NERC CIP 표준 및 클라우드 컴퓨팅
이 문서는 NERC(북미 전기안정성공사) CIP(중요 인프라 보호) 표준을 준수해야 함에 따라 데이터 및 워크로드에 대한 클라우드 채택을 고려하는 전력 유틸리티 및 등록 법인을 위한 것입니다.
Microsoft는 전기 유틸리티 및 기타 등록 법인에 사용할 수 있는 Azure와 Azure Government라는 두 가지 클라우드 환경을 제공합니다. 둘 모두는 등록 법인에서 다양한 솔루션을 배포하는 데 사용할 수 있는 다중 테넌트 클라우드 서비스 플랫폼을 제공합니다. 다중 테넌트 클라우드 플랫폼에서는 여러 고객의 애플리케이션과 데이터가 동일한 물리적 하드웨어에 저장됩니다. Azure와 Azure Government는 논리적 격리를 사용하여 서로 다른 고객에게 속하는 애플리케이션과 데이터를 분리합니다. 이 방법은 다중 테넌트 클라우드 서비스의 규모와 경제적 이점을 제공하는 동시에 고객이 서로의 데이터 또는 애플리케이션에 액세스하지 못하도록 엄격하게 방지합니다. 이 문서에서는 전력 산업과 관련된 일반적인 보안 및 격리 문제에 대해 설명합니다. 또한 NERC CIP 표준이 적용되는 Azure 또는 Azure Government에 배포된 데이터 및 워크로드에 대한 규정 준수 고려 사항에 대해서도 설명합니다. 격리 방법에 대한 자세한 기술 설명은 Azure 보안 격리 지침을 참조하세요.
Azure와 Azure Government는 모두 동일한 포괄적인 보안 제어 기능을 갖추고 있습니다. 고객 데이터 보호에 대한 동일한 Microsoft 약속도 공유하고 있습니다. Azure Government는 미국 내 고객 데이터 스토리지와 관련된 계약 약정을 통해 추가 보호 계층을 등록 법인에 제공하고 고객 데이터를 처리하는 시스템에 대한 잠재적인 액세스를 선별된 미국인으로 제한합니다. 또한 Azure Government는 미국에 본사가 있는 등록 법인에서만 사용할 수 있습니다.
Azure와 Azure Government는 모두 NERC CIP 표준을 준수하는 특정 워크로드를 배포하는 등록 법인에 적합합니다.
NERC 개요
NERC(북미 전기안정성공사)는 북미 대량 전력 시스템의 안정성을 보장하는 임무를 수행하는 비영리 규제 기관입니다. NERC는 미국 FERC(연방 에너지 규제 위원회)와 캐나다 정부 당국의 감독을 받습니다. 2006년 FERC는 미국 공법 109-58에서 명시한 대로 2005년 에너지 정책법에 따라 ERO(전기안정성기구)를 지정할 수 있는 권한을 NERC에 부여했습니다. NERC는 북미 지역에서 약 4억 명의 사람들에게 서비스를 제공하는 대량 전력 시스템의 사용자, 소유자 및 운영자에 대한 관할권을 보유하고 있습니다. NERC ERO Enterprise 및 NERC 지역 법인에 대한 자세한 내용은 NERC 주요 참여업체를 참조하세요.
NERC는 NERC CIP 표준이라는 안정성 표준을 개발하고 시행합니다. 미국에서 FERC는 2007년에 첫 번째 CIP 표준 세트를 승인했으며 새로운 개정이 있을 때마다 계속 승인해 왔습니다. 캐나다에서 연방, 주 및 영토 MESG(모니터링 및 집행 하위 그룹)는 캐나다 관할권에서 CIP 표준을 시행할 수 있게 하기 위한 지방 요약을 개발합니다.
Azure 및 Azure Government
Azure는 테넌트 분리 요구 사항을 충족하기 위해 엄격한 제어를 사용하여 설계된 컴퓨팅, 스토리지 및 네트워킹과 같은 핵심 인프라와 가상화 기술 및 서비스를 제공합니다. 이러한 서비스는 온-프레미스 환경에 대한 보안 연결을 사용하도록 설정하는 데도 도움이 됩니다. 대부분의 Azure 서비스를 사용하면 고객 데이터가 저장되는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 고객 데이터를 동일한 지리적 위치 내의 다른 지역에 복제할 수 있습니다. 그러나 Microsoft는 고객 데이터를 선택한 지리적 위치(예: 미국) 외부에 복제하지 않습니다.
Microsoft는 애플리케이션과 데이터를 등록 법인에 배포하기 위해 Azure와 Azure Government라는 두 가지 클라우드 환경을 제공합니다. Azure는 일반적으로 60개가 넘는 전 세계 지역에서 사용할 수 있습니다. 그러나 NERC CIP 표준이 적용되는 등록 법인의 경우 가장 관심 있는 지리적 위치는 미국과 캐나다입니다.
- Azure는 미국과 캐나다의 NERC 등록 법인에서 사용할 수 있습니다.
- Azure Government는 미국에 본사가 있는 NERC 등록 법인에서만 사용할 수 있습니다.
미국과 캐나다에서 사용할 수 있는 Azure 지역 및 미국의 Azure Government 지역은 Azure 지오그래피를 참조하세요. 특정 지역의 Azure 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요.
Azure와 Azure Government는 모두 고객 데이터 및 애플리케이션 보호에 대한 강력한 보증을 제공하기 위해 동일한 강력한 보안 제어 기능을 갖추고 있습니다. 가상화 기술을 사용하여 규모와 리소스 사용률을 제공하는 다중 테넌트 클라우드 환경에서 다양한 서비스를 제공합니다. 공유 환경에서 뛰어난 데이터 분리 및 격리 기능도 제공합니다. 이 설계를 통해 Azure 및 Azure Government를 효율적으로 사용하고 데이터와 워크로드를 다른 테넌트와 격리된 상태로 유지할 수 있습니다. 두 클라우드 환경은 모두 주 지역의 개별 장애 도메인에서 고객 데이터의 3개 복사본을 유지 관리하여 동일한 데이터 중복성을 Azure Storage에 제공합니다. 또한 쌍을 이루는 지역의 개별 장애 도메인에서 고객 데이터의 추가 3개 복사본을 유지 관리하는 지역 중복 스토리지를 사용하도록 설정할 수도 있습니다. Azure Storage는 언제든지 400마일 이상 떨어진 쌍을 이루는 두 지역에 보관된 고객 데이터의 6개 정상 복제본을 유지 관리합니다.
