ACSC Essential 8 사용자 백업 지침을 추구하는 이유는 무엇인가요?
호주 사이버 보안 센터(ACSC)는 사이버 보안을 개선하기 위한 호주 정부의 노력을 이끌고 있습니다. ACSC는 모든 호주 조직이 ACSC의 사이버 보안 인시던트 완화 전략의 필수 8개 완화 전략을 기준선으로 구현할 것을 권장합니다. Essential Eight로 알려진 기준은 악의적 사용자가 시스템을 손상시키는 것을 훨씬 어렵게 만드는 기본 사이버 보안 조치입니다.
Essential Eight Maturity Level을 통해 조직은 오늘날의 상호 연결된 ICT 환경에서 일반적인 위협에 대한 사이버 보안 조치의 적합성을 평가할 수 있습니다.
백업은 하드웨어 오류, 도난, 우발적 손상 또는 자연 재해와 같은 물리적 수단 또는 우발적인 삭제, 손상, 바이러스 또는 맬웨어 감염과 같은 논리적 수단으로 인해 발생하는지 여부에 관계없이 중요한 데이터가 손실로부터 보호되도록 하는 필수 전략입니다. Essential Eight 완화로 백업은 각 조직의 고유한 요구 사항에 따라 상당히 달라지는 구현에 대한 규범적 지침을 제공하기가 더 어려운 것 중 하나일 수도 있습니다. 일반 백업의 중요성은 ACSC의 사이버 보안 인시던트 완화 전략의 필수 8개 전략 중 하나인 포함 os를 통해 확인할 수 있습니다.
백업에 대한 기존의 접근 방식은 데이터의 전체, 차등 또는 증분 복사본을 정기적으로 사용하고 백업 미디어를 오프라인으로 저장하는 것입니다. 이상적으로는 별도의 시설에 저장하여 데이터의 깨끗한 복사본을 적시에 복원할 수 있도록 하는 것입니다. 온라인 세계에서 이러한 접근 방식을 미러링하려는 유혹이 있을 수 있지만 클라우드 서비스의 규모는 이러한 조치를 비실용적이고 비용이 많이 들게 만들 수 있습니다.
즉, Microsoft 365와 같은 서비스를 사용하여 데이터를 백업할 필요가 없나요? 아니요! 정보가 보호되는지 확인해야 합니다. 그러나 Microsoft 365와 같은 서비스를 사용하는 방법은 현재 온-프레미스 파일 공유를 보호하는 방법과 자연스럽게 다릅니다. 조직은 비즈니스 요구 사항을 충족하기 위해 필요에 따라 서비스 내에서 데이터가 보호되도록 기본 제공 보존 설정을 구성하는 데 집중해야 합니다. 또한 조직은 데이터 분류 체계에 투자하여 다른 컨트롤로 보호하기 위해 진정으로 중요한 정보를 식별해야 합니다. Microsoft 365는 사용자와 관리자가 실수로 삭제되거나 손상될 경우 파일 및 전자 메일을 복원할 수 있는 서비스를 제공합니다. 온-프레미스 워크로드 또는 Azure 서비스에 저장된 데이터의 경우 Azure Backup은 데이터를 백업하고 Microsoft Azure 클라우드에서 복구하는 간단하고 안전하며 비용 효율적인 솔루션을 제공합니다.
마지막으로 재해 복구 시나리오에서 환경을 운영 상태로 복원하는 데 필요한 구성은 데이터 자체만큼 중요할 수 있습니다. 서버 및 도메인 정보는 MARS(Microsoft Azure Recovery Services) 에이전트를 사용하여 시스템 상태의 백업을 통해 캡처하고 Azure Backup 서비스에 저장할 수 있습니다. Microsoft 365 및 Azure와 같은 클라우드 서비스 구성의 경우 코드 기반 인프라 솔루션은 스크립트 또는 배포 템플릿을 사용하여 환경을 원하는 설정으로 다시 설정하거나 동일한 구성으로 두 번째 테넌트를 프로비전할 수 있는 관리 포털 내에서 직접 수동 변경에 대한 대안을 제공합니다.
Essential Eight는 최소 예방 조치 집합을 간략하게 설명하므로 조직은 환경에서 보증되는 추가 조치를 구현해야 합니다. 또한 Essential Eight는 대부분의 사이버 위협을 완화하는 데 도움이 될 수 있지만 모든 사이버 위협을 완화하지는 않습니다. 따라서 사이버 보안 인시던트 완화 전략 | Cyber.gov.au 및 ISM(정보 보안 매뉴얼) | Cyber.gov.au 전략을 포함하여 다른 완화 전략 및 보안 제어를 고려해야 합니다.
다음 표에는 Essential Eight Controls의 일반 백업 구성 요소인 ISM에 대한 완성도 수준 1, 2 및 3 간의 매핑이 설명되어 있습니다.
| ISM 제어 2024년 6월 | 완성도 수준 | 완화 |
|---|---|---|
| 1511 | 1, 2, 3 | 데이터, 애플리케이션 및 설정의 백업은 비즈니스 중요도 및 비즈니스 연속성 요구 사항에 따라 수행되고 유지됩니다. |
| 1515 | 1, 2, 3 | 백업에서 공통 시점으로 데이터, 애플리케이션 및 설정 복원은 재해 복구 연습의 일부로 테스트됩니다. |
| 1810 | 1, 2, 3 | 데이터, 애플리케이션 및 설정의 백업은 공통 시점으로 복원할 수 있도록 동기화됩니다. |
| 1811 | 1, 2, 3 | 데이터, 애플리케이션 및 설정의 백업은 안전하고 복원력 있는 방식으로 유지됩니다. |
| 1812 | 1, 2, 3 | 권한 없는 계정은 다른 계정에 속한 백업에 액세스할 수 없습니다. |
| 1814 | 1, 2, 3 | 권한 없는 계정은 백업을 수정하고 삭제할 수 없게 됩니다. |
| 1705 | 2, 3 | 권한 있는 계정(백업 관리자 계정 제외)은 다른 계정에 속한 백업에 액세스할 수 없습니다. |
| 1707 | 2, 3 | 권한 있는 계정(백업 관리자 계정 제외)은 백업을 수정하고 삭제할 수 없습니다. |
| 1813 | 2, 3 | 권한이 없는 계정은 다른 계정이나 자신의 계정에 속한 백업에 액세스할 수 없습니다. |
| 1706 | 3 | 권한 있는 계정(백업 관리자 계정 제외)은 자체 백업에 액세스할 수 없습니다. |
| 1708 | 3 | 백업 관리자 계정은 보존 기간 동안 백업을 수정하고 삭제할 수 없습니다. |
방법
Microsoft 365의 In-Place 보존
공동 책임 모델에서 고객은 항상 정보 및 데이터에 대한 책임을 유지합니다. 기존 백업 구현은 일반적으로 스토리지 컨테이너 및 그 안의 모든 것을 보호하는 데 중점을 두어 있습니다. 온-프레미스에서 직면하는 다양한 위협으로부터 보호하기 위해 이 모든 전략이 필요할 수 있지만 물리적 환경에 대한 클라우드 서비스 책임이 클라우드 공급자로 전환되고 대체 제어가 채택되면 장비 손실 또는 오류로 인한 위협과 결과적으로 발생할 수 있는 데이터의 물리적 또는 논리적 손상을 완화하기 위해 대체 제어를 사용할 수 있습니다. 이러한 경우 복원력 개발로 인해 백업에서 인프라를 복구해야 하는 필요성이 무효화될 수 있습니다.
