적용 대상:
Azure Data Factory Azure Synapse Analytics
팁
기업용 올인원 분석 솔루션인 Microsoft Fabric의 Data Factory를 사용해 보세요. Microsoft Fabric은 데이터 이동부터 데이터 과학, 실시간 분석, 비즈니스 인텔리전스 및 보고에 이르기까지 모든 것을 다룹니다. 무료로 새 평가판을 시작하는 방법을 알아봅니다!
조직의 중요한 보안 목표는 인터넷을 이용한 임의 액세스를 통해 온-프레미스 데이터 저장소 또는 클라우드/SaaS 데이터 저장소를 보호하는 데 있습니다.
일반적으로 클라우드 데이터 저장소는 다음과 같은 메커니즘을 사용하여 액세스를 제어합니다.
- 가상 네트워크에서 프라이빗 엔드포인트를 사용하는 데이터 원본에 대한 프라이빗 링크
- IP 주소를 통해 연결을 제한하는 방화벽 규칙
- 사용자에게 자신의 ID를 증명하도록 요구하는 인증 메커니즘
- 특정 작업 및 데이터로 사용자를 제한하는 권한 부여 메커니즘
팁
이제 고정 IP 주소 범위가 도입되면서 클라우드 데이터 저장소의 모든 Azure IP 주소를 허용하지 않아도 되도록 특정 Azure 통합 런타임 지역에 대한 IP 범위를 허용 목록에 추가할 수 있습니다. 이러한 식으로 데이터 저장소에 액세스할 수 있는 IP 주소를 제한할 수 있습니다.
참고 항목
IP 주소 범위는 Azure Integration Runtime에 대해 차단되며 현재 데이터 이동, 파이프라인 및 외부 활동에만 사용됩니다. 이제 Managed Virtual Network를 사용하도록 설정하는 데이터 흐름 및 Azure Integration Runtime은 이러한 IP 범위를 사용하지 않습니다.
이는 다양한 시나리오에서 작동하며 통합 런타임당 고유한 고정 IP 주소를 사용하는 것이 바람직합니다. 다만 이제는 서버리스 Azure Integration Runtime을 사용해 이 작업을 수행할 수 없습니다. 필요하다면 자체 호스팅 통합 런타임을 항상 설정하고 그와 함께 고정 IP를 사용할 수 있습니다.
Azure Data Factory를 통한 데이터 액세스 전략
- Private Link - Azure Data Factory Managed Virtual Network 내에서 Azure Integration Runtime을 만들 수 있으며 프라이빗 엔드포인트를 활용하여 지원되는 데이터 저장소에 안전하게 연결합니다. Managed Virtual Network와 데이터 원본 간의 트래픽은 Microsoft 백본 네트워크를 이동하며 공용 네트워크에 노출되지 않습니다.
- 신뢰할 수 있는 서비스 - Azure Storage(Blob, ADLS Gen2) 및 Azure Key Vault는 선택한 신뢰할 수 있는 Azure 플랫폼 서비스가 안전하게 액세스할 수 있도록 하는 방화벽 구성을 지원합니다. 신뢰할 수 있는 서비스는 관리 ID 인증을 강제로 적용하며, 관리 ID를 사용하여 스토리지에 연결하도록 승인하지 않는 한 다른 데이터 팩터리는 이 스토리지에 연결할 수 없습니다.
참고 항목
아래 시나리오는 신뢰할 수 있는 서비스 목록에 없습니다.
- 자체 호스팅 통합 런타임 또는 SSIS 통합 런타임 사용
- 다음 작업 유형 사용: > - 웹후크 > - 사용자 지정 > - Azure Function
- 다음 커넥터 사용: > - AzureBatch > - AzureFunction > - AzureFile > - OData
- 고유 고정 IP - Data Factory 커넥터에 대한 고정 IP를 가져오려면 자체 호스팅 통합 런타임을 설정해야 합니다. 이 메커니즘을 사용하면 다른 모든 IP 주소에서 액세스를 차단할 수 있습니다.
- 고정 IP 범위 - Azure Integration Runtime의 IP 주소를 사용하여 스토리지(예: S3, Salesforce 등)에서 허용 목록을 만들 수 있습니다. 또한 데이터 저장소에 연결할 수 있는 IP 주소를 제한할 뿐만 아니라 인증/권한 부여 규칙도 사용합니다.
- 서비스 태그 - 서비스 태그는 (Azure Data Factory 같은) 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다. Virtual Network의 IaaS 호스팅 데이터 저장소에서 데이터 액세스를 필터링할 때 유용합니다.
- Azure 서비스 허용 - 이 옵션을 선택하는 경우, 일부 서비스를 사용하면 모든 Azure 서비스를 연결할 수 있습니다.
Azure Integration Runtime 및 자체 호스팅 통합 런타임의 데이터 저장소에서 지원되는 네트워크 보안 메커니즘에 관한 자세한 내용은 다음 두 개의 표를 참조하세요.
Azure 통합 런타임
데이터 저장소 데이터 저장소에서 지원되는 네트워크 보안 메커니즘 비공개 링크 신뢰할 수 있는 서비스 고정 IP 범위 서비스 태그 Azure 서비스 허용 Azure PaaS 데이터 저장소 Azure Cosmos DB (애저 코스모스 DB) 예 - 예 - 예 Azure Data Explorer(아주르 데이터 탐색기) - - 예* 예* - Azure 데이터 레이크 Gen1 - - 예 - 예 MariaDB, MySQL, PostgreSQL용 Azure 데이터베이스 - - 예 - 예 Azure 파일 예 - 예 - . Azure Blob Storage 및 ADLS Gen2 예 예(MSI 인증만 해당) 예 - . Azure SQL DB, Azure Synapse Analytics), SQL Ml 예(Azure SQL DB/DW에만 해당) - 예 - 예 Azure Key Vault(비밀/연결 문자열 페치용) 예 예 예 - - 그 외 PaaS/SaaS 데이터 저장소 AWS S3, SalesForce, Google Cloud Storage 등 - - 예 - - 눈송이 예 - 예 - - Azure IaaS SQL Server, Oracle 등 - - 예 예 - 온-프레미스 IaaS SQL Server, Oracle 등 - - 예 - - * Azure Data Explorer가 가상 네트워크에 삽입된 경우에만 적용되며, IP 범위는 NSG/방화벽에 적용될 수 있습니다.
자체 호스팅 통합 런타임(VNet 내부/온-프레미스)
데이터 저장소 데이터 저장소에서 지원되는 네트워크 보안 메커니즘 고정 IP 신뢰할 수 있는 서비스 Azure PaaS 데이터 저장소 Azure Cosmos DB (애저 코스모스 DB) 예 - Azure Data Explorer(아주르 데이터 탐색기) - - Azure 데이터 레이크 Gen1 예 - MariaDB, MySQL, PostgreSQL용 Azure 데이터베이스 예 - Azure 파일 예 - Azure Blob Storage 및 ADLS Gen2 예 - Azure SQL DB, Azure Synapse Analytics), SQL Ml 예 - Azure Key Vault(비밀/연결 문자열 페치용) 예 - 그 외 PaaS/SaaS 데이터 저장소 AWS S3, SalesForce, Google Cloud Storage 등 예 - Azure 라aaS SQL Server, Oracle 등 예 - 내부 설치형 인프라 서비스 (IaaS) SQL Server, Oracle 등 예 -
관련 콘텐츠
자세한 내용은 다음 관련 문서를 참조하세요.