다음을 통해 공유

Microsoft Fabric 엔드투엔드 보안 시나리오

  • 아티클

보안은 중요한 데이터 또는 기밀 데이터와 관련된 경우 특히 데이터 분석 솔루션의 주요 측면입니다. 이러한 이유로 Microsoft Fabric은 미사용 및 전송 중인 데이터를 보호하고 사용자 및 애플리케이션에 대한 액세스 및 권한을 제어할 수 있는 포괄적인 보안 기능 세트를 제공합니다.

이 문서에서는 Fabric을 사용하여 자체 분석 솔루션을 자신 있게 빌드하는 데 도움이 되는 Fabric 보안 개념 및 기능을 알아봅니다.

배경

이 문서에서는 미국 의료 조직에서 일하는 데이터 엔지니어인 시나리오를 제공합니다. 조직은 전자 건강 기록, 실험실 결과, 보험 청구 및 웨어러블 디바이스를 비롯한 다양한 시스템에서 제공되는 환자 데이터를 수집하고 분석합니다.

브론즈, 실버, 골드의 세 개 레이어로 구성된 Fabric의 메달 기반 아키텍처를 사용하여 레이크하우스를 빌드할 계획입니다.

  • 브론즈 레이어는 데이터 원본에서 도착하는 원시 데이터를 저장합니다.
  • 실버 레이어는 데이터 품질 검사 및 변환을 적용하여 분석을 위해 데이터를 준비합니다.
  • 골드 레이어는 보고 및 시각화를 위해 집계되고 보강된 데이터를 제공합니다.

일부 데이터 원본은 온-프레미스 네트워크에 있지만 다른 데이터 원본은 방화벽 뒤에 있으며 안전하고 인증된 액세스가 필요합니다. Azure에서 관리되는 일부 데이터 원본(예: Azure SQL 데이터베이스 및 Azure Storage)도 있습니다. 공용 인터넷에 데이터를 노출하지 않는 방식으로 이러한 Azure 데이터 원본에 연결해야 합니다.

Fabric은 클라우드에서 데이터를 안전하게 수집, 저장, 처리 및 분석할 수 있으므로 이 제품을 사용하기로 결정했습니다. 중요한 점은 업계의 규정과 조직의 정책을 준수하면서 이를 수행합니다.

Fabric은 SaaS(Software as a Service)이므로 스토리지 또는 컴퓨팅 리소스와 같은 개별 리소스를 프로비전할 필요가 없습니다. Fabric 용량만 있으면 됩니다.

데이터 액세스 요구 사항을 설정해야 합니다. 특히 사용자와 동료 데이터 엔지니어만 레이크하우스의 브론즈 및 실버 레이어의 데이터에 액세스할 수 있도록 해야 합니다. 이러한 레이어는 데이터 정리, 유효성 검사, 변환 및 보강을 수행할 계획하는 위치입니다. 또한 골드 레이어의 데이터에 대한 액세스를 제한해야 합니다. 데이터 분석가 및 비즈니스 사용자를 포함한 권한 있는 사용자만 골드 레이어에 액세스할 수 있어야 합니다. 보고, 기계 학습 및 예측 분석과 같은 다양한 분석 목적으로 데이터를 사용하려면 이 액세스 권한이 필요합니다. 데이터 액세스는 사용자의 역할 및 부서에 의해 추가로 제한되어야 합니다.

Fabric에 연결(인바운드 보호)

먼저 사용자와 다른 사용자가 로그인하고 Fabric에 액세스할 수 있는 방법과 관련된 인바운드 보호를 설정합니다.

Fabric은 Microsoft Entra 테넌트에 배포되므로 인증 및 권한 부여는 Microsoft Entra에서 처리됩니다. Microsoft Entra 조직 계정(직장 또는 학교 계정)으로 로그인합니다. 다음으로, 다른 사용자가 Fabric에 연결하는 방법을 고려합니다.

Microsoft Entra 테넌트는 IT 부서에서 관리하는 ID 보안 경계입니다. 이 보안 경계 내에서 Microsoft Entra 개체(예: 사용자 계정)의 관리 및 테넌트 전체 설정 구성은 IT 관리자가 수행합니다. 다른 SaaS 서비스와 마찬가지로 Fabric은 테넌트를 논리적으로 격리합니다. 테넌트의 데이터 및 리소스는 명시적으로 권한을 부여하지 않는 한 다른 테넌트에서 액세스할 수 없습니다.

