다음을 통해 공유


Windows Server에 대한 GDPR(일반 데이터 보호 규정) 여정 시작

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 문서에서는 규정 준수를 위해 Microsoft에서 제공하는 제품 및 GDPR에 대한 정보를 제공합니다.

소개

2018년 5월 25일, 유럽 개인 정보 보호법은 개인 정보 보호 권리, 보안 및 규정 준수에 대한 새로운 글로벌 바를 설정하는 발효 예정입니다.

일반 데이터 보호 규정(GDPR)은 기본적으로 개인의 개인 정보 보호 권한을 보호하고 활성화하는 것입니다. GDPR은 데이터가 전송, 처리 또는 저장되는 위치에 관계없이 개인의 선택을 존중하면서 개인 데이터를 관리하고 보호하는 방법을 제어하는 엄격한 글로벌 개인 정보 보호 요구 사항을 설정합니다.

Microsoft와 고객은 이제 GDPR의 개인 정보 보호 목표를 달성하기 위한 여정을 진행 중입니다. Microsoft는 개인 정보 보호가 기본적인 권리라고 믿고 있으며 GDPR은 개별 개인 정보 보호 권리를 명확히 하고 활성화하기 위한 중요한 단계라고 믿습니다. 그러나 우리는 또한 GDPR이 전 세계 조직에 의해 중대한 변화가 필요하다는 것을 알고 있습니다.

우리는 GDPR에 대한 우리의 약속과 최고 개인 정보 보호 책임자 브렌든 린치 (Brendon Lynch)의 Microsoft 클라우드 블로그 게시물과 일반 데이터 보호 규정에 대한 계약 약정으로 신뢰를 얻는 방법 GDPR 내에서 고객을 지원하는 방법을 설명했습니다.

GDPR 규정 준수에 대한 귀하의 여정은 어려워 보일 수 있지만, Microsoft는 귀하를 돕기 위해 여기에 있습니다. GDPR, 약정 및 여정을 시작하는 방법에 대한 자세한 내용은 Microsoft 보안 센터의 GDPR 섹션을 방문하세요.

GDPR 및 그 의미

GDPR은 개인 데이터를 수집, 사용 및 관리하는 방법에 상당한 변경이 필요할 수 있는 복잡한 규정입니다. Microsoft는 고객이 복잡한 규정을 준수하도록 도와준 오랜 역사를 가지고 있으며, GDPR 준비와 관련하여 Microsoft는 이 여정의 파트너입니다.

GDPR은 유럽 연합 (EU)의 사람들에게 상품과 서비스를 제공하거나 해당 기업이 어디에 있든 EU 거주자와 관련된 데이터를 수집하고 분석하는 조직에 규칙을 부과합니다. GDPR의 주요 요소 중에는 다음이 있습니다.

  • 향상된 개인 정보 보호 권리. EU 거주자가 개인 데이터에 액세스하고, 해당 데이터의 부정확성을 수정하고, 데이터를 지우고, 개인 데이터 처리에 반대하고, 이동할 권리가 있는지 확인하여 데이터 보호를 강화했습니다.

  • 개인 데이터 보호에 대한 의무 증가. 개인 데이터를 처리하는 조직의 책임을 강화하여 규정 준수를 보장하는 책임의 명확성을 높입니다.

  • 필수 개인 데이터 위반 보고입니다. 개인 데이터를 제어하는 조직은 과도한 지연 없이 감독 당국에 개인의 권리와 자유에 위험을 초래하는 개인 데이터 위반을 보고해야 하며, 가능한 경우 위반 사실을 알게 되면 72시간 이내입니다.

예상한 대로 GDPR은 비즈니스에 상당한 영향을 미칠 수 있으며, 잠재적으로 개인 정보 보호 정책을 업데이트하고, 데이터 보호 제어 및 위반 알림 절차를 구현 및 강화하고, 매우 투명한 정책을 배포하고, IT 및 교육에 추가로 투자해야 할 수 있습니다. Microsoft Windows 10은 이러한 요구 사항 중 일부를 효과적이고 효율적으로 해결하는 데 도움이 될 수 있습니다.

개인 및 중요한 데이터

GDPR을 준수하기 위한 노력의 일환으로 규정이 개인 및 중요한 데이터를 정의하는 방법과 이러한 정의가 조직에서 보유한 데이터와 어떻게 관련되는지 이해해야 합니다. 이러한 이해에 따라 해당 데이터가 생성, 처리, 관리 및 저장되는 위치를 검색할 수 있습니다.

GDPR은 개인 데이터를 식별하거나 식별 가능한 자연인과 관련된 정보로 간주합니다. 여기에는 직접 식별(예: 법적 이름) 및 간접 식별(예: 데이터 참조임을 명확히 하는 특정 정보)이 모두 포함될 수 있습니다. 또한 GDPR은 개인 데이터의 개념에 온라인 식별자(예: IP 주소, 모바일 디바이스 ID) 및 위치 데이터가 포함되어 있음을 분명히 합니다.

GDPR은 유전 데이터(예: 개인의 유전자 서열) 및 바이오 메트릭 데이터에 대한 특정 정의를 도입합니다. 유전 데이터 및 바이오 메트릭 데이터와 기타 하위 범주의 개인 데이터(인종 또는 민족 기원을 드러내는 개인 데이터, 정치적 의견, 종교적 또는 철학적 신념 또는 노동조합 회원: 건강에 관한 데이터 또는 개인의 성생활 또는 성적 지향에 관한 데이터)는 GDPR에 따라 민감한 개인 데이터로 취급됩니다. 중요한 개인 데이터는 향상된 보호를 제공하며 일반적으로 이러한 데이터를 처리할 개인의 명시적 동의가 필요합니다.

식별되거나 식별 가능한 자연인과 관련된 정보의 예(데이터 주체)

이 목록은 GDPR을 통해 규제될 여러 유형의 정보의 예를 제공합니다. 전체 목록은 아닙니다.

  • 속성

  • ID 번호(예: SSN)

  • 위치 데이터(예: 집 주소)

  • 온라인 식별자(예: 전자 메일 주소, 화면 이름, IP 주소, 디바이스 ID)

  • 가명 데이터(예: 키를 사용하여 개인 식별)

  • 유전 데이터(예: 바이오개인의 논리적 샘플)

  • 생체 인식 데이터(예: 지문, 얼굴 인식)

GDPR 규정 준수를 향한 여정 시작

GDPR 규격을 준수하기 위해 얼마나 많은 작업이 관련되어 있는지를 고려할 때, 시행이 시작될 때까지 준비하기를 기다리지 않는 것이 좋습니다. 이제 개인 정보 및 데이터 관리 사례를 검토해야 합니다. 다음 네 가지 주요 단계에 집중하여 GDPR 규정 준수에 대한 여정을 시작하는 것이 좋습니다.

  • 발견. 가지고 있는 개인 데이터와 해당 개인 데이터가 어디에 있는지 식별합니다.

  • 관리. 개인 데이터를 사용하고 액세스하는 방법을 제어합니다.

  • 보호 취약성 및 데이터 침해를 방지, 탐지 및 대응하기 위한 보안 제어를 설정합니다.

  • 보고서 데이터 요청에 대해 작업하고, 데이터 위반을 보고하고, 필요한 설명서를 보관합니다.

