Visual Studio App Center 보안 및 규정 준수
중요
Visual Studio App Center는 2025년 3월 31일에 사용 중지될 예정입니다. Visual Studio App Center가 완전히 사용 중지될 때까지 계속 사용할 수 있지만 마이그레이션을 고려할 수 있는 몇 가지 권장 대안이 있습니다.
App Center는 보안을 심각하게 생각합니다. 자사 Microsoft Azure 서비스로서 Microsoft는 안전하고 신뢰할 수 있는 방식으로 운영하기 위한 Microsoft의 모든 내부 요구 사항을 준수해야 합니다.
App Center를 안전하게 유지하기 위해 따르는 몇 가지 원칙에 대한 아이디어를 제공하고자 합니다. 보안 개념의 전체 목록을 의미하지는 않지만 유사한 정보에 대한 고객의 여러 요청에 의해 형성됩니다.
중요
이 설명서는 보안 태세에 대한 정보를 공유하기 위한 것입니다. 이 설명서의 어떤 것도 App Center에 보안 문제가 없음을 의미하거나 고려해야 합니다. 이 설명서의 아무것도 Microsoft의 온라인 서비스 약관에 있는 정보를 대체하지 않습니다. App Center의 잠재적인 보안 문제를 알게 되면 Microsoft 보안 대응 센터에 즉시 문의하세요.
데이터 상주 및 주권
App Center는 거의 전적으로 미국 작동합니다. 앱, 사용자, 조직, 빌드, 배포, 분석 및 진단에 대한 모든 데이터 및 처리는 미국 발생합니다. 다른 국가/지역에서 이 고객 데이터를 호스팅하는 데 사용할 수 있는 옵션은 없습니다.
미국 외부에서 실행되는 App Center의 유일한 부분은 App Center 테스트입니다. App Center 테스트 디바이스는 덴마크에 있습니다. App Center 테스트를 사용하여 생성된 데이터는 덴마크 및 미국 개최됩니다.
CDN(콘텐츠 배달 네트워크)은 App Center에서 일부 콘텐츠 및 앱 릴리스를 제공하는 데 사용됩니다. CDN 현재 상태는 전 세계에 있지만 모든 원본 데이터는 미국 있습니다.
참고
국가별 정책 및 법률로 인해 App Center가 모든 국가/지역에서 작동한다고 보장할 수 없습니다. 중국 지역의 일부 사용자의 경우 분석 및 진단 SDK 데이터는 상당한 지연이 발생하거나 미국 기반한 서버로 전송하지 않을 수 있습니다.
데이터 보안
전송 중 암호화
인터넷을 통해 또는 Azure 데이터 센터 내에서 App Center의 모든 네트워크 트래픽은 TLS 1.2 이상을 사용하여 HTTPS로 보호됩니다.
미사용 암호화
App Center에서 보유하는 모든 데이터는 미사용 시 암호화됩니다. App Center를 빌드하는 데 사용하는 Microsoft Azure 데이터 스토리지 제품에서 제공하는 암호화 기능을 사용합니다. 여기에는 Azure Storage, Azure SQL 및 Azure Cosmos DB가 포함됩니다.
암호화 키
미사용 암호화를 위해 시스템 제공 키를 사용합니다. App Center는 암호화를 위해 고객 관리형 키를 지원하지 않습니다.
다중 테넌트
App Center는 다중 테넌트 시스템입니다. 모든 고객 데이터는 하나의 데이터 저장소 집합 내에 보관됩니다. 고객의 데이터를 별도의 데이터 저장소 또는 격리된 데이터 저장소 집합에 보관할 수 있는 옵션은 없습니다.
코드 보안
App Center의 코드베이스는 오래된 종속성 및 알려진 보안 취약성과 같은 문제에 대해 내부 Microsoft 도구에서 검사합니다. 발견된 모든 문제는 보안 dashboard 표시되고 엔지니어링 팀에서 해결합니다.