Azure Government는 Azure 클라우드와 물리적으로 분리된 미국 정부 커뮤니티 클라우드입니다. 미국 정부의 특정 배경 심사 요구 사항에 대한 추가 보증을 제공합니다. 예를 들어 Azure Government는 고객 데이터에 잠재적으로 액세스할 수 있는 운영 담당자에 대한 미국인 확인을 의무화합니다. Azure Government는 특정 수출 통제 법률 및 규정이 적용되는 고객을 지원할 수도 있습니다. Azure와 Azure Government는 모두 NERC CIP 표준을 준수하는 특정 워크로드를 배포하는 등록 법인에 적합합니다.
Azure와 Azure Government는 주요 독립 인증 및 증명을 포함하여 업계에서 가장 광범위한 규정 준수 적용 범위를 보유하고 있습니다. Azure Government는 미국 정부 요구 사항과 관련된 추가 규정 준수 적용 범위를 추가합니다.
원자력 전기 유틸리티 고객은 DoE(에너지부)/NNSA(국가핵안보국) 10 CFR 810편 수출 통제 요구 사항의 적용을 받을 수도 있습니다. 특히 DoE 10 CFR 810편은 기밀로 분류되지 않은 원자력 기술 및 지원의 수출을 제어합니다. 810.7(b)절에서는 중요한 원자력 기술을 외국 기업에 제공하거나 이전하려면 특정 DoE 권한 부여가 필요하다고 명시하고 있습니다.
- 수출은 목적지에 관계없이 보호되는 기술 또는 정보를 외국 목적지 또는 외국인에게 이전하는 것입니다.
- 간주 수출은 보호되는 기술과 정보를 미국 내 외국인에게 전달하는 것을 나타냅니다.
Azure Government는 정보 및 시스템에 대한 액세스를 미국인으로 제한하는 특정 제어를 충족하도록 설계되었습니다. 이 약정은 Azure에 적용되지 않습니다. 따라서 Azure에 배포하는 고객은 적절한 위험 평가를 수행하여 외국인에게 공개되지 않아야 하는 데이터를 보호하기 위해 추가 기술 조치를 배포해야 하는지 여부를 결정해야 합니다. 자세한 내용은 Azure DoE 10 CFR 810편 규정 준수 제안을 참조하세요.
원자력 유틸리티 고객은 모든 관련 법률 및 규정을 준수할 전적인 책임이 있습니다. 앞에서 설명한 내용은 법적 조언이 아니며 규정 준수와 관련된 질문이 있는 경우 법률 고문에게 문의해야 합니다.
NERC CIP 데이터 및 워크로드 분류
참고 항목
BES(대량 전기 시스템)를 운영하는 고객은 NERC CIP 표준을 준수할 전적인 책임이 있습니다. Azure와 Azure Government는 모두 BES(대량 전기 시스템) 또는 BES 사이버 자산을 구성하지 않습니다.
NERC에서 명시한 대로 BES(대량 전기 시스템)에 적용되는 CIP 표준은 다음과 같습니다.
- 일반적으로 100kV 이상입니다(주로 방사상선의 경우 몇 가지 예외가 있음).
- 20MVA 이상의 발전 설비, 75MVA 이상의 발전소입니다(완전 자체 수요용 발전의 경우 몇 가지 예외가 있음).
- BES를 모니터링하고 제어하는 제어 센터를 포함합니다.
NERC에서 명시한 대로 CIP 표준은 주로 UFLS(저주파수 부하 차단), UVLS(저전압 부하 차단), 블랙스타트 자원(발전) 및 크랭킹 경로와 같은 몇 가지 예외를 제외하고 배전, 즉 비 BES에 적용되지 않습니다.
클라우드 배포를 위한 NERC CIP 표준 데이터 및 워크로드의 적합성을 평가하려면 등록 법인에서 자체 규정 준수 책임자 및 NERC 감사자와 상의해야 합니다. 현재 CIP 표준 및 NERC 용어집 세트에서 NERC가 제공하는 몇 가지 주요 BES 관련 정의는 다음과 같습니다.
- 사이버 자산: 하드웨어, 소프트웨어 및 이러한 디바이스의 데이터를 포함하여 프로그래밍 가능한 전자 디바이스입니다.
- BCA(BES 사이버 자산): 필요한 작동, 오작동 또는 비작동 후 15분 이내에 사용할 수 없게 되거나 성능이 저하되거나 오용되는 경우 하나 이상의 시설, 시스템 또는 장비에 부정적인 영향을 미치는 사이버 자산입니다. 즉, 파손되거나 성능이 저하되거나 필요할 때 사용할 수 없게 되는 경우 대량 전기 시스템의 신뢰할 수 있는 작동에 영향을 미칠 수 있습니다. 영향을 받는 시설, 시스템 및 장비의 중복성은 부정적인 영향을 결정할 때 고려되지 않습니다. 각 BES 사이버 자산은 하나 이상의 BES 사이버 시스템에 포함됩니다.
- BCS(BES 사이버 시스템): 기능 엔터티에 대해 하나 이상의 안정성 작업을 수행하도록 책임 있는 엔터티에서 논리적으로 그룹화된 하나 이상의 BES 사이버 자산입니다.
- BCS 구성 요소에는 네트워크 스위치와 같이 시스템에서 안정성 작업을 수행하는 데 필요한 "접착형" 인프라 구성 요소(예: 네트워킹 인프라)도 포함됩니다.
- 정의에는 엄청난 유연성이 기본 제공됩니다. 즉, BCS는 전체 제어 시스템일 수도 있고 기능(HMI, 서버, 데이터베이스, FEP 등)을 기반으로 하는 하위 집합일 수도 있습니다.
- ESP(전자 보안 경계): BES 사이버 시스템이 라우팅 가능한 프로토콜을 사용하여 연결되는 네트워크를 둘러싼 논리적 경계입니다.
- PCA(보호된 사이버 자산): 동일한 전자 보안 경계 내에서 가장 큰 영향을 미치는 BES 사이버 시스템의 일부가 아닌 전자 보안 경계 내에서 라우팅 가능한 프로토콜을 사용하여 연결된 하나 이상의 사이버 자산입니다. 보호된 사이버 자산의 영향 등급은 동일한 ESP에서 가장 높은 등급의 BES 사이버 시스템과 동일합니다.
- EAP(전자 액세스 지점): 전자 보안 경계 외부의 사이버 자산과 전자 보안 경계 내부의 사이버 자산 간에 라우팅 가능한 통신을 허용하는 전자 보안 경계의 사이버 자산 인터페이스입니다.
- EACMS(전자 액세스 제어 또는 모니터링 시스템): 중간 시스템을 포함하여 전자 보안 경계 또는 BES 사이버 시스템의 전자 액세스 제어 또는 전자 액세스 모니터링을 수행하는 사이버 자산입니다.
- 제어 센터: BES(대량 전기 시스템)를 실시간으로 모니터링하고 제어하여 안정성 작업을 수행하는 운영 담당자를 호스트하는 하나 이상의 시설(관련 데이터 센터 포함)입니다. 이러한 운영 담당자는 1) 안정성 코디네이터, 2) 분산 기관, 3) 둘 이상의 위치에 있는 송전 시설의 송전 운영자 또는 4) 둘 이상의 위치에 있는 발전 시설의 발전기 운영자입니다.
