다음을 통해 공유


GDPR에 따른 Microsoft Azure, Dynamics 365 및 Power Platform 위반 알림

Microsoft는 GDPR(일반 데이터 보호 규정)에 따라 의무를 다합니다. Microsoft는 데이터 침해로부터 보호하기 위해 온라인 서비스 내에서 광범위한 보안 조치를 취합니다. 이러한 조치에는 물리적 및 논리적 보안 제어뿐만 아니라 자동화된 보안 프로세스, 포괄적인 정보 보안 및 개인 정보 보호 정책, 모든 직원을 위한 보안 및 개인 정보 보호 교육이 모두 포함됩니다.

보안은 처음부터 Microsoft Azure, Dynamics 365 및 Power Platofrm에 기본 제공되며, 기본적으로 개인 정보 보호 및 개인 정보 보호 방법론을 통합하는 필수 개발 프로세스인 보안 개발 수명 주기부터 시작합니다. Microsoft 보안 전략의 지침 원칙은 심층 방어 전략의 확장인 '위반 가정'입니다. Microsoft Azure, Dynamics 365 및 Power Platofrm Microsoft의 보안 기능에 지속적으로 도전함으로써 새로운 위협에 앞서나갈 수 있습니다. Azure 보안에 대한 자세한 내용은 이러한 리소스를 검토하세요.

Microsoft에는 Microsoft Azure, Dynamics 365 및 Power Platform에 대한 공격의 영향을 완화하기 위해 작동하는 전담 글로벌 24x7 인시던트 대응 서비스가 있습니다. 여러 보안 및 규정 준수 감사(예: ISO/IEC 27018)에서 증명된 Microsoft는 데이터 센터에서 엄격한 운영 및 프로세스를 사용하여 24x7 비디오 모니터링, 학습된 보안 담당자, 스마트 카드 및 생체 인식 제어를 포함하여 무단 액세스를 방지합니다.

잠재적인 위반 감지

최신 클라우드 컴퓨팅의 특성으로 인해 고객 클라우드 환경에서 발생하는 모든 데이터 위반에는 Microsoft Azure, Dynamics 365 또는 Power Platform 서비스가 포함되지 않습니다. Microsoft는 Microsoft Azure, Dynamics 365 및 Power Platform 서비스에 대한 공동 책임 모델을 사용하여 보안 및 운영 책임을 정의합니다. 클라우드 서비스 공급자와 고객 모두 클라우드 보안의 일부에 책임이 있기 때문에 공유 책임은 클라우드 서비스의 보안을 논의할 때 중요합니다.

Microsoft는 고객의 책임 영역 내에서 보안 인시던트에 대해 모니터링하거나 대응하지 않습니다. 고객 전용 보안 손상은 Microsoft 보안 인시던트로 처리되지 않으며 고객 테넌트가 대응 작업을 관리하도록 요구합니다. 고객 인시던트 대응에는 적절한 서비스 계약을 통해 Microsoft Azure 고객 지원, Dynamics 365 고객 지원 및/또는 Power Platform 고객 지원과의 협업이 포함될 수 있습니다. 또한 Microsoft는 고객이 보안 인시던트 대응을 개발하고 관리하는 데 사용할 수 있는 다양한 서비스(예: 클라우드용 Microsoft Defender)를 제공합니다.

Microsoft는 Microsoft 인시던트 관리 계획의 하위 집합인 보안 인시던트 대응 프로세스에 따라 잠재적인 데이터 위반에 대응합니다. Microsoft의 Azure 보안 인시던트 대응은 검색, 평가, 진단, 안정화 및 닫기라는 5단계 프로세스를 사용하여 구현됩니다. 보안 인시던트 대응 팀은 조사가 진행되면서 진단 및 안정화 단계를 전환하면서 수행할 수 있습니다. 보안 인시던트 대응 프로세스에 대한 개요는 다음과 같습니다.