다음은 사용자가 Fabric에 로그인할 때의 상황입니다.

다이어그램은 Fabric 보안 아키텍처의 개략적인 표현을 보여줍니다. 다이어그램의 항목은 다음 표에 설명되어 있습니다.

항목 설명
사용자가 브라우저(또는 클라이언트 애플리케이션)를 열고 Fabric 포털에 로그인합니다.
사용자는 즉시 Microsoft Entra ID로 리디렉션되며 인증해야 합니다. 인증은 로그인하는 올바른 사용자인지 확인합니다.
인증에 성공하면 웹 프런트 엔드는 사용자의 요청을 수신하고 가장 가까운 위치에서 프런트 엔드(HTML 및 CSS) 콘텐츠를 전달합니다. 또한 요청을 메타데이터 플랫폼 및 백 엔드 용량 플랫폼으로 라우팅합니다.
테넌트의 홈 지역에 있는 메타데이터 플랫폼은 작업 영역 및 액세스 제어와 같은 테넌트의 메타데이터를 저장합니다. 이 플랫폼은 사용자에게 관련 작업 영역 및 Fabric 항목에 액세스할 권한이 있는지 확인합니다.
백 엔드 용량 플랫폼은 컴퓨팅 작업을 수행하고 데이터를 저장합니다. 용량 지역에 있습니다. 작업 영역이 Fabric 용량에 할당되면 데이터 레이크 OneLake를 포함하여 작업 영역에 있는 모든 데이터가 용량 하위 지역에 저장되고 처리됩니다.

메타데이터 플랫폼과 백 엔드 용량 플랫폼은 각각 보안 가상 네트워크에서 실행됩니다. 이러한 네트워크는 사용자 및 기타 서비스에서 요청을 받을 수 있도록 일련의 보안 엔드포인트를 인터넷에 노출합니다. 이러한 엔드포인트 외에도 서비스는 공용 인터넷의 액세스를 차단하는 네트워크 보안 규칙에 의해 보호됩니다.

사용자가 Fabric에 로그인할 때 다른 보호 레이어를 적용할 수 있습니다. 이렇게 하면 테넌트는 특정 사용자만 액세스할 수 있습니다. 또한 네트워크 위치 및 디바이스 규정 준수와 같은 다른 조건이 충족되는 경우에만 액세스할 수 있습니다. 이 보호 레이어를 인바운드 보호라고 합니다.

이 시나리오에서는 Fabric의 중요한 환자 정보를 담당합니다. 따라서 조직에서는 Fabric에 액세스하는 모든 사용자가 MFA(다단계 인증)를 수행해야 하고 회사 네트워크에 있어야 함을 규정하고 있으므로 사용자 ID를 보호하는 것만으로는 충분하지 않습니다.

또한 조직에서는 사용자가 어디서나 작업하고 개인 디바이스를 사용할 수 있도록 허용함으로써 사용자에게 유연성을 제공합니다. Microsoft Intune은 BYOD(Bring Your Own Device)를 지원하므로 Intune에서 승인된 사용자 디바이스를 등록합니다.

또한 이러한 디바이스가 조직 정책을 준수하는지 확인해야 합니다. 특히 이러한 정책을 사용하려면 디바이스가 최신 운영 체제 및 최신 보안 패치를 설치한 경우에만 연결할 수 있어야 합니다. Microsoft Entra 조건부 액세스를 사용하여 이러한 보안 요구 사항을 설정합니다.

조건부 액세스는 테넌트 보안을 위한 여러 가지 방법을 제공합니다. 마케팅 목록의 구성원을 관리할 수 있습니다.

전체 Fabric 테넌트를 잠가야 하는 경우 가상 네트워크를 사용하고 공용 인터넷 액세스를 차단할 수 있습니다. 그런 다음, Fabric에 대한 액세스는 해당 보안 가상 네트워크 내에서만 허용됩니다. 이 요구 사항은 Fabric에 대해 테넌트 수준에서 프라이빗 링크를 사용하여 설정됩니다. 모든 Fabric 엔드포인트가 모든 Power BI 보고서에 대한 액세스를 포함하여 가상 네트워크의 프라이빗 IP 주소로 확인되도록 합니다. (프라이빗 엔드포인트를 사용하면 많은 Fabric 항목에 영향을 주므로 이를 사용하기 전에 이 문서를 철저히 읽어야 합니다.)

