다음을 통해 공유

Azure의 SAP에 대한 데이터 통합 보안

  • 아티클

이 문서는 "SAP 확장 및 혁신 데이터: 모범 사례" 문서 시리즈의 일부입니다.

이 문서에서는 SAP 확장 시나리오에 대한 보안 계층을 설명하고, 각 구성 요소에 대한 분석을 제공하며, 고려 사항 및 권장 사항을 제공합니다. Azure Data Factory 관리 리소스는 Azure 보안 인프라를 기반으로 하며 Azure 보안 조치를 사용합니다.

데이터 수집 계층은 다음으로 구성됩니다.

  • SAP S/4HANA, SAP BW/4HANA 또는 SAP HANA Enterprise Edition
  • Azure Data Lake Storage Gen2
  • Data Factory
  • SHIR(자체 호스팅 통합 런타임) VM(가상 머신)

다음 다이어그램은 Azure에서 SAP 데이터 통합 보안의 예제 아키텍처입니다. 예제 아키텍처를 시작점으로 사용합니다.

Diagram that shows the SAP data integration security architecture on Azure.이 아키텍처의 Visio 파일을 다운로드합니다.

고려 사항 및 권장 지침

다음 섹션에서는 Azure의 SAP에 대한 데이터 통합 보안 고려 사항 및 권장 사항을 설명합니다.

SAP 보안

SAP 보안 가이드에는 SAP 제품에 대한 자세한 지침이 있습니다.

Data Lake Storage Gen2 보안

Data Lake Storage Gen2 보안에 대한 다음 고려 사항을 참조하세요.

Azure Storage의 데이터에 대한 액세스 권한 부여

Storage 계정의 데이터에 액세스하는 경우 클라이언트 애플리케이션은 스토리지에 대한 HTTP/HTTPS를 통해 요청합니다. 기본적으로 Storage의 모든 리소스는 안전하며 보안 리소스에 대한 모든 요청에는 권한이 부여되어야 합니다. 스토리지는 데이터에 대한 액세스 권한을 부여하기 위한 다양한 옵션을 제공합니다. Microsoft Entra 자격 증명을 사용하여 최적의 보안 및 단순성을 위해 데이터에 대한 요청을 승인하는 것이 좋습니다. 자세한 내용은 액세스 키 보호를 참조하세요.

RBAC(역할 기반 액세스 제어)

RBAC를 사용하여 스토리지 계정의 Blob, 큐 및 테이블 리소스에 대한 보안 주체의 권한을 관리합니다. 또한 Azure ABAC(특성 기반 액세스 제어)를 사용하여 조건을 Blob 리소스에 대한 Azure 역할 할당에 추가할 수 있습니다. 자세한 내용은 Azure 역할 할당 조건을 사용하여 Azure Blob Storage에 대한 액세스 권한 부여를 참조 하세요.

Blob Storage 보안

데이터 보호, ID 및 액세스 관리, 네트워킹, 로깅 및 모니터링과 같은 Blob Storage에 대한 보안 권장 사항을 고려합니다. 자세한 내용은 Blob Storage에 대한 보안 권장 사항을 참조하세요.

Data Lake Storage Gen2 액세스 제어

Data Lake Storage Gen2는 다음 권한 부여 전략을 지원합니다.

  • RBAC
  • ACL(액세스 제어 목록)
  • 보안 그룹
  • 공유 키 및 SAS(공유 액세스 서명) 권한 부여

Data Lake Storage Gen2에는 두 가지 종류의 ACL이 있습니다.

  • 액세스 ACL 은 개체에 대한 액세스를 제어합니다. 파일 및 디렉터리에는 액세스 ACL이 있습니다.
  • 기본 ACL 은 디렉터리에 연결된 ACL의 템플릿입니다. 해당 디렉터리에서 만든 자식 항목에 대한 액세스 ACL을 결정합니다. 파일에는 기본 ACL이 없습니다.

ACL 항목에서 개별 사용자 또는 서비스 주체를 직접 할당하지 마세요. 항상 Microsoft Entra 보안 그룹을 할당된 보안 주체로 사용합니다. 이 방법을 사용하면 전체 디렉터리 구조에 ACL을 다시 적용하지 않고 사용자 또는 서비스 주체를 추가하고 제거할 수 있습니다. 대신 적절한 Microsoft Entra 보안 그룹에서 사용자 및 서비스 주체를 추가하거나 제거할 수 있습니다. 자세한 내용은 액세스 제어 목록을 참조 하세요.

Data Factory 보안

Data Factory 보안에 대한 다음 고려 사항을 참조하세요.

데이터 이동

클라우드 시나리오와 하이브리드 시나리오의 두 가지 데이터 이동 시나리오가 있습니다. 데이터 이동 보안에 대한 자세한 내용은 Data Factory의 데이터 이동에 대한 보안 고려 사항을 참조 하세요.

