Microsoft 365용 앱 준수 자동화 도구
이 문서에서는 ACAT(Microsoft 365용 앱 준수 자동화 도구)가 무엇인지, 규정 준수를 간소화하고 Microsoft 365 인증을 획득하는 방법을 알아봅니다.
참고
ACAT는 현재 공개 미리 보기로 제공되며 Azure에서 빌드된 앱만 지원합니다. 나중에 다른 클라우드 또는 다른 클라우드의 혼합을 기반으로 빌드된 애플리케이션도 지원합니다.
참고
ACAT 공개 미리 보기에 피드백을 제공하려면 이 양식을 작성하세요. ACAT 제품 팀은 메시지를 받으면 가능한 한 빨리 후속 조치를 취합니다.
Microsoft 365용 앱 준수 자동화 도구란?
ACAT(앱 준수 자동화 도구)는 Microsoft 365 고객 데이터를 사용하고 파트너 센터를 통해 게시되는 모든 앱의 규정 준수 과정을 간소화하는 데 도움이 되는 Azure Portal 서비스입니다. 보다 쉽고 편리하게 Microsoft 365 인증을 완료하는 데 도움이 되는 애플리케이션 중심 규정 준수 자동화 도구입니다. 공개 미리 보기에서 ACAT는 Azure에서 실행되는 앱에서 사용할 수 있습니다.
이 도구를 사용하면 애플리케이션에 대한 규정 준수 경계를 신속하게 정의하고, 규정 준수 결과를 자동으로 모니터링하고, 규정 준수 감사를 더 쉽게 완료할 수 있습니다. 규정 준수 경계는 앱과 앱이 통신할 수 있는 모든 백 엔드 시스템의 배달을 지원하는 클라우드 인프라입니다.
ACAT는 Microsoft 365 인증에 대한 더 빠른 추적을 제공하는 것 외에도 Microsoft 365 애플리케이션에 대한 다양한 규정 준수 시나리오에 도움이 될 수 있습니다.
- Microsoft 365 인증 책임에 대한 자세한 보기 및 수정 단계입니다.
- 규정 준수 결과를 지속적으로 얻을 수 있도록 도와주는 자동 일일 보고서입니다.
- 애플리케이션 수명 주기의 초기 단계에서 지침으로 사용할 수 있는 보안 및 규정 준수 모범 사례입니다.
ACAT의 이점
애플리케이션 중심 규정 준수 경험.
- ACAT는 현재 클라우드 인프라 규정 준수 전략과 통합할 수 있는 애플리케이션의 클라우드 환경에 대한 규정 준수 평가를 보고합니다.
- 개발자는 앱 개발 단계에서도 ACAT를 호출할 수 있습니다.
Microsoft 365 인증을 받는 프로세스를 가속화합니다.
- ACAT는 특정 Microsoft 365 인증 컨트롤을 완전히 자동화합니다.
- Microsoft에서 적극적으로 개발 중인 자동화 목록이 지속적으로 증가하고 있습니다.
Microsoft 365 인증 워크플로와 네이티브 통합.
- ACAT는 Microsoft 365 인증 목적으로 파트너 센터와 완전히 통합됩니다.
애플리케이션 또는 환경을 지속적으로 준수합니다.
- ACAT는 규정 준수 평가의 일일 업데이트를 보장하여 지정된 트리거 시간 설정에 맞게 조정합니다.
- ACAT를 사용하면 규정 준수 평가를 GitHub Actions 또는 기타 CI/CD 파이프라인에 원활하게 통합하여 지속적인 모니터링을 보장합니다.
ACAT의 개념
규정 준수 보고서
ACAT에서는 애플리케이션에 대한 규정 준수 보고서를 만들어 애플리케이션의 규정 준수 상태 감사할 수 있습니다. 애플리케이션을 빌드하는 Azure 리소스를 지정하여 애플리케이션의 규정 준수 경계를 정의할 수 있습니다. 다양한 개발 환경 및 단계에 따라 하나의 애플리케이션에 대해 여러 보고서를 만듭니다.
보고서가 만들어지면 ACAT는 미리 정의된 트리거 시간에 규정 준수 데이터를 수집한 다음, 규정 준수 결과를 보고서로 생성하기 시작합니다. 한편, ACAT는 보고서를 삭제하도록 선택할 때까지 규정 준수 보고서에 대한 규정 준수 변경 내용을 지속적으로 모니터링합니다.
Microsoft 365 인증 제어
ACAT는 규정 준수 제어를 자동화하여 Microsoft 365 인증을 신속하게 처리합니다. 자동화 상태 따라 ACAT에 정의된 세 가지 유형의 규정 준수 컨트롤이 있습니다.
- 완전 자동화된 제어: Microsoft 인증 제어는 ACAT에 의해 완전히 자동화됩니다.