Microsoft Cloud 서비스의 복원력 및 연속성에 대한 전체 분석은 이 문서의 범위를 벗어나는 것입니다. 조직은 Microsoft Cloud에 대한 위험 평가 가이드 에 제시된 개념을 숙지하고 Service Trust Portal을 통해 사용할 수 있는 적절한 외부 감사 보고서를 검토해야 합니다.
정보 보호의 표준 원칙 중 하나는 데이터와 백업을 별도로 유지해야 하므로 서비스 내에서 보존을 사용하는 아이디어는 처음에는 고객에게 직관적이지 않은 것처럼 보입니다. 클라우드 서비스 내에서 정보를 유지하는 데는 여러 가지 이점이 있습니다. Microsoft 365 E3 라이선스를 사용하여 평균 조직에서 사용할 수 있는 스토리지를 고려합니다.
- 사용자가 파일 공유에 홈 디렉터리와 유사한 자체 파일을 저장하는 비즈니스용 OneDrive는 기본적으로 스토리지를 5TB로 확장하는 옵션을 사용자당 1TB를 제공하고 Microsoft 지원에 요청 시 더 많은 스토리지를 사용할 수 있습니다.
- Exchange Online을 사용하면 개인 보관함에서 100GB 기본 사서함과 무제한 스토리지를 사용할 수 있습니다.
- 공동 작업 사이트 및 Microsoft Teams에 대한 백 엔드 스토리지를 제공하는 SharePoint Online은 고객당 초기 1TB의 풀된 스토리지와 라이선스가 부여된 사용자당 추가로 10GB를 제공합니다.
따라서 일반적인 1,000명의 사용자 조직의 경우 Microsoft 365는 사서함 보관 파일의 무제한 스토리지와 퇴사한 사용자의 사서함 및 개인 파일을 고려하기 전에 5,111TB 또는 5.11PB 이상의 스토리지를 제공합니다.
외부 서비스에서 이 모든 정보를 복제하는 데는 백업 및 복원 작업을 위해 전송하는 데 상당한 시간이 걸리며 시간이 지남에 따라 비즈니스에 상당한 재정적 비용이 발생할 수 있습니다. 따라서 데이터를 서비스 외부로 이동할 때 고려해야 할 다른 위험(예: 지리적 지역 외부로 데이터를 전송할 때의 규정 준수 영향, 의도적으로 또는 그렇지 않음) 또는 타사 서비스를 통해 데이터가 손상될 수 있는 노출 위험 등이 있습니다. 하지만 궁극적으로 가장 큰 고려 사항 중 하나는 사용자 편의성입니다. 삭제된 파일 또는 사용자의 전체 디렉터리를 지우는 랜섬웨어 감염이 발생하는 경우 비즈니스용 OneDrive를 사용하면 사용자가 적절한 버전의 파일을 쉽게 복원하거나 전체 라이브러리를 특정 시점으로 복원할 수 있습니다. 관리자의 도움 없이 모두.
보존 정책 및 보존 레이블
보존 정책 및 레이블은 Microsoft 365에서 데이터가 보존되는 방식을 제어하는 방법을 제공합니다. 보존 정책은 Exchange Online 사서함 및 공용 폴더, SharePoint Online 사이트, 비즈니스용 OneDrive 계정, Microsoft 365 그룹, Teams 메시지 및 Viva Engage(Yammer) 콘텐츠와 같은 위치에 적용할 수 있습니다. 단일 정책은 여러 위치 또는 개별 사이트 또는 사용자에게 적용할 수 있으며 항목은 컨테이너에 할당된 보존 설정을 상속합니다. 보존 설정이 적용되면 사용자는 일반적인 방식으로 파일 또는 전자 메일을 사용하며, 그러나 파일 또는 메시지가 수정되거나 삭제될 때마다 시스템에서 사용자로부터 숨겨진 보안 위치에 데이터 복사본을 투명하게 저장합니다.
다양한 워크로드에 대해 보존 설정이 작동하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
- SharePoint 및 OneDrive의 보존에 대해 자세히 알아보기
- Microsoft Teams의 보존에 대해 자세히 알아보기
- Viva Engage의 보존에 대해 알아보기(Yammer)
- Exchange의 보존에 대해 자세히 알아보기
보존 정책은 사이트 또는 사서함 수준에서 콘텐츠에 대해 동일한 보존 설정을 할당하는 데 사용해야 하지만, 더 세분화된 애플리케이션 보존 레이블의 경우 항목 수준(폴더, 문서 또는 전자 메일)에서 설정을 할당하는 데 사용할 수 있습니다. 보존 정책과 달리 보존 레이블은 Microsoft 365 테넌트의 다른 위치로 이동하는 경우 콘텐츠와 함께 이동합니다. 보존 레이블은 보존 기간이 끝날 때 처리 검토를 트리거하거나 콘텐츠를 레코드로 표시하는 등 보존 정책이 사용하지 않는 기능도 제공합니다.
보존 레이블은 키워드, 패턴, 중요한 정보 유형 또는 학습 가능한 분류자를 기반으로 수동으로 또는 자동으로 적용할 수 있습니다. 중요한 정보 유형 은 개인 데이터, 재무 계정 번호 및 의료 데이터와 같은 파일 및 전자 메일의 기밀 정보를 나타내는 패턴을 인식하는 데 사용할 수 있습니다. 학습 가능한 분류자는 Machine Learning을 사용하여 항목을 이해하고 분류하고, 이력서 및 소스 코드를 즉시 인식하거나, 교육 기간 후에 계약 및 작업 주문과 같은 조직별 정보를 인식하여 이 접근 방식을 확장합니다.
보존 정책 및 레이블은 데이터 수명 주기 관리 계획의 필수 구성 요소이며 백업 스탠드인과 더 광범위한 데이터 거버넌스 영향 측면에서 모두 평가되어야 합니다.
In-Place 보존에 대한 예외
일부 유형의 진정으로 중요한 정보의 경우 온라인 서비스 외부에서 복사본을 유지하는 것이 실용적일 수 있습니다. 예를 들어 전원 또는 통신 오류로 인해 인터넷에 액세스할 수 없는 경우 재해 복구 계획 및 SharePoint 사이트에 저장된 직원 연락처 레지스터는 거의 가치가 없습니다. 조직은 표준 위험 관리 사례를 사용하여 확률 및 영향에 따라 중요한 이벤트를 적절하게 계획해야 합니다. 데이터를 식별하고 분류하면 불필요한 데이터를 복제하지 않고도 가장 중요한 정보를 대체 위치에 저장할 수 있습니다.
