이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0 의 지침을 Microsoft Fabric에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 제어 및 Microsoft Fabric에 적용되는 관련 지침에 따라 그룹화됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크 - 네트워크 보안을 참조하세요.
NS-1: 네트워크 구분 경계 설정
지침: Notebook, Lakehouse 및 Spark 작업 정의에 대한 관리형 프라이빗 엔드포인트를 만들고 사용하여 프라이빗 엔드포인트 뒤에 있는 데이터 원본에 안전하게 연결합니다.
책임: 공유
NS-2: 네트워크 컨트롤을 사용하여 클라우드 네이티브 서비스 보호
지침: Microsoft Fabric은 패브릭 테넌트를 프라이빗 링크 엔드포인트에 연결하고 공용 인터넷 액세스를 사용하지 않도록 설정하도록 지원합니다.
참고: Microsoft Fabric은 Microsoft Entra ID를 인증 공급자로 사용하는 SaaS 서비스입니다. SaaS 서비스에 대한 인바운드 네트워크 트래픽 제어는 Microsoft Entra ID 조건부 액세스 정책을 사용하여 얻을 수 있습니다.
책임: 공유
NS-3: 엔터프라이즈 네트워크의 에지에 방화벽 배포
지침: Azure 인프라에서 호스트되는 SaaS 제품인 Microsoft Fabric에는 잘 알려진 일반적인 공격 벡터를 위해 몇 가지 자동 보호 기능이 기본 제공됩니다.
책임: Microsoft
NS-4: IDS/IPS(침입 검색 시스템/침입 방지 시스템) 배포
지침: Microsoft Fabric에는 IDS/IPS(명시적 기본 제공 네트워크 침입 감지 및 침입 방지 시스템) 기능이 없습니다. Microsoft Fabric은 잘 알려진 일반적인 공격 벡터와 고객 구성 가능한 옵션을 위해 몇 가지 자동 보호가 기본 제공되는 Azure 기본 서비스를 기반으로 하는 Azure Core 서비스입니다. Microsoft Fabric은 고객이 활동 모니터링에 활용할 수 있는 활동 및 감사 로그에 대한 액세스를 제공합니다.
책임: 공유
NS-5: DDOS 보호 배포
지침: Microsoft Fabric에는 일반적인 공격 시나리오에 대한 기본 제공 DDoS 보호 기능이 있습니다. Microsoft에서 관리 및 제어합니다.
책임: Microsoft
NS-6: 웹 애플리케이션 방화벽 배포
지침: Microsoft Fabric에는 Microsoft에서 관리 및 제어하는 기본 제공 WAF가 있습니다.
책임: Microsoft
NS-7: 네트워크 보안 구성 간소화 [N/A]
지침: 해당하지 않습니다. Microsoft Fabric은 기본 구성을 노출하지 않습니다. 이러한 설정은 Microsoft에서 유지 관리합니다.
NS-8: 안전하지 않은 서비스 및 프로토콜 검색 및 비활성화 [N/A]
지침: 해당하지 않습니다. Microsoft Fabric은 기본 구성을 노출하지 않습니다. 이러한 설정은 Microsoft에서 유지 관리합니다.
NS-9: 온-프레미스 또는 클라우드 네트워크를 프라이빗하게 연결
지침: Microsoft Fabric은 가상 네트워크 및 온-프레미스 데이터 게이트웨이를 지원합니다.
책임: 고객
NS-10: DNS(도메인 이름 시스템) 보안 확인 [N/A]
지침: 해당하지 않습니다. Microsoft Fabric은 기본 DNS 구성을 노출하지 않습니다. 이러한 설정은 Microsoft에서 유지 관리합니다.
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크 - ID 관리를 참조하세요.
IM-1: 중앙 집중식 ID 및 인증 시스템 사용
지침: Microsoft Fabric은 Azure의 기본 ID 및 액세스 관리 서비스인 Microsoft Entra ID 와 통합됩니다. 조직의 ID 및 액세스 관리를 관리하려면 Microsoft Entra ID를 표준화해야 합니다.
Microsoft Entra ID 보안은 조직의 클라우드 보안 사례에서 높은 우선 순위여야 합니다. Microsoft Entra ID는 Microsoft의 모범 사례 권장 사항을 기준으로 ID 보안 상태를 평가하는 데 도움이 되는 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항과 얼마나 밀접하게 일치하는지 측정하고 보안 상태를 개선합니다.
