Mobilność, a bezpieczeństwo danych na przykładzie usługi PowerBI

Wczoraj napisałem o priorytetach CIO 2016, a w zasadzie TOP 3 czyli BI/Analytics, Mobile oraz Cloud i jak realizacja priorytetów wygląda w rzeczywistości(przynajmniej w mojej subiektywnej ocenie, a nawet nie ocenie, a obserwacji). Dzisiaj przyszedł czas na temat, który można powiedzieć, że zawsze jest na topie, mianowicie, bezpieczeństwo.
Tak się składa, że bezpieczeństwo również znalazło się na liście priorytetów CIO na rok 2016, dlatego podobnie ja wczoraj połączymy je z TOP 3 i otrzymamy:  bezpieczeństwo rozwiązań mobilnego BI/analityki w chmurze 🙂 (SECURITY-MOBILE-BI/ANALYTICS-COLOUD). Istotnie jeśli już podejmujemy się uruchomienia rozwiązania, które będzie działało w takim właśnie modelu, pierwszy zestaw pytań, który pojawia się w zasadzie w każdej rozmowie, dotyczy aspektów bezpieczeństwa: Czy moje dane będą przechowywane w chmurze ? Czy  ktoś inny może mieć dostęp do moich danych ? W jaki sposób mogę zapewnić szyfrowanie danych ( czy w ogóle jest to możliwe)?.No i pierwsze, najbardziej popularne  skojarzenie: “dane w chmurze” = niebezpieczeństwo/zagrożenie.

Właśnie dlatego sądzę, że kluczowa jest tutaj możliwość szybkiego zaadresowania pojawiających się obaw, a najlepsza forma to wskazanie dostępnych mechanizmów bezpieczeństwa

Zobaczmy zatem na przykładzie PowerBI jako typowej usługi online, jak bezpieczne są nasze dane.

  1. Dostęp do portalu PowerBI.comDostęp do portalu usługi PowerBI.com wymaga uwierzytelnienia użytkownika, w tym celu PowerBI korzysta  z Azure Active Directory (AAD). Użytkownicy uzyskują dostęp za pomocą adresu e-mail i hasła. Kluczowym elementem jest możliwość skorzystania z dodatkowych mechanizmów uwierzytelniania dostępu (multi factor authentication)Multi-factor authentication Azure service: https://azure.microsoft.com/en-us/services/multi-factor-authentication/Istotny jest również fakt, że wraz z sierpniową aktualizacją PowerBI wprowadzony został mechanizm warunkowego włączenia mechanizmy dodatkowego uwierzytelniania, dla określonych użytkowników usługi. Przykładowo administrator usługi, może uaktywnić  regułę, wg której, użytkownicy, którzy logują się do powerbi.com spoza sieci firmowej (np. z domu), muszą korzystać z mechanizmu rozszerzonego uwierzytelniania, bądź w ogóle nie mogą uzyskać dostępu do raportów. Przykładowy ekran konfiguracji reguły warunkowego dodatkowego uwierzytelniania użytkownika.

    9ccd5b2f-558f-44db-a080-1de3bff3dd68

  2. Dostęp do danych – czyli jak przechowywane są dane w usłudze PowerBI
    Tworząc raporty i pulpity oraz publikując je korzystając z portalu PowerBI, należy pamiętać, że dostęp do danych z poziomu PowerBI może być realizowany w dwóch modelach. Jednym z nich jest model bezpośredniego dostępu do danych (Direct Query), w którym dane przechowywane są wyłącznie w zewnętrznych(źródłowych) systemach i pobierane są bezpośrednio na potrzeby wizualizacji danych.
    Dane przygotowane do prezentacji podlegają czasowemu przechowaniu  po stronie PowerBI w formie czsowej (cache) i są odpowiednio szyfrowane:
    Caches – The data needed by the visuals on the dashboard are cached and stored encrypted in Azure SQL Database
    Szczegóły dot. mechanizmów szyfrowania danych w spoczynku i w trakcie przesyłania zawarte są w bardzo ciekawych dokumencie  Power BI Security whitepaper.
  3. Bezpieczeństwo danych w aplikacjach mobilnych
    Poza dostępem i sposobem pobierania danych istotny jest również aspekt bezpieczeństwa danych na urządzeniach końcowych, z których korzystają użytkownicy. Tym razem warto dla odmiany przyjrzeć się rozwiązaniu mobilnych raportów, do których dostęp realizowany jest z wykorzystaniem aplikacji PowerBI dla urządzeń mobilnych. W przypadku tego typu raportów, już na etapie przygotowania, można określić, że dane nie mogą być przechowywane po stronie urządzenia – w tym celu wystarczy zaznaczyć jedno z pól wyboru. Alternatywnie można wymusić szyfrowanie danych załadowanych do urządzenia mobilnego
    PublisherSecurityPamiętajmy, że zawsze warto zadbać o odpowiedni wariant konfiguracji, aby zapewnić satysfakcjonujący poziom bezpieczeństwa naszych danych, jednak nie powinniśmy z definicji zakładać, że dane w chmurze oznaczają zagrożenie, czasami mogą być tam o wiele bardziej bezpieczne niż na niezabezpieczonym komputerze, w arkuszu Excel dowolnej osoby z organizacji…