Microsoft 365 인증 제출 가이드
이 문서의 내용
- 소개
- 필수 구성 요소
- Microsoft 365 인증 사양 업데이트
- 인증 범위
- 인증 프로세스
- 초기 문서 제출
- 증거 수집 및 평가 활동
- 인증 기준
- Application Security
- 운영 보안
- 데이터 처리 보안 및 개인 정보
- 선택적 외부 규정 준수 프레임워크 검토
- 부록 A
- 부록 B
- 부록 C
- 부록 D
- 부록 E
- 부록 F
- 부록 G
- 자세한 정보
- 용어
소개
Microsoft 365 앱 규정 준수 프로그램의 일부인 Microsoft 365 인증은 타사 개발자 앱/추가 기능을 Microsoft 365 플랫폼에 통합할 때 데이터 및 개인 정보 보호가 적절하게 보호되고 보호된다는 확신과 확신을 기업 조직에 제공합니다. 유효성 검사를 통과하는 애플리케이션 및 추가 기능은 Microsoft 365 에코시스템 전체에서 Microsoft 365 Certified 로 지정됩니다.
Microsoft 365 인증 프로그램에 참여함으로써 귀하는 이러한 추가 약관에 동의하고 Microsoft Corporation("Microsoft", "우리", "우리" 또는 "우리")과 함께 Microsoft 365 인증 프로그램에 참여하는 데 적용되는 모든 관련 설명서를 준수하는 데 동의합니다. 귀하는 본인, 회사 및/또는 기타 법인을 대신하여 본 Microsoft 365 인증 추가 조건을 수락할 권한이 있음을 당사에 대표하고 보증합니다. 당사는 언제든지 이러한 추가 약관을 변경, 수정 또는 종료할 수 있습니다. 변경 또는 수정 후 Microsoft 365 인증 프로그램에 계속 참여한다는 것은 새로운 추가 조건에 동의한다는 것을 의미합니다. 새 추가 약관에 동의하지 않거나 이러한 추가 약관을 종료하는 경우 Microsoft 365 인증 프로그램에 참여하지 않아야 합니다.
이 문서는 ISV(독립 소프트웨어 공급업체)를 대상으로 하여 Microsoft 365 인증 프로세스에 대한 정보, 프로세스를 시작하기 위한 필수 구성 요소 및 ISV가 준비해야 하는 특정 보안 제어의 세부 정보를 제공합니다. Microsoft 365 앱 준수 프로그램의 일반 정보는 Microsoft 365 앱 준수 프로그램 페이지에서 찾을 수 있습니다.
중요
현재 Microsoft 365 인증은 모든 사용자에게 적용됩니다.
- Microsoft Teams 애플리케이션(탭, 봇 등) .
- Sharepoint 앱/추가 기능
- Office 추가 기능(Word, Excel, PowerPoint, Outlook, Project, OneNote)
- Webapps
필수 구성 요소
게시자 증명
Microsoft 365 인증 프로세스를 받기 전에 게시자 증명을 완료해야 합니다. 그러나 게시자 증명을 완료하기 전에 Microsoft 365 인증 프로세스를 시작할 수 있습니다.
Microsoft 365 인증 사양 읽기
Microsoft는 모든 ISV(독립 소프트웨어 공급업체)가 이 Microsoft 365 인증 사양 전체를 읽어 scope 환경 및 앱/추가 기능에서 적용 가능한 모든 컨트롤을 충족하도록 권장합니다. 이렇게 하면 원활한 평가 프로세스를 보장하는 데 도움이 됩니다.
Microsoft 365 인증 사양 업데이트
Microsoft 365 인증 사양에 대한 업데이트 약 6~12개월마다 예상됩니다. 이러한 업데이트는 새로운 대상 보안 도메인 및/또는 보안 제어를 도입할 수 있습니다. 업데이트 개발자 피드백, 위협 환경의 변경 내용 및 프로그램의 보안 기준이 성숙함에 따라 향상됩니다.
이미 Microsoft 365 인증 평가를 시작한 ISV는 평가가 시작될 때 유효한 Microsoft 365 인증 사양 버전으로 평가를 계속할 수 있습니다. 연간 재인증을 포함한 모든 새 제출은 게시된 버전에 대해 평가되어야 합니다.
참고
인증을 받기 위해 이 Microsoft 365 인증 사양 내의 모든 컨트롤을 준수할 필요는 없습니다. 그러나 이 Microsoft 365 인증 사양 내에서 설명하는 각 보안 도메인에 대해 임계값(공개되지 않음)을 전달하는 것이 적용됩니다. 일부 컨트롤은 '하드 실패'로 분류됩니다. 즉, 이러한 보안 컨트롤이 없으면 평가에 실패합니다.
인증 범위
scope 환경은 앱/추가 기능 코드 배달을 지원하고 앱/추가 기능이 통신할 수 있는 모든 백 엔드 시스템을 지원하는 환경입니다. 적절한 세분화가 마련되어 있지 않고 연결된 환경이 scope 환경의 보안에 영향을 줄 수 없는 한 추가 연결 환경도 scope 포함됩니다. 모든 재해 복구 환경은 기본 환경에 어떤 일이 발생해도 서비스를 이행하는 데 필요하므로 평가 scope 포함되어야 합니다. scope 시스템 구성 요소라는 용어는 scope 환경 내에서 사용되는 모든 디바이스 및 시스템을 참조합니다. scope 구성 요소에는 다음이 포함되지만 이에 국한되지는 않습니다.
- 웹 애플리케이션입니다.
- 서버.
- 방화벽(또는 해당).
- 스위치.
- 부하 분산 장치.
- 가상 인프라.
- 클라우드 공급자 웹 관리 포털
중요
scope 환경은 DMZ가 있어야 하며 앱/추가 기능의 지원 환경은 내부 비즈니스 시스템 및 회사 환경에서 분할되어야 하므로 평가 활동의 scope scope 시스템으로만 제한해야 합니다. 인증 분석가는 평가 중에 세분화 기술의 유효성을 검사하고 사용 중인 세분화 기술의 유효성을 검사하는 테스트를 포함해야 하는 침투 테스트 보고서를 검토합니다.
IaaS(Infrastructure as a Service), PaaS(Platform as a Service) 및 SaaS(Software as a Service)
IaaS 및/또는 PaaS를 사용하여 검토 중인 애플리케이션 또는 추가 기능 코드 배달의 인프라를 지원하는 경우 클라우드 플랫폼 공급자는 인증 프로세스 전반에 걸쳐 평가되는 일부 보안 제어를 담당합니다. 따라서 인증 분석가는 [PCI DSS] AOC(규정 준수 증명), ISO27001 또는 [SOC 2] 형식 II 보고서와 같은 외부 규정 준수 보고서를 통해 클라우드 플랫폼 공급자의 보안 모범 사례에 대한 독립적인 외부 확인을 제공해야 합니다.
부록 F는 다음 배포 유형과 앱/추가 기능이 Microsoft 365 데이터를 반출하는지 여부에 따라 적용할 수 있는 보안 컨트롤에 대한 세부 정보를 제공합니다.
- ISV 호스팅
- IaaS 호스트
- PaaS/서버리스 호스트
- 하이브리드 호스팅
- 공유 호스트됨
IaaS 또는 PaaS가 배포되는 경우 이러한 배포 유형 내에서 호스팅되는 환경의 증거를 제공해야 합니다.
샘플링
인증 평가를 지원하는 증거 요청은 다양한 운영 체제, 디바이스의 기본 기능 및 다양한 디바이스 유형을 고려하여 scope 내 시스템 구성 요소의 샘플을 기반으로 해야 합니다. 인증 프로세스가 시작될 때 적합한 샘플이 선택됩니다. 다음 표는 샘플 크기가 무엇인지에 대한 가이드로 사용해야 합니다.
| 모집단 크기 | 샘플 |
|---|---|
| <5 | 1 |
| >5 & <10 | 2 |
| >9 & <25 | 3 |
| >24 | 4 |
참고
초기 샘플에 포함된 디바이스 간에 불일치가 확인되면 평가 중에 샘플 크기가 증가할 수 있습니다.
인증 프로세스
인증 프로세스를 시작하기 전에 게시자 증명을 성공적으로 완료해야 합니다. 완료되면 Microsoft 365 인증 프로세스가 다음과 같이 진행됩니다.
준비
- 파트너 센터로 이동하여 완료된 게시자 증명 설명서를 검토합니다. 필요한 경우 응답을 편집하고 업데이트할 수 있습니다. 그러나 이렇게 하는 경우 승인을 위해 증명 설명서를 다시 제출해야 합니다. 제출이 3개월보다 오래된 경우 검토 및 유효성 검사를 위해 게시자 증명을 다시 제출해야 합니다.
- 필요한 사항을 이해하려면 Microsoft 365 인증 제출 가이드 를 주의 깊게 읽어보세요. Microsoft 365 인증 제출 가이드에 지정된 제어 요구 사항을 충족할 수 있는지 확인합니다.
- 파트너 센터 내에서 "인증 시작"을 선택합니다. 그러면 초기 문서 제출 포털로 이동합니다. 초기 문서 제출을 제출합니다. 이렇게 하면 앱이 설계되고 고객 데이터를 처리하는 방법에 따라 평가에 scope 사항을 결정하는 데 도움이 됩니다. 제출이 수락되었는지 확인하려면 이 페이지를 자주 확인하세요.
참고
모든 Office 앱의 경우 Office 앱 사용자 가이드를 참조할 수 있습니다. 모든 WebApps에 대해 SaaS 앱 사용자 가이드를 참조할 수 있습니다.
평가
- 초기 문서 제출이 수락되면 앱에 필요한 보안 컨트롤 집합이 포털에 자동으로 표시됩니다. 그런 다음 컨트롤이 제자리에 있음을 보여주는 각 컨트롤에 대한 증거를 제출해야 합니다. 모든 증거를 제출하는 데 60일이 주어집니다. 분석가는 증거를 검토하고 제어를 승인하거나 새 증거 또는 추가 증거를 요청합니다. 이 페이지를 자주 확인하여 증거가 수락되었는지 확인합니다.
인증
- 분석가가 제출의 유효성을 검사하면 인증 결정에 대한 알림이 표시됩니다. 인증을 받은 앱은 AppSource 및 Microsoft 문서 페이지 내에서 해당 애플리케이션에 배지를 받게 됩니다. 여기에서 인증의 모든 이점에 대해 읽을 수 있습니다.
검토 및 재인증
애플리케이션이 어느 시점에서든 중요한 변경을 겪는 경우 Microsoft에 알려야 합니다.
또한 매년 재인증을 통과해야 합니다. 이렇게 하려면 현재 환경에 대해 scope 내 컨트롤의 유효성을 다시 검사해야 합니다. 이 프로세스는 인증이 만료되기 최대 90일 전에 시작할 수 있습니다. 기존 인증은 재인증 기간 동안 만료되지 않습니다. 모든 프로그램의 재인증은 Microsoft 365 인증 1주년을 맞아 만료됩니다.