    4개 주요 GDPR 단계가 함께 작동하는 방법에 대한 다이어그램

각 단계에서는 해당 단계의 요구 사항을 해결하는 데 사용할 수 있는 다양한 Microsoft 솔루션의 예제 도구, 리소스 및 기능을 설명했습니다. 이 문서는 포괄적인 "방법" 가이드는 아니지만, 자세한 내용을 확인할 수 있는 링크가 포함되어 있으며, 자세한 내용은 Microsoft 보안 센터의 GDPR 섹션에서 확인할 수 있습니다.

Windows Server 보안 및 개인 정보

GDPR을 사용하려면 개인 데이터 및 처리 시스템을 보호하기 위해 적절한 기술 및 조직 보안 조치를 구현해야 합니다. GDPR의 컨텍스트에서 물리적 및 가상 서버 환경은 잠재적으로 개인 및 중요한 데이터를 처리합니다. 처리는 데이터 수집, 스토리지 및 검색과 같은 모든 작업 또는 작업 집합을 의미할 수 있습니다.

이 요구 사항을 충족하고 적절한 기술 보안 조치를 구현하는 기능은 점점 더 적대적인 오늘날의 IT 환경에서 직면하는 위협을 반영해야 합니다. 오늘날의 보안 위협 환경은 공격적이고 끈질긴 위협 중 하나입니다. 지난 몇 년 동안 악의적인 공격자는 주로 공격을 통해 커뮤니티 인식을 얻거나 일시적으로 시스템을 오프라인으로 전환할 수 있는 스릴을 얻는 데 집중했습니다. 그 이후로 공격자의 동기는 소유자가 요구되는 몸값을 지불 할 때까지 장치 및 데이터 인질을 보유하는 것을 포함하여 돈을 버는 쪽으로 이동했습니다.

최신 공격은 점점 더 대규모 지적 재산 도난에 초점을 맞추고; 재무 손실을 초래할 수 있는 대상 시스템 저하 전 세계의 개인, 기업 및 국익의 안보를 위협하는 사이버테러리즘도 있습니다. 이러한 공격자는 일반적으로 고도로 훈련된 개인 및 보안 전문가이며, 그 중 일부는 예산이 크고 인적 자원이 무제한인 국가 를 고용하고 있습니다. 이와 같은 위협에는 이 문제를 충족할 수 있는 접근 방식이 필요합니다.

이러한 위협은 사용자가 가질 수 있는 개인 또는 중요한 데이터를 기본 제어할 수 있는 능력에 위험할 뿐만 아니라 전체 비즈니스에도 중대한 위험입니다. McKinsey, Ponemon Institute, Verizon 및 Microsoft의 최근 데이터를 고려합니다.

  • GDPR에서 보고할 것으로 예상되는 데이터 위반 유형의 평균 비용은 $3.5M입니다.

  • 이러한 위반의 63%는 GDPR에서 해결해야 하는 약하거나 도난당한 암호를 포함합니다.

  • 매일 300,000개 이상의 새로운 맬웨어 샘플이 생성되고 확산되어 데이터 보호를 해결하는 작업이 더욱 어려워집니다.

한때 인터넷의 검은 전염병이라고 불렸던 최근의 랜섬웨어 공격에서 볼 수 있듯이, 공격자는 잠재적으로 치명적인 결과를 초래할 수 있는 더 많은 비용을 지불할 수 있는 더 큰 표적을 쫓아가고 있습니다. GDPR에는 실제로 개인 및 중요한 데이터가 풍부한 대상을 포함하는 데스크톱 및 노트북을 포함한 시스템을 만드는 처벌이 포함됩니다.

Windows 개발을 안내하고 계속 안내하는 두 가지 주요 원칙이 있습니다.

  • 보안. 고객을 대신하여 Microsoft 소프트웨어 및 서비스가 저장하는 데이터는 피해로부터 보호하고 적절한 방법으로만 사용하거나 수정해야 합니다. 보안 모델은 개발자가 애플리케이션을 쉽게 이해하고 빌드할 수 있어야 합니다.

  • 개인 정보. 사용자는 데이터가 사용되는 방식을 제어해야 합니다. 정보 사용에 대한 정책은 사용자에게 명확해야 합니다. 사용자는 시간을 최대한 활용하기 위해 정보를 받는 시기와 시기를 제어해야 합니다. 사용자가 보내는 전자 메일의 사용을 제어하는 등 정보의 적절한 사용을 쉽게 지정할 수 있어야 합니다.

Microsoft는 Microsoft의 CEO인 Satya Nadella가 최근에 언급한 대로 이러한 원칙을 지원합니다.

"세계가 계속 변화하고 비즈니스 요구 사항이 진화함에 따라 보안 및 개인 정보 보호에 대한 고객의 요구와 같은 몇 가지 일관성이 있습니다."

GDPR을 준수하기 위해 노력하면서 GDPR에 따라 개인적이고 잠재적으로 중요한 데이터로 인정될 수 있는 데이터를 생성, 액세스, 처리, 저장 및 관리하는 데 물리적 서버와 가상 서버의 역할을 이해하는 것이 중요합니다. Windows Server는 개인 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 구현하기 위해 GDPR 요구 사항을 준수하는 데 도움이 되는 기능을 제공합니다.

Windows Server 2016의 보안 태세는 Bolt-on이 아닙니다. 아키텍처 원칙입니다. 그리고 다음 네 가지 보안 주체에서 가장 잘 이해할 수 있습니다.

  • 보호 예방 조치에 대한 지속적인 초점과 혁신; 알려진 공격 및 알려진 맬웨어를 차단합니다.

  • 탐지. 이상을 발견하고 공격에 더 빠르게 대응하는 데 도움이 되는 포괄적인 모니터링 도구입니다.

  • 응답. 선도적인 응답 및 복구 기술 및 심층 컨설팅 전문 지식

  • 격리. 운영 체제 구성 요소 및 데이터 비밀을 격리하고 관리자 권한을 제한하며 호스트 상태를 엄격하게 측정합니다.

Windows Server를 사용하면 데이터 위반으로 이어질 수 있는 공격 유형을 보호, 감지 및 방어할 수 있는 기능이 크게 향상되었습니다. GDPR 내에서 위반 알림에 대한 엄격한 요구 사항을 감안할 때 데스크톱 및 노트북 시스템을 잘 방어하면 비용이 많이 드는 위반 분석 및 알림을 초래할 수 있는 위험을 낮출 수 있습니다.

다음 섹션에서는 Windows Server가 GDPR 규정 준수 경험의 "보호" 단계에 맞는 기능을 제공하는 방법을 확인할 수 있습니다. 이러한 기능은 다음 세 가지 보호 시나리오에 속합니다.

  • 자격 증명을 보호하고 관리자 권한을 제한합니다. Windows Server 2016은 이러한 변경 내용을 구현하여 시스템이 추가 침입을 위한 시작 지점으로 사용되지 않도록 하는 데 도움이 됩니다.

  • 운영 체제를 보호하여 앱 및 인프라를 실행합니다. Windows Server 2016은 외부 공격자가 악성 소프트웨어를 실행하거나 취약성을 악용하지 못하도록 차단하는 데 도움이 되는 보호 계층을 제공합니다.

