Microsoft Purview 보안 모범 사례
이 문서에서는 Microsoft Purview 거버넌스 솔루션에 대한 일반적인 보안 요구 사항에 대한 모범 사례를 제공합니다. 설명된 보안 전략은 계층화된 심층 방어 접근 방식을 따릅니다.
참고
이러한 모범 사례는 Microsoft Purview 통합 데이터 거버넌스 솔루션에 대한 보안을 다룹니다. Microsoft Purview 위험 및 규정 준수 솔루션에 대한 자세한 내용은 여기를 참조하세요. 일반적으로 Microsoft Purview에 대한 자세한 내용은 여기를 참조하세요.
이러한 권장 사항을 환경에 적용하기 전에 보안 요구 사항에 일부 권장 사항이 적용되지 않을 수 있으므로 보안 팀에 문의해야 합니다.
네트워크 보안
Microsoft Purview는 Azure의 PaaS(Platform as a Service) 솔루션입니다. Microsoft Purview 계정에 대해 다음 네트워크 보안 기능을 사용하도록 설정할 수 있습니다.
- Private Link Service를 사용하여 엔드 투 엔드 네트워크 격리를 사용하도록 설정합니다.
- Microsoft Purview 방화벽을 사용하여 공용 액세스를 사용하지 않도록 설정합니다.
- Azure 데이터 원본 프라이빗 엔드포인트, Microsoft Purview 프라이빗 엔드포인트 및 자체 호스팅 런타임 VM이 배포되는 서브넷에 대한 NSG(네트워크 보안 그룹) 규칙을 배포합니다.
- 네트워크 검사 및 네트워크 필터링을 위한 Azure Firewall 같은 네트워크 가상 어플라이언스가 관리하는 프라이빗 엔드포인트를 사용하여 Microsoft Purview를 구현합니다.
자세한 내용은 Azure PaaS Services에 대한 연결과 관련된 모범 사례를 참조하세요.
Microsoft Purview 계정에 대한 프라이빗 엔드포인트 배포
프라이빗 네트워크 내에서 Microsoft Purview를 사용해야 하는 경우 부분 또는 엔드 투 엔드 격리를 위해 Microsoft Purview 계정과 함께 Azure Private Link 서비스를 사용하여 Microsoft Purview 거버넌스 포털에 연결하고, Microsoft Purview 엔드포인트에 액세스하고, 데이터 원본을 검사하는 것이 좋습니다.
Microsoft Purview 계정 프라이빗 엔드포인트는 다른 보안 계층을 추가하는 데 사용되므로 가상 네트워크 내에서 시작된 클라이언트 호출만 Microsoft Purview 계정에 액세스할 수 있습니다. 이 프라이빗 엔드포인트는 포털 프라이빗 엔드포인트의 필수 구성 요소이기도 합니다.
프라이빗 네트워크를 사용하여 Microsoft Purview 거버넌스 포털에 연결할 수 있도록 하려면 Microsoft Purview 포털 프라이빗 엔드포인트가 필요합니다.
Microsoft Purview는 수집 프라이빗 엔드포인트를 사용하여 Azure 또는 온-프레미스 환경에서 데이터 원본을 검색할 수 있습니다.
- Azure 플랫폼을 서비스 데이터 원본으로 검사하려면 수집 프라이빗 엔드포인트를 통해 데이터 원본을 검사하기 위한 지원 매트릭스를 검토합니다.
- 엔드 투 엔드 네트워크 격리를 사용하여 Microsoft Purview를 배포하는 경우 Azure 데이터 원본을 검사하려면 이러한 데이터 원본도 프라이빗 엔드포인트로 구성해야 합니다.
- 알려진 제한 사항을 검토합니다.
자세한 내용은 Microsoft Purview 네트워크 아키텍처 및 모범 사례를 참조하세요.
Microsoft Purview 방화벽을 사용하여 공용 액세스 차단
Microsoft Purview 공용 액세스를 사용하지 않도록 설정하여 공용 인터넷에서 Microsoft Purview 계정에 대한 액세스를 완전히 차단할 수 있습니다. 이 경우 다음 요구 사항을 고려해야 합니다.
- Microsoft Purview는 엔드 투 엔드 네트워크 격리 시나리오를 기반으로 배포해야 합니다.
- Microsoft Purview 거버넌스 포털 및 Microsoft Purview 엔드포인트에 액세스하려면 프라이빗 네트워크에 연결된 관리 머신을 사용하여 프라이빗 네트워크를 통해 Microsoft Purview에 액세스해야 합니다.
- 알려진 제한 사항을 검토합니다.
- Azure 플랫폼을 서비스 데이터 원본으로 검색하려면 수집 프라이빗 엔드포인트를 통해 데이터 원본을 검사하기 위한 지원 매트릭스를 검토합니다.