  • 클라우드 시나리오에서 원본 및 대상은 인터넷을 통해 공개적으로 액세스할 수 있습니다. 원본 또는 대상은 Azure Storage, Azure Synapse Analytics, Azure SQL Database, Data Lake Storage Gen2, Amazon S3, Amazon Redshift, SaaS(Software-as-a-Service) 서비스(예: Salesforce) 또는 FTP(파일 전송 프로토콜) 및 OData(개방형 데이터 프로토콜)와 같은 웹 프로토콜과 같은 관리형 클라우드 스토리지 서비스일 수 있습니다. 지원되는 데이터 저장소 및 형식으로 지원되는 데이터 원본의 전체 목록을 찾습니다.

  • 하이브리드 시나리오에서 원본 또는 대상은 방화벽 뒤에 있거나 온-프레미스 회사 네트워크 내에 있습니다. 또는 데이터 저장소가 프라이빗 네트워크 또는 가상 네트워크에 있으며 공개적으로 액세스할 수 없습니다. 이 경우 데이터 저장소는 일반적으로 원본입니다. 하이브리드 시나리오에는 가상 머신에서 호스트되는 데이터베이스 서버도 포함됩니다.

데이터 액세스 전략

조직에서는 인터넷을 통한 무단 액세스로부터 온-프레미스 또는 클라우드/SaaS 데이터 저장소와 같은 데이터 저장소를 보호하려고 합니다. 다음을 사용하여 클라우드 데이터 저장소에서 액세스를 제어할 수 있습니다.

  • 가상 네트워크에서 프라이빗 엔드포인트 사용 데이터 원본으로의 프라이빗 링크입니다.
  • IP 주소를 사용하여 연결을 제한하는 방화벽 규칙입니다.
  • 사용자가 자신의 ID를 증명해야 하는 인증 전략입니다.
  • 사용자를 특정 작업 및 데이터로 제한하는 권한 부여 전략입니다.

자세한 내용은 데이터 액세스 전략을 참조하세요.

Azure Key Vault에 자격 증명 저장.

Key Vault에 데이터 저장소 및 컴퓨팅에 대한 자격 증명을 저장할 수 있습니다. Data Factory는 데이터 저장소 또는 컴퓨팅을 사용하는 활동이 실행되면 자격 증명을 검색합니다. 자세한 내용은 Key Vault에 자격 증명 저장 및 파이프라인 작업에서 Key Vault 비밀 사용을 참조하세요.

자격 증명 암호화

Data Factory에서 온-프레미스 데이터 저장소에 대한 자격 증명을 암호화하는 것이 좋습니다. SHIR이 있는 컴퓨터에서 중요한 정보가 있는 연결된 서비스와 같은 온-프레미스 데이터 저장소에 대한 자격 증명을 암호화하고 저장할 수 있습니다. 자세한 내용은 Data Factory의 온-프레미스 데이터 저장소에 대한 자격 증명 암호화를 참조 하세요.

관리 ID 사용

관리 ID를 사용하는 경우 자격 증명을 관리할 필요가 없습니다. 관리 ID는 Microsoft Entra 인증을 지원하는 리소스에 연결할 때 서비스 인스턴스에 대한 ID를 제공합니다. 지원되는 관리 ID에는 시스템 할당 관리 ID와 사용자 할당 관리 ID의 두 가지 유형이 있습니다. 자세한 내용은 Data Factory의 관리 ID를 참조 하세요.

고객 관리형 키로 암호화

보안 정책에 따라 고객 관리형 키를 사용하여 Data Factory를 암호화하는 것이 좋습니다. 자세한 내용은 고객 관리형 키를 사용하여 Data Factory 암호화를 참조 하세요.

관리형 가상 네트워크 사용

Data Factory 관리형 가상 네트워크 내에서 Azure 통합 런타임을 만들면 통합 런타임이 관리형 가상 네트워크로 프로비전됩니다. 프라이빗 엔드포인트를 사용하여 지원되는 데이터 저장소에 안전하게 연결합니다. 프라이빗 엔드포인트는 특정 가상 네트워크 및 서브넷 내의 개인 IP 주소입니다. 관리되는 가상 네트워크는 Data Factory 지역과 동일한 지역에서만 지원됩니다. 자세한 내용은 Data Factory 관리형 가상 네트워크를 참조 하세요.

Private Link를 사용하는 경우 프라이빗 엔드포인트를 통해 Azure의 PaaS(Platform-as-a-Service) 배포에 연결할 수 있습니다. Private Link를 지원하는 PaaS 배포 목록은 Data Factory용 Private Link를 참조하세요.

SHIR VM 연결 및 보안

SHIR VM 연결 및 보안에 대한 다음 고려 사항을 참조하세요.

온-프레미스 데이터 저장소 자격 증명

온-프레미스 데이터 저장소 자격 증명을 Data Factory에 저장하거나 Key Vault에서 런타임 중에 Data Factory를 사용하여 자격 증명을 참조할 수 있습니다. Data Factory에 자격 증명을 저장하는 경우 항상 SHIR에서 자격 증명을 암호화합니다. 자세한 내용은 온-프레미스 데이터 저장소 자격 증명을 참조하세요.