  • 보안 가상화. Windows Server 2016을 사용하면 보호된 가상 머신 및 보호된 패브릭을 사용하여 보안 가상화를 사용할 수 있습니다. 이렇게 하면 패브릭의 신뢰할 수 있는 호스트에서 가상 머신을 암호화하고 실행하여 악의적인 공격으로부터 더 잘 보호할 수 있습니다.

특정 GDPR 요구 사항에 대한 참조와 함께 아래에 자세히 설명된 이러한 기능은 운영 체제 및 데이터의 무결성 및 보안을 기본 데 도움이 되는 고급 디바이스 보호를 기반으로 합니다.

GDPR 내의 주요 프로비전은 기본적으로 설계 및 데이터 보호이며, 이 프로비저닝을 충족하는 데 도움이 되는 기능은 BitLocker 디바이스 암호화와 같은 Windows 10 내의 기능입니다. BitLocker는 하드웨어 기반 보안 관련 기능을 제공하는 TPM(신뢰할 수 있는 플랫폼 모듈) 기술을 사용합니다. 이 암호화 프로세서 칩에는 변조 방지를 위한 여러 물리적 보안 메커니즘이 포함되어 있으며 악성 소프트웨어는 TPM의 보안 기능을 변조할 수 없습니다.

변조를 확인 하는 여러 물리적 보안 메커니즘을 포함 하는 해당 칩 이며 악성 소프트웨어는 TPM의 보안 기능에 손상을 입힐 수 없습니다. TPM 기술을 사용할 때의 주요 이점 중 일부는 다음을 수행할 수 있다는 것입니다.

  • 암호화 키의 사용을 생성, 저장 및 제한합니다.

  • TPM의 고유한 RSA 키를 사용하여 플랫폼 디바이스 인증에 TPM 기술을 사용합니다. 이 키는 자체에 소실됩니다.

  • 보안 측정을 수행하고 저장하여 플랫폼 무결성을 보장하는 데 도움이 됩니다.

데이터 위반 없이 운영과 관련된 추가 고급 디바이스 보호에는 시스템 방어 전에 맬웨어를 시작할 수 없도록 하여 시스템의 무결성을 기본 데 도움이 되는 Windows 신뢰할 수 있는 부팅이 포함됩니다.

Windows Server: GDPR 규정 준수 경험 지원

Windows Server 내의 주요 기능은 GDPR이 규정 준수에 필요한 보안 및 개인 정보 메커니즘을 효율적이고 효과적으로 구현하는 데 도움이 될 수 있습니다. 이러한 기능을 사용하면 규정 준수가 보장되지는 않지만, 이러한 기능은 사용자의 노력을 지원합니다.

서버 운영 체제는 조직의 인프라에서 전략적 계층에 위치하여 데이터를 도용하고 비즈니스를 방해할 수 있는 공격으로부터 보호 계층을 만들 수 있는 새로운 기회를 제공합니다. 디자인별 개인 정보 보호, 데이터 보호 및 액세스 제어와 같은 GDPR의 주요 측면은 서버 수준에서 IT 인프라 내에서 해결해야 합니다.

ID, 운영 체제 및 가상화 계층을 보호하기 위해 Windows Server 2016은 도난당한 자격 증명, 맬웨어 및 손상된 가상화 패브릭과 같이 시스템에 대한 불법 액세스를 얻는 데 사용되는 일반적인 공격 벡터를 차단하는 데 도움이 됩니다. 비즈니스 위험을 줄이는 것 외에도 Windows Server 2016에 기본 제공되는 보안 구성 요소는 주요 정부 및 산업 보안 규정의 규정 준수 요구 사항을 해결하는 데 도움이 됩니다.

이러한 ID, 운영 체제 및 가상화 보호를 사용하면 Windows Server를 실행하는 데이터 센터를 모든 클라우드에서 VM으로 더 잘 보호하고 공격자가 자격 증명을 손상시키고, 맬웨어를 시작하고, 네트워크에서 검색되지 기본 수 있는 기능을 제한할 수 있습니다. 마찬가지로 Hyper-V 호스트로 배포될 때 Windows Server 2016은 보호된 가상 머신 및 분산 방화벽 기능을 통해 가상화 환경에 대한 보안 보증을 제공합니다. Windows Server 2016에서는 서버 운영 체제가 데이터 센터 보안에 적극적으로 참여하게 됩니다.

자격 증명 보호 및 관리자 권한 제한

개인 데이터에 대한 액세스 제어 및 해당 데이터를 처리하는 시스템은 관리자의 액세스를 포함하여 특정 요구 사항이 있는 GDPR을 사용하는 영역입니다. 권한 있는 ID는 Do기본 관리istrators, Enterprise 관리istrators, local 관리istrators 또는 Power Users 그룹의 구성원인 사용자 계정과 같이 상승된 권한이 있는 계정입니다. 이러한 ID에는 백업 수행, 시스템 종료 또는 로컬 보안 정책 콘솔의 사용자 권한 할당 노드에 나열된 기타 권한과 같은 직접 권한이 부여된 계정이 포함될 수도 있습니다.

일반적인 액세스 제어 원칙 및 GDPR에 따라 잠재적인 공격자에 의한 손상으로부터 이러한 권한 있는 ID를 보호해야 합니다. 먼저 ID가 손상되는 방식을 이해하는 것이 중요합니다. 그런 다음 공격자가 이러한 권한 있는 ID에 액세스하지 못하도록 계획할 수 있습니다.

권한 있는 ID는 어떻게 손상되는가?

조직에 보호 지침이 없는 경우 권한 있는 ID가 손상될 수 있습니다. 다음은 예입니다.

  • 필요한 것보다 더 많은 권한. 가장 일반적인 문제 중 하나는 사용자가 작업 기능을 수행하는 데 필요한 것보다 더 많은 권한을 가지고 있다는 것입니다. 예를 들어 DNS를 관리하는 사용자는 AD 관리자일 수 있습니다. 대부분의 경우 다른 관리 수준을 구성할 필요가 없도록 이 작업을 수행합니다. 그러나 이러한 계정이 손상된 경우 공격자는 자동으로 상승된 권한을 가집니다.

  • 상승된 권한으로 지속적으로 로그인합니다. 또 다른 일반적인 문제는 상승된 권한을 가진 사용자가 무제한으로 사용할 수 있다는 것입니다. 이는 권한 있는 계정을 사용하여 데스크톱 컴퓨터에 로그인하고, 로그인 상태를 유지하고, 권한 있는 계정을 사용하여 웹을 찾아보고 전자 메일(일반적인 IT 작업 기능)을 사용하는 IT 전문가에게 매우 일반적입니다. 권한 있는 계정의 기간 제한이 없으면 계정이 공격에 더 취약해지고 계정이 손상될 확률이 높아집니다.

  • 사회 공학 연구. 대부분의 자격 증명 위협은 조직을 조사한 다음 사회 공학을 통해 수행하여 시작됩니다. 예를 들어 공격자는 이메일 피싱 공격을 수행하여 조직의 네트워크에 액세스할 수 있는 합법적인 계정(반드시 상승된 계정은 아님)을 손상시킬 수 있습니다. 그런 다음 공격자는 이러한 유효한 계정을 사용하여 네트워크에 대한 추가 조사를 수행하고 관리 작업을 수행할 수 있는 권한 있는 계정을 식별합니다.

