다음을 통해 공유

주권 전략 정의

  • 아티클

이 문서에서는 클라우드 서비스를 사용할 때 주권 전략을 계획하는 방법을 설명합니다. 많은 지정학적 지역에는 개인 정보 보호에 민감한 데이터 및 정부 데이터와 같은 특정 유형의 데이터를 처리하기 위한 규정이 있습니다. 이 규정은 일반적으로 데이터 보존, 데이터 제어 및 때로는 운영 독립성(autarky라고 함 )과 관련된 주권 요구 사항을 적용합니다.

조직에서 이러한 규정을 준수해야 하는 경우 주권 요구 사항을 충족하는 전략을 정의해야 합니다. 조직이 온-프레미스 서비스에서 클라우드 서비스로 이동하는 경우 그에 따라 주권 전략을 조정해야 합니다.

주권 전략 현대화

온-프레미스 데이터 센터의 경우 다음을 포함하여 일반적으로 주권과 관련된 대부분의 측면을 담당합니다.

  • 데이터가 저장되고 처리되는 데이터 센터입니다.
  • 데이터 센터 및 물리적 인프라에 대한 액세스.
  • 하드웨어 및 소프트웨어 공급망을 포함한 하드웨어 및 소프트웨어.
  • 하드웨어 및 소프트웨어의 유효성을 검사하는 보증 프로세스입니다.
  • 재해 또는 지정학적 이벤트가 있는 경우 비즈니스 연속성을 보장하는 인프라 및 프로세스입니다.
  • 데이터 및 시스템에 대한 액세스 권한이 있는 사용자를 결정하는 구성 및 프로세스입니다.
  • 외부 및 내부 위협에서 데이터 및 시스템을 보호하는 도구 및 프로세스입니다.

클라우드 서비스를 채택할 때 이러한 측면의 책임은 공유 책임으로 전환됩니다. 규정 준수 팀은 주권 요구 사항이 충족되는지 여부를 결정하는 데 사용하는 전략을 변경합니다. 규정 준수 팀은 다음을 고려합니다.

  • 클라우드 서비스의 규정 준수입니다. 클라우드 공급자의 서비스는 주권 및 규정 준수 요구 사항을 어떻게 충족합니까?

  • 조직에서 담당하는 시스템 및 프로세스의 규정 준수입니다. 주권 및 규정 준수 요구 사항을 충족하는 데 사용할 수 있는 도구와 이러한 도구를 어떻게 사용합니까?

규정 준수 팀은 동일한 목표를 달성하는 대체 방법을 사용할 수 있는 권한을 얻기 위해 규제 기관과 협력해야 할 수 있습니다. 경우에 따라 특정 솔루션을 사용하여 의도한 결과를 얻기 위해 더 많은 옵션을 추가하거나 지시문을 조정하여 규정을 변경해야 할 수 있습니다. 규정을 변경하는 것은 긴 과정이 될 수 있습니다. 그러나 규정의 의도를 달성했다는 것을 입증할 수 있다면 면제를 받을 수 있습니다.

예를 들어, 일반적으로 클라우드에서 사용할 수 없는 하드웨어 격리에서만 격리 요구 사항을 충족할 수 있기 때문에 규정은 조직이 특정 클라우드 서비스를 사용하지 못하도록 제한할 수 있습니다. 그러나 의도한 결과는 가상 격리를 통해 얻을 수도 있습니다. 전략의 일환으로 이러한 잠재적인 차단이 발생할 때 규제 기관 및 감사자와 함께 작업하는 방법을 결정해야 합니다.

규정 준수 및 주권 요구 사항을 충족하는 방법에 대한 자세한 내용은 Microsoft Cloud for Sovereignty를 참조하세요.

클라우드 서비스 규정 준수

규정 준수 팀은 다음과 같은 다양한 원본 및 방법을 사용하여 클라우드 서비스 규정 준수를 확인합니다.

  • 서비스 작동 방식 및 서비스 사용 방법에 대한 공급업체 설명서(예: FedRAMP(미국 연방 위험 및 권한 부여 관리 프로그램) 제품 설명서 및 시스템 보안 계획).

  • 글로벌, 지역 및 업계 규정 준수 프레임워크에 대한 규정 준수를 인증하는 독립 감사자 인증 입니다. 자세한 내용은 Microsoft 365, Azure 및 기타 Microsoft 서비스 대한 규정 준수 제품을 참조하세요.

  • 클라우드 서비스가 글로벌, 지역 및 업계 규정 준수 프레임워크의 요구 사항을 충족하는 방법에 대한 인사이트를 제공하기 위해 독립 감사자가 만드는 감사 보고서 입니다. 일부 감사 보고서는 서비스 신뢰 포털에서 사용할 수 있습니다.

  • 정부 보안 프로그램(고객만 선택할 수 있음)과 같은 공급업체 감사 제품을 통해 규정 준수 팀을 대신하여 수행되거나 규정 준수 팀을 대신하여 수행되는 감사입니다.

  • Microsoft 엔지니어가 리소스에 액세스하는 시기에 대한 세부 정보를 제공하는 투명도 로그입니다.