비즈니스용 OneDrive와 Outlook은 백업 또는 복구 솔루션으로 사용할 수 없지만, 비즈니스 용 OneDrive 와 Outlook 은 모두 사용자의 로컬 컴퓨터에서 클라우드 서비스와 동기화된 데이터 복사본을 저장하며, 원래 데이터 원본에 액세스할 수 없는 경우 액세스하거나 복사할 수 있습니다. OneDrive 클라이언트 애플리케이션을 사용하여 키 문서를 오프사이트 머신과 동기화할 수도 있습니다.
타사 마이그레이션 도구를 사용하여 프라이빗 클라우드 솔루션에서 Microsoft SharePoint Server 또는 Microsoft Exchange Server의 온라인 서비스와 대기 인스턴스 간에 콘텐츠를 미러링할 수 있습니다. 이러한 정교하고 비용이 많이 드는 솔루션은 대부분의 조직 또는 사용자에게 보증되지 않지만 양적 위험 분석을 통해 필요하다고 판단되는 경우 중요 비즈니스용 데이터 및 계정에 대해 구현될 수 있습니다.
Azure Backup을 사용하여 온-프레미스 및 클라우드 기반 서비스 백업
Azure Backup 서비스는 Microsoft Azure 내에서 온-프레미스 및 클라우드 기반 데이터를 백업하고 복구하는 간단하고 안전하며 비용 효율적인 솔루션을 제공합니다. Azure의 네이티브 컨트롤을 사용하면 Windows/Linux VM, Azure Managed Disks, Azure Files 공유, SQL 데이터베이스, SAP HANA 데이터베이스 및 Azure Blob의 백업을 사용할 수 있습니다. MARS(Microsoft Azure Recovery Services) 에이전트는 온-프레미스 또는 가상 머신에서 파일, 폴더 및 시스템 상태를 백업하고 온-프레미스 MABS(Azure Backup Server) 또는 DPM(System Center Data Protection Manager) 서버와 통합하여 Hyper-V VM, Microsoft SQL Server, SharePoint Server, Microsoft Exchange 또는 VMware VM과 같은 워크로드를 백업하는 기능을 제공합니다.
Azure Backup에는 세분화된 역할 기반 액세스 제어, 데이터 암호화, 의도하지 않은 삭제로부터 보호, 의심스러운 활동 모니터링 및 경고를 포함하여 전송 중 및 미사용 데이터를 보호하는 광범위한 보안 기능이 포함되어 있습니다.
ID 및 사용자 액세스 관리 및 제어
Recovery Services 자격 증명 모음에서 사용하는 스토리지 계정은 격리되며 악의적인 목적으로 사용자가 액세스할 수 없습니다. 액세스는 복원과 같은 Azure Backup 관리 작업을 통해서만 허용됩니다. Azure Backup을 사용하면 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 세분화된 액세스를 통해 관리되는 작업을 제어할 수 있습니다. Azure RBAC를 사용하면 팀 내에서 업무를 분리하고 작업을 수행하는 데 필요한 사용자에 대한 액세스 권한만 부여할 수 있습니다.
Azure Backup은 백업 관리 작업을 제어하는 세 가지 기본 제공 역할을 제공합니다.
- 백업 기여자: Recovery Services 자격 증명 모음을 삭제하고 다른 사용자에게 액세스 권한을 부여하는 것을 제외하고 백업을 만들고 관리합니다.
- Backup 운영자: 백업 제거 및 백업 정책 관리를 제외하고 기여자가 수행하는 모든 작업
- 백업 읽기 권한자: 모든 백업 관리 작업을 볼 수 있는 권한
Azure 역할 기반 액세스 제어를 사용하여 백업 관리 페이지에서 이러한 세 가지 기본 제공 역할에 할당된 특정 능력에 대한 세부 정보도 있습니다. 또한 Azure Backup 권한을 포함하여 자산에 대한 사용 권한을 상속할 때 Azure 리소스 소유자(예: Azure 리소스 그룹 소유자)에 중점을 두어야 합니다.
Recovery Services 자격 증명 모음의 중요한 작업에 대한 추가 보호 계층을 제공하기 위해 Azure Backup은 Resource Guard를 통해 다중 사용자 권한 부여를 지원합니다. Microsoft Entra Privileged Identity Management를 사용하여 백업 관리자가 상승된 권한에 액세스하기 위해 승인을 받아야 하는 반면, 사용자는 보존을 줄이기 위해 백업 정책 수정 또는 삭제된 백업을 추가로 14일 동안 사용할 수 있도록 하는 일시 삭제 기능을 사용하지 않도록 설정하는 등 역할이 제공하는 모든 기능에 액세스할 수 있습니다. Resource Guard는 백업 관리자에게 Recovery Services 자격 증명 모음과 별도의 구독 또는 테넌트에서 Resource Guard 인스턴스에 대한 권한을 모두 부여하도록 요구하여 권한 부여를 처리합니다.
백업 관리자가 정책 수정 또는 일시 삭제 사용 안 함과 같은 중요한 작업을 수행하려면 먼저 Azure Backup을 호스트하는 구독에서 Backup 기여자 역할을 가져온 다음 Resource Guard의 기여자 역할을 가져와야 합니다. 그렇지 않으면 작업이 실패합니다. PIM을 사용하면 이 작업이 필요한 이유에 대한 근거 캡처를 포함하여 두 권한 상승이 기록되고, 짧은 시간 동안 할당되고, 자동으로 해지되며, 다른 관리자의 승인이 필요할 수도 있습니다.
클라이언트 디바이스에 대한 설정 및 프로그램 관리
설정 및 애플리케이션을 유지하기 위해 클라이언트 디바이스를 백업하는 대신 최신 관리 접근 방식을 통해 클라이언트 디바이스를 사용자에게 미치는 영향을 최소화하여 쉽게 대체할 수 있습니다. 데이터 스토리지 위치는 클라우드 서비스로 자동으로 리디렉션되고 동기화될 수 있습니다. 즉, 디바이스의 모든 복사본이 오프라인 액세스만 용이하게 하기 위해 존재합니다. 애플리케이션은 Microsoft Intune과 같은 관리 솔루션의 사용자 또는 디바이스 정책 및 클라우드 기반 사용자 프로필에 저장된 애플리케이션 설정에 따라 자동으로 프로비전될 수 있습니다.
Windows Autopilot 을 사용하면 조직에서 미리 구성했거나 소매점에서 새로 구매한 컴퓨터와 관계없이 사용자가 자신의 컴퓨터를 쉽게 설정할 수 있으며 디바이스를 재설정, 용도 변경 또는 복구하는 데도 사용할 수 있습니다.
랜섬웨어 복구 및 악의적인 작업에 대한 고려 사항
이전 섹션에서는 백업 및 복원 시나리오를 위한 기존 프로세스 대신 Microsoft 서비스 내에서 데이터를 보존할 수 있는 방법을 강조해 주었습니다. 그러나 Essential 8 컨트롤의 의도를 고려할 때 랜섬웨어 인시던트의 영향과 악의적인 관리자 또는 손상된 권한 있는 계정의 고의적인 작업에 특히 주의를 기울여야 합니다.