- Azure 데이터 원본도 프라이빗 엔드포인트로 구성해야 합니다.
- 데이터 원본을 검사하려면 자체 호스팅 통합 런타임을 사용해야 합니다.
자세한 내용은 공용 액세스를 제한하는 방화벽을 참조하세요.
네트워크 보안 그룹 사용
Azure 네트워크 보안 그룹을 사용하여 Azure 가상 네트워크의 Azure 리소스 간 네트워크 트래픽을 필터링할 수 있습니다. 네트워크 보안 그룹에는 여러 유형의 Azure 리소스에 대한 인바운드 네트워크 트래픽 또는 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙이 포함되어 있습니다. 각 규칙에 대해 원본 및 대상, 포트 및 프로토콜을 지정할 수 있습니다.
네트워크 보안 그룹은 Microsoft Purview 프라이빗 엔드포인트, 자체 호스팅 통합 런타임 VM 및 Azure 데이터 원본이 배포되는 네트워크 인터페이스 또는 Azure 가상 네트워크 서브넷에 적용할 수 있습니다.
자세한 내용은 프라이빗 엔드포인트에 대한 NSG 규칙 적용을 참조하세요.
Microsoft Purview 검사를 위한 데이터 원본 에는 다음 NSG 규칙이 필요합니다.
| 방향 | 원본 | 원본 포트 범위 | 대상 | 대상 포트 | Protocol(프로토콜) | 작업 |
|---|---|---|---|---|---|---|
| 인바운드 | 자체 호스팅 통합 런타임 VM의 개인 IP 주소 또는 서브넷 | * | 데이터 원본 개인 IP 주소 또는 서브넷 | 443 | 모두 | 허용 |
Microsoft Purview 거버넌스 포털에 액세스하려면 관리 컴퓨터 에서 다음 NSG 규칙이 필요합니다.
| 방향 | 원본 | 원본 포트 범위 | 대상 | 대상 포트 | Protocol(프로토콜) | 작업 |
|---|---|---|---|---|---|---|
| 아웃바운드 | 관리 컴퓨터의 개인 IP 주소 또는 서브넷 | * | Microsoft Purview 계정 및 포털 프라이빗 엔드포인트 IP 주소 또는 서브넷 | 443 | 모두 | 허용 |
| 아웃바운드 | 관리 컴퓨터의 개인 IP 주소 또는 서브넷 | * | 서비스 태그: AzureCloud |
443 | 모두 | 허용 |
Microsoft Purview 검사 및 메타데이터 수집을 위한 자체 호스팅 통합 런타임 VM 에는 다음 NSG 규칙이 필요합니다.
중요
데이터 원본 형식에 따라 관련 서비스 태그를 사용하여 규칙을 추가하는 것이 좋습니다.
| 방향 | 원본 | 원본 포트 범위 | 대상 | 대상 포트 | Protocol(프로토콜) | 작업 |
|---|---|---|---|---|---|---|
| 아웃바운드 | 자체 호스팅 통합 런타임 VM의 개인 IP 주소 또는 서브넷 | * | 데이터 원본 개인 IP 주소 또는 서브넷 | 443 | 모두 | 허용 |
| 아웃바운드 | 자체 호스팅 통합 런타임 VM의 개인 IP 주소 또는 서브넷 | * | Microsoft Purview 계정 및 수집 프라이빗 엔드포인트 IP 주소 또는 서브넷 | 443 | 모두 | 허용 |
| 아웃바운드 | 자체 호스팅 통합 런타임 VM의 개인 IP 주소 또는 서브넷 | * | 서비스 태그: Servicebus |
443 | 모두 | 허용 |
| 아웃바운드 | 자체 호스팅 통합 런타임 VM의 개인 IP 주소 또는 서브넷 | * | 서비스 태그: Storage |
443 | 모두 | 허용 |
| 아웃바운드 | 자체 호스팅 통합 런타임 VM의 개인 IP 주소 또는 서브넷 | * | 서비스 태그: AzureActiveDirectory |
443 | 모두 | 허용 |
| 아웃바운드 | 자체 호스팅 통합 런타임 VM의 개인 IP 주소 또는 서브넷 | * | 서비스 태그: DataFactory |
443 | 모두 | 허용 |
| 아웃바운드 | 자체 호스팅 통합 런타임 VM의 개인 IP 주소 또는 서브넷 | * | 서비스 태그: KeyVault |
443 | 모두 | 허용 |
Microsoft Purview 계정, 포털 및 수집 프라이빗 엔드포인트에는 다음 NSG 규칙이 필요합니다.
| 방향 | 원본 | 원본 포트 범위 | 대상 | 대상 포트 | Protocol(프로토콜) | 작업 |
|---|---|---|---|---|---|---|
| 인바운드 | 자체 호스팅 통합 런타임 VM의 개인 IP 주소 또는 서브넷 | * | Microsoft Purview 계정 및 수집 프라이빗 엔드포인트 IP 주소 또는 서브넷 | 443 | 모두 | 허용 |
| 인바운드 | 관리 컴퓨터의 개인 IP 주소 또는 서브넷 | * | Microsoft Purview 계정 및 수집 프라이빗 엔드포인트 IP 주소 또는 서브넷 | 443 | 모두 | 허용 |
자세한 내용은 자체 호스팅 통합 런타임 네트워킹 요구 사항을 참조하세요.
