다음을 통해 공유

Microsoft 365 앱 준수 설명서 부록 및 용어집

  • 아티클

부록 A

TLS 프로필 구성 요구 사항

가상 네트워크, 클라우드 서비스 또는 데이터 센터 내에서 모든 네트워크 트래픽은 최소 TLS v1.1(TLS v1.2 이상 권장) 또는 기타 적용 가능한 프로토콜로 보호되어야 합니다. 이 요구 사항에 대한 예외는 다음과 같습니다.

  • HTTP-HTTPS 리디렉션. 앱은 HTTP를 통해 응답하여 클라이언트를 HTTPS로 리디렉션할 수 있지만 응답에 중요한 데이터(쿠키, 헤더, 콘텐츠)가 포함되어서는 안 됩니다. HTTPS로 리디렉션하고 상태 프로브에 응답하는 것 이외의 다른 HTTP 응답은 허용되지 않습니다. 아래를 참조하세요.
  • 상태 프로브. 앱은 HTTPS 상태 프로브가 검사 당사자가 지원하지 않는 경우에만 HTTP를 통해 상태 프로브에 응답할 수 있습니다.
  • 인증서 액세스. 인증서 유효성 검사 및 해지 확인을 위해 CRL, OCSP 및 AIA 엔드포인트에 대한 액세스는 HTTP를 통해 허용됩니다.
  • 로컬 통신. 앱은 운영 체제를 종료하지 않는 통신에 HTTP(또는 보호되지 않는 기타 프로토콜)를 사용할 수 있습니다(예: localhost에 노출된 웹 서버 엔드포인트에 연결).

TLS 압축을 사용하지 않도록 설정해야 합니다 .

부록 B

암호화 프로필 구성 요구 사항

다음과 같이 암호화 기본 형식 및 매개 변수만 허용됩니다.

대칭 암호화

Encryption

 ✓ AES, BitLocker, 복어 또는 TDES만 허용됩니다. 지원되는 키 길이 >=128은 허용되며(128비트, 192비트 및 256비트) 사용할 수 있습니다(256비트 키 권장).

 ✓ CBC 모드만 허용됩니다. 모든 암호화 작업은 새로 생성된 임의로 생성된 IV(초기화 벡터)를 사용해야 합니다.

 ✓ RC4와 같은 스트림 암호의 사용 은 허용되지 않습니다 .

해시 함수

 ✓ 모든 새 코드는 SHA-256, SHA-384 또는 SHA-512(SHA-2라고도 함)를 사용해야 합니다. 출력이 128비트 이하로 잘려질 수 있습니다.

 ✓ SHA-1은 호환성상의 이유로만 사용할 수 있습니다.

 ✓ 비 암호화 애플리케이션에도 MD5, MD4, MD2 및 기타 해시 함수를 사용할 수 없습니다.

메시지 인증

 ✓ 모든 새 코드는 승인된 해시 함수 중 하나와 함께 HMAC를 사용해야 합니다. HMAC의 출력은 128비트 이하로 잘립니다.

 ✓ HMAC-SHA1은 호환성상의 이유로만 사용할 수 있습니다.

 ✓ HMAC 키는 128비트 이상이어야 합니다. 256비트 키를 사용하는 것이 좋습니다.

비대칭 알고리즘

Encryption

 ✓ RSA가 허용됩니다. 키는 2048비트 이상 이어야 하며 OAEP 패딩을 사용해야 합니다. PKCS 패딩 사용은 호환성상의 이유로만 허용됩니다.

서명

 ✓ RSA가 허용됩니다. 키는 2048비트 이상 이어야 하며 PSS 패딩을 사용해야 합니다. PKCS 패딩 사용은 호환성상의 이유로만 허용됩니다.

 ✓ECDSA가 허용됩니다. 키는 256비트 이상 이어야 합니다 . NIST P-256, P-384 또는 P-521 곡선을 사용해야 합니다.

키 교환

 ✓ ECDH가 허용됩니다. 키는 256비트 이상 이어야 합니다 . NIST P-256, P-384 또는 P-521 곡선을 사용해야 합니다.

 ✓ ECDH가 허용됩니다. 키는 256비트 이상 이어야 합니다 . NIST P-256, P-384 또는 P-521 곡선을 사용해야 합니다.

부록 C

Evidence Collection – DELTA for ISO 27001

이미 ISO27001 규정 준수를 달성한 경우 ISO 27001에서 완전히 적용되지 않는 다음 델타(간격)는 최소한 이 Microsoft 365 인증의 일부로 검토되어야 합니다.

참고

Microsoft 365 인증 평가의 일환으로 인증 분석가는 매핑된 ISO 27001 컨트롤이 ISO 27001 평가의 일부로 포함되지 않은지 여부를 결정하고 추가 보증을 제공하기 위해 포함된 것으로 확인된 컨트롤을 샘플링하기로 결정할 수도 있습니다. ISO 27001에서 누락된 모든 요구 사항은 Microsoft 365 인증 평가 활동에 포함되어야 합니다.

