Microsoft Fabric의 보안

  • 아티클

Microsoft Fabric 은 사용자가 데이터를 얻고, 만들고, 공유하고, 시각화할 수 있는 SaaS(Software as a Service) 플랫폼입니다.

SaaS 서비스인 Fabric은 전체 플랫폼에 대한 완전한 보안 패키지를 제공합니다. 패브릭은 보안 솔루션을 기본 비용과 책임을 제거하고 클라우드로 전송합니다. Fabric을 사용하면 Microsoft의 전문 지식과 리소스를 사용하여 데이터를 안전하게 유지하고, 취약성을 패치하고, 위협을 모니터링하고, 규정을 준수할 수 있습니다. 또한 패브릭을 사용하면 변화하는 요구 사항 및 요구에 따라 보안 설정을 관리, 제어 및 감사할 수 있습니다.

데이터를 클라우드로 가져와 Power BI, Data Factory 및 차세대 Synapse와 같은 다양한 분석 환경과 함께 사용할 때 Microsoft는 기본 제공 보안 및 안정성 기능을 통해 미사용 데이터와 전송 중인 데이터를 보호할 수 있습니다. 또한 Microsoft는 인프라 오류 또는 재해의 경우 데이터를 복구할 수 있도록 합니다.

패브릭 보안은 다음과 같습니다.

  • Always On - 패브릭과의 모든 상호 작용은 기본적으로 암호화되고 Microsoft Entra ID를 사용하여 인증됩니다. 패브릭 환경 간의 모든 통신은 Microsoft 백본 인터넷을 통해 이동합니다. 미사용 데이터는 자동으로 암호화되어 저장됩니다. 패브릭에 대한 액세스를 규제하기 위해 Private Links 또는 Entra 조건부 액세스와 같은 추가 보안 기능을 추가할 수 있습니다. 패브릭은 신뢰할 수 있는 액세스를 사용하여 방화벽 또는 프라이빗 네트워크로 보호되는 데이터에 연결할 수도 있습니다.

  • 규격 – 패브릭에는 다중 지역 용량의 데이터 주권이 기본으로 있습니다. 패브릭은 다양한 규정 준수 표준도 지원합니다.

  • 거버넌스 가능 - 패브릭에는 데이터 계보, 정보 보호 레이블, 데이터 손실 방지 및 purview 통합과 같은 거버넌스 도구 집합이 함께 제공됩니다.

  • 구성 가능 - 조직 정책에 따라 패브릭 보안을 구성할 수 있습니다.

  • 진화 - Microsoft는 새로운 기능과 컨트롤을 추가하여 패브릭 보안을 지속적으로 개선하고 있습니다.

인증

Microsoft Fabric은 Azure, Microsoft Office, OneDrive 및 Dynamics와 같은 다른 많은 Microsoft 서비스 마찬가지로 SaaS 플랫폼입니다. 패브릭을 비롯한 이러한 모든 Microsoft SaaS 서비스는 Microsoft Entra ID를 클라우드 기반 ID 공급자로 사용합니다. Microsoft Entra ID는 사용자가 모든 장치 및 네트워크에서 이러한 서비스에 빠르고 쉽게 연결할 수 있도록 도와줍니다. Fabric에 연결하기 위한 모든 요청은 Microsoft Entra ID를 사용하여 인증되므로 사용자가 회사 사무실, 집 또는 원격 위치에서 Fabric에 안전하게 연결할 수 있습니다.

네트워크 보안 이해

Fabric은 Microsoft 클라우드에서 실행되는 SaaS 서비스입니다. 일부 시나리오에는 패브릭 플랫폼 외부의 데이터에 연결하는 작업이 포함됩니다. 예를 들어 사용자 고유의 네트워크에서 보고서를 보거나 다른 서비스에 있는 데이터에 연결합니다. 패브릭 내의 상호 작용은 내부 Microsoft 네트워크를 사용하며 서비스 외부의 트래픽은 기본적으로 보호됩니다. 자세한 내용과 자세한 설명은 전송 중인 데이터를 참조하세요.

인바운드 네트워크 보안

조직에서는 회사의 요구 사항에 따라 패브릭으로 들어오는 네트워크 트래픽을 제한하고 보호할 수 있습니다. Microsoft Entra ID 조건부 액세스 및 프라이빗 링크를 사용하면 조직에 적합한 인바운드 솔루션을 선택할 수 있습니다.

Microsoft Entra ID 조건부 액세스

Microsoft Entra ID는 모든 연결에서 Fabric에 대한 액세스를 보호할 수 있는 조건부 액세스를 Fabric에 제공합니다. 다음은 조건부 액세스를 사용하여 적용할 수 있는 액세스 제한의 몇 가지 예입니다.