  • 상승된 권한으로 계정을 활용합니다. 네트워크에서 상승되지 않은 일반 사용자 계정이 있더라도 공격자는 상승된 권한이 있는 계정에 액세스할 수 있습니다. 이 작업을 수행하는 가장 일반적인 방법 중 하나는 Pass-the-Hash 또는 Pass-the-Token 공격을 사용하는 것입니다. Pass-the-Hash 및 기타 자격 증명 도난 기술에 대한 자세한 내용은 PtH(Pass-the-Hash) 페이지의 리소스 를 참조하세요.

물론 공격자가 권한 있는 ID를 식별하고 손상시키는 데 사용할 수 있는 다른 방법이 있습니다(매일 새 메서드가 생성됨). 따라서 사용자가 최소 권한 계정으로 로그온하여 공격자가 권한 있는 ID에 액세스할 수 있는 기능을 줄이는 방법을 설정하는 것이 중요합니다. 아래 섹션에서는 Windows Server가 이러한 위험을 완화할 수 있는 기능에 대해 간략하게 설명합니다.

JIT(Just-In-Time 관리) 및 JEA(Just Enough 관리)

Pass-the-Hash 또는 Pass-the-Ticket 공격으로부터 보호하는 것이 중요하지만, 사회 공학, 불만을 품은 직원 및 무차별 암호 대입을 비롯한 다른 수단을 통해 관리자 자격 증명을 계속 도난할 수 있습니다. 따라서 자격 증명을 최대한 격리하는 것 외에도 손상된 경우 관리자 수준 권한의 범위를 제한하는 방법도 원합니다.

현재 관리자 계정이 너무 많으면 책임 영역이 하나만 있어도 권한이 초과됩니다. 예를 들어 DNS 서버를 관리하기 위해 매우 좁은 권한 집합이 필요한 DNS 관리자는 종종 관리자 수준 권한을 부여합니다기본. 또한 이러한 자격 증명은 영원히 부여되므로 사용할 수 있는 기간에 제한이 없습니다.

불필요한 수행기본 관리자 수준 권한이 있는 모든 계정은 자격 증명을 손상하려는 공격자에 대한 노출을 증가합니다. 공격에 대한 노출 영역을 최소화하기 위해 관리자가 작업을 수행하는 데 필요한 특정 권한 집합만 제공하고 완료하는 데 필요한 시간 동안만 제공하려고 합니다.

Just Enough 관리istration 및 Just-In-Time 관리istration을 사용하여 관리자는 필요한 정확한 시간에 필요한 특정 권한을 요청할 수 있습니다. 예를 들어 DNS 관리자의 경우 PowerShell을 사용하여 Just Enough 관리istration을 사용하도록 설정하면 DNS 관리에 사용할 수 있는 제한된 명령 집합을 만들 수 있습니다.

DNS 관리자가 서버 중 하나를 업데이트해야 하는 경우 Microsoft Identity Manager 2016을 사용하여 DNS를 관리하기 위한 액세스를 요청합니다. 요청 워크플로에는 요청된 권한을 부여하기 전에 관리자의 휴대폰을 호출하여 자신의 ID를 확인할 수 있는 2단계 인증과 같은 승인 프로세스가 포함될 수 있습니다. 권한이 부여되면 해당 DNS 권한은 특정 시간 범위 동안 DNS에 대한 PowerShell 역할에 대한 액세스를 제공합니다.

DNS 관리자의 자격 증명이 도난당한 경우 이 시나리오를 상상해 보십시오. 첫째, 자격 증명에 연결된 관리자 권한이 없으므로 공격자는 DNS 서버 또는 다른 시스템에 액세스하여 변경할 수 없습니다. 공격자가 DNS 서버에 대한 권한을 요청하려고 하면 2단계 인증에서 ID를 확인하도록 요청합니다. 공격자가 DNS 관리자의 휴대폰을 가지고 있을 가능성이 없으므로 인증에 실패합니다. 이렇게 하면 공격자가 시스템에서 잠기고 IT 조직에 자격 증명이 손상될 수 있음을 경고합니다.

또한 많은 조직에서는 무료 로컬 관리사용자 암호 솔루션(LAPS)을 서버 및 클라이언트 시스템에 대한 단순하면서도 강력한 JIT 관리 메커니즘으로 사용합니다. LAPS 기능은 할 일기본 조인된 컴퓨터의 로컬 계정 암호를 관리합니다. 암호는 AD(Active Directory)에 저장되고 ACL(액세스 제어 목록)에 의해 보호되므로 적격 사용자만 암호를 읽거나 재설정을 요청할 수 있습니다.

Windows 자격 증명 도난 완화 가이드설명된 대로

"범죄자가 자격 증명 도난을 수행하고 공격을 재사용하는 데 사용하는 도구와 기술이 향상되고 악의적인 공격자는 목표를 더 쉽게 달성할 수 있습니다. 자격 증명 도난은 종종 운영 관행 또는 사용자 자격 증명 노출에 의존하므로 효과적인 완화에는 사람, 프로세스 및 기술을 해결하는 전체적인 접근 방식이 필요합니다. 또한 이러한 공격은 액세스를 확장하거나 유지하기 위해 시스템을 손상시킨 후 공격자가 자격 증명을 도용하는 데 의존하므로 조직은 공격자가 손상된 네트워크에서 자유롭게 이동하고 감지되지 않도록 하는 전략을 구현하여 위반을 신속하게 포함해야 합니다."

Windows Server의 중요한 디자인 고려 사항은 자격 증명 도난, 특히 파생 자격 증명을 완화하는 것이었습니다. Credential Guard는 단순히 방어하는 것이 아니라 하드웨어 기반 격리 공격을 제거하는 데 도움이 되도록 설계된 Windows에서 중요한 아키텍처 변경을 구현하여 파생 자격 증명 도난 및 재사용에 대해 크게 향상된 보안을 제공합니다.

Windows Defender Credential Guard, NTLM 및 Kerberos 파생 자격 증명을 사용하는 경우 가상화 기반 보안을 사용하여 보호되지만 많은 대상 공격에 사용되는 자격 증명 도난 공격 기술과 도구가 차단됩니다. 관리 권한으로 운영 체제에서 실행되는 맬웨어는 가상화 기반 보안으로 보호되는 비밀을 추출할 수 없습니다. Windows Defender Credential Guard는 강력한 완화 방법이지만, 지속적인 위협 공격은 새로운 공격 기술로 전환될 가능성이 높으며, 아래에 설명된 대로 Device Guard를 다른 보안 전략 및 아키텍처와 함께 통합해야 합니다.

Windows Defender Credential Guard

Windows Defender Credential Guard는 가상화 기반 보안을 사용하여 자격 증명 정보를 격리하여 암호 해시 또는 Kerberos 티켓이 가로채는 것을 방지합니다. 완전히 새로운 격리된 LSA(로컬 보안 기관) 프로세스를 사용합니다. 이 프로세스는 나머지 운영 체제에서 액세스할 수 없습니다. 격리된 LSA에서 사용하는 모든 이진 파일은 보호된 환경에서 시작하기 전에 유효성이 검사된 인증서로 서명되어 Pass-the-Hash 형식 공격이 완전히 비효율적입니다.