맬웨어 보호 – 바이러스 백신

애플리케이션 제어를 사용하여 맬웨어 보호가 이루어지고 ISO 27001 내에서 맬웨어 보호가 실행되는 경우 추가 조사가 필요하지 않습니다. 애플리케이션 제어가 없는 경우 인증 분석가는 환경 내에서 맬웨어의 폭발을 방지하기 위해 애플리케이션 제어 메커니즘의 증거를 식별하고 평가해야 합니다. 이렇게 하려면 다음을 수행해야 합니다.

  • 바이러스 백신 소프트웨어가 샘플링된 모든 시스템 구성 요소에서 실행되고 있음을 보여 줍니다.

  • 바이러스 백신이 맬웨어를 자동으로 차단하거나, & 경고를 격리하거나, 경고하도록 샘플링된 모든 시스템 구성 요소에서 구성되어 있음을 보여 줍니다.

  • 바이러스 백신 소프트웨어는 모든 활동을 기록하도록 구성 해야 합니다 .

패치 관리 – 패치

ISO 27001 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 공급업체에서 더 이상 지원하지 않는 소프트웨어 구성 요소 및 운영 체제는 환경 내에서 사용해서는 안 됩니다 . 지원되지 않는 소프트웨어 구성 요소/운영 체제가 환경에서 제거되고 소프트웨어 구성 요소가 수명이 종료되는 시기를 식별하는 프로세스가 마련되어야 합니다.

취약점 검색

ISO 27001 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 분기별 내부 및 외부 취약성 검사가 수행됨을 보여 줍니다.

  • 다음과 같이 위험 순위 및 사양에 따라 취약성 수정을 위한 지원 설명서가 있는지 확인합니다.

✓ 내부 검사에 대한 위험 순위와 함께 모든 위험 및 최고 위험 문제를 인라인으로 수정합니다.

✓ 외부 검사에 대한 위험 순위에 따라 모든 위험, 최고 및 중간 위험 문제를 인라인으로 수정합니다.

✓ 수정이 문서화된 취약성 수정 정책에 따라 인라인으로 수행된다는 것을 보여 줍니다.

방화벽 – 방화벽(또는 해당 기술)

ISO 27001 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 방화벽이 scope 환경의 경계에 설치되어 있음을 보여 줍니다.

  • 방화벽이 DMZ와 신뢰할 수 있는 네트워크 사이에 설치되어 있음을 보여 줍니다.

  • 모든 공용 액세스가 DMZ에서 종료된다는 것을 보여 줍니다.

  • 라이브 환경에 설치하기 전에 기본 관리 자격 증명이 변경됨을 보여 줍니다.

  • 방화벽을 통해 허용된 모든 트래픽이 권한 부여 프로세스를 거치는 것을 보여 줍니다. 그러면 비즈니스 근거가 있는 모든 트래픽에 대한 설명서가 생성됩니다.

  • 모든 방화벽이 명시적으로 정의되지 않은 트래픽을 삭제하도록 구성되어 있음을 보여 줍니다.

  • 방화벽은 모든 비 콘솔 관리 인터페이스에서 강력한 암호화만 지원한다는 것을 보여 줍니다.

  • 인터넷에 노출되는 방화벽의 비 콘솔 관리 인터페이스가 MFA를 지원하는지 보여 줍니다.

  • 방화벽 규칙 검토가 최소 6개월마다 수행됨을 보여 줍니다.

방화벽 – WAF(웹 애플리케이션 방화벽)

애플리케이션이 노출될 수 있는 수많은 웹 애플리케이션 위협 및 취약성으로부터 보호하기 위해 WAF가 배포된 경우 추가 크레딧이 제공됩니다. WAF 또는 이와 유사한 항목이 있는 경우 다음을 수행해야 합니다.

  • WAF가 활성 방어 모드로 구성되었거나 경고를 사용하여 더 많이 모니터링하는 것을 보여 줍니다.

  • WAF가 SSL 오프로드를 지원하도록 구성되어 있음을 보여 줍니다.

  • 다음 공격 유형 대부분으로부터 보호하기 위해 OWASP 핵심 규칙 집합(3.0 또는 3.1)에 따라 구성됩니다.

✓ 프로토콜 및 인코딩 문제.

✓ 헤더 주입, 요청 밀수 및 응답 분할.

✓ 파일 및 경로 순회 공격.

✓ RFI(원격 파일 포함) 공격.

✓ 원격 코드 실행 공격.

✓ PHP 주입 공격.

✓ 교차 사이트 스크립팅 공격.

✓ SQL 삽입 공격.

✓ 세션 고정 공격.

