다음을 통해 공유

Microsoft Cloud for Healthcare의 보안

  • 아티클

Microsoft Azure, Microsoft Dynamics 365, Microsoft 365 및 Microsoft Power Platform은 Microsoft 관리 데이터 센터 내에서 Microsoft Corporation이 호스팅하는 구독 기반 온라인 서비스입니다. 이러한 온라인 서비스는 비즈니스 조직에서 사용하는 임무 수행에 필수적인 애플리케이션 및 시스템에 필요한 성능, 확장성, 보안, 관리 기능 및 서비스 수준을 제공하도록 설계되었습니다.

Microsoft에서 보안은 서비스 제공, 계약 약속 및 산업 인증을 위한 중심점이며, 이것이 당사가 Trusted Cloud 이니셔티브를 채택한 이유입니다. Trusted Cloud 이니셔티브는 클라우드 서비스 제공 업체가 업계에서 권장하는 안전하고 상호 운용 가능한 ID, 액세스 및 규정 준수 관리 구성 및 관행을 개발할 수 있도록 지원하기 위해 만들어진 클라우드 보안 동맹(CSA) 산업 그룹의 프로그램입니다. 이 일련의 요구 사항, 지침 및 제어된 프로세스를 통해 엔지니어링, 법률 및 규정 준수 지원에 관한 최고 표준으로 클라우드 서비스를 제공할 수 있습니다. 당사는 클라우드에서 데이터 무결성을 유지하는 데 중점을 두고 있으며, 이는 다음 세 가지(3) 주요 원칙에 의해 관리됩니다.

보안, 개인정보보호 및 규정 준수.

보안 센터를 방문하여 자세히 알아보십시오.

고객 정보를 보호하기 위한 Microsoft의 접근 방식에는 최신 글로벌 표준을 충족하고 보안 트렌드 및 산업별 요구 사항에 빠르게 적응할 수 있는 기술, 운영 절차 및 정책의 보안 제어 프레임워크가 포함됩니다. 또한 조직 및 보안 요구 사항에 맞게 조정되는 고객 관리 도구 세트를 제공합니다. 보안 및 규정 준수 센터는 사용자 및 관리자 활동, 멀웨어 위협, 데이터 손실 사고 등을 추적할 수 있습니다. 보고서 대시보드는 조직의 보안 및 규정 준수 기능과 관련된 최신 보고서에 사용됩니다. Microsoft Azure Active Directory (Azure AD) 보고서는 비정상적이거나 의심스러운 로그인 활동에 대한 정보를 유지하는 데 사용할 수 있습니다.

당사의 보안 정책은 서비스 환경에 대한 정보 보안 규칙 및 요구 사항을 정의합니다. Microsoft는 주기적으로 정보 보안 관리 시스템(ISMS)을 검토하고 결과를 경영진과 함께 검토합니다. 이 프로세스에는 보안 문제, 감사 결과 및 모니터링 상태를 검토하고 필요한 시정 조치를 계획 및 추적하여 ISMS 제어 환경의 지속적인 효과와 개선을 모니터링하는 것이 포함됩니다.

이러한 제어에는 다음이 포함됩니다.

  • 엄격하게 시행되는 변경 제어 정책이 있는 물리적 및 논리적 네트워크 경계
  • 환경에 액세스하는 데 필요한 업무 분리
  • 클라우드 환경에 대한 매우 제한된 물리적 및 논리적 액세스
  • Security Development Lifecycle(SDL) 및 Operational Security Assurance(OSA)를 기반으로 하는 엄격한 제어로 코딩 관행, 품질 테스트 및 코드 승격을 정의합니다.
  • 지속적인 보안, 개인정보보호 및 보안 코딩 관행 인식 및 교육
  • 시스템 액세스에 대한 지속적인 로깅 및 감사
  • 통제 효과를 보장하기 위한 정기 준수 감사

새롭고 진화하는 위협에 맞서기 위해 Microsoft는 혁신적인 "위반 가정" 전략을 채택하고 Red Team으로 알려진 고도로 전문화된 보안 전문가 그룹을 사용하여 엔터프라이즈 클라우드 서비스에 대한 위협 탐지, 대응 및 방어를 강화하고 있습니다. Microsoft는 Microsoft 관리 클라우드 인프라에 대한 Red Teaming 및 라이브 사이트 테스트를 사용하여 실제 위반을 시뮬레이션하고, 지속적인 보안 모니터링을 수행하고, 보안 사고 대응을 연습하여 온라인 서비스의 보안을 검증하고 개선합니다.

