인바운드 트래픽 보호
인바운드 트래픽은 인터넷에서 Fabric으로 들어오는 트래픽입니다. 이 문서에서는 Microsoft Fabric, 프라이빗 링크 및 Entra 조건부 액세스에서 인바운드 트래픽을 보호하는 두 가지 방법의 차이점을 설명합니다. 이 문서를 사용하여 조직에 가장 적합한 방법을 결정합니다.
프라이빗 링크(옵션 1, 고객 Vnet) - Fabric은 가상 네트워크의 프라이빗 IP 주소를 사용합니다. 엔드포인트를 사용하면 네트워크의 사용자가 프라이빗 링크를 사용하여 프라이빗 IP 주소를 통해 Fabric과 통신할 수 있습니다.
Entra 조건부 액세스 - (옵션 2, 사용자) - 사용자가 액세스를 인증하는 시점은 IP 주소, 위치 및 관리 디바이스를 포함할 수 있는 정책 세트에 따라 결정됩니다.
트래픽이 Fabric에 들어가면 Microsoft 365, OneDrive 및 Dynamics 365에서 사용하는 것과 동일한 인증 방법인 Microsoft Entra ID로 인증됩니다. Microsoft Entra ID 인증을 사용하면 사용자가 집, 원격 또는 회사 사무실 어디서든 모든 디바이스 및 네트워크에서 클라우드 애플리케이션에 안전하게 연결할 수 있습니다.
Fabric 백 엔드 플랫폼은 가상 네트워크로 보호되며, 보안 엔드포인트를 통해서가 아닌 공용 인터넷에서 직접 액세스할 수 없습니다. Fabric에서 트래픽을 보호하는 방법을 이해하려면 Fabric의 아키텍처 다이어그램을 검토합니다.
기본값으로 Fabric은 내부 Microsoft 백본 네트워크를 사용하는 환경 사이에서 통신합니다. Power BI 보고서가 OneLake에서 데이터를 로드하면 데이터가 내부 Microsoft 네트워크를 통과합니다. 이 구성은 프라이빗 네트워크를 통해 서로 연결하기 위해 여러 PaaS(Platform as a Service) 서비스를 설정해야 하는 방법과 다릅니다. 브라우저 또는 SSMS(SQL Server Management Studio) 및 Fabric과 같은 클라이언트 간 인바운드 통신은 TLS 1.2 프로토콜을 사용하고 가능한 경우 TLS 1.3로 협상합니다.
Fabric의 기본 보안 설정은 다음을 포함합니다.
모든 요청을 인증하는 데 사용되는 Microsoft Entra ID.
인증에 성공하면 요청은 보안 Microsoft 관리 엔드포인트를 통해 적절한 백 엔드 서비스로 라우팅됩니다.
Fabric 환경 간 내부 트래픽은 Microsoft 백본을 통해 라우팅됩니다.
클라이언트와 Fabric 간 트래픽은 적어도 TLS(전송 계층 보안) 1.2 프로토콜을 사용하여 암호화됩니다.
Entra 조건부 액세스
Fabric과의 모든 상호 작용은 Microsoft Entra ID를 사용하여 인증됩니다. Microsoft Entra ID는 제로 트러스트 보안 모델을 기반으로 합니다. 이때 조직의 네트워크 경계 내에서 완전히 보호되지 않는다고 가정합니다. 제로 트러스트는 네트워크를 보안 경계로 보는 대신, ID를 보안의 기본 경계로 인식합니다.
인증 시 액세스를 확인하려면 사용자의 ID, 디바이스 컨텍스트, 위치, 네트워크 및 애플리케이션 민감도에 따라 조건부 액세스 정책을 정의하고 적용할 수 있습니다. 예를 들어 Fabric에서는 데이터 및 리소스에 액세스하기 위해 다단계 인증, 디바이스 규정 준수 또는 승인된 앱을 요구할 수 있습니다. 위험한 위치, 디바이스 또는 네트워크에서 액세스를 차단하거나 제한할 수도 있습니다.
조건부 액세스 정책을 사용하면 사용자 생산성과 환경을 손상시키지 않고 데이터 및 애플리케이션을 보호할 수 있습니다. 다음은 조건부 액세스를 사용하여 적용할 수 있는 몇 가지 액세스 제한 예제입니다.
Fabric에 대한 인바운드 연결의 IP 목록을 정의합니다.
MFA(다단계 인증)를 사용합니다.