컨트롤 변경

ISO 27001 감사는 변경 요청 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 변경 요청에 다음 세부 정보가 있음을 보여 줍니다.

✓ 문서화된 영향.

✓ 수행할 기능 테스트에 대한 세부 정보입니다.

✓ 모든 백아웃 절차의 세부 정보입니다.

  • 변경이 완료된 후 기능 테스트가 수행됨을 보여 줍니다.

  • 기능 테스트가 수행된 후 변경 요청이 로그오프되었음을 보여 줍니다.

계정 관리

ISO 27001 감사는 계정 관리 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 재생 공격(예: MFA, Kerberos)을 완화하기 위해 ✓s가 구현되는 방법을 보여 줍니다.
  • 3개월 동안 사용되지 않은 계정을 사용하지 않도록 설정하거나 삭제하는 방법을 보여 줍니다.
  • 사용자 자격 증명을 보호하려면 ✓또는 기타 적합한 완화를 구성해야 합니다. 다음 최소 암호 정책을 지침으로 사용해야 합니다.

✓ 최소 암호 길이는 8자입니다.

✓ 계정 잠금 임계값이 10회를 넘지 않습니다.

✓ 최소 5개의 암호의 암호 기록입니다.

✓ 강력한 암호 사용 적용.

  • MFA가 모든 원격 액세스 솔루션에 대해 구성되어 있음을 보여 줍니다.

  • 강력한 암호화가 모든 원격 액세스 솔루션에 구성되어 있음을 보여 줍니다.

  • 공용 DNS 관리가 scope 환경 외부에 있는 경우 DNS를 수정할 수 있는 모든 사용자 계정은 MFA를 사용하도록 구성해야 합니다.

침입 감지 및 방지(선택 사항)

ISO 27001 감사는 IDPS(침입 탐지 및 방지 서비스) 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • IDPS는 지원 환경의 경계에 배포 해야 합니다 .

  • IDPS 서명은 지난 날 내에 최신 상태로 유지해야 합니다 .

  • TLS 검사를 위해 IDPS를 구성 해야 합니다 .

  • 모든 인바운드 및 아웃바운드 트래픽에 대해 IDPS를 구성 해야 합니다 .

  • 경고를 위해 IDPS를 구성 해야 합니다 .

이벤트 로깅

ISO 27001 감사는 보안 이벤트 로깅 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 공용 시스템이 DMZ 내에 없는 중앙 집중식 로깅 솔루션에 로깅하고 있음을 보여 줍니다.

  • 최소 30일 분량의 로깅 데이터를 즉시 사용할 수 있으며 90일이 보존되는 방법을 보여 줍니다.

검토(로깅 데이터)

ISO 27001 감사는 이 범주의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 매일 로그 검토가 수행되는 방법과 예외 및 변칙이 식별되는 방식을 보여 줍니다.

경고

ISO 27001 감사는 이 범주의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 즉시 심사를 위해 경고를 트리거하도록 보안 이벤트를 구성하는 방법을 보여 줍니다.

  • 24/7 직원이 보안 경고에 응답하는 방법을 보여 줍니다.

위험 관리

ISO 27001 감사는 위험 평가 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 공식적인 위험 관리 프로세스가 설정되었음을 보여 줍니다.

사고 대응

ISO 27001 감사는 인시던트 대응 정책 및 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 인시던트 응답 계획/프로시저에 다음이 포함되어 있음을 보여 줍니다.

✓ 예상 위협 모델에 대한 특정 대응 절차입니다.

✓ NIST 사이버 보안 프레임워크에 부합하는 인시던트 처리 기능(식별, 보호, 감지, 대응, 복구).

✓ IRP는 scope 시스템을 다룹니다.

✓ 인시던트 대응 팀에 대한 연간 교육.

부록 D

Evidence 컬렉션 – PCI DSS에 대한 델타

PCI DSS 규정 준수를 이미 달성한 경우 PCI DSS에서 완전히 다루지 않는 다음 델타(간격)는 최소한 이 Microsoft 365 인증의 일부로 검토되어야 합니다.

참고

Microsoft 365 인증 평가의 일환으로 인증 분석가는 매핑된 PCI DSS 컨트롤이 PCI DSS 평가의 일부로 포함되지 않은지 여부를 결정하고 추가 보증을 제공하기 위해 포함된 것으로 확인된 컨트롤을 샘플링하기로 결정할 수도 있습니다. PCI DSS에서 누락된 모든 요구 사항은 Microsoft 365 인증 평가 활동에 포함되어야 합니다.

맬웨어 보호 - 애플리케이션 제어

바이러스 백신을 사용하여 맬웨어 보호가 이루어지고 PCI DSS 보고서 내에서 맬웨어 보호가 이루어지는 경우 추가 조사가 필요하지 않습니다. 바이러스 백신이 없는 경우 인증 분석가는 환경 내에서 맬웨어의 폭발을 방지하기 위해 애플리케이션 제어 메커니즘의 증거를 식별하고 평가해야 합니다. 이렇게 하려면 다음을 수행해야 합니다.