- 전력 시스템 운영자가 근무하는 방 및 장비와 "백오피스" 서버, 데이터베이스, 통신 장비 등이 포함된 방 및 장비를 포함합니다.
- 모두 같은 방에 있을 수도 있고, 다른 건물이나 다른 도시에 있을 수도 있습니다.
NERC에서 명시한 대로 BES 사이버 자산은 BES를 모니터링하거나 제어하는 실시간 기능을 수행합니다. 전자 보안 경계 내의 물리적 자산에 대한 현재 정의에 중점을 두고 있습니다. 예를 들어 BES 사이버 자산을 가리키는 "해당 디바이스에 있는"이라는 특정 용어가 있습니다. 가상화 및 다중 테넌트와 같은 주요 클라우드 개념에 대한 조항은 없습니다. 클라우드 환경에서 BES 사이버 자산 및 보호된 사이버 자산을 적절하게 수용하려면 NERC CIP 표준의 기존 정의를 수정해야 합니다. 그러나 CIP에 중요한 데이터를 처리하고 15분 규칙에 속하지 않는 워크로드가 많이 있습니다. NERC는 2016년 11월 클라우드 컴퓨팅에 대한 신흥 기술 원탁 회의에서 더 자세히 논의했습니다.
등록 법인의 구현에 따라 다음 워크로드 중 일부는 BCS(BES 사이버 시스템)로 간주되지 않거나 ESP(전자 보안 경계) 내에 배치되지 않을 수 있습니다.
- 송전 자산 상태, 관리, 계획, 예측 유지 관리
- 송전망 계획, 수요 예측, 대체 분석
- CIM(Common Information Model) 모델링 및 지리적 공간 자산 위치 정보
- 운영 장비 데이터 및 SCADA(감독 제어 및 데이터 취득) 기록 정보 시스템
- 예측, 유지 관리, 가동 중단 관리를 위한 AI 및 고급 분석
- 송전선 모니터링 및 유지 관리를 위한 IoT(사물 인터넷) 시나리오
- NERC CIP 감사 증거, 보고서, 기록
이러한 워크로드에는 개별 등록 법인의 사실과 상황을 고려한 신중한 평가가 필요합니다.
BCSI를 보호하기 위해 적절한 보안 제어가 적용되는 경우 15분 규칙이 적용되지 않는 또 다른 데이터 클래스는 BCSI(BES 사이버 시스템 정보)입니다. NERC에서 제공하는 정의는 다음과 같습니다.
BCSI(BES 사이버 시스템 정보)는 무단 액세스를 얻거나 보안 위협을 BES 사이버 시스템에 가하는 데 사용할 수 있는 BES 사이버 시스템에 대한 정보입니다. BES 사이버 시스템 정보에는 그 자체로 위협을 가하지 않거나 BES 사이버 시스템에 대한 무단 액세스를 허용하는 데 사용할 수 없는 개별 정보는 포함되지 않습니다. 예를 들어 디바이스 이름, 컨텍스트가 없는 개별 IP 주소, ESP 이름 또는 정책 설명을 포함하지만 이에 국한되지 않습니다. BES 사이버 시스템 정보의 예는 다음을 포함하지만 이에 국한되지는 않습니다.
- 공개적으로 사용할 수 없고 무단 액세스 또는 무단 배포를 허용하는 데 사용할 수 있는 BES 사이버 시스템, 물리적 액세스 제어 시스템, 전자 액세스 제어 또는 모니터링 시스템에 대한 보안 절차 또는 보안 정보
- 네트워크 주소 컬렉션
- BES 사이버 시스템의 네트워크 토폴로지
NERC ERO(전기안정성기구) Enterprise는 지정된 BCSI 스토리지 위치에 대한 액세스 권한을 부여하는 등록 법인의 프로세스와 등록 법인에서 구현한 모든 액세스 제어를 평가할 때 ERO Enterprise CMEP(규정 준수 모니터링 및 적용 프로그램) 직원에게 지침을 제공하기 위해 CMEP 연습 가이드를 릴리스했습니다.
NERC CIP 표준에 대한 규정 준수 고려 사항
NIST(미국 국립표준기술원) SP(특별 출판물) 800-145에서 정의하는 클라우드 서비스 모델은 다음과 같습니다.
- IaaS(서비스 제공 인프라)
- PaaS(Platform as a Service)
- SaaS(Software as a Service)
클라우드의 공동 책임 모델은 클라우드 서비스 모델에 따라 책임을 다르게 할당합니다. 사용자 고유의 데이터 센터에서 온-프레미스 배포를 사용하면 스택의 모든 계층에 대한 책임을 맡게 됩니다. 워크로드가 클라우드로 마이그레이션됨에 따라 Microsoft는 클라우드 서비스 모델에 따라 점점 더 많은 책임을 맡게 됩니다. 예를 들어 IaaS 모델을 사용하면 Microsoft의 책임은 가상화(하이퍼바이저) 계층에서 종료됩니다. 게스트 가상 머신의 기본 운영 체제 유지 관리를 포함하여 가상화 계층 위의 모든 계층을 담당합니다. Microsoft Office 365 또는 Dynamics 365와 같은 SaaS 모델의 완성된 클라우드 서비스를 사용하면 Microsoft는 스택의 추가 계층에 대한 책임을 맡습니다. 그러나 최종 사용자에게 적절한 액세스 권한을 부여하는 것을 포함하여 서비스를 관리할 책임은 여전히 사용자에게 있습니다. 클라우드 서비스 모델에 관계없이 고객 데이터에 대한 책임은 항상 사용자에게 있습니다.
공동 책임의 개념은 인증 종속성과 규정 준수 의무로도 확장됩니다. 애플리케이션을 Azure 또는 Azure Government에 배포하는 등록 법인인 경우 Microsoft에 대한 인증 종속성을 사용합니다. NERC CIP 준수 의무를 충족할 책임은 궁극적으로 사용자에게 있습니다. 그러나 기본 클라우드 플랫폼에서 보안 제어를 상속하고 CSP(클라우드 서비스 공급자)에 적용할 수 있는 규정 준수 보증을 위해 Microsoft를 신뢰할 수 있습니다.
Azure와 Azure Government는 모두 독립적인 타사 감사자의 광범위한 감사를 받습니다. NERC CIP 준수 의무를 평가하는 경우 이러한 감사 중 일부를 사용할 수 있습니다. NERC 규제 기관과의 논의에서 등록 법인과 관련이 있고 잠재적으로 유용한 것으로 확인된 독립적인 타사 감사는 다음과 같습니다.
