Microsoft Power Platform의 보안
Power Platform은 비전문 개발자와 전문 개발자 등이 엔드투엔드 솔루션을 빠르고 쉽게 작동시킬 수 있도록 합니다. 보안은 이러한 솔루션에서 매우 중요합니다. Power Platform은 업계 최고의 보호 기능을 제공할 수 있게 개발되었습니다.
조직은 운영 및 비즈니스 의사 결정 과정에 고급 기술을 통합하여 클라우드로의 전환을 가속화하고 있습니다. 더 많은 직원이 원격으로 일하고 있습니다. 온라인 서비스에 대한 고객의 수요가 급증하고 있습니다. 기존의 온-프레미스 애플리케이션 보안으로는 더 이상 충분하지 않습니다. 클라우드 네이티브, 다계층, 비즈니스 인텔리전스 데이터를 위한 심층 방어 보안 솔루션을 추구하고 있는 조직들은 Power Platform으로 바꾸고 있습니다. 많은 국가 보안 기관, 금융 기관 및 의료 서비스 제공자는 가장 민감한 정보를 가지고 있는 Power Platform을 신뢰합니다.
Microsoft는 2000년대 중반부터 보안에 막대한 투자를 해왔습니다. Microsoft의 3,500명 이상의 엔지니어가 끊임없이 변화하는 위협 환경을 사전에 해결하기 위해 노력하고 있습니다. Microsoft 보안은 온-칩 BIOS 커널에서 시작하여 사용자 경험의 범위까지 포괄합니다. 오늘날 Microsoft의 보안 스택은 업계에서 가장 발전된 기술입니다. Microsoft는 적대적인 기업과의 경쟁에 대응하는 글로벌 리더로 널리 알려져 있습니다. Microsoft의 보호 기능에는 수십억 대의 컴퓨터, 수조 개의 로그인, 제타바이트의 데이터가 위탁되어 있습니다.
Power Platform은 이렇게 강력한 기반 위에 구축됩니다. Azure에 세계에서 가장 민감한 데이터를 제공하고 보호할 수 있는 권한을 부여한 것과 동일한 보안 스택을 사용하며 Microsoft 365의 가장 진보된 정보 보호 및 규정 준수 도구와 통합됩니다. Power Platform은 클라우드 시대에 고객의 가장 어려운 문제를 중심으로 설계된 엔드투엔드 보호 기능을 제공합니다.
- 연결할 수 있는 사람, 연결 위치 및 연결 방법을 제어할 수 있는 방법은 무엇입니까? 연결을 어떻게 제어할 수 있습니까?
- 데이터는 어떻게 저장되나요? 데이터는 어떻게 암호화되나요? 데이터에 대해 어떤 제어 권한이 있습니까?
- 민감한 데이터를 어떻게 제어하고 보호할 수 있습니까? 이 데이터가 조직 외부로 유출되지 않도록 하려면 어떻게 해야 합니까?
- 누가 무엇을 할 수 있는지 어떻게 감사합니까? 의심스러운 활동이 감지되면 어떻게 신속하게 대응할 수 있습니까?
거버넌스
Power Platform 서비스에는 Microsoft 온라인 서비스 사용 약관 및 Microsoft Enterprise 개인정보처리방침이 적용됩니다. 데이터 처리 위치는 Microsoft 온라인 서비스 사용 약관과 데이터 보호 부칙을 참조하십시오.
Microsoft 보안 센터는 Power Platform의 규정 준수 정보에 대한 기본 리소스입니다. Microsoft 규정 준수 제품 에서 자세히 알아보십시오.
Power Platform 서비스는 보안 개발 수명 주기(SDL)를 따릅니다. SDL은 보안 보증 및 규정 준수 요구 사항을 지원하는 일련의 엄격한 관행입니다. Microsoft 보안 개발 수명 주기 관행에서 자세히 알아보십시오.
Power Platform의 공통적인 보안 개념
Power Platform는 여러 서비스를 포함합니다. 일련의 내용에서 다룰 일부 보안 개념은 모든 보안 개념을 포괄합니다. 일부 개념은 개별 서비스에만 해당됩니다. 보안 개념이 다른 경우 이를 설명합니다.
모든 Power Platform 서비스에 해당하는 공통적인 보안 개념은 다음과 같습니다.
