Microsoft Fabric의 보안
Microsoft Fabric은 사용자가 데이터를 가져오고, 만들며, 공유하고, 시각화할 수 있는 SaaS(Software as a Service) 플랫폼입니다.
SaaS 서비스인 Fabric은 전체 플랫폼에 대한 완전한 보안 패키지를 제공합니다. Fabric은 보안 솔루션을 유지 관리하는 비용과 책임을 없애고, 이를 클라우드로 이전합니다. Fabric을 사용하면 Microsoft의 전문 지식과 리소스를 사용하여 데이터를 안전하게 유지하고, 취약성을 패치하며, 위협을 모니터링하고, 규정을 준수할 수 있습니다. 또한 Fabric을 사용하면 변화하는 요구 사항 및 수요에 따라 보안 설정을 관리, 제어 및 감사할 수 있습니다.
데이터를 클라우드로 가져와 Power BI, 데이터 팩터리 및 차세대 Synapse와 같은 다양한 분석 환경에서 사용할 때 Microsoft는 기본 제공 보안 및 안정성 기능을 통해 미사용 데이터와 전송 중인 데이터를 보호할 수 있습니다. 또한 Microsoft는 인프라 장애 또는 재해가 발생한 경우 데이터를 복구할 수 있도록 합니다.
다음은 Fabric 보안 특성입니다.
상시 가동 - Fabric과의 모든 상호 작용은 기본값으로 암호화되고 Microsoft Entra ID를 사용하여 인증됩니다. Fabric 환경 간의 모든 통신은 Microsoft 백본 인터넷을 통해 이동합니다. 미사용 데이터는 자동으로 암호화 및 저장됩니다. Fabric에 대한 액세스를 규제하기 위해 프라이빗 링크 또는 Entra 조건부 액세스와 같은 추가 보안 기능을 추가할 수 있습니다. Fabric은 신뢰할 수 있는 액세스를 사용하여 방화벽 또는 프라이빗 네트워크로 보호되는 데이터에 연결할 수도 있습니다.
규정 준수 – Fabric에는 다중 지역 용량을 통해 데이터 주권을 기본적으로 지원합니다. Fabric은 다양한 규정 준수 표준도 지원합니다.
거버넌스 지원 - Fabric에는 데이터 계보, 정보 보호 레이블, 데이터 손실 방지 및 purview 통합과 같은 거버넌스 도구 세트가 함께 제공됩니다.
구성 가능 - 조직 정책에 따라 Fabric 보안을 구성할 수 있습니다.
개선 - Microsoft는 새로운 기능과 제어를 추가하여 Fabric 보안을 지속적으로 개선합니다.
인증
Microsoft Fabric은 Azure, Microsoft Office, OneDrive 및 Dynamics 등의 다른 많은 Microsoft 서비스와 같이 SaaS 플랫폼입니다. Fabric을 비롯한 이러한 모든 Microsoft SaaS 서비스는 Microsoft Entra ID를 클라우드 기반 ID 공급자로 사용합니다. Microsoft Entra ID를 사용하면 사용자가 모든 디바이스 및 네트워크에서 이러한 서비스에 빠르고 쉽게 연결할 수 있습니다. Fabric에 연결하기 위한 모든 요청은 Microsoft Entra ID를 사용하여 인증되므로 사용자는 회사 사무실, 집 또는 원격 위치에서 Fabric에 안전하게 연결할 수 있습니다.
네트워크 보안 이해
Fabric은 Microsoft 클라우드에서 실행되는 SaaS 서비스입니다. 일부 시나리오에는 Fabric 플랫폼 외부의 데이터에 연결하는 작업이 포함됩니다. 예를 들어 자체 네트워크에서 보고서를 보거나 다른 서비스에 있는 데이터에 연결합니다. Fabric 내 상호 작용은 내부 Microsoft 네트워크를 사용하며 서비스 외부의 트래픽은 기본값으로 보호됩니다. 자세한 내용과 설명은 전송 중인 데이터를 참조하세요.