참고: Microsoft Entra ID는 Microsoft 계정이 없는 사용자가 외부 ID를 사용하여 애플리케이션 및 리소스에 로그인할 수 있도록 하는 외부 ID를 지원합니다. Microsoft Fabric 게스트 사용자의 시나리오는 아래 B2B 페이지를 참조하세요.
Microsoft Entra ID 테넌트
책임: 고객
IM-2: ID 및 인증 시스템 보호
지침: 조직의 클라우드 보안 사례에서 높은 우선 순위로 ID 및 인증 시스템을 보호합니다. Microsoft Entra ID 보안 기준 및 Microsoft Entra ID ID 보안 점수를 사용하여 Microsoft Entra ID ID 보안 상태를 평가하고 보안 및 구성 격차를 수정합니다.
책임: 고객
IM-3: 애플리케이션 ID를 안전하고 자동으로 관리
지침: 리소스에 액세스하기 위해 사용자 계정 대신 관리 ID를 사용합니다. 자격 증명 노출을 줄이고 보안 향상을 위해 자동화된 자격 증명 회전을 지원합니다. Microsoft Fabric, Power BI 및 Power BI Embedded는 작업 영역 ID 및 서비스 주체의 사용을 지원합니다. Power BI Embedded는 서비스 원칙 프로필을 지원합니다.
책임: 고객
IM-4: 서버 및 서비스 인증
지침: TLS를 사용하여 원격 서버를 인증하여 신뢰할 수 있는 연결을 보장합니다. 클라이언트는 신뢰할 수 있는 기관의 서버 인증서를 확인합니다. 고객은 데이터 수집 프로세스가 적절하게 보호되도록 해야 합니다. Microsoft Fabric은 모든 연결에 TLS 1.2+를 적용합니다.
책임: 고객
IM-5: 애플리케이션 액세스에 SSO(Single Sign-On) 사용
지침: SSO(Single Sign-On)를 사용하여 클라우드 서비스 및 온-프레미스 환경에서 애플리케이션 및 데이터를 포함한 리소스에 인증하기 위한 사용자 환경을 간소화합니다.
Microsoft Fabric은 Microsoft Entra ID를 사용하여 Azure 리소스, 클라우드 애플리케이션 및 온-프레미스 애플리케이션에 ID 및 액세스 관리를 제공합니다. 여기에는 직원과 같은 엔터프라이즈 ID뿐만 아니라 파트너, 공급업체 및 공급업체와 같은 외부 ID도 포함됩니다. 이를 통해 SSO(Single Sign-On)는 온-프레미스 및 클라우드에서 조직의 데이터 및 리소스에 대한 액세스를 관리하고 보호할 수 있습니다.
책임: 고객
IM-6: 강력한 인증 컨트롤 사용
지침: 리소스에 대한 모든 액세스에 대해 중앙 집중식 ID 및 인증 관리 시스템을 사용하여 강력한 인증 제어를 적용합니다.
Microsoft Entra ID 암호 보호 사용하여 잘못된 암호 제거
Microsoft Fabric은 Microsoft Entra ID를 사용하여 사용자(또는 서비스 주체)를 인증합니다. 인증되면 사용자는 Microsoft Entra ID에서 액세스 토큰을 받습니다.
책임: 고객
IM-7: 조건에 따라 리소스 액세스 제한
지침: 제로 트러스트 액세스 모델의 일부로 리소스에 대한 사용자 액세스를 허용하거나 거부하는 신뢰할 수 있는 신호의 유효성을 명시적으로 검사합니다. Microsoft Entra ID 조건부 액세스는 다단계 인증을 적용하고, Intune에 등록된 디바이스만 특정 서비스에 액세스할 수 있도록 허용하고, 사용자 위치 및 IP 범위를 제한하여 테넌트가 안전하게 보호되도록 합니다.
책임: 고객
IM-8: 자격 증명 및 비밀 노출 제한
지침: 패브릭 작업 영역 ID는 Microsoft Entra 지원 리소스에 연결하여 패브릭 항목에 대한 인증을 제공하는 자격 증명이 없는 관리 서비스 주체입니다.
Microsoft Fabric 항목의 경우 자격 증명 스캐너를 구현하여 코드 내에서 자격 증명을 식별하는 것이 좋습니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 Azure Key Vault와 같은 보다 안전한 위치로 이동하는 것이 좋습니다.
GitHub의 경우 네이티브 비밀 검사 기능을 사용하여 코드 내에서 자격 증명 또는 다른 형태의 비밀을 식별할 수 있습니다.