단계 설명
1: 감지 잠재적인 인시던트의 최초 지표
2: 평가 호출 시 인시던트 대응 팀 구성원은 이벤트의 영향과 심각도를 평가합니다. 증거에 따라 평가로 인해 보안 대응 팀에 대한 추가 에스컬레이션이 발생할 수도 있으며 그렇지 않을 수도 있습니다.
3: 진단 보안 대응 전문가는 기술 또는 법정 조사를 수행하고 제약, 완화 및 해결 전략을 파악합니다. 보안 팀에서 고객 데이터가 불법적이거나 권한이 없는 개인에게 노출될 수 있다고 판단하는 경우 고객 인시던트 알림 프로세스가 동시에 실행됩니다.
4: 안정화 및 복구 인시던트 대응 팀은 문제를 완화하기 위한 복구 계획을 만듭니다. 영향을 받은 시스템 격리와 같은 위기 억제 단계는 진단과 동시에 즉시 발생할 수 있습니다. 즉각적인 위험이 경과한 후에 발생하는 장기적인 완화를 계획할 수 있습니다.
5: 종료 및 사후 분석 인시던트 대응 팀은 정책, 절차 및 프로세스를 수정하여 이벤트 재발을 방지하기 위해 인시던트의 세부 정보를 대략적으로 설명하는 사후 평가를 만듭니다.

Microsoft Azure, Dynamics 365 및 Power Platform에서 사용하는 검색 프로세스는 Azure, Dynamics 365 및 Power Platform 서비스의 기밀성, 무결성 및 가용성을 위험에 빠뜨리는 이벤트를 검색하도록 설계되었습니다. 다음과 같은 일부 이벤트가 조사를 트리거할 수 있습니다.

  • 내부 모니터링 및 경고 프레임워크를 통한 자동화된 시스템 알림. 이러한 경고는 맬웨어 방지, 침입 감지와 같은 서명 기반 경보나 비정상 상황 발생 시 예상되는 작업 및 경고를 프로파일링하도록 설계된 알고리즘을 통해 제공됩니다.
  • 첫 번째 파티는 Microsoft Azure 및 Azure Government에서 실행되는 Microsoft 서비스의 첫 번째 파티 보고서입니다.
  • 보안상 취약한 부분은 문제 보고를 통해 MSRC(Microsoft 보안 대응 센터)에 보고됩니다. MSRC는 전 세계의 파트너 및 보안 연구자들과 협력하여 보안 인시던트를 방지하고 Microsoft 제품 보안을 향상시킬 수 있도록 지원합니다.
  • Microsoft Azure 고객 지원 포털, Dynamics 365 고객 지원, Power Platform 고객 지원, Microsoft Azure PortalAzure Government 관리 포털을 포함한 포털을 통한 고객 보고서로, Azure 인프라에 기인하는 의심스러운 활동을 설명합니다(고객의 scope 책임).
  • 보안 Red 팀 및 Blue 팀 활동. 이 전략은 공격적인 Microsoft 보안 전문가로 구성된 고도로 숙련된 레드 팀을 사용하여 Microsoft Azure의 잠재적 약점을 발견하고 공격합니다. 보안 응답 Blue 팀은 Red 팀의 활동을 감지하고 방어해야 합니다. Azure 보안 대응 노력으로 보안 문제를 효과적으로 관리하는지 확인하는 데 Red 및 Blue 팀 작업이 모두 사용 됩니다. 보안 레드 팀 및 블루 팀 활동은 고객 데이터 및 개인 데이터의 보호를 보장하기 위해 참여 규칙에 따라 운영됩니다.
  • Microsoft Azure, Dynamics 365 및 Power Platform Services 운영자에 의한 에스컬레이션 Microsoft 직원은 잠재적인 보안 문제를 식별하고 에스컬레이션하도록 교육을 받았습니다.

