안전한 전 세계 공공 부문 클라우드 채택을 위한 Azure

Microsoft Azure는 정부 기관이 다양한 솔루션을 배포하는 데 사용할 수 있는 다중 테넌트 클라우드 서비스 플랫폼입니다. 다중 테넌트 클라우드 플랫폼에서는 여러 고객의 애플리케이션과 데이터가 동일한 물리적 하드웨어에 저장됩니다. Azure는 논리적 격리를 사용하여 각 고객의 애플리케이션과 데이터를 분리합니다. 이 접근 방식은 다중 테넌트 클라우드 서비스의 규모 및 경제적 이점을 제공하는 동시에 고객이 서로의 데이터 또는 애플리케이션에 액세스하지 못하도록 엄격하게 지원합니다. Azure는 전 세계 60개 이상의 지역에서 사용할 수 있으며, 전 세계 정부 기관에서 미분류 및 분류된 데이터를 비롯한 광범위한 데이터 분류에 대한 엄격한 데이터 보호 요구 사항을 충족하는 데 사용할 수 있습니다.

이 문서에서는 전 세계 공공 부문 고객과 관련된 일반적인 데이터 보존, 보안 및 격리 문제를 다룹니다. 또한 온-프레미스 및 에지에 배포된 Azure Stack Hub 및 Azure Stack Edge와 함께 퍼블릭 다중 테넌트 클라우드에서 분류되지 않은 워크로드와 분류되지 않은 워크로드를 모두 보호하기 위해 Azure에서 사용할 수 있는 기술을 살펴봅니다.

요약

Microsoft Azure는 데이터 보존 및 전송 정책에 대한 강력한 고객 약정을 제공합니다. 대부분의 Azure 서비스를 사용하면 배포 지역을 지정할 수 있습니다. 이러한 서비스의 경우 Microsoft는 지정된 지리 외부에 데이터를 저장하지 않습니다. 광범위하고 강력한 데이터 암호화 옵션을 사용하여 Azure에서 데이터를 보호하고 액세스할 수 있는 사용자를 제어할 수 있습니다.

아래에는 Azure에서 데이터를 보호하는 데 사용할 수 있는 몇 가지 옵션이 나와 있습니다.

• Geography에서 미사용 데이터를 저장하는 서비스에 가장 중요한 콘텐츠를 저장하도록 선택할 수 있습니다.
• Azure Key Vault를 사용하여 사용자 고유의 키로 데이터를 암호화하여 추가 보호를 받을 수 있습니다.
• 전송 중인 데이터의 정확한 네트워크 경로를 제어할 수는 없지만 전송 중인 데이터 암호화는 가로채기로부터 데이터를 보호하는 데 도움이 됩니다.
• Azure는 전역적으로 운영되는 24x7 서비스입니다. 그러나 지원 및 문제 해결에는 데이터에 대한 액세스 권한이 거의 필요하지 않습니다.
• 지원 및 문제 해결 시나리오에 대한 추가 제어를 원하는 경우 Azure용 Customer Lockbox를 사용하여 데이터에 대한 액세스를 승인하거나 거부할 수 있습니다.
• Microsoft는 인시던트 선언 후 72시간 이내에 데이터 위반(고객 또는 개인)을 사용자에게 알립니다.
• 클라우드용 Microsoft Defender를 사용하여 잠재적인 위협을 모니터링하고 인시던트에 직접 대응할 수 있습니다.

Azure Stack 제품 포트폴리오의 Azure 데이터 보호 기술 및 지능형 에지 기능을 사용하여 퍼블릭 다중 테넌트 클라우드 또는 온-프레미스의 일급 비밀 데이터 및 전체 운영 제어 하에서 보안 격리된 인프라에서 기밀 및 비밀 데이터를 처리할 수 있습니다.

소개

전 세계 정부는 디지털 변환을 진행하고 있으며, 솔루션을 적극적으로 조사하고 많은 워크로드를 클라우드로 전환하는 데 도움이 되는 아키텍처를 선택하고 있습니다. 시민 참여를 유도하고, 직원에게 권한을 부여하고, 정부 서비스를 혁신하고, 정부 운영을 최적화해야 하는 필요성을 포함하여 디지털 혁신의 원동력이 많이 있습니다. 전 세계 정부는 또한 자산을 보호하고 진화하는 위협 지형에 대응하기 위해 사이버 보안 태세를 개선하기 위해 노력하고 있습니다.

전 세계 정부 및 공공 부문 산업의 경우 Microsoft는 다양한 솔루션을 배포하는 데 사용할 수 있는 공용 다중 테넌트 클라우드 서비스 플랫폼인 Azure 를 제공합니다. 다중 테넌트 클라우드 서비스 플랫폼은 여러 고객 애플리케이션 및 데이터가 동일한 물리적 하드웨어에 저장됨을 의미합니다. Azure는 논리적 격리 를 사용하여 각 고객의 애플리케이션과 데이터를 분리합니다. 이 접근 방식은 다중 테넌트 클라우드 서비스의 규모 및 경제적 이점을 제공하는 동시에 다른 고객이 데이터 또는 애플리케이션에 액세스하지 못하도록 엄격하게 지원합니다.

하이퍼스케일 퍼블릭 클라우드는 자연재해나 전쟁 발생 시에 복원력을 제공합니다. 클라우드는 장애 조치(failover) 중복성을 위한 용량을 제공하고, 글로벌 복원력 계획에 대한 유연성으로 주권 국가에 권한을 부여합니다. 또한 하이퍼스케일 퍼블릭 클라우드는 인공 지능, 기계 학습, IoT 서비스, 지능형 에지 등과 같은 최신 클라우드 혁신을 통합하는 기능이 풍부한 환경을 제공하여 정부 고객이 효율성을 높이고 운영 및 성능에 대한 인사이트를 얻을 수 있도록 지원합니다.

Azure의 퍼블릭 클라우드 기능을 사용하면 하이퍼스케일 클라우드의 신속한 기능 증가, 복원력 및 비용 효율적인 운영의 이점을 누릴 수 있으며, 미분류 및 분류된 데이터를 비롯한 광범위한 데이터 분류에서 워크로드를 처리하는 데 필요한 격리, 보안 및 신뢰 수준을 얻을 수 있습니다. Azure Stack 제품 포트폴리오의 Azure 데이터 보호 기술 및 지능형 에지 기능을 사용하여 공용 다중 테넌트 클라우드 또는 온-프레미스의 일급 비밀 데이터 및 전체 운영 제어 하에 에지에서 보안 격리된 인프라에서 기밀 및 비밀 데이터를 처리할 수 있습니다.

이 문서에서는 전 세계 공공 부문 고객과 관련된 일반적인 데이터 보존, 보안 및 격리 문제를 다룹니다. 또한 온-프레미스 및 에지에서 배포된 Azure Stack 제품과 함께 퍼블릭 다중 테넌트 클라우드의 미분류, 기밀 및 비밀 워크로드를 보호하는 데 도움이 되는 Azure에서 사용할 수 있는 기술을 탐색하여 일급 비밀 데이터와 관련된 완전히 연결이 끊긴 시나리오를 살펴봅니다. 분류되지 않은 워크로드는 전 세계 공공 부문 디지털 변환과 관련된 대부분의 시나리오로 구성되는 경우, 분류되지 않은 워크로드로 클라우드 여정을 시작한 다음 데이터 민감도를 높이는 분류된 워크로드로 진행하는 것이 좋습니다.

데이터 저장 위치

설정된 개인 정보 보호 규정은 데이터 상주 및 데이터 위치에 대해 침묵하며 EU 표준 계약 조항(EU 모델 조항이라고도 함)과 같은 승인된 메커니즘에 따라 데이터 전송을 허용합니다. Microsoft는 Microsoft 제품 및 서비스 데이터 보호 부록(DPA) 에서 EU, EEA(유럽 경제 지역) 및 스위스에서 고객 데이터의 모든 잠재적 전송이 EU 모델 조항의 적용을 받도록 계약상 커밋합니다. Microsoft는 EEA 및 스위스에서 개인 데이터의 수집, 사용, 전송, 보존 및 기타 처리와 관련된 EEA 및 스위스 데이터 보호법의 요구 사항을 준수합니다. 모든 개인 데이터 전송에는 적절한 보호 및 설명서 요구 사항이 적용됩니다. 그러나 클라우드 채택을 고려하는 많은 고객은 고객 운영 또는 고객 최종 사용자의 위치에 해당하는 지리적 경계 내에서 유지되는 고객 및 개인 데이터에 대한 보증을 찾고 있습니다.

데이터 주권은 데이터 상주를 의미합니다. 그러나 클라우드에 저장된 고객 데이터를 제어할 수 있는 사용자를 정의하는 규칙 및 요구 사항도 도입되었습니다. 대부분의 경우 데이터 주권은 고객 데이터가 데이터가 상주하는 국가/지역의 법률 및 법적 관할권의 적용을 받도록 규정하고 있습니다. 이러한 법률은 플랫폼 유지 관리 또는 고객이 시작한 지원 요청에 대해서도 데이터 액세스에 직접적인 영향을 미칠 수 있습니다. 이 문서의 뒷부분에서 설명한 대로 온-프레미스 및 에지 솔루션용 Azure Stack 제품과 함께 Azure 공용 다중 테넌트 클라우드를 사용하여 데이터 주권 요구 사항을 충족할 수 있습니다. 이러한 다른 제품을 배포하여 스토리지, 처리, 전송 및 원격 액세스를 포함하여 데이터를 전적으로 제어할 수 있습니다.

Microsoft가 클라우드 서비스에 대해 설정한 여러 데이터 범주 및 정의 중에서 이 문서에서는 다음 네 가지 범주에 대해 설명합니다.

• 고객 데이터는 Microsoft 온라인 서비스를 사용하여 사용자를 대신하여 관리하기 위해 Microsoft에 제공하는 모든 데이터입니다.
• 고객 콘텐츠 는 고객 데이터의 하위 집합이며, 예를 들어 Azure Storage 계정에 저장된 콘텐츠를 포함합니다.
• 개인 데이터는 특정 자연인과 관련된 정보(예: 최종 사용자의 이름 및 연락처 정보)를 의미합니다. 그러나 개인 데이터에는 Azure에서 생성하고 관리자에게 할당할 수 있는 사용자 ID와 같은 고객 데이터가 아닌 데이터가 포함될 수도 있습니다. 이러한 개인 데이터는 개인을 자체적으로 식별할 수 없기 때문에 가명으로 간주됩니다.
• 지원 및 컨설팅 데이터는 지원 또는 전문 서비스를 얻기 위해 Microsoft에 제공한 모든 데이터를 의미합니다.

데이터 보존을 제어하고 데이터 보호 의무를 충족하는 옵션에 대한 자세한 내용은 Microsoft Azure 지역에서 데이터 보존 및 데이터 보호 사용 설정을 참조하세요. 다음 섹션에서는 데이터 거주지와 관련된 주요 클라우드 영향을 다루며, 저장된 데이터, 전송 중인 데이터, 그리고 사용자가 시작하는 지원 요청의 일환으로 Microsoft가 귀하의 데이터를 보호하기 위한 기본 원칙에 대해 설명합니다.

정지된 데이터

Microsoft는 사용자가 이용할 수 있는 모든 온라인 서비스에 대해 데이터가 위치한 곳에서 명확한 정보를 제공합니다. 클라우드 서비스 데이터 상주 및 전송 정책 섹션을 확장하여 개별 온라인 서비스에 대한 링크를 표시합니다.

데이터가 선택한 Geography에만 저장되도록 하려면 이 약정을 적용하는 여러 지역 서비스에서 선택해야 합니다.

지역 및 비지역 서비스

Microsoft Azure는 데이터 보존 및 전송 정책에 대한 강력한 고객 약정 을 제공합니다.

• 지역 서비스에 대한 데이터 스토리지: 대부분의 Azure 서비스는 지역적으로 배포되며 서비스를 배포할 지역을 지정할 수 있습니다. Microsoft는 Azure 데이터 위치 페이지에 설명된 대로 몇 가지 지역 서비스 및 미리 보기 서비스를 제외하고 사용자가 지정한 지리 외부에 데이터를 저장하지 않습니다. 이 약정은 지정된 지역에 저장된 데이터가 해당 지리에 유지되고 대부분의 지역 서비스에 대해 다른 지리로 이동되지 않도록 하는 데 도움이 됩니다. 서비스 가용성에 대해서는 지역별 사용 가능 제품을 참조하세요.
• 비지역 서비스에 대한 데이터 스토리지: 특정 Azure 서비스는 데이터 위치 페이지에 설명된 대로 서비스를 배포할 지역을 지정할 수 없습니다. 비지역 서비스의 전체 목록은 지역별 사용 가능한 제품을 참조하세요.

Azure Storage 계정의 데이터는 항상 복제 되어 내구성과 고가용성을 보장합니다. Azure Storage는 일시적인 하드웨어 오류, 네트워크 또는 정전, 대규모 자연 재해로부터 데이터를 보호하기 위해 데이터를 복사합니다. 일반적으로 동일한 데이터 센터 내, 동일한 지역 내의 가용성 영역 또는 지리적으로 구분된 지역에 걸쳐 데이터를 복제하도록 선택할 수 있습니다. 특히 스토리지 계정을 만들 때 다음 중복 옵션 중 하나를 선택할 수 있습니다.

• LRS(로컬 중복 스토리지)
• ZRS(영역 중복 스토리지)
• GRS(지역 중복 스토리지)
• GZRS(지역 영역 중복 스토리지)

Azure Storage 계정의 데이터는 항상 기본 지역에서 세 번 복제됩니다. Azure Storage는 주 지역에서 데이터를 복제하기 위한 LRS 및 ZRS 중복 옵션을 제공합니다. 고가용성이 필요한 애플리케이션의 경우 주 지역에서 수백 킬로미터 떨어진 보조 지역으로의 지역에서 복제를 선택할 수 있습니다. Azure Storage는 보조 지역에 데이터를 복사하기 위한 GRS 및 GZRS 옵션을 제공합니다. 보조 지역의 데이터에 대한 읽기 액세스에 설명된 대로 보조 지역(RA-GRS 및 RA-GZRS)에 대한 RA(읽기 액세스)를 구성하는 데 더 많은 옵션을 사용할 수 있습니다.

Azure는 GRS(지역 중복 스토리지)를 제공하기 위해 쌍을 이루는 지역에 의존하기 때문에 Azure Storage 중복 옵션은 데이터 보존에 영향을 미칠 수 있습니다. 예를 들어 국가/지역 경계에 걸쳐 있는 지역 간 지역에서의 복제가 우려되는 경우 기본 지역이 있는 국가/지역의 지리적 경계 내에서 Azure Storage 데이터를 미사용 상태로 유지하도록 LRS 또는 ZRS를 선택할 수 있습니다. 마찬가지로, 쌍을 이루는 지역을 이 용도로 사용하는 것이 좋지만, 전 세계 모든 지역에 대한 트랜잭션의 비동기 복제를 구성하여 Azure SQL Database에 대한 지역 복제 를 가져올 수 있습니다. 관계형 데이터를 국가/지역의 지리적 경계 내에 유지해야 하는 경우 해당 국가/지역 외부 지역에 대한 Azure SQL Database 비동기 복제를 구성해서는 안 됩니다.

데이터 위치 페이지에 설명된 대로 대부분의 Azure 지역 서비스는 미사용 데이터 약정을 준수하여 해당 서비스가 배포된 지리적 경계 내에 데이터가 유지되도록 합니다. 이 규칙에 대한 몇 가지 예외는 데이터 위치 페이지에 기록됩니다. 이러한 예외를 검토하여 선택한 배포 Geography 외부에 저장된 데이터 형식이 요구 사항을 충족하는지 확인해야 합니다.