- 부분 자동화된 수동 제어: ACAT는 Microsoft 365 인증 제어의 부분적인 책임을 자동화할 수 있습니다. 나머지 책임을 완료하려면 ACAT에서 제공하는 지침을 따라야 합니다.
- 완전 수동 제어: 모든 책임을 완료하려면 ACAT에서 제공하는 지침을 따라야 합니다.
장기적으로 ACAT는 Microsoft 365 인증 컨트롤의 자동화 적용 범위를 지속적으로 개선합니다.
고객 책임
충족해야 하는 각 컨트롤과 관련된 고객 책임 집합이 있습니다. 데이터, 엔드포인트, 계정, 액세스 관리 등과 같은 영역에서 사용자가 보유하는 책임입니다.
ACAT는 각 고객 책임에 대한 데이터를 수집하고 이에 대한 평가 결과를 반환합니다. 또한 Microsoft 365 인증 표준에 부합하는 데 도움이 되는 수정 작업을 제공합니다.
Microsoft 365 인증 컨트롤의 규정 준수 상태 이해
규정 준수 보고서에서 ACAT는 완전히 자동화된 각 제어 및 부분 자동화된 수동 제어에 대한 고객 책임을 정의합니다. 고객 책임에 대한 두 가지 규정 준수 상태가 있습니다.
- 통과됨: 이 고객 책임에 적용되는 클라우드 리소스는 정상입니다.
- 실패: 하나 이상의 클라우드 리소스가 비정상입니다. 수정 단계에 따라 비정상 리소스를 resolve 수 있습니다.
- 해당 없음: 고객 책임에 적용할 수 있는 클라우드 리소스가 없거나, 이 고객의 책임은 이 보고서의 애플리케이션 구성에 따라 적용할 수 없는 것으로 간주됩니다.
- 앱 규정 준수 검토 필요: 증거를 수동으로 수집하여 이 고객의 책임에 업로드합니다. 분석가는 Microsoft 파트너 네트워크에서 Microsoft 365 인증 요청을 제출한 후 철저한 검토를 수행합니다.
Microsoft 365 인증 컨트롤의 규정 준수 상태는 고객 책임의 규정 준수 상태에 의존합니다.
- 통과됨: 이 Microsoft 365 인증 제어에 대한 '실패' 또는 '앱 준수 검토 필요' 상태 고객 책임은 없습니다.
- 실패: 이 Microsoft 365 인증 제어와 관련하여 하나 이상의 고객 책임이 실패했습니다.
- 해당 사항: 이 Microsoft 365 인증 컨트롤에 대한 모든 고객 책임은 'N/A' 상태.
- 앱 규정 준수 검토 필요: '앱 규정 준수 검토 필요' 상태 하나 이상의 고객 책임이 있습니다. 분석가는 Microsoft 파트너 네트워크에서 Microsoft 365 인증 요청을 제출한 후 철저한 검토를 수행합니다.
FAQ
수동 컨트롤 및 부분적으로 자동화된 컨트롤이란?
각 규정 준수 제어는 특정 고객 책임 집합에 연결되며, ACAT는 그에 따라 규정 준수 데이터를 수집합니다. 이제 ACAT는 Microsoft 365 인증에 대한 모든 컨트롤을 다루지 않습니다(적용 범위를 확장하기 위한 노력이 진행 중임). 부분적으로 자동화된 컨트롤의 경우 ACAT는 고객 책임의 특정 측면을 자동화합니다. 부분적으로 자동화된 컨트롤의 평가 결과는 Microsoft 365 인증 감사에 기여하며, 나머지 요구 사항을 충족하기 위해 추가 작업이 필요합니다. 그러나 수동 제어의 경우 ACAT는 현재 고객의 책임을 자동화하지 않습니다.
컨트롤이 완전히 자동화되었는지 어떻게 알 수 있나요?
ACAT는 지속적으로 제어 자동화를 향상시킵니다. 컨트롤 자동화의 현재 상태.
