Power Platform의 데이터 저장 및 거버넌스
먼저 개인 정보와 고객 데이터를 구별하는 것이 중요합니다.
개인 정보는 사람을 식별하는 데 사용할 수 있는 사람에 대한 정보입니다.
고객 테이터에는 URL, 메타데이터 및 DNS 이름과 같은 직원 인증 정보를 포함하는 개인 데이터와 기타 고객 데이터를 포함합니다.
데이터 보존
Microsoft Entra 테넌트는 조직 및 해당 보안과 관련된 정보를 보관합니다. Microsoft Entra 테넌트가 Power Platform 서비스에 가입할 때 테넌트가 선택한 국가 또는 지역은 Power Platform 배포가 존재하는 가장 적합한 Azure 지역에 매핑됩니다. Power Platform은 테넌트의 할당된 Azure 지리나 조직이 여러 지역에 서비스를 배포하는 경우를 제외하고 홈 지역에 고객 데이터를 저장합니다.
일부 조직은 전 세계에 위치합니다. 예를 들어, 사업체는 미국에 본사를 두고 있지만 호주에서 사업을 할 수 있습니다. 이 사업체는 현지 규정을 준수하기 위해 특정 Power Platform 데이터를 호주에 저장해야 할 수 있습니다. Power Platform 서비스가 둘 이상의 Azure 지역에 배포될 때 다중 지역 배포라고 합니다. 이 경우, 환경 관련 메타데이터만 홈 지역에 저장됩니다. 해당 환경의 모든 메타데이터 및 제품 데이터는 원격 지역에 저장됩니다.
Microsoft는 데이터 복원력을 위해 데이터를 다른 지역으로 복제할 수 있습니다. 그러나 Microsoft는 개인 데이터를 지역 외부로 복제하거나 이동하지 않습니다. 다른 지역으로 복제되는 데이터에는 직원 인증 정보와 같은 비개인 데이터가 포함될 수 있습니다.
Power Platform 서비스는 특정 Azure 지역에서 사용할 수 있습니다. Power Platform 서비스를 이용할 수 있는 지역과 데이터가 저장되는 위치, 데이터가 사용되는 방식에 대한 자세한 내용은 Microsoft 보안 센터를 참조하세요. 고객 저장 데이터의 위치에 대한 약정은 Microsoft Online 사용 약관의 데이터 처리 조항에 명시되어 있습니다. 또한 Microsoft는 주권 엔터티를 위한 데이터 센터도 제공합니다.
데이터 처리
이 섹션에서는 Power Platform의 고객 데이터 저장, 처리 및 전송 방법을 요약합니다.
미사용 데이터
문서에 달리 명시되지 않는 한 고객 데이터는 원래 소스(예: Dataverse 또는 SharePoint)에 남아있습니다. Power Platform 앱은 환경의 일부로 Azure Storage에 저장됩니다. 모바일 앱에서 사용되는 데이터는 암호화되어 SQL Express에 저장됩니다. 대부분의 경우 앱은 Azure Storage로 Power Platform 서비스 데이터 및 Azure SQL Database를 유지하여 서비스 메타데이터를 유지합니다. 앱 사용자가 입력한 데이터는 Dataverse와 같은 서비스에 대한 해당 데이터 원본에 저장됩니다.
Power Platform에서 유지되는 모든 데이터는 기본적으로 Microsoft 관리형 키를 사용하여 암호화됩니다. Azure SQL Database에 저장된 고객 데이터는 Azure SQL의 투명한 데이터 암호화(TDE) 기술을 사용하여 완전히 암호화됩니다. Azure Blob Storage에 저장된 고객 데이터는 Azure Storage Encryption을 사용하여 암호화됩니다.
처리 중인 데이터
데이터는 대화형 시나리오의 일부로 사용되거나 새로 고침과 같은 백그라운드 프로세스가 이 데이터를 터치할 때 처리 중입니다. Power Platform은 처리 중인 데이터를 하나 이상의 서비스 워크로드의 메모리 공간으로 로드합니다. 워크로드의 기능을 용이하게 하기 위해 메모리에 저장된 데이터는 암호화되지 않습니다.
전송 중인 데이터
Power Platform에서는 TLS 1.2 이상을 사용하여 모든 수신 HTTP 트래픽을 암호화해야 합니다. TLS 1.1 이하를 사용하려는 요청은 거부됩니다.
고급 보안 기능
일부 Power Platform 고급 보안 기능에는 특정 라이선스 요구 사항이 있습니다.
서비스 태그
서비스 태그는 특정 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. 서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의할 수 있습니다.
서비스 태그를 이용하면 네트워크 보안 규칙에 대한 빈번한 업데이트의 복잡성을 최소화하는 데 도움이 됩니다. 예를 들어 해당 서비스에 대한 트래픽을 허용하거나 거부하는 보안 규칙을 생성할 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다.