책임: 고객
IM-9: 기존 애플리케이션에 대한 사용자 액세스 보호
지침: Microsoft Fabric은 온-프레미스 데이터 게이트웨이를 통해 온-프레미스 데이터 원본에 연결하고 온-프레미스 환경에서 Dataflow Gen2 및 의미 체계 모델과 같은 패브릭 항목으로 데이터를 안전하게 전송하도록 지원합니다.
책임: 고객
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크 - Privileged Access | Microsoft Learn
PA-1: 높은 권한/관리 사용자 분리 및 제한
지침: 패브릭 또는 전역 관리자와 같은 모든 Microsoft Fabric 높은 비즈니스 영향 계정을 식별해야 합니다. Microsoft Fabric 컨트롤 플레인, 관리 평면 및 데이터/워크로드 평면에서 권한 있는/관리 계정 수를 제한합니다. 직접 또는 간접 관리 액세스 권한으로 모든 역할을 보호해야 합니다. 작업별 권한(예: 관리자 API에 대한 SPN 읽기 전용 액세스)과 함께 PIM(Privileged Identity Management) 및 서비스 주체를 사용하는 것이 좋습니다. 용량 및 작업 영역 관리자에게 설정을 위임할 때 신중하고 조심하십시오.
책임: 고객
PA-2: 사용자 계정 및 권한에 대한 상주 액세스 방지 [N/A]
지침: 해당/A
PA-3: ID 및 자격의 수명 주기 관리
지침: 자동화된 프로세스 또는 기타 적합한 기술 제어를 사용하여 테넌트 및 해당 항목에 대한 액세스 권한을 모니터링하고 관리합니다.
책임: 고객
PA-4: 정기적으로 사용자 액세스 검토 및 조정
지침: Microsoft Fabric 서비스 관리자는 활동 또는 Microsoft 365 감사 로그에 따라 사용자 지정 보고서를 사용하여 테넌트 수준에서 모든 패브릭 리소스의 사용량을 분석할 수 있습니다. REST API 또는 PowerShell cmdlet을 사용하여 활동을 다운로드할 수 있습니다. 날짜 범위, 사용자 및 활동 유형별로 활동 데이터를 필터링할 수도 있습니다.
활동 로그에 액세스하려면 다음 요구 사항을 충족해야 합니다.
전역 관리자 또는 패브릭 서비스 테넌트 관리자여야 합니다.
Power BI Management cmdlet을 로컬로 설치했거나 Azure Cloud Shell에서 Power BI Management cmdlet을 사용합니다.
이러한 요구 사항이 충족되면 아래 지침에 따라 Fabric 내에서 사용자 활동을 추적할 수 있습니다.
정기적인 사용자 액세스 검토를 수행하여 사용자 및 비즈니스 기능에 따라 사용 권한이 적절하게 설정되었는지 확인합니다.
책임: 고객
PA-5: 긴급 액세스 설정 [N/A]
지침: 해당/A
PA-6: 권한 있는 액세스 워크스테이션 사용
지침: 보안이 유지되고 격리된 워크스테이션은 관리자, 개발자 및 중요한 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. Microsoft Fabric 관리와 관련된 관리 작업에는 매우 안전한 사용자 워크스테이션 및/또는 Azure Bastion을 사용합니다. Microsoft Entra ID, Microsoft Defender ATP(Advanced Threat Protection) 및/또는 Microsoft Intune을 사용하여 관리 작업을 위한 안전하고 관리되는 사용자 워크스테이션을 배포합니다. 보안 워크스테이션은 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리 및 네트워크 액세스를 포함하여 보안 구성을 적용하도록 중앙에서 관리할 수 있습니다.
조건부 액세스 정책을 사용하여 허용된 IP 범위의 규격 디바이스에서만 높은 권한의 로그인을 적용합니다.
권한이 있는 액세스 워크스테이션에 대한 이해
책임: 고객
PA-7: 충분한 관리(최소 권한) 원칙을 따릅니다.
지침: 세분화된 수준에서 권한을 관리하기에 충분한 관리(최소 권한) 원칙을 따릅니다. RBAC(역할 기반 액세스 제어)와 같은 기능을 사용하여 역할 할당을 통해 리소스 액세스를 관리합니다. PA-3에서 사용 권한 모델을 참조하세요.
책임: 고객
PA-8 클라우드 공급자 지원에 대한 액세스 프로세스 확인
지침: 공급업체 지원 요청을 요청하고 승인하기 위한 승인 프로세스 및 액세스 경로를 설정하고 보안 채널을 통해 데이터에 대한 임시 액세스를 설정합니다. Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 Microsoft에서 수행한 각 데이터 액세스 요청을 검토하고 승인하거나 거부합니다.