Fabric 외부의 데이터에 대한 보안 액세스(아웃바운드 보호)

다음으로, 방화벽 또는 프라이빗 엔드포인트 뒤의 데이터에 안전하게 액세스하는 기능과 관련된 아웃바운드 보호를 설정합니다.

조직의 온-프레미스 네트워크에 일부 데이터 원본이 있습니다. 이러한 데이터 원본은 방화벽 뒤에 있으므로 Fabric에는 보안 액세스가 필요합니다. Fabric이 온-프레미스 데이터 원본에 안전하게 연결할 수 있도록 온-프레미스 데이터 게이트웨이를 설치합니다.

데이터 팩터리 데이터 흐름데이터 파이프라인에서 게이트웨이를 사용하여 온-프레미스 데이터를 수집, 준비 및 변환한 다음, 복사 활동을 사용하여 OneLake에 로드할 수 있습니다. 데이터 팩터리는 100개가 넘는 여러 데이터 저장소에 연결할 수 있는 포괄적인 커넥터 세트를 지원합니다.

그런 다음, 로우코드 인터페이스를 사용하여 직관적인 환경을 제공하는 Power Query를 사용하여 데이터 흐름을 빌드합니다. 데이터 원본에서 데이터를 수집하고 300개 이상의 데이터 변환을 사용하여 변환하는 데 사용합니다. 그런 다음, 데이터 파이프라인을 사용하여 복잡한 ETL(추출, 변환 및 로드) 프로세스를 빌드하고 오케스트레이션합니다. ETL 프로세스는 데이터 흐름을 새로 고치고 대규모로 다양한 작업을 수행하여 페타바이트 단위의 데이터를 처리할 수 있습니다.

이 시나리오에는 이미 여러 ETL 프로세스가 있습니다. 먼저 ADF(Azure Data Factory)에 일부 파이프라인이 있습니다. 현재 이러한 파이프라인은 자체 호스팅 통합 런타임을 사용하여 온-프레미스 데이터를 수집하고 Azure Storage의 데이터 레이크에 로드합니다. 둘째, Azure Databricks에 Spark로 작성된 데이터 수집 프레임워크가 있습니다.

Fabric을 사용하고 있으므로 레이크하우스 커넥터를 사용하도록 ADF 파이프라인의 출력 목적지를 리디렉션하기만 하면 됩니다. 또한 Azure Databricks의 수집 프레임워크에 대해 ABFS(Azure Blog Filesystem) 드라이버를 지원하는 OneLake API를 사용하여 OneLake를 Azure Databricks와 통합합니다. (동일한 방법을 사용하여 Apache Spark를 통해 OneLake를 Azure Synapse Analytics와 통합할 수 있습니다.)

Azure SQL 데이터베이스에 있는 일부 데이터 원본도 있습니다. 프라이빗 엔드포인트를 사용하여 이러한 데이터 원본에 연결해야 합니다. 이 경우 VNet(가상 네트워크) 데이터 게이트웨이를 설정하고 데이터 흐름을 사용하여 Azure 데이터에 안전하게 연결하고 Fabric에 로드하기로 결정합니다. VNet 데이터 게이트웨이를 사용하면 인프라를 프로비전하고 관리할 필요가 없습니다(온-프레미스 데이터 게이트웨이의 이 작업을 수행해야 함). Fabric은 Azure Virtual Network에서 컨테이너를 안전하고 동적으로 만들기 때문입니다.

Spark에서 데이터 수집 프레임워크를 개발하거나 마이그레이션하는 경우 관리형 프라이빗 엔드포인트를 사용하여 Fabric Notebook 및 작업에서 Azure의 데이터 원본에 안전하고 비공개로 연결할 수 있습니다. Fabric 작업 영역에서 관리형 프라이빗 엔드포인트를 만들어 공용 인터넷 액세스를 차단한 Azure의 데이터 원본에 연결할 수 있습니다. Azure SQL 데이터베이스 및 Azure Storage와 같은 프라이빗 엔드포인트를 지원합니다. 관리형 프라이빗 엔드포인트는 Fabric 작업 영역에 전용인 관리형 VNet에서 프로비전 및 관리됩니다. 일반적인 Azure Virtual Network와 달리, 관리형 VNet 및 관리형 프라이빗 엔드포인트는 Azure Portal에서 찾을 수 없습니다. Fabric에서 완전히 관리되고 작업 영역 설정에서 찾을 수 있기 때문입니다.