만료 날짜 이전에 인증이 갱신되지 않으면 앱 인증 상태 해지됩니다. 모든 배딩, 아이콘 및 관련 인증 브랜딩이 앱에서 제거되고 Microsoft 365 Certified로 앱을 광고하는 것이 금지됩니다.
중요
제출 시간 프레임: 제출 상태 자주 검사 수 있고 적시에 의견 및 추가 증거 요청에 응답할 수 있는 경우 평균적으로 평가 프로세스에는 30일이 소요될 것으로 예상됩니다. 인증 프로세스를 시작하면 평가를 완료하는 데 최대 60일이 허용됩니다. 모든 제출이 60일 기간 내에 완료되지 않은 경우 제출이 실패하고 프로세스가 다시 시작되어야 합니다. 이러한 결과는 공개되지 않습니다.
초기 문서 제출
초기 문서 제출은 인증 분석가가 범위 지정을 수행하고 평가에 scope 내용을 결정하는 데 도움이 됩니다. 그 후에는 평가를 수행하는 데 사용되는 지원 설명서와 증거를 제출해야 합니다. 초기 제출에는 아래에 지정된 정보가 포함되어야 합니다. 추가 지침은 초기 문서 제출 가이드를 참조하세요.
| 설명서 개요 | 설명서 세부 정보 |
|---|---|
| 앱/추가 기능 설명 | 앱/추가 기능의 용도 및 기능에 대한 설명입니다. 이렇게 하면 인증 분석가가 앱/추가 기능의 기능과 용도를 잘 이해할 수 있어야 합니다. |
| 침투 테스트 보고서 | 침투 테스트 보고서는 지난 12개월 이내에 완료되었습니다. 이 보고서에는 앱/추가 기능의 작업을 지원하는 추가 환경과 함께 앱/추가 배포를 지원하는 환경이 포함되어야 합니다. 참고: 연간 침투 테스트를 수행하지 않는 경우 인증 프로세스를 통해 수행하도록 선택할 수 있습니다. |
| 아키텍처 다이어그램 | 앱/추가 기능의 지원 인프라에 대한 개략적인 개요를 나타내는 논리 아키텍처 다이어그램입니다. 여기에는 모든 호스팅 환경과 앱/추가 기능을 지원하는 지원 인프라가 포함되어야 합니다. 이 다이어그램은 인증 분석가가 scope 시스템을 이해하고 샘플링을 결정하는 데 도움이 되도록 환경 내의 다양한 지원 시스템 구성 요소를 보여 주어야 합니다. 사용되는 호스팅 환경 유형도 지정하세요. ISV Hosted, IaaS, PaaS 또는 Hybrid. 참고: SaaS가 사용되는 경우 환경 내에서 지원 서비스를 제공하는 데 사용되는 다양한 SaaS 서비스를 지정하세요. |
| 공용 공간 | 지원 인프라에서 사용하는 모든 공용 IP 주소 및 URL을 자세히 설명합니다. 사용 중인 범위를 분할하기 위해 적절한 세분화가 구현되지 않은 한 환경에 할당된 전체 라우팅 가능한 IP 범위를 포함해야 합니다(적절한 분할 증거가 필요함). |
| 데이터 흐름 다이어그램 | 다음을 자세히 설명하는 흐름 다이어그램: |
| ✓ Microsoft 365 데이터는 앱/추가 기능( EUII 및 OII 포함)을 오가는 흐름입니다. | |
| ✓ 지원 인프라 내에서 Microsoft 365 데이터 흐름(해당하는 경우) | |
| ✓ 데이터가 저장되는 위치와 내용, 외부 제3자에게 데이터가 전달되는 방식(제3자의 세부 정보 포함) 및 공개/공용 네트워크 및 미사용 데이터를 전송하는 동안 데이터가 보호되는 방식을 강조 표시하는 다이어그램 | |
| API 엔드포인트 세부 정보 | 앱에서 사용하는 모든 API 엔드포인트의 전체 목록입니다. 환경 scope 이해하는 데 도움이 되도록 환경 내에서 API 엔드포인트 위치를 제공합니다. |
| Microsoft API 권한 | 요청된 권한에 대한 근거와 함께 앱/추가 기능이 작동하도록 요청되는 권한과 함께 사용되는 모든 Microsoft API를 자세히 설명하는 설명서를 제공합니다. |
| 데이터 스토리지 유형 | 다음을 설명하는 데이터 스토리지 및 처리 문서: |
| ✓ 고객 Microsoft 365 Data EUII 및 OII 가 수신 및 저장되는 범위까지 | |
| ✓ 데이터 보존 기간입니다. | |
| ✓ 고객 Microsoft 365 데이터가 캡처되는 이유 | |
| ✓ 고객 Microsoft 365 데이터가 저장되는 위치(위에서 제공된 데이터 흐름 다이어그램에 포함되어야 합니다). | |
| 규정 준수 확인 | 게시자 증명 제출에 포함되거나 Microsoft 365 인증 컨트롤을 검토할 때 고려할 외부 보안 프레임워크에 대한 지원 설명서입니다. 현재 다음 세 가지가 지원됩니다. |
| ✓ PCI DSS 준수 증명(AOC). | |
| ✓ SOC 2 유형 I / 유형 II 보고서. | |
| ✓ ISMS / IEC - 1S0/IEC 27001 SoA(적용 가능성 설명) 및 인증. | |
| 웹 종속성 | 현재 실행 중인 버전과 함께 앱/추가 기능에서 사용하는 모든 종속성을 나열하는 설명서입니다. |
| 소프트웨어 인벤토리 | 버전과 함께 scope 환경 내에서 사용되는 모든 소프트웨어를 포함하는 최신 소프트웨어 인벤토리입니다. |
| 하드웨어 인벤토리 | 지원 인프라에서 사용하는 최신 하드웨어 인벤토리입니다. 평가 단계를 수행할 때 샘플링에 도움이 되는 데 사용됩니다. 사용자 환경에 PaaS가 포함된 경우 사용된 서비스의 세부 정보를 제공합니다. |
증거 수집 및 평가 활동
인증 분석가는 정의된 샘플 집합 내의 모든 시스템 구성 요소에서 증거를 검토해야 합니다. 평가 프로세스를 지원하는 데 필요한 증거 유형에는 다음 중 어느 것 또는 전부가 포함됩니다.
증거 수집
- 위의 초기 설명서 제출 섹션에 강조 표시된 초기 설명서
- 정책 문서
- 문서 처리
- 시스템 구성 설정
- 티켓 변경
- 컨트롤 레코드 변경
- 시스템 보고서
평가 프로세스를 완료하는 데 필요한 증거를 수집하는 데 다양한 방법이 사용됩니다. 이 증거 수집은 다음과 같은 형식일 수 있습니다.
- 문서
- 스크린샷
- 인터뷰
- 화면 공유
사용된 증거 수집 기술은 평가 프로세스 중에 결정됩니다. 제출에 필요한 증거 유형의 구체적인 예는 샘플 증거 가이드를 참조하세요.
평가 활동
인증 분석가는 사용자가 제공한 증거를 검토하여 이 Microsoft 365 인증 사양 내에서 제어를 적절하게 충족했는지 확인합니다.
가능한 경우 및 평가를 완료하는 데 필요한 시간을 줄이기 위해 초기 설명서 제출 에 자세히 설명된 설명서의 전부 또는 전부를 미리 제공해야 합니다.
인증 분석가는 먼저 초기 문서 제출 및 게시자 증명 정보에서 제공된 증거를 검토하여 적절한 문의 줄, 샘플링 크기 및 위에서 자세히 설명한 대로 추가 증거를 얻을 필요성을 식별합니다. 인증 분석가는 수집된 모든 정보를 분석하여 이 Microsoft 365 인증 사양 내에서 컨트롤을 충족하는 방법과 경우에 대한 결론을 도출합니다.
앱 인증 기준
앱, 지원 인프라 및 지원 설명서는 다음 보안 도메인에서 평가됩니다.
이러한 각 보안 도메인에는 평가 프로세스의 일부로 평가될 하나 이상의 특정 요구 사항을 포함하는 특정 키 컨트롤이 포함됩니다. Microsoft 365 인증이 모든 규모의 개발자에게 포함되도록 하기 위해 각 보안 도메인은 점수 매기기 시스템을 사용하여 평가되어 각 도메인의 전체 점수를 결정합니다. 각 Microsoft 365 인증 컨트롤에 대한 점수는 해당 컨트롤이 충족되지 않는 것으로 인식된 위험에 따라 1(낮음)에서 3(높음) 사이에 할당됩니다. 각 보안 도메인에는 통과로 간주되는 최소 백분율 표시가 있습니다. 이 사양의 특정 요소에는 다음과 같은 몇 가지 자동 실패 조건이 포함됩니다.
- 최소 권한 원칙(PoLP)을 따르지 않는 API 권한입니다.
- 필요한 경우 침투 테스트 보고서가 없습니다.
- 맬웨어 방지 방어 없음
- 다단계 인증은 관리 액세스를 보호하는 데 사용되지 않습니다.
- 패치 프로세스가 없습니다.
- 적절한 GDPR 개인 정보 보호 알림이 없습니다.
Application Security
애플리케이션 보안 도메인은 다음 세 가지 영역에 중점을 둡니다.
- GraphAPI 권한 유효성 검사
- 외부 연결 검사
- 애플리케이션 보안 테스트
GraphAPI 권한 유효성 검사
GraphAPI 권한 유효성 검사는 앱/추가 기능이 지나치게 허용된 권한을 요청하지 않는지 유효성을 검사하기 위해 수행됩니다. 이 작업은 요청된 권한을 수동으로 확인하여 수행됩니다. 인증 분석가는 게시자 증명 제출에 대해 이러한 검사를 상호 참조하고 요청되는 액세스 수준을 평가하여 '최소 권한' 관행이 충족되는지 확인합니다. 인증 분석가가 이러한 '최소 권한' 관행이 충족되지 않는다고 생각하는 경우 인증 분석가는 요청되는 권한에 대한 비즈니스 근거의 유효성을 검사하기 위해 공개 토론을 진행합니다. 이 검토 중에 발견된 게시자 증명 제출에 대한 불일치는 게시자 증명을 업데이트할 수 있도록 피드백을 받습니다.
외부 연결 검사
평가의 일환으로 분석가는 애플리케이션 기능에 대한 간단한 연습을 수행하여 Microsoft 365 외부의 연결을 식별합니다. Microsoft 또는 서비스에 대한 직접 연결로 식별되지 않은 모든 연결은 평가 중에 플래그가 지정되고 논의됩니다.
애플리케이션 보안 테스트
앱/추가 기능 및 지원 환경과 관련된 위험을 적절히 검토하는 것은 고객에게 앱/추가 기능의 보안에 대한 보증을 제공하는 데 필수적입니다. 애플리케이션이 Microsoft에서 게시하지 않은 서비스에 대한 연결이 있는 경우 침투 테스트 형식의 애플리케이션 보안 테스트를 수행해야 합니다. 앱이 타사 서비스 또는 백 엔드에 연결하지 않고 독립 실행형으로 작동하는 경우 침투 테스트가 필요하지 않습니다.