Microsoft Azure, Dynamics 365 및 Power Platform 데이터 위반 대응

Microsoft는 인시던트가 기능에 미치는 영향, 복구 가능성 및 정보에 미치는 영향을 결정하여 조사의 적절한 우선순위와 심각도 수준을 할당합니다. 우선 순위와 심각도는 새로 확인한 결과 및 결론에 따라, 조사가 진행되는 동안 변경될 수 있습니다. 고객 데이터의 즉각적인 위험이나 확인된 위험과 관련된 보안 이벤트는 높은 심각도로 처리하고 24시간 내내 해결합니다.

보안 인시던트 대응 팀은 해당 Microsoft 서비스 엔지니어 및 실무 전문가와 협력하여 증거의 사실 데이터를 기반으로 이벤트를 분류합니다. 보안 이벤트를 다음과 같이 분류할 수 있습니다.

  • 가양성: 검색 조건을 충족하지만 일반적인 비즈니스 사례의 일부로 확인되며 필터링해야 할 수 있는 이벤트입니다. 서비스 팀은 가양성 근본 원인을 식별하고 필요에 따라 미세 조정하는 체계적인 방법으로 해결합니다.
  • 보안 이벤트: 시스템, 서비스 및/또는 네트워크에서 공격 시도, 보안 컨트롤 우회 또는 고객 데이터 또는 개인 데이터가 손실, 제거, 변경, 공개 또는 권한 부여 없이 액세스되었을 수 있음을 나타내는 식별되는 문제를 관찰합니다.
  • 보안 인시던트/고객 보고 가능 보안/개인 정보 인시던트(CRSPI): Microsoft에서 처리하는 동안 고객 데이터 또는 개인 데이터의 우발적 또는 법에 저촉되는 소멸, 손실, 변조, 무단 공개 또는 액세스로 이어지는 확인된(예를 들어 선언된) 보안 침해입니다.
  • 개인 정보 보호 이벤트: 고객 데이터 또는 개인 데이터 또는 데이터 처리에 영향을 주는 보안 이벤트로, Microsoft 개인 정보 취급 방침, 표준 및 제어를 준수하지 않는 등 개인 정보에 의도하지 않은 결과를 초래합니다.
  • 개인 정보 보호 인시던트/CRSPI(고객 보고 가능 보안/개인 정보 인시던트): 고객 데이터 또는 개인 데이터, 데이터 또는 데이터 처리에 영향을 주는 보안 인시던트로, Microsoft 개인 정보 취급 방침, 표준 및 제어를 준수하지 않는 등 개인 정보에 의도하지 않은 결과를 초래합니다.

CRSPI를 선언하려면 Microsoft에서 고객 데이터에 무단 액세스가 발생했거나 발생했을 가능성이 높은지 및/또는 알림이 있어야 한다는 법적 또는 계약상 약정이 있는지를 판단해야 합니다. 일반적으로 인시던트는 보안 인시던트의 진단 단계가 끝난 후 CRSPI로 선언됩니다. 그러나 모든 관련 정보를 사용할 수 있는 모든 위치에서 선언이 발생할 수 있습니다.

Microsoft는 고객 및 비즈니스 위험이 성공적으로 포함되어 있고 정정 조치가 구현되었는지 확인합니다. 필요한 경우 이벤트와 관련된 즉각적인 보안 위험을 resolve 위한 긴급 완화 단계가 수행됩니다.

Microsoft는 또한 데이터 유출을 위한 내부 사후 평가을 완료합니다. 이 연습의 일부로 응답 및 운영 절차의 충분성이 평가되고 SOP(보안 인시던트 대응 표준 운영 절차) 또는 관련 프로세스에 필요할 수 있는 모든 업데이트가 식별되고 구현됩니다. 데이터 유출에 대한 내부 사후 평가는 고객이 이용할 수 없는 극비 기록입니다. 그러나 사후 평가는 요약되어 다른 고객 이벤트 통지에 포함될 수 있습니다. 이러한 보고서는 Microsoft Azure, Dynamics 365 및 Power Platform 일상적인 감사 주기의 일부로 검토를 위해 외부 감사에게 제공됩니다.