Microsoft는 서비스 태그에 포함된 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트합니다. 자세한 정보는 Azure IP 범위 및 서비스 태그 - 퍼블릭 클라우드를 참조하세요.
데이터 손실 방지
Power Platform에는 데이터의 보안을 관리하는 데 도움이 되는 데이터 손실 방지(DLP) 기능의 광범위한 집합이 있습니다.
스토리지 SAS(공유 액세스 서명) IP 제한
참고
이러한 SAS 기능 중 하나를 활성화하기 전에 고객은 먼저 https://*.api.powerplatformusercontent.com 도메인에 대한 액세스를 허용해야 합니다. 그렇지 않으면 대부분의 SAS 기능이 작동하지 않습니다.
이 기능 세트는 스토리지 SAS(공유 액세스 서명) 토큰을 제한하는 테넌트별 기능이며 Power Platform 관리 센터의 메뉴를 통해 제어됩니다. 이 설정은 IP를 기반으로 엔터프라이즈 SAS 토큰을 사용할 수 있는 사람을 제한합니다.
이 기능은 현재 비공개 프리뷰에 있습니다. 공개 프리뷰는 올 봄 말에 계획되어 있으며 2024년 여름에 일반 공급될 예정입니다. 자세한 내용은 릴리스 플래너를 참조하세요.
이러한 설정은 관리 센터의 Dataverse 환경의 개인 정보 + 보안 설정에서 찾을 수 있습니다. IP 주소 기반 스토리지 SAS(공유 액세스 서명) 규칙 사용 옵션을 켜야 합니다.
관리자는 이 설정에 대해 다음 네 가지 구성 중 하나를 활성화할 수 있습니다.
| 설정 | Description |
|---|---|
| IP 바인딩 전용 | 이는 SAS 키를 요청자의 IP로 제한합니다. |
| IP 방화벽 전용 | 이는 SAS 키 사용이 관리자가 지정한 범위 내에서만 작동하도록 제한합니다. |
| IP 바인딩 및 방화벽 | 이는 SAS 키 사용을 관리자가 지정한 범위 내에서 요청자의 IP로만 제한합니다. |
| IP 바인딩 또는 방화벽 | 지정된 범위 내에서 SAS 키를 사용할 수 있습니다. 범위 외부에서 요청이 오면 IP 바인딩이 적용됩니다. |
활성화된 경우 IP 바인딩을 적용하는 제품:
- Dataverse
- Power Automate
- 사용자 지정 커넥터
- Power Apps
Power App 경험에 미치는 영향
사용자에게 미치는 영향은 다음과 같습니다.
환경의 IP 주소 제한을 충족하지 않는 사용자가 앱을 열면 다음 메시지 "이 앱이 작동을 멈췄습니다. 브라우저를 새로 고쳐 보세요"가 표시됩니다. 앱을 시작할 수 없는 이유에 대해 사용자에게 더 많은 상황 정보를 제공하기 위해 이 환경을 업데이트할 계획이 있습니다.
IP 주소 제한을 충족하는 사용자가 앱을 열면: 다음 이벤트가 발생합니다.
- 다음 메시지가 포함된 배너 "조직에서 Power Apps에 액세스할 수 있는 위치를 제한하는 IP 주소 제한을 구성했습니다. 다른 네트워크를 사용하는 경우 이 앱에 액세스하지 못할 수 있습니다. 자세한 내용은 관리자에게 문의하세요.”가 표시됩니다 이 배너는 몇 초 동안 나타났다가 사라집니다.
- IP 주소 제한이 적용되지 않은 경우보다 앱이 더 느리게 로드될 수 있습니다. IP 주소 제한으로 인해 플랫폼은 더 빠른 로드 시간을 가능하게 하는 일부 성능 기능을 사용할 수 없습니다.
사용자가 IP 주소 요구 사항을 충족하는 동안 앱을 연 다음 더 이상 IP 주소 요구 사항을 충족하지 않는 새 네트워크로 이동하는 경우 사용자는 이미지, 포함된 미디어 및 링크와 같은 앱 콘텐츠가 로드되지 않거나 액세스할 수 없는 것을 관찰할 수 있습니다. .
SAS 호출 로깅
이 설정을 사용하면 Power Platform 내의 모든 SAS 호출이 Purview에 로그인될 수 있습니다. 이 로깅은 모든 생성 및 사용 이벤트에 대한 관련 메타데이터를 표시하며 위의 SAS IP 제한과 별도로 활성화될 수 있습니다. Power Platform 서비스는 현재 2024년에 SAS 호출을 온보딩하고 있습니다.
관련 문서
Microsoft Power Platform의 보안
Power Platform 서비스에 인증
데이터 원본에 연결 및 인증
Power Platform 보안 FAQs