  • 패브릭에 대한 인바운드 연결에 대한 IP 목록을 정의합니다.

  • MFA(다단계 인증)를 사용합니다.

  • 원본 국가 또는 디바이스 유형과 같은 매개 변수에 따라 트래픽을 제한합니다.

조건부 액세스를 구성하려면 패브릭의 조건부 액세스를 참조 하세요.

패브릭의 인증에 대한 자세한 내용은 Microsoft Fabric 보안 기본 사항을 참조 하세요.

프라이빗 링크를 사용하면 Azure VNet(가상 네트워크)에서 패브릭 테넌트에 대한 액세스를 제한하고 모든 공용 액세스를 차단하여 Fabric에 대한 보안 연결을 사용할 수 있습니다. 이렇게 하면 해당 VNet의 네트워크 트래픽만 테넌트에서 Notebook, Lakehouses 및 데이터 웨어하우스와 같은 패브릭 기능에 액세스할 수 있습니다.

패브릭에서 프라이빗 링크를 구성하려면 프라이빗 링크 설정 및 사용을 참조 하세요.

아웃바운드 네트워크 보안

패브릭에는 외부 데이터 원본에 연결하고 해당 데이터를 안전한 방식으로 패브릭으로 가져올 수 있는 도구 집합이 있습니다. 이 섹션에서는 보안 네트워크에서 패브릭으로 데이터를 가져오고 연결하는 다양한 방법을 나열합니다.

신뢰할 수 있는 작업 영역 액세스

Fabric을 사용하면 방화벽이 설정된 Azure Data Lake Gen 2 계정에 안전하게 액세스할 수 있습니다. 작업 영역 ID가 있는 패브릭 작업 영역은 선택한 가상 네트워크 및 IP 주소에서 공용 네트워크 액세스를 사용하도록 설정된 Azure Data Lake Gen 2 계정에 안전하게 액세스할 수 있습니다. ADLS Gen 2 액세스를 특정 패브릭 작업 영역으로 제한할 수 있습니다. 자세한 내용은 신뢰할 수 있는 작업 영역 액세스를 참조하세요.

관리되는 프라이빗 엔드포인트

관리형 프라이빗 엔드포인트는 공용 네트워크에 노출하거나 복잡한 네트워크 구성을 요구하지 않고 Azure SQL 데이터베이스와 같은 데이터 원본에 대한 보안 연결을 허용합니다.

관리형 가상 네트워크

관리형 가상 네트워크는 각 패브릭 작업 영역에 대해 Microsoft Fabric에서 만들고 관리하는 가상 네트워크입니다. 관리형 가상 네트워크는 패브릭 Spark 워크로드에 대한 네트워크 격리를 제공합니다. 즉, 컴퓨팅 클러스터는 전용 네트워크에 배포되고 더 이상 공유 가상 네트워크에 속하지 않습니다.

또한 관리형 가상 네트워크는 관리형 프라이빗 엔드포인트와 같은 네트워크 보안 기능과 Apache Spark를 사용하는 Microsoft Fabric의 데이터 엔지니어 및 데이터 과학 항목에 대한 프라이빗 링크 지원을 지원합니다.

데이터 게이트웨이

방화벽 또는 가상 네트워크로 보호될 수 있는 온-프레미스 데이터 원본 또는 데이터 원본에 연결하려면 다음 옵션 중 하나를 사용할 수 있습니다.

기존 서비스에서 OneLake로 커넥트

기존 Azure PaaS(Platform as a Service) 서비스를 사용하여 Fabric에 연결할 수 있습니다. Synapse 및 ADF(Azure Data Factory)의 경우 AZURE IR(Integration Runtime) 또는 Azure Data Factory 관리형 가상 네트워크를 사용할 수 있습니다. OneLake API를 사용하여 이러한 서비스 및 매핑 데이터 흐름, Synapse Spark 클러스터, Databricks Spark 클러스터 및 Azure HDInsight와 같은 다른 서비스에 연결할 수도 있습니다.

Azure 서비스 태그

서비스 태그를 사용하여 Azure VM(SQL Virtual Machines), MI(Azure SQL Managed Instance) 및 REST API와 같은 Azure 가상 네트워크에 배포된 데이터 원본에서 데이터 게이트웨이를 사용하지 않고 데이터를 수집합니다. 서비스 태그를 사용하여 가상 네트워크 또는 Azure 방화벽에서 트래픽을 가져올 수도 있습니다. 예를 들어 서비스 태그는 VM의 사용자가 다른 공용 인터넷 리소스에 액세스하지 못하도록 차단하면서 SSMS에서 Fabric SQL 엔드포인트에 연결할 수 있도록 Fabric에 대한 아웃바운드 트래픽을 허용할 수 있습니다.