침투 테스트 범위
침투 테스트 작업은 앱/추가 기능의 배포를 지원하는 라이브 프로덕션 환경에서(예: 앱/추가 기능 코드가 일반적으로 매니페스트 파일 내의 리소스가 되는 호스트되는 경우) 앱/추가 기능의 작업을 지원하는 추가 환경(예: 앱/추가 기능이 Microsoft 365 외부의 다른 웹 애플리케이션과 협상하는 경우)에서 수행해야 합니다 . scope 정의할 때는 scope 환경의 보안에 영향을 미칠 수 있는 "연결된" 시스템 또는 환경도 모든 침투 테스트 활동에 포함되도록 주의해야 합니다.
기술이 다른 환경에서 scope 환경을 분할하는 데 사용되는 경우 침투 테스트 활동은 해당 세분화 기술의 효과를 검증해야 합니다. 이 내용은 침투 테스트 보고서 내에서 자세히 설명해야 합니다.
침투 테스트 보고서를 검토하여 아래 컨트롤에 설명된 다음 자동 실패 조건을 충족하는 취약성이 없는지 확인합니다.
침투 테스트 요구 사항
| 조건 유형 | 침투 테스트 컨트롤 |
|---|---|
| 일반 조건 | 컨트롤 |
| 애플리케이션 및 인프라 침투 테스트는 매년(12개월마다) 수행해야 하며 평판이 좋은 독립 회사에서 수행해야 합니다 . | |
| 확인된 위험 및 고위험 취약성의 수정은 침투 테스트가 끝난 후 1개월 이내에 또는 문서화된 패치 프로세스에 따라 더 빨리 완료 해야 합니다 . | |
| 전체 외부 공간(IP 주소, URL, API 엔드포인트 등) 침투 테스트 scope 포함되어야 하며 침투 테스트 보고서 내에 문서화되어야 합니다. | |
| 웹 애플리케이션 침투 테스트에는 모든 취약성 클래스가 포함되어야 합니다. 예를 들어 최신 OWASP 상위 10개 또는 SANS 상위 25개 CWE가 있습니다. | |
| 침투 테스트 회사에서 식별된 취약성을 다시 테스트할 필요는 없습니다. 수정 및 자체 검토는 충분하지만 평가 중에 충분한 수정을 입증할 수 있는 적절한 증거를 제공해야 합니다 . | |
| 자동 실패 조건: | 컨트롤 |
| 지원되지 않는 운영 체제가 있습니다. | |
| 기본, 열거 가능 또는 추측 가능한 관리 계정의 존재 | |
| SQL 삽입 위험이 있습니다. | |
| 사이트 간 스크립팅이 있습니다. | |
| 디렉터리 통과(파일 경로) 취약성이 있습니다. | |
| HTTP 취약성(예: 헤더 응답 분할, 밀수 요청 및 비동기 공격)이 있습니다. | |
| 소스 코드 공개( LFI 포함)의 존재. | |
| CVSS 패치 관리 지침에 정의된 모든 중요 또는 높은 점수입니다. | |
| 대량의 EUII 또는 OUI를 손상하기 위해 쉽게 악용될 수 있는 중요한 기술적 취약성입니다. |
중요
보고서는 애플리케이션 보안 테스트 사양 섹션에 자세히 설명된 모든 것을 보여 줄 수 있는 충분한 보증을 제공할 수 있어야 합니다.
무료 침투 테스트 요구 사항 및 규칙
- 현재 침투 테스트에 참여하지 않는 ISV의 경우 Microsoft 365 인증을 무료로 침투 테스트를 수행할 수 있습니다. Microsoft는 수동 테스트의 최대 12일 동안 침투 테스트 비용을 준비하고 처리합니다. 침투 테스트 비용은 환경을 테스트하는 데 필요한 일 수를 기준으로 계산됩니다. 테스트 12일을 초과하는 비용은 ISV의 책임입니다.
- ISV는 침투 테스트를 수행하기 전에 증거를 제출하고 scope 내 컨트롤의 50%에 대한 승인을 받아야 합니다. 시작하려면 초기 문서 제출을 작성하고 침투 테스트를 평가의 일부로 포함하도록 선택합니다. 컨트롤의 50%를 완료하면 scope 침투 테스트를 예약하라는 연락을 받게 됩니다.
- 펜테스트가 완료되면 발급된 보고서는 인증을 완료하면 ISV에 제공됩니다. Microsoft 365 인증과 함께 이 보고서는 잠재 고객에게 환경이 안전하다는 것을 표시하는 데 사용할 수 있습니다.
- 또한 ISV는 인증이 부여되기 전에 침투 테스트에서 확인된 취약성이 수정되었음을 입증할 책임이 있지만 클린 보고서를 생성할 필요는 없습니다.
침투 테스트가 준비되면 ISV는 다음과 같이 일정 조정 및 취소와 관련된 수수료를 담당합니다.
| 요금 일정 조정 일정 조정 | 지급액 비율 |
|---|---|
| 예약된 시작 날짜 30일 전에 다시 예약된 요청이 수신되었습니다. | 0% 지불 |
| 예약된 시작 날짜 8~30일 전에 다시 예약된 요청이 수신되었습니다. | 25% 지불 |
| 회사 재예약 날짜로 예약된 시작 날짜 2~7일 전에 받은 요청을 다시 예약합니다. | 50% 지급 |
| 다시 예약 요청이 시작 날짜 2일 전에 수신되었습니다. | 100% 지급 |
| 취소 요금 시간 표시줄 | 지급액 비율 |
|---|---|
| 예약된 시작 날짜 30일 전에 취소 요청이 수신되었습니다. | 25% 지불 |
| 예약된 시작 날짜 8~30일 전에 취소 요청을 받았습니다. | 50% 지급 |
| 예약된 시작 날짜 7일 전에 취소 요청이 수신되었습니다. | 90% 지급 |
운영 보안
이 도메인은 앱의 지원 인프라 및 배포 프로세스와 보안 모범 사례의 맞춤을 측정합니다.
컨트롤
| 컨트롤 패밀리 | 컨트롤 |
|---|---|
| 맬웨어 보호 - 바이러스 백신 | 바이러스 백신 사례 및 절차를 제어하는 정책 설명서를 제공합니다. |
| 바이러스 백신 소프트웨어가 샘플링된 모든 시스템 구성 요소에서 실행되고 있다는 입증할 수 있는 증거를 제공합니다. | |
| 바이러스 백신 서명이 모든 환경(1일 이내)에서 최신 상태라는 입증 가능한 증거를 제공합니다. | |
| 바이러스 백신이 모든 샘플링된 시스템 구성 요소에서 액세스 시 검사 또는 주기적인 검사를 수행하도록 구성되어 있음을 입증할 수 있는 증거를 제공합니다. 참고: 액세스 시 검사를 사용하도록 설정하지 않은 경우 최소 일일 검사 및 경고를 사용하도록 설정해야 합니다. | |
| 바이러스 백신이 샘플링된 모든 시스템 구성 요소에서 맬웨어 또는 격리 및 경고를 자동으로 차단하도록 구성되어 있음을 입증할 수 있는 증거를 제공합니다. | |
| 애플리케이션 제어: 기존 맬웨어 방지가 사용되지 않는 경우에만 필요합니다. | 애플리케이션이 배포되기 전에 승인되었다는 입증 가능한 증거를 제공합니다. |
| 비즈니스 정당성이 있는 승인된 애플리케이션의 전체 목록이 존재하고 유지 관리된다는 입증 가능한 증거를 제공합니다. | |
| 애플리케이션 제어 소프트웨어가 특정 애플리케이션 제어 메커니즘을 충족하도록 구성되어 있음을 자세히 설명하는 지원 설명서를 제공합니다. (예: 허용된 목록: sample1, sample3, 코드 서명) | |
| 애플리케이션 제어가 모든 샘플링된 시스템 구성 요소에서 문서화된 대로 구성되었다는 입증 가능한 증거를 제공합니다. | |
| 패치 관리 - 위험 순위 | 새 보안 취약성을 식별하고 위험 점수를 할당하는 방법을 제어하는 정책 설명서를 제공합니다. |
| 새 보안 취약성이 식별되는 방법에 대한 증거를 제공합니다. | |
| 모든 취약성이 식별되면 위험 순위가 할당됨을 보여 주는 증거를 제공합니다. | |
| 패치 관리 - 패치 | 위험, 높음 및 중간 위험 취약성에 적합한 최소 패치 기간을 포함하고 지원되지 않는 운영 체제 및 소프트웨어의 서비스 해제를 포함하는 scope 내 시스템 구성 요소의 패치에 대한 정책 설명서를 제공합니다. |
| 샘플링된 모든 시스템 구성 요소가 패치되고 있다는 입증 가능한 증거를 제공합니다. | |
| 지원되지 않는 운영 체제 및 소프트웨어 구성 요소가 환경 내에서 사용되지 않는다는 입증 가능한 증거를 제공합니다. | |
| 취약성 검사 | 분기별 인프라 및 웹 애플리케이션 취약성 검사 보고서를 제공합니다. 전체 공용 공간(IP 주소 및 URL) 및 내부 IP 범위에 대해 검사를 수행해야 합니다. |
| 취약성 검사 중에 식별된 취약성의 수정이 문서화된 패치 기간에 따라 패치된다는 입증 가능한 증거를 제공합니다. | |
| 방화벽 | 방화벽 관리 사례 및 절차를 제어하는 정책 설명서를 제공합니다. |
| 프로덕션 환경에 설치하기 전에 모든 기본 관리 자격 증명이 변경되었다는 입증할 수 있는 증거를 제공합니다. | |
| 방화벽이 scope 환경의 경계에 설치되고 경계 네트워크(DMZ, 비무장지대 및 스크린된 서브넷이라고도 함) 및 내부 신뢰할 수 있는 네트워크 사이에 설치된다는 입증 가능한 증거를 제공합니다. | |
| 모든 공용 액세스가 비무장지대(DMZ)에서 종료된다는 입증할 수 있는 증거를 제공합니다. | |
| 방화벽을 통해 허용되는 모든 트래픽이 승인 프로세스를 거치는 것을 입증할 수 있는 증거를 제공합니다. | |
| 방화벽 규칙 기반이 명시적으로 정의되지 않은 트래픽을 삭제하도록 구성되었다는 입증할 수 있는 증거를 제공합니다. | |
