데이터 액세스 전략

  • 아티클

적용 대상: Azure Data Factory Azure Synapse Analytics

기업용 올인원 분석 솔루션인 Microsoft Fabric의 Data Factory를 사용해 보세요. Microsoft Fabric은 데이터 이동부터 데이터 과학, 실시간 분석, 비즈니스 인텔리전스 및 보고에 이르기까지 모든 것을 다룹니다. 무료로 새 평가판을 시작하는 방법을 알아봅니다!

조직의 중요한 보안 목표는 인터넷을 이용한 임의 액세스를 통해 온-프레미스 데이터 저장소 또는 클라우드/SaaS 데이터 저장소를 보호하는 데 있습니다.

일반적으로 클라우드 데이터 저장소는 다음과 같은 메커니즘을 사용하여 액세스를 제어합니다.

  • 가상 네트워크에서 프라이빗 엔드포인트를 사용하는 데이터 원본에 대한 프라이빗 링크
  • IP 주소를 통해 연결을 제한하는 방화벽 규칙
  • 사용자에게 자신의 ID를 증명하도록 요구하는 인증 메커니즘
  • 특정 작업 및 데이터로 사용자를 제한하는 권한 부여 메커니즘

이제 고정 IP 주소 범위의 도입을 통해 특정 Azure 통합 런타임 지역에 대해 목록 IP 범위를 허용할 수 있으며 클라우드 데이터 저장소에서 모든 Azure IP 주소를 허용할 필요가 없습니다. 이러한 식으로 데이터 저장소에 액세스할 수 있는 IP 주소를 제한할 수 있습니다.

참고 항목

Azure 통합 런타임에 대해서는 IP 주소 범위가 차단되며, 현재 데이터 이동, 파이프라인 및 외부 활동에만 사용됩니다. 관리형 가상 네트워크를 사용하도록 설정하는 데이터 흐름과 Azure Integration Runtime은 더이상 해당 IP 범위를 사용하지 않습니다.

이는 다양한 시나리오에서 작동하며 통합 런타임당 고유한 고정 IP 주소를 사용하는 것이 바람직합니다. 다만 이제는 서버리스 Azure Integration Runtime을 사용해 이 작업을 수행할 수 없습니다. 필요하다면 자체 호스팅 통합 런타임을 항상 설정하고 그와 함께 고정 IP를 사용할 수 있습니다.

Azure Data Factory를 통한 데이터 액세스 전략

  • 프라이빗 링크 - Azure Data Factory Managed Virtual Network 내에 Azure Integration Runtime을 만들 수 있으며, 프라이빗 엔드포인트를 활용하여, 지원되는 데이터 저장소에 안전하게 연결합니다. 관리형 가상 네트워크와 데이터 원본 간의 트래픽은 Microsoft 백본 네트워크로 이동하며 공용 네트워크에는 노출되지 않습니다.
  • 신뢰할 수 있는 서비스 - Azure Storage(Blob, ADLS Gen2)는 신뢰할 수 있는 Azure 플랫폼 서비스를 사용하여 스토리지 계정에 안전하게 액세스할 수 있는 방화벽 구성을 지원합니다. 신뢰할 수 있는 서비스는 관리 ID 인증을 강제로 적용하며, 관리 ID를 사용하여 스토리지에 연결하도록 승인하지 않는 한 다른 데이터 팩터리는 이 스토리지에 연결할 수 없습니다. 자세한 내용은 이 블로그에서 확인할 수 있습니다. 따라서 이 방법은 매우 안전하며 권장됩니다.
  • 고유한 고정 IP - Data Factory 커넥터에 대한 고정 IP를 가져오려면 자체 호스팅 통합 런타임을 설정해야 합니다. 이 메커니즘을 사용하면 다른 모든 IP 주소에서 액세스를 차단할 수 있습니다.
  • 고정 IP 범위 - Azure Integration Runtime의 IP 주소를 사용하여 스토리지(예를 들면 S3, Salesforce 등)에 이 범위를 나열할 수 있습니다. 또한 데이터 저장소에 연결할 수 있는 IP 주소를 제한할 뿐만 아니라 인증/권한 부여 규칙도 사용합니다.
  • 서비스 태그 - 서비스 태그는 (Azure Data Factory 같은) 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다. 이는 가상 네트워크의 IaaS 호스팅 데이터 저장소에 대한 데이터 액세스를 필터링할 때 유용합니다.
  • Azure 서비스 허용 - 이 옵션을 선택하는 경우, 일부 서비스를 사용하면 모든 Azure 서비스를 연결할 수 있습니다.

Azure Integration Runtime 및 자체 호스팅 통합 런타임의 데이터 저장소에서 지원되는 네트워크 보안 메커니즘에 관한 자세한 내용은 다음 두 개의 표를 참조하세요.

  • Azure Integration Runtime

    데이터 저장소 데이터 저장소에서 지원되는 네트워크 보안 메커니즘 Private Link 신뢰할 수 있는 서비스 고정 IP 범위 서비스 태그 Azure 서비스 허용
    Azure PaaS 데이터 저장소 Azure Cosmos DB - -
    Azure Data Explorer - - 예* 예* -
    Azure Data Lake Gen1 - - -
    Azure Database for MariaDB, MySQL, PostgreSQL - - -
    Azure 파일 - - .
    Azure Blob Storage 및 ADLS Gen2 예(MSI 인증만 해당) - .
    Azure SQL DB, Azure Synapse Analytics), SQL Ml 예(Azure SQL DB/DW에만 해당) - -
    Azure Key Vault(비밀/연결 문자열 페치용) - -
    그 외 PaaS/SaaS 데이터 저장소 AWS S3, SalesForce, Google Cloud Storage 등 - - - -
    Snowflake - - -
    Azure IaaS SQL Server, Oracle 등 - - -
    온-프레미스 IaaS SQL Server, Oracle 등 - - - -

    *Azure Data Explorer가 가상 네트워크에 삽입된 경우에만 적용되며, IP 범위는 NSG/방화벽에 적용될 수 있습니다.

  • 자체 호스팅 통합 런타임(VNet 내부/온-프레미스)

    데이터 저장소 데이터 저장소에서 지원되는 네트워크 보안 메커니즘 고정 IP 신뢰할 수 있는 서비스
    Azure PaaS 데이터 저장소 Azure Cosmos DB -
    Azure Data Explorer - -
    Azure Data Lake Gen1 -
    Azure Database for MariaDB, MySQL, PostgreSQL -
    Azure 파일 -
    Azure Blob Storage 및 ADLS Gen2 예(MSI 인증만 해당)
    Azure SQL DB, Azure Synapse Analytics), SQL Ml -
    Azure Key Vault(비밀/연결 문자열 페치용)
    그 외 PaaS/SaaS 데이터 저장소 AWS S3, SalesForce, Google Cloud Storage 등 -
    Azure laaS SQL Server, Oracle 등 -
    온-프레미스 laaS SQL Server, Oracle 등 -

관련 콘텐츠

자세한 내용은 다음 관련 문서를 참조하세요.