- CSA(미국 클라우드보안협회) STAR(보안, 신뢰, 보증 및 위험) 인증 및 증명
- AICPA(미국 공인회계사협회) SOC(시스템 및 조직 제어) 2 유형 2 증명
- 미국 FedRAMP(Federal Risk and Authorization Management Program) 권한 부여
Microsoft는 Azure 및 Azure Government에 대해 이러한 세 가지 규정 준수 감사를 모두 유지 관리하고 등록 법인에서 해당 감사 문서를 사용할 수 있도록 합니다.
NERC CIP 규정 준수 요구 사항은 NERC 감사 중에 클라우드 컴퓨팅에 대한 공동 책임 모델에 따라 처리할 수 있습니다. Azure 및 Azure Government 클라우드 서비스는 NERC CIP 표준을 준수하는 방식으로 사용될 수 있다고 생각합니다. Microsoft는 Azure 또는 Azure Government 감사 설명서와 NERC 감사 요구 사항을 지원하는 제어 구현 세부 정보를 제공하여 NERC 감사를 지원할 준비가 되어 있습니다. 또한 Microsoft는 Azure 자산에 대한 NERC CIP 규정 준수 요구 사항을 처리하는 데 도움이 되는 기술적 방법 지침인 NERC 감사에 대한 클라우드 구현 가이드를 개발했습니다. 이 문서에는 Azure 제어에서 NERC CIP 요구 사항을 처리하는 방법을 설명하는 데 도움이 되는 미리 채워진 RSAW(안정성 표준 감사 워크시트) 설명이 포함되어 있습니다. 또한 Azure 서비스를 사용하여 소유한 제어를 구현하는 데 도움이 되는 지침도 포함되어 있습니다. 이 가이드는 STP(서비스 신뢰 포털)에서 NDA(비밀 유지 계약)에 따라 기존 Azure 또는 Azure Government 고객에게 다운로드할 수 있습니다. STP에서 이 문서에 액세스하려면 로그인해야 합니다. 자세한 내용은 Microsoft 서비스 신뢰 포털 시작을 참조하세요.
참고 항목
NERC CIP 표준에 대한 Azure 지원은 Azure NERC 규정 준수 제안을 자세히 참조하세요.
CSA STAR
CSA(미국 클라우드보안협회)는 업계 실무자, 기업 및 기타 중요한 관련자의 광범위한 연합이 주도하는 비영리 조직입니다. 더 안전한 클라우드 컴퓨팅 환경을 보장하는 데 도움이 되는 모범 사례를 정의하는 데 전념하고 있습니다. CSA는 잠재적인 클라우드 고객이 IT 운영을 클라우드로 전환할 때 정보에 입각한 결정을 내리는 데 도움이 됩니다. CSA는 CSP(클라우드 서비스 공급자)가 CSA 관련 평가를 게시할 수 있는 공개적으로 액세스할 수 있는 무료 레지스트리인 STAR(보안, 신뢰, 보증 및 위험) 레지스트리를 유지 관리합니다.
CSA CCM(클라우드 제어 매트릭스)은 클라우드 고객이 CSP의 전반적인 보안 위험을 평가하는 데 도움이 되도록 17개 도메인의 기본 보안 원칙을 다루는 197개 제어 목표로 구성된 제어 프레임워크입니다. CCM은 ISO 27001, ISO 27017, ISO 27018, NIST SP 800-53, PCI DSS, AICPA 신뢰 서비스 기준 등과 같이 업계에서 인정하는 보안 표준, 규정 및 제어 프레임워크에 매핑됩니다.
CSA STAR는 CCM을 기반으로 하는 두 가지 수준의 보증을 제공합니다. CSA STAR 자체 평가는 수준 1의 소개 제품이며, 모든 CSP에 무료로 제공됩니다. 보증 스택을 더 높이면 STAR 프로그램의 수준 2에는 타사 평가 기반 인증(예: CSA STAR 인증 및 CSA STAR 증명)이 포함됩니다. Azure 및 Azure Government는 CSA STAR 자체 평가 외에도 STAR 레지스트리에서 CSA STAR 인증 및 CSA STAR 증명 제출을 유지 관리합니다. 자세한 내용은 다음을 참조하세요.
Azure 및 Azure Government CSA STAR 레지스트리 제출을 다운로드하려면 Microsoft용 CSA STAR 레지스트리를 참조하세요.
SOC 2 형식 2
서비스 조직에 대한 SOC(시스템 및 조직 제어)는 AICPA(미국 공인회계사협회)에서 작성한 내부 제어 보고서입니다. 이는 최종 사용자가 아웃소싱 서비스와 관련된 위험을 평가하고 해결할 수 있도록 서비스 조직에서 제공하는 서비스를 검사하기 위한 것입니다.
SOC 2 유형 2 증명은 다음 조항에 따라 수행됩니다.
- SSAE No. 18, 증명 표준: 설명 및 재코드화 - AT-C 섹션 105 모든 증명 계약에 공통적인 개념 및 AT-C 섹션 205 검사 계약(AICPA, 전문 표준) 포함
- SOC 2 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호와 관련된 서비스 조직의 제어 검사에 대한 보고(AICPA 가이드)
- TSP 섹션 100, 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호에 대한 2017 신뢰 서비스 기준(AICPA, 2017 신뢰 서비스 기준)
SOC 2 유형 2 감사가 끝나면 감사자는 SOC 2 유형 2 보고서에 의견을 제시합니다. 증명 보고서는 CSP(클라우드 서비스 공급자)의 시스템을 설명하고 해당 제어에 대한 CSP 설명의 공정성을 평가합니다. 또한 CSP의 제어가 적절하게 설계되었는지, 지정된 날짜에 작동되었는지, 지정된 기간 동안 효과적으로 작동되었는지 여부를 평가합니다.
Azure 및 Azure Government는 신뢰할 수 있는 CPA(공인회계사) 회사에서 수행하는 엄격한 독립적인 타사 SOC 2 유형 2 감사를 거칩니다. 결과 SOC 2 유형 2 보고서는 시스템 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호와 관련이 있습니다. 또한 이러한 보고서는 CSA(미국 클라우드보안협회) CCM(클라우드 제어 매트릭스) 및 BSI(독일 연방정보보안국) 클라우드 컴퓨팅 규정 준수 기준 카탈로그(C5:2020)의 요구 사항을 처리합니다. 자세한 내용은 Azure SOC 2 유형 2 규정 준수 제안을 참조하세요.
FedRAMP
미국 FedRAMP(Federal Risk and Authorization Management Program)는 클라우드 컴퓨팅 제품 및 서비스를 평가, 모니터링 및 권한 부여하기 위한 표준화된 방법을 제공하기 위해 2011년 12월에 설립되었습니다. 서비스를 미국 연방 기관에 판매하려는 CSP(클라우드 서비스 공급자)는 다음 세 가지 경로를 사용하여 FedRAMP 규정 준수를 입증할 수 있습니다.