비지역 Azure 서비스는 서비스를 배포할 지역을 지정할 수 없습니다. 일부 비지역 서비스는 데이터를 전혀 저장하지 않고 Azure Traffic Manager 또는 Azure DNS와 같은 전역 라우팅 기능을 제공합니다. 기타 비지역 서비스는 콘텐츠 배달 네트워크와 같은 전 세계 에지 위치에서 데이터 캐싱을 위한 것입니다. 이러한 서비스는 선택 사항이며 지리에 유지하려는 중요한 고객 콘텐츠에 사용하지 않아야 합니다. 추가 논의를 보증하는 비지역 서비스 중 하나는 다음 섹션에서 설명하는 Microsoft Entra ID입니다.

Microsoft Entra ID의 고객 데이터

Microsoft Entra ID는 다음에서 Microsoft Entra 배포를 제외하고 ID 데이터를 전역적으로 저장할 수 있는 비지역 서비스입니다.

• ID 데이터가 미국에만 저장되는 미국입니다.
• 유럽, 여기서 Microsoft Entra ID는 Microsoft Entra ID의 유럽 고객을 위한 ID 데이터 스토리지에 명시된 경우를 제외하고 유럽 데이터 센터 내에서 대부분의 ID 데이터를 유지합니다.
• 오스트레일리아 및 뉴질랜드는 Microsoft Entra ID의 오스트레일리아 및 뉴질랜드 고객을 위한 고객 데이터 스토리지에 명시된 경우를 제외하고 ID 데이터가 호주에 저장됩니다.

Microsoft Entra ID는 모든 Microsoft Entra 구성 요소 서비스의 데이터 위치에 대한 투명한 인사이트를 제공하는 대시보드 를 제공합니다. 다른 기능 중에서 Microsoft Entra ID는 이름, 전자 메일 주소 등과 같이 EUII(최종 사용자 식별 정보)로 분류된 사용자 개인 데이터를 포함하여 Azure 관리자를 위한 디렉터리 데이터를 저장하는 ID 관리 서비스입니다. Microsoft Entra ID에서는 Integer, DateTime, Binary, String(256자로 제한됨) 등의 다양한 특성 형식을 사용하여 사용자, 그룹, 디바이스, 애플리케이션 및 기타 엔터티를 만들 수 있습니다. Microsoft Entra ID는 고객 콘텐츠를 저장하기 위한 것이 아니며 Blob, 파일, 데이터베이스 레코드 및 유사한 구조를 Microsoft Entra ID에 저장할 수 없습니다. 또한 Microsoft Entra ID는 외부 최종 사용자를 위한 ID 관리 서비스가 아닙니다. 이러한 용도로 Microsoft Entra 외부 ID 를 사용해야 합니다.

Microsoft Entra ID는 테넌트 격리 및 액세스 제어, 전송 중인 데이터 암호화, 비밀 암호화 및 관리, 디스크 수준 암호화, 다양한 Microsoft Entra 구성 요소에서 사용하는 고급 암호화 알고리즘, 내부자 액세스를 위한 데이터 운영 고려 사항 등을 비롯한 광범위한 데이터 보호 기능을 구현합니다. 자세한 내용은 백서 Active Directory 데이터 보안 고려 사항에서 확인할 수 있습니다.

내부 시스템에 대한 가명 데이터 생성

개인 데이터는 광범위하게 정의됩니다. 여기에는 고객 데이터뿐만 아니라 PUID(고유 식별자) 및 GUID(Globally Unique Identifier)와 같은 고유한 개인 식별자도 포함되며, 후자는 UUID(유니버설 고유 식별자)로 레이블이 지정되는 경우가 많습니다. 이러한 고유한 개인 식별자는 가명 식별자입니다. 이 유형의 정보는 관리자와 같은 Azure 서비스와 직접 상호 작용하는 사용자를 추적하기 위해 자동으로 생성됩니다. 예를 들어 PUID는 고유성의 높은 확률을 제공하기 위해 문자와 숫자의 조합을 통해 프로그래밍 방식으로 생성된 임의의 문자열입니다. 가명 식별자는 중앙 집중식 내부 Azure 시스템에 저장됩니다.

EUII는 사용자(예: 사용자 이름, 표시 이름, 사용자 계정 이름 또는 사용자별 IP 주소)를 식별하는 데 자체적으로 사용할 수 있는 데이터를 나타내는 반면, 가명 식별자는 개인을 스스로 식별할 수 없기 때문에 가명으로 간주됩니다. 가명 식별자는 업로드하거나 만든 정보를 포함하지 않습니다.

전송 중인 데이터

전송 중인 데이터의 정확한 네트워크 경로를 제어할 수는 없지만 전송 중인 데이터 암호화는 가로채기로부터 데이터를 보호하는 데 도움이 됩니다.

전송 중인 데이터는 데이터 이동과 관련된 다음 시나리오에 적용됩니다.

• 최종 사용자 및 Azure 서비스
• 온프레미스 데이터 센터 및 Azure 리전
• Microsoft 데이터 센터는 예상 Azure 서비스 운영의 일부입니다.

선택한 지리 내의 두 지점 간에 전송 중인 데이터는 일반적으로 해당 Geography에 남아 있지만, 네트워크가 혼잡을 방지하거나 다른 중단을 우회하기 위해 트래픽을 자동으로 다시 라우팅하는 방식 때문에 이 결과를 100% 보장할 수 없습니다. 즉, 전송 중인 데이터는 아래에 자세히 설명된 대로 암호화 및 전송 중인 데이터 암호화 섹션을 통해 보호할 수 있습니다.

Azure 서비스에 대한 최종 사용자 연결

대부분의 고객은 인터넷을 통해 Azure에 연결하며 네트워크 트래픽의 정확한 라우팅은 인터넷 인프라에 기여하는 많은 네트워크 공급자에 따라 달라집니다. Microsoft 제품 및 서비스 DPA(Data Protection Addendum)에 설명된 대로 Microsoft는 사용자 또는 최종 사용자가 고객 데이터에 액세스하거나 이동할 수 있는 지역을 제어하거나 제한하지 않습니다. 전송 중 암호화를 사용하도록 설정하여 보안을 강화할 수 있습니다. 예를 들어 Azure Application Gateway 를 사용하여 트래픽의 엔드 투 엔드 암호화를 구성할 수 있습니다. 전송 중 데이터 암호화 섹션에 설명된 대로 Azure는 TLS(전송 계층 보안) 프로토콜을 사용하여 사용자와 Azure 서비스 간에 이동할 때 데이터를 보호합니다. 그러나 Microsoft는 Azure와의 최종 사용자 상호 작용에 해당하는 네트워크 트래픽 경로를 제어할 수 없습니다.

Azure 지역과의 데이터센터 연결

VNet(Virtual Network)은 Azure VM(가상 머신)이 내부(온-프레미스) 네트워크의 일부로 작동할 수 있는 수단을 제공합니다. 온-프레미스 인프라에서 VNet에 안전하게 연결하는 옵션이 있습니다. IPsec 보호 VPN(예: 지점 및 사이트 간 VPN 또는 사이트 간 VPN)을 선택하거나 여러 데이터 암호화 옵션과 함께 Azure ExpressRoute를 사용하여 프라이빗 연결을 선택합니다.

• IPsec 보호 VPN은 공용 인터넷을 통해 설정된 암호화된 터널을 사용합니다. 즉, 네트워크 관련 보증을 위해 로컬 인터넷 서비스 공급자에 의존해야 합니다.
• ExpressRoute 를 사용하면 Microsoft 데이터 센터와 온-프레미스 인프라 또는 공동 배치 시설 간에 프라이빗 연결을 만들 수 있습니다. ExpressRoute 연결은 공용 인터넷을 통해 이동하지 않으며 IPsec 보호 VPN 연결보다 대기 시간이 짧고 안정성이 높습니다. ExpressRoute 위치 는 Microsoft의 글로벌 네트워크 백본에 대한 진입점이며 Azure 지역의 위치와 일치하거나 일치하지 않을 수 있습니다. 예를 들어 ExpressRoute를 통해 암스테르담의 Microsoft에 연결하고 북유럽 및 서유럽에서 호스트되는 모든 Azure 클라우드 서비스에 액세스할 수 있습니다. 그러나 전 세계 다른 곳에 있는 ExpressRoute 연결에서 동일한 Azure 지역에 액세스할 수도 있습니다. 네트워크 트래픽이 Microsoft 백본으로 들어가면 공용 인터넷 대신 해당 개인 네트워킹 인프라를 트래버스하도록 보장됩니다.

Microsoft 글로벌 네트워크 백본 간 트래픽

미사용 데이터 섹션에서 설명한 대로 스토리지 및 SQL Database와 같은 Azure 서비스를 지역 복제용으로 구성하여 특히 재해 복구 시나리오의 내구성과 고가용성을 보장할 수 있습니다. Azure는 쌍을 이루는 지역을 사용하여 GRS( 지역 중복 스토리지 )를 제공하며, Azure SQL Database에 대한 활성 지역 복제 를 구성할 때도 쌍을 이루는 지역을 사용하는 것이 좋습니다. 쌍을 이루는 지역은 동일한 지리 내에 있습니다.

지역 간 트래픽은 데이터 링크 계층(네트워킹 스택의 계층 2)에서 네트워크 트래픽을 보호하고 암호화를 위해 AES-128 블록 암호화를 사용하는 MACsec( 미디어 액세스 제어 보안 )을 사용하여 암호화됩니다. 이 트래픽은 전적으로 Microsoft 글로벌 네트워크 백본 내에 유지되며 공용 인터넷에 들어가지 않습니다. 백본은 200,000km가 넘는 광섬유 및 해저 케이블 시스템을 갖춘 세계에서 가장 큰 케이블 중 하나입니다. 그러나 네트워크 트래픽은 한 Azure 지역에서 다른 지역으로 동일한 경로를 항상 따르도록 보장되지 않습니다. Azure 클라우드에 필요한 안정성을 제공하기 위해 Microsoft에는 최적의 안정성을 위해 정체 또는 오류에 대한 자동 라우팅이 포함된 많은 물리적 네트워킹 경로가 있습니다. 따라서 Microsoft는 Azure 지역 간을 트래버스하는 네트워크 트래픽이 항상 해당 지리로 제한되도록 보장할 수 없습니다. 네트워킹 인프라 중단에서 Microsoft는 프라이빗 백본을 통해 암호화된 네트워크 트래픽의 경로를 다시 지정하여 서비스 가용성과 최상의 성능을 보장할 수 있습니다.

고객 지원 및 문제 해결을 위한 데이터

Azure는 전역적으로 운영되는 24x7 서비스입니다. 그러나 지원 및 문제 해결은 데이터에 대한 액세스가 거의 필요하지 않습니다. 지원 및 문제 해결 시나리오를 추가로 제어하려면 Azure용 Customer Lockbox를 사용하여 데이터에 대한 액세스 요청을 승인하거나 거부할 수 있습니다.

Microsoft Azure 지원은 Azure를 제공하는 모든 시장에서 사용할 수 있습니다. 기술 지원을 위해 전자 메일 및 전화를 통해 엔지니어를 지원하기 위해 24x7 액세스를 수용하기 위해 전 세계에 인력이 배치되어 있습니다. Azure Portal에서 지원 요청을 만들고 관리할 수 있습니다. 필요에 따라 일선 지원 엔지니어는 Azure 서비스 개발 및 운영을 담당하는 Azure DevOps 담당자에게 요청을 에스컬레이션할 수 있습니다. 이러한 Azure DevOps 엔지니어도 전 세계에도 활약하고 있습니다. 모든 Microsoft 엔지니어에게 동일한 프로덕션 액세스 제어 및 프로세스가 적용됩니다. 여기에는 Microsoft 정규직 직원과 하위 프로세서/공급업체로 구성된 지원 직원이 포함됩니다.

미사용 데이터 암호화 섹션에서 설명한 대로 데이터는 Azure에 저장될 때 기본적으로 미사용 시 암호화되며 Azure Key Vault에서 사용자 고유의 암호화 키를 제어할 수 있습니다. 또한 대부분의 고객 지원 요청을 해결하기 위해 데이터에 액세스할 필요가 없습니다. Microsoft 엔지니어는 고객 지원을 제공하기 위해 주로 로그를 사용합니다. 참가자 데이터 액세스 섹션에 설명된 대로 Azure에는 액세스가 필요한 경우 지원 및 문제 해결 시나리오를 위해 데이터에 대한 액세스를 제한하는 컨트롤이 있습니다. 예를 들어 JIT(Just-In-Time) 액세스 프로비전은 해당 역할에 대한 권한이 부여되고 임시 액세스 자격 증명이 부여된 Microsoft 엔지니어에게 프로덕션 시스템에 대한 액세스를 제한합니다. 지원 워크플로의 일부로서, 고객 Lockbox는 고객이 Microsoft 엔지니어의 데이터 액세스를 승인하거나 거부하는 권한을 부여합니다. 이러한 Azure 기술 및 프로세스(데이터 암호화, JIT 및 고객 Lockbox)를 결합하면 데이터의 기밀성과 무결성을 보호하기 위한 적절한 위험 완화를 제공합니다.

전 세계 정부 고객은 클라우드에 있는 데이터를 완전히 제어하길 원합니다. 다음 섹션에서 설명한 대로 Azure는 암호화 키에 대한 고객 제어를 포함하여 전체 수명 주기(미사용, 전송 중 및 사용 중)를 통해 데이터 암호화에 대한 광범위한 옵션을 제공합니다.

데이터 암호화.

Azure는 데이터 암호화를 사용하여 데이터를 보호하기 위해 광범위한 지원을 제공합니다. Azure 서비스에 저장된 가장 중요한 고객 콘텐츠에 대한 추가 보안이 필요한 경우 Azure Key Vault에서 제어하는 자체 암호화 키를 사용하여 암호화할 수 있습니다. 전송 중인 데이터의 정확한 네트워크 경로를 제어할 수는 없지만 전송 중인 데이터 암호화는 가로채기로부터 데이터를 보호하는 데 도움이 됩니다. Azure는 다음과 같은 데이터 암호화 모델을 지원합니다.

• 서비스 관리형 키, Azure의 CMK(고객 관리형 키) 또는 고객 제어 하드웨어의 CMK를 사용하는 서버 쪽 암호화입니다.
• 온-프레미스 또는 다른 보안 위치에 키를 관리하고 저장할 수 있는 클라이언트 쪽 암호화입니다.

데이터 암호화는 암호화 키 액세스에 직접 연결되는 격리 보증을 제공합니다. Azure는 데이터 암호화에 강력한 암호화를 사용하므로 암호화 키에 액세스할 수 있는 엔터티만 데이터에 액세스할 수 있습니다. 암호화 키를 취소하거나 삭제하면 해당 데이터에 액세스할 수 없게 됩니다.

암호화 키 관리

데이터 보안을 위해서는 암호화 키의 적절한 보호 및 관리가 필수적입니다. Azure Key Vault 는 비밀을 안전하게 저장하고 관리하기 위한 클라우드 서비스입니다. Key Vault 서비스는 다음 두 가지 리소스 유형을 지원합니다.

• Vault는 소프트웨어 보호 및 HSM(하드웨어 보안 모듈) 보호 비밀, 키 및 인증서를 지원합니다. 보관소는 다중 테넌트 환경을 지원하며 비용이 저렴하고 배포가 용이하며, 사용 가능한 경우 영역 복원력이 있으며 대부분의 일반적인 클라우드 애플리케이션 시나리오에 적합한 높은 가용성을 제공하는 키 관리 솔루션을 제공합니다. 해당 HSM에는 FIPS 140 유효성 검사가 있습니다.
• 관리되는 HSM은 HSM으로 보호되는 암호화 키만 지원합니다. 단일 테넌트, 완전 관리형, 고가용성, 영역 복원 가능(사용 가능한 경우) HSM을 서비스로 제공하여 암호화 키를 저장하고 관리합니다. 높은 값의 키를 처리하는 애플리케이션 및 사용 시나리오에 가장 적합합니다. 또한 가장 엄격한 보안, 규정 준수 및 규정 요구 사항을 충족하는 데 도움이 됩니다. 관리형 HSM은 FIPS 140 수준 3 유효성이 검사된 HSM을 사용하여 암호화 키를 보호합니다.