액세스 관리
ID 및 액세스 관리는 많은 보안 보증의 기초를 제공합니다. 클라우드 서비스의 ID 인증 및 권한 부여 제어에 따라 액세스할 수 있습니다. 이러한 컨트롤은 데이터 및 리소스를 보호하고 허용해야 하는 요청을 결정합니다.
Microsoft Purview의 역할 및 액세스 관리와 관련하여 다음 보안 모범 사례를 적용할 수 있습니다.
- 컨트롤 플레인 및 데이터 평면에서 Microsoft Purview를 관리하는 역할 및 책임을 정의합니다.
- Azure 구독 내에서 Microsoft Purview를 배포하고 관리하는 데 필요한 역할 및 작업을 정의합니다.
- Microsoft Purview를 사용하여 데이터 관리 및 거버넌스를 수행하는 데 필요한 역할 및 작업을 정의합니다.
- 개별 사용자에게 역할을 할당하는 대신 Azure Active Directory 그룹에 역할을 할당합니다.
- Azure Active Directory 권한 관리를 사용하여 액세스 패키지를 사용하여 사용자 액세스를 Azure AD 그룹에 매핑합니다.
- 특히 컬렉션 관리자, 데이터 원본 관리자 또는 데이터 큐레이터와 같은 권한 있는 역할이 있는 사용자에 대해 Microsoft Purview 사용자에게 다단계 인증을 적용합니다.
컨트롤 플레인 및 데이터 평면에서 Microsoft Purview 계정 관리
컨트롤 플레인은 Azure Resource Manager 내에서 Microsoft Purview의 Azure 배포 및 관리와 관련된 모든 작업을 나타냅니다.
데이터 평면은 데이터 맵 및 Data Catalog 내에서 Microsoft Purview와 상호 작용하는 작업과 관련된 모든 작업을 나타냅니다.
Microsoft Purview instance Azure 구독에 연결된 Azure Active Directory 테넌트의 사용자, 보안 그룹 및 서비스 주체에게 컨트롤 플레인 및 데이터 평면 역할을 할당할 수 있습니다.
컨트롤 플레인 작업 및 데이터 평면 작업의 예:
| 작업 | 범위 | 권장 역할 | 사용할 역할은 무엇인가요? |
|---|---|---|---|
| Microsoft Purview 계정 배포 | 컨트롤 플레인 | Azure 구독 소유자 또는 기여자 | Azure RBAC 역할 |
| Microsoft Purview에 대한 프라이빗 엔드포인트 설정 | 컨트롤 플레인 | 참가자 | Azure RBAC 역할 |
| Microsoft Purview 계정 삭제 | 컨트롤 플레인 | 참가자 | Azure RBAC 역할 |
| SHIR(자체 호스팅 통합 런타임) 추가 또는 관리 | 컨트롤 플레인 | 데이터 원본 관리자 | Microsoft Purview 역할 |
| Microsoft Purview 메트릭을 확인하여 현재 용량 단위 가져오기 | 컨트롤 플레인 | 리더 | Azure RBAC 역할 |
| 컬렉션 만들기 | 데이터 평면 | 컬렉션 관리 | Microsoft Purview 역할 |
| 데이터 원본 등록 | 데이터 평면 | 컬렉션 관리 | Microsoft Purview 역할 |
| SQL Server 검사 | 데이터 평면 | 데이터 원본 관리자 및 데이터 판독기 또는 데이터 큐레이터 | Microsoft Purview 역할 |
| Microsoft Purview 데이터 카탈로그 내부 검색 | 데이터 평면 | 데이터 원본 관리자 및 데이터 판독기 또는 데이터 큐레이터 | Microsoft Purview 역할 |
Microsoft Purview 평면 역할은 Microsoft Purview 컬렉션의 Microsoft Purview instance 내에서 정의되고 관리됩니다. 자세한 내용은 Microsoft Purview의 액세스 제어를 참조하세요.
Azure 컨트롤 플레인 작업에 대한 Azure 역할 기반 액세스 권장 사항을 따릅니다.
