Power BI 보안Power BI Security

Power BI 보안에 대한 자세한 설명을 확인하려면 Power BI 보안 백서를 다운로드하세요.For a detailed explanation of Power BI security, please download the Power BI Security whitepaper:

Power BI 서비스는 Microsoft 클라우드 컴퓨팅 인프라 및 플랫폼인 Azure를 기반으로 합니다.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. Power BI 서비스 아키텍처는 웹 프런트엔드(WFE) 클러스터 및 백엔드 클러스터 등, 두 클러스터를 기반으로 합니다.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back End cluster. WFE 클러스터는 Power BI 서비스에 대한 최초 연결과 인증을 담당하며 인증 후에는 백엔드가 이후의 모든 사용자 상호 작용을 처리합니다.The WFE cluster is responsible for initial connection and authentication to the Power BI service, and once authenticated, the Back End handles all subsequent user interactions. Power BI는 AAD(Azure Active Directory)를 사용하여 사용자 ID를 저장 및 관리하며 각각 Azure BLOB와 Azure SQL Database를 사용하여 데이터 및 메타 데이터 저장을 관리합니다.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Power BI 아키텍처Power BI Architecture

각각의 Power BI 배포는 웹 프론트엔드(WFE) 클러스터와 백엔드 클러스터 등, 두 클러스터로 구성됩니다.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back End cluster.

WFE 클러스터는 Power BI에 대한 최초 연결과 인증 프로세스를 관리하며, AAD를 사용하여 클라이언트를 인증하고 이후 Power BI 서비스에 대한 클라이언트 연결을 위해 토큰을 제공합니다.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. 또한 Power BI는 인증 프로세스와 고정 콘텐츠와 파일 다운로드를 위해 ATM(Azure Traffic Manager) 을 사용하여, 연결을 시도하는 클라이언트의 DNS 기록에 따라 결정한 가장 가까운 데이터 센터로 사용자 트래픽을 전달합니다.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI는 Azure CDN(Content Delivery Network)을 사용하여 지리적 로케일에 따라 필요한 고정 콘텐츠와 파일을 효율적으로 배포합니다.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

백엔드 클러스터는 인증된 클라이언트가 Power BI 서비스와 상호 작용하는 방식입니다.The Back End cluster is how authenticated clients interact with the Power BI service. 백엔드 클러스터는 시각화, 사용자 대시보드, 데이터 집합, 보고서, 데이터 저장소, 데이터 연결, 데이터 새로 고침 및 기타 Power BI 서비스의 상호 작용 측면을 관리합니다.The Back End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. 게이트웨이 역할 은 사용자 요청과 Power BI 서비스 간의 게이트웨이로 작동합니다.The Gateway Role acts as a gateway between user requests and the Power BI service. 사용자는 게이트웨이 역할이외의 역활과 직접적인 상호 작용이 없습니다.Users do not interact directly with any roles other than the Gateway Role. 결과적으로 Azure API Management게이트웨이 역할을 처리합니다.Azure API Management will eventually handle the Gateway Role.

중요

APIM(Azure API Management)GW(게이트웨이) 역할만 공용 인터넷을 통해 액세스할 수 있습니다.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. 이 역할은 인증, 권한 부여, DDoS 방지, 조정, 부하 분산, 라우팅 및 기타 기능을 제공합니다.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

데이터 저장소 보안Data Storage Security

Power BI는 데이터 저장 및 보관에 두 가지 주 저장소를 사용합니다. 사용자가 업로드하는 데이터는 보통 Azure BLOB 저장소로 보내지며 시스템 자체의 아티팩트와 모든 메타데이터는 Azure SQL Database에 저장됩니다.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