Key Vault를 사용하면 FIPS 140의 유효성을 검사하는 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. Azure Key Vault를 사용하면 HSM에서 암호화 키를 가져오거나 생성하여 키가 HSM 보호 경계를 벗어나지 않도록 하여 BYOK(Bring Your Own Key) 시나리오를 지원할 수 있습니다. Azure Key Vault HSM 내에서 생성된 키는 내보낼 수 없습니다. HSM 외부에서는 키의 명확한 텍스트 버전이 있을 수 없습니다. 이 바인딩은 기본 HSM에 의해 적용됩니다.

비고

Azure Key Vault는 Microsoft 및 해당 에이전트가 암호화 키를 보거나 추출하지 않도록 설계, 배포 및 운영됩니다. 추가 보증은 Azure Key Vault에서 키를 보호하는 방법을 참조하세요.

자세한 내용은 Azure Key Vault를 참조하세요.

전송 중 암호화

Azure는 전송 중인 데이터를 암호화하기 위한 여러 옵션을 제공합니다. 전송 중인 데이터 암호화는 네트워크 트래픽을 다른 트래픽으로부터 격리하고 가로채기로부터 데이터를 보호하는 데 도움이 됩니다. 자세한 내용은 전송 중인 데이터 암호화를 참조하세요.

휴지 상태의 암호화

Azure는 미사용 데이터를 암호화하는 광범위한 옵션을 제공하여 데이터를 보호하고 Microsoft 관리형 암호화 키와 고객 관리형 암호화 키를 모두 사용하여 규정 준수 요구 사항을 충족할 수 있도록 지원합니다. 이 프로세스는 Azure Key Vault 및 Microsoft Entra ID와 같은 여러 암호화 키 및 서비스를 사용하여 보안 키 액세스 및 중앙 집중식 키 관리를 보장합니다. Azure Storage 암호화 및 Azure Disk Storage 암호화에 대한 자세한 내용은 미사용 데이터 암호화를 참조하세요.

Azure SQL Database는 기본적으로저장 시 TDE(투명한 데이터 암호화)를 제공합니다. TDE는 데이터 및 로그 파일에 대해 실시간 암호화 및 암호 해독 작업을 수행합니다. DEK(데이터베이스 암호화 키)는 복구 중 사용 가능하도록 데이터베이스 부트 레코드에 저장된 대칭 키입니다. 서버의 마스터 데이터베이스에 저장된 인증서 또는 Azure Key Vault의 제어 하에 저장된 TDE 보호기라는 비대칭 키를 통해 보호됩니다. Key Vault는 BYOK(Bring Your Own Key)을 지원하여 TDE 보호기를 키 자격 증명 모음에 저장하고, 키 권한 관리, 회전, 삭제, 모든 TDE 보호기에 대한 감사 및 보고 활성화 등을 포함한 키 관리 작업을 제어할 수 있습니다. 키는 Key Vault에 의해 생성되거나, 가져오거나,온-프레미스 HSM 디바이스에서 Key Vault로 전송될 수 있습니다. 애플리케이션 내에서 데이터를 암호화하고 데이터베이스 엔진에 암호화 키를 표시하지 않도록 하여 중요한 데이터를 보호하기 위해 특별히 설계된 Azure SQL Database의 Always Encrypted 기능을 사용할 수도 있습니다. 이러한 방식으로 Always Encrypted는 데이터를 소유하고 볼 수 있는 사용자와 데이터를 관리하는 사용자(액세스 권한 없음)를 구분합니다.

사용 중인 데이터 암호화

Microsoft를 사용하면 전체 수명 주기(미사용, 전송 중 및 사용 중)에서 데이터를 보호할 수 있습니다. Azure 기밀 컴퓨팅 및 동형 암호화는 클라우드에서 처리되는 동안 데이터를 보호하는 두 가지 기술입니다.

Azure 기밀 컴퓨팅

Azure 기밀 컴퓨팅 은 사용 중 데이터 암호화를 제공하는 데이터 보안 기능 집합입니다. 이 방법은 데이터를 계산하는 동안 메모리에 있는 동안에도 항상 제어할 수 있도록 클라우드에서 데이터를 처리할 수 있음을 의미합니다. Azure 기밀 컴퓨팅은 IaaS 워크로드에 대해 다양한 가상 머신을 지원합니다.

• 신뢰할 수 있는 시작 VM:신뢰할 수 있는 시작은 2세대 VM에서 사용할 수 있으며, 부팅 키트, 루트킷 및 커널 수준 맬웨어로부터 보호하는 보안 부팅, 가상 신뢰할 수 있는 플랫폼 모듈 및 부팅 무결성 모니터링과 같은 강화된 보안 기능을 제공합니다.

• AMD SEV-SNP 기술을 사용하는 기밀 VM: AMD EPYC 7003 시리즈 CPU를 기반으로 Azure VM을 선택하여 코드를 변경하지 않고도 애플리케이션을 리프트 앤 시프트할 수 있습니다. 이러한 AMD EPYC CPU는 AMD 보안 암호화 가상화 – 보안 중첩 페이징 (SEV-SNP) 기술을 사용하여 런타임에 전체 가상 머신을 암호화합니다. VM 암호화에 사용되는 암호화 키는 EPYC CPU의 전용 보안 프로세서에 의해 생성되고 보호되며 외부 수단으로 추출할 수 없습니다. 이러한 Azure VM은 현재 미리 보기로 제공되며 고객을 선택할 수 있습니다. 자세한 내용은 Azure 및 AMD가 기밀 컴퓨팅 발전의 랜드마크를 발표하는 것을 참조하세요.

• Intel SGX 애플리케이션 enclave를 사용하는 기밀 VM: 애플리케이션 수준까지 세분화된 방식으로 기밀성을 지원하는 Intel SGX(Intel Software Guard Extensions ) 기술을 기반으로 Azure VM을 선택할 수 있습니다. 이 방법을 사용하면 메모리에서 효율적인 데이터 처리에 필요한 명확한 데이터가 있으면 그림 1에 표시된 대로 하드웨어 기반 신뢰할 수 있는 실행 환경 (TEE, enclave라고도 함) 내에서 데이터가 보호됩니다. Intel SGX는 실제 메모리의 일부를 격리하여 선택한 코드와 데이터를 보거나 수정하지 못하도록 보호하는 enclave를 만듭니다. TEE를 사용하면 애플리케이션 디자이너만 TEE 데이터에 액세스할 수 있습니다. Azure 관리자를 비롯한 다른 모든 사용자에게는 액세스가 거부됩니다. 또한 TEE는 권한 있는 코드만 데이터에 액세스할 수 있도록 하는 데 도움이 됩니다. 코드가 변경되거나 변조되면 작업이 거부되고 환경이 비활성화됩니다.

  

  그림 1 신뢰할 수 있는 실행 환경 보호

  Azure DCsv2, DCsv3 및 DCdsv3 시리즈 가상 머신에는 Intel SGX 기술을 사용하는 최신 세대의 Intel Xeon 프로세서가 있습니다. 자세한 내용은 SGX enclave를 사용하여 빌드를 참조하세요. 애플리케이션 개발자가 적절하게 사용하는 경우 Intel SGX에서 제공하는 보호는 권한 있는 소프트웨어 및 많은 하드웨어 기반 공격의 공격으로 인한 손상을 방지할 수 있습니다. Intel SGX를 사용하는 애플리케이션을 신뢰할 수 있고 신뢰할 수 없는 구성 요소로 리팩터링해야 합니다. 애플리케이션의 신뢰할 수 없는 부분은 enclave를 설정한 다음 신뢰할 수 있는 부분이 enclave 내에서 실행되도록 허용합니다. 권한 수준에 관계없이 다른 모든 코드는 enclave 내에서 실행되는 코드 또는 enclave 코드와 연결된 데이터에 액세스할 수 없습니다. 디자인 모범 사례에서는 신뢰할 수 있는 파티션에 고객의 비밀을 보호하는 데 필요한 최소한의 콘텐츠만 포함해야 합니다. 자세한 내용은 Intel SGX의 애플리케이션 개발을 참조하세요.

Intel SGX( Intel Software Guard Extensions ) 또는 AMD 보안 암호화 가상화 – 보안 중첩 페이징 (SEV-SNP)과 같은 기술은 기밀 컴퓨팅 구현을 지원하는 최근 CPU 개선 사항입니다. 이러한 기술은 가상화 확장으로 설계되었으며 메모리 암호화 및 무결성, CPU 상태 기밀성 및 무결성 및 증명을 포함한 기능 집합을 제공합니다. Azure는 일반적으로 사용 가능하거나 미리 보기에서 사용할 수 있는 추가 기밀 컴퓨팅 제품을 제공합니다.

• Microsoft Azure Attestation – 여러 TEE(신뢰할 수 있는 실행 환경)의 신뢰성을 확인하고 TEE 내에서 실행되는 이진 파일의 무결성을 확인하기 위한 원격 증명 서비스입니다.
• Azure Confidential Ledger – 기록 보관 및 감사 또는 다자간 시나리오의 데이터 투명성을 위해 중요한 데이터를 저장하기 위한 변조 방지 레지스터입니다. Write-Once-Read-Many를 보장하여 데이터를 삭제하고 수정할 수 없도록 합니다. 이 서비스는 Microsoft Research의 기밀 컨소시엄 프레임워크를 기반으로 합니다.
• AKS(Azure Kubernetes Service)에서 실행되는 Enclave 인식 컨테이너 – AKS의 기밀 컴퓨팅 노드는 Intel SGX를 사용하여 각 컨테이너 애플리케이션 간의 노드에 격리된 Enclave 환경을 만듭니다.
• Azure SQL의 보안 Enclave를 사용한 Always Encrypted – SQL 문에 데이터베이스 엔진이 실행되는 보안 Enclave를 사용해야 하는 암호화된 데이터에 대한 작업이 포함된 경우 TEE 내에서 직접 SQL 쿼리를 실행하여 중요한 데이터의 기밀성은 맬웨어 및 권한이 높은 권한이 있는 사용자로부터 보호됩니다.
• 에지의 기밀 컴퓨팅 – Azure IoT Edge는 IoT(사물 인터넷) 디바이스의 보안 엔클레이브 내에서 실행되는 기밀 애플리케이션을 지원합니다. IoT 디바이스는 악의적인 행위자가 물리적으로 액세스할 수 있으므로 변조 및 위조에 노출되는 경우가 많습니다. 기밀 IoT Edge 디바이스는 클라우드로 스트리밍하기 전에 디바이스 자체에 의해 캡처되고 저장된 데이터에 대한 액세스를 보호하여 에지에서 신뢰와 무결성을 추가합니다.

Microsoft는 고객의 피드백에 따라Azure 기밀 컴퓨팅에 대한 높은 수준의 시나리오에 투자를 시작했습니다. 기밀 컴퓨팅 서비스 및 프레임워크를 사용하여 고유한 애플리케이션을 개발하기 위한 시작점으로 시나리오 권장 사항을 검토할 수 있습니다.

동형 암호화

동형 암호화 는 데이터의 암호를 해독하는 데 필요한 키에 액세스할 필요 없이 암호화된 데이터에 대해 계산을 수행할 수 있는 특수한 유형의 암호화 기술을 나타냅니다. 계산 결과는 암호화되며 암호화 키의 소유자만 표시할 수 있습니다. 이러한 방식으로 암호화된 데이터만 클라우드에서 처리되며 계산 결과를 표시할 수 있습니다.

동형 암호화를 채택하는 데 도움이 되도록 Microsoft SEAL 은 암호화된 데이터에서 직접 계산을 수행할 수 있는 암호화 라이브러리 집합을 제공합니다. 이 방법을 사용하면 암호화 키를 클라우드 서비스와 공유할 필요가 없는 엔드 투 엔드 암호화 데이터 스토리지 및 컴퓨팅 서비스를 빌드할 수 있습니다. Microsoft SEAL은 모든 사용자가 동형 암호화를 쉽게 사용하고 사용할 수 있도록 하는 것을 목표로 합니다. 간단하고 편리한 API를 제공하며 라이브러리를 정확하고 안전하게 사용하는 방법을 보여 주는 몇 가지 자세한 예제가 제공됩니다.

또한 FHE(완전 동형 암호화)의 상용화를 주도하기 위해 Intel 및 DARPA(Defense Advanced Research Projects Agency)와 다년간의 협력을 발표했습니다. 이 기술을 사용하면 항상 암호화된 데이터 또는 암호문에서 연산을 수행할 수 있습니다. FHE를 사용하면 데이터의 암호를 해독할 필요가 없으므로 사이버 위협 가능성이 줄어듭니다.

클라우드의 데이터 암호화는 전 세계 정부 고객이 기대하는 중요한 위험 완화 요구 사항입니다. 이 섹션에 설명된 대로 Azure는 미사용, 전송 중 또는 사용 중이든 전체 수명 주기를 통해 데이터를 보호할 수 있도록 도와줍니다. 또한 Azure는 키 권한, 회전, 삭제 등을 포함하여 클라우드에서 키를 제어하는 데 도움이 되는 포괄적인 암호화 키 관리를 제공합니다. 고급 암호화를 사용하는 엔드 투 엔드 데이터 암호화는 클라우드에서 데이터의 기밀성과 무결성을 보장하는 데 기본 사항입니다. 그러나 많은 고객은 서비스 유지 관리, 고객 지원 또는 기타 시나리오를 위해 Microsoft 엔지니어가 잠재적인 고객 데이터 액세스에 대한 보증을 기대합니다. 이러한 컨트롤은 다음 섹션에서 설명합니다.

내부자 데이터 접근

내부 위협은 백도어 연결 및 CSP(클라우드 서비스 공급자) 권한 있는 관리자 액세스를 시스템 및 데이터에 제공할 수 있는 가능성으로 특징지어집니다. Microsoft는 데이터에 액세스할 수 있는 사용자 및 조건에 대한 강력한 고객 약정 을 제공합니다. Microsoft 운영 및 지원 담당자의 데이터에 대한 액세스는 기본적으로 거부됩니다. 데이터에 대한 액세스는 Azure를 운영하는 데 필요하지 않습니다. 또한 고객이 시작한 문제 해결 티켓과 관련된 대부분의 지원 시나리오에서는 데이터에 액세스할 필요가 없습니다.

기본 액세스 권한을 부여하지 않으며 필요 시점에 맞춘 JIT(Just-In-Time) 액세스 프로비전은 일반적으로 고용 기간 내내 지속되는 기존 온-프레미스 관리자 권한 상승과 관련된 위험을 크게 줄입니다. Microsoft를 사용하면 악의적인 내부자가 애플리케이션 및 데이터를 변조하기가 훨씬 더 어려워집니다. 정규직 직원과 하위 프로세서/공급업체를 포함하여 모든 Microsoft 엔지니어에게 동일한 액세스 제어 제한 및 프로세스가 적용됩니다.

Microsoft에서 데이터에 대한 내부자 액세스를 제한하는 방법에 대한 자세한 내용은 내부자 액세스 제한을 참조하세요.

귀하의 데이터에 대한 정부 요청

데이터에 대한 정부 요청은 정부 요청에 응답하기 위한 Microsoft 관행에 따라 엄격한 절차를 따릅니다. Microsoft는 권한이 없는 사용자의 부적절한 액세스 또는 사용으로부터 데이터를 보호하기 위해 강력한 조치를 취합니다. 이러한 조치에는 Microsoft 직원 및 하청 업체의 액세스를 제한하고 데이터에 대한 정부 요청에 응답하기 위한 요구 사항을 신중하게 정의하는 것이 포함됩니다. Microsoft는 백도어 채널이 없고 데이터에 대한 직접 또는 자유로운 정부 액세스가 없는지 확인합니다. Microsoft는 데이터에 대한 정부 및 법 집행 요청에 특별한 요구 사항을 적용합니다.

