패브릭, 컴퓨팅 엔진 및 OneLake를 사용하여 데이터 보호

Fabric은 데이터 액세스를 관리하는 단순성과 유연성을 모두 제공하는 다중 계층 보안 모델을 제공합니다. 전체 작업 영역, 개별 항목 또는 각 패브릭 엔진의 세분화된 권한을 통해 보안을 설정할 수 있습니다.

세분화된 엔진 권한을 사용하면 테이블, 열 및 행 수준 보안과 같은 세분화된 액세스 제어를 정의할 수 있습니다. 이러한 세분화된 권한은 해당 엔진에 대해 실행되는 쿼리에 적용됩니다. 각 엔진은 서로 다른 유형의 세분화된 보안을 지원하므로 각 엔진을 대상 사용자에 맞게 특별히 조정할 수 있습니다.

패브릭 데이터 보안

패브릭은 작업 영역 및 항목을 사용하여 데이터 액세스를 제어합니다. 작업 영역에서 데이터는 패브릭 항목 형식으로 표시되며, 작업 영역에 대한 액세스 권한을 부여하지 않는 한 사용자는 항목에서 데이터를 보거나 사용할 수 없습니다.

작업 영역 권한은 작업 영역 내의 모든 항목에 대한 액세스 권한을 부여합니다. 반면, 패브릭 항목 사용 권한을 사용하면 레이크하우스, 창고 또는 보고서와 같은 특정 항목에 대한 액세스 권한을 부여할 수 있습니다. 관리 사용자가 상호 작용할 수 있는 패브릭 항목을 결정할 수 있습니다. 예를 들어, Analytics SQL 엔드포인트를 통해 데이터에 대한 액세스를 제한하는 동시에 Lakehouse를 통해 또는 OneLake API를 통해 직접 동일한 데이터에 대한 액세스를 제공합니다.

Microsoft의 보안에서 패브릭 작업 영역 및 항목 권한을 사용하여 데이터 액세스를 제어하는 방법에 대해 자세히 알아봅니다.

엔진별 데이터 보안

많은 패브릭 엔진을 사용하면 테이블, 열 및 행 수준 보안과 같은 세분화된 액세스 제어를 정의할 수 있습니다. 패브릭의 일부 컴퓨팅 엔진에는 자체 보안 모델이 있습니다. 예를 들어 Fabric Warehouse를 사용하면 사용자가 T-SQL 문을 사용하여 액세스를 정의할 수 있습니다. 컴퓨팅 관련 보안은 해당 엔진을 사용하여 데이터에 액세스할 때 항상 적용됩니다. 컴퓨팅 엔진 보안은 OneLake에 직접 액세스할 때 특정 패브릭 역할의 사용자에게 적용되지 않을 수 있습니다.

엔진별 세분화된 데이터 보안에 대해 자세히 알아보세요.

• 데이터 웨어하우징 보안
• Power BI 보안
• Data Factory - Lakehouse 커넥트ion 설정
• 실시간 분석 행 수준 보안

OneLake 데이터 액세스 역할(미리 보기)

OneLake 데이터 액세스 역할(미리 보기)을 사용하면 사용자가 레이크하우스 내에서 사용자 지정 역할을 만들고 OneLake에 액세스할 때 지정된 폴더에만 읽기 권한을 부여할 수 있습니다. 각 OneLake 역할에 대해 사용자는 사용자, 보안 그룹을 할당하거나 작업 영역 역할에 따라 자동 할당을 부여할 수 있습니다.

OneLake 데이터 액세스 제어 모델 및 데이터 액세스 시작에 대해 자세히 알아봅니다.

바로 가기 보안

Microsoft Fabric의 바로 가기를 사용하면 데이터 관리를 간소화할 수 있습니다. OneLake 폴더 보안은 데이터가 저장되는 레이크하우스에 정의된 역할에 따라 OneLake 바로 가기에 적용됩니다.

바로 가기의 보안 고려 사항에 대한 자세한 내용은 OneLake 액세스 제어 모델을 참조하세요. 바로 가기에 대한 자세한 내용은 여기를 참조 하세요.

인증

OneLake는 인증에 Microsoft Entra ID를 사용합니다. 사용자 ID 및 서비스 주체에 권한을 부여하는 데 사용할 수 있습니다. OneLake는 Microsoft Entra 인증을 사용하여 Fabric 포털에서 설정한 권한에 매핑하는 도구에서 사용자 ID를 자동으로 추출합니다.

참고 항목

패브릭 테넌트에서 서비스 주체를 사용하려면 테넌트 관리자가 전체 테넌트 또는 특정 보안 그룹에 대해 SPN(서비스 사용자 이름)을 사용하도록 설정해야 합니다. 테넌트 관리 Portal의 개발자 설정 서비스 주체를 사용하도록 설정하는 방법에 대해 자세히 알아보기

미사용 데이터

OneLake에 저장된 데이터는 기본적으로 Microsoft 관리형 키를 사용하여 미사용 시 암호화됩니다. Microsoft 관리형 키는 적절하게 회전됩니다. OneLake의 데이터는 암호화되고 투명하게 암호 해독되며 FIPS 140-2를 준수합니다.

고객 관리형 키를 사용하는 미사용 데이터 암호화는 현재 지원되지 않습니다. Microsoft Fabric Ideas에서 이 기능에 대한 요청을 제출할 수 있습니다.

전송 중 데이터

Microsoft 서비스 간의 공용 인터넷을 통해 전송 중인 데이터는 항상 TLS 1.2 이상으로 암호화됩니다. 패브릭은 가능하면 TLS 1.3과 협상합니다. Microsoft 서비스 간의 트래픽은 항상 Microsoft 글로벌 네트워크를 통해 라우팅합니다.

또한 인바운드 OneLake 통신은 가능하면 TLS 1.2를 적용하고 TLS 1.3과 협상합니다. 고객 소유 인프라에 대한 아웃바운드 패브릭 통신은 보안 프로토콜을 선호하지만 최신 프로토콜이 지원되지 않는 경우 이전의 안전하지 않은 프로토콜(TLS 1.0 포함)으로 대체될 수 있습니다.

Private Link

패브릭은 현재 비 패브릭 제품 및 Spark를 통해 OneLake 데이터에 대한 프라이빗 링크 액세스를 지원하지 않습니다.

OneLake를 통해 패브릭 외부에서 실행되는 앱이 데이터에 액세스하도록 허용

OneLake를 사용하면 패브릭 환경 외부에서 실행되는 애플리케이션의 데이터에 대한 액세스를 제한할 수 있습니다. 관리 다음에서 설정을 찾을 수 있습니다.테넌트 관리 포털의 OneLake 섹션입니다. 이 스위치를 켜면 사용자는 모든 원본을 통해 데이터에 액세스할 수 있습니다. 스위치를 끄면 사용자가 패브릭 환경 외부에서 실행되는 애플리케이션을 통해 데이터에 액세스할 수 없습니다. 예를 들어 사용자는 Azure Databricks, ADLS(Azure Data Lake Storage) API를 사용하는 사용자 지정 애플리케이션 또는 OneLake 파일 탐색기 같은 애플리케이션을 통해 데이터에 액세스할 수 있습니다.

관련 콘텐츠

• OneLake 데이터 액세스 제어 모델(미리 보기)
• OneLake 보안 시작(미리 보기)
• OneLake 파일 탐색기
• 작업 영역 역할
• 항목 공유