Power BI 보안
Power BI 보안에 대한 자세한 내용은 Power BI Security 백서를 참조하세요.
Power BI 보안을 계획하려면 Power BI 구현 계획 보안 문서 시리즈를 참조하세요. Power BI 보안 백서의 콘텐츠를 확장합니다. Power BI 보안 백서에서는 인증, 데이터 보존 및 네트워크 격리 등의 주요 기술 항목을 중점적으로 다루지만, 보안 및 프라이버시와 관련된 의사결정 사항과 고려 사항을 제시하는 것을 주된 목표로 합니다.
Power BI 서비스는 Microsoft 클라우드 컴퓨팅 인프라 및 플랫폼인 Azure를 기반으로 합니다. Power BI 서비스 아키텍처는 다음 두 클러스터를 기반으로 합니다.
- WFE(웹 프런트 엔드) 클러스터. WFE 클러스터에서는 Power BI 서비스로의 초기 연결과 인증을 관리합니다.
- 백 엔드 클러스터. 백 엔드에서는 인증 이후의 모든 후속 사용자 상호 작용을 처리합니다. Power BI는 Microsoft Entra ID를 사용하여 사용자 ID를 저장하고 관리합니다. 또한 Microsoft Entra ID는 각각 Azure BLOB 및 Azure SQL Database를 사용하여 데이터 스토리지와 메타데이터를 관리합니다.
Power BI 아키텍처
WFE 클러스터는 Microsoft Entra ID를 사용하여 클라이언트를 인증하고 Power BI 서비스에 대한 후속 클라이언트 연결을 위한 토큰을 제공합니다. Power BI에서는 Azure Traffic Manager(Traffic Manager)를 사용하여 사용자 트래픽을 가장 가까운 데이터 센터로 전달합니다. Traffic Manager는 정적 콘텐츠 및 파일에 연결하여 인증 및 다운로드하려는 클라이언트의 DNS 레코드를 통해 요청을 보냅니다. Power BI는 Azure CDN(Content Delivery Network)을 사용하여 지리적 로케일에 따라 필요한 고정 콘텐츠와 파일을 효율적으로 배포합니다.
백 엔드 클러스터는 인증된 클라이언트가 Power BI 서비스와 상호 작용하는 방식을 결정합니다. 백엔드 클러스터는 시각화, 사용자 대시보드, 의미 체계 모델, 보고서, 데이터 스토리지, 데이터 연결, 데이터 새로 고침 및 기타 Power BI 서비스의 상호 작용 측면을 관리합니다. 게이트웨이 역할은 사용자 요청과 Power BI 서비스 간의 게이트웨이로 작동합니다. 사용자는 게이트웨이 역할 이외의 역할과 직접적으로 상호 작용하지 않습니다. 결과적으로 Azure API Management에서 게이트웨이 역할을 처리합니다.
Important
Azure API Management 및 게이트웨이 역할만 퍼블릭 인터넷을 통해 액세스할 수 있습니다. 이 역할은 인증, 권한 부여, DDoS 방지, 제한, 부하 분산, 라우팅 및 기타 기능을 제공합니다.
데이터 스토리지 보안
Power BI에서는 두 개의 기본 리포지토리를 통해 데이터를 저장하고 관리합니다.
- 사용자가 업로드하는 데이터는 일반적으로 Azure Blob Storage로 전송됩니다.
- 시스템 자체에 대한 항목을 포함한 모든 메타데이터는 Azure SQL Database에 저장됩니다.
백 엔드 클러스터 다이어그램에 표시된 점선은 점선 왼쪽에 표시된 사용자가 액세스할 수 있는 두 구성 요소 간의 경계를 명확히 보여 줍니다. 오른쪽에는 시스템에서만 액세스할 수 있는 역할이 표시되어 있습니다. 인증된 사용자가 Power BI 서비스에 연결하면 클라이언트의 연결과 요청은 게이트웨이 역할에서 수락 및 관리되며, 이후 사용자를 대신하여 Power BI 서비스의 나머지 부분과 상호 작용합니다. 예를 들어, 클라이언트가 대시보드 보기를 시도할 때 게이트웨이 역할이 해당 요청을 수락한 다음 개별적으로 프레젠테이션 역할에 요청을 보내 대시보드를 표시하기 위해 브라우저에서 필요로 하는 데이터를 검색합니다. 결국 Azure API Management에서 연결 및 클라이언트 요청을 처리합니다.