인바운드 네트워크 보안
조직에서는 회사의 요구 사항에 따라 Fabric으로 들어오는 네트워크 트래픽을 제한하고 보호할 수 있습니다. Microsoft Entra ID 조건부 액세스 및 프라이빗 링크를 사용하면 조직에 적합한 인바운드 솔루션을 선택할 수 있습니다.
Microsoft Entra ID 조건부 액세스
Microsoft Entra ID는 모든 연결에서 Fabric에 대한 액세스를 보호할 수 있는 조건부 액세스를 Fabric에 제공합니다. 다음은 조건부 액세스를 사용하여 적용할 수 있는 몇 가지 액세스 제한 예제입니다.
Fabric에 대한 인바운드 연결의 IP 목록을 정의합니다.
MFA(다단계 인증)를 사용합니다.
원래 국가 또는 디바이스 유형과 같은 매개 변수에 따라 트래픽을 제한합니다.
조건부 액세스를 구성하려면 Fabric의 조건부 액세스를 참조하세요.
Fabric의 인증에 대한 자세한 내용은 Microsoft Fabric 보안 기본 사항을 참조하세요.
프라이빗 링크
프라이빗 링크를 사용하면 Azure VNet(가상 네트워크)에서 Fabric 테넌트로 액세스를 제한하고 모든 공용 액세스를 차단하여 Fabric에 대한 보안 연결을 지원합니다. 이렇게 하면 해당 VNet의 네트워크 트래픽만 테넌트에서 Notebook, Lakehouses, 데이터 웨어하우스 및 데이터베이스와 같은 패브릭 기능에 액세스할 수 있습니다.
Fabric에서 프라이빗 링크를 구성하려면 프라이빗 링크 설정 및 사용을 참조하세요.
아웃바운드 네트워크 보안
Fabric에는 외부 데이터 원본에 연결하고 해당 데이터를 안전한 방식으로 Fabric에 가져올 수 있는 도구 세트가 있습니다. 이 섹션에서는 보안 네트워크에서 Fabric으로 데이터를 가져오고 연결하는 다양한 방법을 나열합니다.
신뢰할 수 있는 작업 영역 액세스
Fabric을 사용하면 방화벽이 설정된 Azure Data Lake Gen 2 계정에 안전하게 액세스할 수 있습니다. 작업 영역 ID가 있는 Fabric 작업 영역은 선택한 가상 네트워크 및 IP 주소에서 공용 네트워크 액세스를 사용하는 Azure Data Lake Gen 2 계정에 안전하게 액세스할 수 있습니다. ADLS Gen 2 액세스를 특정 Fabric 작업 영역으로 제한할 수 있습니다. 자세한 내용은 신뢰할 수 있는 작업 영역 액세스를 참조하세요.
참고 항목
Fabric 작업 영역 ID는 Fabric F SKU 용량과 연결된 작업 영역에서만 만들 수 있습니다. Fabric 구독 구입에 대한 자세한 내용은 Microsoft Fabric 구독 구입을 참조하세요.
관리형 프라이빗 엔드포인트
관리형 프라이빗 엔드포인트는 공용 네트워크에 노출하거나 복잡한 네트워크 구성을 요구하지 않고도 Azure SQL 데이터베이스와 같은 데이터 원본에 대한 보안 연결을 허용합니다.
관리형 가상 네트워크
관리형 가상 네트워크는 각 Fabric 작업 영역에 대해 Microsoft Fabric에서 만들고 관리하는 가상 네트워크입니다. 관리형 가상 네트워크는 Fabric Spark 워크로드에 대한 네트워크 격리를 제공합니다. 즉, 컴퓨팅 클러스터는 전용 네트워크에 배포되고 더 이상 공유 가상 네트워크에 속하지 않습니다.
또한 관리형 가상 네트워크는 관리형 프라이빗 엔드포인트와 같은 네트워크 보안 기능과 Apache Spark를 사용하는 Microsoft Fabric의 데이터 엔지니어링 및 데이터 과학 항목에 대한 프라이빗 링크 지원을 사용합니다.