IP 허용 목록

Azure에 없는 데이터가 있는 경우 조직의 네트워크에서 IP 허용 목록을 사용하도록 설정하여 패브릭을 오가는 트래픽을 허용할 수 있습니다. IP 허용 목록은 온-프레미스 데이터 원본과 같은 서비스 태그를 지원하지 않는 데이터 원본에서 데이터를 가져와야 하는 경우에 유용합니다. 이러한 바로 가기를 사용하면 Lakehouse SQL 엔드포인트 또는 Direct Lake를 사용하여 OneLake로 복사하지 않고도 데이터를 가져올 수 있습니다.

온-프레미스 서비스 태그에서 패브릭 IP 목록을 가져올 수 있습니다. 목록은 JSON 파일로 사용하거나 REST API, PowerShell 및 CLI(Azure 명령줄 인터페이스)를 사용하여 프로그래밍 방식으로 사용할 수 있습니다.

보안 데이터

Fabric에서 OneLake에 저장된 모든 데이터는 미사용 시 암호화됩니다. 미사용 데이터는 본국 또는 선택한 원격 지역의 용량 중 하나에 저장되므로 미사용자 주권 규정을 충족할 수 있습니다. 자세한 내용은 Microsoft Fabric 보안 기본 사항을 참조 하세요.

여러 지역의 테넌트 이해

많은 조직에서 글로벌 입지를 갖고 있으며 여러 Azure 지역에서 서비스가 필요합니다. 예를 들어 회사는 미국 본사를 두고 호주와 같은 다른 지역에서 사업을 할 수 있습니다. 지역 규정을 준수하기 위해 전 세계에 있는 기업은 데이터가 여러 지역에 저장되어 있는지 기본 확인해야 합니다. Fabric에서는 이를 다중 지역이라고합니다.

다중 지역 작업 영역에 할당된 쿼리 실행 계층, 쿼리 캐시 및 항목 데이터는 생성의 Azure 지역에서 다시 기본. 그러나 일부 메타데이터 및 처리는 테넌트의 홈 지리에 저장됩니다.

패브릭은 더 큰 Microsoft 에코시스템의 일부입니다. 조직에서 Azure, Microsoft 365 또는 Dynamics 365와 같은 다른 클라우드 구독 서비스를 이미 사용하고 있는 경우 패브릭은 동일한 Microsoft Entra 테넌트 내에서 작동합니다. 조직 도메인(예: contoso.com)은 Microsoft Entra ID와 연결됩니다. 모든 Microsoft 클라우드 서비스와 같습니다.

Fabric을 사용하면 여러 지역에 걸쳐 여러 용량이 있는 여러 테넌트를 사용할 때 여러 지역에서 데이터를 안전하게 보호할 수 있습니다.

  • 데이터 논리적 분리 - 패브릭 플랫폼테넌트 간에 논리적 격리를 제공하여 데이터를 보호합니다.

  • 데이터 주권 - 다중 지역 작업을 시작하려면 패브릭에 대한 Multi-Geo 지원 구성을 참조 하세요.

데이터 액세스

패브릭은 작업 영역을 사용하여 데이터 액세스를 제어합니다. 작업 영역에서 데이터는 패브릭 항목의 형태로 표시되며, 작업 영역에 대한 액세스 권한을 부여하지 않는 한 사용자는 항목(데이터)을 보거나 사용할 수 없습니다. 작업 영역 및 항목 권한에 대한 자세한 내용은 사용 권한 모델에서 확인할 수 있습니다.

작업 영역 역할

작업 영역 액세스는 아래 표에 나와 있습니다. 여기에는 작업 영역 역할과 패브릭 및 OneLake 보안이 포함됩니다. 뷰어 역할이 있는 사용자는 SQL, DAX(데이터 분석 식) 또는 MDX(다차원 식) 쿼리를 실행할 수 있지만 패브릭 항목에 액세스하거나 Notebook실행할 수는 없습니다.

역할 작업 영역 액세스 OneLake 액세스
관리, 멤버 및 기여자 작업 영역의 모든 항목을 사용할 수 있음
뷰어 작업 영역의 모든 항목을 볼 수 있습니다.

항목 공유

작업 영역 역할이 없는 조직의 사용자와 패브릭 항목을 공유할 수 있습니다. 항목을 공유하면 제한된 액세스 권한이 부여되므로 사용자가 작업 영역의 공유 항목에만 액세스할 수 있습니다.