- FedRAMP JAB(합동권한부여위원회)로부터 P-ATO(임시 운영 권한 부여)를 획득합니다.
- 연방 기관으로부터 ATO(운영 권한 부여)를 받습니다.
- 독립적으로 작업하여 프로그램 요구 사항을 충족하는 CSP 제공 패키지를 개발합니다.
이러한 각 경로에는 프로그램에서 승인된 독립적인 3PAO(타사 평가 조직)의 평가와 FedRAMP PMO(프로그램 관리 사무소)의 엄격한 기술 검토가 필요합니다.
FedRAMP는 NIST(미국 국립표준기술원) SP(특별 출판물) 800-53 표준을 기반으로 하며 FedRAMP 제어 및 향상된 제어 기능으로 보강되었습니다. FedRAMP 권한 부여는 NIST FIPS 199 지침에 따라 낮음, 보통, 높음의 세 가지 영향 수준으로 부여됩니다. 이러한 수준에서는 기밀성, 무결성 또는 가용성 손실이 조직에 미칠 수 있는 영향을 낮음(제한된 영향), 보통(심각한 부작용), 높음(심각하거나 치명적인 영향)으로 평가합니다. 다음 표와 같이 해당 기준의 제어 수는 영향 수준에 따라 증가합니다.
FedRAMP 제어 기준 | 낮음 | 일반형 | 높음 |
---|---|---|---|
총 제어 및 향상된 제어 기능 수 | 125 | 325 | 421 |
FedRAMP 높음 권한 부여는 FedRAMP 규정 준수에 대한 가장 높은 표시줄을 나타냅니다. FedRAMP는 특정 시점 인증 또는 인가가 아니라 평가 및 권한 부여 프로그램입니다. CSO(클라우드 서비스 제품)에 배포된 보안 제어가 진화하는 위협 환경 및 시스템 환경에서 수행되는 변경에서 효과적으로 유지되도록 지속적인 모니터링을 위한 조항이 제공됩니다. CSP는 시스템 인벤토리 보고서, 취약성 검사, 작업 계획 및 마일스톤 등을 포함하여 지속적인 규정 준수를 입증하는 다양한 증거를 제공해야 합니다. FedRAMP는 CSP가 경험할 수 있는 가장 엄격하고 까다로운 감사 중 하나입니다.
Azure와 Azure Government는 모두 범위 내 서비스를 위해 개별 연방 기관에서 발급한 250개가 넘는 보통 및 높음 ATO 외에도 JAB에서 발급한 FedRAMP 높음 P-ATO를 유지합니다. 자세한 내용은 Azure FedRAMP 규정 준수 제안을 참조하세요.
FedRAMP 보통 제어 기준과 NERC CIP 표준 요구 사항을 비교한 결과 FedRAMP 보통 제어 기준이 모든 NERC CIP 요구 사항을 포괄한다는 것을 알 수 있습니다. Microsoft는 현재 NERC CIP 표준 요구 사항 세트와 NIST SP 800-53 수정 4에서 문서화된 FedRAMP 보통 제어 기준 간의 제어 매핑이 포함된 NERC 감사에 대한 클라우드 구현 가이드를 개발했습니다. 'NERC 감사에 대한 클라우드 구현 가이드'에는 Azure 제어에서 NERC CIP 요구 사항을 처리하는 방법을 설명하는 데 도움이 되는 미리 채워진 RSAW(안정성 표준 감사 워크시트) 설명이 포함되어 있습니다. 또한 Azure 서비스를 사용하여 소유한 제어를 구현하는 데 도움이 되는 지침도 포함되어 있습니다. 'NERC 감사에 대한 클라우드 구현 가이드'는 STP(서비스 신뢰 포털)에서 NDA(비밀 유지 계약)에 따라 다운로드할 수 있습니다. STP에서 이 문서에 액세스하려면 로그인해야 합니다. 자세한 내용은 Microsoft 서비스 신뢰 포털 시작을 참조하세요.
NERC CIP 규정 준수 의무가 적용되는 등록 법인에서 클라우드 서비스 제품의 보안 상태를 평가할 때 기존 FedRAMP P-ATO 또는 ATO를 사용하려는 여러 가지 타당한 이유가 있습니다.
- 확립된 NIST SP 800-53 표준과 FedRAMP 평가 및 권한 부여 프로그램을 재창조하는 것은 중요한 작업이 될 것입니다.
- FedRAMP는 이미 준비되었으며 미국 연방 정부 기관이 클라우드 서비스를 평가할 때 채택한 프레임워크입니다.
- 미국에서는 FERC가 NERC CIP 표준을 승인합니다. 미국 연방 기관인 FERC는 자체 클라우드 컴퓨팅 요구 사항에 맞는 클라우드 서비스를 평가할 때 FedRAMP를 사용합니다. CSP에 대한 규정 준수 경로로 FedRAMP를 선택하는 것은 FERC 및 기타 미국 정부 기관에서 채택한 방법과 일치합니다.
- 캐나다에서 연방, 주 및 영토 모니터링 및 집행 하위 그룹은 캐나다 관할권에서 CIP 표준을 시행할 수 있게 하기 위한 지방 요약을 개발합니다. 캐나다 정부는 클라우드 서비스의 상호 운용성과 CSP가 생성한 권한 부여 증거의 재사용 가능성을 모두 극대화하기 위해 클라우드 기반 서비스에 대한 보안 제어 프로필을 FedRAMP 보통 보안 제어 프로필에 맞춰 조정했습니다.
- FedRAMP는 지속적인 모니터링을 위한 필수 조항이 포함된 심층 감사를 사용합니다. 이는 등록 법인에 감사된 제어가 효과적으로 작동하고 있음을 강력하게 보증합니다.
- NERC는 등록 법인에서 클라우드 컴퓨팅을 포함한 새로운 기술을 채택할 수 있도록 하는 데 관심이 있습니다. NERC CIP 준수 의무가 적용되는 등록 법인의 수를 고려할 때 CSP가 개별 법인에서 시작한 감사를 수용하는 것은 불가능합니다. 대신 기존 FedRAMP 권한 부여를 사용하면 CSP에 대한 NERC 감사 요구 사항을 처리하기 위한 확장성 있는 효율적인 방법을 제공합니다.
위의 근거는 클라우드 서비스 공급자에만 관련됩니다. NERC와 등록 법인 간의 관계는 변경되지 않습니다. 기존 NERC CIP 준수 의무는 변경되지 않고 여전히 등록 법인의 책임입니다.