데이터 게이트웨이
온-프레미스 데이터 원본 또는 방화벽 또는 가상 네트워크로 보호할 수 있는 데이터 원본에 연결하려면 다음 옵션 중 하나를 사용할 수 있습니다.
온-프레미스 데이터 게이트웨이 - 게이트웨이는 온-프레미스 데이터 원본과 Fabric 간 브리지 역할을 합니다. 게이트웨이는 네트워크 내 서버에 설치되며, Fabric은 포트를 열거나 네트워크를 변경할 필요 없이 보안 채널을 통해 데이터 원본에 연결할 수 있습니다.
VNet(가상 네트워크) 데이터 게이트웨이 - VNet Gateway를 사용하면 온-프레미스 데이터 게이트웨이 없이도 Microsoft 클라우드 서비스에서 VNet 내 Azure 데이터 서비스에 연결할 수 있습니다.
기존 서비스에서 OneLake에 연결
기존 Azure PaaS(Platform as a Service) 서비스를 사용하여 Fabric에 연결할 수 있습니다. Synapse 및 ADF(Azure Data Factory)의 경우 AZURE IR(Integration Runtime) 또는 Azure Data Factory 관리형 가상 네트워크를 사용할 수 있습니다. OneLake API를 사용하여 이러한 서비스 및 기타 서비스(예: 매핑 데이터 흐름, Synapse Spark 클러스터, Databricks Spark 클러스터 및 Azure HDInsight)에 연결할 수도 있습니다.
Azure 서비스 태그
서비스 태그를 사용하여 Azure SQL VM(가상 머신), Azure SQL Managed Instance(MI), REST API와 같은 Azure 가상 네트워크에 배포된 데이터 원본에서 데이터 게이트웨이를 사용하지 않고도 데이터를 수집합니다. 서비스 태그를 사용하여 가상 네트워크 또는 Azure 방화벽에서 트래픽을 가져올 수도 있습니다. 예를 들어 서비스 태그는 다른 공용 인터넷 리소스에 액세스하지 못하도록 차단하면서 VM의 사용자가 SSMS에서 Fabric SQL 연결 문자열에 연결할 수 있도록 Fabric에 대한 아웃바운드 트래픽을 허용할 수 있습니다.
IP 허용 목록
Azure에 상주하지 않는 데이터가 있는 경우 조직의 네트워크에서 IP 허용 목록을 사용하여 Fabric에서 송수신하는 트래픽을 허용할 수 있습니다. IP 허용 목록은 온-프레미스 데이터 원본과 같은 서비스 태그를 지원하지 않는 데이터 원본에서 데이터를 가져와야 하는 경우에 유용합니다. 이러한 바로 가기를 사용하면 레이크하우스 SQL 분석 엔드포인트 또는 Direct Lake를 사용하여 OneLake에 데이터를 복사하지 않고도 데이터를 가져올 수 있습니다.
온-프레미스 서비스 태그에서 Fabric IP 목록을 가져올 수 있습니다. 목록은 JSON 파일로 사용하거나 REST API, PowerShell 및 CLI(Azure 명령줄 인터페이스)를 사용하여 프로그래밍 방식으로 사용할 수 있습니다.
보안 데이터
Fabric에서 OneLake에 저장된 모든 데이터는 미사용 시 암호화됩니다. 모든 미사용 데이터는 홈 지역에 저장하거나 선택한 원격 하위 지역의 용량 중 하나에 저장되므로 미사용 데이터의 주권 규정을 충족할 수 있습니다. 자세한 내용은 Microsoft Fabric 보안 기본 사항을 참조하세요.