Windows Defender Credential Guard는 다음을 사용합니다.

  • 가상화 기반 보안(필수) 또한 다음이 필요합니다.

    • 64비트 CPU

    • CPU 가상화 확장 및 확장 페이지 테이블

    • Windows 하이퍼바이저

  • 보안 부팅(필수)

  • TPM 2.0은 불연속 또는 펌웨어(기본 설정 - 하드웨어에 바인딩 제공)

Windows Server 2016에서 자격 증명 및 자격 증명 파생 항목을 보호하여 Windows Defender Credential Guard를 사용하여 권한 있는 ID를 보호할 수 있습니다. Windows Defender Credential Guard 요구 사항에 대한 자세한 내용은 Windows Defender Credential Guard를 사용하여 파생된 do기본 자격 증명 보호를 참조하세요.

Windows Defender 원격 Credential Guard

Windows Server 2016 및 Windows 10 1주년 업데이트의 Windows Defender Remote Credential Guard는 원격 데스크톱 연결이 있는 사용자의 자격 증명을 보호하는 데도 도움이 됩니다. 이전에는 원격 데스크톱 서비스를 사용하는 모든 사용자가 로컬 컴퓨터에 로그온한 다음 대상 컴퓨터에 대한 원격 연결을 수행할 때 다시 로그온해야 했습니다. 이 두 번째 로그인은 대상 컴퓨터에 자격 증명을 전달하여 Pass-the-Hash 또는 Pass-the-Ticket 공격에 노출합니다.

Windows Defender Remote Credential Guard를 사용하여 Windows Server 2016은 원격 데스크톱 세션에 대한 Single Sign-On을 구현하여 사용자 이름과 암호를 다시 입력해야 하는 요구 사항을 제거합니다. 대신 로컬 컴퓨터에 로그온하는 데 이미 사용한 자격 증명을 활용합니다. Windows Defender Remote Credential Guard를 사용하려면 원격 데스크톱 클라이언트 및 서버가 다음 요구 사항을 충족해야 합니다.

  • Active Directory do기본 조인해야 하며 트러스트 관계와 동일한 do기본 또는 do기본 있어야 합니다.

  • Kerberos 인증을 사용해야 합니다.

  • Windows 10 버전 1607 또는 Windows Server 2016 이상을 실행해야 합니다.

  • 원격 데스크톱 클래식 Windows 앱이 필요합니다. 원격 데스크톱 유니버설 Windows 플랫폼 앱은 Windows Defender Remote Credential Guard를 지원하지 않습니다.

원격 데스크톱 서버 및 그룹 정책의 레지스트리 설정 또는 원격 데스크톱 클라이언트의 원격 데스크톱 커넥트ion 매개 변수를 사용하여 Windows Defender Remote Credential Guard를 사용하도록 설정할 수 있습니다. Windows Defender Remote Credential Guard를 사용하도록 설정하는 방법에 대한 자세한 내용은 Windows Defender Remote Credential Guard를 사용하여 원격 데스크톱 자격 증명 보호를 참조하세요. Windows Defender Credential Guard와 마찬가지로 Windows Defender Remote Credential Guard를 사용하여 Windows Server 2016에서 권한 있는 ID를 보호할 수 있습니다.

운영 체제를 보호하여 앱 및 인프라 실행

또한 사이버 위협을 방지하려면 인프라의 표준 운영 관행을 전복하여 제어를 얻고자 하는 맬웨어 및 공격을 찾아서 차단해야 합니다. 공격자가 운영 체제 또는 애플리케이션을 미리 결정되지 않은 실행 불가능한 방식으로 실행할 수 있는 경우 해당 시스템을 사용하여 악의적인 작업을 수행할 수 있습니다. Windows Server 2016은 악성 소프트웨어를 실행하거나 취약성을 악용하는 외부 공격자를 차단하는 보호 계층을 제공합니다. 운영 체제는 시스템 위반을 나타내는 활동에 대해 관리자에게 경고하여 인프라 및 애플리케이션을 보호하는 데 적극적인 역할을 합니다.

Windows Defender Device Guard

Windows Server 2016에는 신뢰할 수 있는 소프트웨어만 서버에서 실행할 수 있도록 하는 Windows Defender Device Guard가 포함되어 있습니다. 가상화 기반 보안을 사용하면 조직의 정책에 따라 시스템에서 실행할 수 있는 이진 파일을 제한할 수 있습니다. 지정된 이진 파일 이외의 다른 항목이 실행하려고 하면 Windows Server 2016에서 해당 이진 파일을 차단하고 실패한 시도를 기록하여 관리자가 잠재적 위반이 발생했음을 확인할 수 있습니다. 위반 알림은 GDPR 규정 준수 요구 사항의 중요한 부분입니다.

Windows Defender Device Guard도 PowerShell과 통합되어 시스템에서 실행할 수 있는 스크립트에 권한을 부여할 수 있습니다. 이전 버전의 Windows Server에서는 관리자가 코드 파일에서 정책을 삭제하기만 하면 코드 무결성 적용을 무시할 수 있습니다. Windows Server 2016에서는 정책에 서명한 인증서에 액세스할 수 있는 사용자만 정책을 변경할 수 있도록 조직에서 서명한 정책을 구성할 수 있습니다.

제어 흐름 보호

Windows Server 2016에는 일부 메모리 손상 공격 클래스에 대한 기본 제공 보호도 포함되어 있습니다. 서버 패치는 중요하지만 아직 확인되지 않은 취약성에 대해 맬웨어가 개발될 가능성이 항상 있습니다. 이러한 취약성을 악용하는 가장 일반적인 방법 중 일부는 실행 중인 프로그램에 비정상적이거나 극단적인 데이터를 제공하는 것입니다. 예를 들어 공격자는 예상보다 프로그램에 더 많은 입력을 제공하여 버퍼 오버플로 취약성을 악용하고 프로그램에서 예약한 영역을 오버런하여 응답을 보유할 수 있습니다. 이렇게 하면 함수 포인터를 보유할 수 있는 인접한 메모리가 손상될 수 있습니다.

프로그램이 이 함수를 통해 호출하면 공격자가 지정한 의도하지 않은 위치로 이동할 수 있습니다. 이러한 공격을 JOP(점프 지향 프로그래밍) 공격이라고도 합니다. Control Flow Guard는 실행할 수 있는 애플리케이션 코드( 특히 간접 호출 지침)를 엄격하게 제한하여 JOP 공격을 방지합니다. 간접 호출에 유효한 대상인 애플리케이션의 함수 집합을 식별하는 간단한 보안 검사 추가합니다. 애플리케이션이 실행되면 이러한 간접 호출 대상이 유효한지 확인합니다.

런타임에 Control Flow Guard 검사 실패하면 Windows Server 2016은 프로그램을 즉시 종료하여 잘못된 주소를 간접적으로 호출하려는 모든 악용을 중단합니다. Control Flow Guard는 Device Guard에 중요한 추가 보호 계층을 제공합니다. 허용 목록에 포함된 애플리케이션이 손상된 경우 Device Guard 차단에서 애플리케이션이 서명되고 신뢰할 수 있는 것으로 간주되기 때문에 Device Guard에서 un검사 실행할 수 있습니다.