NERC ERO Enterprise는 지정된 BCSI 스토리지 위치에 대한 액세스 권한을 부여하는 등록 법인의 프로세스와 등록 법인에서 구현한 모든 액세스 제어를 평가할 때 ERO Enterprise CMEP(규정 준수 모니터링 및 적용 프로그램) 직원에게 지침을 제공하기 위해 CMEP 연습 가이드를 릴리스했습니다. 또한 NERC는 BCSI에 적용되는 NERC CIP-004-6 및 CIP-011-2 표준과 관련된 Azure 제어 구현 세부 정보 및 FedRAMP 감사 증거를 검토했습니다. ERO Enterprise에서 발급한 CMEP 연습 가이드와 검토된 FedRAMP 제어를 기반으로 하여 등록 법인에서 데이터를 암호화하도록 보장하므로 BCSI 및 관련 워크로드를 클라우드에 배포하는 데 추가 지침 또는 설명이 필요하지 않습니다. 그러나 등록 법인은 궁극적으로 자체 사실과 상황에 따라 NERC CIP 표준을 준수할 책임이 있습니다. 등록 법인은 Azure 및 Azure Government에서 BCSI 암호화에 사용되는 암호화 키 관리를 포함하여 BCSI 스토리지 위치에 대한 전자 액세스 권한을 부여하는 데 사용되는 프로세스와 증거를 문서화하는 데 도움이 되는 NERC 감사에 대한 클라우드 구현 가이드를 검토해야 합니다.
참가자 액세스에 대한 제한 사항
Microsoft는 권한이 없는 사람이 부적절하게 액세스하거나 사용하지 못하도록 고객 데이터를 보호하기 위해 강력한 조치를 취하고 있습니다. Azure 및 Azure Government를 운영하기 위해 고객 데이터에 액세스할 필요가 없으며, Microsoft 엔지니어에게는 클라우드의 고객 데이터에 대한 기본 액세스 권한이 없습니다. 대신 필요할 때만 관리 감독하에 액세스 권한이 부여됩니다. 고객 데이터에는 NERC CIP 표준 보호가 적용되는 데이터가 포함됩니다. 자세한 내용은 참가자 액세스에 대한 제한 사항을 참조하세요.
배경 심사
배경 심사 요구 사항은 NERC CIP-004-6의 다음 조항에 문서화되어 있습니다.
- R2: 공식 교육
- R3: 직원 위험 평가
- R4: 액세스 권한 부여
NERC CIP로 보호되는 자산 및 데이터에 액세스할 수 있는 지원 및 운영 담당자에 대한 요구 사항이 적용됩니다. 등록 법인은 NERC CIP 표준이 제공하는 목표에 따라 이러한 요구 사항을 정책에 작성했습니다.
일부 등록 법인은 미국 시민의 데이터 액세스를 제한하기 위한 요구 사항을 정책에 작성했을 수도 있습니다. 원자력 전기 유틸리티 회사는 추가로 DoE(에너지부)에서 10 CFR 810편에 따라 위임하고 NNSA(국가핵안보국)에서 관리하는 수출 통제 요구 사항의 적용을 받을 수 있습니다. 특히 이러한 요구 사항은 기밀로 분류되지 않은 원자력 기술의 수출과 외국인에 대한 지원을 방지하기 위해 마련되었습니다.
미국의 모든 Azure 및 Azure Government 직원은 Microsoft 배경 검사를 받습니다. Azure Government에서 문제를 해결하기 위해 고객 데이터에 액세스할 수 있는 담당자에게는 추가로 미국인 확인 및 적절한 경우 추가 심사 요구 사항이 적용됩니다. 자세한 내용은 심사를 참조하세요.
정보 보안 교육 및 인식은 모든 Azure 및 Azure Government 엔지니어링 담당자에게 지속적으로 제공됩니다. 이 교육의 목적은 적용 가능한 정책, 표준 및 정보 보안 사례에 대해 엔지니어링 담당자를 교육하는 것입니다. 모든 엔지니어링 직원은 팀에 참가할 때 컴퓨터 기반 교육 모듈을 이수해야 합니다. 또한 모든 직원은 매년 실시되는 필수 보안, 규정 준수 및 개인 정보 보호 교육에 참여합니다. 또한 교육에는 CSA STAR 인증, SOC 2 유형 2 증명 및 FedRAMP 권한 부여를 포함하여 Azure 및 Azure Government에 적용되는 다양한 규정 준수 보증의 제어가 적용됩니다.
논리적 격리 고려 사항
다중 테넌트 클라우드 플랫폼에서는 여러 고객의 애플리케이션과 데이터가 동일한 물리적 하드웨어에 저장됩니다. Azure와 Azure Government는 논리적 격리를 사용하여 서로 다른 고객에게 속하는 애플리케이션과 데이터를 분리합니다. 이 방법은 다중 테넌트 클라우드 서비스의 규모와 경제적 이점을 제공하는 동시에 고객이 서로의 데이터나 애플리케이션에 액세스하지 못하도록 설계된 제어를 엄격하게 적용합니다. 자세한 내용은 Azure 보안 격리 지침을 참조하세요. 물리적으로 격리된 기존 온-프레미스 인프라에서 클라우드로 마이그레이션하는 경우 논리적 격리 고려 사항을 참조하세요.
ID 및 액세스
Microsoft Entra ID는 조직의 사용자, 그룹 및 개체에 대한 인증, 권한 부여 및 액세스 제어를 제공하는 ID 리포지토리 및 클라우드 서비스입니다. Microsoft Entra ID는 독립 실행형 클라우드 디렉터리로 사용하거나 기존 온-프레미스 Active Directory와 통합 솔루션으로 사용하여 디렉터리 동기화 및 Single Sign-On과 같은 주요 엔터프라이즈 기능을 사용하도록 설정할 수 있습니다. 클라우드 애플리케이션을 관리하는 데 사용되는 계정을 분리하는 것은 논리적 격리를 달성하는 데 매우 중요합니다. Azure의 계정 격리는 Microsoft Entra ID 및 세분화된 Azure RBAC(역할 기반 액세스 제어)를 지원하는 기능을 사용하여 달성됩니다. Microsoft Entra ID는 테넌트 격리 및 액세스 제어, 참가자 액세스에 대한 데이터 운영 고려 사항 등을 포함하여 광범위한 데이터 보호 기능을 구현합니다.
자세한 내용은 ID 기반 격리를 참조하세요.
데이터 암호화 키 관리
Azure 서비스는 기본 운영체제의 FIPS 140 유효성이 검사된 암호화 모듈을 사용합니다. Azure 서비스를 사용하면 전송 중 및 미사용 데이터를 암호화하기 위한 다양한 옵션이 있습니다. 데이터 암호화 키는 암호화 키를 FIPS 140 유효성이 검사된 HSM(하드웨어 보안 모듈)에 저장할 수 있는 Azure Key Vault를 사용하여 관리할 수 있습니다. Azure Key Vault에서 CMK(고객 관리형 키)를 사용하여 HSM에 저장된 암호화 키를 단독으로 제어할 수 있습니다. Azure Key Vault HSM 내에서 생성된 키는 내보낼 수 없으며, HSM 외부에는 일반 텍스트 버전의 키가 있을 수 없습니다. 이 바인딩은 기본 HSM을 통해 적용됩니다. 또한 Azure Key Vault는 Microsoft와 해당 에이전트가 암호화 키를 보거나 추출하지 못하도록 설계, 배포 및 운영됩니다.