Azure ADLS(Data Lake Storage) Gen2 계정에 이미 많은 데이터가 저장되어 있으므로 이제 Spark 및 Power BI와 같은 Fabric 워크로드만 연결하면 됩니다. 또한 OneLake ADLS 바로 가기 덕분에 데이터 통합 파이프라인, 데이터 엔지니어링 Notebook 및 Power BI 보고서와 같은 Fabric 환경에서 기존 데이터에 쉽게 연결할 수 있습니다.

공용 네트워크를 사용 중지했어도 작업 영역 ID가 있는 Fabric 작업 영역은 ADLS Gen2 스토리지 계정에 안전하게 액세스할 수 있습니다. 이는 신뢰할 수 있는 작업 영역 액세스를 통해 가능합니다. 이를 통해 Fabric은 Microsoft 백본 네트워크를 사용하여 스토리지 계정에 안전하게 연결할 수 있습니다. 즉, 통신은 공용 인터넷을 사용하지 않으므로, 스토리지 계정에 대한 공용 네트워크 액세스를 사용 중지해도 특정 Fabric 작업 영역은 이에 계속 연결할 수 있습니다.

규정 준수

Fabric을 사용하여 클라우드에서 데이터를 안전하게 수집, 저장, 처리 및 분석하는 동시에 업계 규정 및 조직의 정책을 준수하려고 합니다.

Fabric은 Microsoft Azure 핵심 서비스의 일부이며, Microsoft Online Services 사용 약관Microsoft 엔터프라이즈 개인정보처리방침이 적용됩니다. 인증은 일반적으로 제품 출시(일반 공급 또는 GA) 후에 발생하지만 Microsoft는 처음부터 개발 수명 주기 전반에 걸쳐 규정 준수 모범 사례를 통합합니다. 이러한 사전 예방적 접근 방식은 설정된 감사 주기를 따르지만 향후 인증을 위한 강력한 기반을 보장합니다. 간단히 말하면, 공식 인증이 나중에 제공되더라도 처음부터 규정 준수를 빌드하는 것이 우선입니다.

Fabric은 ISO 27001, 27017, 27018, 27701과 같은 많은 업계 표준을 준수합니다. 또한 Fabric은 HIPAA를 준수하며, 이는 의료 데이터 개인 정보 보호 및 보안에 매우 중요합니다. Microsoft Azure 규정 준수 제안의 부록 A 및 B에서 인증 범위에 있는 클라우드 서비스에 대한 자세한 인사이트를 확인할 수 있습니다. STP(서비스 신뢰 포털)에서 감사 설명서에 액세스할 수도 있습니다.

규정 준수는 공동 책임입니다. 법률 및 규정을 준수하기 위해 클라우드 서비스 공급자와 고객은 공동 책임에 따라 각각 자신의 역할을 수행합니다. 공용 클라우드 서비스를 고려하고 평가할 때 공동 책임 모델과 클라우드 공급자가 처리하는 보안 작업, 사용자 자신이 처리하는 작업을 이해하는 것이 중요합니다.

데이터 처리

중요한 환자 정보를 처리하고 있으므로 미사용 및 전송 중 상태에서 모든 데이터가 충분히 보호되도록 해야 합니다.

미사용 데이터 암호화는 저장된 데이터(미사용)에 대한 데이터 보호를 제공합니다. 미사용 데이터에 대한 공격에는 데이터가 저장된 하드웨어에 대한 물리적 액세스를 얻은 다음, 해당 하드웨어의 데이터를 손상시키는 시도가 포함됩니다. 미사용 데이터 암호화는 디스크에 있을 때 데이터를 암호화하여 공격자가 암호화되지 않은 데이터에 액세스하지 못하도록 디자인되었습니다. 미사용 데이터 암호화는 ISO(국제표준화기구) 및 HIPAA(Health Insurance Portability and Accountability Act)와 같은 일부 업계 표준 및 규정을 준수하는 데 필요한 필수 조치입니다.

