Microsoft Fabric은 조직이 항목 및 데이터에 액세스할 때 인바운드 연결이 발생할 수 있는 위치를 제어하는 데 도움이 되는 여러 인바운드 네트워크 보호 계층을 제공합니다. 이러한 기능을 통해 테넌트 관리자와 작업 영역 관리자는 네트워크 경계를 적용하고, 공용 액세스를 제한하고, 보안 프라이빗 채널을 통해 인바운드 연결을 라우팅할 수 있습니다. 이 문서에서는 모든 인바운드 보호 옵션의 개요, 서로 관련되는 방식 및 환경에 적합한 구성을 선택하기 위한 지침을 제공합니다.
인바운드 보호 기능 개요
패브릭은 다음 두 가지 범위에서 인바운드 보호를 제공합니다.
테넌트 수준 인바운드 보호: 테넌트 관리자는 패브릭 테넌트에서 모든 작업 영역에 적용되는 이러한 설정을 구성합니다. 여기에는 테넌트 수준 Private Link 및 인바운드 연결이 시작되는 위치를 제한하는 Microsoft Entra 조건부 액세스 정책과 같은 기능이 포함됩니다.
작업 영역 수준 인바운드 보호: 작업 영역 관리자는 개별 작업 영역에 적용되는 이러한 설정을 구성합니다. 여기에는 관리자가 작업 영역에 대한 특정 네트워크 경계를 정의할 수 있도록 하는 작업 영역 수준 Private Link 및 작업 영역 IP 방화벽 규칙이 포함됩니다.
테넌트 수준 및 작업 영역 수준 인바운드 보호 기능을 결합하여 조직은 특정 액세스 제어 요구 사항을 충족하는 계층화된 보안 접근 방식을 만들 수 있습니다. 다음 섹션에서는 각 기능 및 상호 작용하는 방법에 대한 자세한 내용을 제공합니다.
테넌트 단계 인바운드 보호
테넌트 관리자는 작업 영역별 설정으로 재정의되지 않는 한 모든 작업 영역에 적용되는 인바운드 컨트롤을 구성할 수 있습니다.
- 테넌트 수준 프라이빗 링크: Azure Private Link를 통해 모든 인바운드 연결을 패브릭 리소스로 라우팅하여 트래픽이 승인된 가상 네트워크에서 발생하도록 합니다.
- Microsoft Entra 조건부 액세스: 사용자 위치, 디바이스 준수 및 기타 요인에 따라 인바운드 연결을 제한할 수 있는 ID 기반 액세스 정책을 적용합니다.
- 서비스 태그: 미리 정의된 서비스 태그를 사용하여 특정 Azure 서비스의 인바운드 트래픽을 허용하거나 차단합니다.
- 작업 영역 수준 인바운드 규칙 사용: 테넌트 설정 작업 영역 수준 인바운드 네트워크 규칙 구성 은 작업 영역 관리자가 작업 영역 수준에서 공용 액세스를 제한할 수 있도록 허용하거나 허용하지 않습니다. 기본적으로 작업 영역 관리자는 테넌트 관리자가 이 설정을 사용하도록 설정하지 않는 한 인바운드 공용 액세스를 제한할 수 없습니다. 사용하도록 설정하면 작업 영역 관리자는 개인 링크를 포함하여 작업 영역 수준 인바운드 제한을 적용하여 조직에 세분화된 네트워크 분할을 제공할 수 있습니다.
이러한 테넌트 수준 기능은 테넌트에서 모든 작업 영역을 보호하는 데 도움이 되는 광범위한 보호를 제공합니다. 그러나 작업 영역 수준 설정은 더 많은 대상 제어를 위해 보완할 수 있습니다.
작업 영역 수준에서의 인바운드 보호
작업 영역 관리자는 테넌트가 허용하는 경우 보다 구체적인 인바운드 보안 컨트롤을 적용할 수 있습니다.
작업 영역 Private Link: 작업 영역이 Azure에서 프라이빗 엔드포인트를 설정하여 인바운드 연결이 승인된 네트워크에서만 시작되도록 합니다.