  • 애플리케이션 승인이 수행되는 방법을 보여 줍니다. 이 작업이 완료되었는지 확인합니다.

  • 비즈니스 근거가 있는 승인된 애플리케이션의 전체 목록이 있음을 보여 줍니다.

  • 애플리케이션 제어 소프트웨어가 특정 애플리케이션 제어 메커니즘(즉, 허용 목록, 코드 서명 등)을 충족하도록 구성된 방법을 자세히 설명하는 지원 설명서를 제공하거나 보여 줍니다.

  • 샘플링된 모든 시스템 구성 요소에서 애플리케이션 제어가 문서화된 대로 구성되어 있음을 보여 줍니다.

패치 관리 – 위험 순위

PCI DSS 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 취약성의 위험 순위를 수행하는 방법을 보여 줍니다.

취약점 검색

PCI DSS 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 수정이 문서화된 취약성 수정 정책에 따라 인라인으로 수행된다는 것을 보여 줍니다.

방화벽 – 방화벽(또는 해당 기술)

PCI DSS 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 방화벽은 모든 비 콘솔 관리 인터페이스에서 강력한 암호화만 지원한다는 것을 보여 줍니다.

  • 인터넷에 노출되는 방화벽의 비 콘솔 관리 인터페이스가 MFA를 지원하는지 보여 줍니다.

애플리케이션이 노출될 수 있는 수많은 웹 애플리케이션 위협 및 취약성으로부터 보호하기 위해 WAF(Web Application Firewall)를 배포하는 경우 추가 크레딧이 제공됩니다. WAF 또는 이와 유사한 항목이 있는 경우 다음을 수행해야 합니다.

  • WAF가 활성 방어 모드로 구성되었거나 경고를 사용하여 더 많이 모니터링하는 것을 보여 줍니다.

  • WAF가 SSL 오프로드를 지원하도록 구성되어 있음을 보여 줍니다.

  • 다음 공격 유형 대부분으로부터 보호하기 위해 OWASP 핵심 규칙 집합(3.0 또는 3.1)에 따라 구성됩니다.

✓ 프로토콜 및 인코딩 문제.

✓ 헤더 주입, 요청 밀수 및 응답 분할.

✓ 파일 및 경로 순회 공격.

✓ RFI(원격 파일 포함) 공격.

✓ 원격 코드 실행 공격.

✓ PHP 주입 공격.

✓ 교차 사이트 스크립팅 공격.

✓ SQL 삽입 공격.

✓ 세션 고정 공격.

컨트롤 변경

PCI DSS 감사는 변경 요청 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 프로덕션 환경에서 변경 요청이 발생하기 전에 발생함을 보여 줍니다.

  • 프로덕션으로 전환하기 전에 변경 내용에 권한이 부여되었음을 보여 줍니다.

  • 변경이 완료된 후 기능 테스트가 수행됨을 보여 줍니다.

  • 기능 테스트가 수행된 후 변경 요청이 로그오프되었음을 보여 줍니다.

보안 소프트웨어 개발/배포

PCI DSS 감사는 보안 소프트웨어 개발 및 배포 프로세스의 일부 요소에 특별히 액세스하지 않으므로 이렇게 하려면 다음이 필요합니다.

  • 코드 리포지토리는 MFA를 통해 보호되어야 합니다.

  • 악의적인 코드 수정으로부터 코드 리포지토리를 보호하려면 적절한 액세스 제어가 있어야 합니다.

계정 관리

PCI DSS 감사는 계정 관리 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 재생 공격(예: MFA, Kerberos)을 완화하기 위해 권한 부여 메커니즘을 구현하는 방법을 보여 줍니다.

  • 강력한 암호 정책 또는 기타 적절한 완화를 구성하여 사용자 자격 증명을 보호해야 합니다. 다음 최소 암호 정책을 지침으로 사용해야 합니다.

✓ 최소 암호 길이는 8자입니다.

✓ 계정 잠금 임계값이 10회를 넘지 않습니다.

✓ 최소 5개의 암호의 암호 기록입니다.

✓ 강력한 암호 사용 적용.

  • 강력한 암호화가 모든 원격 액세스 솔루션에 구성되어 있음을 보여 줍니다.

  • 공용 DNS 관리가 scope 환경 외부에 있는 경우 DNS를 수정할 수 있는 모든 사용자 계정은 MFA를 사용하도록 구성해야 합니다.

침입 감지 및 방지(선택 사항)

PCI DSS 감사는 IDPS(침입 감지 및 방지 서비스) 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • TLS 검사를 위해 IDPS를 구성해야 합니다.