책임: 고객
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크 - 데이터 보호 | Microsoft Learn
DP-1: 중요한 데이터 검색, 분류 및 레이블 지정
지침: Microsoft Fabric 항목에 대한 Microsoft Purview Information Protection의 민감도 레이블을 사용하여 무단 데이터 액세스 및 누출로부터 중요한 콘텐츠를 보호합니다. Microsoft Purview Information Protection의 민감도 레이블을 사용하여 Microsoft Fabric 서비스의 보고서, 대시보드, 데이터 세트, 데이터 흐름 및 기타 항목을 분류하고 레이블을 지정하고 Microsoft Fabric에서 콘텐츠를 Excel, PowerPoint 및 PDF 파일과 같은 레이블을 지원하는 파일 형식으로 내보낼 때 중요한 콘텐츠를 무단 데이터 액세스 및 누출로부터 보호합니다.
책임: 고객
DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링
지침: Microsoft Purview 데이터 손실 방지 정책을 사용하여 중요한 데이터의 업로드를 검색하고 자동 위험 수정 문제를 트리거합니다.
DP-3: 전송 중인 중요한 데이터 암호화
지침: HTTP 트래픽에 대해 Microsoft Fabric 리소스에 연결하는 모든 클라이언트 및 데이터 원본이 TLS v1.2 이상과 협상할 수 있는지 확인합니다.
책임: 고객
DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정
지침: Microsoft Fabric은 미사용 및 전송 중인 모든 데이터를 암호화합니다. 기본적으로 Microsoft Fabric은 Microsoft 관리형 키를 사용하여 데이터를 암호화합니다.
책임: Microsoft
DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
지침: 규정 준수에 필요한 경우 고객 관리형 키 옵션이 필요한 사용 사례 및 서비스 범위를 정의합니다. Microsoft Fabric 서비스에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다. 조직은 프리미엄 용량의 작업 영역에서 호스트하는 가져온 시맨틱 모델에 대해 정지 상태 데이터 암호화를 위해 자체 키를 사용하도록 선택할 수 있습니다.
책임: 고객
DP-6: 보안 키 관리 프로세스 사용
지침: 키 생성, 배포 및 스토리지에 보안 키 자격 증명 모음 서비스를 사용합니다. 적용 가능한 표준에 필요한 경우 및 키 사용 중지 또는 손상이 있는 경우 정의된 일정에 따라 키를 회전하고 해지합니다.
참고: Power BI BYOK는 AKV Premium으로의 HSM 키 가져오기를 지원합니다.
책임: 고객
DP-7: 보안 인증서 관리 프로세스 사용 [N/A]
지침: 해당/A
DP-8: 키 및 인증서 리포지토리의 보안 보장 [N/A]
지침: 해당/A
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크 - Asset Management | Microsoft Learn
AM-1: 자산 인벤토리 및 위험 추적
지침: SaaS 서비스로서 하드웨어 및 디바이스의 물리적 인벤토리는 Microsoft에서 모니터링합니다. 패브릭 리소스 모니터링을 위해 패브릭 스캐너 API를 사용하여 조직의 패브릭 항목에 대한 메타데이터 검사를 설정합니다.
책임: 공유
AM-2: 승인된 서비스만 사용
지침: Azure 정책을 사용하여 패브릭 용량을 프로비전할 수 있는 사용자를 제어합니다. 사용자가 테넌트에서 만들고 액세스할 수 있는 워크로드를 감사하고 제한하여 승인된 Microsoft Fabric 워크로드만 테넌트에서 사용할 수 있는지 확인합니다. 이 수준의 제어를 제공하는 테넌트, 용량 또는 작업 영역 관리자 위임 컨트롤의 조합을 사용합니다.
책임: 고객
AM-3: 자산 수명 주기 관리의 보안 보장
지침: 잠재적으로 높은 영향을 주는 수정을 위해 자산 수명 주기 관리 프로세스를 처리하는 보안 정책/프로세스를 설정하거나 업데이트합니다. 이러한 수정에는 Microsoft Fabric 테넌트, 용량 및 작업 영역에 대한 액세스, 데이터 민감도 수준, 네트워크 구성 및 관리 권한 할당에 대한 변경 내용이 포함됩니다.
더 이상 필요하지 않은 경우 Microsoft Fabric 리소스를 식별하고 제거합니다.