보안 팀은 취약점을 식별하고 패치 관리 프로세스의 효율성을 평가하기 위해 내부 및 외부에 대해 빈번한 검사를 수행합니다. 서비스에서 알려진 취약점을 다음과 같이 검사합니다. 새로운 서비스는 포함 날짜를 기준으로 다음 분기별 검사에 추가되며 이후 분기별 검사 일정을 따릅니다. 이러한 검사는 기본 구성 템플릿의 준수 여부를 확인하고 관련 패치가 설치되었는지 확인하며 취약성을 식별하는 데 사용됩니다. 검사 보고서는 적절한 담당자가 검토하고 즉시 수정 작업을 수행합니다.

에지 프로덕션 서버에서 사용되지 않는 모든 IO 포트는 기본 보안 구성에 정의된 운영 체제 수준 구성에 의해 비활성화됩니다. 지속적인 구성 확인 검사를 통해 운영 체제 수준 구성의 드리프트를 감지할 수 있습니다. 또한 침입 감지 스위치를 사용하여 서버에 대한 물리적 액세스를 감지할 수 있습니다.

Microsoft 모니터링 시스템에서 감지한 악성 이벤트를 적시에 조사하고 대응하는 절차가 확립되어 있습니다.

Microsoft는 Microsoft 운영 전반에 걸쳐 업무 분리 및 최소 권한 원칙을 사용합니다. Microsoft 지원 담당자가 고객 데이터에 액세스하려면 고객의 명시적인 허가가 필요하며, 기록되고 감사를 받는 "적시" 기준으로 부여받은 다음 작업이 완료된 후 취소됩니다. Microsoft 내에서 프로덕션 시스템에 액세스하는 운영 엔지니어 및 지원 담당자는 내부 기업 네트워크 액세스 및 애플리케이션(예: 이메일, 인트라넷 등)을 위해 프로비저닝된 가상 컴퓨터(VM)가 있는 강화된 워크 스테이션 PC를 사용합니다. 모든 관리 워크 스테이션 컴퓨터에는 신뢰할 수 있는 플랫폼 모듈(TPMs)이 있고 호스트 부팅 드라이브는 BitLocker로 암호화되며 기본 Microsoft 회사 도메인의 특수 조직 구성 단위(OU)에 참여됩니다.

시스템 강화는 중앙 집중식 소프트웨어 업데이트와 함께 그룹 정책을 통해 시행됩니다. 감사 및 분석을 위해 이벤트 로그(예: 보안 및 AppLocker)가 관리 워크 스테이션에서 수집되어 중앙 위치에 저장됩니다. 또한 2단계 인증이 필요한 Microsoft 네트워크의 전용 점프 박스는 프로덕션 네트워크에 연결하는 데 사용됩니다.

Microsoft는 다음에 중점을 둡니다.

  1. 플랫폼 보안

    1. 데이터 센터의 인프라 및 프로세스.
    2. 강력한 암호화 기술(미사용 및 전송 중).

  2. 안전한 액세스 및 공유

    1. 승인된 사람, 장치, 앱, 위치 및 데이터 분류에 대한 정보 액세스를 제한합니다.
    2. 정보를 공유 할 수 있는 사람과 누구와 공유할 수 있는지 강제합니다.

  3. 인식 및 인사이트

    1. 개인이 SharePoint 및 OneDrive를 사용하는 방법을 완전히 이해합니다.
    2. 사용량을 분석하여 투자 수익을 측정합니다.
    3. 잠재적으로 의심스러운 활동을 식별합니다.

  4. 정보 거버넌스

    1. 민감한 데이터를 구성하는 요소를 분류하고 사용 방법을 강제합니다.
    2. 소송 시 보호.
    3. 사람들이 조직을 떠날 때 업무상 중요한 파일을 보관합니다.

  5. 규정 준수 및 신뢰

    1. 서비스 운영이 안전하고 규정을 준수하며 신뢰할 수 있고 투명한지 확인합니다.