Azure Synapse Analytics 보안 백서: 소개

요약: Azure Synapse Analytics는 엔터프라이즈 데이터 웨어하우징 및 빅 데이터 처리를 시스템 통합 없이 단일 관리형 환경에 통합하는 Microsoft의 무한 분석 플랫폼입니다. Azure Synapse는 다음을 사용하여 분석 수명 주기에 대한 엔드투엔드 도구를 제공합니다.

• 데이터 통합을 위한 파이프라인.
• 빅 데이터 처리를 위한 Apache Spark 풀.
• 로그 및 시계열 분석을 위한 Data Explorer.
• Azure Data Lake를 통한 데이터 탐색을 위한 서버리스 SQL 풀.
• 엔터프라이즈 데이터 웨어하우징용 전용 SQL 풀(이전의 SQL DW).
• Power BI, Azure Cosmos DB 및 Azure Machine Learning과의 긴밀한 통합.

Azure Synapse 데이터 보안 및 개인 정보는 협상할 수 없습니다. 이 백서의 목적은 엔터프라이즈급 및 업계 최고의 Azure Synapse 보안 기능에 대한 포괄적인 개요를 제공하는 것입니다. 백서는 다음 5가지 보안 계층을 다루는 일련의 문서로 구성됩니다.

• 데이터 보호
• Access Control
• 인증
• 네트워크 보안
• 위협 보호

이 백서는 모든 엔터프라이즈 보안 관련자를 대상으로 합니다. 여기에는 보안 관리자, 네트워크 관리, Azure 관리자, 작업 영역 관리자 및 데이터베이스 관리자가 포함됩니다.

작성자: Vengatesh Parasuraman, Fretz Nuson, Ron Dunn, Khendr'a Reid, John Hoang, Nithesh Krishnappa, Mykola Kovalenko, Brad Schacht, Pedro Martinez, Mark Pryce-Maher 및 Arshad Ali

기술 검토자: Nandita Valsan, Rony Thomas, Abhishek Narain, Daniel Crawford 및 Tammy Richter Jones

적용 대상: Azure Synapse Analytics, 전용 SQL 풀(이전의 SQL DW), 서버리스 SQL 풀 및 Apache Spark 풀.

소개

클라우드 현대화를 모색하고 있는 기업에는 데이터 위반, 맬웨어 감염 및 악성 코드 삽입에 대한 잦은 헤드라인이 광범위한 보안 문제 목록 중 하나입니다. 엔터프라이즈 고객은 문제를 해결할 여유가 없기 때문에 문제를 해결할 수 있는 클라우드 공급자 또는 서비스 솔루션이 필요합니다.

몇 가지 일반적인 보안 질문은 다음과 같습니다.

• 누가 어떤 데이터를 볼 수 있는지 제어하려면 어떻게 해야 하나요?
• 사용자의 ID를 확인하기 위한 옵션은 무엇인가요?
• 내 데이터는 어떻게 보호되나요?
• 네트워크와 데이터의 무결성, 기밀성 및 액세스를 보호하는 데 사용할 수 있는 네트워크 보안 기술은 무엇인가요?
• 위협을 검색하고 알려주는 도구는 무엇인가요?

이 백서의 목적은 이러한 일반적인 본인 확인 질문 및 기타 여러 질문에 대한 답변을 제공하는 것입니다.

구성 요소 아키텍처

Azure Synapse는 전용 SQL 풀, 서버리스 SQL 풀, Apache Spark 풀 및 데이터 통합 ​​파이프라인과 같은 여러 독립 구성 요소를 함께 제공하는 PaaS(Platform-as-a-Service) 분석 서비스입니다. 이러한 구성 요소는 원활한 분석 플랫폼 환경을 제공하기 위해 함께 작동하도록 설계되었습니다.

전용 SQL 풀은 엔터프라이즈 데이터 웨어하우징 기능을 SQL 워크로드에 제공하는 프로비전된 클러스터입니다. 데이터는 PaaS 서비스이기도 한 Azure Storage에서 구동하는 관리형 스토리지에 수집됩니다. 컴퓨팅은 스토리지에서 격리되어 고객이 데이터에 관계없이 컴퓨팅 크기를 조정할 수 있도록 합니다. 전용 SQL 풀은 외부 테이블을 사용하여 고객 관리형 Azure Storage 계정을 통해 직접 데이터 파일을 쿼리하는 기능도 제공합니다.