위의 백엔드 클러스터 이미지에서 점선은 사용자가 액세스 가능한 두 구성 요소와(점선 왼쪽), 시스템이 액세스 가능한 역할 간의 경계를 명확히 보여줍니다.The dotted line in the Back End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. 인증된 사용자가 Power BI 서비스에 연결할 때, 연결과 클라이언트의 모든 요청은 게이트웨이 역할에서 허용 및 관리하며(결과적으로 Azure API Management에서 처리), 이후 사용자를 대신하여 나머지 Power BI 서비스와 상호 작용합니다.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. 예를 들어, 클라이언트가 대시보드 보기를 시도할 때 게이트웨이 역할 이 해당 요청을 수락한 다음 개별적으로 프레젠테이션 역할 에 요청을 보내 대시보드 렌더링을 위해 브라우저에서 필요한 데이터를 검색합니다.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

사용자 인증User Authentication

Power BI는 AAD(Azure Active Directory)를 사용하여 Power BI 서비스에 로그인한 사용자를 인증하며, 반대로 사용자는 인증이 필요한 리소스를 시도할 때마다 Power BI 로그인 자격 증명을 사용합니다.Power BI uses Azure Active Directory (AAD) to authenticate users who login to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempt to resources that require authentication. 사용자는 Power BI 계정을 지정할 때 사용한 이메일 주소를 사용하여 Power BI 서비스에 로그인하고, Power BI는 이 로그인 이메일을 유효 사용자 이름으로 사용하여 사용자가 데이터에 연결을 시도할 때마다 리소스로 전달합니다.Users login to the Power BI service using the email address used to establish their Power BI account; Power BI uses the that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. 그러면 적용되는 인증에 대해 유효 사용자 이름사용자 계정 이름(UPN)에 매핑되며 연결된 Windows 도메인 계정에 확인됩니다.The effective username is then mapped to a User Principal Name (UPN and resolved to the associated Windows domain account, against which authentication is applied.

Power BI 로그인을 위해 직장 이메일을 사용하는 조직의 경우(예: david@contoso.com) 유효 사용자 이름과 UPN의 매핑이 간단합니다.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Power BI 로그인에 직장 이메일을 사용하지 않는 조직의 경우(예: david@contoso.onmicrosoft.com) AAD 및 온-프레미스 자격 증명 간의 매핑이 제대로 작동하려면 디렉터리 동기화가 필요합니다.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

Power BI의 플랫폼 보안에는 다중 테넌트 환경 보안, 네트워킹 보안, 타 AAD 기반 보안 측정치를 추가하는 기능 등도 포함됩니다.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

데이터 및 서비스 보안Data and Service Security

자세한 내용은 Microsoft 보안 센터를 방문하세요.For more information, please visit the Microsoft Trust Center.

이 문서의 앞부분에서 설명한 것처럼 사용자의 온-프레미스 Active Directory 서버에서 Power BI 로그인을 사용하여 자격 증명에 대한 UPN에 매핑합니다.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. 그러나 중요한 점은 자신이 공유하는 데이터는 사용자 본인의 책임이라는 사실입니다. 사용자가 자신의 자격 증명을 사용하여 데이터 원본에 연결한 다음, 해당 데이터에 근거한 보고서(또는 대시보드나 데이터 집합)를 공유한다면 대시보드가 공유되지 않은 사용자는 원래의 데이터 원본에 대해 인증되지 않으며 보고서에 대한 액세스를 부여 받게 됩니다.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using her credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

여기서 온-프레미스 데이터 게이트웨이를 사용한 SQL Server Analysis Services 연결은 예외입니다. 즉 대시보드가 Power BI에 캐시로 저장되지만 기본 보고서나 데이터 집합에 대한 액세스에서 보고서(또는 데이터 집합) 액세스를 시도하는 사용자에 대한 인증이 시작되며, 사용자에게 데이터 액세스를 위한 충분한 자격 증명이 있는 경우에만 액세스가 부여됩니다.An exception is connections to SQL Server Analysis Services using the on-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiate authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. 자세한 내용은 온-프레미스 데이터 게이트웨이 심층 분석을 참조하세요.For more information, see On-premises data gateway deep dive.