| 방화벽이 모든 비 콘솔 관리 인터페이스에서 강력한 암호화만 지원한다는 입증할 수 있는 증거를 제공합니다. | |
| 적어도 6개월마다 방화벽 규칙 검토를 수행하고 있다는 입증 가능한 증거를 제공합니다. | |
| WAF(Web Application Firewall(선택 사항): 다음 컨트롤을 충족하면 추가 크레딧이 지급됩니다. | WAF(Web Application Firewall)가 악의적인 트래픽을 적극적으로 모니터링, 경고 및 차단하도록 구성되었다는 입증 가능한 증거를 제공합니다. |
| WAF가 SSL 오프로드를 지원한다는 입증할 수 있는 증거를 제공합니다. | |
| WAF가 OWASP 핵심 규칙 집합(3.0 또는 3.1)에 따라 다음 취약성의 일부 또는 전부로부터 보호된다는 입증 가능한 증거를 제공합니다. | |
| 컨트롤 변경 | 변경 제어 프로세스를 제어하는 정책 설명서를 제공합니다. |
| 개발 및 테스트 환경이 프로덕션 환경과 의무를 분리하는 것을 시행한다는 입증 가능한 증거를 제공합니다. | |
| 중요한 프로덕션 데이터가 개발 또는 테스트 환경 내에서 사용되지 않는다는 입증 가능한 증거를 제공합니다. | |
| 문서화된 변경 요청에 변경의 영향, 백아웃 절차의 세부 정보 및 수행할 테스트가 포함되어 있음을 입증할 수 있는 증거를 제공합니다. | |
| 변경 요청이 권한 부여 및 로그아웃 프로세스를 거치는 것을 입증할 수 있는 증거를 제공합니다. | |
| 보안 소프트웨어 개발/배포 | OWASP 상위 10개 또는 SANS 상위 25개 CWE와 같은 일반적인 취약성 클래스에 대한 보안 코딩 모범 사례 지침을 포함하여 보안 소프트웨어 개발 및 배포를 지원하는 정책 및 절차를 제공합니다. |
| 코드 변경이 두 번째 검토자가 검토 및 권한 부여 프로세스를 거치는 것을 입증할 수 있는 증거를 제공합니다. | |
| 개발자가 매년 보안 소프트웨어 개발 교육을 받는다는 입증 가능한 증거를 제공합니다. | |
| 코드 리포지토리가 MFA(다단계 인증)로 보호된다는 입증 가능한 증거를 제공합니다. | |
| 코드 리포지토리를 보호하기 위해 액세스 제어가 마련되어 있다는 입증 가능한 증거를 제공합니다. | |
| 계정 관리 | 계정 관리 사례 및 절차를 제어하는 정책 설명서를 제공합니다. |
| 기본 자격 증명이 샘플링된 시스템 구성 요소에서 비활성화, 제거 또는 변경되었음을 입증할 수 있는 증거를 제공합니다. | |
| 계정 생성, 수정 및 삭제가 설정된 승인 프로세스를 거치는 것을 입증할 수 있는 증거를 제공합니다. | |
| 3개월 이내에 사용되지 않는 계정을 사용하지 않도록 설정하거나 삭제하는 프로세스가 마련되어 있음을 입증할 수 있는 증거를 제공합니다. | |
| 강력한 암호 정책 또는 사용자 자격 증명을 보호하기 위한 기타 적절한 완화 방법이 마련되었다는 입증 가능한 증거를 제공합니다. 최소 지침으로 사용해야 합니다. 최소 암호 길이 8자, 10회 이하의 계정 잠금 임계값, 최소 5개 암호의 암호 기록, 강력한 암호 사용 적용 | |
| 고유한 사용자 계정이 모든 사용자에게 발급된다는 입증 가능한 증거를 제공합니다. | |
| 환경 내에서 최소 권한 원칙이 준수되고 있다는 입증 가능한 증거를 제공합니다. | |
| 서비스 계정을 보호하거나 강화하기 위한 프로세스가 마련되어 있으며 프로세스가 수행되고 있다는 입증 가능한 증거를 제공합니다. | |
| MFA가 모든 원격 액세스 연결 및 모든 비 콘솔 관리 인터페이스에 대해 구성되었다는 입증 가능한 증거를 제공합니다. | |
| 모든 코드 리포지토리 및 클라우드 관리 인터페이스에 대한 액세스를 포함하여 모든 원격 액세스 연결 및 모든 비 콘솔 관리 인터페이스에 대해 강력한 암호화가 구성되어 있음을 입증할 수 있는 증거를 제공합니다. | |
| MFA가 모든 DNS(공용 도메인 이름 서비스) 레코드를 관리하고 유지 관리하는 데 사용하는 관리 포털을 보호하는 데 사용된다는 입증 가능한 증거를 제공합니다. | |
| 침입 감지 및 방지(선택 사항): 다음 컨트롤을 충족하면 추가 크레딧이 보상됩니다. | IDPS(침입 탐지 및 방지 시스템)가 scope 환경의 경계에 배포되었다는 입증 가능한 증거를 제공합니다. |
| IDPS 서명이 24시간 이내에 최신 상태로 유지된다는 입증 가능한 증거를 제공합니다. | |
| IDPS가 들어오는 모든 웹 트래픽의 TLS 검사를 지원하도록 구성되었다는 입증 가능한 증거를 제공합니다. | |
| IDPS가 모든 인바운드 트래픽 흐름을 모니터링하도록 구성되었다는 입증 가능한 증거를 제공합니다. | |
| IDPS가 모든 아웃바운드 트래픽 흐름을 모니터링하도록 구성되었다는 입증 가능한 증거를 제공합니다. | |
| 보안 이벤트 로깅 | 보안 이벤트 로깅을 제어하는 모범 사례 및 절차에 대한 정책 설명서를 제공합니다. |
| 시스템 구성 요소 및 애플리케이션에 대한 사용자 액세스, 높은 권한의 사용자가 수행한 모든 작업, 잘못된 논리 액세스 시도 권한 있는 계정 만들기 또는 수정, 이벤트 로그 변조, 보안 도구 사용 안 함(예: 맬웨어 방지 또는 이벤트 로깅) 이벤트를 기록하기 위해 샘플링된 모든 시스템 구성 요소에서 보안 이벤트 로깅이 설정되었음을 보여 주는 입증 가능한 증거를 제공합니다. 맬웨어 방지 로깅(예: 업데이트, 맬웨어 검색 및 검사 실패)., IDPS 및 WAF 이벤트(구성된 경우) | |
| 기록된 보안 이벤트에 사용자, 이벤트 유형, 날짜 및 시간, 성공 또는 실패 표시기, 영향을 받는 시스템을 식별하는 레이블과 같은 최소 정보가 포함되어 있음을 입증할 수 있는 증거를 제공합니다. | |
| 샘플링된 모든 시스템 구성 요소가 동일한 주 및 보조 서버에 시간 동기화된다는 입증 가능한 증거를 제공합니다. | |
| 공용 시스템이 사용 중일 때 보안 이벤트 로그가 경계 네트워크 내에 없는 중앙 집중식 로깅 솔루션으로 전송되고 있음을 입증할 수 있는 증거를 제공합니다. | |
| 중앙 집중식 로깅 솔루션이 로깅 데이터의 무단 변조로부터 보호된다는 것을 보여 주는 입증할 수 있는 증거를 제공합니다. | |
| 최소 30일의 보안 이벤트 로깅 데이터를 즉시 사용할 수 있으며 90일의 보안 이벤트 로그가 유지된다는 입증 가능한 증거를 제공합니다. | |
| 보안 이벤트 로그 검토 | 로그 검토 사례 및 절차를 제어하는 정책 설명서를 제공합니다. |
| 잠재적인 보안 이벤트를 식별하기 위해 사용자 또는 자동화된 도구에서 로그를 매일 검토한다는 입증 가능한 증거를 제공합니다. | |
| 잠재적인 보안 이벤트 및 변칙이 조사 및 수정된다는 입증 가능한 증거를 제공합니다. | |
| 경고 | 보안 이벤트 경고 사례 및 절차를 제어하는 정책 설명서를 제공합니다. |
| 권한 있는 계정 생성 또는 수정, 바이러스 또는 맬웨어 이벤트, 이벤트 로그 변조, IDPS 또는 WAF 이벤트와 같은 유형의 보안 이벤트에 대한 즉각적인 심사를 위해 경고가 트리거된다는 입증할 수 있는 증거를 제공합니다. | |
| 직원이 항상 하루 종일 보안 경고에 응답할 수 있음을 보여주는 입증 가능한 증거를 제공합니다. | |
| 리스크 관리 | 공식적인 정보 보안 위험 관리 프로세스가 설정되었다는 입증 가능한 증거를 제공합니다. |
| 최소한 공식적인 위험 평가가 매년 발생한다는 입증 가능한 증거를 제공합니다. | |
| 정보 보안 위험 평가에 위협, 취약성 또는 이와 동등한 항목이 포함되어 있다는 입증할 수 있는 증거를 제공합니다. | |
| 정보 보안 위험 평가에 영향, 가능성 위험 매트릭스 또는 해당 항목이 포함된다는 입증할 수 있는 증거를 제공합니다. | |
| 정보 보안 위험 평가에 위험 등록 및 치료 계획이 포함되어 있다는 입증할 수 있는 증거를 제공합니다. | |
| 사고 대응 | IRP(보안 인시던트 대응 계획)를 제공합니다. |
| 보안 IRP에 결제 브랜드 및 인수자, 규제 기관, 감독 기관, 이사 및 고객과 같은 주요 이해 관계자에게 적시에 알림을 보장하기 위해 문서화된 통신 프로세스가 포함되어 있다는 입증 가능한 증거를 제공합니다. | |
| 인시던트 대응 팀의 모든 구성원이 연간 교육 또는 테이블 상위 연습을 완료했다는 입증할 수 있는 증거를 제공합니다. | |
| 학습된 교훈 또는 조직 변경 내용에 따라 보안 IRP가 업데이트됨을 보여 주는 입증할 수 있는 증거를 제공합니다. |
데이터 처리 보안 및 개인 정보
애플리케이션 사용자, 중간 서비스 및 ISV 시스템 간의 전송 중인 데이터는 최소 TLS v1.1을 지원하는 TLS 연결을 통해 암호화를 통해 보호되어야 합니다. 부록 A를 참조하세요.
애플리케이션이 Microsoft 365 데이터를 검색하고 저장하는 경우 부록 B에 정의된 사양을 따르는 데이터 스토리지 암호화 체계를 구현해야 합니다.