최신 관리 및 제로 트러스트 접근 방식에서 랜섬웨어로 손상된 클라이언트 머신을 원격으로 초기화하고 데이터 손실 없이 Windows Autopilot과 같은 기술로 다시 프로비전할 수 있기 때문에 엔드포인트 자체는 무시할 수 있는 결과를 초래해야 합니다. 네트워크 공유에 있는 사용자 파일 복원을 포함하는 Azure Backup의 가상 머신 또는 시스템 상태 백업에서 서버를 복원하거나 다시 만들 수 있습니다. SharePoint Online 또는 비즈니스용 OneDrive에 저장된 사용자의 파일을 복구하려면 SharePoint 및 OneDrive를 알려진 상태로 복원 섹션의 뒷부분에 설명된 대로 지난 30일 이내에 전체 사이트를 이전 시점으로 복원할 수 있습니다. 드물게 랜섬웨어가 삭제된 전자 메일 메시지는 삭제된 항목에서 복구될 수 있습니다.
Microsoft는 랜섬웨어 공격으로부터 복구 및 이메일 복구를 위한 지침의 6단계에서 특정 지침을 게시합니다. 특히 관리자가 Exchange Online을 사용하여 사용자의 사서함에서 삭제된 메시지를 복구하는 방법 및 최종 사용자가 숨겨진 '복구 가능한 항목' 폴더에 액세스하는 등 Windows용 Outlook에서 삭제된 항목을 복구하는 방법을 설명합니다.
서비스가 데이터를 보존하거나 백업하도록 구성할 수 있는 것처럼, 불만을 품은 직원이든, 손상된 권한 있는 계정에 액세스할 수 있는 외부 행위자이든 악의적인 의도를 가진 사람이 데이터를 제거하도록 구성할 수도 있습니다. 두 가지 실제 예제에서 관리자는 임원의 계정에 대한 보존 정책을 사용하지 않도록 강요하여 경영진이 파일과 이메일을 제거하여 증거를 삭제할 수 있도록 했으며, 관리자 계정에 액세스할 수 있는 외부 위협 행위자가 조직에 대한 와이퍼 공격을 시작하기 전에 백업을 삭제할 수 있었습니다. 이러한 시나리오는 관리 권한을 관리하기 위한 제어 보상 등 심층 방어 접근 방식의 필요성을 강조합니다.
Microsoft 365에는 관리자가 보존 정책 및 레이블을 사용하지 않도록 설정하거나 삭제하거나 덜 제한적으로 만드는 것을 방지할 수 있는 보존 잠금 기능이 포함되어 있습니다. 이는 데이터의 보안을 보장하고 규정 준수를 입증하기 위한 중요한 기능이지만, 전역 관리자와 Microsoft 지원을 포함한 누구도 데이터를 끌 수 없기 때문에 주의해서 사용해야 합니다.
정책을 보호하기 위한 다른 옵션으로는 Just-In-Time 권한 상승 및 승인을 통해 역할 기반 액세스에 대한 엄격한 제어가 포함되므로 사용자가 스스로 필요한 권한을 얻을 수 없습니다. 이러한 기능은 관리 권한 제한 가이드에서 자세히 설명합니다.
Azure Backup의 경우 Resource Guard 는 정책 삭제 또는 수정 또는 일시 삭제 비활성화와 같은 보호된 작업을 수행하기 위해 별도의 구독에서 권한을 요구하여 Privileged Identity Management 이외의 추가 보안 계층을 제공합니다. 제대로 수행, 이것은 별도의 팀에 의해 승인 및 감독을 보장 할 수 있습니다, 보호 된 기능에 대한 변경은 적어도 두 개 또는 세 개인의 참여가 필요 의미.
시작
기본 보존 정책 설정
Microsoft 365에서 데이터를 보호하려면 보존 정책을 만들고 적절한 위치에 적용해야 합니다. 보존 레이블과 달리 동일한 콘텐츠에 둘 이상의 보존 정책을 적용할 수 있습니다. 즉, 표준 조직 전체 기본값을 만들고 필요한 경우 컨테이너 수준(보존 정책) 또는 항목 수준(보존 레이블)에서 더 긴 보존을 적용할 수 있습니다.
예를 들어 모든 Exchange 전자 메일 받는 사람, 모든 SharePoint 사이트, 모든 OneDrive 계정 및 모든 Microsoft 365 그룹에 적용되는 Microsoft Purview 포털의 데이터 수명 주기 관리 솔루션에 보존 정책을 만들고 마지막에 아무런 조치 없이 1년 동안 항목을 보존하는 정책을 설정합니다. 정책은 모든 기존 위치에 적용되며 나중에 만든 새 위치는 이러한 설정을 상속합니다. 항목이 삭제되면 정리 프로세스를 실행하기 전에 1년 동안 적절한 위치(Exchange용 복구 가능한 항목 폴더, SharePoint 및 OneDrive용 보존 보존 라이브러리)에 보관됩니다. 삭제되지 않은 항목은 1년 보존이 만료될 때 해당 위치에 유지되며 무기한 보존할 수 있지만, 삭제된 경우 해당 서비스에서 영구 삭제를 위해 즉시 정리 단계로 이동합니다.
특정 사용자 또는 사이트에 더 많은 보존 정책을 적용하거나 중요한 정보가 포함된 항목에 대한 보존 레이블을 사용하여 필요에 따라 더 긴 보존 설정을 적용할 수 있습니다. 보존 정책에 는 적응형 또는 정적 범위가 있을 수 있으며 정책에서 사용할 수 있는 옵션은 이 선택에 따라 달라질 수 있습니다. Teams 및 Viva Engage(Yammer) 설정은 다른 서비스를 포함하는 정적 정책에서 정의할 수 없도록 테넌트의 모든 위치를 포함하도록 여러 정책을 만들어야 할 수 있습니다.
퇴사한 사용자의 콘텐츠 보존
회사를 떠난 사용자가 소유한 콘텐츠를 유지하는 기존의 접근 방식은 사서함을 PST로 내보내서 파일 서버 또는 오프라인 스토리지 매체에 개인 파일과 함께 저장하는 것일 수 있지만, 조직에서는 관리자나 후임자가 수동으로 검토할 뿐만 아니라 eDiscovery 솔루션을 통해 해당 데이터의 가시성을 제공하기 위해 이 데이터에 액세스할 수 있도록 이 데이터를 온라인으로 사용하는 경우가 많습니다. Microsoft 365는 라이선스가 제거되거나 계정이 삭제된 후 기본적으로 30일 동안 사용자의 데이터를 보유하며, 이 기간 동안 사용자가 조직으로 돌아오면 액세스하거나 다시 활성화할 수 있습니다. 이 기간이 만료된 후 데이터를 보존하기 위해 Microsoft 365 보존 정책 및 보존 레이블은 보호해야 할 콘텐츠가 있는 한 삭제 정리 프로세스가 시작되지 않도록 방지할 수 있습니다. 즉, 이전 섹션에 정의된 대로 콘텐츠가 1년 보존으로 보호되는 경우 조직을 떠난 사용자는 계정이 삭제되고 라이선스가 다시 할당된 후에도 적어도 다음 해에 Microsoft 365에서 전자 메일과 파일을 보존하게 됩니다.