모든 Fabric 데이터 저장소는 고객 데이터 및 시스템 데이터와 메타데이터에 대한 보호를 제공하는 Microsoft 관리형 키를 사용하여 미사용 시 암호화됩니다. 암호화되지 않은 상태에서는 데이터가 영구 스토리지에서 지속되지 않습니다. Microsoft 관리형 키를 사용하면 사용자 지정 키 관리 솔루션의 위험이나 비용 부담 없이 미사용 데이터 암호화를 활용할 수 있습니다.

전송 중에도 데이터가 암호화됩니다. 클라이언트 시스템에서 Fabric 엔드포인트로의 모든 인바운드 트래픽은 최소 TLS(전송 계층 보안) 1.2를 적용합니다. 또한 가능하면 TLS 1.3을 협상합니다. TLS는 강력한 인증, 메시지 개인 정보 및 무결성(메시지 변조, 가로채기 및 위조의 검색 가능), 상호 운용성, 알고리즘 유연성, 배포 및 사용 편의성을 제공합니다.

암호화 외에도 Microsoft 서비스 간 네트워크 트래픽은 항상 세계에서 가장 큰 백본 네트워크 중 하나인 Microsoft 글로벌 네트워크를 통해 라우팅됩니다.

CMK(고객 관리형 키) 암호화 및 Microsoft Fabric

CMK(고객 관리형 키)를 사용하면 자체 키를 사용하여 미사용 데이터를 암호화할 수 있습니다. 기본값으로 Microsoft Fabric은 플랫폼 관리형 키를 사용하여 미사용 데이터를 암호화합니다. 이 모델에서 Microsoft는 키 관리의 모든 측면을 담당하며 OneLake의 미사용 데이터는 해당 키를 사용하여 암호화됩니다. 규정 준수 관점에서 고객은 CMK를 사용하여 미사용 데이터를 암호화해야 하는 요구 사항이 있을 수 있습니다. CMK 모델에서 고객은 키를 완전히 제어하고 키를 사용하여 미사용 데이터를 암호화합니다.

다이어그램은 Fabric OneLake 바로 가기를 사용하여 CMK를 사용하는 개략적인 표현을 보여줍니다.

CMK를 사용하여 미사용 데이터를 암호화해야 하는 경우 CMK 암호화가 설정된 클라우드 스토리지 서비스(ADLS Gen2, AWS S3, GCS)를 사용하고 OneLake 바로 가기를 사용하여 Microsoft Fabric의 데이터에 액세스하는 것이 좋습니다. 이 패턴에서 데이터는 CMK를 사용하여 미사용 데이터 암호화를 사용하는 외부 스토리지 솔루션 또는 클라우드 스토리지 서비스에 계속 상주합니다. 규정을 계속 준수하면서 Fabric에서 현재 위치 읽기 작업을 수행할 수 있습니다. Fabric 내에서 바로 가기가 만들어지면 다른 Fabric 환경에서 데이터에 액세스할 수 있습니다.

다음은 이 패턴을 사용할 때 고려할 몇 가지 사항입니다.