책임: 고객
AM-4: 자산 관리에 대한 액세스 제한
지침: 테넌트, 작업 영역 및 아티팩트에 사용자 권한을 할당할 때 최소 권한 원칙을 사용합니다. 높은 권한이 있는 역할이 있는 사용자 수가 제한되어 있는지 확인합니다. Microsoft Fabric 테넌트의 항목을 실수로 또는 악의적으로 수정하지 않도록 사용자의 Microsoft Fabric 관리 기능에 대한 액세스를 제한합니다.
Microsoft Fabric 관리자란 무엇인가요? - Microsoft Fabric | Microsoft Learn
Microsoft Fabric의 작업 영역 역할 - Microsoft Fabric | Microsoft Learn
책임: 고객
AM-5: 가상 머신에서 승인된 애플리케이션만 사용 [N/A]
지침: 해당/A
로깅 및 위협 탐지
자세한 내용은 Microsoft 클라우드 보안 벤치마크 - 로깅 및 위협 감지 | Microsoft Learn
LT-1: 위협 탐지 기능 사용하도록 설정
지침: 위협 탐지 시나리오를 지원하려면 알려진 모든 알려진 리소스 유형과 예상 위협 및 변칙을 모니터링합니다. 거짓 긍정을 줄이기 위해 로그 데이터, 에이전트 또는 기타 데이터 원본에서 고품질 경고를 추출하도록 경고 필터링 및 분석 규칙을 구성합니다. Microsoft Fabric 테넌트에 대한 활동 및 Microsoft 365 로깅은 기본적으로 사용하도록 설정됩니다.
책임: 고객
LT-2: Azure ID 및 액세스 관리에 대한 위협 탐지 사용
지침: 사용자 지정 위협 탐지를 설정하는 데 사용할 수 있는 모든 로그를 Microsoft Fabric에서 SIEM으로 전달합니다. 또한 Power BI에서 Microsoft Defender for Cloud Apps 컨트롤을 사용하고, Microsoft Defender for Cloud Apps 컨트롤 사용 가이드를 따라 변칙 탐지를 활성화하세요.
책임: 고객
LT-3: 보안 조사를 위한 로깅 사용하도록 설정
지침: Microsoft Fabric의 활동 및 감사 로그는 기본적으로 사용하도록 설정됩니다. 고부가가치 자산에 대해 작업 영역 수준에서 사용 가능하고 구성할 수 있는 추가 로깅 및 모니터링 옵션이 있습니다.
책임: 고객
LT-4: 보안 조사를 위해 네트워크 로깅 사용하도록 설정
지침: Microsoft Fabric은 완전히 관리되는 SaaS 제품이며 기본 네트워크 구성 및 로깅은 Microsoft의 책임입니다. Private Links를 활용하는 고객의 경우 구성할 수 있는 일부 로깅 및 모니터링을 사용할 수 있습니다.
책임: 공유
LT-5: 보안 로그 관리 및 분석 중앙 집중화
지침: Microsoft Fabric은 Power BI 활동 로그와 통합 감사 로그의 두 위치에서 로그를 중앙 집중화합니다. 이러한 로그는 모두 Microsoft Fabric 감사 데이터의 전체 복사본을 포함하지만 아래에 요약된 대로 몇 가지 주요 차이점이 있습니다.
통합 감사 로그:
Power BI 및 Microsoft Fabric 감사 이벤트 외에도 SharePoint Online, Exchange Online, Dynamics 365 및 기타 서비스의 이벤트를 포함합니다.
전역 관리자 및 감사자와 같이 보기 전용 감사 로그 또는 감사 로그 사용 권한이 있는 사용자만 액세스할 수 있습니다.
전역 관리자 및 감사자는 Microsoft Defender XDR 포털 및 Microsoft Purview 포털을 사용하여 통합 감사 로그를 검색할 수 있습니다.
전역 관리자 및 감사자는 Microsoft 365 관리 API 및 cmdlet을 사용하여 감사 로그 항목을 다운로드할 수 있습니다.
감사 데이터를 180일 동안 유지합니다.
테넌트가 다른 Azure 지역으로 이동되더라도 감사 데이터를 유지합니다.
Power BI 활동 로그:
Microsoft Fabric 및 Power BI 감사 이벤트만 포함합니다.
전역 관리자 및 Microsoft Fabric 서비스 관리자는 액세스할 수 있습니다.
전역 관리자 및 Microsoft Fabric 서비스 관리자는 Power BI REST API 및 관리 cmdlet을 사용하여 활동 로그 항목을 다운로드할 수 있습니다.
활동 데이터를 30일 동안 유지합니다.
테넌트를 다른 Azure 지역으로 이동할 때는 활동 데이터를 유지하지 않습니다.