- Power Platform 서비스 아키텍처 또는 시스템을 통해 정보 흐름이 작동하는 방식
- Power Platform 서비스에 대한 인증 또는 사용자가 서비스에 액세스하는 방법
- 데이터 소스에 연결 및 인증 또는 서비스를 데이터 소스에 연결하고 사용자가 데이터에 액세스하는 방법
- Power Platform에서 데이터 저장 또는 데이터가 시스템과 서비스 간에 저장 또는 전송 중인지와 관계없이 데이터를 보호하는 방법
Power Platform 서비스 아키텍처
Power Platform 서비스는 Microsoft의 클라우드 컴퓨팅 플랫폼인 Azure를 기반으로 합니다. Power Platform 서비스 아키텍처는 네 가지 구성 요소로 구성됩니다.
- 웹 프런트 엔드 클러스터
- 백 엔드 클러스터
- 프리미엄 인프라
- 모바일 플랫폼
웹 프런트 엔드 클러스터
웹 UI를 표시하는 Power Platform 서비스에 적용합니다. 웹 프런트 엔드 클러스터는 사용자의 브라우저에 애플리케이션 또는 서비스 홈 페이지를 제공합니다. 먼저 Microsoft Entra를 사용하여 클라이언트를 인증하고 후속 클라이언트를 연결하기 위해 Power Platform 백엔드 서비스에 토큰을 제공합니다.
웹 프런트 엔드 클러스터는 Azure App Service Environment에서 실행되는 ASP.NET 웹 사이트로 구성되어 있습니다. 사용자가 Power Platform 서비스 또는 애플리케이션을 방문하면 클라이언트의 DNS 서비스는 Azure Traffic Manager에서 가장 적절한(일반적으로 가장 가까운) 데이터 센터를 불러올 수 있습니다. 더 자세한 내용은 Azure Traffic Manager에 대한 성능 트래픽 라우팅 방법을 참조하십시오.
웹 프런트 엔드 클러스터는 로그인 및 인증 순서를 관리합니다. 사용자를 인증한 다음 Microsoft Entra 액세스 토큰을 얻을 수 있습니다. ASP.NET 구성 요소는 토큰을 분석하여 사용자의 소속 조직을 결정합니다. 그런 다음 구성 요소는 Power Platform 글로벌 백엔드 서비스를 참고하여 조직의 테넌트가 저장되어 있는 백엔드 클러스터를 브라우저에 지정합니다. 후속 클라이언트 상호 작용은 웹 프런트 엔드 중개자가 없이 백엔드 클러스터와 직접 나타납니다.
브라우저는 주로 Azure 콘텐츠 배달 네트워크(CDN)에서 .js, .css 및 이미지 파일과 같은 정적 리소스를 불러옵니다. 고위 정부 기관용 클러스터 배포는 예외입니다. 규정 준수를 위해 이 배포에서는 Azure CDN을 생략합니다. 대신 규정 준수 지역의 웹 프런트 엔드 클러스터를 사용하여 정적 콘텐츠를 호스팅합니다.
Power Platform 백 엔드 클러스터
Power Platform 서비스의 백엔드 클러스터는 가용할 수 있는 모든 기능의 근간입니다. 서비스 엔드포인트, 백그라운드 작업 서비스, 데이터베이스, 캐시 및 기타 구성 요소로 구성되어 있습니다.
백엔드는 대부분의 Azure 지역에서 사용할 수 있으며 활용이 가능한 새로운 지역에 배포됩니다. 단일 지역에서 여러 클러스터를 호스팅할 수 있습니다. 이 구성 요소는 Power Platform 서비스가 단일 클러스터의 수직 및 수평 확장 제한에 도달한 후 무제한의 수평적 확장 서비스를 제공합니다.
백엔드 클러스터는 상태 저장입니다. 백엔드 클러스터는 여기에 할당된 모든 테넌트의 데이터 전체를 호스팅합니다. 특정 테넌트의 데이터가 포함된 이 클러스터를 테넌트의 홈 클러스터라고 합니다. 인증된 사용자의 홈 클러스터에 대한 정보는 Power Platform의 전역 백엔드 서비스에서 웹 프런트 엔드 클러스터로 제공됩니다. 웹 프런트 엔드는 정보를 사용하여 테넌트의 홈 백엔드 클러스터로 요청을 라우팅합니다.
테넌트 메타데이터 및 데이터는 클러스터 한도 내에서 저장됩니다. 예외의 경우는 동일한 Azure 지리에서 쌍을 이루는 지역에 있는 보조 백엔드 클러스터에 대한 데이터 복제입니다. 보조 클러스터는 지역 중단 시 장애 조치 클러스터 역할을 하며 다른 시간에는 수동적입니다. 클러스터의 가상 네트워크에 있는 다른 컴퓨터에서 실행 중인 마이크로 서비스도 백엔드 기능을 제공합니다. 이러한 마이크로 서비스 중 2개만 공용 인터넷에서 액세스할 수 있습니다.