네트워크 구성에 따라 SHIR 설정

하이브리드 데이터 이동의 경우 다음 표에서는 원본 위치와 대상 위치의 다양한 조합을 기반으로 네트워크 및 SHIR 구성 권장 사항을 요약합니다.

Source 대상 네트워크 구성 통합 런타임 설정
온-프레미스 가상 네트워크에 배포된 가상 머신 및 클라우드 서비스 IPSec VPN(지점 및 사이트 간 또는 사이트 간) 가상 네트워크의 Azure 가상 머신에 SHIR 설치
온-프레미스 가상 네트워크에 배포된 가상 머신 및 클라우드 서비스 Azure ExpressRoute(프라이빗 피어링) 가상 네트워크의 Azure 가상 머신에 SHIR 설치
온-프레미스 공개 엔드포인트가 있는 Azure 기반 서비스 ExpressRoute(Microsoft 피어링) 온-프레미스 또는 Azure 가상 머신에 SHIR 설치

ExpressRoute 또는 IPSec VPN

다음 이미지는 SHIR을 사용하여 Azure Virtual Network와 ExpressRoute 또는 IPSec VPN을 사용하여 온-프레미스 데이터베이스와 Azure 서비스 간에 데이터를 이동하는 방법을 보여 줍니다.

IP 주소에 대한 방화벽 구성 및 허용 목록 설정은 Data Factory의 데이터 이동에 대한 보안 고려 사항을 참조 하세요.

이 다이어그램은 ExpressRoute 프라이빗 피어링을 사용하여 데이터를 이동하는 방법을 보여줍니다.

Diagram that shows ExpressRoute on Azure.

이 다이어그램은 IPSec VPN을 사용하여 데이터를 이동하는 방법을 보여줍니다.

Diagram that shows IPSec VPN on Azure.

방화벽에서 SHIR 컴퓨터의 IP 주소가 허용되고 적절하게 구성되었는지 확인합니다. 다음 클라우드 데이터 저장소에서는 SHIR 컴퓨터의 IP 주소를 허용해야 합니다. 기본적으로 이러한 데이터 저장소 중 일부는 허용 목록이 필요하지 않을 수 있습니다.

  • SQL 데이터베이스
  • Azure Synapse Analytics
  • Data Lake Storage Gen2
  • Azure Cosmos DB
  • Amazon Redshift

자세한 내용은 Data Factory의 데이터 이동 및 SHIR 만들기 및 구성에 대한 보안 고려 사항을 참조하세요.

Azure Databricks 보안

Azure Databricks 보안에 대한 다음 고려 사항을 참조하세요.

Azure Databricks에 대한 Azure 보안 기준

Azure Databricks에 대한 Azure 보안 기준을 고려합니다. 이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0의 지침을 Azure Databricks에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다.

Azure Synapse Analytics 보안

Azure Synapse Analytics는 데이터의 엔드 투 엔드 보호를 위한 다중 계층 보안 아키텍처를 구현합니다. 5개의 계층이 있습니다.

  • 데이터 보호 는 중요한 데이터를 식별하고 분류하며 미사용 및 이동 중인 데이터를 암호화합니다. 데이터 검색 및 분류, 거버넌스 및 암호화 권장 사항은 데이터 보호를 참조하세요.

  • 액세스 제어 는 데이터와 상호 작용할 수 있는 사용자의 권리를 결정합니다. Azure Synapse Analytics는 데이터에 액세스할 수 있는 사용자를 제어하는 다양한 기능을 지원합니다. 자세한 내용은 액세스 제어를 참조하세요.

  • 인증 은 사용자 및 애플리케이션의 ID를 증명합니다. Azure SQL 감사는 인증 활동을 기록할 수 있으며 IT 관리자는 의심스러운 위치에서 로그인을 시도할 때마다 보고서 및 경고를 구성할 수 있습니다. 자세한 내용은 인증을 참조 하세요.

  • 네트워크 보안 은 프라이빗 엔드포인트 및 가상 프라이빗 네트워크를 사용하여 네트워크 트래픽을 격리합니다. Azure Synapse Analytics를 보호하는 여러 네트워크 보안 옵션이 있습니다. 자세한 내용은 네트워크 보안을 참조하세요.

  • 위협 탐지 는 비정상적인 액세스 위치, SQL 삽입 공격 및 인증 공격과 같은 잠재적인 보안 위협을 식별합니다. 자세한 내용은 위협 검색을 참조하세요.

데이터 프레젠테이션 계층

Power BI를 포함하여 보안 기능을 사용하여 프레젠테이션 계층을 방어하는 방법을 고려합니다. 자세한 내용은 Power BI 보안Power BI 구현 계획: 보안을 참조하세요.

다음 단계