인증 및 권한 부여
Microsoft Purview에 액세스하려면 사용자를 인증하고 권한을 부여해야 합니다. 인증은 사용자가 누구라고 주장하는지 증명하는 프로세스입니다. 권한 부여는 컬렉션에 할당된 Microsoft Purview 내의 액세스를 제어하는 것을 의미합니다.
Azure Active Directory를 사용하여 컬렉션 내에서 Microsoft Purview에 대한 인증 및 권한 부여 메커니즘을 제공합니다. Microsoft Purview instance 호스트되는 Azure 구독과 연결된 Azure Active Directory 테넌트에서 다음 보안 주체에 Microsoft Purview 역할을 할당할 수 있습니다.
- 사용자 및 게스트 사용자(Azure AD 테넌트에서 이미 추가된 경우)
- 보안 그룹
- 관리 ID
- 서비스 주체
Microsoft Purview 세분화된 역할은 Microsoft Purview instance 내의 유연한 컬렉션 계층 구조에 할당할 수 있습니다.
최소 권한 모델 정의
일반적으로 데이터 액세스를 위해 보안 정책을 적용하려는 조직에는 알아야 할 필요성 과 최소 권한 보안 원칙에 따라 액세스를 제한해야 합니다.
Microsoft Purview에서는 Microsoft Purview 컬렉션을 사용하여 데이터 원본, 자산 및 검사를 구성할 수 있습니다. 컬렉션은 Microsoft Purview에서 메타데이터의 계층적 그룹화이지만 동시에 Microsoft Purview에서 액세스를 관리하는 메커니즘을 제공합니다. Microsoft Purview의 역할은 컬렉션의 계층 구조에 따라 컬렉션에 할당할 수 있습니다.
Microsoft Purview 컬렉션을 사용하여 최소 권한 모델을 기반으로 하는 중앙 집중식 또는 위임된 관리 및 거버넌스 계층 구조에 대한 organization 메타데이터 계층 구조를 구현합니다.
팀 내의 업무를 분리하여 Microsoft Purview 컬렉션 내에서 역할을 할당할 때 최소 권한 액세스 모델을 따르고 작업을 수행하는 데 필요한 사용자에 대한 액세스 권한만 부여합니다.
Microsoft Purview 컬렉션 계층 구조에 따라 Microsoft Purview에서 최소 권한 액세스 모델을 할당하는 방법에 대한 자세한 내용은 Microsoft Purview의 액세스 제어를 참조하세요.
권한 있는 계정의 노출 감소
권한 있는 액세스 보안은 비즈니스 자산을 보호하는 중요한 첫 번째 단계입니다. 보안 정보 또는 리소스에 대한 액세스 권한이 있는 사용자 수를 최소화하면 악의적인 사용자가 액세스하거나 권한이 부여된 사용자가 실수로 중요한 리소스에 영향을 줄 수 있습니다.
Microsoft Purview instance 내에서 쓰기 권한이 있는 사용자 수를 줄입니다. 루트 컬렉션에서 컬렉션 관리자 및 데이터 큐레이터 역할의 수를 최소한으로 유지합니다.
다단계 인증 및 조건부 액세스 사용
Azure Active Directory Multi-Factor Authentication 은 다른 보안 및 인증 계층을 제공합니다. 보안을 강화하려면 모든 권한 있는 계정에 조건부 액세스 정책을 적용하는 것이 좋습니다.
Azure Active Directory 조건부 액세스 정책을 사용하여 Microsoft Purview 인스턴스 내에서 액세스를 수정하여 Microsoft Purview 역할에 할당된 모든 개별 사용자에 대해 로그인 시 Azure AD Multi-Factor Authentication을 적용합니다. 컬렉션 관리, 데이터 원본 관리, 데이터 큐레이터.
관리자 계정에 다단계 인증을 사용하도록 설정하고 관리자 계정 사용자가 MFA에 등록했는지 확인합니다.
Microsoft Purview를 클라우드 앱으로 선택하여 조건부 액세스 정책을 정의할 수 있습니다.
Microsoft Purview 계정의 실수로 삭제 방지
Azure에서는 Azure 구독, 리소스 그룹 또는 리소스에 리소스 잠금 을 적용하여 중요한 리소스에 대한 실수로 삭제하거나 수정하지 않도록 할 수 있습니다.
Microsoft Purview 계정에 대해 Azure 리소스 잠금을 사용하도록 설정하여 Azure 구독에서 실수로 Microsoft Purview 인스턴스를 삭제하지 않도록 합니다.
CanNotDelete Microsoft Purview 계정에 또는 ReadOnly 잠금을 추가해도 Microsoft Purview 데이터 평면 내에서 삭제 또는 수정 작업이 방지되지는 않지만 Microsoft Purview 계정 삭제, 프라이빗 엔드포인트 배포 또는 진단 설정 구성과 같은 제어 평면의 작업을 방지할 수 있습니다.
