다음을 통해 공유


Microsoft Fabric 보안 기본 사항

이 문서에서는 시스템의 주요 보안 흐름이 작동하는 방식을 설명하여 Microsoft Fabric 보안 아키텍처의 포괄적인 관점을 보여줍니다. 또한 사용자가 Fabric을 사용하여 인증하는 방법, 데이터 연결이 설정되는 방법 및 Fabric이 서비스를 통해 데이터를 저장하고 이동하는 방법도 설명합니다.

이 문서는 Fabric 관리자를 기본 대상으로 합니다. 이 관리자는 조직에서 Fabric 감독을 담당합니다. 여기에는 보안 관리자, 네트워크 관리자, Azure 관리자, 작업 영역 관리자 및 데이터베이스 관리자를 비롯한 엔터프라이즈 보안 이해 관계자와 관련됩니다.

Fabric 플랫폼

Microsoft Fabric은 데이터 이동에서 데이터 과학, 실시간 분석 및 BI(비즈니스 인텔리전스)에 이르기까지 모든 것을 다루는 기업용 올인원 분석 솔루션입니다. Fabric 플랫폼은 모든 Fabric 환경에 공통 기능을 지원하는 일련의 서비스 및 인프라 구성 요소로 구성됩니다. 전체적으로 원활하게 함께 작동하도록 디자인된 포괄적인 분석 환경 세트를 제공합니다. 환경에는 Lakehouse, Data Factory, Fabric 데이터 엔지니어ing, Fabric Data Warehouse, Power BI 등이 있습니다.

Fabric을 사용하면 여러 공급업체의 다양한 서비스를 통합할 필요가 없습니다. 대신 분석 요구 사항을 단순화하도록 디자인된 사용하기 쉬운 고도로 통합된 엔드투엔드 제품을 활용할 수 있습니다. Fabric은 처음부터 중요한 자산을 보호하기 위해 디자인되었습니다.

Fabric 플랫폼은 안정성, 단순성 및 확장성을 지원하는 SaaS(Software as a Service) 기반에 빌드됩니다. Microsoft의 퍼블릭 클라우드 컴퓨팅 플랫폼인 Azure에 빌드됩니다. 일반적으로 많은 데이터 제품은 PaaS(Platform as a Service)이며, 서비스 관리자가 각 서비스에 대한 보안, 규정 준수 및 거버넌스를 설정해야 합니다. Fabric은 SaaS 서비스이므로 이러한 많은 기능이 SaaS 플랫폼에 빌드되어 있고 설치 또는 최소 설정이 필요하지 않습니다.

아키텍처 다이어그램

아래 아키텍처 다이어그램은 Fabric 보안 아키텍처의 개략적인 표현을 보여줍니다.

다이어그램은 Fabric 보안 아키텍처의 개략적인 표현을 보여줍니다.

아키텍처 다이어그램은 다음과 같은 개념을 보여줍니다.

  1. 사용자는 브라우저 또는 클라이언트 애플리케이션(예: Power BI Desktop)을 사용하여 Fabric 서비스에 연결합니다.

  2. 인증은 사용자 또는 서비스 주체를 인증하고 Fabric에 대한 액세스를 관리하는 클라우드 기반 ID 및 액세스 관리 서비스인 Microsoft Entra ID(이전의 Azure Active Directory)에 의해 처리됩니다.

  3. 웹 프런트 엔드는 사용자 요청을 수신하고 로그인을 용이하게 합니다. 또한 요청을 라우팅하고 프런트 엔드 콘텐츠를 사용자에게 제공합니다.

  4. 메타데이터 플랫폼은 고객 데이터를 포함할 수 있는 테넌트 메타데이터를 저장합니다. Fabric 서비스는 권한 부여 정보를 검색하고 사용자 요청에 권한을 부여하고 유효성을 검사하기 위해 요청 시 이 플랫폼을 쿼리합니다. 테넌트 홈 지역에 있습니다.

  5. 백 엔드 용량 플랫폼은 컴퓨팅 작업 및 고객 데이터 저장을 담당하며 용량 하위 지역에 있습니다. 특정 Fabric 환경에 필요한 경우 해당 하위 지역의 Azure 핵심 서비스를 활용합니다.