그러나 Control Flow Guard는 애플리케이션이 미리 결정되지 않은 실행 불가능한 순서로 실행되는지 여부를 식별할 수 있으므로 공격이 실패하여 손상된 애플리케이션이 실행되지 않습니다. 이러한 보호를 통해 공격자가 Windows Server 2016에서 실행되는 소프트웨어에 맬웨어를 삽입하기가 매우 어렵습니다.

개인 데이터를 처리할 애플리케이션을 빌드하는 개발자는 애플리케이션에서 CFG(Control Flow Guard)를 사용하도록 설정하는 것이 좋습니다. 이 기능은 Microsoft Visual Studio 2015에서 사용할 수 있으며 Windows의 "CFG 인식" 버전인 데스크톱 및 Windows 10 서버 및 Windows 8.1 업데이트(KB3000850)용 x86 및 x64 릴리스에서 실행됩니다. CFG 사용 및 비 CFG 사용 코드가 잘 실행되므로 코드의 모든 부분에 대해 CFG를 사용하도록 설정할 필요가 없습니다. 그러나 모든 코드에 CFG를 사용하도록 설정하지 못하면 보호에 차이가 생기게 될 수 있습니다. 또한 CFG 사용 코드는 Windows의 "CFG-Unaware" 버전에서 잘 작동하므로 완전히 호환됩니다.

Windows Defender 바이러스 백신

Windows Server 2016에는 알려진 맬웨어를 차단하는 Windows Defender의 업계 최고의 활성 검색 기능이 포함되어 있습니다. AV(Windows Defender 바이러스 백신)는 Windows Defender Device Guard 및 Control Flow Guard와 함께 작동하여 모든 종류의 악성 코드가 서버에 설치되지 않도록 방지합니다. 기본적으로 설정되어 있습니다. 관리자가 작업을 시작하기 위해 아무 작업도 수행할 필요가 없습니다. Windows Defender AV는 Windows Server 2016의 다양한 서버 역할을 지원하도록 최적화되어 있습니다. 과거에 공격자는 PowerShell과 같은 셸을 사용하여 악성 이진 코드를 시작했습니다. 이제 Windows Server 2016에서 PowerShell은 Windows Defender AV와 통합되어 코드를 시작하기 전에 맬웨어를 검색합니다.

Windows Defender AV는 데스크톱, 휴대용 컴퓨터 및 서버에 대한 보안 및 맬웨어 방지 관리를 제공하는 기본 제공 맬웨어 방지 솔루션입니다. Windows Defender AV는 Windows 8에서 도입된 이후 크게 개선되었습니다. Windows Server의 Windows Defender 바이러스 백신은 다중 갈래 접근 방식을 사용하여 맬웨어 방지를 개선합니다.

  • 클라우드 제공 보호 는 맬웨어가 이전에 본 적이 없더라도 몇 초 내에 새 맬웨어를 감지하고 차단하는 데 도움이 됩니다.

  • 풍부한 로컬 컨텍스트 는 맬웨어 식별 방법을 향상시킵니다. Windows Server는 Windows Defender AV에 파일 및 프로세스와 같은 콘텐츠뿐만 아니라 콘텐츠의 원본 위치, 저장된 위치 등에 대해서도 알려줍니다.

  • 광범위한 글로벌 센서는 Windows Defender AV를 최신 맬웨어에도 최신 상태로 유지하는 데 도움이 됩니다. 이 작업은 엔드포인트에서 풍부한 로컬 컨텍스트 데이터를 수집하고 해당 데이터를 중앙에서 분석하는 두 가지 방법으로 수행됩니다.

  • 변조 교정은 Windows Defender AV 자체를 맬웨어 공격 방지에 도움이 됩니다. 예를 들어 Windows Defender AV는 신뢰할 수 없는 프로세스가 Windows Defender AV 구성 요소, 해당 레지스트리 키 등을 변조하지 못하게 하는 보호된 프로세스를 사용합니다.

  • 엔터프라이즈 수준 기능은 IT 전문가에게 Windows Defender AV를 엔터프라이즈급 맬웨어 방지 솔루션으로 만드는 데 필요한 도구 및 구성 옵션을 제공합니다.

향상된 보안 감사

Windows Server 2016은 더 빠른 공격 탐지 및 포렌식 분석에 사용할 수 있는 보다 자세한 정보를 제공하는 향상된 보안 감사로 잠재적인 위반 시도에 대해 관리자에게 적극적으로 경고합니다. Control Flow Guard, Windows Defender Device Guard 및 기타 보안 기능의 이벤트를 한 위치에 기록하므로 관리자가 위험에 처할 수 있는 시스템을 보다 쉽게 확인할 수 있습니다.

새 이벤트 범주는 다음과 같습니다.

  • 감사 그룹 멤버 자격입니다. 사용자의 로그인 토큰에서 그룹 멤버 자격 정보를 감사할 수 있습니다. 로그인 세션이 만들어진 PC에서 그룹 멤버 자격을 열거하거나 쿼리할 때 이벤트가 생성됩니다.

  • PnP 작업 감사 플러그 앤 플레이에서 맬웨어를 포함할 수 있는 외부 디바이스를 검색할 때 감사할 수 있습니다. PnP 이벤트를 사용하여 시스템 하드웨어의 변경 내용을 추적할 수 있습니다. 하드웨어 공급업체 ID 목록이 이벤트에 포함됩니다.

Windows Server 2016은 잠재적인 위반에 대한 인텔리전스 보고서에 정보를 통합할 수 있는 OMS(Microsoft Operations Management Suite)와 같은 SIEM(보안 인시던트 이벤트 관리) 시스템과 쉽게 통합됩니다. 향상된 감사에서 제공하는 정보의 깊이를 통해 보안 팀은 잠재적인 위반을 보다 빠르고 효과적으로 식별하고 대응할 수 있습니다.

보안 가상화

오늘날 엔터프라이즈는 SQL Server에서 SharePoint, Active Directory 도메인 컨트롤러에 이르기까지 할 수 있는 모든 것을 가상화합니다. VM(가상 머신)을 사용하면 인프라를 더 쉽게 배포, 관리, 서비스 및 자동화할 수 있습니다. 그러나 보안과 관련하여 손상된 가상화 패브릭은 지금까지 방어하기 어려운 새로운 공격 벡터가 되었습니다. GDPR 관점에서 VM TPM 기술 사용을 포함하여 물리적 서버를 보호하는 것처럼 VM을 보호하는 것에 대해 생각해야 합니다.

Windows Server 2016은 사용자 고유의 패브릭에서만 실행되는 가상 머신을 만들 수 있는 여러 기술을 포함하여 기업이 가상화를 보호하는 방법을 근본적으로 변경합니다. 는 실행되는 스토리지, 네트워크 및 호스트 디바이스로부터 보호하는 데 도움을 줍니다.

보호된 가상 컴퓨터

가상 머신을 마이그레이션, 백업 및 복제본(replica) 쉽게 수정하고 복사할 수 있도록 하는 동일한 기능도 있습니다. 가상 머신은 파일일 뿐이므로 네트워크, 스토리지, 백업 또는 다른 곳에서 보호되지 않습니다. 또 다른 문제는 패브릭 관리자(스토리지 관리자 또는 네트워크 관리자)가 모든 가상 머신에 액세스할 수 있다는 것입니다.

