Azure Synapse Analytics 보안 백서: 데이터 보호

  • 아티클

참고 항목

이 문서는 Azure Synapse Analytics 보안 백서 문서 시리즈의 일부를 구성합니다. 이 시리즈에 대한 개요는 Azure Synapse Analytics 보안 백서를 참조하세요.

데이터 검색 및 분류

조직은 데이터 침해 위험을 완화하기 위해 연방, 지역 및 회사 지침을 준수하도록 데이터를 보호해야 합니다. 조직이 직면한 한 가지 문제는 다음과 같습니다. 데이터가 어디에 있는지 모르는 경우 데이터를 어떻게 보호하나요? 또 다른 문제는 다음과 같습니다. 어떤 수준의 보호가 필요한가요? - 일부 데이터 세트는 다른 데이터 세트보다 더 강화된 보호가 필요하기 때문입니다.

데이터 레이크에 수백 또는 수천 개의 파일이 저장되어 있고 데이터베이스에 수백 또는 수천 개의 테이블이 있는 조직을 상상해 보세요. 파일 시스템 또는 테이블의 모든 행과 열을 자동으로 스캔하고 열을 잠재적으로 중요한 데이터로 분류하는 프로세스의 혜택을 누릴 수 있습니다. 이 프로세스를 데이터 검색이라고 합니다.

데이터 검색 프로세스가 완료되면 미리 정의된 패턴, 키워드 및 규칙 세트를 기반으로 하는 분류 권장 사항을 제공합니다. 그런 다음, 권장 사항을 검토하고 민감도 분류 레이블을 적절한 열에 적용할 수 있습니다. 이 프로세스를 분류라고 합니다.

Azure Synapse는 데이터 검색 및 분류에 대해 다음 두 가지 옵션을 제공합니다.

  • 데이터 검색 및 분류는 Azure Synapse 및 전용 SQL 풀(이전의 SQL DW)에 기본 제공됩니다.
  • Microsoft Purview는 온-프레미스, 다중 클라우드, SaaS(Software-as-a-Service) 데이터를 관리하고 제어하는 데 도움이 되는 통합 데이터 거버넌스 솔루션입니다. 데이터 검색, 데이터 계보 식별 및 데이터 분류를 자동화할 수 있습니다. 데이터 자산 및 해당 관계에 대한 통합 맵을 생성하여 데이터를 쉽게 검색할 수 있습니다.

참고 항목

Microsoft Purview 데이터 검색 및 분류는 Azure Synapse, 전용 SQL 풀(이전의 SQL DW), 서버리스 SQL 풀에 대한 공개 미리 보기로 제공됩니다. 그러나 데이터 계보는 현재 Azure Synapse, 전용 SQL 풀(이전의 SQL DW) 및 서버리스 SQL 풀에 대해 지원되지 않습니다. Apache Spark 풀은 계보 추적만 지원합니다.

데이터 암호화

데이터는 미사용 및 전송 중에 암호화됩니다.

미사용 데이터

기본적으로 Azure Storage는 256비트 AES 암호화(AES 256)를 사용하여 모든 데이터를 자동으로 암호화합니다. 사용 가능한 가장 강력한 블록 암호 중 하나이며 FIPS 140-2 규격을 준수합니다. 플랫폼은 암호화 키를 관리하고 데이터 암호화의 첫 번째 계층을 형성합니다. 이 암호화는 master 데이터베이스를 포함하여 사용자 및 시스템 데이터베이스 모두에 적용됩니다.

TDE(투명한 데이터 암호화)를 사용하도록 설정하면 전용 SQL 풀에 대한 데이터 암호화의 두 번째 계층을 추가할 수 있습니다. 이 기능은 애플리케이션을 변경할 필요 없이 데이터베이스 파일, 트랜잭션 로그 파일 및 미사용 백업 파일의 실시간 I/O 암호화 및 암호 해독을 수행합니다. 기본적으로 AES 256을 사용합니다.