여러 지역의 테넌트 이해
많은 조직이 전 세계적으로 비즈니스를 운영하고 있으므로 여러 Azure 지역에서 서비스가 필요합니다. 예를 들어 한 회사가 미국에 본사를 두고 호주와 같은 다른 지역에서 비즈니스를 운영할 수행할 수 있습니다. 지역 규정을 준수하기 위해 전 세계에서 운영되는 비즈니스에서는 데이터가 여러 하위 지역에 계속 저장된 상태로 남아 있는지 확인해야 합니다. Fabric에서는 이를 다중 지역이라고 합니다.
다중 지역 작업 영역에 할당된 쿼리 실행 레이어, 쿼리 캐시 및 항목 데이터는 해당 데이터가 생성된 Azure 지역에 그대로 남아 있습니다. 그러나 일부 메타데이터 및 처리는 테넌트의 홈 지역에 미사용 상태로 저장됩니다.
패브릭은 더 큰 Microsoft 에코시스템의 일부입니다. 조직에서 Azure, Microsoft 365 또는 Dynamics 365와 같은 다른 클라우드 구독 서비스를 이미 사용하고 있는 경우 패브릭은 동일한 Microsoft Entra 테넌트 내에서 작동합니다. 조직 도메인(예: contoso.com)은 Microsoft Entra ID와 연결됩니다. 모든 Microsoft 클라우드 서비스와 같습니다.
Fabric을 사용하면 여러 지역에 여러 용량이 있는 여러 테넌트를 사용할 때 여러 하위 지역에서 데이터를 안전하게 보호할 수 있습니다.
데이터 논리적 분리 - Fabric 플랫폼은 테넌트 간에 논리적 격리를 제공하여 데이터를 보호합니다.
데이터 주권 - 다중 지역 작업을 시작하려면 Fabric에 대한 Multi-Geo 지원 구성을 참조하세요.
데이터 액세스
Fabric은 작업 영역을 사용하여 데이터 액세스를 제어합니다. 작업 영역에서 데이터는 Fabric 항목의 형태로 표시되며, 작업 영역에 대한 액세스 권한을 부여하지 않는 한 사용자는 항목(데이터)을 보거나 사용할 수 없습니다. 작업 영역 및 항목 권한에 대한 자세한 내용은 권한 모델에서 확인할 수 있습니다.
작업 영역 역할
작업 영역 액세스는 아래 표에 나와 있습니다. 여기에는 작업 영역 역할과 Fabric 및 OneLake 보안이 포함됩니다. 시청자 역할이 있는 사용자는 SQL, DAX(Data Analysis Expressions) 또는 MDX(Multidimensional Expression) 쿼리를 실행할 수 있지만 Fabric 항목에 액세스하거나 Notebook을 실행할 수는 없습니다.
| 역할 | 작업 영역 액세스 | OneLake 액세스 |
|---|---|---|
| 관리자, 구성원 및 기여자 | 작업 영역의 모든 항목을 사용할 수 있음 | ✅ |
| 시청자 | 작업 영역의 모든 항목을 볼 수 있음 | ❌ |
항목 공유
작업 영역 역할이 없는 조직의 사용자와 Fabric 항목을 공유할 수 있습니다. 항목을 공유하면 제한된 액세스 권한이 부여되므로 사용자가 작업 영역의 공유 항목에만 액세스할 수 있습니다.
액세스 제한
RLS(행 수준 보안), CLS(열 수준 보안) 및 OLS(개체 수준 보안)를 사용하여 데이터에 대한 시청자 액세스를 제한할 수 있습니다. RLS, CLS 및 OLS를 사용하면 데이터의 특정 부분에 액세스할 수 있는 사용자 ID를 만들고, 이 사용자 ID가 액세스할 수 있는 항목만 반환하도록 SQL 결과를 제한할 수 있습니다.
DirectLake 데이터 세트에 RLS를 추가할 수도 있습니다. SQL 및 DAX 모두에 대한 보안을 정의하는 경우 DirectLake는 SQL에 RLS가 있는 테이블의 DirectQuery로 폴백됩니다. 이러한 경우 DAX 또는 MDX 결과는 사용자 ID로 제한됩니다.