패브릭의 손상된 관리자는 가상 머신에서 데이터를 쉽게 손상시킬 수 있습니다. 공격자가 해야 할 일은 손상된 자격 증명을 사용하여 원하는 VM 파일을 USB 드라이브에 복사하고 다른 시스템에서 해당 VM 파일에 액세스할 수 있는 조직 밖으로 나가는 것입니다. 예를 들어 도난당한 VM 중 하나가 Active Directory do기본 컨트롤러인 경우 공격자는 콘텐츠를 쉽게 보고 즉시 사용할 수 있는 무차별 암호 대입 기술을 사용하여 Active Directory 데이터베이스의 암호를 해독하여 궁극적으로 인프라 내의 다른 모든 항목에 대한 액세스 권한을 부여할 수 있습니다.

Windows Server 2016에서는 방금 설명한 것과 같은 시나리오로부터 보호하기 위해 보호된 가상 머신(보호된 VM)을 도입했습니다. 보호된 VM에는 조직에서 가상 머신에 BitLocker 암호화를 적용하고 신뢰할 수 있는 호스트에서만 실행하여 손상된 스토리지, 네트워크 및 호스트 관리자로부터 보호할 수 있도록 하는 가상 TPM 디바이스가 포함됩니다. 보호된 VM은 UEFI(Unified Extensible Firmware Interface) 펌웨어를 지원하고 가상 TPM이 있는 2세대 VM을 사용하여 만들어집니다.

호스트 보호자 서비스

보호된 VM과 함께 호스트 보호 서비스는 보안 가상화 패브릭을 만들기 위한 필수 구성 요소입니다. 이 작업은 보호된 VM이 부팅되거나 해당 호스트로 마이그레이션되도록 허용하기 전에 Hyper-V 호스트의 상태를 테스트하는 것입니다. 보호된 VM에 대한 키를 보유하고 있으며 보안 상태가 보장될 때까지 해제되지 않습니다. Hyper-V 호스트가 호스트 보호 서비스에 대해 확인하도록 요구할 수 있는 두 가지 방법이 있습니다.

가장 안전한 첫 번째 증명은 하드웨어에서 신뢰할 수 있는 증명입니다. 이 솔루션을 사용하려면 보호된 VM이 TPM 2.0 칩 및 UEFI 2.3.1이 있는 호스트에서 실행되어야 합니다. 이 하드웨어는 Hyper-V 호스트가 변조되지 않도록 호스트 보호 서비스에 필요한 측정된 부팅 및 운영 체제 커널 무결성 정보를 제공하는 데 필요합니다.

IT 조직에는 관리 신뢰할 수 있는 증명을 사용하는 대안이 있습니다. TPM 2.0 하드웨어가 조직에서 사용되지 않는 경우 바람직할 수 있습니다. 호스트는 단순히 보안 그룹에 배치되고 호스트 보호 서비스는 보안 그룹의 구성원인 호스트에서 보호된 VM을 실행할 수 있도록 구성되므로 이 증명 모델을 쉽게 배포할 수 있습니다. 이 메서드를 사용하면 호스트 컴퓨터가 변조되지 않았는지 확인하기 위한 복잡한 측정값이 없습니다. 그러나 암호화되지 않은 VM이 USB 드라이브의 문 밖으로 나가거나 VM이 권한 없는 호스트에서 실행될 가능성을 제거합니다. VM 파일이 지정된 그룹의 컴퓨터가 아닌 다른 컴퓨터에서 실행되지 않기 때문입니다. TPM 2.0 하드웨어가 아직 없는 경우 관리 신뢰할 수 있는 증명으로 시작하고 하드웨어를 업그레이드할 때 하드웨어에서 신뢰할 수 있는 증명으로 전환할 수 있습니다.

Virtual Machine 신뢰할 수 있는 플랫폼 모듈

Windows Server 2016은 가상 머신용 TPM을 지원하므로 가상 머신에서 BitLocker® 드라이브 암호화와 같은 고급 보안 기술을 지원할 수 있습니다. Hyper-V 관리자 또는 Enable-VMTPM Windows PowerShell cmdlet을 사용하여 2세대 Hyper-V 가상 머신에서 TPM 지원을 사용하도록 설정할 수 있습니다.

호스트에 저장되거나 호스트 보호 서비스에 저장된 로컬 암호화 키를 사용하여 vTPM(가상 TPM)을 보호할 수 있습니다. 따라서 호스트 보호 서비스에는 더 많은 인프라가 필요하지만 더 많은 보호를 제공합니다.

소프트웨어 정의 네트워킹을 사용하는 분산 네트워크 방화벽

가상화된 환경에서 보호를 개선하는 한 가지 방법은 VM이 작동하는 데 필요한 특정 시스템과만 통신할 수 있는 방식으로 네트워크를 분할하는 것입니다. 예를 들어 애플리케이션이 인터넷에 연결할 필요가 없는 경우 해당 시스템을 외부 공격자의 대상으로 제거하여 분할할 수 있습니다. Windows Server 2016의 SDN(소프트웨어 정의 네트워킹)에는 네트워크 내부 또는 외부에서 발생하는 공격으로부터 애플리케이션을 보호할 수 있는 보안 정책을 동적으로 만들 수 있는 분산 네트워크 방화벽이 포함되어 있습니다. 이 분산 네트워크 방화벽은 네트워크에서 애플리케이션을 격리할 수 있도록 하여 보안에 계층을 추가합니다. 여러 서브넷에서 손상되었거나 프로그래밍 방식으로 손상되었을 수 있는 개별 시스템에 대해 필요한 경우 VM 간 트래픽, VM-호스트 트래픽 또는 VM-인터넷 트래픽을 격리하는 가상 네트워크 인프라의 모든 위치에서 정책을 적용할 수 있습니다. Windows Server 2016 소프트웨어 정의 네트워킹 기능을 사용하면 들어오는 트래픽을 비 Microsoft 가상 어플라이언스 라우팅하거나 미러 수 있습니다. 예를 들어 추가 스팸 필터링 보호를 위해 Barracuda 가상 어플라이언스 통해 모든 전자 메일 트래픽을 보내도록 선택할 수 있습니다. 이를 통해 온-프레미스 또는 클라우드 모두에서 추가 보안을 쉽게 계층화할 수 있습니다.

서버에 대한 기타 GDPR 고려 사항

GDPR에는 개인 데이터 위반이 "우발적이거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스, 전송, 저장 또는 기타 처리로 이어지는 보안 위반"을 의미하는 위반 알림에 대한 명시적 요구 사항이 포함되어 있습니다. 처음부터 위반을 감지할 수 없는 경우 72시간 이내에 엄격한 GDPR 알림 요구 사항을 충족하기 위해 앞으로 나아갈 수 없습니다.

Windows 보안 센터 백서에서 언급했듯이, 위반 후: 고급 위협 처리

"위반 전과 달리 위반 후 위반은 이미 발생한 것으로 가정합니다. 비행 기록기 및 CSI(범죄 현장 조사자)의 역할을 합니다. 위반 후 보안 팀은 탐지되지 않고 레이더 아래에 유지되는 공격을 식별, 조사 및 대응하는 데 필요한 정보와 도구 집합을 제공합니다."

