benutzer auf die Umgebung, Daten und Berichte zugreifen können.

Power BI nutzt Azure AD außerdem als Identitätsspeicher zur Authentifizierung und Autorisierung. Die Benutzer melden sich über eine sichere Website (HTTPS) am Power BI-Dienst an. Die gesamte Kommunikation zwischen dem Webbrowser des Benutzers und dem Power BI-Dienst wird verschlüsselt. Azure Traffic Manager erhält die Anfrage, prüft den DNS-Datensatz des Benutzers, ermittelt den Standort der nächsten Power BI-Bereitstellung und antwortet mit der IP-Adresse des entsprechenden WFE-Clusters (Web Front End).

Der Benutzer wird zur Microsoft Online Services-Anmeldung umgeleitet, authentifiziert und an den nächstliegenden WFE-Cluster umgeleitet. Dieser prüft das über die Anmeldung erhaltene Cookie, führt über Azure AD die Authentifizierung des Power BI-Dienstabonnements durch und gibt ein Azure AD-Sicherheitstoken zurück. Der WFE-Cluster gibt das Token, Sitzungsinformationen und die Webadresse des entsprechenden Back-End-Clusters zurück. Der Browser des Benutzers lädt die zur Interaktion mit dem Power BI-Dienst erforderlichen Dateien herunter. Alle folgenden Interaktionen finden über den Back-End-Cluster statt und enthalten das Azure AD-Token des Benutzers.

Sichere Anwendungen und Daten

Die Datenübertragungen über Power BI Enterprise Gateway und Power BI Personal Gateway sind verschlüsselt. Hochgeladenen Daten werden in der Regel an Azure Blob Storage gesendet. Alle Metadaten sowie die Elemente für das System selbst werden in einer Azure SQL-Datenbank gespeichert.

Der Power BI-Dienst bearbeitet ruhende Daten (ohne aktuelle Aktivität) und Daten, die sich in Verarbeitung befinden (auf die durch Benutzer oder den Dienst aktiv zugegriffen wird oder die bearbeitet werden). Die Daten werden in zwei Kategorien geteilt:

  • Daten mit direktem Abfragezugriff
  • Daten ohne direkten Abfragezugriff

Direkte Abfragen werden direkt in die native Sprache der zugrunde liegenden Datenquelle übersetzt. Indirekte Abfragen enthalten keine Anmeldeinformationen für die zugrunde liegenden Daten. Die Unterscheidung zwischen einer direkten Abfrage und anderen Abfragen ist maßgeblich dafür, wie der Power BI-Dienst die ruhenden Daten behandelt und ob die Abfrage verschlüsselt wird.

Power BI nutzt Azure Storage zur Blob-Speicherung und die Azure SQL-Datenbank für die vom System generierten und genutzten Metadaten. Der Benutzer ist niemals direkt mit diesen Speicherbereichen verbunden. Alle Benutzerverbindungen werden über die Gateway-Rolle durchgeführt. Diese leitet Datenanfragen an andere Rollen (beispielsweise die Presentation-Rolle zur Darstellung des Dashboards) weiter.

Nur autorisierte Benutzer können auf Daten zugreifen. Die Identität des Benutzers bestimmt die entsprechende Autorisierung. Wenn ein Benutzer auf Daten zugreift, ist er für die Absicherung alle weitergegebenen Daten verantwortlich (besonders bei statischen Berichten).

  • Statische Berichte: Bei einem statischen Bericht werden die Daten in den Bericht integriert – ähnlich wie bei einem PDF. (Es gibt keine „Abfragen“ beim Power BI-System zu den im Bericht zu visualisierenden Daten.)
  • Dynamische Berichte: Bei einem dynamischen Bericht befinden sich die Daten nicht im Bericht selbst. Stattdessen werden die Daten über den Power BI Analysis Service-Connector zur Verbindung mit SQL Server über SQL Server Analysis Services abgefragt.

Bei statischen Berichten können autorisierte Benutzer Berichte an nicht autorisierte Benutzer weitergeben. Bei dynamischen Berichten sehen die Benutzer die Berichte nur dann, wenn sie authentifiziert und autorisiert wurden.

Alle Daten, die von Power BI angefordert und übertragen werden, werden bei der Weiterleitung verschlüsselt. Die Verbindung zwischen der Datenquelle und dem Power BI-Dienst ist durch HTTPS geschützt.

Sichere Infrastruktur

Da Power BI auf Azure basiert, nutzt es die Infrastruktursicherheit von Azure. Diese arbeitet mit bewährten Verfahrensweisen und Technologien zum Schutz der Daten während der Übertragung innerhalb der Microsoft-Rechenzentren und über das Internet.

Architektur

Die Power BI-Architektur ist auf den Schutz Ihrer Daten ausgelegt. Power BI wird in Rechenzentren auf der gesamten Welt bereitgestellt. Jede Bereitstellung setzt sich hierbei aus zwei Clustern zusammen:

  • WFE-Cluster: Alle Benutzer verbinden sich vor dem Zugriff auf Informationen in Power BI mit dem WFE. Die Server im WFE-Cluster authentifizieren die Benutzer und nutzen Azure AD zur Speicherung der Benutzeridentitäten und zur Autorisierung des Datenzugriffs. Azure Traffic Manager sucht die nächstliegende Power BI-Bereitstellung, und der WFE-Cluster verwaltet die Anmeldung und Authentifizierung.
  • Back-End-Cluster: Alle folgenden Aktivitäten sowie der Datenzugriff werden über den Back-End-Cluster durchgeführt. Er verwaltet die Dashboards, Visualisierungen, Datasets, Berichte, Datenspeicherung, Datenverbindungen und Datenaktualisierungsaktivitäten. Der Back-End-Cluster hostet viele Rollen (unter anderem die Rollen Azure API Management, Gateway, Presentation, Data, Background Job Processing und Data Movement).

Die direkte Interaktion der Benutzer findet nur über die Gateway- und Azure API Management-Rolle statt. Diese beiden Rollen sind über das Internet verfügbar. Die Rollen führen die Authentifizierung und Autorisierung, den DDoS-Schutz (Distributed Denial-of-Service), die Bandbreitendrosselung, die Lastverteilung, das Routing und andere Sicherheits-, Leistungs- und Verfügbarkeitsfunktionen durch bzw. aus. Die für den Benutzer zugreifbaren Rollen und die nur vom System zugreifbaren Rollen sind eindeutig voneinander abgegrenzt.

Umgang mit Bedrohungen

Der breit gefächerte Ansatz zum Umgang mit Bedrohungen von Azure schützt Power BI. Dieser umfasst eine Einbruchserkennung, einen Schutz vor DDoS-Angriffen, Penetrationstests, Datenanalysen und Machine Learning, um fortlaufend die Abwehrfähigkeit zu stärken und Risiken zu minimieren.

Physische Sicherheit

Power BI wird in den regionalen Microsoft-Rechenzentren bereitgestellt. Diese Rechenzentren werden über ein mehrstufiges und tiefgreifendes Sicherheitskonzept mit Sicherheitszäunen, Videokameras, Sicherheitsmitarbeitern, abgesicherten Eingängen und Echtzeit-Kommunikationsnetzwerken geschützt. Das Sicherheitskonzept deckt hierbei jeden Bereich der Einrichtung ab – bis hin zu den jeweiligen physischen Servern.

Kontaktieren des Trust Center

Benötigen Sie Unterstützung beim Testen unserer Produkte? Können Sie die benötigten Informationen nicht finden?

Benötigen Sie allgemeine technische Unterstützung?

Microsoft-Support kontaktieren