적용 대상: Microsoft Fabric의✅ Warehouse
Fabric Data Warehouse는 기본적으로 미사용 데이터를 모두 암호화하여 Microsoft 관리형 키를 통해 정보를 보호합니다.
또한 CMK(고객 관리형 키)를 사용하여 데이터 및 메타데이터를 보호하는 암호화 키를 직접 제어하여 보안 태세를 향상시킬 수 있습니다.
패브릭 데이터 웨어하우스가 포함된 작업 영역에 CMK를 사용하도록 설정하면 OneLake 데이터 및 웨어하우스 메타데이터가 모두 Azure Key Vault 호스팅 암호화 키를 사용하여 보호됩니다. 고객 관리형 키를 사용하면 패브릭 작업 영역을 고유한 Azure Key Vault에 직접 연결할 수 있습니다. 키 만들기, 액세스 및 회전에 대한 완전한 제어를 유지하여 조직의 보안 및 거버넌스 정책을 준수합니다.
패브릭 작업 영역에 대한 CMK 구성을 시작하려면 Fabric 작업 영역에 대한 고객 관리형 키를 참조하세요.
패브릭 데이터 웨어하우스에서 데이터 암호화가 작동하는 방식
패브릭 데이터 웨어하우스는 다중 계층 암호화 모델을 따라 데이터가 미사용 시 보호되고 임시로 사용되도록 합니다.
SQL 프런트 엔드: 메타데이터(테이블, 뷰, 함수, 저장 프로시저)를 암호화합니다.
백 엔드 컴퓨팅 풀: 임시 캐시를 사용합니다. 데이터가 남아 있지 않습니다.
OneLake: 모든 지속형 데이터는 암호화됩니다.
SQL 프런트 엔드 계층 암호화
작업 영역에 CMK를 사용하도록 설정한 경우 Fabric Data Warehouse는 고객 관리형 키를 사용하여 테이블 정의, 저장 프로시저, 함수 및 스키마 정보와 같은 메타데이터를 암호화합니다.
이렇게 하면 OneLake의 데이터와 웨어하우스의 개인 데이터 베어링 메타데이터가 모두 사용자 고유의 키로 암호화됩니다.
백 엔드 컴퓨팅 풀 계층 암호화
패브릭의 컴퓨팅 백 엔드는 임시 캐시 기반 환경에서 쿼리를 처리합니다. 이러한 캐시에는 데이터가 남아 있지 않습니다. Fabric Warehouse는 사용 후 모든 백 엔드 캐시 콘텐츠를 제거하므로 일시적 데이터는 세션 수명 이후에도 유지되지 않습니다.
백 엔드 캐시는 수명이 짧기 때문에 Microsoft 관리형 키로만 암호화되며 성능상의 이유로 CMK에 의해 암호화되지 않습니다. 백 엔드 캐시는 일반 컴퓨팅 작업의 일부로 자동으로 지워지고 다시 생성됩니다.
OneLake 계층 암호화
OneLake에 저장된 모든 데이터는 기본적으로 Microsoft 관리형 키를 사용하여 미사용 시 암호화됩니다.
CMK를 사용하도록 설정하면 고객 관리형 키(Azure Key Vault에 저장됨)를 사용하여 DEK(데이터 암호화 키)를 암호화하여 추가 보호 봉투를 제공합니다. 키 회전, 액세스 정책 및 감사에 대한 제어를 유지 관리합니다.
중요합니다
CMK 사용 작업 영역에서 모든 OneLake 데이터는 고객 관리형 키를 사용하여 암호화됩니다.
제한점
패브릭 데이터 웨어하우스에 CMK를 사용하도록 설정하기 전에 다음 고려 사항을 검토합니다.
키 전파 지연: Azure Key Vault에서 키를 회전, 업데이트 또는 교체하는 경우 Fabric의 SQL 계층 앞에 전파 지연이 있을 수 있습니다. 특정 조건에서 이 지연은 SQL 연결이 새 키로 다시 설정되기까지 최대 20분이 걸릴 수 있습니다.
백 엔드 캐싱: 패브릭의 백 엔드 컴퓨팅 풀에서 처리된 데이터는 수명이 짧고 메모리 내 특성 때문에 미사용 CMK로 암호화되지 않습니다. 패브릭은 각 사용 후 캐시된 데이터를 자동으로 제거합니다.
키 해지 중 서비스 가용성: CMK에 액세스할 수 없거나 해지되면 키에 대한 액세스가 복원될 때까지 작업 영역에서 읽기 및 쓰기 작업이 실패합니다.
DMV 지원: CMK 구성은 작업 영역 수준에서 설정되고 구성되므로 데이터베이스의 암호화 상태를 보는 데 사용할
sys.dm_database_encryption_keys수 없습니다. 이는 작업 영역 수준에서만 발생합니다.방화벽 제한 사항: Azure Key Vault 방화벽을 사용하는 경우 CMK가 지원되지 않습니다.
패브릭 포털 쿼리 편집기 개체 탐색기의 쿼리는 CMK로 암호화되지 않습니다.