Azure에서 클라우드 규모 분석을 위한 보안 프로비전
이 문서에서는 조직이 Azure에서 데이터 액세스 및 권한 관리를 통해 보안 프로비저닝을 구현하는 방법을 설명합니다.
데이터 액세스 관리
조직은 인증 및 권한 부여를 사용하여 해당 시나리오 서비스에 대한 액세스를 제어할 수 있습니다. 모범 사례 섹션에서는 각 특정 서비스의 보안을 설정하기 위한 참고 자료를 제공합니다. 예를 들어 Azure Data Lake 모범 사례 섹션에서는 Azure Data Lake Storage에서의 액세스 제어와 데이터 레이크 구성에 대해 설명합니다.
이전 문서에서는 데이터 제품을 만드는 데이터 애플리케이션을 온보딩하는 방법을 설명했습니다. 최대한 자동화를 사용하는 데 주로 중점을 두었습니다.
Azure 플랫폼 내에서 데이터 제품에 대한 액세스 권한을 부여하는 방법은 두 가지가 있습니다.
- Azure Purview 사용(데이터 정책)
- Microsoft Entra 권한 관리를 통해 액세스 권한을 부여하는 사용자 지정 데이터 마켓플레이스 사용
Azure Purview 메서드는 Azure Storage 데이터 소유자의 데이터 세트 프로비저닝에 설명되어 있습니다. 데이터 소유자는 리소스 그룹 및 구독 정책도 정의할 수 있습니다.
이 문서에서는 사용자 지정 데이터 마켓플레이스에서 Microsoft Entra 권한 관리를 사용하여 데이터 제품에 대한 액세스 권한을 부여하는 방법을 설명합니다.
참고 항목
모든 기업은 각 데이터 제품에 대한 데이터 거버넌스 프로세스를 자세히 정의해야 합니다. 예를 들어 공용으로 분류되거나 내부 전용인 데이터는 리소스에 의해 보호될 수 있지만, Azure의 클라우드 규모 분석용 데이터 개인 정보 보호에 갼략히 설명된 옵션을 사용하여 기밀 또는 그 이상의 모든 항목이 보호됩니다. 분류 유형에 대해 자세히 알아보려면 최신 기업에서 Azure 데이터를 관리하기 위한 요구 사항을 참조하세요.
Microsoft Entra 권한 관리
권한 관리는 조직에서 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID 및 액세스 수명 주기를 대규모로 관리할 수 있는 ID 거버넌스 기능입니다. 자격 관리 및 해당 가치를 요약하려면 Microsoft Entra 권한 관리란? 비디오를 참조하세요.
이 문서에서는 Microsoft Entra ID 권한 관리에 익숙하거나 최소한 Microsoft 설명서를 연구하고 다음 용어를 이해한 것으로 가정합니다.
| 용어 | 설명 |
|---|---|
| 액세스 패키지 | 팀 또는 프로젝트에 필요하고 정책에 따라 관리되는 리소스의 번들입니다. 액세스 패키지는 항상 카탈로그에 포함되어야 합니다. 사용자가 액세스를 요청하는 데 필요한 시나리오에 맞는 새 액세스 패키지를 만듭니다. |
| 액세스 요청 | 액세스 패키지의 리소스에 액세스하기 위한 요청입니다. 액세스 요청은 일반적으로 승인 워크플로를 거칩니다. 승인되면 요청자가 액세스 패키지 할당을 받습니다. |
| 양도 | 사용자에게 액세스 패키지를 할당합니다. 사용자에게 액세스 패키지의 리소스 역할이 모두 제공됩니다. 액세스 패키지 할당은 일반적으로 특정 시간 후에 만료되도록 설정됩니다. |
| 카탈로그 | 관련 리소스 및 액세스 패키지로 구성된 컨테이너입니다. 위임 시 카탈로그를 사용하여 관리자가 아닌 사용자가 고유한 액세스 패키지를 만들 수 있습니다. 카탈로그 소유자는 자신이 소유한 리소스를 카탈로그에 추가할 수 있습니다. |
| 카탈로그 작성자 | 새 카탈로그를 만들 권한이 있는 사용자입니다. 카탈로그 작성자 권한이 있는 관리자가 아닌 사용자는 새 카탈로그를 만드는 경우 자동으로 해당 카탈로그의 소유자가 됩니다. |
| 연결된 조직 | 관계가 있는 외부 Microsoft Entra 디렉터리 또는 도메인입니다. 액세스를 요청할 수 있도록 연결된 조직의 사용자를 지정할 수 있습니다. |
| 정책 | 데이터 액세스 수명 주기를 정의하는 규칙 집합입니다. 규칙에는 사용자가 액세스 권한을 얻는 방법, 사용자를 승인할 수 있는 사람, 사용자가 할당을 통해 액세스할 수 있는 기간이 포함될 수 있습니다. 정책은 액세스 패키지에 연결됩니다. 액세스 패키지에는 둘 이상의 정책이 있을 수 있습니다. 예로 액세스를 요청하는 직원에 대한 정책 한 가지와 액세스를 요청하는 외부 사용자에 대한 두 번째 정책이 있는 패키지를 들 수 있습니다. |
Important
Microsoft Entra 테넌트는 현재 500개의 액세스 패키지를 사용하여 500개의 카탈로그를 프로비전할 수 있습니다. 조직에서 이러한 용량을 늘려야 하는 경우 Azure 지원에 문의하세요.