원래 국가 또는 디바이스 유형과 같은 매개 변수에 따라 트래픽을 제한합니다.
Fabric은 사용자 이름 및 비밀번호를 사용하는 계정 키 또는 SQL 인증과 같은 다른 인증 방법을 지원하지 않습니다.
조건부 액세스 구성
Fabric에서 조건부 액세스를 구성하려면 Power BI, Azure Data Explorer, Azure SQL 데이터베이스 및 Azure Storage와 같은 여러 Fabric 관련 Azure 서비스를 선택해야 합니다.
참고 항목
Fabric 및 관련 Azure 서비스에 정책이 적용되므로 일부 고객에게는 조건부 액세스가 너무 광범위할 수 있습니다.
라이선싱
조건부 액세스에는 Microsoft Entra ID P1 라이선스가 필요합니다. 이러한 라이선스는 Microsoft 365와 같은 다른 Microsoft 제품과 공유되므로 조직에서 이미 사용할 수 있는 경우가 종종 있습니다. 요구 사항에 적합한 라이선스를 찾으려면 라이선스 요구 사항을 참조하세요.
신뢰할 수 있는 액세스
Fabric은 데이터가 내부에 저장된 경우에도 프라이빗 네트워크에 상주할 필요가 없습니다. PaaS 서비스를 사용하는 경우 스토리지 계정과 동일한 프라이빗 네트워크에 컴퓨팅을 배치하는 것이 일반적입니다. 그러나 Fabric에서는 필요하지 않습니다. Fabric에 대한 신뢰할 수 있는 액세스를 사용하려면 온-프레미스 데이터 게이트웨이, 신뢰할 수 있는 작업 영역 액세스 및 관리형 프라이빗 엔드포인트와 같은 기능을 사용할 수 있습니다. 자세한 내용은 Microsoft Fabric 내 보안을 참조하세요.
프라이빗 링크
프라이빗 엔드포인트를 통해 서비스에는 가상 네트워크의 프라이빗 IP 주소가 할당됩니다. 엔드포인트를 사용하면 네트워크의 다른 리소스가 프라이빗 IP 주소를 통해 서비스와 통신할 수 있습니다.
프라이빗 링크를 사용하여 서비스에서 서브넷 중 하나로 연결된 터널을 통해 프라이빗 채널이 만들어집니다. 외부 디바이스의 통신은 해당 IP 주소에서 해당 서브넷의 프라이빗 엔드포인트로, 터널을 통해 서비스로 이동합니다.
프라이빗 링크를 구현한 후 패브릭은 더 이상 공용 인터넷을 통해 액세스할 수 없습니다. Fabric에 액세스하려면 모든 사용자가 프라이빗 네트워크를 통해 연결해야 합니다. 프라이빗 네트워크는 브라우저에서 Power BI 보고서 조회 및 SSMS(SQL Server Management Studio)를 사용하여 SQL 연결 문자열(예: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com)에 연결 등 Fabric과의 모든 통신에 필요합니다.
온-프레미스 네트워크
온-프레미스 네트워크를 사용하는 경우 ExpressRoute 회로 또는 사이트 간 VPN을 사용하여 Azure VNet(가상 네트워크)으로 확장하여 프라이빗 연결을 통해 Fabric에 액세스할 수 있습니다.
대역폭
프라이빗 링크를 사용하면 Fabric으로 송신되는 모든 트래픽이 프라이빗 엔드포인트를 통과하여 이동하고 잠재적인 대역폭 문제를 일으킵니다. 사용자는 더 이상 해당 하위 지역에서 Fabric이 사용하는 이미지 .css 및 .html 파일과 같은 글로벌 분산 비데이타 관련 리소스를 로드할 수 없습니다. 이러한 리소스는 프라이빗 엔드포인트의 위치에서 로드됩니다. 예를 들어 미국의 프라이빗 엔드포인트가 있는 호주 사용자의 경우 트래픽이 먼저 미국으로 이동합니다. 이렇게 하면 로드 시간이 증가하고 성능이 저하될 수 있습니다.
비용
프라이빗 링크의 비용과 네트워크에서 프라이빗 연결을 허용하는 ExpressRoute 대역폭의 증가로 인해 조직에 비용이 추가될 수 있습니다.
고려 사항 및 제한 사항
프라이빗 링크를 사용하여 Fabric에서 공용 인터넷 쪽을 닫습니다. 따라서 더 많은 고려 사항과 제한 사항을 염두에 두어야 합니다.