Microsoft 제품 및 서비스 DPA(Data Protection Addendum)에 명시된 대로 Microsoft는 법률에 의해 요구되지 않는 한 귀하의 데이터를 법 집행 기관에 공개하지 않습니다. 법 집행 기관이 사용자의 데이터에 대한 요구로 Microsoft에 연락하는 경우 Microsoft는 해당 데이터를 사용자에게 직접 요청하도록 법 집행 기관을 리디렉션하려고 시도합니다. 귀하의 데이터를 법 집행 기관에 공개하도록 강요당하는 경우 Microsoft는 법적으로 금지되지 않는 한 즉시 귀하에게 알리고 요청 사본을 제공합니다.

데이터에 대한 정부 요청은 관련 법률을 준수해야 합니다.

• 비콘텐츠 데이터를 요청하려면 소환장 또는 현지 동등한 문서가 필요합니다.
• 콘텐츠 데이터에는 영장, 법원 명령 또는 해당 지역의 동등한 명령이 필요합니다.

Microsoft는 매년 데이터에 대한 많은 법 집행 요청을 거부합니다. 정부 요청에 대한 이의 제기는 다양한 형태로 진행할 수 있습니다. 대부분의 경우 Microsoft에서는 데이터를 요청하는 정부 기관에게 요청 정보를 공개할 수 없다고 알리고, 요청을 거부하는 이유를 설명합니다. 적절한 경우 Microsoft에서는 요청에 대한 이의를 법원에 제기합니다.

법 집행 요청 보고서 및 미국 국가 안보 명령 보고서는 6개월마다 업데이트되며 대부분의 고객은 정부 데이터 요청의 영향을 받지 않습니다.

CLOUD Act 프로비전

클라우드법은 2018년 3월에 제정된 미국법입니다. 자세한 내용은 Microsoft의 블로그 게시물 과 데이터에 대한 법 집행 액세스를 제어하는 원칙 기반 국제 계약에 대한 Microsoft의 요구를 설명하는 후속 블로그 게시물을 참조하세요. Azure 서비스를 조달하는 정부 고객에 대한 주요 관심 지점은 아래에 캡처됩니다.

• 클라우드 법은 정부가 국경을 넘어 법 집행 기관에 정보가 공개되는 방법에 대한 투명성과 확실성을 높이는 새로운 정부 간 계약을 협상할 수 있도록 합니다.
• 클라우드 법은 더 큰 정부 감시를 위한 메커니즘이 아닙니다. 합법적인 범죄 수사를 위한 증거에 대한 합법적인 액세스를 용이하게 하면서 데이터가 궁극적으로 본국/지역의 법률에 의해 보호되도록 하는 메커니즘입니다. 미국의 사법 당국은 여전히 통신 내용을 찾기 전에 독립적 인 법원에서 범죄의 가능한 원인을 입증하는 영장을 받아야합니다. CLOUD Act는 상호 협정을 추구하는 다른 국가/지역에도 비슷한 보호 장치를 요구합니다.
• 클라우드 법은 새로운 국제 협정에 따라 새로운 권리를 창출하지만, 이러한 새로운 조약이 없더라도 법률이 충돌할 때 수색 영장에 이의를 제기하기 위해 법원에 갈 클라우드 서비스 제공자의 공통 법률 권리도 유지합니다.
• Microsoft는 주문이 데이터가 호스팅되는 국가/지역의 법률과 명확하게 충돌하는 미국의 법 집행 명령에 이의를 제기할 법적 권리를 보유합니다. Microsoft는 모든 사법 기관 요청을 신중하게 평가하고, 적절한 경우 고객을 보호하는 권리를 행사하는 일을 계속 진행할 것입니다.
• 합법적인 기업 고객의 경우 미국 사법 당국은 대부분의 경우 정보 요청을 위해 Microsoft가 아닌 고객에게 직접 이동합니다.

Microsoft는 클라우드 법의 결과로 추가 데이터를 공개하지 않습니다. 이 법은 이전에 데이터에 대한 법 집행 요청에 적용된 법률 및 개인 정보 보호를 실질적으로 변경하지 않으며 이러한 보호는 계속 적용됩니다. Microsoft는 사용자 데이터에 대한 정부 요구와 관련된 동일한 원칙 및 고객 약속을 준수합니다.

대부분의 정부 고객은 데이터 위반 알림을 포함하여 보안 인시던트 처리를 위한 요구 사항을 충족해야 합니다. Microsoft는 다음 섹션에 설명된 완성도 높은 보안 및 개인 정보 보호 인시던트 관리 프로세스를 마련했습니다.

위반 알림

Microsoft는 인시던트 선언 후 72시간 이내에 데이터 위반(고객 또는 개인)을 사용자에게 알립니다. 클라우드용 Microsoft Defender를 사용하여 잠재적인 위협을 모니터링하고 인시던트에 직접 대응할 수 있습니다.

Microsoft는 Azure 플랫폼에 영향을 주는 보안 및 가용성 인시던트 모니터링 및 수정을 담당하고 데이터와 관련된 보안 위반을 알려 줍니다. Azure에는 이러한 용도로 사용되는 성숙한 보안 및 개인 정보 보호 인시던트 관리 프로세스가 있습니다. 다음 섹션에 설명된 대로 Azure에서 프로비전된 자체 리소스를 모니터링할 책임이 있습니다.

공동 책임

NIST SP 800-145 표준은 IaaS(Infrastructure as a Service), PaaS(Platform as a Service) 및 SaaS(Software as a Service) 같은 클라우드 서비스 모델을 정의합니다. 클라우드 컴퓨팅에 대한 공유 책임 모델은 그림 2에 나와 있습니다. 사용자 고유의 데이터 센터에서 온-프레미스 배포를 사용하면 스택의 모든 계층에 대한 책임을 맡게 됩니다. 워크로드가 클라우드로 마이그레이션되면 Microsoft는 클라우드 서비스 모델에 따라 점점 더 많은 책임을 져야 합니다. 예를 들어 IaaS 모델을 사용하면 Microsoft의 책임은 하이퍼바이저 계층에서 종료되며 게스트 Virtual Machines에서 기본 운영 체제 유지 관리를 포함하여 가상화 계층 위의 모든 계층을 담당합니다.

그림 2. 클라우드 컴퓨팅의 공유 책임 모델

Microsoft는 공유 책임 모델에 따라 Azure에 배포된 개별 애플리케이션을 검사, 승인 또는 모니터링하지 않습니다. 예를 들어 Microsoft는 애플리케이션이 제대로 작동하기 위해 열어야 하는 방화벽 포트, 백 엔드 데이터베이스 스키마의 모양, 애플리케이션에 대한 일반 네트워크 트래픽을 구성하는 요소 등을 모릅니다. Microsoft는 클라우드 플랫폼을 위한 광범위한 모니터링 인프라를 보유하고 있습니다. 그러나 Azure에서 자체 리소스를 프로비전하고 모니터링할 책임이 있습니다. 다음 섹션에 설명된 대로 다양한 Azure 서비스를 배포하여 애플리케이션 및 데이터를 모니터링하고 보호할 수 있습니다.

추가 보호를 위한 필수 Azure 서비스

Azure는 프로비전된 Azure 리소스에 대한 심층 인사이트를 얻고 애플리케이션 및 데이터를 겨냥한 외부 공격을 포함하여 의심스러운 활동에 대한 경고를 받는 데 사용할 수 있는 필수 서비스를 제공합니다. Azure Security Benchmark는 프로비전된 Azure 리소스의 보안 상태를 개선하는 데 도움이 되는 보안 권장 사항 및 구현 세부 정보를 제공합니다.

추가 보호를 위한 필수 Azure 서비스에 대한 자세한 내용은 Azure 리소스에 대한 고객 모니터링을 참조하세요.

위반 알림 프로세스

보안 인시던트 대응(위반 알림 포함)은 Azure에 대한 Microsoft의 전체 인시던트 관리 계획의 하위 집합입니다. 모든 Microsoft 직원은 잠재적 보안 인시던트를 식별하고 에스컬레이션하도록 교육받습니다. MSRC(Microsoft Security Response Center) 내의 전담 보안 엔지니어 팀은 항상 Azure에 대한 보안 인시던트 대응을 관리합니다. Azure 서비스에 대한 보안 및 가용성 인시던트 모두를 관리할 때, Microsoft에서는 5단계 인시던트 응답 프로세스를 따릅니다. 이 프로세스에는 다음 단계가 포함됩니다.

1. 감지하다
2. 평가하다
3. 진단하다
4. 안정화 및 복구.
5. 닫기

5단계 프로세스의 목표는 문제가 탐지되고 조사가 시작된 후 최대한 빠르게 정상적인 서비스 작업과 보안을 복원하는 것입니다. 또한 Microsoft를 사용하면 Azure 구독에서 보안 인시던트 조사, 관리 및 대응할 수 있습니다. 자세한 내용은 인시던트 관리 구현 지침: Azure 및 Office 365를 참조하세요.

보안 또는 개인 정보 보호 이벤트를 조사하는 동안 Microsoft는 승인되지 않은 당사자가 고객 또는 개인 데이터를 노출하거나 액세스했음을 알게 되면 보안 인시던트 관리자는 Microsoft 법률 부서와 협의하여 인시던트 알림 하위 프로세스를 트리거해야 합니다. 이 하위 프로세스는 Azure 고객 계약에 규정된 인시던트 알림 요구 사항을 충족하도록 설계되었습니다(Microsoft 제품 및 서비스 데이터 보호 부록의 보안 인시던트 알림 참조). 고객 알림 및 외부 보고 의무(있는 경우)는 선언되는 보안 인시던트에 의해 트리거됩니다. 고객 알림 하위 프로세스는 보안 인시던트 조사 및 완화 단계와 병렬로 시작하여 보안 인시던트로 인한 영향을 최소화합니다.

Microsoft는 인시던트 선언 후 72시간 이내에 고객 또는 개인 데이터의 위반에 대해 귀하, 데이터 보호 기관 및 데이터 주체(해당하는 경우 각각)에게 알립니다. 선언된 보안 또는 개인 정보 보호 인시던트에 대한 알림 프로세스는 신속하게 진행하는 보안 위험을 고려하면서 최대한 신속하게 발생합니다. 실제로 이 방법은 대부분의 알림이 Microsoft가 계약적으로 커밋하는 72시간 마감 전에 발생한다는 것을 의미합니다. 보안 또는 개인 정보 인시던트에 대한 알림은 전자 메일을 포함하여 Microsoft가 선택하는 모든 수단을 통해 하나 이상의 관리자에게 전달됩니다. Azure 구독에 대한 보안 연락처 세부 정보를 제공해야 합니다. 이 정보는 MSRC가 불법적이거나 권한이 없는 당사자가 데이터를 노출하거나 액세스한 것을 발견한 경우 Microsoft에서 사용자에게 연락하는 데 사용됩니다. 알림이 성공적으로 전달될 수 있도록 하려면 해당하는 각 구독에 대해 올바른 관리 연락처 정보를 유지해야 합니다.

대부분의 Azure 보안 및 개인 정보 조사에서는 보안 인시던트를 선언하지 않습니다. 대부분의 외부 위협은 Microsoft가 적용한 광범위한 플랫폼 보안 조치로 인해 데이터 위반으로 이어지지 않습니다. Microsoft는 빅 데이터 분석과 기계 학습을 통해 실시간 위협 인텔리전스를 비롯한 플랫폼 상태를 파악하는, 방대한 모니터링 및 진단 인프라를 Azure에 배포했습니다. Microsoft는 모든 플랫폼 공격을 심각하게 받아들이고 있지만 플랫폼 수준에서 잠재적인 공격을 알리는 것은 비현실적입니다.

고객 데이터를 보호하기 위해 Microsoft에서 구현한 컨트롤 외에도 Azure에 배포된 정부 고객은 Microsoft가 클라우드 플랫폼을 보호하기 위해 수행하는 보안 연구에서 상당한 이점을 얻을 수 있습니다. Microsoft 글로벌 위협 인텔리전스는 업계 최대 인텔리전스에 속하며, 가장 다채로운 위협 분석 소스 집합에서 가져옵니다. Microsoft 기계 학습 알고리즘을 해당 원격 분석에 적용할 수 있도록 하는 것은 위협 원격 분석의 볼륨과 다양성입니다. 모든 Azure 고객은 다음 섹션에 설명된 대로 이러한 투자를 통해 직접 혜택을 누릴 수 있습니다.

위협 탐지 및 방지

Microsoft Graph Security API 는 고급 분석을 사용하여 Microsoft 제품, 서비스 및 파트너에서 얻은 대량의 위협 인텔리전스 및 보안 신호를 합성하여 사이버 위협에 대처합니다. 가장 다양한 원본 집합에서 수백만 개의 고유한 위협 지표가 매일 Microsoft와 파트너에 의해 생성되고 Microsoft 제품 및 서비스 간에 공유됩니다(그림 3). 매월 Microsoft는 자체 글로벌 서비스 포트폴리오에서 4,000억 개 이상의 이메일 메시지에서 피싱과 맬워어를 검색하고, 4,500억 회의 인증을 처리하며, 180억 페이지 이상을 검색하고, 12억 개 이상의 디바이스에서 위협을 검색합니다. 무엇보다도 이 데이터는 언제나 엄격한 개인 정보 보호 정책 및 규정이 적용된 후에 보안 분석에 사용됩니다.

그림 3. Microsoft 글로벌 위협 인텔리전스는 업계에서 가장 큰 규모 중 하나입니다.

Microsoft Graph Security API를 사용하면 진화하는 위협 환경을 명확하게 확인하고 빠른 혁신을 통해 위협을 감지하고 대응할 수 있습니다. 기계 학습 모델과 인공지능은 방대한 보안 신호를 처리하여 취약성과 위협을 식별합니다. Microsoft Graph Security API는 Microsoft 플랫폼과 파트너 솔루션에서 보안 인사이트를 공유하고 작업을 수행할 수 있는 공통 게이트웨이를 제공합니다. Microsoft가 클라우드용 Microsoft Defender를 비롯한 Microsoft 온라인 서비스에서 방대한 위협 원격 분석 및 고급 분석을 사용할 수 있도록 하므로 Microsoft Graph 보안 API를 통해 직접 혜택을 누릴 수 있습니다. 이러한 서비스는 클라우드에서 고유한 보안 요구 사항을 해결하는 데 도움이 될 수 있습니다.

Microsoft는 Azure 클라우드 플랫폼에 대한 광범위한 보호를 구현했으며, 프로비전된 클라우드 리소스를 공격으로부터 모니터링하고 보호하는 데 도움이 되는 광범위한 Azure 서비스를 제공했습니다. 그럼에도 불구하고 특정 유형의 워크로드 및 데이터 분류의 경우 정부 고객은 환경에 대한 완전한 운영 제어를 갖고 완전히 연결이 끊긴 모드에서 작동할 것으로 예상합니다. 제품의 Azure Stack 포트폴리오를 사용하면 다음 섹션에 설명된 대로 매우 중요한 데이터를 수용할 수 있는 프라이빗 및 하이브리드 클라우드 배포 모델을 프로비전할 수 있습니다.

Azure Stack을 사용하는 프라이빗 및 하이브리드 클라우드

Azure Stack 포트폴리오는 온-프레미스, 에지 위치 및 클라우드에서 하이브리드 애플리케이션을 빌드하고 실행할 수 있는 Azure의 확장입니다. 그림 4에 표시된 것처럼 Azure Stack에는 Azure Stack Hub(이전의 Azure Stack) 및 Azure Stack Edge(이전의 Azure Data Box Edge)가 포함됩니다. 자세한 내용은 글로벌 Azure와 Azure Stack Hub 간의 차이점을 참조하세요.