  • CMK를 사용하여 미사용 데이터 암호화 요구 사항이 있는 데이터에 대해 여기에 논의한 패턴을 사용합니다. 이 요구 사항이 없는 데이터는 플랫폼 관리형 키를 사용하여 미사용 시 암호화할 수 있으며, 해당 데이터는 Microsoft Fabric OneLake에 기본적으로 저장될 수 있습니다.
  • Fabric LakehouseKQL 데이터베이스는 바로 가기 만들기를 지원하는 Microsoft Fabric 내 두 워크로드입니다. CMK가 사용하도록 설정된 외부 스토리지 서비스에 데이터가 계속 상주하는 이 패턴에서는 레이크하우스 및 KQL 데이터베이스 내 바로 가기를 사용하여 분석을 위해 데이터를 Microsoft Fabric으로 가져올 수 있지만, 데이터는 CMK 암호화가 사용되는 OneLake 외부에 물리적으로 저장됩니다.
  • ADLS Gen2 바로 가기는 이 바로 가기 형식의 쓰기 및 사용을 지원하며, 스토리지 서비스에 데이터를 다시 쓸 수도 있습니다. 그러면 CMK를 사용하여 미사용 시 암호화됩니다. ADLS Gen2에서 CMK를 사용하는 동안 AKV(Azure Key Vault)Azure Storage에 대한 다음 고려 사항이 적용됩니다.
  • AWS S3와 호환되는 타사 스토리지 솔루션(Cloudflare, 퍼블릭 엔드포인트가 있는 Qumolo Core, 퍼블릭 MinIO 및 퍼블릭 엔드포인트가 있는 Dell ECS)을 사용하고 여기에서 CMK를 사용하는 경우 이 문서의 여기에서 설명하는 패턴을 이러한 타사 스토리지 솔루션으로 확장할 수 있습니다. Amazon S3 호환 바로 가기를 사용하면 이러한 솔루션의 바로 가기를 사용하여 데이터를 Fabric으로 가져올 수 있습니다. 클라우드 기반 스토리지 서비스와 마찬가지로 CMK 암호화를 사용하여 외부 스토리지에 데이터를 저장하고 현재 위치 읽기 작업을 수행할 수 있습니다.
  • AWS S3는 고객 관리형 키를 사용한 미사용 암호화를 지원합니다. Fabric은 S3 바로 가기를 사용하여 S3 버킷에서 현재 위치 읽기를 수행할 수 있지만, AWS S3 바로 가기를 사용하는 쓰기 작업은 지원되지 않습니다.
  • Google 클라우드 스토리지는 고객 관리형 키를 사용하여 데이터 암호화를 지원합니다. Fabric은 GCS에서 현재 위치 읽기를 수행할 수 있습니다. 그러나 GCS에 대한 바로 가기를 사용하는 쓰기 작업은 지원되지 않습니다.
  • Microsoft Fabric에 대한 감사를 사용하여 활동을 추적합니다.
  • Microsoft Fabric에서 Power BI는 Power BI대한 사용자 고유의 암호화 키 가져오기를 사용하여 고객 관리형 키를 지원합니다.
  • S3, GCS 및 S3 호환 바로 가기에 대한 바로 가기 캐싱 기능을 사용 중지합니다. 캐시된 데이터가 OneLake에 유지되기 때문입니다.

데이터 보존

환자 데이터를 처리할 때 규정 준수를 위해 조직은 데이터가 미국의 지리적 경계를 벗어나지 않도록 규정합니다. 조직은 주로 뉴욕과 시애틀의 본사에서 비즈니스를 운영합니다. Power BI를 설정하는 동안 조직에서 미국 동부 하위 지역을 테넌트 홈 지역으로 선택했습니다. 비즈니스 운영을 위해 데이터 원본에 더 가까운 미국 서부 지역에서 Fabric 용량을 만들었습니다. OneLake는 전 세계에서 사용할 수 있으므로 Fabric을 사용하는 동안 조직의 데이터 보존 정책을 충족할 수 있는지 여부가 우려됩니다.

Fabric에서는 테넌트 홈 지역이 아닌 지역에 위치한 용량인 다중 지역 용량을 만들 수 있다는 점을 알았습니다. Fabric 작업 영역을 해당 용량에 할당합니다. 이 경우 작업 영역의 모든 항목에 대한 컴퓨팅 및 스토리지(OneLake 및 환경별 스토리지 포함)는 다중 지역에 상주하지만 테넌트 메타데이터는 홈 지역에 남아 있습니다. 데이터는 이러한 두 지역에서만 저장 및 처리되므로 조직의 데이터 상주 요구 사항을 충족할 수 있습니다.

Access Control

사용자와 동료 데이터 엔지니어만 레이크하우스의 브론즈 및 실버 레이어에 있는 데이터에 대한 모든 권한을 갖도록 해야 합니다. 이러한 레이어를 사용하면 데이터 정리, 유효성 검사, 변환 및 보강을 수행할 수 있습니다. 데이터 분석가 및 비즈니스 사용자와 같이 보고 및 분석과 같은 다양한 분석 목적으로 데이터를 사용할 수 있는 권한 있는 사용자로만 골드 레이어의 데이터에 대한 액세스를 제한해야 합니다.

Fabric은 작업 영역의 항목 및 데이터에 대한 액세스를 제어할 수 있는 유연한 권한 모델을 제공합니다. 작업 영역은 Fabric에서 항목을 그룹화하기 위한 보호할 수 있는 논리 엔터티입니다. 작업 영역 역할을 사용하여 작업 영역의 항목에 대한 액세스를 제어합니다. 작업 영역의 네 가지 기본 역할은 다음과 같습니다.

