다음을 통해 공유

Microsoft Fabric 보안 기본 사항

  • 아티클

이 문서에서는 시스템의 기본 보안 흐름이 작동하는 방식을 설명하여 Microsoft Fabric 보안 아키텍처의 큰 그림을 설명합니다. 또한 사용자가 Fabric을 사용하여 인증하는 방법, 데이터 연결이 설정되는 방법 및 Fabric이 서비스를 통해 데이터를 저장하고 이동하는 방법에 대해서도 설명합니다.

이 문서는 주로 조직에서 Fabric을 감독하는 패브릭 관리자를 대상으로 합니다. 보안 관리자, 네트워크 관리자, Azure 관리자, 작업 영역 관리자 및 데이터베이스 관리자를 비롯한 엔터프라이즈 보안 관련자와도 관련이 있습니다.

패브릭 플랫폼

Microsoft Fabric 은 데이터 이동에서 데이터 과학, 실시간 분석 및 BI(비즈니스 인텔리전스)에 이르기까지 모든 것을 다루는 엔터프라이즈를 위한 올인원 분석 솔루션입니다. Fabric 플랫폼은 모든 패브릭 환경에 공통 기능을 지원하는 일련의 서비스 및 인프라 구성 요소로 구성됩니다. 전체적으로 원활하게 함께 작동하도록 설계된 포괄적인 분석 환경 집합을 제공합니다. 환경에는 Lakehouse, Data Factory, Synapse 데이터 엔지니어ing, Synapse Data Warehouse, Power BI 등이 포함됩니다.

Fabric을 사용하면 여러 공급업체의 다양한 서비스를 통합할 필요가 없습니다. 대신 분석 요구 사항을 간소화하도록 설계된 고도로 통합되고 종단 간 사용이 쉬운 제품을 활용할 수 있습니다. 패브릭은 처음부터 중요한 자산을 보호하기 위해 설계되었습니다.

Fabric 플랫폼은 안정성, 단순성 및 확장성을 제공하는 SaaS(Software as a Service)의 기반을 기반으로 합니다. Microsoft의 퍼블릭 클라우드 컴퓨팅 플랫폼인 Azure를 기반으로 합니다. 일반적으로 많은 데이터 제품은 PaaS(Platform as a Service)로서 서비스 관리자가 각 서비스에 대한 보안, 규정 준수 및 거버넌스를 설정하도록 요구했습니다. Fabric은 SaaS 서비스이므로 이러한 많은 기능이 SaaS 플랫폼에 기본 제공되므로 설치 또는 최소 설정이 필요하지 않습니다.

아키텍처 다이어그램

아래 아키텍처 다이어그램은 패브릭 보안 아키텍처의 개략적인 표현을 보여 줍니다.

다이어그램은 패브릭 보안 아키텍처의 개략적인 표현을 보여 줍니다.

아키텍처 다이어그램은 다음과 같은 개념을 보여 줍니다.

  1. 사용자는 브라우저 또는 클라이언트 애플리케이션(예: Power BI Desktop)을 사용하여 패브릭 서비스에 연결합니다.

  2. 인증은 사용자 또는 서비스 주체를 인증하고 Fabric에 대한 액세스를 관리하는 클라우드 기반 ID 및 액세스 관리 서비스인 이전에 Azure Active Directory라고도 하는 Microsoft Entra ID에 의해 처리됩니다.

  3. 웹 프런트 엔드는 사용자 요청을 수신하고 로그인을 용이하게 합니다. 또한 요청을 라우팅하고 프런트 엔드 콘텐츠를 사용자에게 제공합니다.

  4. 메타데이터 플랫폼은 고객 데이터를 포함할 수 있는 테넌트 메타데이터를 저장합니다. 패브릭 서비스는 권한 부여 정보를 검색하고 사용자 요청에 권한을 부여하고 유효성을 검사하기 위해 요청 시 이 플랫폼을 쿼리합니다. 테넌트 홈 지역에 있습니다.

  5. 백 엔드 용량 플랫폼은 컴퓨팅 작업 및 고객 데이터 저장을 담당하며 용량 지역에 있습니다. 특정 패브릭 환경에 필요한 경우 해당 지역의 Azure 핵심 서비스를 활용합니다.