작업 영역 인바운드 액세스 보호: 테넌트가 작업 영역 수준 규칙을 사용하도록 설정하면 작업 영역 관리자는 공용 액세스 제한을 토글할 수 있습니다. 공용 인바운드 연결을 차단하고 승인된 프라이빗 네트워크를 통해 인바운드 액세스를 요구하려면 이 옵션을 선택합니다.
작업 영역 IP 방화벽: 관리자는 작업 영역 IP 방화벽 규칙을 구성하여 작업 영역 항목에 액세스할 수 있는 IP 범위를 지정할 수 있습니다. 이 기능은 세분화된 허용 목록을 사용하도록 설정하여 프라이빗 링크를 보완합니다.
이러한 계층은 조직의 요구에 따라 독립적으로 또는 함께 작동할 수 있습니다.
네트워크 보안 설정이 상호 작용하는 방법
테넌트 수준 및 작업 영역 수준 설정이 상호 작용하는 방식을 이해하는 것은 보안 인바운드 액세스를 구성하는 데 필수적입니다. 다음 표에서는 네트워크 구성이 패브릭 포털 및 REST API에 대한 액세스에 미치는 영향을 보여 줍니다.
테넌트 관리자는 테넌트 수준 프라이빗 링크를 사용하도록 설정한 경우에만 공용 액세스를 제한할 수 있습니다.
표 1: 네트워크 설정에 따라 패브릭 포털에 액세스
| 테넌트 수준 공용 액세스 설정 | 다음에서 액세스 | 패브릭 포털에 액세스할 수 있나요? | 패브릭 REST API에 액세스할 수 있나요? |
|---|---|---|---|
| 허용됨 | 공용 인터넷 | Yes | 예, api.fabric.microsoft.com 사용 |
| 허용됨 | 테넌트 프라이빗 링크가 있는 네트워크 | Yes | 예, 테넌트별 FQDN 사용 |
| 허용됨 | 작업 영역 프라이빗 링크가 있는 네트워크 | Yes | 예, 작업 영역별 FQDN 사용 |
| 허용됨 | 허용된 IP | Yes | 예, api.fabric.microsoft.com 사용 |
| Restricted | 공용 인터넷 | 아니오 | 아니오 |
| Restricted | 테넌트 프라이빗 링크가 있는 네트워크 | Yes | 예, 테넌트별 FQDN 또는 api.fabric.microsoft.com 엔드포인트를 사용하고 클라이언트가 아웃바운드 공용 액세스를 허용하는 경우에만 |
| Restricted | 작업 영역 프라이빗 링크가 있는 네트워크 | 아니오 | 예, 작업 영역별 FQDN 사용 |
| Restricted | 작업 영역 수준에서 허용된 공용 IP | 아니오 | 예, api.fabric.microsoft.com 사용 |
| Restricted | 테넌트 프라이빗 링크와 작업 영역 프라이빗 링크가 모두 있는 네트워크 | Yes | 예, api.fabric.microsoft.com 사용 |
인바운드 보호에 대한 계획 고려 사항
패브릭 환경에 대한 인바운드 보호를 계획할 때 다음 요소를 고려합니다.
- 테넌트 수준 인바운드 규칙을 사용하려면 패브릭 관리자여야 합니다.
- 작업 영역 수준 기능은 테넌트 설정에 따라 달라집니다.
- 프라이빗 링크에는 Azure 구성이 필요합니다.
- IP 방화벽은 세분화된 제어를 허용하지만 신중한 IP 계획이 필요합니다.
- 중앙 집중식 또는 작업 영역 기반 모델이 환경에 가장 적합한지 여부를 고려합니다.
다음 단계
- [작업 영역 인바운드 액세스 보호]에 대해 자세히 알아봅니다.
- 전체 네트워크 모델을 이해하기 위해 작업 영역 아웃바운드 액세스 보호에 대해 자세히 알아봅니다.
- 테넌트 및 작업 영역 수준에서 Private Link 구성을 검토합니다.
- 자세한 설정 지침에 대한 시나리오 문서를 계속 진행합니다.