자세한 내용은 잠금 scope 이해를 참조하세요.
리소스 잠금은 Microsoft Purview 리소스 그룹 또는 리소스에 할당할 수 있지만 Microsoft Purview 관리되는 리소스 또는 관리되는 리소스 그룹에 Azure 리소스 잠금을 할당할 수는 없습니다.
중단 유리 전략 구현
테넌트 전체 계정 잠금을 방지하기 위해 Azure Active Directory 테넌트, Azure 구독 및 Microsoft Purview 계정에 대한 중단 전략을 계획합니다.
Azure AD 및 Azure 응급 액세스 계획에 대한 자세한 내용은 Azure AD 응급 액세스 계정 관리를 참조하세요.
Microsoft Purview 중단 유리 전략에 대한 자세한 내용은 Microsoft Purview 컬렉션 모범 사례 및 디자인 권장 사항을 참조하세요.
위협 방지 및 데이터 반출 방지
Microsoft Purview는 데이터의 민감도에 대한 풍부한 인사이트를 제공하므로 클라우드용 Microsoft Defender 사용하여 보안 팀이 organization 보안 태세를 관리하고 워크로드에 대한 위협으로부터 보호하는 데 유용합니다. 데이터 리소스는 악의적인 행위자에게 인기 있는 대상으로 남아 있으므로 보안 팀이 클라우드 환경에서 중요한 데이터 리소스를 식별, 우선 순위 지정 및 보호하는 것이 중요합니다. 이 문제를 해결하기 위해 공개 미리 보기에서 클라우드용 Microsoft Defender Microsoft Purview 간의 통합을 발표합니다.
클라우드용 Microsoft 365 및 Microsoft Defender 통합
종종 회사의 보안 organization 가장 큰 과제 중 하나는 중요도와 민감도에 따라 자산을 식별하고 보호하는 것입니다. Microsoft는 최근 이러한 문제를 해결하는 데 도움이 되는 퍼블릭 미리 보기의 클라우드용 Microsoft Purview와 Microsoft Defender 통합을 발표했습니다.
Microsoft Purview에서 자산 및 데이터베이스 열에 대한 Microsoft 365 민감도 레이블을 확장한 경우 검색된 민감도 레이블을 기반으로 하는 인벤토리, 경고 및 권장 사항에서 클라우드용 Microsoft Defender 사용하여 매우 중요한 자산을 추적할 수 있습니다.
권장 사항의 경우 각 권장 사항이 전반적인 보안 태세에 얼마나 중요한지 이해하는 데 도움이 되는 보안 제어를 제공했습니다. 클라우드용 Microsoft Defender 보안 작업의 우선 순위를 지정하는 데 도움이 되는 각 컨트롤에 대한 보안 점수 값을 포함합니다. 보안 컨트롤 및 권장 사항에 대해 자세히 알아보세요.
경고의 경우 각 경고에 참석하는 순서의 우선 순위를 지정하는 데 도움이 되는 심각도 레이블 을 각 경고에 할당했습니다. 경고 분류 방법에서 자세히 알아보세요.
자세한 내용은 Azure 보안 제품과 Microsoft Purview 통합을 참조하세요.
정보 보호
안전한 메타데이터 추출 및 스토리지
Microsoft Purview는 클라우드의 데이터 거버넌스 솔루션입니다. 온-프레미스, Azure 또는 다중 클라우드 환경에서 Microsoft Purview에 다양한 데이터 원본을 등록하고 스캔할 수 있습니다. Microsoft Purview에서 데이터 원본을 등록하고 검사하는 동안 실제 데이터 및 데이터 원본은 원래 위치에 유지되지만 메타데이터만 데이터 원본에서 추출되어 Microsoft Purview 데이터 맵 저장됩니다. 즉, 메타데이터를 Microsoft Purview로 추출하기 위해 지역 또는 원래 위치에서 데이터를 이동할 필요가 없습니다.
또한 Microsoft Purview 계정이 배포되면 관리되는 리소스 그룹도 Azure 구독에 배포됩니다. 관리되는 Azure Storage 계정은 이 리소스 그룹 내에 배포됩니다. 관리되는 스토리지 계정은 검사 중에 데이터 원본에서 메타데이터를 수집하는 데 사용됩니다. 이러한 리소스는 Microsoft Purview에서 사용되므로 Microsoft Purview 계정을 제외한 다른 사용자 또는 보안 주체가 액세스할 수 없습니다. 이는 Microsoft Purview 계정 배포 시 모든 보안 주체에 대해 AZURE RBAC(역할 기반 액세스 제어) 거부 할당이 자동으로 추가되어 Microsoft Purview에서 시작되지 않은 경우 이러한 리소스에 대한 CRUD 작업을 방지하기 때문입니다.