  • 모든 인바운드 및 아웃바운드 트래픽에 대해 IDPS를 구성해야 합니다.

위험 관리

PCI DSS 감사는 위험 평가 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 위험 평가에 영향 및 가능성 행렬이 포함되어 있음을 보여 줍니다.

사고 대응

PCI DSS 감사는 인시던트 대응 정책 및 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 개발자는 다음을 수행해야 합니다.

  • NIST 사이버 보안 프레임워크(식별, 보호, 감지, 대응, 복구)에 부합하는 인시던트 처리 기능을 보여 줍니다.

부록 E

Evidence 컬렉션 - SOC 2에 대한 델타

SOC 2 규정 준수를 이미 달성한 경우 SOC 2에서 완전히 적용되지 않는 다음 델타(간격)를 이 Microsoft 365 인증의 일부로 검토해야 합니다.

참고

Microsoft 365 인증 평가의 일환으로 인증 분석가는 매핑된 SOC 2 컨트롤이 SOC 2 평가의 일부로 포함되지 않은지 여부를 결정하고 추가 보증을 제공하기 위해 포함된 것으로 확인된 컨트롤을 샘플링하기로 결정할 수도 있습니다. SOC 2 평가에서 누락된 모든 요구 사항은 Microsoft 365 인증 평가 활동의 일부로 포함되어야 합니다.

맬웨어 보호 - 애플리케이션 제어

바이러스 백신을 사용하여 맬웨어 보호가 이루어지고 SOC 2 보고서 내에서 맬웨어 보호가 이루어지는 경우 추가 조사가 필요하지 않습니다. 바이러스 백신이 없는 경우 인증 분석가는 환경 내에서 맬웨어의 폭발을 방지하기 위해 애플리케이션 제어 메커니즘의 증거를 식별하고 평가해야 합니다. 이렇게 하려면 다음을 수행해야 합니다.

  • 애플리케이션 제어 소프트웨어가 특정 애플리케이션 제어 메커니즘(즉, 허용 목록, 코드 서명 등)을 충족하도록 구성된 방법을 자세히 설명하는 지원 설명서를 제공하거나 보여 줍니다.

  • 애플리케이션 승인이 수행되는 방법을 보여 줍니다. 이 작업이 완료되었는지 확인합니다.

  • 비즈니스 근거가 있는 승인된 애플리케이션의 전체 목록이 있음을 보여 줍니다.

  • 샘플링된 모든 시스템 구성 요소에서 애플리케이션 제어가 문서화된 대로 구성되어 있음을 보여 줍니다.

패치 관리 – 패치

SOC 2 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 모든 낮음, 보통, 높음 또는 위험 문제는 일반 패치 작업 기간 내에 패치해야 합니다.

  • 공급업체에서 더 이상 지원하지 않는 소프트웨어 구성 요소 및 운영 체제는 환경 내에서 사용해서는 안 됩니다. 지원되지 않는 소프트웨어 구성 요소/운영 체제가 환경에서 제거되고 소프트웨어 구성 요소가 수명이 종료되는 시기를 식별하는 프로세스가 마련되어 있어야 합니다.

방화벽 – 방화벽

SOC 2 감사는 방화벽 액세스 제어 목록에 대한 변경 제어를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 방화벽을 통해 허용되는 모든 트래픽이 비즈니스 근거를 사용하여 모든 트래픽에 대한 설명서를 만드는 권한 부여 프로세스를 거치는 것을 보여 줍니다.

  • 방화벽 규칙 검토는 적어도 6개월마다 수행된다는 것을 보여 줍니다.

애플리케이션이 노출될 수 있는 수많은 웹 애플리케이션 위협 및 취약성으로부터 보호하기 위해 WAF(Web Application Firewall) 또는 이와 유사한 항목을 배포하는 경우 추가 크레딧이 제공됩니다. WAF 또는 이와 유사한 항목이 있는 경우 다음을 수행해야 합니다.

  • WAF가 활성 방어 모드로 구성되었거나 경고를 사용하여 더 많이 모니터링하는 것을 보여 줍니다.

  • WAF가 SSL 오프로드를 지원하도록 구성되어 있음을 보여 줍니다.

  • 대부분의 다음 공격 유형으로부터 보호하기 위해 OWASP 핵심 규칙 집합(((3.0 또는 3.1)에 따라 구성됩니다.

 ✓ 프로토콜 및 인코딩 문제.

 ✓ 헤더 주입, 요청 밀수 및 응답 분할.

 ✓ 파일 및 경로 순회 공격.

 ✓ RFI(원격 파일 포함) 공격.

 ✓ 원격 코드 실행 공격.

 ✓ PHP 주입 공격.

 ✓ 교차 사이트 스크립팅 공격.

 ✓ SQL 삽입 공격.