Fabric 플랫폼 인프라 서비스는 다중 테넌트입니다. 테넌트는 서로 논리적으로 격리되어 있습니다. 이러한 서비스는 복잡한 사용자 입력을 처리하지 않으며 모두 관리 코드로 작성됩니다. 플랫폼 서비스는 사용자가 작성한 코드를 실행하지 않습니다.

메타데이터 플랫폼과 백 엔드 용량 플랫폼은 각각 보안 가상 네트워크에서 실행됩니다. 이러한 네트워크는 고객 및 기타 서비스에서 요청을 받을 수 있도록 일련의 보안 엔드포인트를 인터넷에 노출합니다. 이러한 엔드포인트 외에도 서비스는 공용 인터넷의 액세스를 차단하는 네트워크 보안 규칙에 의해 보호됩니다. 또한 가상 네트워크 내 통신은 각 내부 서비스의 권한에 따라 제한됩니다.

애플리케이션 레이어는 테넌트가 자신의 테넌트 내에서만 데이터에 액세스할 수 있도록 합니다.

인증

Fabric은 Microsoft Entra ID를 사용하여 사용자(또는 서비스 주체)를 인증합니다. 인증되면 사용자는 Microsoft Entra ID로부터 액세스 토큰을 받습니다. Fabric은 이러한 토큰을 사용하여 사용자의 컨텍스트에서 작업을 수행합니다.

Microsoft Entra ID의 핵심 기능은 조건부 액세스입니다. 조건부 액세스를 사용하면 다단계 인증을 적용하여 테넌트가 안전하게 보호되므로 Microsoft Intune에 등록된 디바이스만 특정 서비스에 액세스할 수 있습니다. 조건부 액세스는 사용자 위치 및 IP 범위도 제한합니다.

Authorization

모든 Fabric 권한은 메타데이터 플랫폼에 의해 중앙에 저장됩니다. Fabric 서비스는 권한 부여 정보를 검색하고 사용자 요청에 권한을 부여하고 유효성을 검사하기 위해 요청 시 메타데이터 플랫폼을 쿼리합니다.

성능상의 이유로 Fabric은 때때로 권한 부여 정보를 서명된 토큰으로 캡슐화합니다. 서명된 토큰은 백 엔드 용량 플랫폼에서만 발급되며 액세스 토큰, 권한 부여 정보 및 기타 메타데이터를 포함합니다.

데이터 보존

Fabric에서 테넌트는 해당 하위 지역의 데이터 보존 요구 사항을 충족하는 단일 하위 지역에 있는 홈 메타데이터 플랫폼 클러스터에 할당됩니다. 고객 데이터를 포함할 수 있는 테넌트 메타데이터는 이 클러스터에 저장됩니다.

고객은 작업 영역의 위치를 제어할 수 있습니다. 해당 하위 지역의 용량에서 작업 영역을 통해 명시적으로 Fabric 평가판, Power BI Pro 또는 사용자 단위 Power BI Premium 라이선스 모드를 사용하여 암시적으로 메타데이터 플랫폼 클러스터와 동일한 지역에서 작업 영역을 찾을 수 있습니다. 후자의 경우 모든 고객 데이터는 이 단일 지역에 저장되고 처리됩니다. 자세한 내용은 Microsoft Fabric 개념 및 라이선스를 참조하세요.

고객은 홈 지역이 아닌 지역에 있는 다중 지역 용량을 만들 수도 있습니다. 이 경우 컴퓨팅 및 스토리지(OneLake 및 환경별 스토리지 포함)는 다중 지역에 있지만 테넌트 메타데이터는 홈 지역에 남아 있습니다. 고객 데이터는 이러한 두 지역에서만 저장 및 처리됩니다. 자세한 내용은 Fabric에 대한 다중 지역 지원 구성을 참조하세요.

데이터 처리

이 섹션에서는 Fabric에서 데이터 처리가 작동하는 방식에 대한 개요를 제공합니다. 여기에서는 고객 데이터의 스토리지, 처리 및 이동을 설명합니다.

미사용 데이터

모든 Fabric 데이터 저장소는 Microsoft 관리형 키를 사용하여 미사용 시 암호화됩니다. Fabric 데이터에는 고객 데이터와 시스템 데이터 및 메타데이터가 포함됩니다.