자세한 내용은 다음 참조 문서를 참조하세요.
책임: 고객
LT-6: 로그 스토리지 보존 구성
지침: 규정 준수, 규정 및 비즈니스 요구 사항에 따라 감사 로그에 대한 스토리지 보존 정책을 구성합니다.
책임: 고객
LT-7: 승인된 시간 동기화 원본 사용
지침: Microsoft Fabric은 사용자 고유의 시간 동기화 원본 구성을 지원하지 않습니다. Microsoft Fabric 서비스는 Microsoft 시간 동기화 원본을 사용하며 구성을 위해 고객에게 노출되지 않습니다.
책임: Microsoft
인시던트 대응
Microsoft 클라우드 보안 벤치마크 - 인시던트 대응 | Microsoft Learn
IR-1: 준비 - 인시던트 대응 계획 및 처리 프로세스 업데이트
지침: Microsoft Fabric에서 인시던트 처리를 포함하도록 조직의 인시던트 대응 프로세스를 업데이트합니다. 사용된 Microsoft Fabric 워크로드 및 Microsoft Fabric을 사용하는 애플리케이션에 따라 인시던트 대응 계획 및 플레이북을 사용자 지정하여 클라우드 환경에서 인시던트에 대응하는 데 사용할 수 있는지 확인합니다.
책임: 고객
IR-2: 준비 - 인시던트 알림 설정
지침: 클라우드용 Microsoft Defender에서 보안 인시던트 연락처 정보를 설정합니다. 이 연락처 정보는 Microsoft 보안 대응 센터(MSRC)가 불법적이거나 권한이 없는 당사자가 데이터에 액세스한 것을 발견한 경우 Microsoft에서 사용자에게 연락하는 데 사용됩니다. 인시던트 대응 요구 사항에 따라 다양한 Azure 서비스에서 인시던트 경고 및 알림을 사용자 지정할 수 있는 옵션도 있습니다.
책임: 고객
IR-3: 탐지 및 분석 – 고품질 경고를 기반으로 인시던트 만들기
지침: 클라우드용 Microsoft Defender는 여러 Azure 자산에서 고품질 경고를 제공합니다. 클라우드용 Microsoft Defender 데이터 커넥터를 사용하여 경고를 Microsoft Sentinel로 스트리밍할 수 있습니다. Microsoft Sentinel을 사용하면 조사를 위해 인시던트를 자동으로 생성하는 고급 경고 규칙을 만들 수 있습니다.
내보내기 기능을 사용하여 Microsoft Fabric 및 기타 Azure 리소스에 대한 위험을 식별하는 데 도움이 되는 클라우드용 Microsoft Defender 경고 및 권장 사항을 내보냅니다. 수동으로 또는 지속적인 방식으로 경고 및 권장 사항을 내보냅니다.
책임: 고객
IR-4: 검색 및 분석 – 인시던트 조사
지침: 기본적으로 Microsoft Fabric 활동 및 감사 로그에 액세스하고 사용하도록 설정하는 방법을 이해합니다. 고부가가치 자산에 대해 선택적 로깅을 사용하도록 설정합니다(LT-3 참조). 로그를 Microsoft Sentinel로 내보내는 것이 좋습니다. Microsoft Fabric이 통합하는 서비스(예: Microsoft Entra ID)에서 제공하는 로그를 활용합니다. 참고: 활동 로그에서 Power BI 또는 Fabric에 대한 사용자 로그인은 추적하지 않습니다. 감사 로그는 서비스 로그인을 캡처합니다. 레코드 유형 범주는 서로 다릅니다(예: Power BI 및 Microsoft Fabric 이벤트에 PowerBIAudit를 사용하고 AzureActiveDirectoryStsLogon을 사용하여 서비스 로그인 추적).
책임: 고객
IR-5: 탐지 및 분석 – 인시던트 우선 순위 지정
지침: 클라우드용 Microsoft Defender는 각 경고에 심각도를 할당하여 먼저 조사해야 하는 경고의 우선 순위를 지정하는 데 도움이 됩니다. 심각도는 Microsoft Defender for Cloud가 경고를 발행하는 데 사용되는 분석 또는 검색에 얼마나 확신하는지, 그리고 경고로 이어진 활동 뒤에 악의적인 의도가 있었다는 신뢰 수준을 기반으로 합니다.