그림 4. Azure Stack 포트폴리오

Azure Stack Hub 및 Azure Stack Edge는 프라이빗 또는 하이브리드 클라우드를 사용하여 매우 중요한 데이터를 처리하고 Microsoft 지능형 클라우드 및 지능형 에지 접근 방식을 사용하여 디지털 변환을 추구할 수 있는 핵심 지원 기술을 나타냅니다. 많은 정부 고객의 경우 데이터 주권을 적용하고, 사용자 지정 규정 준수 요구 사항을 해결하고, 매우 중요한 데이터에 사용 가능한 최대 보호를 적용하는 것이 이러한 노력의 주요 원동력입니다.

Azure Stack Hub

Azure Stack Hub (이전의 Azure Stack)는 Microsoft 하드웨어 파트너로부터 구매하고, 사용자 고유의 데이터 센터에 배포한 다음, 관리되는 서비스 공급자의 도움을 받아 전적으로 작동할 수 있는 소프트웨어 및 유효성이 검사된 하드웨어의 통합 시스템입니다. Azure Stack Hub를 사용하면 항상 데이터에 대한 액세스를 완전히 제어할 수 있습니다. Azure Stack Hub는 Azure Stack Hub 배율 단위당 최대 16대의 물리적 서버를 수용할 수 있습니다. Azure 확장을 나타내며, 다양한 IaaS 및 PaaS 서비스를 프로비전하고 다중 테넌트 클라우드 기술을 온-프레미스 및 에지 환경에 효과적으로 가져올 수 있습니다. Azure에서 사용하는 동일한 개발 도구, API 및 관리 프로세스를 사용하는 동안 다양한 유형의 VM 인스턴스, App Services, 컨테이너(Azure AI 컨테이너 포함), Functions, Azure Monitor, Key Vault, Event Hubs 및 기타 서비스를 실행할 수 있습니다. Azure Stack Hub는 배포된 애플리케이션을 실행하고 로컬 연결을 통해 작업을 사용하도록 설정하기 위해 Azure에 대한 연결에 종속되지 않습니다.

온-프레미스 배포(예: 데이터 센터)를 위한 Azure Stack Hub 외에도 , 전술 Azure Stack Hub 라는 견고하고 필드 배포 가능한 버전을 사용하여 연결이 제한되거나 없는 전술 에지 배포, 완전 모바일 요구 사항 및 군사 사양 솔루션이 필요한 가혹한 조건을 해결할 수 있습니다.

Azure Stack Hub는 Azure 또는 인터넷과 연결되지 않은 상태로 운영될 수 있습니다. 데이터가 있는 차세대 AI 지원 하이브리드 애플리케이션을 실행할 수 있습니다. 예를 들어 Azure Stack Hub를 사용하여 학습된 AI 모델을 에지로 가져와 대기 시간이 짧은 인텔리전스를 위해 애플리케이션과 통합할 수 있습니다. 로컬 애플리케이션에 대한 도구나 프로세스 변경은 없습니다.

Azure 및 Azure Stack Hub는 에지 및 연결이 끊긴 시나리오, 데이터 주권 및 규정 준수 요구 사항을 충족하기 위한 클라우드 애플리케이션, 데이터 센터에 온-프레미스에 배포된 클라우드 애플리케이션을 포함하여 외부에 연결되거나 내부적으로 배포된 LOB(기간 업무) 애플리케이션에 대한 새로운 하이브리드 사용 사례를 잠금 해제하는 데 도움이 될 수 있습니다. 이러한 사용 사례에는 모바일 시나리오 또는 매우 안전한 데이터 센터 시설 내의 고정 배포가 포함될 수 있습니다. 그림 5는 Azure Stack Hub 기능 및 주요 사용 시나리오를 보여 줍니다.

그림 5. Azure Stack Hub 기능

Azure Stack Hub는 그림 5에 표시된 주요 시나리오에 대해 다음과 같은 가치 제안을 제공합니다.

• 엣지 및 연결이 끊긴 솔루션: Azure Stack Hub에서 로컬로 데이터를 처리한 후 추가 분석을 위해 Azure에서 데이터 집계를 수행하여 대기 시간 및 연결 요구 사항을 해결합니다. 공통 애플리케이션 로직은 연결 여부와 상관없이 적용됩니다. 항공기, 선박 또는 트럭 배달, Azure Stack Hub는 가장 극단적인 조건과 원격 위치에서 탐사, 건설, 농업, 석유 및 가스, 제조, 재해 대응, 정부 및 군사 노력의 까다로운 요구를 충족합니다. 예를 들어 에지 및 연결이 끊긴 솔루션에 대한 Azure Stack Hub 아키텍처를 사용하면 차세대 AI 지원 하이브리드 애플리케이션을 데이터가 있는 에지로 가져와 대기 시간이 짧은 인텔리전스를 위해 기존 애플리케이션과 통합할 수 있습니다.
• 데이터 주권을 충족하는 클라우드 애플리케이션: 하나의 애플리케이션을 국가/지역에 따라 다른 방식으로 배포할 수 있습니다. 데이터 주권 또는 사용자 지정 규정 준수 요구 사항을 충족해야 하는 필요성에 따라 Azure Stack Hub를 사용하여 온-프레미스를 배포할 수 있는 완전한 유연성으로 Azure에서 애플리케이션을 개발하고 배포할 수 있습니다. 예를 들어 데이터 주권을 위한 Azure Stack Hub 아키텍처를 사용하면 프라이빗 연결을 통해 Azure VNet에서 Azure Stack Hub VNet으로 데이터를 전송하고 궁극적으로 Azure Stack Hub의 VM에서 실행되는 SQL Server 데이터베이스에 데이터를 저장할 수 있습니다. Azure Stack Hub를 사용하여 보안이 해제된 국가/지역 담당자가 관리하는 연결이 끊긴 환경에서 솔루션을 배포해야 하는 경우와 같이 훨씬 더 제한적인 요구 사항을 수용할 수 있습니다. 이러한 연결이 끊긴 환경은 작동하는 보안 분류 때문에 어떤 목적으로도 인터넷에 연결할 수 없습니다.
• 온-프레미스 클라우드 애플리케이션 모델: Azure Stack Hub를 사용하여 레거시 애플리케이션을 업데이트 및 확장하고 클라우드를 준비합니다. Azure Stack Hub의 App Service를 사용하면 일관된 프로그래밍 모델 및 기술을 활용하면서 최신 클라이언트에서 최신 API를 사용하는 웹 프런트 엔드를 만들 수 있습니다. 예를 들어 레거시 시스템 현대화를 위한 Azure Stack Hub 아키텍처를 사용하면 일관된 DevOps 프로세스, Azure Web Apps, 컨테이너, 서버리스 컴퓨팅 및 마이크로 서비스 아키텍처를 적용하여 레거시 애플리케이션을 현대화하는 동시에 메인프레임 및 핵심 기간 업무 시스템에서 레거시 데이터를 통합하고 보존할 수 있습니다.

Azure Stack Hub에는 Active Directory에서 ID 공급자로 지원되는 Microsoft Entra ID 또는 ADFS(Active Directory Federation Services)가 필요합니다. RBAC( 역할 기반 액세스 제어 )를 사용하여 구독, 리소스 그룹 또는 개별 리소스 수준에서 역할을 할당하여 권한 있는 사용자, 그룹 및 서비스에 시스템 액세스 권한을 부여할 수 있습니다. 각 역할은 사용자, 그룹 또는 서비스가 Azure Stack Hub 리소스에 대해 갖는 액세스 수준을 정의합니다.

Azure Stack Hub는 미사용 암호화를 사용하여 스토리지 하위 시스템 수준에서 데이터를 보호합니다. 기본적으로 Azure Stack Hub의 스토리지 하위 시스템은 128비트 AES 암호화와 함께 BitLocker를 사용하여 암호화됩니다. BitLocker 키는 내부 비밀 저장소에 유지됩니다. 배포 시점에는 BitLocker가 256비트 AES 암호화를 사용하도록 구성할 수도 있습니다. Azure Stack Hub에서 Key Vault를 사용하여 암호화 키를 비롯한 비밀을 저장하고 관리할 수 있습니다.

Azure Stack Edge

Azure Stack Edge (이전의 Azure Data Box Edge)는 네트워크 데이터 전송 기능이 있는 AI 지원 에지 컴퓨팅 디바이스입니다. 이러한 디바이스의 최신 세대는 기본 제공 GPU(그래픽 처리 장치)를 사용하여 가속화된 AI 추론을 사용하도록 설정합니다. Azure Stack Edge는 어플라이언스에 기본적으로 통합된 GPU 하드웨어를 사용하여 에지에서 기계 학습 알고리즘을 효율적으로 실행합니다. 크기 및 이식성을 통해 필요에 따라 사용자, 앱 및 데이터에 가까운 Azure Stack Edge를 실행할 수 있습니다. 그림 6에서는 Azure Stack Edge 기능 및 주요 사용 사례를 보여 줍니다.

그림 6. Azure Stack Edge 기능

Azure Stack Edge는 그림 6에 표시된 주요 사용 사례에 대해 다음과 같은 값 제안을 제공합니다.

• Azure Machine Learning을 사용하여 유추: 유추는 학습된 기능을 새 데이터에 적용한 결과 예측 단계와 같이 모델 학습 후에 발생하는 딥 러닝의 일부입니다. 예를 들어 모델이 많은 태그가 지정된 차량 이미지를 처리하여 학습된 후 대상 이미지에서 차량을 인식하는 부분이며, 종종 컴퓨터 합성 이미지(합성 이미지라고도 함)로 보강됩니다. Azure Stack Edge를 사용하면 ML(Machine Learning) 모델을 실행하여 신속하게 결과를 가져오고 데이터를 클라우드로 보내기 전에 작업을 수행할 수 있습니다. 필요한 데이터 하위 집합(대역폭 제약 조건이 있는 경우) 또는 전체 데이터 집합이 클라우드로 전송되어 고객의 ML 모델을 계속 재학습하고 개선합니다.
• 데이터 전처리: 온-프레미스 또는 IoT 디바이스에서 데이터가 생성된 곳 가까이에 위치하면서 데이터를 분석하여 빠르게 결과를 얻을 수 있습니다. Azure Stack Edge는 고급 처리 또는 고급 분석을 수행할 수 있도록 전체 데이터 세트(또는 대역폭이 제한적인 경우에는 필요한 데이터 하위 집합만)를 클라우드로 전송합니다. 전처리를 사용하여 데이터를 집계하고, 데이터를 수정하고(예: 개인 식별 정보 또는 기타 중요한 데이터 제거), 클라우드에서 심층 분석에 필요한 데이터를 전송하고, IoT 이벤트를 분석하고 대응할 수 있습니다.
• 네트워크를 통해 Azure로 데이터 전송 Azure Stack Edge를 사용하면 Azure로 데이터를 전송하여 추가 컴퓨팅 및 분석을 수행하거나 데이터를 보관할 수 있습니다.

중요한 결정을 내리는 데는 임무 데이터를 수집, 분별 및 배포할 수 있어야 합니다. 에지에서 직접 데이터를 처리하고 전송하는 데 도움이 되는 도구는 이 기능을 가능하게 합니다. 예를 들어, ML 추론을 위한 가벼운 공간과 기본 제공 하드웨어 가속을 갖춘 Azure Stack Edge는 전술적 우위를 위해 설계된 AI 솔루션을 사용하여 전방 운영 단위 또는 유사한 임무 요구 사항의 인텔리전스를 강화하는 데 유용합니다. 필드에서 데이터를 전송하려면 기존에는 복잡하고 느린 과정이 수반되었으나 Azure Data Box 제품군을 통해 원활한 전송이 가능합니다.

이러한 제품은 최고의 에지 및 클라우드 컴퓨팅을 통합하여 가상 매핑 및 ML 모델 추론과 같은 이전에는 가능하지 않은 기능을 잠금 해제합니다. 잠수함에서 항공기, 원격 기지에 이르기까지 Azure Stack Hub 및 Azure Stack Edge를 사용하면 에지에서 클라우드의 기능을 활용할 수 있습니다.

Azure Stack Hub 및 Azure Stack Edge와 함께 Azure를 사용하면 Azure 공용 다중 테넌트 클라우드 내의 보안 격리된 인프라에서 기밀 및 중요한 데이터를 처리하거나 전체 운영 제어 하에 에지의 매우 중요한 데이터를 처리할 수 있습니다. 다음 섹션에서는 분류된 워크로드에 대한 개념적 아키텍처를 설명합니다.

개념 아키텍처

그림 7은 다양한 데이터 분류를 지원하는 제품 및 서비스를 사용하는 개념적 아키텍처를 보여 줍니다. Azure 공용 다중 테넌트 클라우드는 이 아키텍처를 가능하게 하는 기본 클라우드 플랫폼입니다. Azure Stack Hub 및 Azure Stack Edge와 같은 온-프레미스 및 에지 제품으로 Azure를 보강하여 증가되거나 독점적인 운영 제어를 추구하는 중요한 워크로드를 수용할 수 있습니다. 예를 들어 Azure Stack Hub는 서비스 연결을 완전히 제어할 수 있는 데이터 센터의 온-프레미스 배포를 위한 것입니다. Azure Stack Hub는 전적인 모바일 운영 시나리오를 포함하여 연결이 제한적이거나 없는 경우에 전략적인 에지 배포를 위해 배포할 수도 있습니다.

그림 7. 분류된 워크로드에 대한 개념 아키텍처

분류된 워크로드의 경우 식별된 위험을 완화하면서 Azure 서비스가 대상 워크로드를 보호할 수 있도록 키를 프로비전할 수 있습니다. Azure는 Azure Stack Hub 및 Azure Stack Edge와 함께 프라이빗 및 하이브리드 클라우드 배포 모델을 수용할 수 있으므로 분류되지 않은 데이터와 분류된 데이터가 모두 포함된 많은 정부 워크로드에 적합합니다. 이 문서에서는 다음 데이터 분류 분류를 사용합니다.

• 기밀
• 비밀
• 일급 비밀

많은 국가/지역에 비슷한 데이터 분류 체계가 있습니다.

일급 비밀 데이터의 경우 Azure Stack Hub를 배포할 수 있으며, Azure 및 인터넷과 연결이 끊긴 곳에서 작동할 수 있습니다. 전술 Azure Stack Hub 는 제한되거나 연결되지 않은 전술 에지 배포, 완전 모바일 요구 사항 및 군사 사양 솔루션이 필요한 가혹한 조건을 해결하는 데도 사용할 수 있습니다. 그림 8에서는 Azure에서 다양한 워크로드를 수용하도록 프로비저닝할 수 있는 키 사용 서비스를 보여 줍니다.

그림 8. 다양한 데이터 분류에 대한 Azure 지원

기밀 데이터

아래에는 Azure에서 기밀 데이터 및 워크로드를 배포할 때 유용하게 사용할 수 있는 기술과 서비스를 지원하는 주요 기능이 나와 있습니다.

• 분류되지 않은 데이터에 사용되는 모든 권장 기술, 특히 VNet( Virtual Network ), 클라우드용 Microsoft Defender 및 Azure Monitor와 같은 서비스.
• 공용 IP 주소는 ExpressRoute 및 VPN(가상 사설망) 게이트웨이를 포함하여 프라이빗 연결을 통한 트래픽만 허용하도록 비활성화됩니다.
• 데이터 암호화는 FIPS 140 유효성 검사가 있는 다중 테넌트 HSM(하드웨어 보안 모듈)에서 지원되는 Azure Key Vault의 CMK(고객 관리형 키)를 사용하는 것이 좋습니다.
• VNet 통합 옵션을 지원하는 서비스만 사용할 수 있습니다. Azure VNet을 사용하면 인터넷이 아닌 라우팅 가능한 네트워크에 Azure 리소스를 배치할 수 있습니다. 그러면 VPN 기술을 사용하여 온-프레미스 네트워크에 연결할 수 있습니다. VNet 통합을 통해 웹앱은 가상 네트워크의 리소스에 액세스할 수 있습니다.
• Azure Private Link를 사용하여 VNet의 프라이빗 엔드포인트를 통해 Azure PaaS 서비스에 액세스할 수 있으므로 VNet과 서비스 간의 트래픽이 Microsoft 글로벌 백본 네트워크를 통해 이동하므로 공용 인터넷에 서비스를 노출할 필요가 없습니다.
• Azure용 고객 Lockbox를 사용하면 지원 시나리오에서 데이터에 대한 상승된 액세스 요청을 승인/거부할 수 있습니다. 고객 Lockbox는 감사 로깅이 완전히 활성화된 JIT(Just-In-Time) 워크플로의 확장입니다.