암호화되지 않은 상태로 메모리에서 데이터를 처리할 수 있지만 암호화되지 않은 상태로는 영구 스토리지에서 지속되지 않습니다.

전송 중 데이터

Microsoft 서비스 간에 전송 중인 데이터는 항상 TLS 1.2 이상으로 암호화됩니다. Fabric은 가능하면 TLS 1.3으로 협상합니다. Microsoft 서비스 간 트래픽은 항상 Microsoft 글로벌 네트워크를 통해 라우팅합니다.

또한 인바운드 Fabric 통신은 가능하면 TLS 1.2를 적용하고 TLS 1.3으로 협상합니다. 고객 소유 인프라에 대한 아웃바운드 Fabric 통신은 보안 프로토콜을 선호하지만, 최신 프로토콜이 지원되지 않는 경우 이전의 비보안 프로토콜(TLS 1.0 포함)로 폴백될 수 있습니다.

원격

원격 분석은 Fabric 플랫폼의 성능과 안정성을 유지하는 데 사용됩니다. Fabric 플랫폼 원격 분석 저장소는 EU(유럽 연합)를 포함하여 Fabric을 사용할 수 있는 모든 하위 지역의 고객을 위한 데이터 및 개인 정보 보호 규정을 준수하도록 디자인되었습니다. 자세한 내용은 EU 데이터 경계 서비스를 참조하세요.

OneLake

OneLake는 전체 조직에 대한 하나의 통합 논리 데이터 레이크이며 모든 Fabric 테넌트에서 자동으로 프로비전됩니다. Azure에 빌드되었으며 정형 또는 비정형 형식의 파일을 저장할 수 있습니다. 또한 웨어하우스 및 레이크하우스와 같은 모든 Fabric 항목은 해당 데이터를 OneLake에 자동으로 저장합니다.

OneLake는 동일한 ADLS Gen2(Azure Data Lake Storage Gen2) API 및 SDK를 지원하므로 Azure Databricks를 비롯한 기존 ADLS Gen2 애플리케이션과 호환됩니다.

자세한 내용은 Fabric 및 OneLake 보안을 참조하세요.

작업 영역 보안

작업 영역은 OneLake에 저장된 데이터의 기본 보안 경계를 나타냅니다. 각 작업 영역은 팀이 데이터에 대해 협업할 수 있는 단일 도메인 또는 프로젝트 영역을 나타냅니다. 작업 영역 역할에 사용자를 할당하여 작업 영역에서 보안을 관리합니다.

자세한 내용은 Fabric 및 OneLake 보안(작업 영역 보안)을 참조하세요.

항목 보안

작업 영역 내에서 웨어하우스 및 레이크하우스와 같은 Fabric 항목에 직접 권한을 할당할 수 있습니다. 항목 보안은 전체 작업 영역에 대한 액세스 권한을 부여하지 않고 개별 Fabric 항목에 대한 액세스 권한을 유연하게 부여할 수 있습니다. 사용자는 항목을 공유하거나 항목의 권한을 관리하여 항목 별 권한을 설정할 수 있습니다.

규정 준수 리소스

Fabric 서비스에는 Microsoft Online Services 사용 약관Microsoft 엔터프라이즈 개인정보처리방침이 적용됩니다.

데이터 처리 위치는 Microsoft Online Services TermsData Protection Addendum데이터 처리 위치 조항을 참조하세요.

규정 준수 정보와 관련하여 Microsoft Trust Center는 Fabric에 대한 기본 리소스입니다. 규정 준수에 대한 자세한 내용은 Microsoft 규정 준수 오퍼링을 참조하세요.

Fabric 서비스는 보안 보증 및 규정 준수 요구 사항을 지원하는 엄격한 보안 사례 모음으로 구성된 SDL(Security Development Lifecycle)을 따릅니다. SDL은 개발 비용을 낮추면서 소프트웨어의 취약성 수와 심각도를 줄임으로써 개발자가 더욱 안전한 소프트웨어를 구축할 수 있도록 지원합니다. 자세한 내용은 Microsoft 보안 개발 수명 주기 관행을 참조하세요.

Fabric 보안에 대한 자세한 내용은 다음 리소스를 참조하세요.