컨트롤
| 컨트롤 패밀리 | 컨트롤 |
|---|---|
| 전송 중인 데이터 | TLS 구성이 TLS 프로필 구성 요구 사항 내에서 암호화 요구 사항을 충족하거나 초과한다는 입증 가능한 증거를 제공합니다. |
| 웹 요청을 처리하는 모든 공용 서비스에서 TLS 압축이 사용하지 않도록 설정되어 있음을 입증할 수 있는 증거를 제공합니다. | |
| 모든 사이트에서 TLS HTTP 엄격한 전송 보안이 사용하도록 설정되고 = 15552000으로 구성 >되었다는 입증 가능한 증거를 제공합니다. | |
| 미사용 데이터 | AES, Blowfish, TDES 및 128비트 및 256비트 암호화 키 크기와 같은 암호화 알고리즘을 사용하여 미사용 데이터가 암호화 프로필 요구 사항에 따라 인라인으로 암호화된다는 입증 가능한 증거를 제공합니다. |
| 해시 함수 또는 메시지 인증(HMAC-SHA1)이 암호화 프로필 요구 사항과 함께 미사용 데이터를 인라인으로 보호하는 데만 사용된다는 입증 가능한 증거를 제공합니다. | |
| 스토리지 위치 및 데이터를 보호하는 데 사용되는 암호화를 포함하여 저장된 모든 데이터를 보여 주는 인벤토리를 제공합니다. | |
| 데이터 보존 및 삭제 | 승인되고 문서화된 데이터 보존 기간이 공식적으로 설정되었다는 입증 가능한 증거를 제공합니다. |
| 보존된 데이터가 정의된 보존 기간과 일치하는 입증 가능한 증거를 제공합니다. | |
| 보존 기간 이후에 데이터를 안전하게 삭제하기 위한 프로세스가 마련되어 있다는 입증 가능한 증거를 제공합니다. | |
| 데이터 액세스 관리 | 비즈니스 근거를 포함하여 데이터 또는 암호화 키에 액세스할 수 있는 모든 개인 목록을 제공합니다. |
| 데이터 또는 암호화 키에 액세스할 수 있는 샘플링된 개인이 공식적으로 승인되었다는 입증 가능한 증거를 제공하며, 해당 작업 기능에 필요한 권한을 자세히 설명합니다. | |
| 데이터 또는 암호화 키에 액세스할 수 있는 샘플링된 개인에게 승인에 포함된 권한만 가지고 있다는 입증 가능한 증거를 제공합니다. | |
| 고객 데이터가 공유되는 모든 타사 목록을 제공합니다. | |
| 고객 데이터를 소비하는 모든 제3자가 공유 계약을 체결했다는 입증 가능한 증거를 제공합니다. | |
| GDPR (해당하는 경우) | 문서화된 SAR(주체 액세스 요청) 프로세스를 제공하고 데이터 주체가 SA를 발생시키는 데 사용할 수 있음을 보여주는 증거를 제공합니다. |
| SAR에 응답할 때 데이터 주체 데이터의 모든 위치를 식별할 수 있다는 입증 가능한 증거를 제공합니다. | |
| 회사 세부 정보(이름, 주소 등)를 포함해야 하는 개인 정보 보호 알림을 유지 관리합니다. | |
| 처리 중인 개인 데이터의 유형을 설명해야 하는 개인 정보 보호 알림을 유지 관리합니다. | |
| 개인 데이터 처리의 적법성을 설명해야 하는 개인 정보 보호 알림을 유지 관리합니다. | |
| 데이터 주체의 권리, 데이터 주체에 의한 액세스 권한, 삭제 권리, 처리 제한 권리, 데이터 이식성 권리, 이의 제기 권리, 프로파일링을 포함한 자동화된 의사 결정과 관련된 권리 등 데이터 주체의 권리를 자세히 설명하는 개인 정보 보호 알림을 유지 관리합니다. | |
| 개인 데이터가 보관되는 기간을 설명해야 하는 개인 정보 보호 알림을 유지 관리합니다. |
선택적 외부 규정 준수 프레임워크 검토
필수는 아니지만 현재 ISO 27001, PCI DSS 또는 SOC2를 준수하는 경우 이러한 인증을 사용하여 Microsoft 365 인증 컨트롤 중 일부를 충족하도록 선택할 수 있습니다. 인증 분석가는 기존 외부 보안 프레임워크를 Microsoft 365 인증 사양에 맞게 조정하려고 합니다. 그러나 지원 설명서에서 Microsoft 365 인증 컨트롤이 외부 보안 프레임워크 감사/평가의 일부로 평가되었다는 보증을 제공할 수 없는 경우 해당 컨트롤의 추가 증거를 제공해야 합니다.
설명서는 Microsoft 365 인증에 대한 scope 환경이 이러한 외부 보안 프레임워크의 scope 포함되어 있음을 적절하게 입증해야 합니다. 이러한 보안 프레임워크의 유효성 검사는 신뢰할 수 있는 외부 타사 회사에서 수행한 유효한 인증의 증거를 수락하여 수행됩니다. 이러한 평판 좋은 회사는 관련 규정 준수 프로그램에 대한 국제 인증 기관의 구성원이어야 합니다. PCI DSS에 대한 ISO 인증 및 적합성 표준 ISO 27001 및 QSA(정규화된 보안 평가자)를 참조하세요.
다음 표에서는 이 유효성 검사 프로세스의 일부로 인증 분석가가 요구하는 외부 프레임워크 및 설명서를 강조 표시합니다.
| Standard | 요구 사항 |
|---|---|
| ISO 27001 | SOA( 적용성 명세서)의 공개 버전과 발급된 ISO 27001 인증서의 복사본이 필요합니다. SOA는 114개의 정보 보안 컨트롤 각각에 대한 사용자의 위치를 요약하고 ISO 27001 인증서에 만족스럽게 자세히 설명되지 않은 컨트롤 제외를 식별하는 데 사용됩니다. SOA의 퍼블릭 버전을 검토하여 확인할 수 없는 경우 ISO 27001을 사용하여 Microsoft 365 인증 사양 컨트롤의 유효성을 검사하는 경우 분석가가 전체 SOA에 액세스해야 할 수 있습니다. 분석가는 ISO 27001 평가 활동의 scope 유효성을 검사하는 것 외에도 위에서 설명한 대로 감사 회사의 유효성을 확인합니다. |
| PCI DSS | scope 내 애플리케이션 및 시스템 구성 요소를 명확하게 식별하는 유효한 AOC(수준 1 준수 증명) 문서를 제공해야 합니다. 자체 평가 AOC는 보안 모범 사례를 충족하는 증거로 받아들여지지 않습니다. AOC는 PCI DSS 평가의 일부로 평가 및 확인된 Microsoft 365 인증 사양 컨트롤을 결정하는 데 사용됩니다. |
| SOC 2 | SOC 2(Type I 또는 Type II) 보고서는 이 Microsoft 365 인증 사양 내의 평가 컨트롤을 준수하는 증거로 사용하려면 최신 보고서(지난 15개월 이내에 발행되고 지난 27개월 이내에 시작된 선언된 기간)여야 합니다. |
외부 보안 프레임워크가 게시자 증명에 포함된 경우 인증 분석가는 Microsoft 365 인증 평가의 일부로 이러한 보안 규정 준수 프레임워크의 유효성을 검사 합니다.
| 프레임 워크 | 추가 고려 사항 |
|---|---|
| ISO 27001 | 부록 C: Evidence 컬렉션 – ISO 27001의 델타입니다. |
| PCI DSS | 부록 D: Evidence 컬렉션 – PCI DSS에 대한 델타입니다. |
| SOC 2 | 부록 E: Evidence 컬렉션 – SOC 2의 델타입니다. |
참고
위에서 언급한 외부 보안 표준/프레임워크는 일부 Microsoft 365 인증 컨트롤을 충족하는 증거로 제출할 수 있지만 Microsoft 365 인증을 통과한다고 해서 해당 표준/프레임워크에 대한 감사를 성공적으로 통과한다는 의미는 아닙니다. Microsoft 365 인증 사양은 Microsoft가 보안 태세를 참조하여 보증 수준을 얻을 수 있도록 하는 이러한 보안 표준/프레임워크의 작은 하위 집합에 불과합니다.
외부 규정 준수 프레임워크를 사용하기 위한 요구 사항
✓ 앱/추가 기능 지원 환경 및 지원되는 비즈니스 프로세스는 지원되는 외부 보안 규정 준수 프레임워크의 scope 포함되어야 하며 제공된 설명서에 명확하게 표시되어야 합니다.
✓ 지원되는 외부 보안 규정 준수 프레임워크는 최신 상태여야 합니다 . 즉, 지난 12개월 이내에(또는 현재 재평가가 수행되고 있고 증거를 제공할 수 있는 경우 15개월 이내)
✓ 지원되는 외부 보안 규정 준수 프레임워크는 독립적인 공인 회사에서 수행해야 합니다 .
부록 A
TLS 프로필 구성 요구 사항
가상 네트워크, 클라우드 서비스 또는 데이터 센터 내에서 모든 네트워크 트래픽은 최소 TLS v1.1(TLS v1.2 이상 권장) 또는 기타 적용 가능한 프로토콜로 보호되어야 합니다. 이 요구 사항에 대한 예외는 다음과 같습니다.
- HTTP-HTTPS 리디렉션. 앱은 HTTP를 통해 응답하여 클라이언트를 HTTPS로 리디렉션할 수 있지만 응답에 중요한 데이터(쿠키, 헤더, 콘텐츠)가 포함되어서는 안 됩니다. HTTPS로 리디렉션하고 상태 프로브에 응답하는 것 이외의 다른 HTTP 응답은 허용되지 않습니다. 아래를 참조하세요.
- 상태 프로브. 앱은 HTTPS 상태 프로브가 검사 당사자가 지원하지 않는 경우에만 HTTP를 통해 상태 프로브에 응답할 수 있습니다.
- 인증서 액세스. 인증서 유효성 검사 및 해지 확인을 위해 CRL, OCSP 및 AIA 엔드포인트에 대한 액세스는 HTTP를 통해 허용됩니다.
- 로컬 통신. 앱은 운영 체제를 종료하지 않는 통신에 HTTP(또는 보호되지 않는 기타 프로토콜)를 사용할 수 있습니다(예: localhost에 노출된 웹 서버 엔드포인트에 연결).
TLS 압축을 사용하지 않도록 설정해야 합니다 .
부록 B
암호화 프로필 구성 요구 사항
다음과 같이 암호화 기본 형식 및 매개 변수만 허용됩니다.
대칭 암호화
Encryption
✓ AES, BitLocker, 복어 또는 TDES만 허용됩니다. 지원되는 키 길이 >=128은 허용되며(128비트, 192비트 및 256비트) 사용할 수 있습니다(256비트 키 권장).
✓ CBC 모드만 허용됩니다. 모든 암호화 작업은 새로 생성된 임의로 생성된 IV(초기화 벡터)를 사용해야 합니다.
✓ RC4와 같은 스트림 암호의 사용 은 허용되지 않습니다 .
해시 함수
✓ 모든 새 코드는 SHA-256, SHA-384 또는 SHA-512(SHA-2라고도 함)를 사용해야 합니다. 출력이 128비트 이하로 잘려질 수 있습니다.
✓ SHA-1은 호환성상의 이유로만 사용할 수 있습니다.
✓ 비 암호화 애플리케이션에도 MD5, MD4, MD2 및 기타 해시 함수를 사용할 수 없습니다.
메시지 인증
✓ 모든 새 코드는 승인된 해시 함수 중 하나와 함께 HMAC를 사용해야 합니다. HMAC의 출력은 128비트 이하로 잘립니다.
✓ HMAC-SHA1은 호환성상의 이유로만 사용할 수 있습니다.
✓ HMAC 키는 128비트 이상이어야 합니다. 256비트 키를 사용하는 것이 좋습니다.
비대칭 알고리즘
Encryption
✓ RSA가 허용됩니다. 키는 2048비트 이상 이어야 하며 OAEP 패딩을 사용해야 합니다. PKCS 패딩 사용은 호환성상의 이유로만 허용됩니다.
서명
✓ RSA가 허용됩니다. 키는 2048비트 이상 이어야 하며 PSS 패딩을 사용해야 합니다. PKCS 패딩 사용은 호환성상의 이유로만 허용됩니다.