Azure 공용 다중 테넌트 클라우드 기능을 사용하면 기밀 데이터를 저장하는 데 필요한 격리 및 보안 수준을 달성할 수 있습니다. Microsoft Defender for Cloud 및 Azure Monitor를 사용하여 구독의 보안 상태를 포함하여 Azure 환경에 대한 가시성을 확보해야 합니다.

비밀 데이터

아래에는 Azure에서 비밀 데이터 및 워크로드를 배포할 때 유용하게 사용할 수 있는 기술과 서비스를 지원하는 주요 기능이 나와 있습니다.

• 기밀 데이터에 사용되는 모든 권장 기술.
• FIPS 140 수준 3 유효성이 검사된 HSM을 사용하는 서비스로 완전히 관리되고 고가용성 단일 테넌트 HSM을 제공하는 Azure Key Vault 관리형 HSM을 사용합니다. 각 관리형 HSM 인스턴스는 사용자가 제어하는 별도의 보안 도메인에 바인딩되고 다른 고객에 속한 인스턴스와 암호화적으로 격리됩니다.
• Azure Dedicated Host는 하나 이상의 Azure VM을 호스트할 수 있는 물리적 서버를 제공하며 하나의 Azure 구독에만 적용됩니다. 지역, 가용성 영역 및 장애 도메인 내에서 전용 호스트를 프로비저닝할 수 있습니다. 그런 다음 요구 사항에 가장 적합한 구성을 사용하여 프로비전된 호스트에 직접 VM을 배치할 수 있습니다. 전용 호스트는 물리적 서버 수준에서 하드웨어 격리를 제공하므로 회사 규정 준수 요구 사항을 충족하기 위해 조직의 워크로드만 실행하는 격리된 전용 물리적 서버에 Azure VM을 배치할 수 있습니다.
• Azure SmartNIC 기반의 가속화된 FPGA 네트워킹을 사용하면 호스트 네트워킹을 전용 하드웨어로 오프로드하여 VNet, 보안 및 부하 분산을 위한 터널링을 사용할 수 있습니다. 전용 칩으로 네트워크 트래픽을 오프로딩하면 기본 CPU에 대한 부채널 공격을 막을 수 있습니다.
• Azure 기밀 컴퓨팅 은 사용 중 데이터 암호화를 제공하여 데이터가 항상 사용자의 통제 하에 있는지 확인합니다. 데이터는 하드웨어 기반 TEE(신뢰 실행 환경, enclave라고도 함) 내에서 보호되며, enclave 외부에서는 데이터나 운영을 볼 수 없습니다.
• JIT(Just-In-Time) VM(가상 머신) 액세스를 사용하여 NSG(네트워크 보안 그룹) 규칙을 만들면 Azure VM으로의 인바운드 트래픽을 잠글 수 있습니다. 인바운드 트래픽이 잠기게 될 VM의 포트를 선택하고 사용자가 VM에 대한 액세스를 요청할 때 클라우드용 Microsoft Defender는 사용자에게 적절한 RBAC(역할 기반 액세스 제어) 권한이 있는지 확인합니다.

Azure 공용 다중 테넌트 클라우드의 비밀 데이터를 수용하기 위해 기밀 데이터에 사용되는 기술을 기반으로 추가 기술 및 서비스를 배포하고 프로비전된 서비스를 충분한 격리를 제공하는 서비스로 제한할 수 있습니다. 이러한 서비스는 런타임에 다양한 격리 옵션을 제공합니다. 또한 사용자가 제어하는 단일 테넌트 HSM에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 지원하며, 다른 고객의 HSM 인스턴스와는 암호화 방식으로 철저히 격리됩니다.

일급 비밀 데이터

아래에는 Azure에서 일급 비밀 데이터 및 워크로드를 배포할 때 유용할 수 있는 제품을 사용하도록 설정하는 주요 항목이 나와 있습니다.

• 비밀 데이터에 사용되는 모든 권장 기술.
• Azure Stack Hub (이전의 Azure Stack)를 사용하면 Azure에서와 동일한 아키텍처 및 API를 사용하여 워크로드를 실행하는 동시에 가장 높은 분류 데이터에 대해 물리적으로 격리된 네트워크를 사용할 수 있습니다.
• Azure Stack Edge (이전의 Azure Data Box Edge)는 가장 높은 분류 데이터의 스토리지 및 처리를 허용하지만 결과 정보 또는 모델을 Azure에 직접 업로드할 수도 있습니다. 이 접근 방식은 도메인 간에 정보를 공유할 방법을 제공해 주므로 관리가 쉬워지고 보안이 강화됩니다.
• 온-프레미스 배포(예: 데이터 센터)를 위한 Azure Stack Hub 외에도 , 전술 Azure Stack Hub 라는 견고하고 필드 배포 가능한 버전을 사용하여 연결이 제한되거나 없는 전술 에지 배포, 완전 모바일 요구 사항 및 군사 사양 솔루션이 필요한 가혹한 조건을 해결할 수 있습니다.
• 사용자가 제공한 HSM(하드웨어 보안 모듈)을 사용하면 온-프레미스에 배포되고 사용자가 단독으로 제어하는 HSM에 암호화 키를 저장할 수 있습니다.

일급 비밀 데이터를 수용하려면 Azure Stack Hub에서 제공하는 연결이 끊어진 환경이 필요할 수 있습니다. Azure Stack Hub는 Azure 또는 인터넷과 연결되지 않은 상태로 운영될 수 있습니다. "에어 갭" 네트워크가 반드시 보안을 강화하지는 않지만, 많은 정부는 인터넷에 연결된 환경에 이 분류를 사용하여 데이터를 저장하는 것을 꺼릴 수 있습니다.

Azure는 데이터 보호와 관련된 문제를 해결하기 위해 타의 추종을 불허하는 다양한 퍼블릭, 프라이빗 및 하이브리드 클라우드 배포 모델을 제공합니다. 다음 섹션에서는 전 세계 정부 고객에게 관심을 가질 수 있는 선택 사용 사례에 대해 설명합니다.

워크로드 및 사용 사례 선택

이 섹션에서는 전 세계 정부에 관심을 가질 수 있는 워크로드에 대한 Azure 기능을 보여주는 선택 사용 사례에 대한 개요를 제공합니다. 기능 측면에서 Azure는 Azure Stack Hub 및 Azure Stack Edge에서 제공하는 공용 다중 테넌트 클라우드 및 온-프레미스 + 에지 기능의 조합을 통해 제공됩니다.

Azure Stack Hub에서 매우 중요한 데이터 또는 규제가 적용되는 데이터 처리

Microsoft는 Azure Stack Hub를 인터넷에 직접 연결할 수 없거나 법률, 규정 준수 또는 감정으로 인해 특정 워크로드 유형을 국내/지역에서 호스트해야 하는 고객을 위한 온-프레미스 클라우드 일관성 환경으로 제공합니다. Azure Stack Hub는 IaaS 및 PaaS 서비스를 제공하며 글로벌 Azure 클라우드와 동일한 API를 공유합니다. Azure Stack Hub는 단일 서버 랙의 4, 8 및 16 서버의 배율 단위로 사용할 수 있으며, 군사 사양의 서버 4개, 견고한 전송 사례 집합 또는 모듈식 데이터 센터 구성의 여러 랙에서 사용할 수 있습니다.

Azure Stack Hub는 다음과 같은 시나리오에서 작동하는 경우 솔루션입니다.

• 규정 준수를 위해 공용 인터넷에 네트워크를 연결할 수 없습니다.
• 지리적 정치적 또는 보안상의 이유로 Microsoft는 다른 Microsoft 클라우드에 대한 연결을 제공할 수 없습니다.
• 지리적 정치적 또는 보안상의 이유로 호스트 조직은 비 Microsoft 엔터티 또는 보안이 허가된 담당자의 국가/지역별 클라우드 관리를 요구할 수 있습니다.
• Microsoft는 국내/지역 내에 클라우드를 보유하고 있지 않기 때문에 데이터 주권 요구 사항을 충족할 수 없습니다.
• 클라우드 관리를 수행하면 해당 환경을 운영하는 Microsoft 리소스의 신체적 안녕에 위험이 가해질 경우

대부분의 시나리오에서 Microsoft와 파트너는 Avanade, Cisco, Dell EMC, Hewlett Packard Enterprise 및 Lenovo와 같은 주요 공급업체 의 현장 배포 가능 하드웨어에 고객 관리형 Azure Stack Hub 기반 프라이빗 클라우드 어플라이언스를 제공합니다. Azure Stack Hub는 하드웨어 공급업체에 의해 제조, 구성 및 배포되며 항공기, 선박 또는 트럭의 운송을 견딜 수 있는 기능과 공동 배치, 모바일 또는 모듈식 데이터 센터에 배포하는 기능을 포함하여 광범위한 환경 및 규정 준수 표준을 충족하도록 견고하고 보안이 강화될 수 있습니다. Azure Stack Hub는 탐사, 건설, 농업, 석유 및 가스, 제조, 재해 대응, 정부 및 군사 활동에 친절하거나 가장 극단적인 조건과 원격 위치에서 사용할 수 있습니다. Azure Stack Hub를 사용하면 연결, 규정 준수 및 견고한 요구 사항을 충족하는 동안 자체 프라이빗 클라우드 리소스를 모니터링, 관리 및 프로비저닝할 수 있습니다.

기계 학습 모델 학습

AI(인공 지능 )는 정부에 엄청난 잠재력을 지니고 있습니다. ML(기계 학습)은 컴퓨터가 명시적으로 프로그래밍되지 않고 기존 데이터를 사용하여 향후 동작, 결과 및 추세를 예측하는 방법을 배울 수 있는 데이터 과학 기술입니다. 또한 ML 기술은 정부 업무에 도움이 될 수 있는 패턴, 변칙 및 예측을 검색할 수 있습니다. 기술 장벽이 허물어짐에 따라 의사 결정자들은 혁신적인 AI 애플리케이션을 개발하고 탐색할 수많은 기회를 갖게 됩니다. ML을 더 쉽고 빠르고 저렴하게 채택할 수 있는 5가지 주요 벡터가 있습니다.

• 자율 학습
• 학습 데이터에 대한 필요성 감소
• 가속화된 학습
• 결과의 투명성
• 데이터가 있는 위치에 더 가깝게 배포

다음 섹션에서는 위의 벡터 중 일부에 도움이 될 수 있는 영역을 확장합니다.

IoT 분석

지난 몇 년간 IoT(사물 인터넷) 디바이스와 센서가 엄청난 기세로 확산되었습니다. 거의 모든 경우에 이러한 센서는 설계된 환경 및 조건에서 신호와 데이터를 수집합니다. IoT 센서는 토양의 수분 함유량을 측정하는 것부터 5,000미터 고도에서 인텔리전스를 수집하는 것까지 다양한 기능을 수행합니다. 사용 사례가 많을수록 데이터 분석 도구 및 프로시저를 적용하여 IoT 디바이스에서 대량으로 수집된 데이터의 가치를 실현해야 합니다.

갈수록 많은 정부 기관이 유지 관리 예측, 국경 감시, 기상 관측소, 스마트 계측기, 필드 운영 등 다양한 용도를 위해 IoT 디바이스를 사용하고 있습니다. 대부분의 경우 데이터는 수집된 위치에서 분석되고 유추되는 경우가 많습니다. IoT 분석의 주요 과제는 (1) 독립 원본의 대량 데이터, (2) 에지에서 분석, 연결이 끊긴 시나리오에서 자주 발생하는 분석, (3) 데이터 및 분석 집계입니다.

IoT Hub 및 Azure Stack Edge와 같은 혁신적인 솔루션을 통해 Azure 서비스는 이러한 문제를 해결하는 데 도움이 됩니다.

농장 비트와 정밀 농업

농업은 전 세계 경제에서 중요한 역할을 담당합니다. 미국에서는 총 GDP에 약 17% 기여하고 인구의 60% 이상에 고용을 제공하기 때문에 농촌 가구의 70% 이상이 농업에 의존합니다. Project Farm Beats에서는 이전에는 얻을 수 없었던 팜에서 수많은 데이터를 수집한 다음 AI 및 ML 알고리즘을 적용하여 이 데이터를 농부를 위한 실행 가능한 인사이프로 전환할 수 있습니다. Microsoft는 이 기술을 '데이터 기반 농경'이라고 부릅니다. 데이터 기반 농경이란 모든 농가를 매핑하고 여기에 데이터를 오버레이하는 방식을 가리킵니다. 예를 들어 표면 아래의 토양 수분 수준 15cm, 표면 아래의 토양 온도 15cm 등은 무엇인가요? 이러한 맵은 수율을 개선하고 비용을 절감하며 환경에 이익을 주는 것으로 표시된 정밀 농업과 같은 기술을 사용하도록 설정할 수 있습니다. 정밀 농업이라는 기술이 제안된 지 30년이 넘었음에도 불구하고, 이것은 활발히 이루어지지 않았습니다. 가장 큰 이유는 팜의 조건을 정확하게 나타내기 위해 농장에서 수많은 데이터를 캡처할 수 없기 때문입니다. Farm Beats 프로젝트의 일환으로 당사의 목표는 저렴한 비용으로 정밀 맵을 정확하게 구성할 수 있도록 하는 것입니다.

가상 데이터를 사용하여 분석의 가능성 확대

가상 데이터는 실제 이벤트에 의해 생성되지 않고 인위적으로 생성되는 데이터입니다. 컴퓨터 알고리즘의 도움으로 만들어지는 경우가 많으며, 새 제품 및 도구에 대한 테스트 데이터로 사용, ML 모델 유효성 검사 및 개선 등 다양한 활동에 사용됩니다. 가상 데이터는 기존의 실제 데이터로는 가능하지 않은 요구 사항이나 조건을 충족할 수 있습니다. 정부 기관의 경우 가상 데이터가 갖는 성격으로 인해 여러 문제점을 없앨 수 있으며 데이터 과학자는 실제 데이터를 사용할 때보다 줄어든 개인 정보 보호 우려 사항, 훨씬 빠른 학습, 훨씬 적은 데이터 양으로 동일한 결과를 얻을 수 있습니다. 가상 데이터의 주요 이점은 다음과 같습니다.

• 제한 사항 극복: 실제 데이터에는 개인 정보 보호 규칙 또는 기타 규정으로 인해 사용 제약 조건이 있을 수 있습니다. 가상 데이터는 실제 데이터를 노출하지 않으면서 실제 데이터의 중요한 통계적 속성을 모두 재현할 수 있습니다.
• 부족: 지정된 이벤트에 대한 실제 데이터가 존재하지 않는 데이터를 제공합니다.
• 정밀도: 합성 데이터는 완벽하게 레이블이 지정됩니다.
• 질: 가상 데이터의 품질은 임무 조건에 맞게 정확하게 측정할 수 있습니다.

가상 데이터는 텍스트, 오디오, 비디오, 하이브리드 등의 다양한 형태를 가질 수 있습니다.

정보 마이닝

최근 몇 년 동안 구조화되지 않은 데이터 수집이 기하급수적으로 증가함에 따라 정부 기관에 많은 분석 문제가 발생했습니다. 이러한 문제는 데이터 세트가 텍스트, 오디오, 비디오, 이미지 등 다양한 소스로부터 수집된 경우에 더욱 심각해집니다. 지식 마이닝 은 다양한 데이터 원본 컬렉션에서 유용한 지식을 검색하는 프로세스입니다. 이 널리 사용되는 데이터 마이닝 기술은 데이터 준비 및 선택, 데이터 정리, 데이터 집합에 대한 사전 지식 통합 및 관찰된 결과에서 정확한 솔루션의 해석을 포함하는 프로세스입니다. 이 프로세스는 여러 정부 기관의 대량 데이터에 유용한 것으로 입증되었습니다.