메타데이터는 어디에 저장되어 있나요?
Microsoft Purview는 검사 프로세스 중에 다른 데이터 원본 시스템에서 Microsoft Purview 데이터 맵 메타데이터만 추출합니다.
지원되는 모든 Azure 지역에서 Azure 구독 내에 Microsoft Purview 계정을 배포할 수 있습니다.
모든 메타데이터는 Microsoft Purview instance 내에 데이터 맵 내에 저장됩니다. 즉, 메타데이터는 Microsoft Purview instance 동일한 지역에 저장됩니다.
데이터 원본에서 메타데이터를 추출하는 방법
Microsoft Purview를 사용하면 다음 옵션 중 원하는 옵션을 사용하여 데이터 원본에서 메타데이터를 추출할 수 있습니다.
Azure 런타임. 메타데이터 데이터는 데이터 원본과 동일한 지역 내에서 추출 및 처리됩니다.
수동 또는 자동 검사는 azure 통합 런타임을 통해 Microsoft Purview 데이터 맵 시작됩니다.
Azure 통합 런타임은 데이터 원본에 연결하여 메타데이터를 추출합니다.
메타데이터는 Microsoft Purview 관리 스토리지에 큐에 대기하고 Azure Blob Storage 저장됩니다.
메타데이터는 Microsoft Purview 데이터 맵 전송됩니다.
자체 호스팅 통합 런타임. 메타데이터는 Microsoft Purview 데이터 맵 전송되기 전에 자체 호스팅 통합 런타임 VM의 메모리 내에서 자체 호스팅 통합 런타임에 의해 추출되고 처리됩니다. 이 경우 고객은 Azure 구독 또는 온-프레미스 환경 내에서 하나 이상의 자체 호스팅 통합 런타임 Windows 기반 가상 머신을 배포하고 관리해야 합니다. 온-프레미스 및 VM 기반 데이터 원본을 검사하려면 항상 자체 호스팅 통합 런타임을 사용해야 합니다. Azure 통합 런타임은 이러한 데이터 원본에 대해 지원되지 않습니다. 다음 단계에서는 자체 호스팅 통합 런타임을 사용하여 데이터 원본을 검사할 때 높은 수준의 통신 흐름을 보여줍니다.
수동 또는 자동 검사가 트리거됩니다. Microsoft Purview는 Azure Key Vault 연결하여 데이터 원본에 액세스하기 위한 자격 증명을 검색합니다.
검사는 자체 호스팅 통합 런타임을 통해 Microsoft Purview 데이터 맵 시작됩니다.
VM의 자체 호스팅 통합 런타임 서비스는 데이터 원본에 연결하여 메타데이터를 추출합니다.
메타데이터는 자체 호스팅 통합 런타임에 대한 VM 메모리에서 처리됩니다. 메타데이터는 Microsoft Purview 관리 스토리지에 큐에 대기한 다음 Azure Blob Storage 저장됩니다.
메타데이터는 Microsoft Purview 데이터 맵 전송됩니다.
온-프레미스 네트워크의 경계를 벗어나지 못하는 중요한 데이터가 있는 데이터 원본에서 메타데이터를 추출해야 하는 경우 데이터 원본이 있는 회사 네트워크 내에 자체 호스팅 통합 런타임 VM을 배포하여 온-프레미스에서 메타데이터를 추출 및 처리하고 메타데이터만 Microsoft Purview로 보내는 것이 좋습니다.
수동 또는 자동 검사가 트리거됩니다. Microsoft Purview는 Azure Key Vault 연결하여 데이터 원본에 액세스하기 위한 자격 증명을 검색합니다.
검사는 온-프레미스 자체 호스팅 통합 런타임을 통해 시작됩니다.
VM의 자체 호스팅 통합 런타임 서비스는 데이터 원본에 연결하여 메타데이터를 추출합니다.
메타데이터는 자체 호스팅 통합 런타임에 대한 VM 메모리에서 처리됩니다. 메타데이터는 Microsoft Purview 관리 스토리지에 큐에 대기한 다음 Azure Blob Storage 저장됩니다. 실제 데이터는 네트워크의 경계를 벗어나지 않습니다.
메타데이터는 Microsoft Purview 데이터 맵 전송됩니다.
정보 보호 및 암호화
Azure는 데이터를 미사용 상태로 유지하고 한 위치에서 다른 위치로 이동할 때 다양한 메커니즘을 제공합니다. Microsoft Purview의 경우 데이터는 Microsoft 관리형 키를 사용하여 미사용 시 암호화되고 데이터가 전송 중일 때 TLS(전송 계층 보안) v1.2 이상을 사용하여 암호화됩니다.