Exchange Online은 보류가 제거될 때까지 전체 사서함 및 보관을 보호할 수 있는 레거시 소송 보존 기능을 계속 지원하지만, Microsoft는 대신 Microsoft 365 보존을 사용하여 콘텐츠에 따라 다른 설정을 적용하고 보존 기간이 만료될 때 데이터에 발생할 작업을 관리하는 것이 좋습니다.
Microsoft 365의 이전 직원 관리에 대한 자세한 내용은 이전 직원 관리에 대해 설명합니다.
| ISM 제어 2024년 6월 | 성숙 | 제어 | 측정 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 데이터, 애플리케이션 및 설정의 백업은 비즈니스 중요도 및 비즈니스 연속성 요구 사항에 따라 수행되고 유지됩니다. | Microsoft 365 보존은 서비스 내에 저장된 데이터가 매우 복원력 있는 환경에서 캡처되고 유지되도록 합니다. 보존 레이블 및/또는 정책은 앞에서 설명한 대로 구성해야 하지만 파일이 일반 쓰기 또는 삭제 작업을 통해 보존되기 때문에 특정 복사 프로세스를 예약하거나 실행할 필요가 없습니다. |
| 1515 | 1, 2, 3 | 백업에서 공통 시점으로 데이터, 애플리케이션 및 설정 복원은 재해 복구 연습의 일부로 테스트됩니다. | 데이터 보존이 예상대로 수행되도록 보존 레이블 및/또는 정책의 유효성을 검사해야 합니다. |
| 1705 | 2, 3 | 권한 있는 계정(백업 관리자 계정 제외)은 다른 계정에 속한 백업에 액세스할 수 없습니다. | 액세스를 잘 이해할 수 있도록 보존 레이블 및/또는 정책에서 다루는 데이터에 대한 액세스를 확인해야 합니다. 권한 있는 계정이 확인 외에도 다른 계정이나 자체 계정의 백업에 액세스할 수 없도록 특별히 주의해야 합니다. |
| 1707 | 2, 3 | 권한 있는 계정(백업 관리자 계정 제외)은 백업을 수정하고 삭제할 수 없습니다. | 액세스를 잘 이해할 수 있도록 보존 레이블 및/또는 정책에서 다루는 데이터에 대한 액세스를 확인해야 합니다. 권한 있는 계정이 확인 외에도 다른 계정이나 자체 계정의 백업에 액세스할 수 없도록 특별히 주의해야 합니다. |
| 1810 | 1, 2, 3 | 데이터, 애플리케이션 및 설정의 백업은 공통 시점으로 복원할 수 있도록 동기화됩니다. | 보존 정책은 Microsoft 365 서비스의 일부로 저장되며 이러한 정책의 관리 및 거버넌스를 적절하게 관리해야 합니다. |
| 1811 | 1, 2, 3 | 데이터, 애플리케이션 및 설정의 백업은 안전하고 복원력 있는 방식으로 유지됩니다. | 보존 정책은 Microsoft 365 서비스의 일부로 저장되며 이러한 정책의 관리 및 거버넌스를 적절하게 관리해야 합니다. |
삭제된 사서함 항목을 사용자로 복원
사용자가 사서함에서 항목을 삭제하면 삭제 된 항목 폴더로 이동되고 폴더를 열고 항목을 원하는 위치로 다시 끌어 복구할 수 있습니다. 사용자가 지운 편지함에서 항목을 삭제하거나, 지운 편지함 폴더를 비우거나, Shift+Delete를 눌러 다른 폴더에서 항목을 영구적으로 삭제한 경우 해당 항목은 복구 가능한 항목 폴더에 저장됩니다.
복구 가능한 항목 폴더에서 항목을 복원하려면 Outlook 데스크톱 응용 프로그램의 도구 모음에서 삭제된 항목을 복구하거나 웹용 Outlook의 지운 편지함 폴더를 마우스 오른쪽 단추로 클릭하여 삭제된 항목을 복구하는 옵션을 선택할 수 있습니다. 그런 다음 적절한 항목을 선택하고 복원할 수 있습니다. 그러면 항목을 삭제된 항목 폴더로 반환하고 더 영구적인 위치로 이동할 수 있습니다. 사용자는 삭제된 항목 복구 인터페이스에서 항목을 제거할 수도 있습니다. 이 경우 관리자만 복구할 수 있습니다.
삭제된 항목 복구에 대한 자세한 내용은 Windows용 Outlook에서 삭제된 항목 복구 및 Outlook Web App에서 삭제된 항목 또는 전자 메일 복구에서 확인할 수 있습니다.
관리자 권한으로 삭제된 사서함 항목 복원
관리자는 여러 가지 방법을 통해 사용자를 대신하여 삭제된 항목을 복구할 수 있습니다.
단일 사용자에 대해 삭제된 항목을 복구하려면 관리자가 새 Exchange 관리 센터의 받는 사람에 대한 사서함 설정 내에서 삭제된 항목 복구 옵션을 선택할 수 있습니다.
관리자는 Exchange Online PowerShell을 사용하여 Get-RecoveryableItems 및 Restore-RecoveryableItems 명령을 사용하여 삭제된 항목을 복구할 수도 있습니다. Exchange 관리 센터 및 PowerShell 메서드를 모두 사용하면 항목이 원래 위치로 복원됩니다.
관리자는 여러 사용자 간에 메시지를 검색하기 위해 Microsoft Purview 규정 준수 포털에서 콘텐츠 검색 기능을 사용할 수 있습니다.
검색이 완료되면 결과에 대한 자세한 보고서를 사용할 수 있으며 관리자는 쿼리를 추가로 구체화하거나 결과를 PST 파일로 내보낼 수 있습니다.
콘텐츠 검색 접근 방식을 사용하여 SharePoint Online에 저장된 파일을 복구할 수도 있으며 표준 eDiscovery 사례에 사용된 것과 동일한 콘텐츠를 찾고 내보내는 메커니즘입니다.
| ISM 제어 2024년 6월 | 성숙 | 제어 | 측정 |
|---|---|---|---|
| 1515 | 1, 2, 3 | 백업에서 공통 시점으로 데이터, 애플리케이션 및 설정 복원은 재해 복구 연습의 일부로 테스트됩니다. | 사용자와 관리자가 사서함 항목을 복원하여 프로세스를 정의하고 이해하도록 문서화, 테스트 및 유효성을 검사해야 합니다. |
SharePoint 및 OneDrive에서 이전 버전의 파일 복원
버전 관리 기능은 SharePoint Online 및 비즈니스용 OneDrive의 모든 목록 및 라이브러리에서 기본적으로 사용하도록 설정되며, 문서의 마지막 500개 버전은 자동으로 유지됩니다. SharePoint는 스토리지 요구 사항을 최적화하기 위해 파일 간의 변경 내용만 저장합니다. 그러나 버전 관리가 사이트 할당량에 영향을 줍니다. 필요에 따라 개별 목록 및 라이브러리에서 조정할 수 있습니다.