애플리케이션과 데이터를 배포하기 위해 Azure 지역을 선택하는 책임은 사용자에게 있습니다. 또한 NERC CIP 표준 요구 사항을 충족하는 엔드투엔드 데이터 암호화를 사용하도록 애플리케이션을 설계할 책임도 사용자에게 있습니다. Microsoft는 사용자의 Azure 애플리케이션을 검사하거나 승인하지 않습니다.
자세한 내용은 데이터 암호화 키 관리를 참조하세요.
컴퓨팅 격리
Microsoft Azure 컴퓨팅 플랫폼은 컴퓨터 가상화를 기반으로 합니다. 이 방법은 PaaS 작업자 역할에 배포되는지 아니면 IaaS 가상 머신에 배포되는지 여부에 관계없이 코드가 Windows Server Hyper-V 하이퍼바이저에서 호스트하는 가상 머신에서 실행됨을 의미합니다. Azure는 논리적 격리를 사용하여 테넌트 분리를 광범위하게 지원합니다. 의도적으로 모든 Azure 테넌트에 사용할 수 있는 강력한 논리적 컴퓨팅 격리 외에도 Azure Dedicated Host 또는 격리된 Virtual Machines를 사용하여 물리적 컴퓨팅 격리를 달성할 수도 있습니다. 이 방법을 사용하면 가상 머신이 사용자 전용의 물리적 하드웨어에 배포됩니다.
자세한 내용은 컴퓨팅 격리를 참조하세요.
네트워킹 격리
퍼블릭 다중 테넌트 클라우드에서 테넌트 인프라를 논리적으로 격리하는 것은 기본적인 보안 유지 관리입니다. 가상화된 솔루션의 가장 중요한 원칙은 가상화된 솔루션이 작동하는 데 필요한 연결과 통신만 허용하고 기본적으로 다른 모든 포트와 연결을 차단하는 것입니다. Azure VNet(Virtual Network)은 프라이빗 네트워크 트래픽을 다른 고객에게 속한 트래픽과 논리적으로 격리하는 데 도움이 됩니다. 동일한 고객이 두 VNet을 만든 경우에도 한 VNet의 VMs(Virtual Machines)는 다른 VNet의 VMs와 직접 통신할 수 없습니다. 네트워킹 격리는 VM 간의 통신이 VNet 내에서 비공개로 유지되도록 보장합니다. 대역폭, 대기 시간 및 암호화 요구 사항을 포함하여 연결 옵션에 따라 VNet을 연결하는 여러 옵션이 있습니다.
Azure는 전송 중인 데이터를 암호화하기 위한 여러 옵션을 제공합니다. 전송 중 데이터 암호화는 네트워크 트래픽을 다른 트래픽에서 격리하고 데이터를 가로채지 못하도록 보호하는 데 도움이 됩니다.
자세한 내용은 네트워킹 격리를 참조하세요.
스토리지 격리
Microsoft Azure는 기본 설계의 일부로 VM 기반 계산 리소스를 스토리지와 분리합니다. 분리를 통해 계산과 스토리지의 크기를 독립적으로 조정할 수 있으므로 다중 테넌트 및 격리를 더 쉽게 제공할 수 있습니다. 따라서 Azure Storage는 논리적 격리를 제외하고는 Azure Compute에 대한 네트워크 연결이 없는 별도의 하드웨어에서 실행됩니다.
Azure는 Microsoft 관리 암호화 키와 고객 관리형 암호화 키를 모두 사용하여 데이터를 보호하고 NERC CIP 표준 준수 요구 사항을 충족할 수 있도록 미사용 데이터 암호화에 대한 광범위한 옵션을 제공합니다. 이 프로세스는 Azure Key Vault 및 Microsoft Entra ID와 같은 여러 암호화 키와 서비스를 사용하여 보안 키 액세스 및 중앙 집중식 키 관리를 보장합니다.
자세한 내용은 스토리지 격리를 참조하세요.
요약
Microsoft Azure 및 Azure Government는 전력 유틸리티 및 기타 등록 법인에서 사용할 수 있는 다중 테넌트 클라우드 서비스 플랫폼입니다. 다중 테넌트 클라우드 플랫폼에서는 여러 고객의 애플리케이션과 데이터가 동일한 물리적 하드웨어에 저장됩니다. Azure와 Azure Government는 논리적 격리를 사용하여 서로 다른 고객에게 속하는 애플리케이션과 데이터를 분리합니다. 이 방법은 다중 테넌트 클라우드 서비스의 규모와 경제적 이점을 제공하는 동시에 고객이 서로의 데이터나 애플리케이션에 액세스하지 못하도록 설계된 제어를 엄격하게 적용합니다. 다음 표에는 클라우드 채택에 대한 주요 고려 사항이 요약되어 있습니다. Azure와 Azure Government는 모두 NERC CIP 표준을 준수하는 특정 워크로드를 배포하는 등록 법인에 적합합니다.
요건 | Azure | Azure Government |
---|---|---|
NERC CIP 표준을 준수하는 데이터 | ✅ | ✅ |
데이터는 미국 본토에 있어야 함 | ✅ | ✅ |
CSA STAR 인증 및 CSA STAR 증명 | ✅ | ✅ |
AICPA SOC 2 유형 2 증명 | ✅ | ✅ |
FedRAMP 높음 권한 부여 | ✅ | ✅ |
Microsoft 클라우드 배경 검사 | ✅ | ✅ |
운영 담당자는 미국인이어야 함 | ❌ | ✅ |
전자 보안 경계 내의 물리적 자산(예: BES 사이버 자산을 가리키는 "해당 디바이스에 있는"이라는 특정 용어)에 대한 현재 NERC CIP 정의에 중점을 두고 있으며, 가상화 및 다중 테넌트와 같은 주요 클라우드 개념에 대한 조항을 만들지 않습니다. 클라우드 컴퓨팅에서 BES 사이버 자산 및 보호된 사이버 자산을 적절하게 수용하려면 NERC CIP 표준의 기존 정의를 수정해야 합니다. 그러나 CIP에 중요한 데이터를 처리하고 BES 사이버 자산이 대량 전기 시스템의 안정적인 작동에 미치는 영향과 관련된 15분 규칙에 속하지 않는 워크로드가 많이 있습니다. BCSI를 보호하기 위해 적절한 보안 제어가 적용되는 경우 이러한 광범위한 데이터 범주 중 하나에는 BCSI(BES 사이버 시스템 정보)가 포함됩니다.