마찬가지로 Microsoft Sentinel은 분석 규칙에 따라 할당된 심각도 및 기타 세부 정보를 사용하여 경고 및 인시던트를 만듭니다. 분석 규칙 템플릿을 사용하고 인시던트 우선 순위를 지원하는 조직의 요구에 따라 규칙을 사용자 지정합니다. Microsoft Sentinel의 자동화 규칙을 사용하여 위협 대응을 관리하고 오케스트레이션하여 분류할 인시던트 태그 지정을 포함하여 보안 작업의 팀 효율성과 효율성을 최대화합니다.
책임: 고객
IR-6: 방지, 제거 및 복구 - 인시던트 처리 자동화
지침: Microsoft Defender for Cloud 및 Microsoft Sentinel의 워크플로 자동화 기능을 사용하여 자동으로 작업을 트리거하거나 플레이북을 실행하여 들어오는 보안 경고에 응답합니다. 플레이북은 알림 보내기, 계정 비활성화 및 문제가 있는 네트워크 격리와 같은 작업을 수행합니다.
Azure 구현 및 추가 컨텍스트:
Microsoft Sentinel 자동화된 위협 대응 설정
책임: 고객
IR-7: 인시던트 후 활동 - 배운 교훈을 수행하고 증거를 유지합니다.
지침: 학습된 작업의 결과를 사용하여 인시던트 대응 계획, 플레이북(예: Microsoft Sentinel 플레이북)을 업데이트하고, 결과를 환경에 다시 통합하여(예: 로깅의 간격을 해결하기 위해 로깅 및 위협 탐지) Microsoft Fabric에서 인시던트를 감지, 대응 및 처리하는 향후 기능을 개선합니다.
변경 불가능한 보존을 위해 Azure Storage 계정과 같은 스토리지의 로그와 같은 "검색 및 분석 - 인시던트 단계 조사" 중에 수집된 증거를 유지합니다.
책임: 고객
보안 태세 및 취약성 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크 - 자세 및 취약성 관리 | Microsoft Learn
PV-1: 보안 구성 정의 및 설정
지침: Microsoft Fabric Microsoft Cloud Security Benchmark 기준을 사용하여 각 워크로드에 대한 구성 기준을 정의합니다. Microsoft Fabric 리소스에서 필요할 수 있는 보안 제어 및 구성을 이해하려면 Microsoft Fabric 보안 설명서를 참조하세요.
책임: 고객
PV-2: 보안 구성 감사 및 적용
지침: Microsoft Defender for Cloud를 사용하여 Microsoft Fabric Azure 리소스의 구성을 감사하고 적용하도록 Azure Policy를 구성합니다. 리소스에서 구성 편차가 감지되면 Azure Monitor를 사용하여 경고를 만듭니다.
Azure Policy(예: [거부] 규칙을 사용하여 Azure 리소스에 보안 구성 적용)
Azure Policy에서 지원하지 않는 리소스 구성 감사 및 적용의 경우 사용자 지정 스크립트를 작성하거나 타사 도구를 사용하여 구성 감사 및 적용을 구현해야 할 수 있습니다. 관리자 REST API를 사용하여 Microsoft Fabric 인스턴스를 모니터링합니다.
책임: 고객
PV-3: 컴퓨팅 리소스에 대한 보안 구성 정의 및 설정
지침: 권한 있는 직원만 Spark 작업과 같은 Microsoft Fabric 컴퓨팅 리소스를 프로비전, 관리 및 액세스할 수 있는지 확인합니다. 그렇지 않은 경우 Microsoft Fabric은 완전히 관리되는 SaaS 제품이며, 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 보호 및 관리합니다.
책임: 공유
PV-4: 컴퓨팅 리소스에 대한 보안 구성 감사 및 적용
지침: Microsoft Fabric은 완전히 관리되는 SaaS 제품이며, 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 보호 및 관리합니다.
책임: Microsoft
PV-5: 취약성 평가 수행
지침: Microsoft 보안 팀, 타사 공급업체 및 엔지니어링 팀은 인증 표준 및 SDL 사례 요구 사항에 따라 Microsoft Fabric 제품 및 서비스에 대한 정기적인 엄격한 취약성 테스트 및 평가를 수행합니다. 고객은 고정된 일정 또는 주문형으로 모든 계층에서 Microsoft Fabric 리소스에 대한 자체 취약성 평가를 수행할 수 있습니다.
책임: Microsoft
PV-6: 취약성을 신속하고 자동으로 수정
지침: Microsoft Fabric은 완전히 관리되는 SaaS 제품이며, 서비스의 기본 컴퓨팅 리소스는 Microsoft에서 검사하고 관리합니다.