 ✓ 세션 고정 공격.

컨트롤 변경

SOC 2 감사는 변경 요청 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 개발자는 다음을 수행해야 합니다.

  • 개발/테스트 환경이 업무 분리를 적용하는 프로덕션 환경과 분리되는 방법을 보여 줍니다.

  • 개발/테스트 환경 내에서 라이브 데이터가 사용되지 않는 방법을 보여 줍니다.

  • 변경이 완료된 후 기능 테스트가 수행됨을 보여 줍니다.

  • 기능 테스트가 수행된 후 변경 요청이 로그오프되었음을 보여 줍니다.

보안 소프트웨어 개발/배포

SOC 2 감사는 보안 소프트웨어 개발 및 배포 프로세스의 일부 요소에 특별히 액세스하지 않으므로 이렇게 하려면 다음이 필요합니다.

  • 전체 소프트웨어 개발 수명 주기를 다루는 확립되고 문서화된 소프트웨어 개발 프로세스가 있어야 합니다.

  • 개발자는 적어도 매년 보안 소프트웨어 코딩 교육을 받아야 합니다.

  • 코드 리포지토리는 MFA를 통해 보호되어야 합니다.

  • 악의적인 코드 수정으로부터 코드 리포지토리를 보호하려면 적절한 액세스 제어가 있어야 합니다.

계정 관리

SOC2 감사는 계정 관리 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 재생 공격(예: MFA, Kerberos)을 완화하기 위해 권한 부여 메커니즘을 구현하는 방법을 보여 줍니다.

  • 3개월 동안 사용되지 않은 계정을 사용하지 않도록 설정하거나 삭제하는 방법을 보여 줍니다.

  • 강력한 암호 정책 또는 기타 적절한 완화를 구성하여 사용자 자격 증명을 보호해야 합니다. 다음 최소 암호 정책을 지침으로 사용해야 합니다.

 ✓ 최소 암호 길이는 8자입니다.

 ✓ 계정 잠금 임계값이 10회를 넘지 않습니다.

 ✓ 최소 5개 암호의 암호 기록입니다.

 ✓ 강력한 암호 사용 적용

  • 고유한 사용자 계정이 모든 사용자에게 발급됨을 보여 줍니다.

  • 공용 DNS 관리가 scope 환경 외부에 있는 경우 DNS를 수정할 수 있는 모든 사용자 계정은 MFA를 사용하도록 구성해야 합니다.

침입 감지 및 방지(선택 사항).

SOC 2 감사는 IDPS(침입 감지 및 방지 서비스) 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • IDPS 서명은 지난 날 내에 최신 상태로 유지해야 합니다.

  • TLS 검사를 위해 IDPS를 구성해야 합니다.

  • 모든 인바운드 및 아웃바운드 트래픽에 대해 IDPS를 구성해야 합니다.

이벤트 로깅

SOC 2 감사는 보안 이벤트 로깅 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 샘플 집합 내의 모든 시스템 구성 요소에서 다음 이벤트를 기록하도록 다음 시스템을 구성하는 방법을 보여 줍니다.

 ✓ 시스템 구성 요소 및 애플리케이션에 대한 사용자 액세스.

 ✓ 높은 권한의 사용자가 수행한 모든 작업입니다.

 ✓ 잘못된 논리적 액세스 시도.

기록된 이벤트에 포함됨을 보여 줍니다. 최소한 다음 정보는 다음과 같습니다.

 ✓ 사용자.

 ✓ 이벤트의 유형입니다.

 ✓ 날짜 및 시간.

 ✓ 성공/실패 표시기입니다.

 ✓ 영향을 받는 시스템을 식별하는 레이블입니다.

  • 샘플 집합 내의 모든 시스템 구성 요소가 시간 동기화를 활용하도록 구성되어 있으며 이러한 구성 요소가 기본/보조 시간 서버와 동일하다는 것을 보여 줍니다.

  • 공용 시스템이 DMZ 내에 없는 중앙 집중식 로깅 솔루션에 로깅하고 있음을 보여 줍니다.

  • 공용 시스템이 DMZ 내에 없는 중앙 집중식 로깅 솔루션에 로깅하고 있음을 보여 줍니다.

  • 중앙 집중식 로깅 솔루션이 로깅 데이터의 무단 변조로부터 보호되는 방법을 보여 줍니다.

  • 최소 30일 분량의 로깅 데이터를 즉시 사용할 수 있으며 90일 이상이 보존되는 방법을 보여 줍니다.

위험 관리

SOC2 감사는 위험 평가 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 적어도 매년 공식적인 위험 평가가 수행된다는 것을 보여 줍니다.

인시던트 대응.

SOC2 감사는 인시던트 대응 정책 및 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.

  • 인시던트 응답 계획/프로시저에 다음이 포함되어 있음을 보여 줍니다.

