클라우드용 Microsoft Defender의 규정 준수 표준
클라우드용 Microsoft Defender는 특정 규정 준수 표준을 충족하거나 준수 인증을 획득하는 데 방해가 되는 문제를 식별하는 데 도움을 주어 준수 프로세스를 간소화합니다.
업계 표준, 규정 표준 및 벤치마크는 클라우드용 Defender에서 보안 표준으로 표시되고 규정 준수 대시보드에 표시됩니다.
규정 준수 컨트롤
각 보안 표준은 관련 보안 권장 사항의 논리적 그룹인 여러 준수 제어로 구성됩니다.
클라우드용 Defender는 자동으로 평가할 수 있는 준수 제어에 대해 범위 내 환경을 지속적으로 평가합니다. 평가에 따라 리소스가 규정을 준수하거나 컨트롤을 준수하지 않는 것으로 표시됩니다.
참고 항목
표준에 자동으로 평가할 수 없는 준수 제어가 있는 경우 클라우드용 Defender는 리소스가 제어를 준수하는지 여부를 결정할 수 없다는 점에 유의해야 합니다. 이 경우 컨트롤이 회색으로 표시됩니다.
준수 표준 보기
규정 준수 대시보드는 준수 상태에 대한 대화형 개요를 제공합니다.
대시보드에서는 다음을 수행할 수 있습니다.
- 통과된 표준 제어에 대한 요약을 가져와보세요.
- 리소스 통과율이 가장 낮은 표준 요약을 확인합니다.
- 선택한 범위 내에서 적용되는 표준을 검토합니다.
- 적용된 각 표준 내에서 준수 제어에 대한 평가를 검토합니다.
- 특정 표준에 대한 요약 보고서를 가져와보세요.
- 특정 범위에 할당된 표준을 보려면 준수 정책을 관리합니다.
- 쿼리를 실행하여 사용자 지정 규정 준수 보고서 만들기
- "시간 경과에 따른 준수 통합 문서"를 만들어 시간 경과에 따른 준수 상태를 추적합니다.
- 감사 보고서를 다운로드합니다.
- Microsoft 및 타사 감사를 위한 준수 제안을 검토합니다.
준수 표준 세부 정보
각 준수 표준에 대해 다음을 볼 수 있습니다.
- 표준의 범위입니다.
- 각 표준은 제어 그룹과 하위 제어 그룹으로 분류됩니다.
- 범위에 표준을 적용하면 각 표준 제어에 대해 범위 내의 리소스에 대한 준수 평가 요약을 볼 수 있습니다.
- 평가 상태는 표준 준수 여부를 반영합니다. 다음은 3가지 상태입니다.
- 녹색 원은 범위 내의 리소스가 제어를 준수함을 나타냅니다.
- 빨간색 원은 리소스가 컨트롤을 준수하지 않음을 나타냅니다.
- 사용할 수 없는 제어는 자동으로 평가할 수 없는 제어이므로 클라우드용 Defender는 리소스가 규정을 준수하는지 여부에 액세스할 수 없습니다.
컨트롤을 드릴다운하여 평가를 통과/실패한 리소스에 대한 정보와 수정 단계에 대한 정보를 가져올 수 있습니다.
기본 준수 표준
기본적으로 클라우드용 Defender를 사용하도록 설정하면 다음 표준이 사용하도록 설정됩니다.
- Azure의 경우: MCSB(Microsoft 클라우드 보안 벤치마크).
- AWS: MCSB(Microsoft 클라우드 보안 벤치마크) 및 AWS 기본 보안 모범 사례 표준.
- GCP의 경우: MCSB(Microsoft 클라우드 보안 벤치마크) 및 GCP 기본값.
사용 가능한 준수 표준
클라우드용 Defender에서는 다음 표준을 사용할 수 있습니다.
| Azure 구독 표준 | AWS 계정 표준 | GCP 프로젝트 표준 |
|---|---|---|
| 오스트레일리아 정부 ISM 보호 | AWS 기본 보안 모범 사례 | 브라질 일반 개인 정보 보호법(LGPD) |
| 캐나다 연방 PBMM | AWS Well-Architected Framework | 캘리포니아 소비자 개인 정보 보호법(CCPA) |
| CIS Azure 기초 | 브라질 일반 개인 정보 보호법(LGPD) | CIS 컨트롤 |
| CMMC | 캘리포니아 소비자 개인 정보 보호법(CCPA) | CIS GCP 기초 |
| FedRAMP 'H' 및 'M' | CIS AWS 기초 | CIS Google Cloud Platform Foundation 벤치마크 |
| HIPAA/HITRUST | CRI 프로필 | CIS Google Kubernetes Engine(GKE) 벤치마크 |
| ISO/IEC 27001 | CSA CCM(클라우드 제어 행렬) | CRI 프로필 |
| 뉴질랜드 ISM 제한됨 | GDPR | CSA CCM(클라우드 제어 행렬) |
| NIST SP 800-171 | ISO/IEC 27001 | CMMC(사이버 보안 성숙 모델 인증) |
| NIST SP 800-53 | ISO/IEC 27002 | FFIEC CAT(사이버 보안 평가 도구) |
| PCI DSS | NIST CSF(사이버보안 프레임워크) | GDPR |
| RMIT 말레이시아 | NIST SP 800-172 | ISO/IEC 27001 |
| SOC 2 | PCI DSS | ISO/IEC 27002 |
| SWIFT CSP CSCF | ISO/IEC 27017 | |
| 영국 공식 및 영국 NHS | NIST CSF(사이버보안 프레임워크) | |
| NIST SP 800-53 | ||
| NIST SP 800-171 | ||
| NIST SP 800-172 | ||
| PCI DSS | ||
| SOX(Sarbanes Oxley Act) | ||
| SOC 2 |