브라우저를 통해 SharePoint 또는 OneDrive에서 이전 버전의 파일을 복원하려면 문서 라이브러리를 열고 복원할 파일을 선택하고 타원을 선택하고 버전 기록을 선택합니다. 공간을 절약하기 위해 필요한 경우 개별 버전을 보고 복원하거나 삭제할 수 있습니다.
파일 정보를 통해> 파일 또는 엔터프라이즈용 Microsoft 365 앱에서 마우스 오른쪽 단추를 선택하여 탐색기에서 버전 기록에 액세스할 수도있습니다.
| ISM 제어 2024년 6월 | 성숙 | 제어 | 측정 |
|---|---|---|---|
| 1515 | 1, 2, 3 | 백업에서 공통 시점으로 데이터, 애플리케이션 및 설정 복원은 재해 복구 연습의 일부로 테스트됩니다. | Microsoft 365 서비스에 보관된 데이터는 성공적인 백업 완료를 위해 복원 테스트가 필요하지 않을 수 있지만 플랫폼 내에서 파일, 사이트 또는 전자 메일 메시지를 복구하기 위한 다양한 옵션을 이해하고 지정된 시나리오에 적합한지 확인해야 합니다. Microsoft 365는 셀프 서비스 방식으로 최종 사용자가 직접 복원 기능을 사용할 수 있도록 하므로 질문이 있는 모든 사용자가 적절한 설명서 및 기술 지원팀 서비스를 사용할 수 있어야 합니다. |
SharePoint 및 OneDrive를 알려진 양립 상태로 복원
OneDrive 또는 SharePoint 문서 라이브러리의 많은 파일이 맬웨어에 의해 삭제, 덮어쓰기, 손상 또는 감염된 경우 지난 30일 이내에 전체 라이브러리를 이전 지점으로 복원할 수 있습니다. 오른쪽 위에 있는 설정 아이콘에서 OneDrive 복원 또는 이 라이브러리 복원을 선택합니다.
어제, 1주일 전, 3주 전 또는 드롭다운 상자에서 사용자 지정 날짜 및 시간을 선택하면 슬라이더가 선택한 적절한 파일에 따라 조정됩니다. 복원 을 선택하면 강조 표시된 변경 내용이 실행 취소됩니다.
누락, 삭제 또는 손상된 항목 복구에 대한 자세한 내용은 SharePoint 및 OneDrive에서 누락, 삭제 또는 손상된 항목을 복구하는 방법에서 확인할 수 있습니다.
| ISM 제어 2024년 6월 | 성숙 | 제어 | 측정 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 데이터, 애플리케이션 및 설정의 백업은 비즈니스 중요도 및 비즈니스 연속성 요구 사항에 따라 수행되고 유지됩니다. | 파일을 SharePoint Online/비즈니스용 OneDrive 또는 파일 공유에 저장하고 Microsoft 365 보존 또는 Azure Backup을 통해 백업할 수 있습니다. |
| 1515 | 1, 2, 3 | 백업에서 공통 시점으로 데이터, 애플리케이션 및 설정 복원은 재해 복구 연습의 일부로 테스트됩니다. | Microsoft 365 서비스에 보관된 데이터는 성공적인 백업 완료를 위해 복원 테스트가 필요하지 않을 수 있지만 플랫폼 내에서 파일, 사이트 또는 전자 메일 메시지를 복구하기 위한 다양한 옵션을 이해하고 지정된 시나리오에 적합한지 확인해야 합니다. 파일, 사이트 및 전자 메일을 복구하는 옵션에 대한 이러한 이해를 정기적으로 강화하여 관리자 및/또는 IT 직원이 최신 프로세스를 최신 상태로 유지할 수 있도록 하는 것이 중요합니다. |
Azure Backup 구성
Azure Backup을 구성하는 프로세스는 보호하려는 서비스에 따라 달라지는데, 첫 번째 단계는 항상 백업을 저장할 자격 증명 모음을 만드는 것입니다. Azure는 Recovery Services 자격 증명 모음 및 Backup 자격 증명 모음의 두 가지 유형을 제공하며, 만들어야 하는 유형은 사용하려는 데이터 원본에 따라 결정됩니다.
Recovery Services 자격 증명 모음은 일반적으로 Azure Virtual Machines, Azure Files 및 Azure SQL 데이터베이스와 같은 서비스에 대한 데이터 또는 구성 정보의 복사본을 보관하며 System Center Data Protection Manager, Windows Server 및 Azure Backup Server와의 통합을 지원합니다. Recovery Services 자격 증명 모음은 일시 삭제 함수를 지원합니다. 이 함수는 다른 비용에 영향을 주지 않고 14일 동안 삭제된 백업의 복사본을 유지 관리합니다.
Backup 자격 증명 모음에는 Azure Database for PostgreSQL, Azure Blobs, Azure Disks, Kubernetes Service 및 AVS Virtual Machines와 같은 최신 Azure 워크로드에 대한 백업 데이터가 저장됩니다.
Azure Backup 센터를 통해 자격 증명 모음 및 백업을 만들 수 있으며 대규모 백업을 제어, 모니터링, 운영 및 분석하는 단일 통합 관리 환경을 제공합니다.
다양한 백업 작업을 구성하기 위한 자세한 지침은 Azure VM, Azure VM의 SQL, Azure Disk, Azure Blob 및Azure Files와 같은 Microsoft Docs에서 사용할 수 있습니다.
MARS(Microsoft Azure Recovery Services) 에이전트를 사용하여 온-프레미스 컴퓨터에서 파일, 폴더 및 볼륨 또는 시스템 상태를 백업하거나 Azure 가상 머신에서 개별 파일 및 폴더를 백업할 수도 있습니다. MARS 에이전트를 다운로드하여 개별 서버에 설치하여 Azure로 직접 백업하거나 MABS(Microsoft Azure Backup Server) 또는 DPM(System Center Data Protection Manager) 서버에 설치할 수 있습니다. 이 시나리오에서 컴퓨터 및 워크로드는 MABS/DPM으로 백업한 다음 MARS 에이전트를 사용하여 Azure 자격 증명 모음에 백업합니다.