규정 준수 팀에서 사용하는 원본과 방법의 조합은 필요한 인사이트 수준, 다양한 옵션에 있는 신뢰, 리소스 및 예산에 따라 달라집니다. 타사 감사자 인증은 팀이 감사를 수행할 필요가 없으며 비용이 적게 들지만 감사 및 감사 프로세스에 대한 신뢰가 필요합니다.

시스템 및 프로세스 준수

조직의 규정 준수 프로세스 및 시스템은 클라우드 서비스의 추가된 기능을 활용할 수 있습니다. 다음 기능을 사용하여 다음을 수행할 수 있습니다.

  • 기술 정책을 적용하거나 보고합니다. 예를 들어 서비스 또는 구성 배포를 차단하거나 주권 및 규정 준수에 대한 기술 요구 사항을 충족하지 않는 위반에 대해 보고할 수 있습니다.

  • 특정 규정 준수 프레임워크에 맞춰진 미리 빌드된 정책 정의를 사용합니다.

  • 감사를 기록하고 모니터링합니다.

  • 보안 도구를 사용합니다. 자세한 내용은 보안 전략 정의를 참조하세요.

  • Azure 기밀 컴퓨팅과 같은 기술 보증 및 모니터링 기능을 수행합니다.

조직의 환경 및 개별 워크로드에 대해 이러한 기능을 신중하게 고려합니다. 각 기능에 대해 필요한 노력의 양, 적용 가능성 및 함수를 고려합니다. 예를 들어 정책 적용은 규정 준수를 지원하는 비교적 간단한 방법이지만 사용할 수 있는 서비스와 사용 방법을 제한할 수 있습니다. 이에 비해 기술 보증은 상당한 노력이 필요하며 몇 가지 서비스에만 사용할 수 있기 때문에 더 제한적입니다. 또한 상당한 양의 지식이 필요합니다.

공동 책임 채택

클라우드 서비스를 채택할 때 공유 책임 모델을 채택합니다. 클라우드 공급자로 전환되는 책임과 사용자와 다시 기본 결정합니다. 이러한 변화가 규정의 주권 요구 사항에 어떤 영향을 미치는지 이해합니다. 자세한 내용은 클라우드 서비스 준수의 리소스 를 참조하세요. 개략적인 보기를 얻으려면 다음 리소스를 고려하세요.

  • Azure 인프라 보안 은 Microsoft가 물리적 인프라에 대한 보호를 제공하는 방법을 설명합니다.

  • Azure 플랫폼 무결성 및 보안 은 Microsoft가 플랫폼 및 기술 보증 프로세스에 대한 위협 방지를 제공하는 방법을 설명합니다.

  • Azure 의 데이터 상주 기능은 데이터 상주 기능에 대해 설명합니다. 유럽 연합(EU)의 고객은 Microsoft EU 데이터 경계를 참조하세요.

클라우드 공급자는 클라우드를 운영하는 중요한 시스템의 연속성을 보장하여 플랫폼의 복원력을 통해 비즈니스 연속성을 부분적으로 제공합니다. 워크로드에서 사용하는 서비스는 워크로드를 빌드하는 데 사용할 수 있는 연속성 옵션을 제공합니다. 또는 Azure Backup 또는 Azure Site Recovery와 같은 다른 서비스를 사용할 수 있습니다. 자세한 내용은 Azure 안정성 설명서를 참조 하세요.

클라우드 공급자는 내부 및 외부 위협으로부터 클라우드 플랫폼에 대한 액세스를 보호할 책임이 있습니다. 고객은 ID 및 액세스 관리, 암호화 및 기타 보안 조치를 통해 데이터를 보호하도록 시스템을 구성할 책임이 있습니다. 자세한 내용은 보안 전략 정의를 참조하세요.

분류를 사용하여 데이터 구분

데이터의 기밀성 및 개인 정보 보호에 중요한 데이터가 포함되어 있는지 여부와 같은 요인에 따라 다양한 유형의 데이터 및 워크로드에 서로 다른 주권 요구 사항이 있을 수 있습니다. 조직에 적용되는 데이터 분류와 분류가 적용되는 데이터 및 시스템을 이해하는 것이 중요합니다. 일부 데이터 및 애플리케이션에는 여러 규정이 적용되어 결합된 요구 사항이 필요할 수 있습니다. 예를 들어 데이터의 기밀성 및 시스템의 중요도와 관련된 규정이 있을 수 있습니다. 결과 분류는 높은 기밀성, 낮은 중요도 또는 중간 기밀성 및 높은 중요도일 수 있습니다.

주권 요구 사항을 준수하는 경우 비용, 복원력, 확장성, 보안 및 서비스 풍요로움과 같은 다른 요인에 영향을 줄 수 있습니다. 주권 전략의 경우 데이터 분류에 올바른 컨트롤을 적용하는 것이 중요합니다. 하나의 크기에 맞는 모든 접근 방식은 가장 높은 규정 준수 요구 사항을 선호하는 환경으로 이어집니다. 이는 비용이 많이 들고 가장 유리하지 않습니다.

다음 단계

  • 클라우드 for Sovereignty 는 Azure 플랫폼의 소버린 기능에 대한 인사이트를 제공하고 주권 요구 사항을 해결하는 방법을 설명합니다.

  • 안보와 주권은 동일하지 않지만 안전하지 않다면 주권이 될 수 없습니다. 따라서 주권 전략 과 통합되는 보안 전략을 정의해야 합니다.