책임: Microsoft
PV-7: 정기적인 레드 팀 작업 수행
지침: 필요에 따라 Microsoft Fabric 리소스의 구현 및 사용에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정합니다. Microsoft Fabric을 제공하는 완전 관리형 SaaS는 정기적인 침투 테스트를 수행합니다. 그러나 고객 구현은 고객이 보호할 책임이 있습니다.
Microsoft 클라우드 침투 테스트 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft 관리형 클라우드 인프라, 서비스 및 애플리케이션에 대한 Microsoft의 Red Teaming 및 라이브 사이트 침투 테스트 전략 및 실행을 사용합니다.
책임: 공유
엔드포인트 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크 - 엔드포인트 보안을 참조하세요. | Microsoft Learn
지침: Microsoft Fabric은 고객이 EDR(엔드포인트 검색 및 응답) 보호를 구성해야 하는 고객 관련 컴퓨팅 리소스를 배포하지 않습니다. Microsoft Fabric의 기본 인프라는 맬웨어 방지 및 EDR 처리를 포함하는 Microsoft에서 처리합니다.
자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.
책임: Microsoft
백업 및 복구
자세한 내용은 Microsoft 클라우드 보안 벤치마크 - 백업 및 복구 | Microsoft Learn
BR-1: 자동화된 정기 백업 보장
지침: Power BI는 기본 제공된 완전 관리형 서비스입니다. 고부가가치 Power BI 자산에 사용할 수 있는 추가 백업 옵션이 있습니다. 광범위한 Microsoft Fabric 백업 옵션도 사용할 수 있습니다. Microsoft Fabric의 안정성 | Microsoft Learn.
Fabric은 OneLake 내부 및 외부에 저장된 데이터 및 프로세스의 백업 및 재해 복구를 위한 환경별 지침을 제공합니다.
데이터가 OneLake에 저장되는 경우: Fabric은 OneLake에 저장된 데이터에 대해 지역 간 복제를 제공합니다. 고객은 지역 중복성 요구 사항에 따라 이 기능을 옵트인하거나 옵트아웃할 수 있습니다. 지역 재해 시나리오에서 Fabric은 특정 제한 사항과 함께 데이터 액세스를 보장합니다. 장애 조치(failover) 후 새 항목의 생성 또는 수정이 제한되지만, OneLake의 기존 데이터에 액세스할 수 있고 그대로 유지되도록 하는 데 중점을 두고 있습니다. Fabric은 데이터에 대한 복구 프로세스를 통해 고객을 안내하는 구조적 지침 집합을 제공합니다.
데이터가 OneLake 외부에 저장되는 경우: 고객은 OneLake 외부에 저장된 중요한 데이터와 프로세스를 재해 복구 계획에 부합하는 방식으로 다른 지역으로 복사해야 합니다.
Power BI에는 기본적으로 재해 복구가 포함되며 활성화가 필요하지 않습니다. Power BI는 Azure Storage 지역 중복 복제 및 Azure SQL 지역 중복 복제 를 사용하여 더 큰 가용성과 위험을 줄이기 위해 백업 인스턴스가 다른 지역에 존재하도록 합니다. 중단이 발생하는 동안 Power BI 항목(의미 체계 모델, 보고서, 대시보드)은 읽기 전용 모드에서 계속 액세스할 수 있으며 지속적인 분석 및 의사 결정을 지원합니다.
BR-2: 백업 및 복구 데이터 보호
지침: Power BI는 Microsoft에서 관리하는 기본 제공 BCDR이 있는 완전 관리형 서비스입니다. Fabric은 데이터에 대한 복구 프로세스를 통해 고객을 안내하는 구조적 지침 집합을 제공합니다.
책임: 공유
BR-3: 백업 모니터링
지침: Power BI는 Microsoft에서 관리하는 기본 제공 BCDR이 있는 완전 관리형 서비스입니다. 고객이 구성한 Power BI 및 Microsoft Fabric 항목 백업은 고객이 관리하고 모니터링해야 합니다.
책임: 공유
BR-4: 정기적으로 백업 테스트
지침: Power BI는 Microsoft에서 관리하는 기본 제공 BCDR이 있는 완전 관리형 서비스입니다. Microsoft 엔지니어링 팀은 정기적인 BCDR 테스트를 수행합니다. 고객은 BCDR 이벤트를 시뮬레이션하고 테넌트 데이터의 Microsoft 소유 백업을 테스트할 수 없습니다. 고객이 만들고 소유한 백업, 예를 들어 고객이 만든 의미 모델 백업과 Microsoft Fabric 항목 백업은 고객의 책임입니다.
책임: 공유