서비스 내의 활동이 합법적인지 확인하고 위반 또는 위반 시도를 감지하기 위해 Azure의 인프라를 사용하여 서비스의 주요 측면을 기록하고 모니터링합니다. 또한 모든 배포 및 관리자 활동은 프로덕션 스토리지에 대한 운영자 액세스와 마찬가지로 안전하게 기록됩니다.
가능한 침입 또는 높은 우선 순위의 보안 취약성이 식별된 경우 명확한 보안 인시던트 대응 계획이 있습니다. 이 계획은 책임 있는 당사자, 고객 데이터를 보호하는 데 필요한 단계 및 MSRC( Microsoft Security Response Center), Microsoft Azure 및 App Center 리더십 팀 구성원의 보안 전문가와 협력하는 방법을 간략하게 설명합니다. 또한 데이터가 공개되거나 손상되었다고 판단되는 경우 organization 소유자에게 알립니다.
일반적으로 App Center는 Microsoft 보안 개발 수명 주기를 따릅니다.
프로덕션 시스템에 대한 액세스
때때로 Microsoft 직원은 App Center 내에 저장된 고객 데이터에 액세스해야 합니다. 고객 데이터에 액세스할 수 있는 모든 직원은 이전 고용 및 형사 유죄 판결을 확인하는 배경 검사 전달해야 합니다. 또한 라이브 사이트 인시던트 또는 기타 승인된 유지 관리 작업이 있는 경우에만 프로덕션 시스템에 대한 액세스를 허용합니다. 프로덕션 App Center 시스템에 액세스해야 하는 모든 직원은 JIT(Just-In-Time) 권한 상승을 사용하여 보안 액세스 워크스테이션을 사용해야 합니다. 모든 JIT 권한 상승 요청은 다른 팀 구성원의 승인을 받아야 하며 기록 및 감사됩니다.
App Center의 데이터는 고객 데이터(App Center에 업로드하는 내용), 조직 데이터(organization 등록 또는 관리할 때 사용되는 정보) 및 Microsoft 데이터(서비스 작업을 통해 필요하거나 수집되는 정보)를 구분하기 위해 분류됩니다. 분류에 따라 사용 시나리오, 액세스 제한 및 보존 요구 사항을 제어합니다.
모든 로그인은 Azure Active Directory MFA/2FA(다단계 인증)를 사용합니다.
BCDR(비즈니스 연속성 및 재해 복구)
App Center는 복원력 있는 시스템을 운영하기 위한 내부 Microsoft 및 Azure 요구 사항을 따릅니다. 계획 보드에 참여하고, 적절한 내부 Microsoft 팀과 함께 비즈니스 연속성 및 재해 복구 계획을 정기적으로 검토하고, 필요에 따라 해당 계획을 업데이트합니다.
재해 복구 계획을 정기적으로 테스트합니다.
외부 감사 및 테스트
App Center는 외부 감사(예: SOC 2 또는 ISO 27001) 또는 외부 침투 테스트를 추구하지 않았습니다.
이렇게 하면 여러 내부 Microsoft, Azure 및 클라우드 & AI 부서 규정 준수 시스템 및 요구 사항이 적용됩니다. 이러한 요구 사항은 외부 감사 프로그램에서 찾을 수 있는 것과 크게 겹칩니다. Microsoft의 내부 Azure 요구 사항을 준수한다는 것은 보안 및 비즈니스 연속성 입장이 외부 감사를 완료한 시스템과 거의 동일하다는 것을 의미합니다.
GDPR
App Center는 GDPR을 완벽하게 지원합니다. 데이터가 처리되는 방법과 데이터 주체 요청을 제출할 수 있는 방법을 설명하는 광범위한 설명서 가 있습니다.
보안 보고
App Center는 MSRC( Microsoft Security Response Center )와 협력하여 외부에서 보고된 모든 보안 문제를 해결합니다. App Center의 잠재적인 보안 문제를 알게 되면 즉시 MSRC에 문의하세요.