패브릭 플랫폼 인프라 서비스는 다중 테넌트입니다. 테넌트 간에 논리적 격리가 있습니다. 이러한 서비스는 복잡한 사용자 입력을 처리하지 않으며 모두 관리 코드로 작성됩니다. 플랫폼 서비스는 사용자가 작성한 코드를 실행하지 않습니다.

메타데이터 플랫폼과 백 엔드 용량 플랫폼은 각각 보안 가상 네트워크에서 실행됩니다. 이러한 네트워크는 고객 및 기타 서비스에서 요청을 받을 수 있도록 일련의 보안 엔드포인트를 인터넷에 노출합니다. 이러한 엔드포인트 외에도 서비스는 공용 인터넷의 액세스를 차단하는 네트워크 보안 규칙에 의해 보호됩니다. 또한 가상 네트워크 내의 통신은 각 내부 서비스의 권한에 따라 제한됩니다.

애플리케이션 계층은 테넌트가 자신의 테넌트 내에서만 데이터에 액세스할 수 있도록 합니다.

인증

Fabric은 Microsoft Entra ID를 사용하여 사용자(또는 서비스 주체)를 인증합니다. 인증되면 사용자는 Microsoft Entra ID에서 액세스 토큰을습니다. Fabric은 이러한 토큰을 사용하여 사용자의 컨텍스트에서 작업을 수행합니다.

Microsoft Entra ID의 주요 기능은 조건부 액세스입니다. 조건부 액세스를 사용하면 다단계 인증을 적용하여 테넌트가 안전하게 보호되므로 Microsoft Intune에 등록된 디바이스만 특정 서비스에 액세스할 수 있습니다. 조건부 액세스는 사용자 위치 및 IP 범위도 제한합니다.

권한 부여

모든 패브릭 권한은 메타데이터 플랫폼에 의해 중앙에 저장됩니다. 패브릭 서비스는 권한 부여 정보를 검색하고 사용자 요청에 권한을 부여하고 유효성을 검사하기 위해 요청 시 메타데이터 플랫폼을 쿼리합니다.

성능상의 이유로 Fabric은 때때로 권한 부여 정보를 서명된 토큰으로 캡슐화합니다. 서명된 토큰은 백 엔드 용량 플랫폼에서만 발급되며 액세스 토큰, 권한 부여 정보 및 기타 메타데이터를 포함합니다.

데이터 보존

Fabric에서 테넌트는 해당 지역의 데이터 상주 요구 사항을 충족하는 단일 지역에 있는 홈 메타데이터 플랫폼 클러스터에 할당됩니다. 고객 데이터를 포함할 수 있는 테넌트 메타데이터는 이 클러스터에 저장됩니다.

고객은 작업 영역의 위치를 제어할 수 있습니다. 해당 지역의 용량에 작업 영역을 명시적으로 할당하거나 패브릭 평가판, Power BI Pro 또는 사용자 단위 Power BI Premium 라이선스 모드를 사용하여 암시적으로 메타데이터 플랫폼 클러스터와 동일한 지역에서 작업 영역을 찾을 수 있습니다. 후자의 경우 모든 고객 데이터는 이 단일 지역에 저장되고 처리됩니다. 자세한 내용은 Microsoft Fabric 개념 및 라이선스를 참조 하세요.

고객은 홈 지역이 아닌 지리(지역)에 있는 다중 지역 용량을 만들 수도 있습니다. 이 경우 컴퓨팅 및 스토리지(OneLake 및 환경별 스토리지 포함)는 다중 지역에 있지만 테넌트 메타데이터는 홈 지역에서 다시 기본. 고객 데이터는 이러한 두 지역에서만 저장 및 처리됩니다. 자세한 내용은 패브릭에 대한 Multi-Geo 지원 구성을 참조 하세요.

데이터 처리

이 섹션에서는 패브릭에서 데이터 처리가 작동하는 방식에 대한 개요를 제공합니다. 고객 데이터의 스토리지, 처리 및 이동에 대해 설명합니다.

미사용 데이터

모든 패브릭 데이터 저장소는 Microsoft 관리형 키를 사용하여 미사용 시 암호화됩니다. 패브릭 데이터에는 고객 데이터와 시스템 데이터 및 메타데이터가 포함됩니다.