✓ECDSA가 허용됩니다. 키는 256비트 이상 이어야 합니다 . NIST P-256, P-384 또는 P-521 곡선을 사용해야 합니다.
키 교환
✓ ECDH가 허용됩니다. 키는 256비트 이상 이어야 합니다 . NIST P-256, P-384 또는 P-521 곡선을 사용해야 합니다.
✓ ECDH가 허용됩니다. 키는 256비트 이상 이어야 합니다 . NIST P-256, P-384 또는 P-521 곡선을 사용해야 합니다.
부록 C
Evidence Collection – DELTA for ISO 27001
이미 ISO27001 규정 준수를 달성한 경우 ISO 27001에서 완전히 적용되지 않는 다음 델타(간격)는 최소한 이 Microsoft 365 인증의 일부로 검토되어야 합니다.
참고
Microsoft 365 인증 평가의 일환으로 인증 분석가는 매핑된 ISO 27001 컨트롤이 ISO 27001 평가의 일부로 포함되지 않은지 여부를 결정하고 추가 보증을 제공하기 위해 포함된 것으로 확인된 컨트롤을 샘플링하기로 결정할 수도 있습니다. ISO 27001에서 누락된 모든 요구 사항은 Microsoft 365 인증 평가 활동에 포함되어야 합니다.
맬웨어 보호 – 바이러스 백신
애플리케이션 제어를 사용하여 맬웨어 보호가 이루어지고 ISO 27001 내에서 맬웨어 보호가 실행되는 경우 추가 조사가 필요하지 않습니다. 애플리케이션 제어가 없는 경우 인증 분석가는 환경 내에서 맬웨어의 폭발을 방지하기 위해 애플리케이션 제어 메커니즘의 증거를 식별하고 평가해야 합니다. 이렇게 하려면 다음을 수행해야 합니다.
바이러스 백신 소프트웨어가 샘플링된 모든 시스템 구성 요소에서 실행되고 있음을 보여 줍니다.
바이러스 백신이 맬웨어를 자동으로 차단하거나, & 경고를 격리하거나, 경고하도록 샘플링된 모든 시스템 구성 요소에서 구성되어 있음을 보여 줍니다.
바이러스 백신 소프트웨어는 모든 활동을 기록하도록 구성 해야 합니다 .
패치 관리 – 패치
ISO 27001 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 공급업체에서 더 이상 지원하지 않는 소프트웨어 구성 요소 및 운영 체제는 환경 내에서 사용해서는 안 됩니다 . 지원되지 않는 소프트웨어 구성 요소/운영 체제가 환경에서 제거되고 소프트웨어 구성 요소가 수명이 종료되는 시기를 식별하는 프로세스가 마련되어야 합니다.
취약점 검색
ISO 27001 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
분기별 내부 및 외부 취약성 검사가 수행됨을 보여 줍니다.
다음과 같이 위험 순위 및 사양에 따라 취약성 수정을 위한 지원 설명서가 있는지 확인합니다.
✓ 내부 검사에 대한 위험 순위와 함께 모든 위험 및 최고 위험 문제를 인라인으로 수정합니다.
✓ 외부 검사에 대한 위험 순위에 따라 모든 위험, 최고 및 중간 위험 문제를 인라인으로 수정합니다.
✓ 수정이 문서화된 취약성 수정 정책에 따라 인라인으로 수행된다는 것을 보여 줍니다.
방화벽 – 방화벽(또는 해당 기술)
ISO 27001 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
방화벽이 scope 환경의 경계에 설치되어 있음을 보여 줍니다.
방화벽이 DMZ와 신뢰할 수 있는 네트워크 사이에 설치되어 있음을 보여 줍니다.
모든 공용 액세스가 DMZ에서 종료된다는 것을 보여 줍니다.
라이브 환경에 설치하기 전에 기본 관리 자격 증명이 변경됨을 보여 줍니다.
방화벽을 통해 허용된 모든 트래픽이 권한 부여 프로세스를 거치는 것을 보여 줍니다. 그러면 비즈니스 근거가 있는 모든 트래픽에 대한 설명서가 생성됩니다.
모든 방화벽이 명시적으로 정의되지 않은 트래픽을 삭제하도록 구성되어 있음을 보여 줍니다.
방화벽은 모든 비 콘솔 관리 인터페이스에서 강력한 암호화만 지원한다는 것을 보여 줍니다.
인터넷에 노출되는 방화벽의 비 콘솔 관리 인터페이스가 MFA를 지원하는지 보여 줍니다.
방화벽 규칙 검토가 최소 6개월마다 수행됨을 보여 줍니다.
방화벽 – WAF(웹 애플리케이션 방화벽)
애플리케이션이 노출될 수 있는 수많은 웹 애플리케이션 위협 및 취약성으로부터 보호하기 위해 WAF가 배포된 경우 추가 크레딧이 제공됩니다. WAF 또는 이와 유사한 항목이 있는 경우 다음을 수행해야 합니다.
WAF가 활성 방어 모드로 구성되었거나 경고를 사용하여 더 많이 모니터링하는 것을 보여 줍니다.
WAF가 SSL 오프로드를 지원하도록 구성되어 있음을 보여 줍니다.
다음 공격 유형 대부분으로부터 보호하기 위해 OWASP 핵심 규칙 집합(3.0 또는 3.1)에 따라 구성됩니다.
✓ 프로토콜 및 인코딩 문제.
✓ 헤더 주입, 요청 밀수 및 응답 분할.
✓ 파일 및 경로 순회 공격.
✓ RFI(원격 파일 포함) 공격.
✓ 원격 코드 실행 공격.
✓ PHP 주입 공격.
✓ 교차 사이트 스크립팅 공격.
✓ SQL 삽입 공격.
✓ 세션 고정 공격.
컨트롤 변경
ISO 27001 감사는 변경 요청 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 변경 요청에 다음 세부 정보가 있음을 보여 줍니다.
✓ 문서화된 영향.
✓ 수행할 기능 테스트에 대한 세부 정보입니다.
✓ 모든 백아웃 절차의 세부 정보입니다.
변경이 완료된 후 기능 테스트가 수행됨을 보여 줍니다.
기능 테스트가 수행된 후 변경 요청이 로그오프되었음을 보여 줍니다.
계정 관리
ISO 27001 감사는 계정 관리 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 재생 공격(예: MFA, Kerberos)을 완화하기 위해 ✓s가 구현되는 방법을 보여 줍니다.
- 3개월 동안 사용되지 않은 계정을 사용하지 않도록 설정하거나 삭제하는 방법을 보여 줍니다.
- 사용자 자격 증명을 보호하려면 ✓또는 기타 적합한 완화를 구성해야 합니다. 다음 최소 암호 정책을 지침으로 사용해야 합니다.
✓ 최소 암호 길이는 8자입니다.
✓ 계정 잠금 임계값이 10회를 넘지 않습니다.
✓ 최소 5개의 암호의 암호 기록입니다.
✓ 강력한 암호 사용 적용.
MFA가 모든 원격 액세스 솔루션에 대해 구성되어 있음을 보여 줍니다.
강력한 암호화가 모든 원격 액세스 솔루션에 구성되어 있음을 보여 줍니다.
공용 DNS 관리가 scope 환경 외부에 있는 경우 DNS를 수정할 수 있는 모든 사용자 계정은 MFA를 사용하도록 구성해야 합니다.
침입 감지 및 방지(선택 사항)
ISO 27001 감사는 IDPS(침입 탐지 및 방지 서비스) 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
IDPS는 지원 환경의 경계에 배포 해야 합니다 .
IDPS 서명은 지난 날 내에 최신 상태로 유지해야 합니다 .
TLS 검사를 위해 IDPS를 구성 해야 합니다 .
모든 인바운드 및 아웃바운드 트래픽에 대해 IDPS를 구성 해야 합니다 .
경고를 위해 IDPS를 구성 해야 합니다 .
이벤트 로깅
ISO 27001 감사는 보안 이벤트 로깅 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
공용 시스템이 DMZ 내에 없는 중앙 집중식 로깅 솔루션에 로깅하고 있음을 보여 줍니다.
최소 30일 분량의 로깅 데이터를 즉시 사용할 수 있으며 90일이 보존되는 방법을 보여 줍니다.
검토(로깅 데이터)
ISO 27001 감사는 이 범주의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 매일 로그 검토가 수행되는 방법과 예외 및 변칙이 식별되는 방식을 보여 줍니다.
경고
ISO 27001 감사는 이 범주의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
즉시 심사를 위해 경고를 트리거하도록 보안 이벤트를 구성하는 방법을 보여 줍니다.
24/7 직원이 보안 경고에 응답하는 방법을 보여 줍니다.
위험 관리
ISO 27001 감사는 위험 평가 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 공식적인 위험 관리 프로세스가 설정되었음을 보여 줍니다.
사고 대응
ISO 27001 감사는 인시던트 대응 정책 및 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 인시던트 응답 계획/프로시저에 다음이 포함되어 있음을 보여 줍니다.
✓ 예상 위협 모델에 대한 특정 대응 절차입니다.
✓ NIST 사이버 보안 프레임워크에 부합하는 인시던트 처리 기능(식별, 보호, 감지, 대응, 복구).
✓ IRP는 scope 시스템을 다룹니다.
✓ 인시던트 대응 팀에 대한 연간 교육.
부록 D
Evidence 컬렉션 – PCI DSS에 대한 델타
PCI DSS 규정 준수를 이미 달성한 경우 PCI DSS에서 완전히 다루지 않는 다음 델타(간격)는 최소한 이 Microsoft 365 인증의 일부로 검토되어야 합니다.
참고
Microsoft 365 인증 평가의 일환으로 인증 분석가는 매핑된 PCI DSS 컨트롤이 PCI DSS 평가의 일부로 포함되지 않은지 여부를 결정하고 추가 보증을 제공하기 위해 포함된 것으로 확인된 컨트롤을 샘플링하기로 결정할 수도 있습니다. PCI DSS에서 누락된 모든 요구 사항은 Microsoft 365 인증 평가 활동에 포함되어야 합니다.
맬웨어 보호 - 애플리케이션 제어
바이러스 백신을 사용하여 맬웨어 보호가 이루어지고 PCI DSS 보고서 내에서 맬웨어 보호가 이루어지는 경우 추가 조사가 필요하지 않습니다. 바이러스 백신이 없는 경우 인증 분석가는 환경 내에서 맬웨어의 폭발을 방지하기 위해 애플리케이션 제어 메커니즘의 증거를 식별하고 평가해야 합니다. 이렇게 하려면 다음을 수행해야 합니다.
애플리케이션 승인이 수행되는 방법을 보여 줍니다. 이 작업이 완료되었는지 확인합니다.
비즈니스 근거가 있는 승인된 애플리케이션의 전체 목록이 있음을 보여 줍니다.
애플리케이션 제어 소프트웨어가 특정 애플리케이션 제어 메커니즘(즉, 허용 목록, 코드 서명 등)을 충족하도록 구성된 방법을 자세히 설명하는 지원 설명서를 제공하거나 보여 줍니다.
샘플링된 모든 시스템 구성 요소에서 애플리케이션 제어가 문서화된 대로 구성되어 있음을 보여 줍니다.