NERC ERO Enterprise는 지정된 BCSI 스토리지 위치에 대한 액세스 권한을 부여하는 등록 법인의 프로세스와 등록 법인에서 구현한 모든 액세스 제어를 평가할 때 ERO Enterprise CMEP(규정 준수 모니터링 및 적용 프로그램) 직원에게 지침을 제공하기 위해 CMEP 연습 가이드를 릴리스했습니다. 또한 NERC는 BCSI에 적용되는 NERC CIP-004-6 및 CIP-011-2 표준과 관련된 Azure 제어 구현 세부 정보 및 FedRAMP 감사 증거를 검토했습니다. ERO Enterprise에서 발급한 CMEP 연습 가이드와 검토된 FedRAMP 제어를 기반으로 하여 등록 법인에서 데이터를 암호화하도록 보장하므로 BCSI 및 관련 워크로드를 클라우드에 배포하는 데 추가 지침 또는 설명이 필요하지 않습니다. 그러나 등록 법인은 궁극적으로 자체 사실과 상황에 따라 NERC CIP 표준을 준수할 책임이 있습니다. 등록 법인은 Azure 및 Azure Government에서 BCSI 암호화에 사용되는 암호화 키 관리를 포함하여 BCSI 스토리지 위치에 대한 전자 액세스 권한을 부여하는 데 사용되는 프로세스와 증거를 문서화하는 데 도움이 되는 NERC 감사에 대한 클라우드 구현 가이드를 검토해야 합니다.
Azure와 Azure Government는 모두 고객 데이터 및 애플리케이션 보호에 대한 강력한 보증을 제공하는 포괄적인 보안 제어 및 규정 준수 범위를 갖추고 있습니다. Azure Government는 Azure 클라우드와 물리적으로 분리된 미국 정부 커뮤니티 클라우드입니다. 이는 미국 내 고객 데이터 스토리지와 관련된 계약 약정을 통해 추가 보호 계층을 등록 법인에 제공하고 고객 데이터를 처리하는 시스템에 대한 잠재적인 액세스를 선별된 미국인으로 제한합니다. 또한 Azure Government는 미국에 본사가 있는 등록 법인에서만 사용할 수 있습니다. 미국의 등록 법인은 제출에서 "NERC 규정 준수 법인"을 명시하여 Azure Government 온보딩에 적합합니다.
원자력 전기 유틸리티는 기밀로 분류되지 않은 원자력 기술 및 지원에 대한 DoE 10 CFR 810편 수출 통제 요구 사항의 적용을 받을 수도 있습니다. Azure Government는 미국인의 정보 및 시스템 액세스와 관련된 특정 제어를 충족하도록 설계되었습니다. 이 약정은 Azure에 적용되지 않으므로 Azure에 배포하는 고객은 적절한 위험 평가를 수행하여 외국인에게 공개되지 않아야 하는 데이터를 보호하기 위해 추가 기술 조치를 배포해야 하는지 여부를 결정해야 합니다.
NERC CIP 규정 준수 의무가 적용되는 등록 법인은 미국 클라우드보안협회 STAR 프로그램, SOC 2 유형 2 증명 및 FedRAMP 권한 부여를 포함하여 클라우드 서비스 제품의 보안 상태를 평가할 때 클라우드 서비스에 적용할 수 있는 기존 감사를 사용할 수 있습니다. 예를 들어 FedRAMP는 지속적인 모니터링을 위한 필수 조항이 포함된 심층 감사를 사용합니다. 이는 등록 법인에 감사된 제어가 효과적으로 작동하고 있음을 강력하게 보증합니다. FedRAMP 보통 제어 기준과 NERC CIP 표준 요구 사항을 비교한 결과 FedRAMP 보통 제어 기준이 모든 NERC CIP 표준 요구 사항을 포괄한다는 것을 알 수 있습니다. FedRAMP는 NERC CIP 표준을 대체하지 않으며, 등록 법인에서 NERC CIP 규정 준수 의무를 충족해야 하는 책임을 변경하지 않습니다. 반대로, 클라우드 서비스 공급자의 기존 FedRAMP 권한 부여는 클라우드 서비스 공급자가 담당하는 NERC CIP 표준 요구 사항에 매핑된 NIST 기반 제어 증거가 공인 FedRAMP 감사자에 의해 이미 검사되었음을 보증할 수 있습니다.
NERC 감사를 고려하는 등록 법인인 경우 Azure 자산에 대한 NERC CIP 규정 준수 요구 사항을 처리하는 데 도움이 되는 자세한 기술적 방법 지침을 제공하는 Microsoft의 NERC 감사에 대한 클라우드 구현 가이드를 검토해야 합니다. 여기에는 NIST SP 800-53 수정 4에서 문서화한 대로 현재 NERC CIP 표준 세트와 FedRAMP 보통 제어 기준 간의 제어 매핑이 포함되어 있습니다. 또한 Microsoft에서 클라우드 서비스 공급자의 책임에 속하는 제어에 대한 NERC CIP 표준 요구 사항을 처리하는 방법을 설명하기 위해 Azure 제어 구현 세부 정보가 포함된 전체 RSAW(안정성 표준 감사 워크시트) 설명 세트가 제공됩니다. Azure 서비스를 사용하여 소유한 제어를 구현하는 데 도움이 되는 지침도 제공됩니다. 이 가이드는 STP(서비스 신뢰 포털)에서 NDA(비밀 유지 계약)에 따라 기존 Azure 또는 Azure Government 고객에게 다운로드할 수 있습니다. STP에서 이 문서에 액세스하려면 로그인해야 합니다. 자세한 내용은 Microsoft 서비스 신뢰 포털 시작을 참조하세요.
NERC CIP 표준을 준수해야 하는 등록 법인인 경우 Azure 또는 Azure Government 감사 설명서 제공 및 NERC 감사 요구 사항을 지원하는 구현 세부 정보 제어를 포함한 감사 지원을 위해 Microsoft에 참여할 수도 있습니다. 도움이 필요하면 Microsoft 계정 팀에 문의하세요. NERC CIP 준수 의무를 충족할 책임은 궁극적으로 사용자에게 있습니다.
다음 단계
- Azure Government 구입 및 액세스
- Azure 보안 격리 지침
- Azure Government 규정 준수
- Azure Government 보안
- Azure 규정 준수
- Azure CSA STAR 인증
- Azure CSA STAR 증명
- Azure SOC 2 유형 2 규정 준수 제안
- Azure FedRAMP 규정 준수 제안
- NIST SP 800-53정보 시스템 및 조직에 대한 보안 및 개인 정보 보호 제어
- NERC(북미 전기안정성공사)
- NERC CIP(중요 인프라 보호) 표준
- NERC 규정 준수 지침
- NERC 용어집
- NERC 등록 법인