Microsoft Cloud에 대한 위험 평가 가이드
클라우드 위험 평가의 목표는 클라우드로 마이그레이션하기 위해 존재하거나 고려되는 시스템 및 데이터가 organization 신규 또는 확인되지 않은 위험을 도입하지 않도록 하는 것입니다. 정보 처리의 기밀성, 무결성, 가용성 및 개인 정보를 보장하고 식별된 위험을 허용된 내부 위험 임계값 이하로 유지하는 데 중점을 두어야 합니다.
공동 책임 모델에서 CSP(클라우드 서비스 공급자)는 클라우드의 보안 및 규정 준수를 공급자로 관리하는 역할을 담당합니다. 고객은 요구 사항 및 위험 허용 오차에 따라 클라우드에서 보안 및 규정 준수를 관리하고 구성할 책임이 있습니다.
이 가이드에서는 공급업체 위험을 효율적으로 평가하는 방법과 Microsoft에서 제공하는 리소스 및 도구를 사용하는 방법에 대한 모범 사례를 공유합니다.
클라우드의 공동 책임 이해
클라우드 배포는 IaaS(Infrastructure as a Service), PaaS(Platform as a Service) 또는 SaaS(Software as a Service)로 분류할 수 있습니다. 적용 가능한 클라우드 서비스 모델에 따라 솔루션에 대한 보안 제어에 대한 책임 수준이 CSP와 고객 간에 전환됩니다. 기존 온-프레미스 모델에서 고객은 전체 스택을 담당합니다. 클라우드로 이동할 때 모든 물리적 보안 책임은 CSP로 전송됩니다. organization 대한 클라우드 서비스 모델에 따라 추가 책임이 CSP로 전환됩니다. 그러나 대부분의 클라우드 서비스 모델에서 organization 클라우드, 네트워크 연결, 계정 및 ID 및 데이터에 액세스하는 데 사용되는 디바이스를 담당합니다. Microsoft는 고객이 전체 수명 주기 동안 데이터를 계속 제어할 수 있는 서비스를 만드는 데 많은 투자를 하고 있습니다.
Microsoft Cloud는 DevSecOps와 자동화를 조합하여 운영 모델을 표준화하는 하이퍼스케일로 운영됩니다. Microsoft 운영 모델은 기존 온-프레미스 운영 모델에 비해 위험에 접근하는 방식을 변경하여 위험을 관리하기 위해 서로 다르고 때로는 익숙하지 않은 컨트롤을 구현합니다. 클라우드 위험 평가를 수행할 때 Microsoft의 목표는 모든 위험을 해결하는 것이지만 반드시 organization 수행하는 것과 동일한 컨트롤을 구현하는 것은 아닙니다. Microsoft는 다른 컨트롤 집합으로 동일한 위험을 해결할 수 있으며 클라우드 위험 평가에 반영되어야 합니다. 또한 기존 온-프레미스 디자인의 일부 위험은 클라우드 환경에서 심각도가 낮으며 그 반대의 경우도 마찬가지입니다. 강력한 예방 제어를 설계하고 구현하면 형사 및 교정 컨트롤에 필요한 작업의 대부분을 줄일 수 있습니다. 예를 들어 Microsoft의 ZSA(제로 스탠딩 액세스) 구현이 있습니다.
프레임워크 채택
Microsoft는 고객이 내부 위험을 매핑하고 프레임워크를 표준화된 방식으로 클라우드 위험을 해결하는 독립적인 프레임워크에 매핑하는 것이 좋습니다. 기존 내부 위험 평가 모델이 클라우드 컴퓨팅과 관련된 특정 과제를 해결하지 못하면 광범위하게 채택되고 표준화된 프레임워크의 이점을 얻을 수 있습니다. 내부 제어 프레임워크는 이미 여러 표준화된 프레임워크의 결합일 수 있으며, 이러한 컨트롤을 해당 프레임워크에 매핑하면 평가 중에 도움이 됩니다.
보조 이점은 Microsoft가 위험 평가를 가속화하는 설명서 및 도구에서 이러한 프레임워크에 대한 매핑을 제공한다는 것입니다. 이러한 프레임워크의 예로 는 ISO 27001 정보 보안 표준, CIS 벤치마크 및 NIST SP 800-53이 있습니다. Microsoft는 모든 CSP의 가장 포괄적인 규정 준수 제품 집합을 제공합니다. 자세한 내용은 Microsoft 규정 준수 제품을 참조하세요.
Microsoft Purview 규정 준수 관리자를 사용하여 organization 적용되는 업계 및 지역 규정 준수를 평가하는 고유한 평가를 만듭니다. 평가는 필요한 컨트롤, 개선 작업 및 해당되는 경우 평가를 완료하기 위한 Microsoft 작업을 포함하는 평가 템플릿의 프레임워크를 기반으로 합니다. Microsoft 작업의 경우 자세한 구현 계획 및 최근 감사 결과가 제공됩니다. 이러한 방식으로 Microsoft에서 특정 컨트롤을 구현하는 방법을 사실 확인, 매핑 및 연구하는 데 시간을 절약할 수 있습니다. 자세한 내용은 Microsoft Purview 준수 관리자 문서를 참조하세요.
