CSA (Cloud Security Alliance) STAR 자체 평가

CSA STAR 자체 평가 개요

CSA(Cloud Security Alliance)는 전문직 종사자, 회사 및 기타 주요 이해 관계자 연합이 주도하는 비영리 단체입니다. 이 단체는 보다 안전한 클라우드 컴퓨팅 환경을 유지하고 잠재적 클라우드 고객이 IT 운영을 클라우드로 전환할 때 현명한 결정을 내릴 수 있도록 도와줄 모범 사례를 정의하는 데 전념하고 있습니다.

CSA는 2010년에 클라우드 IT 운영(CSA 관리 방식, 위험 관리 및 규정 준수(GRC) 스택)을 평가할 도구를 발표했습니다. 클라우드 고객이 CSP(클라우드 서비스 공급자)가 업계 모범 사례 및 표준을 준수하고 규정을 준수하는 방식을 평가하는 데 도움을 주도록 설계되었습니다.

2013년 CSA와 British Standards Institution(영국 표준 협회)는 CPS가 CSA 관련 평가를 게시할 수 있도록 STAR(Security, Trust & Assurance Registry: 보안, 트러스트 및 보증 등록)라고 하는 무료 및 공개적으로 액세스할 수 있는 등록 프로그램을 시작했습니다.

CSA STAR는 CSA GRC 스택의 두 가지 주요 구성 요소를 기반으로 합니다.

  • CCM(Cloud Controls Matrix): 클라우드 고객이 CSP의 전반적인 보안 위험을 평가하는 데 도움이 되도록 16개 도메인의 기본 보안 원칙을 다루는 제어 프레임워크
  • CAIQ(Consensus Assessments Initiative Questionnaire): 고객 또는 클라우드 감사자가 CSA 모범 사례를 준수하는지 평가하기 위해 CSP에 질문할 수 있는 CCM을 기반으로 하는 140개 이상의 질문 집합.

STAR는 세 가지 수준의 보장을 제공합니다. CSA-STAR 자체 평가는 수준 1의 도입 제안으로, 무료이며 모든 CSP에게 열려 있습니다. 보장 스택을 더 올라가 STAR 프로그램의 수준 2는 제3의 독립 기관 평가 기반 인증을 포함하고, 수준 3은 지속적인 모니터링을 기반으로 하는 인증을 포함합니다.

Microsoft와 CSA STAR 자체 평가

STAR 자체 평가의 일환으로 CSP는 CSA 모범 사례 준수를 보여주는 두 가지 유형의 문서(완료된 CAIQ 또는 CCM 준수를 문서화한 보고서)를 제출할 수 있습니다. CSA STAR 자체 평가를 위해 Microsoft는 Microsoft Azure에 대한 CAIQ 및 CCM 기반 보고서와 Microsoft Dynamics 365와 Microsoft Office 365에 대한 CCM 기반 보고서를 모두 게시합니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

Azure, Dynamics 365 및 CSA STAR 자체 평가

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure CSA STAR 자체 평가 제품을 참조하세요.

Office 365 및 CSA STAR 자체 평가

Office 365 클라우드 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음 Office 365 클라우드 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 Exchange Online, Exchange Online Protection, Office 365 고객 포털, Office Online, Office 서비스 인프라, 비즈니스용 OneDrive, SharePoint Online, 비즈니스용 Skype

질문과 대답

CSA CCM이 어떤 산업 표준과 일치하나요?

CCM는 ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, CIP, FedRAMP, NIST 등과 같은 업계에서 인정받는 보안 표준, 규정 및 제어 프레임워크에 해당합니다. 최신 목록은 CSA 웹 사이트를 참조하세요.

CSA 별 자체 평가가 중요한 이유는 무엇인가요?

이를 통해 CSP는 CSA에서 게시한 모범 사례 준수 사항을 투명한 방식으로 문서화할 수 있습니다. 자체 평가 보고서는 일반에게 공개되고 따라서 클라우드 고객은 CSP 보안 관례를 보고 동일한 기준을 사용하여 다양한 CSP를 비교할 수 있습니다.

Office 365는 어떤 CSA STAR 보증 수준을 획득했나요?

  • 수준 1: CSA STAR 자체 평가: 클라우드 서비스 공급자가 고객이 서비스 보안을 평가하는 것을 돕기 위해 보안 컨트롤을 문서화하는 무료 서비스입니다.

Office 365 리소스