예를 들어, 필드에서 캡처된 데이터에는 문서, 팸플릿, 서신, 스프레드시트, 프로파간다, 비디오, 오디오 파일 등이 일관성 없이 구조화된 형식과 구조화되지 않은 형식으로 혼재하는 경우가 많습니다. 이러한 데이터에는 위기 상황에 적시에 효과적으로 대응하고 의사 결정을 내리는 데 도움이 되는 유용한 인사이트가 숨겨져 있습니다. 지식 마이닝의 목적은 검증된 상용 알고리즘 기반 기술을 구현하여 더 나은, 더 빠르고, 더 인도적인 의사 결정을 가능하게 하는 것입니다.

기밀 컴퓨팅 시나리오

보안은 클라우드 컴퓨팅 채택을 가속화하는 핵심 동인이지만 고객이 중요한 IP 및 데이터를 클라우드로 이동할 때도 주요 관심사입니다.

Microsoft Azure는 미사용 및 전송 중인 데이터를 보호하는 광범위한 기능을 제공하지만, 처리되는 동안 위협으로부터 데이터를 보호해야 하는 경우도 있습니다. Azure 기밀 컴퓨팅 은 사용 중 데이터 암호화를 위해 두 가지 기밀 VM을 지원합니다.

• 애플리케이션 코드를 변경하지 않고 리프트 및 시프트 시나리오를 위한 AMD EPYC 7003 시리즈 CPU를 기반으로 하는 VM. 이러한 AMD EPYC CPU는 AMD 보안 암호화 가상화 – 보안 중첩 페이징 (SEV-SNP) 기술을 사용하여 런타임에 전체 가상 머신을 암호화합니다. VM 암호화에 사용되는 암호화 키는 EPYC CPU의 전용 보안 프로세서에 의해 생성되고 보호되며 외부 수단으로 추출할 수 없습니다.
• Intel SGX( Intel Software Guard Extensions ) 기술을 기반으로 하는 하드웨어 기반의 신뢰할 수 있는 실행 환경(TEE, enclave라고도 함)을 제공하는 VM. 하드웨어는 프로세서와 메모리의 일부분에 보안을 적용하여 보호된 컨테이너를 제공합니다. 오직 승인된 코드만 데이터를 실행하고 액세스할 수 있으므로 TEE 외부에서는 코드 및 데이터를 보거나 수정할 수 없도록 보호됩니다.

Azure 기밀 컴퓨팅은 사용 중인 동안 데이터 보호와 관련된 시나리오를 직접 해결할 수 있습니다. 공개 소스나 미분류 소스에서 수집된 데이터가 매우 중요한 소소에서 수집된 데이터와 일치하는지 여부를 확인해야 하는 경우를 예로 들어 보겠습니다. Azure 기밀 컴퓨팅을 사용하면 매우 중요한 데이터가 공개되지 않도록 보호하면서 퍼블릭 클라우드에서 이러한 일치가 발생할 수 있습니다. 이 상황은 매우 민감한 국가 안보 및 법 집행 시나리오에서 일반적입니다.

또 다른 시나리오로, 여러 소스에서 수집된 데이터를 함께 분석해야 하는데 그중에서 어떤 소스에도 데이터를 볼 권한이 없는 경우를 들 수 있습니다. 데이터를 제공한 각 공급자는 자신이 제공한 데이터를 암호화하며, 해당 데이터는 TEE 내에서만 암호화됩니다. 따라서 외부인이나 다른 공급자는 결합된 데이터 세트를 볼 수 없게 됩니다. 이 기능은 건강 데이터의 이차 사용에서 유용하게 사용할 수 있습니다.

이 섹션에서 설명하는 워크로드 유형을 배포하는 경우 Microsoft가 담당하는 기본 클라우드 플랫폼 보안 제어가 효과적으로 작동하고 있다는 Microsoft의 보증이 필요할 수 있습니다. 전 세계 규제 시장에서 고객의 요구를 해결하기 위해 Azure는 공식 타사 인증 및 기타 유형의 보증을 기반으로 하여 포괄적인 규정 준수 포트폴리오를 유지 관리하여 사용자 고유의 규정 준수 의무를 충족하는 데 도움을 줍니다.

규정 준수 및 인증

Azure 는 ISO 27001, ISO 27017, ISO 27018, ISO 22301과 같은 주요 독립 인증 및 증명을 포함하여 업계에서 가장 광범위한 규정 준수 범위를 보유하고 있습니다. ISO 9001, ISO 20000-1, SOC 1/2/3, PCI DSS Level 1, PCI 3DS, HITRUST, CSA STAR 인증, CSA STAR 증명, US FedRAMP High, Australia IRAP, 독일 C5, 일본 ISMAP, 한국 K-ISMS, 싱가포르 MTCS 수준 3, 스페인 ENS 하이, 영국 G-클라우드 및 사이버 에센셜 플러스, 그리고 더 많은. Azure 규정 준수 포트폴리오에는 전 세계적으로 적용 가능한 인증, 미국 정부별 프로그램, 산업 보증 및 국가/지역별 제품에 걸쳐 100개 이상의 규정 준수 제품이 포함되어 있습니다. 전 세계 규제 산업 및 시장에서 사용자 고유의 규정 준수 의무를 해결할 때 이러한 제품을 사용할 수 있습니다.

Azure에서 규정 준수 의무가 적용되는 애플리케이션을 배포하는 경우 고객은 종종 솔루션을 구성하는 모든 클라우드 서비스가 클라우드 서비스 공급자의 감사 범위에 포함된다는 보증을 구합니다. Azure는 각 Azure 인증에 대한 감사 범위의 클라우드 서비스 수로 판단되는 업계 최고의 규정 준수 범위를 제공합니다. 실제 애플리케이션을 빌드 및 배포하고 Azure 독립 타사 감사에서 제공하는 광범위한 규정 준수 범위를 활용할 수 있습니다.

또한 Azure Stack Hub 는 규제된 워크로드를 해결하는 솔루션에 Azure Stack Hub를 통합하는 데 도움이 되는 규정 준수 설명서를 제공합니다. 다음 Azure Stack Hub 규정 준수 문서를 다운로드할 수 있습니다.

• 타사 QSA(정규화된 보안 평가자)가 생성한 PCI DSS 평가 보고서입니다.
• CCM 도메인 및 컨트롤에 대한 Azure Stack Hub 컨트롤 매핑을 포함하여 CSA(Cloud Security Alliance) CCM(Cloud Controls Matrix) 평가 보고서입니다.
• FedRAMP SSP(High System Security Plan)는 Azure Stack Hub가 적용 가능한 컨트롤, FedRAMP High 기준의 고객 책임 매트릭스 및 공인 타사 평가 조직(3PAO)이 생성한 FedRAMP 평가 보고서를 해결하는 방법을 보여 주는 미리 컴파일된 템플릿입니다.

Azure Policy 규정 준수 기본 제공 이니셔티브는 다음을 비롯한 주요 표준의 규정 준수 도메인 및 컨트롤에 매핑됩니다.

• 오스트레일리아 정부 ISM PROTECTED
• 캐나다 연방 PBMM
• ISO/IEC 27001
• 미국 정부 FedRAMP High
• 그리고 다른 것들

더 많은 규정 준수 기본 제공 이니셔티브는 Azure Policy 샘플을 참조하세요.

Azure Policy의 규정 준수는 고객, Microsoft 또는 공유 책임에 따라 컨트롤 및 규정 준수 도메인 목록을 볼 수 있는 기본 제공 이니셔티브 정의를 제공합니다. Microsoft에서 담당하는 컨트롤의 경우 타사 증명을 기반으로 하는 감사 결과 세부 정보와 해당 규정을 준수하기 위한 컨트롤 구현 세부 정보를 추가로 제공합니다. 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결됩니다. 이러한 정책은 제어를 사용하여 규정 준수를 평가하는 데 도움이 될 수 있습니다. 그러나 Azure Policy의 규정 준수는 전체 규정 준수 상태의 부분적인 보기일 뿐입니다. Azure Policy는 대규모로 조직의 표준을 적용하고 규정 준수를 평가하는 데 도움이 됩니다. 해당 규정 준수 대시보드를 통해 환경의 전체 상태를 평가할 수 있는 집계된 보기와 더 세부적인 상태로 드릴다운할 수 있는 기능을 제공합니다.

Azure 규정 준수 및 인증 리소스는 다양한 표준 및 규정으로 사용자 고유의 규정 준수 의무를 해결하는 데 도움이 됩니다. 국가/지역에 설정된 클라우드 채택 의무와 클라우드 온보딩을 용이하게 하기 위한 해당 규정이 있을 수 있습니다. 또는 기존 온-프레미스 데이터 센터를 계속 운영하며 클라우드 채택 전략을 수립하는 중입니다. Azure의 광범위한 규정 준수 포트폴리오는 클라우드 채택 완성도에 관계없이 도움이 될 수 있습니다.

자주 묻는 질문

이 섹션에서는 Azure 퍼블릭, 프라이빗 및 하이브리드 클라우드 배포 모델과 관련된 일반적인 고객 질문에 대해 설명합니다.

데이터 상주 및 데이터 주권

• 데이터 위치: Microsoft는 특정 국가/지역의 경계 내에서 데이터를 어떻게 유지하나요? 데이터가 어떤 경우에 남나요? 어떤 데이터 특성이 남나요? 대답: Microsoft는 클라우드 서비스 데이터 보존 및 전송 정책에 대한 강력한 고객 약정 을 제공합니다.
  • 지역 서비스에 대한 데이터 스토리지: 대부분의 Azure 서비스는 지역적으로 배포되며 서비스를 배포할 지역(예: 유럽)을 지정할 수 있습니다. Microsoft는 Azure 데이터 위치 페이지에 설명된 대로 몇 가지 지역 서비스 및 미리 보기 서비스를 제외하고 지정된 지리 외부에 데이터를 저장하지 않습니다. 이 약정은 지정된 지역에 저장된 데이터가 해당 지리에 유지되고 스토리지, SQL Database, Virtual Machines 등을 비롯한 대부분의 지역 서비스에 대해 다른 지리로 이동되지 않도록 하는 데 도움이 됩니다.
  • 비지역 서비스에 대한 데이터 스토리지: 특정 Azure 서비스는 데이터 위치 페이지에 설명된 대로 서비스를 배포할 지역을 지정할 수 없습니다. 비지역 서비스의 전체 목록은 지역별 사용 가능한 제품을 참조하세요.
• 공극(소버린) 클라우드 배포: Microsoft가 모든 국가/지역에 공극, 소버린, 물리적으로 격리된 클라우드 인스턴스를 배포하지 않는 이유는 무엇인가요? 대답: Microsoft는 전 세계 정부와 비즈니스 사례를 만들 수 있는 공극 클라우드 배포를 적극적으로 추진하고 있습니다. 그러나 물리적 격리 또는 "에어 갭"은 전략으로 하이퍼스케일 클라우드의 전략과 정반대입니다. 클라우드의 가치 제안, 신속한 기능 증가, 복원력 및 비용 효율적인 운영은 클라우드가 조각화되고 물리적으로 격리될 때 감소됩니다. 이러한 전략적 과제는 에어갭된 클라우드가 추가되거나 에어갭된 클라우드 내에서의 조각화로 인해 더욱 복합적으로 작용합니다. 공기가 틈새가 있는 클라우드는 특정 고객에게 적합한 솔루션이 될 수 있지만, 사용 가능한 유일한 옵션은 아닙니다.
• 에어 갭(주권) 클라우드 고객 옵션: Microsoft는 지역에서 보안 승인을 받은 담당자가 클라우드 서비스를 완전히 국내/지역에서 운영해야 하는 정부를 어떻게 지원할 수 있나요? 정부 직원이 단독 운영 및 데이터 액세스 제어를 수행하는 고객 소유 데이터 센터 내에서 온-프레미스로 운영되는 클라우드 서비스에 대한 Microsoft의 옵션은 무엇인가요? 대답:Azure Stack Hub 를 사용하여 보안이 허가된 자체 국가/지역 담당자가 관리하는 프라이빗 클라우드 온-프레미스를 배포할 수 있습니다. Azure에서 사용하는 동일한 개발 도구, API 및 관리 프로세스를 사용하는 동안 다양한 유형의 VM 인스턴스, App Services, 컨테이너(Azure AI 컨테이너 포함), Functions, Azure Monitor, Key Vault, Event Hubs 및 기타 서비스를 실행할 수 있습니다. Azure Stack Hub를 사용하면 스토리지, 처리, 전송 및 원격 액세스를 포함하여 데이터를 단독으로 제어할 수 있습니다.
• 지역 관할권: Microsoft는 Azure 퍼블릭 클라우드 서비스의 가용성에 따라 지역 국가/지역 관할권의 적용을 받나요? 대답: 예, Microsoft는 적용 가능한 모든 현지 법률을 준수해야 합니다. 그러나 고객 데이터에 대한 정부 요청도 관련 법률을 준수해야 합니다. 비콘텐츠 데이터를 요청하려면 소환장 또는 현지 동등한 문서가 필요합니다. 콘텐츠 데이터에는 영장, 법원 명령 또는 해당 지역의 동등한 명령이 필요합니다. 고객 데이터에 대한 정부 요청은 정부 요청에 응답하기 위한 Microsoft 관행에 따라 엄격한 절차를 따릅니다. Microsoft는 매년 고객 데이터에 대한 많은 법 집행 요청을 거부합니다. 정부 요청에 대한 이의 제기는 다양한 형태로 진행할 수 있습니다. 대부분의 경우 Microsoft에서는 데이터를 요청하는 정부 기관에게 요청 정보를 공개할 수 없다고 알리고, 요청을 거부하는 이유를 설명합니다. 적절한 경우 Microsoft에서는 요청에 대한 이의를 법원에 제기합니다. 법 집행 요청 보고서 및 미국 국가 안보 명령 보고서는 6개월마다 업데이트되며 대부분의 고객은 정부 데이터 요청의 영향을 받지 않습니다. 예를 들어 2019년 하반기에 Microsoft는 엔터프라이즈 클라우드 고객과 연결된 계정에 대해 법 집행 기관으로부터 39건의 요청을 받았습니다. 미국 외 기업 고객의 데이터 중 해외에 저장된 고객 콘텐츠를 공개한 영장은 단 하나뿐이었습니다.
• 오타키: Microsoft 클라우드 운영은 Microsoft 클라우드의 나머지 부분과 분리되고 로컬 정부 네트워크에만 연결될 수 있나요? 타사에 대한 외부 연결 없이 작업을 수행할 수 있나요? 대답: 예, 클라우드 배포 모델에 따라 다릅니다.
  • 퍼블릭 클라우드: Azure 지역 데이터 센터는 ExpressRoute와 같은 전용 프라이빗 연결을 통해 지방 정부 네트워크에 연결할 수 있습니다. 퍼블릭 클라우드에서는 Microsoft와 같은 타사에 연결하지 않고 독립 작업을 수행할 수 없습니다.
  • 프라이빗 클라우드: Azure Stack Hub를 사용하면 네트워크 연결을 완전히 제어할 수 있으며 연결이 끊긴 모드에서 Azure Stack Hub를 작동할 수 있습니다.
• 데이터 흐름 제한 사항: 로컬, 국내/지역 배포 클라우드 서비스에 대한 고객과 Microsoft 간의 모든 데이터 교환 승인 및 설명서에 대한 어떤 조항이 있나요? 대답: 옵션은 클라우드 배포 모델에 따라 달라집니다.
  • 프라이빗 클라우드: Azure Stack Hub를 사용하는 프라이빗 클라우드 배포의 경우 타사와 교환되는 데이터를 제어할 수 있습니다. 기본 설정에 따라 Azure Stack Hub 원격 분석을 해제할 수 있으며 Azure Stack Hub의 연결이 끊어질 수 있습니다. 또한 Azure Stack Hub는 청구 또는 소비 데이터가 온-프레미스 인프라를 벗어나지 않는 용량 기반 청구 모델을 제공합니다.
  • 퍼블릭 클라우드: Azure 퍼블릭 클라우드에서 Network Watcher 를 사용하여 워크로드와 연결된 네트워크 트래픽을 모니터링할 수 있습니다. 퍼블릭 클라우드 워크로드의 경우 모든 청구 데이터는 청구 목적으로만 사용되는 원격 분석을 통해 생성되고 Microsoft 청구 시스템으로 전송됩니다. 청구 및 사용량 현황 데이터를 다운로드하여 볼 수 있습니다. 그러나 이 정보가 Microsoft로 전송되는 것을 막을 수는 없습니다.
• 프라이빗 클라우드에 대한 패치 및 유지 관리: Microsoft는 Azure Stack Hub 프라이빗 클라우드 배포에 대한 패치 및 기타 유지 관리를 어떻게 지원할 수 있나요? 대답: Microsoft는 Azure Stack Hub에 대한 업데이트 패키지를 릴리스하기 위한 정기적인 주기를 제공합니다. Azure Stack Hub의 유일한 운영자이며 이러한 업데이트 패키지를 다운로드하여 설치할 수 있습니다. Microsoft 소프트웨어 업데이트 및 핫픽스에 대한 업데이트 경고가 인터넷에 연결된 Azure Stack Hub 인스턴스에 대한 업데이트 블레이드에 표시됩니다. 인스턴스가 연결되어 있지 않고 각 업데이트 릴리스에 대한 알림을 받고 싶은 경우 온라인 설명서에 설명된 대로 RSS 또는 ATOM 피드를 구독합니다.