Hyper-V 가상 머신, Microsoft SQL Server, SharePoint Server 및 Microsoft Exchange와 같은 온-프레미스 워크로드를 보호하려면 도메인에 가입된 서버에 Microsoft Azure Backup Server를 설치 합니다. 이제 MABS를 사용하여 VMware VM을 보호할 수도 있습니다.
| ISM 제어 2024년 6월 | 성숙 | 제어 | 측정 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 데이터, 애플리케이션 및 설정의 백업은 비즈니스 중요도 및 비즈니스 연속성 요구 사항에 따라 수행되고 유지됩니다. | Azure Backup은 로컬 및 지리적 중복 스토리지에 대한 옵션을 사용하여 클라우드에 리소스를 백업하는 간단한 솔루션을 제공합니다. 백업은 주문형 또는 일정에 따라 수행할 수 있으며 Windows Server 시스템 상태를 통해 소프트웨어 및 서버 구성 정보를 포함할 수 있습니다. |
| 1515 | 1, 2, 3 | 백업에서 공통 시점으로 데이터, 애플리케이션 및 설정 복원은 재해 복구 연습의 일부로 테스트됩니다. | Azure Backup은 온-프레미스 및 클라우드 워크로드에서 다양한 기존 백업 서비스를 제공합니다. 복원 옵션은 워크로드에 따라 다르지만 일반적으로 복원할 시점과 원래 위치 또는 대체 위치로 복구할지 여부를 선택할 수 있습니다. 테스트 계획은 모든 옵션을 통합해야 합니다. |
Microsoft 365 Backup
Microsoft 365 Backup 서비스는 온-프레미스 및 Azure에 있는 데이터를 백업하는 Microsoft의 클라우드 기반 백업 솔루션입니다. 기존 온-프레미스 또는 오프사이트 백업 솔루션을 안정적이고 안전하며 비용 경쟁력 있는 클라우드 백업 솔루션으로 대체합니다. 또한 클라우드에서 실행되는 자산을 유연하게 보호할 수 있습니다.
주요 아키텍처 핵심 사항:
- 데이터는 Microsoft 365 데이터 신뢰 경계 또는 현재 데이터 보존의 지리적 위치를 벗어나지 않습니다.
- 백업 도구 관리자가 제품 오프보딩을 통해 명시적으로 삭제하지 않는 한 백업은 변경할 수 없습니다.
- OneDrive, SharePoint 및 Exchange에는 물리적 재해로부터 보호하기 위해 여러 개의 물리적으로 중복된 데이터 복사본이 있습니다.
Microsoft 365 DSC(Desired State Configuration) 도구를 사용하여 테넌트 구성 관리
Microsoft 365 DSC는 Microsoft 엔지니어가 주도하는 Open-Source 이니셔티브로, Microsoft 365 테넌트를 구성하는 방법에 대한 정의를 작성하고, 해당 구성의 배포를 자동화하고, 정의된 구성의 모니터링을 보장하고, 검색된 구성 드리프트에 대해 알리고 조치를 수행할 수 있도록 커뮤니티에서 유지 관리합니다. 또한 Exchange Online, Teams, SharePoint, OneDrive, 보안 및 규정 준수, Power Platforms, Intune 및 Planner와 같은 주요 워크로드를 포함하여 기존 Microsoft 365 테넌트에서 전체 충실도 구성을 추출할 수 있습니다.
Microsoft 365 DSC 사용자 가이드를 사용할 수 있으며 시작하는 데 도움이 될 수 있습니다. 이 도구는 조직의 기본 설정에 따라 여러 가지 방법으로 사용할 수 있습니다. 가장 간단한 형식으로 이 도구를 사용하여 Microsoft 365 테넌트에서 구성을 추출하고 나중에 복구 또는 복원이 필요한 경우 일련의 파일로 저장할 수 있습니다. 또 다른 옵션은 스테이징 테넌트 유지 관리 및 도구를 통해 프로덕션 환경에 모든 변경 내용을 배포하는 것입니다.
| ISM 제어 2024년 6월 | 성숙 | 제어 | 측정 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 데이터, 애플리케이션 및 설정의 백업은 비즈니스 중요도 및 비즈니스 연속성 요구 사항에 따라 수행되고 유지됩니다. | Microsoft 365 환경의 구성 설정은 Microsoft 365DSC 도구(사용자에게 친숙한 Excel 또는 HTML 보고서) 또는 테넌트 구성을 다시 설정하는 데 사용할 수 있는 내보내기 패키지로 캡처할 수 있습니다. |
| 1515 | 1, 2, 3 | 백업에서 공통 시점으로 데이터, 애플리케이션 및 설정 복원은 재해 복구 연습의 일부로 테스트됩니다. | Microsoft 365DSC 도구를 사용하여 복원을 위해 이전에 캡처한 구성 데이터를 가져올 수 있습니다. |
수준 1 요구 사항
데이터, 애플리케이션 및 설정의 백업은 비즈니스 중요도 및 비즈니스 연속성 요구 사항에 따라 수행되고 유지됩니다.
Microsoft 365 보존은 서비스 내에 저장된 데이터가 매우 복원력 있는 환경에서 캡처되고 유지되도록 합니다. 보존 레이블 및/또는 정책은 앞에서 설명한 대로 구성해야 하지만 파일이 일반 쓰기 또는 삭제 작업을 통해 보존되기 때문에 특정 복사 프로세스를 예약하거나 실행할 필요가 없습니다.
Azure Backup은 로컬 및 지리적 중복 스토리지에 대한 옵션을 사용하여 클라우드에 리소스를 백업하는 간단한 솔루션을 제공합니다. 백업은 주문형 또는 일정에 따라 수행할 수 있으며 Windows Server 시스템 상태를 통해 소프트웨어 및 서버 구성 정보를 포함할 수 있습니다.
Microsoft 365 환경의 구성 설정은 Microsoft 365DSC 도구(사용자에게 친숙한 Excel 또는 HTML 보고서) 또는 테넌트 구성을 다시 설정하는 데 사용할 수 있는 내보내기 패키지로 캡처할 수 있습니다. 파일을 SharePoint Online/비즈니스용 OneDrive 또는 파일 공유에 저장하고 Microsoft 365 보존 또는 Azure Backup을 통해 백업할 수 있습니다.
재해 복구 연습의 일환으로 백업에서 공통 시점으로 데이터, 애플리케이션 및 설정 복원이 테스트됩니다.
Microsoft 365 서비스에 보관된 데이터는 성공적인 백업 완료를 위해 복원 테스트가 필요하지 않을 수 있지만 플랫폼 내에서 파일, 사이트 또는 전자 메일 메시지를 복구하기 위한 다양한 옵션을 이해하고 지정된 시나리오에 적합한지 확인해야 합니다. Microsoft 365는 셀프 서비스 방식으로 최종 사용자가 직접 복원 기능을 사용할 수 있도록 하므로 질문이 있는 모든 사용자가 적절한 설명서 및 기술 지원팀 서비스를 사용할 수 있어야 합니다. 파일, 사이트 및 전자 메일 메시지를 복구하는 옵션에 대한 이러한 이해는 재해 복구 연습을 통해 정기적으로 강화되어야 합니다.
Azure Backup은 온-프레미스 및 클라우드 워크로드에서 다양한 기존 백업 서비스를 제공합니다. 복원 옵션은 워크로드에 따라 다르지만 일반적으로 복원할 시점과 원래 위치 또는 대체 위치로 복구할지 여부를 선택할 수 있습니다. 테스트 계획은 모든 옵션을 통합해야 합니다.
권한 없는 계정은 다른 계정에 속한 백업에 액세스할 수 없습니다.
Microsoft 365 현재 위치 보존을 사용하면 데이터의 별도 복사본이 없으며 액세스는 정보의 위치를 기반으로 합니다. 예를 들어 읽기 권한이 있는 모든 사용자는 SharePoint Online에서 파일의 버전 기록을 볼 수 있지만 기여 권한이 있는 사용자만 실제로 이전 버전을 복원할 수 있습니다. 컨트롤과 관련하여 이는 권한이 없는 계정이 이미 액세스 권한이 있는 것보다 더 많은 정보에 액세스할 수 없다는 것을 의미합니다.
