다음을 통해 공유


Azure SQL 데이터베이스 및 Azure Synapse Analytics에 대한 감사

적용 대상: Azure SQL 데이터베이스 Azure Synapse Analytics

Azure SQL 데이터베이스란?Azure Synapse Analytics 감사는 데이터베이스 이벤트를 추적하고 Azure Storage 계정, Log Analytics 작업 영역 또는 Event Hubs의 감사 로그에 이벤트를 기록합니다.

감사를 사용하면 다음과 같은 이점도 있습니다.

  • 규정 준수를 유지 관리하고, 데이터베이스 활동을 이해하고, 비즈니스 문제나 보안 침해로 의심되는 사안을 나타낼 수 있는 불일치 및 이상을 파악하는 데 도움이 됩니다.

  • 감사를 사용해도 규정 준수가 보장되는 것은 아니지만 규정 준수 표준을 쉽게 준수할 수 있습니다. 자세한 내용은 Microsoft Azure 보안 센터를 참조하세요. 여기서 최신 SQL Database 규정 준수 인증서 목록을 찾을 수 있습니다.

참고 사항

Azure SQL Managed Instance 감사에 대한 자세한 내용은 Azure SQL Managed Instance 감사 시작하기 문서를 참조하세요.

개요

SQL Database 감사를 사용하여 다음을 수행할 수 있습니다.

  • 유지 합니다. 감사할 데이터베이스 동작의 범주를 정의할 수 있습니다.
  • 보고 합니다. 미리 구성된 보고서 및 대시보드를 사용하여 활동 및 이벤트 보고를 빠르게 시작할 수 있습니다.
  • 분석 합니다. 의심스러운 이벤트, 특별한 활동 및 추세를 찾을 수 있습니다.

중요

Azure SQL 데이터베이스, Azure Synapse 및 Azure SQL Managed Instance에 대한 감사는 감사되는 데이터베이스 또는 인스턴스의 가용성 및 성능에 최적화되어 있습니다. 작업이 매우 많거나 네트워크 부하가 높은 기간 동안 감사 기능을 사용하면 감사용으로 표시된 모든 이벤트를 기록하지 않고 트랜잭션을 진행할 수 있습니다.

감사 제한 사항

  • 일시 중지된 Azure Synapse SQL 풀의 감사는 지원되지 않습니다. 감사를 사용하도록 설정하려면 Synapse SQL 풀을 다시 시작하세요.
  • UAMI(사용자가 할당한 관리 ID)를 사용하여 감사를 사용하도록 설정하는 것은 Azure Synapse에서 지원되지 않습니다.
  • 현재 스토리지 계정이 가상 네트워크 또는 방화벽 뒤에 있지 않는 한 관리 ID는 Azure Synapse에 대해 지원되지 않습니다.
  • Azure Synapse SQL 풀에 대한 감사는 기본 감사 작업 그룹만 지원합니다.
  • 로그 대상을 스토리지 계정으로 사용하여 Azure 또는 Azure SQL 데이터베이스의 논리 서버에 대한 감사를 구성하는 경우 인증 모드는 해당 스토리지 계정에 대한 구성과 일치해야 합니다. 스토리지 액세스 키를 인증 유형으로 사용하는 경우 스토리지 계정 키에 대한 액세스 권한으로 대상 스토리지 계정을 사용하도록 설정해야 합니다. 스토리지 계정이 Microsoft Entra ID(이전의 Azure Active Directory)로 인증만 사용하도록 구성된 경우 인증에 관리 ID를 사용하도록 감사를 구성할 수 있습니다.

설명

  • BlockBlobStorage가 포함된 프리미엄 스토리지가 지원됩니다. 표준 스토리지가 지원됩니다. 그러나 감사가 가상 네트워크 또는 방화벽 뒤에 있는 스토리지 계정에 쓰려면 범용 v2 스토리지 계정이 있어야 합니다. 범용 v1 또는 Blob Storage 계정이 있는 경우 범용 v2 스토리지 계정으로 업그레이드하세요. 구체적인 지침은 VNet 및 방화벽 뒤의 스토리지 계정에 감사 작성을 참조하세요. 자세한 정보는 스토리지 계정 유형을 참조하세요.
  • BlockBlobStorage를 사용하는 모든 유형의 표준 스토리지 계정프리미엄 스토리지 계정에 대한 계층 구조 네임스페이스가 지원됩니다.
  • 감사 로그는 Azure 구독의 Azure Blob Storage에 있는 Blob 추가에 기록됩니다.
  • 감사 로그는 .xel 형식이므로 SSMS(SQL Server Management Studio)를 사용하여 열 수 있습니다.
  • 서버 또는 데이터베이스 수준 감사 이벤트에 대해 변경이 불가능한 로그 저장소를 구성하려면 Azure Storage에서 제공하는 지침을 따르세요. 변경이 불가능한 Blog Storage를 구성할 때 추가 허용을 선택했는지 확인하세요.
  • 가상 네트워크 또는 방화벽 뒤의 Azure Storage 계정에 감사 로그를 작성할 수 있습니다.
  • 로그 형식, 스토리지 폴더의 계층 구조 및 명명 규칙에 대한 자세한 내용은 SQL 데이터베이스 감사 로그 형식 문서를 참조하세요.
  • 읽기 전용 복제본을 사용하여 읽기 전용 쿼리 워크로드 오프로드에 대한 감사가 자동으로 활성화됩니다. 스토리지 폴더의 계층 구조, 명명 규칙 및 로그 형식에 대한 자세한 내용은 SQL 데이터베이스 감사 로그 형식을 참조하세요.
  • Microsoft Entra 인증을 사용하는 경우 실패한 로그인 레코드는 SQL 감사 로그에 나타나지 않습니다. 실패한 로그인 감사 레코드를 보려면 이러한 이벤트의 세부 정보를 로그하는 Microsoft Entra 관리 센터를 방문해야 합니다.
  • 로그인이 게이트웨이에 의해 데이터베이스가 있는 특정 인스턴스로 라우팅됩니다. Microsoft Entra 로그인의 경우 자격 증명이 확인된 후 해당 사용자로 요청된 데이터베이스에 로그인을 시도합니다. 오류가 발생하는 경우 요청된 데이터베이스는 액세스되지 않으므로 감사가 수행되지 않습니다. SQL 로그인의 경우 요청된 데이터에서 자격 증명을 확인하므로 해당 사례를 감사할 수 있습니다. 데이터베이스에 연결된 성공적인 로그인은 두 경우 모두 감사됩니다.
  • 감사 설정을 구성했으면 새로운 위협 감지 기능을 켜고, 보안 경고를 받을 전자 메일을 구성할 수 있습니다. 위협 감지를 사용하면 잠재적인 보안 위협을 나타낼 수 있는 비정상적인 데이터베이스 활동에 대해 사전 경고를 받을 수 있습니다. 자세한 내용은 SQL Advanced Threat Protection을 참조하세요.
  • 감사를 사용하도록 설정된 데이터베이스를 다른 논리 서버에 복사한 후 감사가 실패했음을 알리는 메일을 받을 수 있습니다. 이는 알려진 문제이며 감사는 새로 복사된 데이터베이스에서 예상대로 작동해야 합니다.