  • 관리자: 권한 관리를 포함하여 작업 영역의 모든 콘텐츠를 보고, 수정하며, 공유하고, 관리할 수 있습니다.
  • 구성원: 작업 영역의 모든 콘텐츠를 보고 수정하며 공유할 수 있습니다.
  • 기여자: 작업 영역의 모든 콘텐츠를 보고 수정할 수 있습니다.
  • 시청자: 작업 영역의 모든 콘텐츠를 볼 수 있지만 수정할 수는 없습니다.

이 시나리오에서는 각 메달 기반 레이어(브론즈, 실버 및 골드)에 대해 하나씩 세 개의 작업 영역을 만듭니다. 작업 영역을 만들었으므로 관리자 역할에 자동으로 할당됩니다.

그런 다음, 이러한 세 작업 영역의 기여자 역할에 보안 그룹을 추가합니다. 보안 그룹은 동료 엔지니어를 구성원으로 포함하므로 해당 작업 영역에서 Fabric 항목을 만들고 수정할 수 있지만 다른 사용자와 항목을 공유할 수는 없습니다. 다른 사용자에게 액세스 권한을 부여할 수도 없습니다.

브론즈 및 실버 작업 영역에서 사용자와 동료 엔지니어는 Fabric 항목을 만들어 데이터를 수집, 저장 및 처리합니다. Fabric 항목은 레이크하우스, 파이프라인 및 Notebook으로 구성됩니다. 골드 작업 영역에서는 두 개의 레이크하우스, 여러 파이프라인 및 Notebook 그리고 레이크하우스 중 하나에 저장된 데이터의 빠른 쿼리 성능을 제공하는 Direct Lake 의미 체계 모델을 만듭니다.

그런 다음, 데이터 분석가와 비즈니스 사용자가 액세스할 수 있는 데이터에 액세스할 수 있는 방법을 신중하게 고려합니다. 특히 역할 및 부서와 관련된 데이터에만 액세스할 수 있습니다.

첫 번째 레이크하우스는 실제 데이터를 포함하며 SQL 분석 엔드포인트에서 데이터 권한을 적용하지 않습니다. 두 번째 레이크하우스에는 첫 번째 레이크하우스에 대한 바로 가기가 포함되어 있으며 SQL 분석 엔드포인트에서 세분화된 데이터 권한을 적용합니다. 의미 체계 모델은 첫 번째 레이크하우스에 연결됩니다. 사용자에게 적절한 데이터 권한을 적용하기 위해(역할 및 부서와 관련된 데이터에만 액세스할 수 있음) 첫 번째 레이크하우스를 사용자와 공유하지 않습니다. 대신 Direct Lake 의미 체계 모델과 SQL 분석 엔드포인트에서 데이터 권한을 적용하는 두 번째 레이크하우스만 공유합니다.

고정 ID를 사용하도록 의미 체계 모델을 설정한 다음, 의미 체계 모델에서 RLS(행 수준 보안)를 구현하여 사용자가 액세스할 수 있는 데이터를 제어하는 모델 규칙을 적용합니다. 그런 다음, 파이프라인 및 Notebook과 같은 작업 영역의 다른 항목에 액세스해서는 안 되므로 데이터 분석가 및 비즈니스 사용자와 의미 체계 모델만 공유합니다. 마지막으로 사용자가 Power BI 보고서를 만들 수 있도록 의미 체계 모델에서 빌드 권한을 부여합니다. 이렇게 하면 의미 체계 모델이 공유 의미 체계 모델이자 Power BI 보고서의 원본이 됩니다.

데이터 분석가는 골드 작업 영역의 두 번째 레이크하우스에 액세스해야 합니다. 해당 레이크하우스의 SQL 분석 엔드포인트에 연결하여 SQL 쿼리를 작성하고 분석을 수행합니다. 따라서 해당 레이크하우스를 공유하며 SQL 보안 모델을 사용하여 레이크하우스 SQL 분석 엔드포인트에서 필요한 개체에만(예: 마스킹 규칙이 있는 테이블, 행 및 열) 액세스할 수 있습니다. 이제 데이터 분석가는 역할 및 부서와 관련된 데이터에만 액세스할 수 있으며 파이프라인 및 Notebook과 같은 작업 영역의 다른 항목에 액세스할 수 없습니다.