이 섹션에서는 Windows Server가 GDPR 위반 알림 의무를 충족하는 데 어떻게 도움이 되는지 살펴봅니다. 이는 사용자의 이익을 위해 수집 및 분석되는 Microsoft에서 사용할 수 있는 기본 위협 데이터와 WINDOWS Defender ATP(Advanced Threat Protection)를 통해 해당 데이터가 중요한 방법을 이해하는 것으로 시작됩니다.

인사이트 보안 진단 데이터

거의 2년 동안 Microsoft는 플랫폼을 강화하고 고객을 보호하는 데 도움이 되는 유용한 인텔리전스로 위협을 전환해 왔습니다. 오늘날 클라우드에서 제공하는 엄청난 컴퓨팅 이점을 통해 위협 인텔리전스에 기반한 풍부한 분석 엔진을 사용하여 고객을 보호하는 새로운 방법을 찾고 있습니다.

자동화된 프로세스와 수동 프로세스, 기계 학습 및 인간 전문가의 조합을 적용하여 자체적으로 학습하고 실시간으로 진화하는 지능형 보안 그래프를 만들어 제품 전체에서 새로운 인시던트를 감지하고 대응하는 총체적인 시간을 줄일 수 있습니다.

Microsoft Intelligence 보안 그래프

Microsoft의 위협 인텔리전스 범위는 말 그대로 수십억 개의 데이터 요소에 걸쳐 있습니다. 매월 검색된 메시지 350억 개, 200개 이상의 클라우드 서비스에 액세스하는 엔터프라이즈 및 소비자 부문에서 10억 명의 고객, 매일 수행되는 140억 개의 인증. 이 모든 데이터는 Microsoft가 사용자 대신 통합하여 보안을 유지하고 생산성을 다시 기본 GDPR의 요구 사항을 충족하는 동적 방식으로 현관을 보호하는 데 도움이 되는 지능형 보안 그래프를 만듭니다.

공격 감지 및 법의학 조사

사이버 공격이 더욱 정교해지고 표적이 됨에 따라 최상의 엔드포인트 방어조차도 결국 위반될 수 있습니다. Windows Defender ATP(Advanced Threat Protection) 및 MICROSOFT ATA(Advanced Threat Analytics)의 두 가지 기능을 사용하여 잠재적인 위반 검색을 도울 수 있습니다.

Windows Defender ATP(Advanced Threat Protection)를 사용하면 네트워크의 고급 공격 및 데이터 위반을 감지, 조사 및 대응할 수 있습니다. GDPR은 개인 데이터 및 처리 시스템의 지속적인 기밀성, 무결성 및 가용성을 보장하기 위해 기술 보안 조치를 통해 보호할 것으로 예상합니다.

Windows Defender ATP의 주요 이점은 다음과 같습니다.

  • 검색할 수 없는 검색 운영 체제 커널, Windows 보안 전문가 및 모든 Microsoft 서비스 걸쳐 10억 대 이상의 컴퓨터 및 신호에서 고유한 광학에 깊이 내장된 센서.

  • 내장되어 있으며, 볼트로 고정되지 않았습니다. 에이전트 없는, 고성능 및 최소한의 영향, 클라우드 기반; 배포 없이 간편하게 관리할 수 있습니다.

  • Windows 보안을 위한 단일 창 Windows Defender ATP, Windows Defender 바이러스 백신 및 Windows Defender Device Guard의 다양한 컴퓨터 타임라인 통합 보안 이벤트를 6개월 동안 살펴보세요.

  • Microsoft 그래프의 힘입니다. Microsoft Intelligence Security Graph를 활용하여 검색 및 탐색을 Office 365 ATP 구독과 통합하여 공격을 추적하고 대응합니다.

Windows Defender ATP 크리에이터스 업데이트 미리 보기의 새로운 기능에서 자세히 알아보세요.

ATA는 조직에서 ID 손상 검색에 도움이 되는 온-프레미스 제품입니다. ATA는 인증, 권한 부여 및 정보 수집 프로토콜(예: Kerberos, DNS, RPC, NTLM 및 기타 프로토콜)을 위해 네트워크 트래픽을 캡처하고 구문 분석할 수 있습니다. ATA는 이 데이터를 사용하여 변칙 및 알려진 공격 패턴을 검색할 수 있도록 네트워크의 사용자 및 기타 엔터티에 대한 동작 프로필을 작성합니다. 다음 표에서는 ATA에서 검색한 공격 유형을 나열합니다.

공격 유형 설명
악의적인 공격 이러한 공격은 다음을 비롯한 알려진 공격 유형 목록에서 공격을 검색하여 검색됩니다.
  • PtT(Pass-the-Ticket)
  • Pass-the-Hash(PtH)
  • 고가도로 해시
  • 위조된 PAC(MS14-068)
  • 골든 티켓
  • 악의적인 복제본(replica)
  • 정찰
  • 무차별 암호 대입 공격
  • 원격 실행
검색할 수 있는 악의적인 공격의 전체 목록과 해당 설명은 ATA에서 검색할 수 있는 의심스러운 활동을 참조하세요.
비정상적인 동작 이러한 공격은 동작 분석을 사용하여 검색되고 기계 학습을 사용하여 다음을 비롯한 의심스러운 활동을 식별합니다.
  • 비정상적인 로그인
  • 알 수 없는 위협
  • 암호 공유
  • 수평 이동
보안 문제 및 위험 이러한 공격은 다음을 포함하여 현재 네트워크 및 시스템 구성을 확인하여 검색됩니다.
  • 끊어진 신뢰
  • 약한 프로토콜
  • 알려진 프로토콜 취약성

ATA를 사용하여 권한 있는 ID를 손상시키려는 공격자를 감지할 수 있습니다. ATA 배포에 대한 자세한 내용은 Advanced Threat Analytics 설명서의 계획, 디자인 및 배포 항목을 참조하세요.

부인

이 문서는 게시 날짜를 기준으로 Microsoft에서 해석하는 GDPR에 대한 논평입니다. 우리는 GDPR과 많은 시간을 보냈고 그 의도와 의미에 대해 사려 깊다고 생각합니다. 그러나 GDPR의 적용은 매우 사실과 관련이 있으며 GDPR의 모든 측면과 해석이 잘 해결되지는 않습니다.

따라서 이 문서는 정보 제공 목적으로만 제공되며 법률 자문으로 사용하거나 GDPR이 사용자와 조직에 적용되는 방식을 결정해서는 안 됩니다. 법적으로 자격을 갖춘 전문가와 협력하여 GDPR, 조직에 구체적으로 적용되는 방법 및 규정 준수를 보장하는 최선의 방법에 대해 논의하는 것이 좋습니다.

MICROSOFT는 이 문서의 정보에 대해 명시적, 묵시적 또는 법적 보증을 하지 않습니다. 이 문서는 "있는 그대로" 제공됩니다. URL 및 기타 인터넷 웹 사이트 참조를 포함하여 이 문서에 표현된 정보 및 보기는 예고 없이 변경될 수 있습니다.

이 문서에서는 Microsoft 제품의 지적 재산권에 대한 법적 권리를 제공하지 않습니다. 이 문서는 내부 참조 용도로만 복사하여 사용할 수 있습니다.

게시 날짜: 2017년 9월
버전 1.0
© 2017 Microsoft. All rights reserved.