기본적으로 TDE는 기본 제공 서버 인증서(관리되는 서비스)를 사용하여 DEK(데이터베이스 암호화 키)를 보호합니다. Azure Key Vault에 안전하게 저장할 수 있는 BYOK(Bring Your Own Key) 옵션이 있습니다.

Azure Synapse SQL 서버리스 풀 및 Apache Spark 풀은 ALDS Gen2(Azure Data Lake Gen2) 또는 Azure Blob Storage에서 직접 작동하는 분석 엔진입니다. 이러한 분석 런타임에는 영구 스토리지가 없으며 데이터 보호를 위해 Azure Storage 암호화 기술을 사용합니다. 기본적으로 Azure Storage는 SSE(서버 쪽 암호화)를 사용하여 모든 데이터를 암호화합니다. 모든 스토리지 유형(ADLS Gen2 포함)에 대해 사용하도록 설정되며 사용하지 않도록 설정할 수 없습니다. SSE는 AES 256을 사용하여 데이터를 투명하게 암호화하고 해독합니다.

두 가지 SSE 암호화 옵션이 있습니다.

  • Microsoft 관리형 키: Microsoft는 키 스토리지, 소유권 및 회전을 포함하여 암호화 키의 모든 측면을 관리합니다. 이는 고객에게 완전히 투명합니다.
  • 고객 관리형 키: 이 경우 Azure Storage에서 데이터를 암호화하는 데 사용되는 대칭 키는 고객이 제공한 키를 사용하여 암호화됩니다. 2048, 3072 및 4096 크기의 RSA 및 RSA-HSM(하드웨어 보안 모듈) 키를 지원합니다. 키는 Azure Key Vault 또는 Azure Key Vault 관리형 HSM에 안전하게 저장할 수 있습니다. 스토리지, 백업 및 회전을 포함하여 키 및 관리에 대한 세분화된 액세스 제어를 제공합니다. 자세한 내용은 Azure Storage 암호화용 고객 관리형 키를 참조하세요.

SSE는 암호화의 첫 번째 계층을 형성하지만 신중한 고객은 Azure Storage 인프라 계층에서 256비트 AES 암호화의 두 번째 계층을 사용하도록 설정하여 이중 암호화할 수 있습니다. 이는 인프라 암호화라고 하며 플랫폼 관리형 키를 SSE의 별도 키와 함께 사용합니다. 따라서 스토리지 계정의 데이터는 두 번 암호화됩니다. 즉, 두 가지 다른 암호화 알고리즘과 다른 키를 사용하여 두 번(서비스 수준에서 한 번, 인프라 수준에서 한 번) 암호화됩니다.

전송 중 데이터

Azure Synapse, 전용 SQL 풀(이전의 SQL DW) 및 서버리스 SQL 풀은 TDS(Tabular Data Stream) 프로토콜을 사용하여 SQL 풀 엔드포인트와 클라이언트 컴퓨터 간에 통신합니다. TDS는 채널 암호화를 위해 TLS(전송 계층 보안)에 의존하여 모든 데이터 패킷이 엔드포인트와 클라이언트 컴퓨터 사이에서 보호되고 암호화되도록 합니다. Microsoft에서 관리하는 TLS 암호화에 사용되는 CA(인증 기관)의 서명된 서버 인증서를 사용합니다. Azure Synapse는 AES 256 암호화를 사용하여 TLS v1.2로 전송 중인 데이터 암호화를 지원합니다.

Azure Synapse는 TLS를 활용하여 데이터가 이동 중에 암호화되도록 합니다. SQL 전용 풀은 Microsoft 제공 드라이버가 기본적으로 TLS 1.2를 사용하는 암호화를 위해 TLS 1.0, TLS 1.1 및 TLS 1.2 버전을 지원합니다. 서버리스 SQL 풀 및 Apache Spark 풀은 모든 아웃바운드 연결에 TLS 1.2를 사용합니다.

다음 단계

이 백서 시리즈의 다음 문서에서는 액세스 제어에 대해 알아봅니다.