Azure Data Explorer의 보안

  • 아티클

이 문서에서는 클라우드에서 데이터와 리소스를 보호하고 비즈니스의 보안 요구 사항을 충족하는 데 도움이 되는 Azure Data Explorer의 보안을 소개합니다. 클러스터를 안전하게 유지하는 것이 중요합니다. 클러스터 보안에는 보안 액세스 및 스토리지를 포함하는 Azure 기능이 하나 이상 포함됩니다. 이 문서에서는 클러스터를 안전하게 유지하는 데 도움이 되는 정보를 제공합니다.

비즈니스 또는 organization 규정 준수와 관련된 더 많은 리소스는 Azure 규정 준수 설명서를 참조하세요.

네트워크 보안

네트워크 보안은 대부분 보안에 민감한 엔터프라이즈 고객이 공유하는 요구 사항입니다. 의도는 네트워크 트래픽을 격리하고 Azure Data Explorer와 해당 통신의 공격 노출 영역을 제한하는 것입니다. 따라서 비 Azure Data Explorer 네트워크 세그먼트에서 시작되는 트래픽을 차단하고 알려진 원본의 트래픽만 Azure Data Explorer 엔드포인트에 도달하도록 보장할 수 있습니다. 여기에는 온-프레미스나 Azure 외부에서 Azure 대상을 통해 시작되는 트래픽이 포함되며 그 반대의 경우도 마찬가지입니다. Azure Data Explorer는 이 목표를 달성하기 위해 다음 기능을 지원합니다.

프라이빗 엔드포인트를 사용하여 클러스터에 대한 네트워크 액세스를 보호하는 것이 좋습니다. 이 옵션은 더 간단한 배포 프로세스와 가상 네트워크 변경에 대한 보다 강력한 유지 관리 오버헤드를 초래하는 가상 네트워크 주입에 비해 많은 이점이 있습니다.

ID 및 액세스 제어

역할 기반 액세스 제어

RBAC(역할 기반 액세스 제어)를 사용하여 업무를 분리하고 클러스터 사용자에게 필요한 액세스 권한만 부여합니다. 모든 사용자에게 클러스터에 대한 무제한 권한을 부여하는 대신 특정 역할에 할당된 사용자만 특정 작업을 수행하도록 허용할 수 있습니다. Azure CLI 또는 Azure PowerShell을 사용하여 Azure Portal에서 데이터베이스에 대한 액세스 제어를 구성할 수 있습니다.

Azure 리소스에 대한 관리 ID

클라우드 애플리케이션을 빌드할 때 일반적으로 직면하는 난관 중 하나는 코드에서 클라우드 서비스에 인증하는 데 사용되는 자격 증명 관리입니다. 자격 증명을 안전하게 보호하는 것이 중요합니다. 자격 증명을 개발자 워크스테이션에 저장하거나 원본 제어에 체크 인하지 않아야 합니다. Azure Key Vault를 사용하면 자격 증명, 비밀 및 기타 키를 안전하게 저장할 수 있지만, 자격 증명/키/비밀을 검색하려면 코드가 Key Vault에 인증해야 합니다.

Azure 리소스에 대한 Microsoft Entra 관리 ID 기능은 이 문제를 해결합니다. 이 기능은 azure 서비스에 Microsoft Entra ID로 자동으로 관리되는 ID를 제공합니다. ID를 사용하여 코드의 자격 증명 없이 Key Vault 포함하여 Microsoft Entra 인증을 지원하는 모든 서비스에 인증할 수 있습니다. 이 서비스에 관한 자세한 내용은 Azure 리소스에 대한 관리 ID 개요 페이지를 참조하세요.

데이터 보호

Azure Disk Encryption

Azure Disk Encryption을 사용하여 고객 조직의 보안 및 규정 준수 약정에 맞게 데이터를 안전하게 보호할 수 있습니다. 클러스터 가상 머신의 OS와 데이터 디스크에 대한 볼륨 암호화를 제공합니다. Azure Disk Encryption은 디스크 암호화 키와 비밀을 제어, 관리하고 VM 디스크의 모든 데이터가 암호화되도록 하는 Azure Key Vault와 통합됩니다.