Azure Backup에 액세스하려면 백업 기여자, Backup 운영자 또는 백업 읽기 권한자 역할을 부여해야 하므로 정의상 권한 없는 계정은 데이터에 액세스할 수 없습니다.
권한 없는 계정은 백업 수정 또는 삭제를 방지합니다.
권한이 있거나 다른 사용자도 Microsoft 365에서 보존된 데이터 복사본을 수정하거나 삭제할 수 없습니다.
권한 없는 계정은 백업을 수정하거나 삭제할 수 있는 권한은 물론 Azure Backup에 대한 액세스 권한이 전혀 없습니다.
수준 2 요구 사항
권한 없는 계정은 다른 계정에 속한 백업에 액세스할 수 없습니다.
Microsoft 365에는 권한 없는 계정에 액세스할 수 있는 별도의 백업이 없으며 이미 액세스 권한이 있는 파일 버전만 볼 수 있습니다. 일반적으로 사용자가 백업 리포지토리를 통해 정보에 액세스할 수 없도록 하려는 경우 Microsoft 365는 현재 위치 보존의 일부로 콘텐츠가 중복되지 않으므로 요구 사항을 준수합니다. 권한 없는 계정은 권한이 부여된 데이터에만 액세스할 수 있습니다. 권한 있는 계정에도 특정 액세스 권한이 부여되어야 합니다.
권한 없는 계정 및 권한 있는 계정(백업 관리자 제외)은 백업을 수정하거나 삭제할 수 없음
권한이 있거나 다른 사용자도 Microsoft 365에서 보존된 데이터 복사본을 수정하거나 삭제할 수 없습니다. 그러나 권한 있는 사용자는 정보가 더 이상 보존되지 않는 보존 정책을 수정하거나 삭제할 수 있습니다. 보존 잠금 은 전역 관리자를 포함한 누구도 정책을 해제하거나, 정책을 삭제하거나, 덜 제한적으로 만들 수 없도록 하는 데 사용할 수 있습니다. 이는 악의적인 관리자로부터 보호하는 데 도움이 될 수 있지만, 이 제어를 활용할지 여부를 결정하기 전에 조직에 미치는 영향을 이해하는 것이 중요합니다.
Azure Backup의 RBAC 모델에서 백업 기여자만 백업을 수정하거나 삭제할 수 있는 권한이 있습니다. 또한 Azure Backup은 기본적으로 사용하도록 설정된 일시 삭제 함수 를 제공하며, 우발적이거나 악의적인 삭제 시 14일 동안 삭제된 백업을 추가로 유지합니다.
수준 3 요구 사항
권한 없는 계정 및 권한 있는 계정(백업 관리자 제외) 백업에 액세스할 수 없음
Microsoft 365에는 권한이 있거나 권한이 없는 계정에 액세스할 수 있는 별도의 백업이 없습니다. 사용자는 보존된 파일 및 버전에 액세스할 수 있지만 이 데이터에 기본 복사본과 백업으로 액세스하는 것은 구별되지 않습니다.
권한 없는 계정 또는 적절한 권한이 부여되지 않은 권한 있는 계정에는 Azure Backup에 대한 액세스 권한이 없으므로 백업에 액세스할 수 없습니다.
권한 없는 계정 및 권한 있는 계정(백업 중단 유리 계정 제외)은 백업을 수정하거나 삭제할 수 없음
성숙도 수준 2 요구 사항과 마찬가지로 권한이 있거나 다른 사용자도 Microsoft 365에서 보존된 데이터 복사본을 수정하거나 삭제할 수 없습니다.
백업 기여자만 Azure Backup에서 백업을 수정하거나 삭제할 수 있는 권한이 있습니다. 백업 중단 유리 계정에만 이러한 권한이 있는지 확인하려면 해당 계정에만 이 역할을 부여합니다.
Microsoft Platform을 사용하여 완성도 관리
다음 정보는 일반 백업에 대해 원하는 완성도를 달성하기 위한 구현 작업에 대한 지침을 제공합니다. Microsoft 보안 및 규정 준수 플랫폼을 사용하여 구현을 달성하고 규정 준수를 추적할 수 있습니다. Microsoft Purview 준수 관리자는 Essential Eight 컨트롤의 구현을 평가, 관리 및 추적하는 템플릿을 제공합니다.
조직은 Essential Eight 템플릿을 선택하고 대상으로 하는 완성도에 따라 평가를 만들 수 있습니다. 평가 템플릿은 원하는 완성도를 달성하기 위해 개선 작업을 구현하기 위한 실행 가능한 지침을 제공합니다. 자세한 내용은 ACSC의 Essential Eight Maturity 모델을 참조하세요.
참조 - 문서
- 복원력 및 연속성 개요
- Azure Backup 서비스란?
- 소개 - Microsoft365DSC - 클라우드 구성
- 보존 정책 및 보존 레이블에 대해 알아보기
- 비활성 사서함 생성 및 관리
- Microsoft 365의 맬웨어 및 랜섬웨어 보호
- Microsoft 365 테넌트용 랜섬웨어 보호 배포
- ISM 매핑에 대한 필수 8개의 완성도 모델
참조 - 완성도 수준
| ISM 제어 2024년 6월 | 수준 1 | 수준 2 | 수준 3 |
|---|---|---|---|
| 1511 데이터, 애플리케이션 및 설정의 백업은 비즈니스 중요도 및 비즈니스 연속성 요구 사항에 따라 수행되고 유지됩니다. | Y | Y | Y |
| 1810 데이터, 애플리케이션 및 설정의 백업이 동기화되어 일반적인 시점으로 복원할 수 있습니다. | Y | Y | Y |
| 1811 데이터, 애플리케이션 및 설정의 백업은 안전하고 복원력 있는 방식으로 유지됩니다. | Y | Y | Y |
| 1515 재해 복구 연습의 일환으로 백업에서 공통 시점으로 데이터, 애플리케이션 및 설정 복원을 테스트합니다. | Y | Y | Y |
| 1812 권한 없는 계정은 다른 계정에 속한 백업에 액세스할 수 없습니다. | Y | Y | Y |
| 1814 권한 없는 계정은 백업을 수정하고 삭제할 수 없게 됩니다. | Y | Y | Y |
| 1813 권한 없는 계정은 다른 계정이나 자신의 계정에 속한 백업에 액세스할 수 없습니다. | N | Y | Y |
| 1705 권한 있는 계정(백업 관리자 계정 제외)은 다른 계정에 속한 백업에 액세스할 수 없습니다. | N | Y | Y |
| 1707 권한 있는 계정(백업 관리자 계정 제외)은 백업을 수정하고 삭제할 수 없습니다. | N | Y | Y |
| 1706 권한 있는 계정(백업 관리자 계정 제외)은 자체 백업에 액세스할 수 없습니다. | N | N | Y |
| 1708 백업 관리자 계정은 보존 기간 동안 백업을 수정하고 삭제할 수 없습니다. | N | N | Y |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기