서버리스 SQL 풀은 고객 관리형 Azure Storage 계정을 통해 직접 데이터를 쿼리하고 분석하는 SQL 인터페이스를 제공하는 주문형 클러스터입니다. 서버리스이므로 관리형 스토리지가 없으며 컴퓨팅 노드의 크기가 쿼리 워크로드에 대응하여 자동으로 조정됩니다.

Azure Synapse의 Apache Spark는 Microsoft가 클라우드에서 구현한 오픈 소스 Apache Spark 중 하나입니다. Spark 인스턴스는 Spark 풀에 정의된 메타데이터 구성에 따라 주문형으로 프로비전됩니다. 각 사용자는 자신의 작업을 실행하기 위한 전용 Spark 인스턴스를 가져옵니다. Spark 인스턴스에서 처리하는 데이터 파일은 고객이 자신의 고유한 Azure Storage 계정에서 관리합니다.

파이프라인은 데이터 이동 및 데이터 변환을 규모에 맞게 수행하는 작업의 논리적 그룹화입니다. 데이터 흐름은 하위 코드 사용자 인터페이스를 사용하여 개발된 파이프라인의 변환 작업입니다. 데이터 변환은 규모에 맞게 실행할 수 있습니다. 내부적으로 데이터 흐름은 Azure Synapse의 Apache Spark 클러스터를 사용하여 자동으로 생성된 코드를 실행합니다. 파이프라인 및 데이터 흐름은 컴퓨팅 전용 서비스이며 연결된 관리형 스토리지가 없습니다.

파이프라인은 IR(Integration Runtime)을 데이터 이동 및 디스패치 작업을 수행하기 위한 확장성 있는 컴퓨팅 인프라로 사용합니다. 데이터 이동 작업은 IR에서 실행되는 반면, 디스패치 작업은 Azure SQL Database, Azure HDInsight, Azure Databricks, Azure Synapse의 Apache Spark 클러스터 등을 포함한 다양한 컴퓨팅 엔진에서 실행됩니다. Azure Synapse는 Azure Integration Runtime 및 자체 호스팅 Integration Runtime이라는 두 가지 유형의 IR을 지원합니다. Azure IR은 확장성 있는 완전 관리형 주문형 컴퓨팅 인프라를 제공합니다. 자체 호스팅 IR은 고객이 자신의 고유한 네트워크(온-프레미스 컴퓨터 또는 Azure 클라우드 가상 머신)에 설치하고 구성합니다.

고객은 자신의 Synapse 작업 영역을 관리되는 작업 영역 가상 네트워크와 연결하도록 선택할 수 있습니다. 관리되는 작업 영역 가상 네트워크와 연결되면 파이프라인, 데이터 흐름 및 Apache Spark 풀에서 사용하는 Azure IR 및 Apache Spark 클러스터가 관리되는 작업 영역 가상 네트워크 내에 배포됩니다. 이 설정은 파이프라인과 Apache Spark 워크로드에 대한 작업 영역 간의 네트워크 격리를 보장합니다.

다음 다이어그램에서는 Azure Synapse의 다양한 구성 요소를 보여 줍니다.

구성 요소 격리

다이어그램에 표시된 Azure Synapse의 각 개별 구성 요소는 고유한 보안 기능을 제공합니다. 보안 기능은 처리되는 컴퓨팅 및 관련 데이터를 보호하기 위해 데이터 보호, 액세스 제어, 인증, 네트워크 보안 및 위협 방지를 제공합니다. 또한 PaaS 서비스인 Azure Storage는 자체 스토리지 계정에서 고객이 설정하고 관리하는 자체의 추가 보안을 제공합니다. 구성 요소 중 하나에 보안 취약성이 있는 경우 이 수준의 구성 요소 격리는 노출을 제한하고 최소화합니다.

보안 계층

Azure Synapse는 데이터의 엔드투엔드 보호를 위한 다계층 보안 아키텍처를 구현합니다. 5개의 계층이 있습니다.

• 데이터 보호 중요한 데이터를 식별 및 분류하고, 미사용 데이터와 이동 중 데이터를 암호화합니다.
• 액세스 제어 데이터와 상호 작용할 수 있는 사용자의 권한을 결정합니다.
• 인증 사용자 및 애플리케이션의 ID를 증명합니다.
• 네트워크 보안 프라이빗 엔드포인트 및 가상 사설망을 사용하여 네트워크 트래픽을 격리합니다.
• 위협 방지 비정상적인 액세스 위치, SQL 삽입 공격, 인증 공격 등과 같은 잠재적인 보안 위협을 식별합니다.

다음 단계

이 백서 시리즈의 다음 문서에서는 데이터 보호에 대해 알아봅니다.