암호화되지 않은 상태로 메모리에서 데이터를 처리할 수 있지만 암호화되지 않은 상태에서는 영구 스토리지에 유지되지 않습니다.

전송 중 데이터

Microsoft 서비스 간의 공용 인터넷을 통해 전송 중인 데이터는 항상 TLS 1.2 이상으로 암호화됩니다. 패브릭은 가능하면 TLS 1.3과 협상합니다. Microsoft 서비스 간의 트래픽은 항상 Microsoft 글로벌 네트워크를 통해 라우팅합니다.

또한 인바운드 패브릭 통신은 가능하면 TLS 1.2를 적용하고 TLS 1.3과 협상합니다. 고객 소유 인프라에 대한 아웃바운드 패브릭 통신은 보안 프로토콜을 선호하지만 최신 프로토콜이 지원되지 않는 경우 이전의 안전하지 않은 프로토콜(TLS 1.0 포함)으로 대체될 수 있습니다.

원격 분석

원격 분석은 패브릭 플랫폼의 성능과 안정성을 기본 데 사용됩니다. 패브릭 플랫폼 원격 분석 저장소는 유럽 연합(EU)을 포함하여 패브릭을 사용할 수 있는 모든 지역의 고객을 위한 데이터 및 개인 정보 보호 규정을 준수하도록 설계되었습니다. 자세한 내용은 EU 데이터 경계 서비스를 참조 하세요.

OneLake

OneLake 는 전체 조직에 대한 단일 통합 논리 데이터 레이크이며 모든 패브릭 테넌트에 대해 자동으로 프로비전됩니다. Azure를 기반으로 하며 구조화되거나 구조화되지 않은 모든 형식의 파일을 저장할 수 있습니다. 또한 창고 및 레이크하우스와 같은 모든 패브릭 항목은 해당 데이터를 OneLake에 자동으로 저장합니다.

OneLake는 동일한 ADLS Gen2(Azure Data Lake Storage Gen2) API 및 SDK를 지원하므로 Azure Databricks를 비롯한 기존 ADLS Gen2 애플리케이션과 호환됩니다.

자세한 내용은 Fabric 및 OneLake 보안을 참조하세요.

작업 영역 보안

작업 영역은 OneLake에 저장된 데이터의 기본 보안 경계를 나타냅니다. 각 작업 영역은 팀이 데이터에 대해 공동 작업할 수 있는 단일 작업기본 또는 프로젝트 영역을 나타냅니다. 작업 영역 역할에 사용자를 할당하여 작업 영역에서 보안을 관리합니다.

자세한 내용은 Fabric 및 OneLake 보안(작업 영역 보안)을 참조하세요.

항목 보안

작업 영역 내에서 웨어하우스 및 레이크하우스와 같은 패브릭 항목에 직접 권한을 할당할 수 있습니다. 항목 보안 은 전체 작업 영역에 대한 액세스 권한을 부여하지 않고 개별 패브릭 항목에 대한 액세스 권한을 유연하게 부여할 수 있습니다. 사용자는 항목을 공유하거나 항목의 사용 권한을 관리하여 항목 별 사용 권한을 설정할 수 있습니다.

규정 준수 리소스

패브릭 서비스는 Microsoft Online Services 약관 및 Microsoft Enterprise 개인정보처리방침의 적용습니다.

데이터 처리 위치는 Microsoft Online Services 약관 및 데이터 보호 부록의 데이터 처리 위치 용어를참조하세요.

규정 준수 정보를 위해 Microsoft 보안 센터는 패브릭의 기본 리소스입니다. 규정 준수에 대한 자세한 내용은 Microsoft 규정 준수 제품을 참조 하세요.

Fabric 서비스는 보안 보증 및 규정 준수 요구 사항을 지원하는 일련의 엄격한 보안 관행으로 구성된 SDL(보안 개발 수명 주기)을 따릅니다. SDL은 개발 비용을 낮추면서 소프트웨어의 취약성 수와 심각도를 줄임으로써 개발자가 더욱 안전한 소프트웨어를 구축할 수 있도록 지원합니다. 자세한 내용은 Microsoft 보안 개발 수명 주기 사례를 참조 하세요.

관련 콘텐츠

패브릭 보안에 대한 자세한 내용은 다음 리소스를 참조하세요.