Azure Data Explorer에 대한 네트워크 보안
Azure Data Explorer 클러스터는 공용 URL을 사용하여 액세스할 수 있도록 설계되었습니다. 클러스터에 유효한 ID를 가진 모든 사용자는 모든 위치에서 액세스할 수 있습니다. 조직으로서 데이터 보안은 최우선 과제 중 하나일 수 있습니다. 따라서 클러스터에 대한 액세스를 제한하고 보호하거나 프라이빗 가상 네트워크를 통해서만 클러스터에 대한 액세스를 허용할 수 있습니다. 다음 옵션 중 하나를 사용하여 이 목표를 달성할 수 있습니다.
프라이빗 엔드포인트를 사용하여 클러스터에 대한 네트워크 액세스를 보호하는 것이 좋습니다. 이 옵션은 더 간단한 배포 프로세스와 가상 네트워크 변경에 대한 보다 강력한 유지 관리 오버헤드를 초래하는 가상 네트워크 주입에 비해 많은 이점이 있습니다.
다음 섹션에서는 프라이빗 엔드포인트 및 가상 네트워크 삽입을 사용하여 클러스터를 보호하는 방법을 설명합니다.
프라이빗 엔드포인트
프라이빗 엔드포인트는 가상 네트워크의 개인 IP 주소를 사용하는 네트워크 인터페이스입니다. 프라이빗 엔드포인트는 Azure Private Link에서 제공하는 클러스터에 비공개로 안전하게 연결합니다. 프라이빗 엔드포인트를 사용하도록 설정하면 서비스를 가상 네트워크로 가져올 수 있습니다.
클러스터를 프라이빗 엔드포인트에 성공적으로 배포하려면 개인 IP 주소 세트만 필요합니다.
참고
가상 네트워크에 삽입되는 클러스터에는 프라이빗 엔드포인트가 지원되지 않습니다.
가상 네트워크 삽입
Warning
Virtual Network 삽입은 2025년 2월 1일까지 Azure Data Explorer에 대해 사용 중지됩니다. 사용 중단에 대한 자세한 내용은 Azure Data Explorer에 대한 Virtual Network 삽입 사용 중단을 참조하세요.
가상 네트워크 주입을 사용하면 클러스터를 가상 네트워크에 직접 배포할 수 있습니다. 클러스터는 가상 네트워크 내에서 VPN 게이트웨이 또는 온-프레미스 네트워크에서 Azure ExpressRoute를 통해 비공개로 액세스할 수 있습니다. 클러스터를 가상 네트워크에 삽입하면 모든 트래픽을 관리할 수 있습니다. 여기에는 클러스터에 액세스하는 트래픽과 모든 데이터 수집 또는 내보내기가 포함됩니다. 또한 Microsoft가 관리 및 상태 모니터링을 위해 클러스터에 액세스할 수 있도록 허용할 책임이 있습니다.
클러스터를 가상 네트워크에 성공적으로 삽입하려면 다음 요구 사항을 충족하도록 가상 네트워크를 구성해야 합니다.
- 서비스를 사용하도록 설정하고 네트워크 의도 정책의 형태로 배포하기 위한 조건을 정의하려면 서브넷을 Microsoft.Kusto/clusters에 위임해야 합니다.
- 클러스터 사용량의 향후 증가를 지원하기 위해 서브넷의 크기를 잘 조정해야 합니다.
- 클러스터를 관리하고 정상 상태인지 확인하려면 두 개의 공용 IP 주소가 필요합니다.
- 필요에 따라 추가 방화벽 어플라이언스를 사용하여 네트워크를 보호하는 경우 클러스터가 나가는 트래픽에 대한 FQDN(정규화된 도메인 이름) 세트에 연결할 수 있도록 허용해야 합니다.
프라이빗 엔드포인트와 가상 네트워크 주입 비교
가상 네트워크 주입은 방화벽에서 FQDN 목록을 유지 관리하거나 제한된 환경에서 공용 IP 주소를 배포하는 것과 같은 구현 세부 사항의 결과로 높은 유지 관리 오버헤드로 이어질 수 있습니다. 따라서 프라이빗 엔드포인트를 사용하여 클러스터에 연결하는 것이 좋습니다.
다음 표에서는 가상 네트워크에 삽입되거나 프라이빗 엔드포인트를 사용하여 보안이 유지되는 클러스터를 기반으로 네트워크 보안 관련 기능을 구현하는 방법을 보여줍니다.
| 기능 | 프라이빗 엔드포인트 | 가상 네트워크 삽입 |
|---|---|---|
| 인바운드 IP 주소 필터링 | 공용 액세스 관리 | 인바운드 네트워크 보안 그룹 규칙 만들기 |
| 다른 서비스(Storage, Event Hubs 등)에 대한 전이적 액세스 | 관리형 프라이빗 엔드포인트 만들기 | 리소스에 대한 프라이빗 엔드포인트 만들기 |
| 아웃바운드 액세스 제한 | 설명선 정책 또는 AllowedFQDNList 사용 | 서브넷의 필터 발신 트래픽에 가상 어플라이언스 사용 |