Microsoft Cloud for Sovereignty 정책 포트폴리오

Azure는 다양한 규정 준수 프레임워크 및 업계 표준에 맞는 다양한 기본 제공 이니셔티브를 제공합니다. 이러한 이니셔티브는 데이터 보호, 네트워크 보안, 액세스 제어와 같은 중요한 측면을 다룹니다. 강력한 구성 및 제어를 적용하면 조직의 Azure 리소스에 대한 주권 및 보안 위치를 강화하고 중요한 데이터를 무단 액세스로부터 보호할 수 있습니다.

Microsoft Cloud for Sovereignty 정기적으로 더 많은 이니셔티브를 추가하여 기존의 Azure 기본 제공 이니셔티브 와 사용자 지정 정책 이니셔티브를 확장합니다.

Azure 기본 제공 정책 이니셔티브

Azure 기본 제공 정책 이니셔티브는 Azure 리소스 전체를 중앙 집중식으로 제어하고 특정 구성을 적용할 수 있는 강력한 도구 세트입니다. 이러한 이니셔티브는 정책 정의 모음으로 구성되며 다양한 규제 프레임워크, 업계 표준 및 보안 모범 사례를 준수하도록 지원합니다.

이니셔티브는 거버넌스에 대한 간소화되고 자동화된 접근 방식을 제공하므로 조직은 대규모로 규정 준수를 관리하고 모니터링할 수 있습니다. 정책 이니셔티브에 대한 자세한 내용은 Azure Policy란?을 참조하세요.

Azure 사용자 정의 정책 이니셔티브

Azure 정책 사용자 정의 이니셔티브를 통해 조직의 고유한 요구 사항에 맞게 정책 세트를 맞춤화하여 가장 적합한 표준 및 규칙을 적용할 수 있습니다. 환경. Microsoft Cloud for Sovereignty GitHub의 산업-정책-포트폴리오 저장소를 통해 다양한 사용자 지정 정책 이니셔티브와 규정 준수 매핑에 접근할 수 있습니다. Microsoft Cloud for Sovereignty 정책 이니셔티브는 배포를 사용자 지정하여 환경 감사에 필요한 시간과 복잡성을 줄이고 확립된 규정 준수 프레임워크 및 정부 요구 사항을 충족하는 데 도움이 됩니다.

Microsoft Cloud for Sovereignty 정책 이니셔티브

Azure 기본 제공 이니셔티브를 확장하는 Microsoft Cloud for Sovereignty 이니셔티브 및 규정 준수 매핑은 정책 시행을 자동화하고 규정 위반 위험을 줄이는 강력한 거버넌스 프레임워크를 육성하는 데 도움이 됩니다. 또한, 이 이니셔티브는 데이터 보호 조치도 강화합니다. 조직에서는 다른 프레임워크를 계속 확장하는 동안 사용 가능한 다양한 규정 준수 기본 제공 이니셔티브를 사용할 수 있습니다.

규정 준수 정책 이니셔티브

Microsoft Cloud for Sovereignty 산업 정책 포트폴리오 저장소에서 여러 가지 규정 준수 정책 이니셔티브를 유지 관리합니다. 이 포트폴리오에는 규정 준수 여정을 시작하는 데 도움이 되는 여러 이니셔티브가 들어 있습니다.

이러한 이니셔티브는 Azure 기본 제공 및 사용자 정의 정책 이니셔티브로 사용할 수 있습니다. Azure 정책 포털 페이지를 통해 내장된 정책 이니셔티브를 찾을 수 있습니다. 사용자 정의 이니셔티브의 경우 이니셔티브를 테넌트에 배포해야 합니다. 자세한 내용은 산업-정책-포트폴리오 저장소를 참조하세요. 이 저장소에 있는 정책 이니셔티브와 파일은 가리키다의 시작점으로 사용되기를 바랍니다. 이 파일은 최종적이거나 포괄적인 해결책이 아닌, 노력을 시작하는 데 도움이 되는 리소스입니다.

정책 이니셔티브 외에도 industry-policy-portfolio 저장소에서 목표 매핑를 제어하기 위한 정책 프레임워크와 구체적인 정책에 대한 정보를 찾을 수 있습니다.

포트폴리오에는 다음과 같은 정책 이니셔티브가 포함됩니다.