 ✓ 예상 위협 모델에 대한 특정 대응 절차입니다.

 ✓ 주요 이해 관계자 (지불 브랜드 / 취득자, 규제 기관, 감독 기관, 이사, 고객 등)의 적시 알림을 보장하기 위해 통신 프로세스를 문서화했습니다.

부록 F

호스팅 배포 유형

Microsoft는 애플리케이션을 배포하고 다양한 호스팅 환경 내에 앱/추가 기능 코드를 저장합니다. Microsoft 365 인증 내의 일부 보안 제어에 대한 전반적인 책임은 사용 중인 호스팅 환경에 따라 달라집니다. 부록 F는 일반적인 배포 유형을 살펴보고 평가 프로세스의 일부로 평가되는 보안 컨트롤에 매핑합니다. 다음 호스팅 배포 유형이 식별되었습니다.

호스팅 유형 설명
ISV 호스팅 ISV 호스팅 형식은 앱/추가 기능 환경을 지원하는 데 사용되는 인프라를 담당하는 위치로 정의할 수 있습니다. 이는 사용자 고유의 데이터 센터 또는 공동 위치 서비스를 사용하는 타사 데이터 센터 내에 물리적으로 위치할 수 있습니다. 궁극적으로 지원 인프라 및 운영 환경에 대한 모든 소유권 및 관리 제어가 있습니다.
IaaS(Infrastructure as a Service)(https://azure.microsoft.com/overview/what-is-iaas/) 서비스로서의 인프라는 물리적 지원 인프라가 CSP(클라우드 서비스 공급자)를 대신하여 관리 및 유지 관리되는 서비스입니다. 일반적으로 네트워킹, 스토리지, 물리적 서버 및 가상화 인프라는 모두 CSP의 책임입니다. 운영 체제, 미들웨어, 런타임, 데이터 및 애플리케이션은 사용자 책임입니다. 방화벽 기능도 타사에서 관리하고 유지 관리합니다. 그러나 방화벽 규칙 기반의 유지 관리는 일반적으로 여전히 소비자의 책임입니다.
PaaS(Platform as a Service/Serverless)(https://azure.microsoft.com/overview/what-is-paas/) Platform as a Service를 사용하면 사용할 수 있는 서비스를 제공하는 관리형 플랫폼으로 프로비전됩니다. 운영 체제 및 지원 인프라가 CSP에서 관리되므로 sysadmin 함수를 수행할 필요가 없습니다. 이는 일반적으로 조직에서 웹 서비스 제공을 원하지 않고 대신 웹 애플리케이션 소스 코드를 만들고 클라우드 관리 웹 서비스에 웹 애플리케이션을 게시하는 데 집중할 수 있는 경우에 사용됩니다. 또 다른 예는 데이터베이스에 대한 연결이 부여되는 데이터베이스 서비스일 수 있지만 지원 인프라 및 데이터베이스 애플리케이션은 소비자로부터 추상화됩니다. 참고: 서버리스 및 PaaS는 유사하므로 Microsoft 365 인증 호스팅 배포 유형의 서버리스 및 PasS는 동일한 것으로 간주됩니다.
하이브리드 호스팅 하이브리드 호스팅 형식을 사용하면 여러 호스트된 형식을 활용하여 지원 환경의 다양한 부분을 지원할 수 있습니다. 여러 Microsoft 365 스택에서 앱/추가 기능을 활용하는 경우가 더 많을 수 있습니다. Microsoft 365 인증은 여러 Microsoft 365 서비스에서 앱/추가 기능이 개발되는 위치를 지원하지만, 전체(앱/추가 기능 간) 지원 환경에 대한 평가는 해당되는 각 "호스트된 형식 매핑"에 따라 평가되어야 합니다. 경우에 따라 단일 추가 기능에 대해 서로 다른 호스트된 형식을 활용할 수 있습니다. 여기서 이 작업을 수행하는 경우 조건의 적용 가능성은 다양한 호스트된 형식의 "호스트된 형식 매핑" 조건을 따라야 합니다.
공유 호스팅 공유 호스팅은 여러 개별 소비자가 공유하는 플랫폼 내에서 환경을 호스팅하는 곳입니다. Microsoft 365 인증 사양은 클라우드 채택으로 인해 이를 고려하여 작성되지 않았으며 공유 호스팅은 일반적이지 않습니다. 사용 중이라고 생각되는 경우 이 유형의 호스팅 유형에 따른 추가 위험을 고려하여 추가 요구 사항을 만들어야 하므로 Microsoft에 문의하세요.

부록 G

자세히 알아보기

Microsoft 365 앱 준수 프로그램 개요Microsoft 365 앱 게시자 증명이란?Microsoft 365 인증이란?

용어집

Aia

*기관 정보 액세스는 발급 인증 기관의 인증서를 찾는 데 사용되는 서비스 위치 설명자입니다.