데이터 액세스 관리 워크플로
조직은 Microsoft Entra 권한 관리와 함께 사용자 지정 애플리케이션을 사용하여 사용자 지정 애플리케이션을 사용하여 기본 데이터 관리자 및 최고 데이터 책임자에게 액세스 거버넌스를 위임할 수 있습니다. 이 위임을 통해 데이터 애플리케이션 팀은 플랫폼 팀의 의견에 따르지 않고도 스스로를 지원할 수 있습니다. 여러 수준의 승인을 설정하고 Microsoft Graph REST API 및 권한 관리 REST API를 통해 엔드투엔드 온보딩/데이터 액세스 관리를 자동화할 수 있습니다.
Microsoft Entra 권한 관리 패키지를 사용하면 비관리자(예: 데이터 애플리케이션 팀)에게 액세스를 위임하여 액세스 패키지를 만들 수 있습니다. 액세스 패키지에는 데이터 제품에 대한 액세스와 같이 사용자가 요청할 수 있는 리소스가 포함됩니다. 데이터 관리자와 기타 위임된 액세스 패키지 관리자는 사용자가 액세스를 요청할 수 있는 규칙, 액세스를 승인할 수 있는 사람 및 승인된 액세스가 만료되는 시기가 포함된 정책을 정의할 수 있습니다.
카탈로그 만들기
데이터 레이크하우스를 구현하는 경우 각 데이터 랜딩 존의 권한 관리에서 카탈로그를 만듭니다. 자동화 및 구현 크기에 따라 다음 중 하나를 수행할 수 있습니다.
- 권한 관리 REST API를 호출하여 도메인에 대한 카탈로그를 만듭니다.
- 권한 관리 포털을 통해 각 데이터 랜딩 존에 다른 카탈로그를 만듭니다.
데이터 메시를 구현하는 경우 각 도메인에 대한 권한 관리에서 카탈로그를 만듭니다. 자동화 및 구현 크기에 따라 다음 중 하나를 수행할 수 있습니다.
- 권한 관리 REST API를 호출하여 도메인에 대한 카탈로그를 만듭니다.
- 권한 관리 포털을 통해 각 도메인에 다른 카탈로그를 만듭니다.
팁
각 카탈로그에는 패키지 만들기 및 권한 관리에 대한 자체 그룹 권한이 있을 수 있습니다.
데이터 제품 만들기
데이터 제품은 Azure의 클라우드 규모 분석 데이터 제품에서 설명합니다. 사용자 지정 애플리케이션의 경우 엔드투엔드 보안이 프로비전될 것이라는 기대가 데이터 온보딩에 포함됩니다.
데이터 온보딩 프로세스에는 다음을 비롯한 주요 메타데이터가 필요합니다.
- 다중저장소 위치(컴퓨팅 또는 데이터 레이크)
- 승인자(예: 데이터 관리자 또는 도메인의 최고 데이터 책임자)
- 수명 주기 요구 사항
- 요구 사항 검토
- 도메인:
- 데이터 제품 이름
- 분류
그림 1: 데이터 액세스 관리 데이터 제품 만들기
그림 1에는 데이터 애플리케이션 팀이 데이터 레이크에 있는 데이터 제품의 보안 프로비저닝을 자동화하는 방법이 설명되어 있습니다. 데이터 제품 온보딩 후 요청이 Microsoft Graph REST API로 전송됩니다.
Azure Active Directory Graph API 통해 두 개의 보안 그룹을 만듭니다. 하나는 읽기/쓰기 권한을 허용하고, 다른 하나는 읽기 권한만 허용합니다.
- 데이터 레이크에서 Microsoft Entra 통과 인증에 대해 다음과 같은 Microsoft Entra 그룹 명명 규칙이 제안됩니다.
- 도메인 이름 또는 데이터 랜딩 존 이름
- 데이터 제품 이름
- 데이터 레이크 계층:
RAW원시의 경우ENR보강된 경우CUR큐레이팅된 경우
- 데이터 제품 이름
RW읽기-쓰기의 경우R읽기 전용의 경우
- 테이블 액세스 제어를 위해 다음과 같은 Microsoft Entra 그룹 명명 규칙이 제안됩니다.