Azure Key Vault를 사용하는 고객 관리형 키

기본적으로 데이터는 Microsoft 관리형 키로 암호화됩니다. 암호화 키를 추가로 제어하기 위해 데이터 암호화에 사용할 고객 관리형 키를 제공할 수 있습니다. 고유한 키를 사용하여 스토리지 수준에서 데이터 암호화를 관리할 수 있습니다. 고객 관리형 키는 모든 데이터를 암호화하고 암호 해독하는 데 사용되는 루트 암호화 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 훨씬 더 유연하게 액세스 제어를 만들고, 순환하고, 사용하지 않도록 설정하고, 철회할 수 있습니다. 데이터를 보호하는 데 사용되는 암호화 키를 감사할 수도 있습니다.

Azure Key Vault를 사용하여 고객 관리형 키를 저장합니다. 고유한 키를 만들어 키 자격 증명 모음에 저장할 수도 있고, Azure Key Vault API를 사용하여 키를 생성할 수도 있습니다. Azure Data Explorer 클러스터와 Azure Key Vault는 동일한 지역에 있어야 하지만 서로 다른 구독에 있을 수 있습니다. Azure Key Vault에 대한 자세한 내용은 Azure Key Vault란?을 참조하세요. 고객 관리형 키에 관한 자세한 설명은 Azure Key Vault를 사용하는 고객 관리형 키를 참조하세요. 포털, C#, Azure Resource Manager 템플릿, CLI 또는 PowerShell을 사용하여 Azure Data Explorer 클러스터에서 고객 관리형 키 구성

참고

고객 관리형 키는 Microsoft Entra ID의 기능인 Azure 리소스에 대한 관리 ID를 사용합니다. Azure Portal에서 고객 관리형 키를 구성하려면 Azure Data Explorer 클러스터의 관리 ID 구성에 설명된 대로 클러스터에 대한 관리 ID를 구성합니다.

Azure Key Vault에 고객 관리형 키 저장

클러스터에서 고객 관리형 키를 사용하도록 설정하려면 Azure Key Vault를 사용하여 키를 저장합니다. 키 자격 증명 모음에서 일시 삭제제거 안 함 속성을 둘 다 사용하도록 설정해야 합니다. 키 자격 증명 모음은 클러스터와 동일한 지역에 있어야 합니다. Azure Data Explorer는 암호화 및 암호 해독 작업을 위해 키 자격 증명 모음에 인증하는 데 Azure 리소스에 대한 관리 ID를 사용합니다. 관리 ID는 디렉터리 간 시나리오를 지원하지 않습니다.

고객 관리형 키 순환

규정 준수 정책에 따라 Azure Key Vault에서 고객 관리형 키를 순환할 수 있습니다. 키를 회전하려면 Azure Key Vault에서 키 버전을 업데이트하거나 새 키를 만든 다음, 새 키 URI를 사용하여 데이터를 암호화하도록 클러스터를 업데이트합니다. 이 단계는 Azure CLI 또는 포털을 사용하여 수행할 수 있습니다. 키를 순환해도 클러스터에서 기존 데이터의 재암호화가 트리거되지 않습니다.

키를 회전하는 경우 일반적으로 클러스터를 만들 때 사용되는 것과 동일한 ID를 지정합니다. 필요에 따라 키 액세스를 위해 사용자가 할당한 새 ID를 구성하거나 클러스터의 시스템이 할당한 ID를 사용하도록 설정하고 지정합니다.

참고

키 액세스용으로 구성하는 ID에 대해 필요한 가져오기, 키 래핑 해제, 키 래핑 권한이 설정되어 있는지 확인합니다.

키 버전 업데이트

일반적인 시나리오는 고객 관리형 키로 사용되는 키 버전을 업데이트하는 것입니다. 클러스터 암호화가 구성된 방식에 따라 클러스터의 고객 관리형 키는 자동으로 업데이트되거나 수동으로 업데이트해야 합니다.

고객 관리형 키에 대한 액세스 권한 철회

고객 관리형 키에 대한 액세스 권한을 철회하려면 PowerShell 또는 Azure CLI를 사용합니다. 자세한 내용은 Azure Key Vault PowerShell 또는 Azure Key Vault CLI를 참조하세요. 액세스를 취소하면 결국 Azure Data Explorer를 통해 암호화 키에 액세스할 수 없기 때문에 클러스터의 스토리지 수준에 있는 모든 데이터에 대한 액세스가 차단됩니다.

참고

Azure Data Explorer는 고객 관리형 키에 대한 액세스가 취소되었음을 식별한 경우 캐시된 데이터를 삭제하기 위해 클러스터를 자동으로 일시 중단합니다. 키에 대한 액세스가 반환되면 클러스터가 자동으로 다시 시작됩니다.

관련 콘텐츠