| 보안 도메인 | 컨트롤 패밀리 | 컨트롤 번호 | ACAT 자동화 상태 |
|---|---|---|---|
| 운영 보안 | 인식 교육 | 컨트롤 1 | 수동 |
| 운영 보안 | 맬웨어 보호 - 바이러스 백신 | 컨트롤 2 | 완전 자동화됨 |
| 운영 보안 | 맬웨어 보호 - 애플리케이션 제어 | 컨트롤 3 | 수동 |
| 운영 보안 | 패치 관리 - 패치 & 위험 순위 | 컨트롤 4 | 수동 |
| 운영 보안 | 패치 관리 - 패치 & 위험 순위 | 컨트롤 5 | 수동 |
| 운영 보안 | 취약점 검색 | 컨트롤 6 | 완전 자동화됨 |
| 운영 보안 | 취약점 검색 | 컨트롤 7 | 완전 자동화됨 |
| 운영 보안 | NSC(네트워크 보안 컨트롤) | 컨트롤 8 | 부분 자동화됨 |
| 운영 보안 | NSC(네트워크 보안 컨트롤) | 컨트롤 9 | 부분 자동화됨 |
| 운영 보안 | 컨트롤 변경 | 컨트롤 10 | 수동 |
| 운영 보안 | 컨트롤 변경 | 컨트롤 11 | 수동 |
| 운영 보안 | 보안 소프트웨어 개발/배포 | 컨트롤 12 | 수동 |
| 운영 보안 | 보안 소프트웨어 개발/배포 | 컨트롤 13 | 수동 |
| 운영 보안 | 계정 관리 | 컨트롤 14 | 부분 자동화됨 |
| 운영 보안 | 계정 관리 | 컨트롤 15 | 수동 |
| 운영 보안 | 계정 관리 | 컨트롤 16 | 수동 |
| 운영 보안 | 보안 이벤트 로깅, 검토 및 경고 | 컨트롤 17 | 부분 자동화됨 |
| 운영 보안 | 보안 이벤트 로깅, 검토 및 경고 | 컨트롤 18 | 완전 자동화됨 |
| 운영 보안 | 보안 이벤트 로깅, 검토 및 경고 | 컨트롤 19 | 수동 |
| 운영 보안 | 보안 이벤트 로깅, 검토 및 경고 | 컨트롤 20 | 수동 |
| 운영 보안 | 정보 보안 위험 관리 | 컨트롤 21 | 수동 |
| 운영 보안 | 정보 보안 위험 관리 | 컨트롤 22 | 수동 |
| 운영 보안 | 정보 보안 위험 관리 | 컨트롤 23 | 수동 |
| 운영 보안 | 정보 보안 위험 관리 | 컨트롤 24 | 수동 |
| 운영 보안 | 보안 인시던트 대응 | 컨트롤 25 | 수동 |
| 운영 보안 | 보안 인시던트 대응 | 컨트롤 26 | 수동 |
| 운영 보안 | 보안 인시던트 대응 | 컨트롤 27 | 수동 |
| 운영 보안 | BCP(비즈니스 연속성 계획) 및 재해 복구 계획 | 컨트롤 28 | 수동 |
| 운영 보안 | BCP(비즈니스 연속성 계획) 및 재해 복구 계획 | 컨트롤 29 | 수동 |
| 운영 보안 | BCP(비즈니스 연속성 계획) 및 재해 복구 계획 | 컨트롤 30 | 수동 |
| 데이터 처리 보안 & 개인 정보 | 전송 중인 데이터 | 컨트롤 1 | 완전 자동화됨 |
| 데이터 처리 보안 & 개인 정보 | 전송 중인 데이터 | 컨트롤 2 | 수동 |
| 데이터 처리 보안 & 개인 정보 | 미사용 데이터 | 컨트롤 3 | 완전 자동화됨 |
| 데이터 처리 보안 & 개인 정보 | 데이터 보존, 백업 및 폐기 | 컨트롤 4 | 수동 |
| 데이터 처리 보안 & 개인 정보 | 데이터 보존, 백업 및 폐기 | 컨트롤 5 | 수동 |
| 데이터 처리 보안 & 개인 정보 | 데이터 보존, 백업 및 폐기 | 컨트롤 6 | 수동 |
| 데이터 처리 보안 & 개인 정보 | 데이터 보존, 백업 및 폐기 | 컨트롤 7 | 수동 |
| 데이터 처리 보안 & 개인 정보 | 데이터 액세스 관리 | 컨트롤 8 | 수동 |
| 데이터 처리 보안 & 개인 정보 | 데이터 액세스 관리 | 컨트롤 9 | 수동 |
| 데이터 처리 보안 & 개인 정보 | 개인 정보 보호 | 컨트롤 10 | 수동 |
| 데이터 처리 보안 & 개인 정보 | 개인 정보 보호 | 컨트롤 11 | 수동 |
| 데이터 처리 보안 & 개인 정보 | GDPR | 컨트롤 12 | 수동 |
| 데이터 처리 보안 & 개인 정보 | GDPR | 컨트롤 13 | 수동 |
| 데이터 처리 보안 & 개인 정보 | HIPAA | 컨트롤 14 | 수동 |
| 데이터 처리 보안 & 개인 정보 | HIPAA | 컨트롤 15 | 수동 |
수정 제안을 기반으로 제안된 변경 내용을 만들었지만 컨트롤은 여전히 실패합니다.
오류를 해결하기 위한 수정 작업을 수행한 후 ACAT 시간이 제어 상태 대한 업데이트된 평가 결과를 검색하도록 허용하세요. 평가는 미리 결정된 트리거 시간에 따라 24시간마다 수행됩니다.
인증 프로세스에서 규정 준수 보고서는 어떻게 사용합니까?
ACAT는 파트너 센터 와 원활하게 통합되어 Microsoft 365 인증 여정을 완료합니다. 규정 준수 보고서를 사용하여 Microsoft 365 인증을 가속화하는 방법에 대해 자세히 알아보기