고객 데이터 보호

• Microsoft 네트워크 보안: Microsoft에서 사용하는 네트워크 제어 및 보안은 무엇인가요? 내 요구 사항을 고려할 수 있나요? 대답: Azure 인프라 보호에 대한 인사이트를 보려면 Azure 네트워크 아키텍처, Azure 프로덕션 네트워크 및 Azure 인프라 모니터링을 검토해야 합니다. Azure 애플리케이션을 배포하는 경우 Azure 네트워크 보안 개요 및 네트워크 보안 모범 사례를 검토해야 합니다. 피드백 또는 요구 사항을 제공하려면 Microsoft 계정 담당자에게 문의하세요.
• 고객 분리: Microsoft는 클라우드 환경 내에서 고객을 논리적 또는 물리적으로 어떻게 분리하나요? 조직에서 완전한 물리적 분리를 보장할 수 있는 옵션이 있나요? 대답: Azure는 논리적 격리 를 사용하여 애플리케이션과 데이터를 다른 고객과 분리합니다. 이 접근 방식은 다중 테넌트 클라우드 서비스의 규모 및 경제적 이점을 제공하며, 데이터 및 애플리케이션을 다른 고객에 대한 제한에서 벗어나도록 설계된 제어를 엄격하게 적용합니다. 하나 이상의 Azure VM을 호스트할 수 있고 하나의 Azure 구독에 전용인 물리적 서버를 제공하는 Azure Dedicated Host를 통해 물리적 컴퓨팅 격리를 적용하는 옵션도 있습니다. 지역, 가용성 영역 및 장애 도메인 내에서 전용 호스트를 프로비저닝할 수 있습니다. 그런 다음 요구 사항에 가장 적합한 구성을 사용하여 프로비전된 호스트에 직접 VM을 배치할 수 있습니다. 전용 호스트는 물리적 서버 수준에서 하드웨어 격리를 제공하므로 회사 규정 준수 요구 사항을 충족하기 위해 조직의 워크로드만 실행하는 격리된 전용 물리적 서버에 Azure VM을 배치할 수 있습니다.
• 미사용 및 전송 중인 데이터 암호화: Microsoft는 기본 설정으로 데이터 암호화를 강제 적용하나요? Microsoft는 고객 관리형 암호화 키를 지원하나요? 대답: 예, Azure Storage 및 Azure SQL Database를 비롯한 많은 Azure 서비스는 기본적으로 데이터를 암호화하고 고객 관리형 키를 지원합니다. 미사용 데이터에 대한 Azure Storage 암호화는 데이터를 Azure Storage에 유지하기 전에 자동으로 암호화되고 검색하기 전에 해독되도록 합니다. Azure Storage의 데이터 비활성화 암호화에 자신의 암호화 키를 사용할 수 있으며, Azure Key Vault에서 키를 관리할 수 있습니다. 스토리지 암호화는 기본적으로 모든 신규 및 기존 스토리지 계정에 대해 사용하도록 설정되며 사용하지 않도록 설정할 수 없습니다. 스토리지 계정을 프로비전할 때 보안 연결에서만 액세스를 허용하는 "보안 전송 필요" 옵션을 적용할 수 있습니다. 이 옵션은 Azure Portal에서 스토리지 계정을 만들 때 기본적으로 사용하도록 설정됩니다. Azure SQL Database는 기본적으로 전송 중인 데이터 암호화 를 적용하고 미사용 시 TDE(투명한 데이터 암호화) 를 제공하므로 기본적으로 Azure Key Vault를 사용하고 BYOK( 사용자 고유의 키 ) 기능을 가져와 키 권한, 회전, 삭제 등의 키 관리 작업을 제어할 수 있습니다.
• 처리 중 데이터 암호화: Microsoft가 메모리에서 처리되는 동안 내 데이터를 보호할 수 있나요? 대답: 예, Azure 기밀 컴퓨팅 은 사용 중 데이터 암호화를 위한 두 가지 기술을 지원합니다. 먼저 Intel SGX(Intel Software Guard Extensions ) 기술을 사용하는 Intel Xeon 프로세서를 기반으로 하는 VM을 사용할 수 있습니다. 이 방법을 사용하면 데이터는 프로세서 및 메모리의 일부를 보호하여 만들어지는 하드웨어 기반 신뢰할 수 있는 실행 환경(TEE, enclave라고도 함) 내에서 보호됩니다. 권한 있는 코드만 실행하고 데이터에 액세스할 수 있으므로 애플리케이션 코드와 데이터는 TEE 외부에서 보고 수정하지 않도록 보호됩니다. 둘째, 애플리케이션 코드를 변경하지 않고도 리프트 앤 시프트 시나리오에 AMD EPYC 7003 시리즈 CPU를 기반으로 하는 VM을 사용할 수 있습니다. 이러한 AMD EPYC CPU를 사용하면 런타임에 전체 가상 머신을 암호화할 수 있습니다. VM 암호화에 사용되는 암호화 키는 EPYC CPU의 전용 보안 프로세서에 의해 생성되고 보호되며 외부 수단으로 추출할 수 없습니다.
• FIPS 140 유효성 검사: Microsoft는 Azure에서 FIPS 140 수준 3 유효성이 검사된 HSM(하드웨어 보안 모듈)을 제공하나요? 그렇다면 이러한 HSM에 AES-256 대칭 암호화 키를 저장할 수 있나요? 대답: Azure Key Vault 관리형 HSM 은 FIPS 140 수준 3 유효성이 검사된 HSM을 사용하는 서비스로 완전히 관리되고 고가용성 단일 테넌트 HSM을 제공합니다. 각 관리형 HSM 인스턴스는 사용자가 제어하는 별도의 보안 도메인에 바인딩되고 다른 고객에 속한 인스턴스와 암호화적으로 격리됩니다. 관리형 HSM을 사용하면 AES 128비트 및 256비트 대칭 키에 대한 지원을 사용할 수 있습니다.
• 고객이 제공한 암호화: 내 고유의 암호화 또는 암호화 하드웨어를 사용할 수 있나요? 대답: 예, 자체 암호화 알고리즘을 사용하여 온-프레미스에 배포된 자체 HSM을 사용할 수 있습니다. 그러나 Azure Key Vault 와 통합된 서비스(예: Azure Storage, SQL Database, 디스크 암호화 등)에 고객 관리형 키를 사용해야 하는 경우 HSM(하드웨어 보안 모듈) 및 Azure Key Vault에서 지원하는 암호화를 사용해야 합니다.
• Microsoft 담당자의 고객 데이터에 대한 액세스: Microsoft 엔지니어가 내 데이터에 대한 액세스를 제한하려면 어떻게 해야 합니까? 대답: Microsoft 엔지니어 는 클라우드의 데이터에 대한 기본 액세스 권한이 없습니다 . 대신 제한된 액세스 워크플로를 사용하여 필요한 경우에만 관리 감독 하에 액세스 권한을 부여할 수 있습니다. 대부분의 고객 지원 요청은 Microsoft 엔지니어가 문제 해결 및 지원을 위해 로그에 크게 의존하기 때문에 데이터에 액세스하지 않고도 해결할 수 있습니다. Microsoft 엔지니어가 지원 워크플로의 일부로 데이터에 대한 높은 액세스 권한이 필요한 경우 Azure용 Customer Lockbox 를 사용하여 Microsoft 엔지니어가 데이터에 액세스하는 방법을 제어할 수 있습니다. Azure용 고객 Lockbox는 귀하가 그러한 상승된 액세스 요청을 승인하거나 거부할 수 있도록 하여, 귀하가 그 결정에 대한 책임을 갖도록 합니다. Microsoft에서 데이터에 대한 내부자 액세스를 제한하는 방법에 대한 자세한 내용은 내부자 액세스 제한을 참조하세요.

운영

• 코드 검토: Microsoft는 조직에서 사용하는 서비스에 악성 코드가 삽입되는 것을 방지하기 위해 무엇을 할 수 있나요? Microsoft 코드 배포를 검토할 수 있나요? 대답: Microsoft는 논리적으로 격리된 서비스 및 시스템을 올바르게 개발하기 위해 보안 보증 프로세스 및 사례에 많은 투자를 했습니다. 자세한 내용은 보안 보증 프로세스 및 사례를 참조하세요. Azure 하이퍼바이저 격리에 대한 자세한 내용은 심층 방어 악용 완화를 참조하세요. Microsoft는 Azure 서비스를 구성하는 모든 소스 코드를 완전히 제어할 수 있습니다. 예를 들어 게스트 VM을 패치하는 절차는 설치 후 패치 확인이 필요한 기존 온-프레미스 패치와 크게 다릅니다. Azure에서 패치는 게스트 VM에 적용되지 않습니다. 대신 VM이 단순히 다시 시작되고 VM이 부팅되면 Microsoft에서 제어하는 알려진 좋은 이미지에서 부팅됩니다. 이미지에 악성 코드를 삽입하거나 부팅 프로세스를 방해할 수 있는 방법은 없습니다. PaaS VM은 기존 물리적 서버 솔루션보다 지속적인 맬웨어 감염에 대한 고급 보호를 제공하며, 공격자에 의해 손상된 경우 취약성이 수정된 후에도 정리하기가 어려울 수 있습니다. PaaS VM을 사용하면 재이미징은 운영의 정기적인 부분이며, 검색되지 않은 침입을 정리하는 데 도움이 될 수 있습니다. 이 방법은 타협이 지속되기 더 어렵게 만듭니다. Azure 소스 코드를 검토할 수 없습니다. 그러나 소스 코드를 보는 온라인 액세스는 GSP(Microsoft Government Security Program)를 통해 주요 제품에 사용할 수 있습니다.
• DevOps 직원(허가된 국민): 클라우드 환경에 대한 DevOps 액세스 또는 데이터 센터에 대한 물리적 액세스 권한이 있는 담당자에 대해 Microsoft는 어떤 제어 또는 통관 수준을 가지나요? 대답: Microsoft는 프로덕션 시스템 및 물리적 데이터 센터 인프라에 액세스할 수 있는 운영 담당자에 대한 배경 검사를 수행합니다. Microsoft 클라우드 배경 조사에는 고용 시 교육 및 고용 기록 확인, 범죄 기록 검사, OFAC 목록, BIS 거부된 사람 목록 및 DDTC 금지 당사자 목록을 포함하여 2년마다(법률에 의해 허용되는 경우) 추가 검사가 수행됩니다.
• 데이터 센터 사이트 옵션: Microsoft는 고급 보안 요구 사항을 충족하기 위해 특정 물리적 위치에 데이터 센터를 배포할 의향이 있나요? 대답: 데이터 센터 위치에 대한 옵션에 대해 Microsoft 계정 팀에 문의해야 합니다.
• 서비스 가용성 보장: 조직에서 Microsoft(또는 특정 정부 또는 기타 엔터티)가 클라우드 서비스를 끌 수 없도록 하려면 어떻게 해야 할까요? 대답: Microsoft 제품 약관 (이전의 온라인 서비스 약관) 및 Microsoft 제품 및 서비스 DPA(Data Protection Addendum) 에서 Microsoft가 온라인 서비스의 서비스 가용성 및 사용과 관련하여 체결한 계약 약정을 검토해야 합니다.
• 기존의 클라우드 서비스가 아닌 요구 사항: Microsoft는 정기적으로 인터넷 무료/연결이 끊긴 환경에 어떤 옵션을 제공하나요? 대답: 온-프레미스 배포 및 연결이 끊긴 시나리오를 위한 Azure Stack Hub 외에도 , 전술 Azure Stack Hub 라는 견고하고 필드 배포 가능한 버전을 사용하여 연결이 제한되거나 없는 전술 에지 배포, 완전 모바일 요구 사항 및 군사 사양 솔루션이 필요한 가혹한 조건을 해결할 수 있습니다.

투명성과 감사

• 감사 설명서: Microsoft는 고객이 모든 감사 설명서를 쉽게 다운로드하고 검사할 수 있도록 합니까? 대답: 예, Microsoft는 Azure Portal의 비공개 계약에 따라 독립적인 타사 감사 보고서 및 기타 관련 문서를 다운로드할 수 있도록 합니다. 클라우드용 Microsoft Defender 감사 보고서를 사용하려면 Azure 기존 구독이나 무료 평가판 구독이 필요합니다. 추가 규정 준수 설명서는 STP(서비스 신뢰 포털) 감사 보고서 섹션에서 사용할 수 있습니다. STP의 감사 보고서에 액세스하려면 로그인해야 합니다. 자세한 내용은 Microsoft 서비스 신뢰 포털 시작을 참조하세요.
• 프로세스 감사 가능성: Microsoft는 고객 또는 규제 기관이 감사할 수 있도록 프로세스, 데이터 흐름 및 설명서를 제공하나요? 대답: Microsoft는 규제 기관에게 현장 검사를 수행하고, Microsoft 담당자 및 Microsoft 외부 감사자를 만나고, 관련 정보, 레코드, 보고서 및 문서에 액세스할 수 있는 기능을 포함하여 Azure를 직접 검사할 수 있는 권한을 규제 기관에 제공하기 위해 구현된 프로그램인 규제 기관 검사 권한을 제공합니다.
• 서비스 설명서: Microsoft에서 서비스 아키텍처, 소프트웨어 및 하드웨어 구성 요소 및 데이터 프로토콜을 다루는 심층 설명서를 제공할 수 있나요? 대답: 예, Microsoft는 이러한 모든 항목을 다루는 광범위하고 심층적인 Azure 온라인 설명서를 제공합니다. 예를 들어 Azure 제품, 글로벌 인프라 및 API 참조에 대한 설명서를 검토할 수 있습니다.

다음 단계

자세히 알아보기:

• Azure 보안
• Azure 규정 준수
• Azure 규정 준수 제품
• 보안 격리에 대한 Azure 지침
• 정부용 Azure - 전 세계 정부
• Microsoft Azure 지역에서 데이터 영주권 및 데이터 보호 활성화하기
• Azure 정책 규정 준수 샘플