패치 관리 – 위험 순위
PCI DSS 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 취약성의 위험 순위를 수행하는 방법을 보여 줍니다.
취약점 검색
PCI DSS 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 수정이 문서화된 취약성 수정 정책에 따라 인라인으로 수행된다는 것을 보여 줍니다.
방화벽 – 방화벽(또는 해당 기술)
PCI DSS 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
방화벽은 모든 비 콘솔 관리 인터페이스에서 강력한 암호화만 지원한다는 것을 보여 줍니다.
인터넷에 노출되는 방화벽의 비 콘솔 관리 인터페이스가 MFA를 지원하는지 보여 줍니다.
애플리케이션이 노출될 수 있는 수많은 웹 애플리케이션 위협 및 취약성으로부터 보호하기 위해 WAF(Web Application Firewall)를 배포하는 경우 추가 크레딧이 제공됩니다. WAF 또는 이와 유사한 항목이 있는 경우 다음을 수행해야 합니다.
WAF가 활성 방어 모드로 구성되었거나 경고를 사용하여 더 많이 모니터링하는 것을 보여 줍니다.
WAF가 SSL 오프로드를 지원하도록 구성되어 있음을 보여 줍니다.
다음 공격 유형 대부분으로부터 보호하기 위해 OWASP 핵심 규칙 집합(3.0 또는 3.1)에 따라 구성됩니다.
✓ 프로토콜 및 인코딩 문제.
✓ 헤더 주입, 요청 밀수 및 응답 분할.
✓ 파일 및 경로 순회 공격.
✓ RFI(원격 파일 포함) 공격.
✓ 원격 코드 실행 공격.
✓ PHP 주입 공격.
✓ 교차 사이트 스크립팅 공격.
✓ SQL 삽입 공격.
✓ 세션 고정 공격.
컨트롤 변경
PCI DSS 감사는 변경 요청 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
프로덕션 환경에서 변경 요청이 발생하기 전에 발생함을 보여 줍니다.
프로덕션으로 전환하기 전에 변경 내용에 권한이 부여되었음을 보여 줍니다.
변경이 완료된 후 기능 테스트가 수행됨을 보여 줍니다.
기능 테스트가 수행된 후 변경 요청이 로그오프되었음을 보여 줍니다.
보안 소프트웨어 개발/배포
PCI DSS 감사는 보안 소프트웨어 개발 및 배포 프로세스의 일부 요소에 특별히 액세스하지 않으므로 이렇게 하려면 다음이 필요합니다.
코드 리포지토리는 MFA를 통해 보호되어야 합니다.
악의적인 코드 수정으로부터 코드 리포지토리를 보호하려면 적절한 액세스 제어가 있어야 합니다.
계정 관리
PCI DSS 감사는 계정 관리 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
재생 공격(예: MFA, Kerberos)을 완화하기 위해 권한 부여 메커니즘을 구현하는 방법을 보여 줍니다.
강력한 암호 정책 또는 기타 적절한 완화를 구성하여 사용자 자격 증명을 보호해야 합니다. 다음 최소 암호 정책을 지침으로 사용해야 합니다.
✓ 최소 암호 길이는 8자입니다.
✓ 계정 잠금 임계값이 10회를 넘지 않습니다.
✓ 최소 5개의 암호의 암호 기록입니다.
✓ 강력한 암호 사용 적용.
강력한 암호화가 모든 원격 액세스 솔루션에 구성되어 있음을 보여 줍니다.
공용 DNS 관리가 scope 환경 외부에 있는 경우 DNS를 수정할 수 있는 모든 사용자 계정은 MFA를 사용하도록 구성해야 합니다.
침입 감지 및 방지(선택 사항)
PCI DSS 감사는 IDPS(침입 감지 및 방지 서비스) 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
TLS 검사를 위해 IDPS를 구성해야 합니다.
모든 인바운드 및 아웃바운드 트래픽에 대해 IDPS를 구성해야 합니다.
위험 관리
PCI DSS 감사는 위험 평가 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 위험 평가에 영향 및 가능성 행렬이 포함되어 있음을 보여 줍니다.
사고 대응
PCI DSS 감사는 인시던트 대응 정책 및 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 개발자는 다음을 수행해야 합니다.
- NIST 사이버 보안 프레임워크(식별, 보호, 감지, 대응, 복구)에 부합하는 인시던트 처리 기능을 보여 줍니다.
부록 E
Evidence 컬렉션 - SOC 2에 대한 델타
SOC 2 규정 준수를 이미 달성한 경우 SOC 2에서 완전히 적용되지 않는 다음 델타(간격)를 이 Microsoft 365 인증의 일부로 검토해야 합니다.
참고
Microsoft 365 인증 평가의 일환으로 인증 분석가는 매핑된 SOC 2 컨트롤이 SOC 2 평가의 일부로 포함되지 않은지 여부를 결정하고 추가 보증을 제공하기 위해 포함된 것으로 확인된 컨트롤을 샘플링하기로 결정할 수도 있습니다. SOC 2 평가에서 누락된 모든 요구 사항은 Microsoft 365 인증 평가 활동의 일부로 포함되어야 합니다.
맬웨어 보호 - 애플리케이션 제어
바이러스 백신을 사용하여 맬웨어 보호가 이루어지고 SOC 2 보고서 내에서 맬웨어 보호가 이루어지는 경우 추가 조사가 필요하지 않습니다. 바이러스 백신이 없는 경우 인증 분석가는 환경 내에서 맬웨어의 폭발을 방지하기 위해 애플리케이션 제어 메커니즘의 증거를 식별하고 평가해야 합니다. 이렇게 하려면 다음을 수행해야 합니다.
애플리케이션 제어 소프트웨어가 특정 애플리케이션 제어 메커니즘(즉, 허용 목록, 코드 서명 등)을 충족하도록 구성된 방법을 자세히 설명하는 지원 설명서를 제공하거나 보여 줍니다.
애플리케이션 승인이 수행되는 방법을 보여 줍니다. 이 작업이 완료되었는지 확인합니다.
비즈니스 근거가 있는 승인된 애플리케이션의 전체 목록이 있음을 보여 줍니다.
샘플링된 모든 시스템 구성 요소에서 애플리케이션 제어가 문서화된 대로 구성되어 있음을 보여 줍니다.
패치 관리 – 패치
SOC 2 감사는 이 범주를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
모든 낮음, 보통, 높음 또는 위험 문제는 일반 패치 작업 기간 내에 패치해야 합니다.
공급업체에서 더 이상 지원하지 않는 소프트웨어 구성 요소 및 운영 체제는 환경 내에서 사용해서는 안 됩니다. 지원되지 않는 소프트웨어 구성 요소/운영 체제가 환경에서 제거되고 소프트웨어 구성 요소가 수명이 종료되는 시기를 식별하는 프로세스가 마련되어 있어야 합니다.
방화벽 – 방화벽
SOC 2 감사는 방화벽 액세스 제어 목록에 대한 변경 제어를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
방화벽을 통해 허용되는 모든 트래픽이 비즈니스 근거를 사용하여 모든 트래픽에 대한 설명서를 만드는 권한 부여 프로세스를 거치는 것을 보여 줍니다.
방화벽 규칙 검토는 적어도 6개월마다 수행된다는 것을 보여 줍니다.
애플리케이션이 노출될 수 있는 수많은 웹 애플리케이션 위협 및 취약성으로부터 보호하기 위해 WAF(Web Application Firewall) 또는 이와 유사한 항목을 배포하는 경우 추가 크레딧이 제공됩니다. WAF 또는 이와 유사한 항목이 있는 경우 다음을 수행해야 합니다.
WAF가 활성 방어 모드로 구성되었거나 경고를 사용하여 더 많이 모니터링하는 것을 보여 줍니다.
WAF가 SSL 오프로드를 지원하도록 구성되어 있음을 보여 줍니다.
대부분의 다음 공격 유형으로부터 보호하기 위해 OWASP 핵심 규칙 집합(((3.0 또는 3.1)에 따라 구성됩니다.
✓ 프로토콜 및 인코딩 문제.
✓ 헤더 주입, 요청 밀수 및 응답 분할.
✓ 파일 및 경로 순회 공격.
✓ RFI(원격 파일 포함) 공격.
✓ 원격 코드 실행 공격.
✓ PHP 주입 공격.
✓ 교차 사이트 스크립팅 공격.
✓ SQL 삽입 공격.
✓ 세션 고정 공격.
컨트롤 변경
SOC 2 감사는 변경 요청 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 개발자는 다음을 수행해야 합니다.
개발/테스트 환경이 업무 분리를 적용하는 프로덕션 환경과 분리되는 방법을 보여 줍니다.
개발/테스트 환경 내에서 라이브 데이터가 사용되지 않는 방법을 보여 줍니다.
변경이 완료된 후 기능 테스트가 수행됨을 보여 줍니다.
기능 테스트가 수행된 후 변경 요청이 로그오프되었음을 보여 줍니다.
보안 소프트웨어 개발/배포
SOC 2 감사는 보안 소프트웨어 개발 및 배포 프로세스의 일부 요소에 특별히 액세스하지 않으므로 이렇게 하려면 다음이 필요합니다.
전체 소프트웨어 개발 수명 주기를 다루는 확립되고 문서화된 소프트웨어 개발 프로세스가 있어야 합니다.
개발자는 적어도 매년 보안 소프트웨어 코딩 교육을 받아야 합니다.
코드 리포지토리는 MFA를 통해 보호되어야 합니다.
악의적인 코드 수정으로부터 코드 리포지토리를 보호하려면 적절한 액세스 제어가 있어야 합니다.
계정 관리
SOC2 감사는 계정 관리 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
재생 공격(예: MFA, Kerberos)을 완화하기 위해 권한 부여 메커니즘을 구현하는 방법을 보여 줍니다.
3개월 동안 사용되지 않은 계정을 사용하지 않도록 설정하거나 삭제하는 방법을 보여 줍니다.
강력한 암호 정책 또는 기타 적절한 완화를 구성하여 사용자 자격 증명을 보호해야 합니다. 다음 최소 암호 정책을 지침으로 사용해야 합니다.
✓ 최소 암호 길이는 8자입니다.
✓ 계정 잠금 임계값이 10회를 넘지 않습니다.
✓ 최소 5개 암호의 암호 기록입니다.
✓ 강력한 암호 사용 적용
고유한 사용자 계정이 모든 사용자에게 발급됨을 보여 줍니다.
공용 DNS 관리가 scope 환경 외부에 있는 경우 DNS를 수정할 수 있는 모든 사용자 계정은 MFA를 사용하도록 구성해야 합니다.
침입 감지 및 방지(선택 사항).
SOC 2 감사는 IDPS(침입 감지 및 방지 서비스) 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
IDPS 서명은 지난 날 내에 최신 상태로 유지해야 합니다.
TLS 검사를 위해 IDPS를 구성해야 합니다.
모든 인바운드 및 아웃바운드 트래픽에 대해 IDPS를 구성해야 합니다.