- 게이트웨이 서비스
- Azure API Management
Power Platform 프리미엄 인프라
Power Platform 프리미엄은 확장된 커넥터 세트에 유료로 액세스할 수 있습니다. Power Platform 제작자는 프리미엄 커넥터 사용에 제약이 없지만 앱 사용자는 제약을 받습니다. 즉, 프리미엄 커넥터를 포함하는 앱 사용자는 올바른 라이선스로 액세스해야 합니다. Power Platform 백엔드 서비스는 사용자가 프리미엄 커넥터에 액세스할 수 있는지를 확인합니다.
모바일 플랫폼
Power Platform 지원 Android, iOS 및 Windows(UWP) 애플리케이션. 모바일 앱에 대한 보안 고려 사항은 두 가지 범주로 나뉩니다.
- 디바이스 통신
- 디바이스의 애플리케이션 및 데이터
디바이스 통신
Power Platform 모바일 앱은 브라우저에서 사용하는 것과 동일한 연결 및 인증 절차를 사용합니다. Android와 iOS 앱은 앱에서 브라우저 세션을 엽니다. Windows 앱은 broker를 사용하여 Power Platform 서비스를에 로그인 할 수 있는 통신 채널을 설정합니다.
다음 표는 모바일 앱용 인증서 기반 인증(CBA) 지원을 보여줍니다.
| CBA 지원 | iOS | Android | 창문 |
|---|---|---|---|
| 서비스에 로그인 | 지원됨 | 지원됨 | 지원 안 됨 |
| SSRS ADFS 온-프레미스(SSRS 서버에 연결) | 지원 안 됨 | 지원됨 | 지원 안 됨 |
| SSRS 앱 프록시 | 지원됨 | 지원됨 | 지원 안 됨 |
모바일 앱은 Power Platform 서비스와 적극적으로 통신합니다. 앱 사용 통계와 이와 유사한 데이터는 사용 및 활동을 모니터링하는 서비스로 전송됩니다. 고객 데이터가 포함되어 있지 않습니다.
디바이스의 애플리케이션 및 데이터
모바일 앱과 필요한 데이터는 기기에 안전하게 저장됩니다. Microsoft Entra 및 새로 고침 토큰은 업계 표준 보안 조치를 사용하여 저장됩니다.
기기에 캐시된 데이터에는 앱 데이터, 사용자 설정, 대시보드 및 이전 세션에서 액세스한 보고서가 포함됩니다. 캐시는 내부 스토리지의 샌드박스에 저장됩니다. 캐시는 앱에서만 액세스할 수 있으며 OS에서 암호화할 수 있습니다.
- iOS: 사용자가 암호를 설정하면 자동으로 암호화가 진행됩니다.
- Android의 경우 설정에서 암호화를 구성할 수 있습니다.
- Windows의 경우 암호화는 BitLocker에서 처리합니다.
Microsoft Intune 파일 수준 암호화를 사용하면 데이터 암호화를 강화할 수 있습니다. Intune은 모바일 장치 및 애플리케이션 관리를 제공하는 소프트웨어 서비스입니다. 이 세 가지 모바일 플랫폼은 Intune을 지원합니다. Intune을 사용하도록 설정하고 구성하면 모바일 디바이스의 데이터가 암호화되며 Power Platform 앱은 SD 카드에 설치할 수 없습니다.
Windows 앱은 Windows Information Protection(WIP)도 지원합니다.
캐시 레코드는 사용자의 요청에 따라 삭제됩니다.
- 앱을 제거합니다.
- Power Platform 서비스를 로그아웃합니다.
- 비밀번호 변경 또는 토큰 만료 후 로그인에 실패하였습니다.
지리적 위치는 사용자가 명시적으로 활성화 또는 비활성화합니다. 이를 활성화하면 지리적 위치 데이터가 디바이스에 저장되지 않고 Microsoft와 공유되지도 않습니다.
알림은 사용자가 명시적으로 활성화하거나 비활성화합니다. 이를 활성화하면 Android 및 iOS는 지리적 데이터 보존 요구 사항을 지원하지 않습니다.
Power Platform 모바일 서비스는 디바이스의 다른 애플리케이션 폴더 또는 파일에 액세스할 수 없습니다.
일부 토큰 기반 인증 데이터는 Authenticator와 같은 다른 Microsoft 앱에서 Single Sign-On을 활성화하는 데 사용할 수 있습니다. 이 데이터는 Microsoft Entra 인증 라이브러리 SDK에서 관리됩니다.
관련 문서
Power Platform 서비스에 인증
데이터 원본에 연결 및 인증
Power Platform의 데이터 스토리지
Power Platform 보안 FAQs