• NIS2 지침 (프리뷰)은 유럽연합 전역의 중요 인프라와 디지털 서비스의 사이버 보안과 복원력을 강화하여 사이버 위협에 대한 보다 높은 수준의 보호를 보장합니다.
• 스페인 Esquema Nacional de Seguridad(ENS) 고도 보안 조치 는 공공 기관과 정보통신기술(ICT) 제공업체에 대한 보안 통제를 의무화하여 보호하다 데이터 및 서비스에 대한 스페인 및 EU 표준을 준수하도록 보장합니다.
• 뉴질랜드 정보 보안 매뉴얼(NZ ISM) 은 보호하다 뉴질랜드 정부 정보 및 시스템을 보호하기 위한 프로세스와 통제 수단을 수립하는 것을 목표로 합니다.
• 정부 정보 보안 기준선 (Baseline informatiebeveiliging Overheid 또는 네덜란드어로 BIO)은 네덜란드 정부의 모든 수준(중앙 정부, 지방 자치 단체, 지방 및 수자원 위원회)에서 정보 보안을 위한 기본 표준 프레임워크입니다.
• 이탈리아 클라우드 전략 에는 이탈리아 공공 행정부의 데이터 및 디지털 서비스를 클라우드로 이전하기 위한 전략적 지침이 포함되어 있으며, 국가 사이버 보안 기관(ACN)은 클라우드 서비스 및 클라우드 서비스 인프라의 자격에 대한 일련의 요구 사항을 발표했습니다. ...
• 고객이 클라우드 컴퓨팅을 위한 CSA(Cloud Security Alliance) CCM(클라우드 제어 매트릭스) v4 사이버 보안 제어 프레임워크에서 정의한 지침을 충족하는 데 도움이 되는 사용자 지정 Azure 정책 이니셔티브 및 제어 매핑입니다.
• Microsoft Cloud for Sovereignty 기준 글로벌 정책 및 Microsoft Cloud for Sovereignty 기준 기밀 정책.

Microsoft는 최근 두 가지 규제 준수 내장 정책 이니셔티브를 추가로 게시했습니다. Microsoft Cloud for Sovereignty 기준 글로벌 정책 과 Microsoft Cloud for Sovereignty 기준 기밀 정책입니다.

이러한 규정 준수 정책 이니셔티브에 대한 자세한 내용은 industry-policy-portfolio를 참조하세요.

소버린 기본 정책 이니셔티브

Microsoft Clouds for Sovereignty 정책 이니셔티브는 주로 특정 보안 제어 프레임워크에 대한 규정 준수를 입증하는 데 도움이 되도록 설계되었습니다. 그러나 소버린 기준 정책 이니셔티브는 소버린 제어로 프레임워크를 보완하기 위한 기본 제공 Azure 정책 이니셔티브의 특별한 집합입니다.

주권 제어는 조직이 쉽게 도입할 수 있는 방식으로 기존 보안 제어 프레임워크에서 일반적으로 요구하는 것 이상의 데이터 보호 가드레일을 제공하는 Azure 기밀 컴퓨팅 제품을 적절히 사용하는 데 도움이 됩니다.

주권 기준 정책 이니셔티브는 다음과 같이 하나 이상의 주권 제어 목표를 해결하는 방식으로 여러 Azure 정책을 구성할 수 있는 간단한 방법을 조직에 제공합니다.

• 고객 데이터는 고객이 정의한 요구 사항에 따라 승인된 지정학적 지역에 있는 데이터 센터에서 전적으로 저장되고 처리되어야 합니다.
• 고객은 클라우드 및 관리형 서비스 운영자의 고객 데이터 액세스를 승인해야 합니다.
• 고객이 정의한 민감한 고객 데이터는 클라우드 및 관리형 서비스 운영자가 암호화된 방식으로만 액세스할 수 있어야 합니다.
• 고객은 고객이 정의한 민감한 데이터를 해독하는 데 사용되는 키에 액세스할 수 있는 ID를 결정하는 데 독점적인 제어권을 가져야 합니다.

이러한 제어 목표는 고객 데이터를 저장하거나 처리하는 다양한 Azure 제품 내에서 적절한 사용 및 구성을 지원하여 데이터 주권 문제를 해결하기 위해 Azure에서 권장하는 모범 사례입니다. 기준에 포함해야 할 다른 제어 목표가 있다고 생각되면 기능 요청을 생성할 수 있습니다.

소버린 기준 정책 이니셔티브는 Sovereign Landing Zone과 함께 사전 설치되어 제공되거나 기본 제공 Azure Policy로 모든 Azure 테넌트에 배포될 수 있습니다.

소버린 기준 정책 이니셔티브는 기본 제공 규정 준수 이니셔티브를 대체하거나 프레임워크에 직접 매핑되지 않습니다. 조직은 모든 적절한 규제 프레임워크의 준수를 입증하기 위해 기존 이니셔티브를 계속 사용해야 합니다.

Microsoft가 데이터 주권을 어떻게 보는지에 대한 자세한 내용은 백서를 검토하세요.

참조 항목

• Azure 정책 내장 이니셔티브 정의
  
• Azure 정책은 무엇인가요?