Microsoft가 데이터를 보호하기 위해 작동하는 방식 이해
고객은 클라우드에서 보안 및 규정 준수를 관리하고 구성할 책임이 있지만 CSP는 클라우드의 보안 및 규정 준수를 관리해야 합니다. CSP가 책임을 효과적으로 해결하고 약속을 지키는지 확인하는 한 가지 방법은 ISO 및 SOC와 같은 외부 감사 보고서를 검토하는 것입니다. Microsoft는 STP(서비스 신뢰 포털)에서 인증된 대상 그룹이 외부 감사 보고서를 사용할 수 있도록 합니다.
외부 감사 보고서 외에도 Microsoft는 고객이 다음 리소스를 활용하여 Microsoft가 어떻게 작동하는지 심층적으로 이해할 수 있도록 권장합니다.
주문형 학습 경로: Microsoft Learn은 다양한 topics 수백 개의 학습 경로 및 모듈을 제공합니다. 그중에서도 Microsoft가 고객 데이터를 보호하는 방법을 알아보고 Microsoft 의 기본 보안 및 개인 정보 취급 방침을 이해합니다.
Microsoft 규정 준수에 대한 Service Assurance: Microsoft의 사례에 대한 문서는 더 쉽게 검토할 수 있는 14개의 도메인으로 분류됩니다. 각 도메인에는 각 영역에 대한 일반적인 위험 시나리오를 해결하는 개요가 포함되어 있습니다. 감사 테이블은 STP에 저장된 최신 보고서, 관련 섹션 및 Microsoft 온라인 서비스 감사 보고서가 수행된 날짜에 대한 링크를 포함하는 제공됩니다. 사용 가능한 경우 타사 취약성 평가 및 비즈니스 연속성 계획 확인 보고서와 같은 제어 구현을 보여주는 아티팩트 링크가 제공됩니다. 감사 보고서와 마찬가지로 이러한 아티팩트도 STP에서 호스트되며 액세스하려면 인증이 필요합니다.
| 도메인 | 설명 |
|---|---|
| 아키텍처 | Microsoft 온라인 서비스 설계 및 기본 역할을 하는 보안 원칙. |
| 감사 로깅 및 모니터링 | Microsoft가 로그를 캡처, 처리, 저장, 보호 및 분석하여 무단 활동을 감지하고 성능을 모니터링하는 방법입니다. 보안 및 성능 모니터링을 가능하게 합니다. |
| 데이터 센터 보안 | Microsoft가 전 세계적으로 Microsoft 온라인 서비스 운영할 수 있는 수단을 제공하는 데이터 센터를 안전하게 운영하는 방법. |
| 암호화 및 키 관리 | 고객 통신 및 클라우드에 저장 및 처리된 데이터의 암호화 보호입니다. |
| 거버넌스, 위험 및 규정 준수 | Microsoft가 고객 약속 및 규정 준수 요구 사항을 충족하기 위해 위험을 만들고 관리하는 보안 정책을 적용하는 방법입니다. |
| ID 및 액세스 관리 | Microsoft 온라인 서비스 및 고객 데이터를 무단 또는 악의적인 액세스로부터 보호합니다. |
| 보안 인시던트 관리 | Microsoft가 모든 보안 인시던트에 대해 준비, 검색, 대응 및 통신하는 데 사용하는 프로세스입니다. |
| 네트워크 보안 | Microsoft가 외부 공격으로부터 네트워크 경계를 보호하고 내부 네트워크를 관리하여 전파를 제한하는 방법 |
| 인사 관리 | Microsoft에서 전체 직원의 심사 프로세스, 교육 및 보안 관리. |
| 개인 정보 및 데이터 관리 | Microsoft가 데이터 권한을 유지하기 위해 고객 데이터를 처리하고 보호하는 방법입니다. |
| 복원력 및 연속성 | 서비스 가용성을 유지하고 비즈니스 연속성 및 복구를 보장하는 데 사용되는 프로세스 및 기술입니다. |
| 보안 개발 및 운영 | Microsoft가 수명 주기 동안 서비스를 안전하게 설계, 실행 및 관리하는 방법을 확인합니다. |
| 공급자 관리 | Microsoft가 Microsoft 온라인 서비스 지원하는 타사 회사를 차단하고 관리하는 방법 |
| 위협 및 취약점 관리 | Microsoft가 취약성 및 맬웨어를 검색, 검색 및 해결하는 데 사용하는 프로세스입니다. |
Microsoft 클라우드용 준수 프로그램(CPMC)
Microsoft는 고객이 데이터를 안전하게 유지하고 규정 준수 요구 사항을 충족하는 방법을 이해할 수 있도록 이 사이트의 문서와 같은 정보를 게시하기 위해 공동으로 노력하고 있습니다. 그러나 글로벌 규제 환경에 대한 정보를 유지하고, 복잡한 규정 준수 및 위험 시나리오를 탐색하고, 허용 가능한 수준의 보증에 도달하는 것은 어려울 수 있습니다. 이러한 문제를 해결하기 위해 Microsoft는 CPMC(Microsoft 클라우드용 준수 프로그램)를 시작했습니다. CPMC는 개인 설정된 규정 및 업계별 규정 준수 지원, 교육 및 네트워킹 기회를 제공하는 요금 기반 프리미엄 프로그램입니다. CPMC 특정 제품에 대한 자세한 내용은 CPMC 웹 사이트를 검사.