전송 계층 보안(전송 중 암호화)
전송 중인 데이터(이동 중인 데이터라고도 함)는 Microsoft Purview에서 암호화됩니다.
액세스 제어 외에도 다른 보안 계층을 추가하기 위해 Microsoft Purview는 TLS(전송 계층 보안)를 사용하여 이동 중인 데이터를 암호화하여 고객 데이터를 보호하고 전송 중인 데이터를 '대역 외' 공격(예: 트래픽 캡처)으로부터 보호합니다. 암호화를 사용하여 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 합니다.
Microsoft Purview는 TLS(전송 계층 보안) v1.2 이상을 사용하여 전송 중인 데이터 암호화를 지원합니다.
자세한 내용은 전송 중인 중요한 정보 암호화를 참조하세요.
투명한 데이터 암호화(미사용 암호화)
미사용 데이터에는 물리적 미디어의 영구 스토리지에 있는 정보가 디지털 형식으로 포함됩니다. 미디어에는 자기 또는 광학 미디어의 파일, 보관된 데이터 및 Azure 지역 내의 데이터 백업이 포함될 수 있습니다.
액세스 제어 외에도 다른 보안 계층을 추가하기 위해 Microsoft Purview는 미사용 데이터를 암호화하여 '대역 외' 공격(예: 기본 스토리지 액세스)으로부터 보호합니다. Microsoft 관리형 키로 암호화를 사용합니다. 이 방법은 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 하는 데 도움이 됩니다.
자세한 내용은 미사용 데이터 암호화를 참조하세요.
선택적 Event Hubs 네임스페이스 구성
각 Microsoft Purview 계정은 Atlas Kafka 엔드포인트를 통해 액세스할 수 있는 Event Hubs를 구성할 수 있습니다. 구성에서 만들 때 또는 Kafka 구성 아래의 Azure Portal 사용하도록 설정할 수 있습니다. Microsoft Purview 계정 데이터 맵 외부로 이벤트를 배포하는 데 사용되는 경우에만 선택적 관리형 이벤트 허브를 사용하도록 설정하는 것이 좋습니다. 이 정보 배포 지점을 제거하려면 이러한 엔드포인트를 구성하거나 제거하지 마세요.
구성된 Event Hubs 네임스페이스를 제거하려면 다음 단계를 수행할 수 있습니다.
- Azure Portal Microsoft Purview 계정을 검색하여 엽니다.
- Azure Portal Microsoft Purview 계정 페이지의 설정에서 Kafka 구성을 선택합니다.
- 사용하지 않도록 설정할 Event Hubs를 선택합니다. (후크 허브는 Microsoft Purview에 메시지를 보냅니다. 알림 허브는 알림을 받습니다.)
- 제거를 선택하여 선택을 저장하고 비활성화 프로세스를 시작합니다. 완료하는 데 몇 분 정도 걸릴 수 있습니다.
참고
이 Event Hubs 네임스페이스를 사용하지 않도록 설정할 때 수집 프라이빗 엔드포인트가 있는 경우 수집 프라이빗 엔드포인트를 사용하지 않도록 설정한 후 연결이 끊긴 것으로 표시될 수 있습니다.
이러한 Event Hubs 네임스페이스를 구성하는 방법에 대한 자세한 내용은 Atlas Kafka topics Event Hubs 구성을 참조하세요.
자격 증명 관리
데이터 원본 시스템에서 Microsoft Purview 데이터 맵 메타데이터를 추출하려면 Microsoft Purview 데이터 맵 데이터 원본 시스템을 등록하고 검사해야 합니다. 이 프로세스를 자동화하기 위해 Microsoft Purview의 다양한 데이터 원본 시스템에 사용할 수 있는 커넥터 를 만들어 등록 및 검사 프로세스를 간소화했습니다.
데이터 원본에 연결하려면 Microsoft Purview에 데이터 원본 시스템에 대한 읽기 전용 액세스 권한이 있는 자격 증명이 필요합니다.
가능한 경우 검사에 다음 자격 증명 옵션의 사용 우선 순위를 지정하는 것이 좋습니다.
- Microsoft Purview 관리 ID
- 사용자 할당 관리 ID
- 서비스 주체
- 계정 키, SQL 인증 등과 같은 기타 옵션
관리 ID가 아닌 옵션을 사용하는 경우 모든 자격 증명을 Azure 키 자격 증명 모음 내에 저장하고 보호해야 합니다. Microsoft Purview를 사용하려면 Azure Key Vault 리소스의 비밀에 대한 액세스 권한 가져오기/나열이 필요합니다.