이벤트 로깅
SOC 2 감사는 보안 이벤트 로깅 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 샘플 집합 내의 모든 시스템 구성 요소에서 다음 이벤트를 기록하도록 다음 시스템을 구성하는 방법을 보여 줍니다.
✓ 시스템 구성 요소 및 애플리케이션에 대한 사용자 액세스.
✓ 높은 권한의 사용자가 수행한 모든 작업입니다.
✓ 잘못된 논리적 액세스 시도.
기록된 이벤트에 포함됨을 보여 줍니다. 최소한 다음 정보는 다음과 같습니다.
✓ 사용자.
✓ 이벤트의 유형입니다.
✓ 날짜 및 시간.
✓ 성공/실패 표시기입니다.
✓ 영향을 받는 시스템을 식별하는 레이블입니다.
샘플 집합 내의 모든 시스템 구성 요소가 시간 동기화를 활용하도록 구성되어 있으며 이러한 구성 요소가 기본/보조 시간 서버와 동일하다는 것을 보여 줍니다.
공용 시스템이 DMZ 내에 없는 중앙 집중식 로깅 솔루션에 로깅하고 있음을 보여 줍니다.
공용 시스템이 DMZ 내에 없는 중앙 집중식 로깅 솔루션에 로깅하고 있음을 보여 줍니다.
중앙 집중식 로깅 솔루션이 로깅 데이터의 무단 변조로부터 보호되는 방법을 보여 줍니다.
최소 30일 분량의 로깅 데이터를 즉시 사용할 수 있으며 90일 이상이 보존되는 방법을 보여 줍니다.
위험 관리
SOC2 감사는 위험 평가 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 적어도 매년 공식적인 위험 평가가 수행된다는 것을 보여 줍니다.
인시던트 대응.
SOC2 감사는 인시던트 대응 정책 및 프로세스의 일부 요소를 구체적으로 평가하지 않으므로 다음을 수행해야 합니다.
- 인시던트 응답 계획/프로시저에 다음이 포함되어 있음을 보여 줍니다.
✓ 예상 위협 모델에 대한 특정 대응 절차입니다.
✓ 주요 이해 관계자 (지불 브랜드 / 취득자, 규제 기관, 감독 기관, 이사, 고객 등)의 적시 알림을 보장하기 위해 통신 프로세스를 문서화했습니다.
부록 F
호스팅 배포 유형
Microsoft는 애플리케이션을 배포하고 다양한 호스팅 환경 내에 앱/추가 기능 코드를 저장합니다. Microsoft 365 인증 내의 일부 보안 제어에 대한 전반적인 책임은 사용 중인 호스팅 환경에 따라 달라집니다. 부록 F는 일반적인 배포 유형을 살펴보고 평가 프로세스의 일부로 평가되는 보안 컨트롤에 매핑합니다. 다음 호스팅 배포 유형이 식별되었습니다.
| 호스팅 유형 | 설명 |
|---|---|
| ISV 호스팅 | ISV 호스팅 형식은 앱/추가 기능 환경을 지원하는 데 사용되는 인프라를 담당하는 위치로 정의할 수 있습니다. 이는 사용자 고유의 데이터 센터 또는 공동 위치 서비스를 사용하는 타사 데이터 센터 내에 물리적으로 위치할 수 있습니다. 궁극적으로 지원 인프라 및 운영 환경에 대한 모든 소유권 및 관리 제어가 있습니다. |
| IaaS(Infrastructure as a Service)(https://azure.microsoft.com/overview/what-is-iaas/) | 서비스로서의 인프라는 물리적 지원 인프라가 CSP(클라우드 서비스 공급자)를 대신하여 관리 및 유지 관리되는 서비스입니다. 일반적으로 네트워킹, 스토리지, 물리적 서버 및 가상화 인프라는 모두 CSP의 책임입니다. 운영 체제, 미들웨어, 런타임, 데이터 및 애플리케이션은 사용자 책임입니다. 방화벽 기능도 타사에서 관리하고 유지 관리합니다. 그러나 방화벽 규칙 기반의 유지 관리는 일반적으로 여전히 소비자의 책임입니다. |
| PaaS(Platform as a Service/Serverless)(https://azure.microsoft.com/overview/what-is-paas/) | Platform as a Service를 사용하면 사용할 수 있는 서비스를 제공하는 관리형 플랫폼으로 프로비전됩니다. 운영 체제 및 지원 인프라가 CSP에서 관리되므로 sysadmin 함수를 수행할 필요가 없습니다. 이는 일반적으로 조직에서 웹 서비스 제공을 원하지 않고 대신 웹 애플리케이션 소스 코드를 만들고 클라우드 관리 웹 서비스에 웹 애플리케이션을 게시하는 데 집중할 수 있는 경우에 사용됩니다. 또 다른 예는 데이터베이스에 대한 연결이 부여되는 데이터베이스 서비스일 수 있지만 지원 인프라 및 데이터베이스 애플리케이션은 소비자로부터 추상화됩니다. 참고: 서버리스 및 PaaS는 유사하므로 Microsoft 365 인증 호스팅 배포 유형의 서버리스 및 PasS는 동일한 것으로 간주됩니다. |
| 하이브리드 호스팅 | 하이브리드 호스팅 형식을 사용하면 여러 호스트된 형식을 활용하여 지원 환경의 다양한 부분을 지원할 수 있습니다. 여러 Microsoft 365 스택에서 앱/추가 기능을 활용하는 경우가 더 많을 수 있습니다. Microsoft 365 인증은 여러 Microsoft 365 서비스에서 앱/추가 기능이 개발되는 위치를 지원하지만, 전체(앱/추가 기능 간) 지원 환경에 대한 평가는 해당되는 각 "호스트된 형식 매핑"에 따라 평가되어야 합니다. 경우에 따라 단일 추가 기능에 대해 서로 다른 호스트된 형식을 활용할 수 있습니다. 여기서 이 작업을 수행하는 경우 조건의 적용 가능성은 다양한 호스트된 형식의 "호스트된 형식 매핑" 조건을 따라야 합니다. |
| 공유 호스팅 | 공유 호스팅은 여러 개별 소비자가 공유하는 플랫폼 내에서 환경을 호스팅하는 곳입니다. Microsoft 365 인증 사양은 클라우드 채택으로 인해 이를 고려하여 작성되지 않았으며 공유 호스팅은 일반적이지 않습니다. 사용 중이라고 생각되는 경우 이 유형의 호스팅 유형에 따른 추가 위험을 고려하여 추가 요구 사항을 만들어야 하므로 Microsoft에 문의하세요. |
부록 G
자세히 알아보기
Microsoft 365 앱 준수 프로그램 개요Microsoft 365 앱 게시자 증명이란?Microsoft 365 인증이란?
용어집
Aia
*기관 정보 액세스는 발급 인증 기관의 인증서를 찾는 데 사용되는 서비스 위치 설명자입니다.
Crl
*인증서 해지 목록은 SSL(Secure Sockets Layer) 엔드포인트가 원격 호스트에서 받은 인증서가 유효하고 신뢰할 수 있는지 확인하는 수단을 제공합니다.
CVSS 점수
*Common Vulnerability Scoring System은 취약성을 측정하고 심각도에 따라 숫자 점수를 계산하는 게시된 표준입니다.
CVSS 패치 관리 지침
- Critical(9.0 - 10.0)
- 높음(7.0 - 8.9)
- 보통(4.0 - 6.9)
- 낮음(0.0 - 3.9)
Dmz
*비무장 영역은 호스트의 내부 프라이빗 네트워크를 분리하고 격리하면서 직접 외부 또는 비독재 네트워크와 상호 작용하는 물리적 또는 논리적 중간 네트워크입니다.
EUII
최종 사용자 식별 정보입니다.
GDPR
*일반 데이터 보호 규정은 애플리케이션 사이트가 있는 위치에 관계없이 모든 EU 시민의 데이터에 대한 유럽 연합(EU) 개인 정보 보호 및 데이터 보호 규정입니다.
HSTS
*HTTP Strict Transport Security는 HTTPS를 통해서만 콘텐츠에 액세스하도록 웹 브라우저에 지시하는 HTTP 응답 헤더를 사용합니다. 이는 다운그레이드 공격 및 쿠키 하이재킹으로부터 보호하도록 설계되었습니다.
Iec
*국제전기기술위원회.
Isms
*정보 보안 관리 시스템.
ISV
독립 보안 공급업체는 타사 소프트웨어 및 하드웨어 플랫폼에서 실행되는 소프트웨어를 개발, 마케팅 및 판매하는 개인 및 조직입니다.
ISO 27001
조직의 모든 기술 제어에 대한 정보 보안 관리 시스템 사양 프레임워크는 관리 정책 및 프로시저 프로세스를 위험하게 합니다.
LFI
로컬 파일 포함 을 사용하면 공격자가 웹 브라우저를 통해 서버에 파일을 포함할 수 있습니다.
Nist
미국 상무부의 비규제 기관인 NIST( 국립표준연구소 )는 사이버 공격을 예방, 탐지 및 대응하는 능력을 평가하고 승인하기 위해 미국의 민간 부문 조직에 대한 지침을 제공합니다.
중요하지 않은 변경 내용
- 사소한 버그 수정.
- 사소한 성능 향상.
- 운영 체제/라이브러리/클라이언트 및 서버 애플리케이션 패치.
Ocsp
온라인 인증서 상태 프로토콜은 X.509 디지털 인증서의 해지 상태 검사 데 사용됩니다.
OII
조직 식별 가능한 정보입니다.
Owasp
웹 애플리케이션 보안 프로젝트를 엽니다.
PCI DSS
전 세계 카드 소유자 데이터의 안전을 위한 표준을 유지하는 organization 결제 카드 산업 데이터 보안 표준입니다.
펜 테스트
침투 테스트 는 공격자가 악용할 수 있는 보안 취약성을 찾기 위해 악의적인 공격을 시뮬레이션하여 웹앱을 테스트하는 방법입니다.
Saml
보안 어설션 태그 언어 는 사용자, ID 공급자 및 서비스 공급자 간에 인증 및 권한 부여 데이터를 교환하기 위한 개방형 표준입니다.
중요한 데이터
- 액세스 제어 데이터.
- 고객 콘텐츠.
- 최종 사용자 ID 정보입니다.
- 데이터를 지원합니다.
- 공용 개인 데이터.
- 최종 사용자 가명 정보입니다.
중요한 변경 내용
- 호스팅 환경의 재배치.
- 지원 인프라에 대한 주요 업그레이드; 예를 들어 새 방화벽 구현, 전면 서비스로의 주요 업그레이드 등이 있습니다.
- 앱에 기능 및 /또는 확장 추가
- 추가 중요한 데이터를 캡처하는 앱에 업데이트.
- 앱의 데이터 흐름 또는 권한 부여 모델 변경
- API 엔드포인트 또는 API 엔드포인트 함수를 추가합니다.
SOC 2
서비스 조직 제어 2는 서비스 공급자가 organization 클라이언트의 데이터 및 개인 정보를 안전하게 관리할 수 있도록 하는 5가지 보안 서비스 원칙으로 구성된 기술 감사 절차입니다.
SSL
보안 소켓 계층.
TLS
전송 계층 보안.