일반적인 보안 시나리오

다음 표에서는 일반적인 보안 시나리오와 이를 수행하는 데 사용할 수 있는 도구를 나열합니다.

시나리오 Tools 방향
ETL 개발자이며 여러 원본 시스템 및 테이블에서 대규모로 Fabric에 대량의 데이터를 로드하려고 합니다. 원본 데이터는 온-프레미스(또는 다른 클라우드)에 있으며 프라이빗 엔드포인트가 있는 방화벽 및/또는 Azure 데이터 원본 뒤에 있습니다. 데이터 파이프라인(복사 활동)과 함께 온-프레미스 데이터 게이트웨이를 사용합니다. 아웃바운드
파워 사용자이며 액세스할 수 있는 원본 시스템에서 Fabric으로 데이터를 로드하려고 합니다. 개발자가 아니기 때문에 로우코드 인터페이스를 사용하여 데이터를 변환해야 합니다. 원본 데이터는 온-프레미스(또는 다른 클라우드)에 있으며 방화벽 뒤에 있습니다. 데이터 흐름 Gen 2에서 온-프레미스 데이터 게이트웨이를 사용합니다. 아웃바운드
파워 사용자이며 액세스할 수 있는 원본 시스템에서 Fabric의 데이터를 로드하려고 합니다. 원본 데이터는 Azure의 프라이빗 엔드포인트 뒤에 있으며, 온-프레미스 데이터 게이트웨이 인프라를 설치하고 유지 관리하지 않습니다. 데이터 흐름 Gen 2에서 VNet 데이터 게이트웨이를 사용합니다. 아웃바운드
Spark Notebook을 사용하여 데이터 수집 코드를 작성할 수 있는 개발자입니다. 액세스할 수 있는 원본 시스템에서 Fabric의 데이터를 로드하려고 합니다. 원본 데이터는 Azure의 프라이빗 엔드포인트 뒤에 있으며, 온-프레미스 데이터 게이트웨이 인프라를 설치하고 유지 관리하지 않습니다. Azure 프라이빗 엔드포인트에서 Fabric Notebook을 사용합니다. 아웃바운드
내 데이터 원본에 연결하고 데이터를 Azure에 로드하는 ADF(Azure Data Factory) 및 Synapse 파이프라인에 많은 기존 파이프라인이 있습니다. 이제 Fabric에 데이터를 로드하도록 해당 파이프라인을 수정하려고 합니다. 기존 파이프라인에서 레이크하우스 커넥터를 사용합니다. 아웃바운드
Spark에서 데이터 원본에 안전하게 연결하고 Azure에 로드하는 데이터 수집 프레임워크를 개발했습니다. Azure Databricks 및/또는 Synapse Spark에서 실행 중입니다. Azure Databricks 및/또는 Synapse Spark를 계속 사용하여 Fabric에 데이터를 로드하려고 합니다. OneLake 및 ADLS(Azure Data Lake Storage) Gen2 API(Azure Blob 파일 시스템 드라이버) 사용 아웃바운드
Fabric 엔드포인트를 공용 인터넷으로부터 보호하고 싶습니다. SaaS 서비스인 패브릭 백 엔드는 이미 공용 인터넷으로부터 보호되고 있습니다. 보호를 강화하기 위해 Fabric에 대한 Microsoft Entra 조건부 액세스 정책을 사용하거나 Fabric에 대한 테넌트 수준에서 프라이빗 링크를 사용하고 공용 인터넷 액세스를 차단합니다. 인바운드
회사 네트워크 및/또는 규정 준수 디바이스에서만 Fabric에 액세스하려고 합니다. Fabric에 대한 Microsoft Entra 조건부 액세스 정책을 사용합니다. 인바운드
Fabric에 액세스하는 모든 사용자가 다단계 인증을 수행해야 합니다. Fabric에 대한 Microsoft Entra 조건부 액세스 정책을 사용합니다. 인바운드
공용 인터넷에서 전체 Fabric 테넌트를 잠그고 가상 네트워크 내에서만 액세스를 허용하려고 합니다. Fabric에 대해 테넌트 수준에서 프라이빗 링크를 사용하고 공용 인터넷 액세스를 차단합니다. 인바운드

관련 콘텐츠

Fabric 보안에 대한 자세한 내용은 다음 리소스를 참조하세요.