- 도메인 이름 또는 데이터 랜딩 존 이름
- 데이터 제품 이름
- 스키마 또는 테이블 길들이기
RW읽기-쓰기의 경우R읽기 전용의 경우
- 데이터 레이크에서 Microsoft Entra 통과 인증에 대해 다음과 같은 Microsoft Entra 그룹 명명 규칙이 제안됩니다.
데이터 제품에 보안 그룹을 할당합니다. 데이터 레이크의 경우 여기에는 데이터 제품 폴더 수준과 올바른 레이크 계층(원시, 보강, 큐레이팅)에서 두 개의 보안 그룹을 적용하는 일이 포함됩니다.
필요한 승인자 및 수명 주기(액세스 검토, 만료)와 함께 보안 그룹을 번들로 묶는 액세스 패키지를 만듭니다.
팁
복잡한 시나리오에서는 권한 수집 보안 그룹을 만들어 여러 보안 그룹을 캡처할 수 있지만, 이 과정이 데이터 제품 보안 그룹을 이미 만든 후에는 수동 작업이 됩니다.
데이터 제품 액세스 요청
사용자 지정 애플리케이션과 권한 관리 REST API를 사용하여 데이터 제품 액세스 권한 부여를 자동화할 수 있습니다.
그림 2: 데이터 제품에 대한 액세스 요청
그림 2에는 데이터 제품 액세스 요청 워크플로의 개요가 나와 있습니다.
사용자 액세스 요청
- 데이터 사용자가 데이터 마켓플레이스를 찾아서 액세스하려는 제품을 검색합니다.
- 데이터 마켓플레이스는 권한 관리 REST API와 상호 작용하여 사용자의 데이터 제품에 대한 액세스를 요청합니다.
- 정책과 계정에 따라 승인자는 알림을 받게 되고 액세스 관리 포털에서 액세스 요청을 검토합니다. 요청이 승인되면 사용자는 알림을 받게 되고 데이터 세트에 대한 액세스 권한을 제공받습니다.
- 조직에서 메타데이터(예: 사용자의 부서, 제목 또는 위치)에 따라 사용자 권한을 부여하려는 경우 Microsoft Entra ID의 동적 그룹을 승인된 그룹으로 추가할 수 있습니다.
사용자 요청 상태
데이터 마켓플레이스에 포함된 다른 서비스에서는 데이터 제품 액세스 요청의 현재 상태를 확인할 수 있습니다. 이러한 서비스는 권한 관리 REST API와 상호 작용하여 사용자 또는 서비스 사용자 이름의 미해결 요청을 모두 나열할 수 있습니다.
데이터 액세스 관리 요약
Azure의 데이터 액세스 관리는 다음 계층으로 나뉩니다.
- 물리적 계층(예: 데이터 세트를 저장하는 다중저장소)
- Microsoft Entra 보안 그룹
- 액세스 패키지
- 데이터 세트에 액세스하는 사용자와 팀
위의 다이어그램에는 각 도메인에 대해 하나의 카탈로그가 만들어진 예제 데이터 메시 구현이 나와 있습니다. 데이터 제품 팀은 새 데이터 세트 또는 제품을 데이터 도메인에 온보딩합니다. Microsoft Entra 그룹이 만들어지고 데이터 세트에 할당됩니다. Azure Databricks, Azure Synapse Analytics 또는 기타 분석 다각형 저장소를 사용하여 Microsoft Entra 통과 인증 또는 테이블 액세스 제어를 사용하여 액세스 권한을 부여할 수 있습니다.
Microsoft Entra 권한 관리는 do기본s 액세스 패키지 카탈로그에 액세스 패키지를 만듭니다. 액세스 패키지에는 여러 Microsoft Entra 그룹이 포함될 수 있습니다. Finance Analysis 패키지는 재무 및 LOB A에 대한 액세스 권한을 제공하고, Finance Writers 패키지는 스키마 F 및 LOB A에 대한 액세스 권한을 부여합니다. 데이터 세트 작성자에게만 쓰기 권한을 부여합니다. 그렇지 않은 경우 읽기 전용 권한은 기본값이어야 합니다.
Important
이전 다이어그램에서는 Microsoft Entra 사용자 그룹을 추가하는 방법을 보여 줍니다. 통합 파이프라인 등을 위해 통합 또는 데이터 제품 팀에서 이용하는 Azure 서비스 사용자를 추가하는 데 동일한 프로세스를 사용할 수 있습니다. 사용자가 단기 액세스(30일)를 요청하는 경우와 이보다 더 긴 액세스 기간(90일)을 요청하는 경우의 두 가지 수명 주기를 설정해야 합니다.
다음 단계
- Azure에서 클라우드 규모 분석을 위한 데이터 운영 팀 구성원 구성
- Microsoft Entra 권한 관리 배포(비디오)
- 자격 관리 방법에 대한 자세한 내용은 Microsoft Entra 권한 관리의 일반적인 시나리오를 살펴보세요.