일반적으로 다음 옵션을 사용하여 통합 런타임을 설정하고 자격 증명을 사용하여 데이터 원본 시스템을 검사할 수 있습니다.
| 시나리오 | 런타임 옵션 | 지원되는 자격 증명 |
|---|---|---|
| 데이터 원본은 공용 네트워크 내의 Azure Data Lake Storage Gen 2 또는 Azure SQL 같은 Azure Platform as a Service입니다. | 옵션 1: Azure 런타임 | Microsoft Purview 관리 ID, 서비스 주체 또는 액세스 키/SQL 인증(Azure 데이터 원본 형식에 따라 다름) |
| 데이터 원본은 공용 네트워크 내의 Azure Data Lake Storage Gen 2 또는 Azure SQL 같은 Azure Platform as a Service입니다. | 옵션 2: 자체 호스팅 통합 런타임 | 서비스 주체 또는 액세스 키/SQL 인증(Azure 데이터 원본 형식에 따라 다름) |
| 데이터 원본은 Azure Data Lake Storage Gen 2 또는 Azure Private Link Service를 사용하는 프라이빗 네트워크 내의 Azure SQL 같은 Azure Platform as a Service입니다. | 자체 호스팅 통합 런타임 | 서비스 주체 또는 액세스 키/SQL 인증(Azure 데이터 원본 형식에 따라 다름) |
| 데이터 원본은 SQL Server 같은 Azure IaaS VM 내에 있습니다. | Azure에 배포된 자체 호스팅 통합 런타임 | SQL 인증 또는 기본 인증(Azure 데이터 원본 형식에 따라 다름) |
| 데이터 원본은 SQL Server 또는 Oracle과 같은 온-프레미스 시스템 내에 있습니다. | Azure 또는 온-프레미스 네트워크에 배포된 자체 호스팅 통합 런타임 | SQL 인증 또는 기본 인증(Azure 데이터 원본 형식에 따라 다름) |
| 다중 클라우드 | 데이터 원본 형식을 기반으로 하는 Azure 런타임 또는 자체 호스팅 통합 런타임 | 지원되는 자격 증명 옵션은 데이터 원본 유형에 따라 달라집니다. |
| Power BI 테넌트 | Azure 런타임 | Microsoft Purview 관리 ID |
이 가이드를 사용하여 각 원본 및 지원되는 인증 옵션에 대해 자세히 알아보세요.
기타 권장 사항
자체 호스팅 런타임 VM에 대한 보안 모범 사례 적용
자체 호스팅 통합 런타임을 사용하여 Microsoft Purview에서 데이터 원본을 검사하는 경우 Azure 또는 온-프레미스 환경에서 자체 호스팅 통합 런타임 VM의 배포 및 관리를 보호하는 것이 좋습니다.
Azure에서 가상 머신으로 배포된 자체 호스팅 통합 런타임 VM의 경우 Windows 가상 머신에 대한 보안 모범 사례 권장 사항을 따릅니다.
- 네트워크 보안 그룹 및 Azure Defender 액세스 Just-In-Time을 사용하여 VM에 대한 인바운드 트래픽을 잠급니다.
- 바이러스 백신 또는 맬웨어 방지 프로그램을 설치합니다.
- Azure Defender를 배포하여 VM의 잠재적인 변칙에 대한 인사이트를 얻습니다.
- 자체 호스팅 통합 런타임 VM의 소프트웨어 양을 제한합니다. Microsoft Purview용 자체 호스팅 런타임에 전용 VM을 포함해야 하는 필수 요구 사항은 아니지만 특히 프로덕션 환경에 전용 VM을 사용하는 것이 좋습니다.
- VM용 Azure Monitor 사용하여 VM을 모니터링합니다. Log Analytics 에이전트를 사용하여 성능 메트릭과 같은 콘텐츠를 캡처하여 VM에 필요한 용량을 조정할 수 있습니다.
- 가상 머신을 Microsoft Defender for Cloud와 통합하면 위협을 방지, 감지 및 대응할 수 있습니다.
- 컴퓨터를 최신 상태로 유지합니다. 자동 Windows 업데이트 사용하도록 설정하거나 Azure Automation 업데이트 관리를 사용하여 OS에 대한 운영 체제 수준 업데이트를 관리할 수 있습니다.
- 복원력과 가용성을 높이기 위해 여러 컴퓨터를 사용합니다. 여러 자체 호스팅 통합 런타임을 배포하고 등록하여 여러 자체 호스팅 통합 런타임 머신에 검사를 배포하거나 더 높은 중복성과 확장성을 위해 가상 머신 확장 집합에 자체 호스팅 통합 런타임을 배포할 수 있습니다.
- 필요에 따라 자체 호스팅 통합 런타임 VM에서 Azure 백업을 사용하도록 설정하여 VM 수준 재해가 있는 경우 자체 호스팅 통합 런타임 VM의 복구 시간을 늘릴 수 있습니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기