액세스 제한

RLS(행 수준 보안), CLS(열 수준 보안)OLS(개체 수준 보안)를 사용하여 데이터에 대한 뷰어 액세스를 제한할 수 있습니다. RLS, CLS 및 OLS를 사용하면 데이터의 특정 부분에 액세스할 수 있는 사용자 ID를 만들고 사용자 ID가 액세스할 수 있는 항목만 반환하는 SQL 결과를 제한할 수 있습니다.

DirectLake 데이터 세트에 RLS를 추가할 수도 있습니다. SQL 및 DAX 모두에 대한 보안을 정의하는 경우 DirectLake는 SQL에 RLS가 있는 테이블의 DirectQuery로 돌아갑니다. 이러한 경우 DAX 또는 MDX 결과는 사용자의 ID로 제한됩니다.

DirectQuery 대체 없이 RLS에서 DirectLake 데이터 세트를 사용하여 보고서를 노출하려면 Power BI에서 직접 데이터 세트 공유 또는 앱을 사용합니다. Power BI의 앱을 사용하면 뷰어 액세스 없이 보고서에 대한 액세스 권한을 부여할 수 있습니다. 이러한 종류의 액세스는 사용자가 SQL을 사용할 수 없다는 것을 의미합니다. DirectLake가 데이터를 읽을 수 있도록 하려면 데이터 원본 자격 증명을 SSO(Single Sign On)에서 레이크의 파일에 액세스할 수 있는 고정 ID로 전환해야 합니다.

데이터 보호

Fabric은 Microsoft Purview Information Protection의 민감도 레이블을 지원합니다. 다음은 Word, PowerPoint 및 Excel과 같은 Microsoft Office 앱 중요한 정보를 보호하는 데 널리 사용되는 일반, 기밀 및 기밀과 같은 레이블입니다. Fabric에서 이러한 동일한 민감도 레이블을 사용하여 중요한 데이터가 포함된 항목을 분류할 수 있습니다. 그런 다음 민감도 레이블은 데이터 원본에서 비즈니스 사용자까지 패브릭을 통해 이동하는 동안 항목에서 항목으로 데이터를 자동으로 따릅니다. 민감도 레이블은 데이터를 PBIX, Excel, PowerPoint 및 PDF와 같은 지원되는 형식으로 내보내 데이터가 다시 보호되도록 하는 경우에도 기본. 권한 있는 사용자만 파일을 열 수 있습니다. 자세한 내용은 Microsoft Fabric의 거버넌스 및 규정 준수를 참조 하세요.

데이터를 관리, 보호 및 관리하는 데 도움이 되도록 Microsoft Purview를 사용할 수 있습니다. Microsoft Purview와 Fabric은 함께 작동하여 단일 위치인 Microsoft Purview 허브에서 데이터를 저장, 분석 및 제어할 수 있습니다.

데이터 복구

패브릭 데이터 복원력은 재해가 발생한 경우 데이터를 사용할 수 있도록 합니다. 또한 패브릭을 사용하면 재해, 재해 복구 시 데이터를 복구할 수 있습니다. 자세한 내용은 Microsoft Fabric의 안정성을 참조 하세요.

패브릭 관리 등록

Fabric관리자는 전체 조직에 대한 기능을 제어할 수 있습니다. Fabric을 사용하면 관리 역할을 용량, 작업 영역 및 do기본 위임할 수 있습니다. 적절한 사용자에게 관리자 책임을 위임하여 여러 주요 관리자가 조직 전체의 일반 패브릭 설정을 제어하는 동시에 특정 영역과 관련된 설정을 담당하는 다른 관리자를 제어할 수 있는 모델을 구현할 수 있습니다.

관리자는 다양한 도구를 사용하여 용량 소비와 같은 주요 패브릭 측면을 모니터링할 수도 있습니다. 감사 로그를 보고 사용자 활동을 모니터링하고 필요한 경우 예기치 않은 인시던트도 조사할 수 있습니다.

기능

Microsoft Fabric에서 사용할 수 있는 몇 가지 보안 기능 목록은 이 섹션을 검토하세요.

기능 설명
조건부 액세스 Microsoft Entra ID를 사용하여 앱 보호
Lockbox Microsoft 엔지니어가 데이터에 액세스하는 방법 제어
패브릭 및 OneLake 보안 Fabric 및 OneLake에서 데이터를 보호하는 방법을 알아봅니다.
복원력 Azure 가용성 영역을 사용한 안정성 및 지역 복원력
서비스 태그 Azure SQL MI(Managed Instance)를 사용하도록 설정하여 Microsoft Fabric에서 들어오는 연결을 허용합니다.

관련 콘텐츠