고객 알림

Microsoft는 필요에 따라 데이터 위반 사실을 영향 받은 고객과 규제 기관에 알립니다. Microsoft는 Microsoft Azure, Dynamics 365 및 Power Platform 운영에 많은 내부 구획화를 사용합니다. 이 설계에 대한 혜택으로 대부분의 인시던트는 특정 고객으로 범위가 지정될 수 있습니다. 해당 목표는 데이터가 위반되는 경우 영향을 받는 고객에게 제때에 정확하고 조치를 취할 수 있는 알림을 제공하는 것입니다.

CRSPI를 선언한 후에는 빠르게 이동하는 보안 위험을 고려하면서 최대한 신속하게 알림 프로세스가 수행됩니다. 고객 통지는 과도한 지연 없이 전달되며, 일부 제한된 경우를 제외하고 위반을 선언한 시점으로부터 72시간 이내의 모든 경우에 다음과 같은 몇 가지 예가 있습니다.

  • Microsoft는 알림을 수행하면 다른 고객의 위험이 증가할 것으로 생각합니다. 예를 들어 알림 행위는 악의적 사용자에게 팁을 주며 수정할 수 없게 할 수 있습니다.
  • 72시간 타임라인 일부 인시던트 세부 정보를 사용할 수 없게 될 수 있습니다. 조사가 진행됨에 따라 이 세부 내용은 고객 및 규제 기관에 제공됩니다.

Microsoft는 알림 프로세스를 과도하게 지연시키지 않으면서 내부 조사를 수행할 수 있도록 하고 최종 사용자 약정을 충족하도록 지원할 수 있는 자세한 정보를 영향 받은 고객에게 제공합니다. Azure에 대한 데이터 위반 알림은 고객의 Microsoft Azure 서비스 상태 알림 블레이드 에 보안 공지로 전달됩니다. 보증되는 경우 다음 역할 중 하나 이상이 서비스 상태 알림과 함께 또는 대신 보안 또는 개인 정보 보호 인시던트 이메일을 통해 알림을 받을 수 있습니다.

Microsoft Azure 또는 Azure Government 팀은 Microsoft CSS(고객 지원 서비스) 팀 구성원 및 AM(고객 계정 관리자) 또는 CSAM(고객 성공 계정 관리자)과 같은 다른 Microsoft 직원에게 알리도록 선택할 수도 있습니다. 이러한 개인은 고객과 밀접하게 관련되어 있는 경우가 많으며 보다 빠른 수정이 이루어지는 데 도움이 될 수 있습니다.

Microsoft Dynamics 365 및 Power Platform에 대한 데이터 위반 알림은 "메시지 센터" 및 "서비스 상태 dashboard"의 Microsoft 365 관리 센터 전달됩니다. 자세한 내용은 Power Platform 및 Dynamics 365 서비스에 대한 정책 및 통신에서 확인할 수 있습니다.

Microsoft Dynamics 365 및 Power Platform 기본 제공 보안 기능

Microsoft Dynamics 365 및 Power Platform은 클라우드 서비스 인프라 및 기본 제공 보안 기능을 활용하여 보안 조치 및 메커니즘을 사용하여 데이터를 안전하게 보호합니다. 또한 Dynamics 365 및 Power Platform은 보안 ID, 데이터 보호, 역할 기반 보안 및 위협 관리 영역에서 데이터 무결성 및 개인 정보 보호와 효율적인 데이터 액세스 및 협업을 제공합니다.

Microsoft Dynamics 365 및 Power Platform 제품은 하나 이상의 Microsoft Azure 서비스 팀이 데이터 위반 프로세스에 대한 보안을 위해 취하는 것과 동일한 기술 및 조직 조치를 따릅니다. 따라서 여기에 있는 'Microsoft Azure 데이터 위반' 알림 문서에 설명된 모든 정보는 Microsoft Dynamics 365 및 Power Platform에도 적용됩니다.

자세히 알아보기

Microsoft 보안 센터