Crl

*인증서 해지 목록은 SSL(Secure Sockets Layer) 엔드포인트가 원격 호스트에서 받은 인증서가 유효하고 신뢰할 수 있는지 확인하는 수단을 제공합니다.

CVSS 점수

*Common Vulnerability Scoring System은 취약성을 측정하고 심각도에 따라 숫자 점수를 계산하는 게시된 표준입니다.

CVSS 패치 관리 지침

  • Critical(9.0 - 10.0)
  • 높음(7.0 - 8.9)
  • 보통(4.0 - 6.9)
  • 낮음(0.0 - 3.9)

Dmz

*비무장 영역은 호스트의 내부 프라이빗 네트워크를 분리하고 격리하면서 직접 외부 또는 비독재 네트워크와 상호 작용하는 물리적 또는 논리적 중간 네트워크입니다.

FedRAMP

FedRAMP(연방 위험 및 권한 부여 관리 프로그램)는 2011년에 설립된 미국 연방 정부 차원의 프로그램입니다. 클라우드 제품 및 서비스에 대한 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공합니다.

EUII

최종 사용자 식별 정보입니다.

GDPR

*일반 데이터 보호 규정은 애플리케이션 사이트가 있는 위치에 관계없이 모든 EU 시민의 데이터에 대한 유럽 연합(EU) 개인 정보 보호 및 데이터 보호 규정입니다.

HSTS

*HTTP Strict Transport Security는 HTTPS를 통해서만 콘텐츠에 액세스하도록 웹 브라우저에 지시하는 HTTP 응답 헤더를 사용합니다. 이는 다운그레이드 공격 및 쿠키 하이재킹으로부터 보호하도록 설계되었습니다.

Iec

*국제전기기술위원회.

Isms

*정보 보안 관리 시스템.

ISV

독립 보안 공급업체는 타사 소프트웨어 및 하드웨어 플랫폼에서 실행되는 소프트웨어를 개발, 마케팅 및 판매하는 개인 및 조직입니다.

ISO 27001

조직의 모든 기술 제어에 대한 정보 보안 관리 시스템 사양 프레임워크는 관리 정책 및 프로시저 프로세스를 위험하게 합니다.

LFI

로컬 파일 포함 을 사용하면 공격자가 웹 브라우저를 통해 서버에 파일을 포함할 수 있습니다.

Nist

미국 상무부의 비규제 기관인 NIST( 국립표준연구소 )는 사이버 공격을 예방, 탐지 및 대응하는 능력을 평가하고 승인하기 위해 미국의 민간 부문 조직에 대한 지침을 제공합니다.

중요하지 않은 변경 내용

  • 사소한 버그 수정.
  • 사소한 성능 향상.
  • 운영 체제/라이브러리/클라이언트 및 서버 애플리케이션 패치.

Ocsp

온라인 인증서 상태 프로토콜은 X.509 디지털 인증서의 해지 상태 검사 데 사용됩니다.

OII

조직 식별 가능한 정보입니다.

Owasp

웹 애플리케이션 보안 프로젝트를 엽니다.

PCI DSS

전 세계 카드 소유자 데이터의 안전을 위한 표준을 유지하는 organization 결제 카드 산업 데이터 보안 표준입니다.

펜 테스트

침투 테스트 는 공격자가 악용할 수 있는 보안 취약성을 찾기 위해 악의적인 공격을 시뮬레이션하여 웹앱을 테스트하는 방법입니다.

Saml

보안 어설션 태그 언어 는 사용자, ID 공급자 및 서비스 공급자 간에 인증 및 권한 부여 데이터를 교환하기 위한 개방형 표준입니다.

중요한 데이터

  • 액세스 제어 데이터.
  • 고객 콘텐츠.
  • 최종 사용자 ID 정보입니다.
  • 데이터를 지원합니다.
  • 공용 개인 데이터.
  • 최종 사용자 가명 정보입니다.

중요한 변경 내용

  • 호스팅 환경의 재배치.
  • 지원 인프라에 대한 주요 업그레이드; 예를 들어 새 방화벽 구현, 전면 서비스로의 주요 업그레이드 등이 있습니다.
  • 앱에 기능 및 /또는 확장 추가
  • 추가 중요한 데이터를 캡처하는 앱에 업데이트.
  • 앱의 데이터 흐름 또는 권한 부여 모델 변경
  • API 엔드포인트 또는 API 엔드포인트 함수를 추가합니다.

SOC 2

서비스 조직 제어 2는 서비스 공급자가 organization 클라이언트의 데이터 및 개인 정보를 안전하게 관리할 수 있도록 하는 5가지 보안 서비스 원칙으로 구성된 기술 감사 절차입니다.

SSL

보안 소켓 계층.

TLS

전송 계층 보안.