사용자 인증
Power BI는 Microsoft Entra ID를 사용하여 Power BI 서비스에 로그인하는 사용자를 인증합니다. 사용자가 보안 리소스에 액세스하려고 할 때마다 로그인 자격 증명이 필요합니다. 사용자는 Power BI 계정을 설정한 메일 주소를 사용하여 Power BI 서비스에 로그인합니다. Power BI는 유효 사용자 이름과 동일한 자격 증명을 사용하고 사용자가 데이터에 연결하려고 할 때마다 리소스에 전달합니다. 그러면 유효 사용자 이름이 사용자 계정 이름에 매핑되며, 인증이 적용되는 해당 Windows 도메인 계정으로 연결됩니다.
Power BI 로그인 시 업무용 메일 주소를 사용하는 조직의 경우(예: david@contoso.com
) 유효 사용자 이름을 UPN(사용자 계정 이름)에 간단히 매핑할 수 있습니다. 예를 들어, 업무용 이메일 주소를 사용하지 않은 조직의 경우 Microsoft Entra ID와 온-프레미스 자격 증명 간의 david@contoso.onmicrosoft.com
매핑이 제대로 작동하려면 디렉터리 동기화가 필요합니다.
Power BI의 플랫폼 보안에는 다중 테넌트 환경 보안, 네트워킹 보안 및 기타 Microsoft Entra ID 기반 보안 조치를 추가하는 기능도 포함됩니다.
데이터 및 서비스 보안
자세한 내용은 Microsoft 보안 센터 및 보안 센터에서 실행되는 제품 및 서비스를 참조하세요.
앞에서 설명한 대로 온-프레미스 AD 서버는 Power BI 로그인을 사용하여 자격 증명을 위해 UPN에 매핑합니다. 그러나 사용자는 반드시 공유하는 데이터의 민감도를 파악해야 합니다. 데이터 원본에 안전하게 연결한 다음 보고서, 대시보드 또는 의미 체계 모델을 다른 사용자와 공유하면 받는 사람에게 보고서에 대한 액세스 권한이 부여되며, 받는 사람은 데이터 원본에 로그인할 필요가 없습니다.
온-프레미스 데이터 게이트웨이를 통해 SQL Server Analysis Services로 연결한 경우에는 예외로 작용합니다. 대시보드는 Power BI에 캐시되지만 기본 보고서 또는 의미 체계 모델에 액세스하려 하면 보고서 또는 의미 체계 모델로 액세스를 시도하는 각 사용자에 대해 인증을 시작합니다. 또한 사용자에게 데이터에 액세스할 수 있는 충분한 자격 증명이 있는 경우에만 액세스 권한이 부여됩니다. 자세한 내용은 온-프레미스 데이터 게이트웨이 심층 분석을 참조하세요.
TLS 버전 사용 적용
네트워크 및 IT 관리자는 네트워크에서 보안 통신을 위해 현재 TLS(전송 계층 보안)를 사용하도록 요구 사항을 적용할 수 있습니다. Windows에서는 Microsoft Schannel 공급 기업을 통해 TLS 버전을 지원합니다. 자세한 내용은 TLS/SSL(Schannel SSP)의 프로토콜을 참조하세요.
이 적용은 관리 작업 시 레지스트리 키를 설정하여 구현됩니다. 적용과 관련된 자세한 내용은 AD FS용 SSL/TLS 프로토콜 및 암호 도구 모음 관리를 참조하세요.
Power BI Desktop 엔드포인트를 보호하려면 TLS(전송 계층 보안) 버전 1.2 이상이 필요합니다. TLS 1.2 이전 버전을 사용하는 웹 브라우저 및 기타 클라이언트 응용 프로그램은 연결할 수 없습니다. 최신 버전의 TLS가 필요한 경우 Power BI Desktop 해당 문서에 설명된 레지스트리 키 설정을 준수하고 해당 레지스트리 설정에 따라 허용되는 TLS의 버전이 있는 경우에만 요구 사항을 충족하는 연결을 만듭니다.
레지스트리 키를 설정하는 방법에 대한 자세한 내용은 TLS(전송 계층 보안) 레지스트리 설정을 참조하세요.