DirectQuery 폴백 없이 RLS에서 DirectLake 데이터 세트를 사용하여 보고서를 노출하려면 Power BI의 앱 또는 직접 데이터 세트 공유를 사용합니다. Power BI의 앱을 사용하면 시청자 액세스 권한 없이 보고서에 대한 액세스 권한을 부여할 수 있습니다. 이러한 종류의 액세스는 사용자가 SQL을 사용할 수 없음을 의미합니다. DirectLake가 데이터를 읽을 수 있도록 하려면 데이터 원본 자격 증명을 SSO(Single Sign On)에서 레이크의 파일에 액세스할 수 있는 고정 ID로 전환해야 합니다.
데이터 보호
Fabric은 Microsoft Purview Information Protection의 민감도 레이블을 사용합니다. 중요한 정보를 보호하기 위해 Word, PowerPoint, Excel과 같은 Microsoft Office 앱에서 널리 사용되는 일반, 비밀 및 기밀과 같은 레이블이 있습니다. Fabric에서는 이러한 동일한 민감도 레이블을 사용하여 중요한 데이터가 포함된 항목을 분류할 수 있습니다. 그런 다음, 민감도 레이블은 데이터 원본에서 비즈니스 사용자까지 Fabric을 통해 이동하는 동안 항목에서 항목으로 데이터를 자동으로 따릅니다. 데이터를 PBIX, Excel, PowerPoint 및 PDF와 같은 지원되는 형식으로 내보낸 경우에도 민감도 레이블은 데이터를 따르므로, 데이터를 보호할 수 있습니다. 권한 있는 사용자만 파일을 열 수 있습니다. 자세한 내용은 Microsoft Fabric의 거버넌스 및 규정 준수를 참조하세요.
데이터를 규제, 보호 및 관리하는 데 도움이 되도록 Microsoft Purview를 사용할 수 있습니다. Microsoft Purview와 Fabric은 함께 작동하여 단일 위치인 Microsoft Purview 허브에서 데이터를 저장, 분석 및 규제할 수 있습니다.
데이터 복구
Fabric 데이터 복원력을 통해 재해가 발생한 경우 데이터의 가용성을 보장합니다. 또한 Fabric을 사용하면 재해 발생 시 데이터를 복구할 수 있습니다(재해 복구). 자세한 내용은 Microsoft Fabric의 안정성을 참조하세요.
Fabric 관리
Fabric의 관리자는 전체 조직에 대한 기능을 제어할 수 있습니다. Fabric을 사용하면 관리자 역할을 용량, 작업 영역 및 도메인에 위임할 수 있습니다. 적절한 사용자에게 관리자 책임을 위임함으로써 여러 주요 관리자가 조직 전체에서 일반 Fabric 설정을 제어하는 동시에 특정 영역과 관련된 설정은 다른 관리자가 담당하는 모델을 구현할 수 있습니다.
관리자는 다양한 도구를 사용하여 용량 사용량과 같은 주요 Fabric 측면을 모니터링할 수도 있습니다.
감사 로그
감사 로그를 보려면 Microsoft Fabric에서 사용자 활동 추적의 지침을 따릅니다. 작업 목록을 참조하여 감사 로그에서 검색할 수 있는 활동을 확인할 수도 있습니다.
기능
Microsoft Fabric에서 사용할 수 있는 몇 가지 보안 기능 목록은 이 섹션을 검토하세요.
| 기능 | 설명 |
|---|---|
| 조건부 액세스 | Microsoft Entra ID를 사용하여 앱 보호 |
| Lockbox | Microsoft 엔지니어가 데이터에 액세스하는 방법 제어 |
| Fabric 및 OneLake 보안 | Fabric 및 OneLake에서 데이터를 보호하는 방법을 알아봅니다. |
| 복원력 | Azure 가용성 영역에서 안정성 및 지역 복원력 |
| 서비스 태그 | Azure SQL MI(Managed Instance)를 사용하여 Microsoft Fabric에서 들어오는 연결을 허용합니다. |