이 문서에서는 Microsoft 365를 사용하여 제로 트러스트 보안을 구축하기 위한 배포 계획을 제공합니다. 제로 트러스트는 위반을 가정하고 제어되지 않는 네트워크에서 시작된 것처럼 각 요청을 확인하는 보안 모델입니다. 요청이 시작되는 위치 또는 액세스하는 리소스에 관계없이 제로 트러스트 모델은 "전혀 신뢰하지 않고 항상 확인"하도록 알려줍니다.
이 문서를 이 포스터와 함께 사용합니다.
| 항목 | 설명 |
|---|---|
PDF | Visio 업데이트 날짜: 2025년 4월 |
관련 솔루션 가이드 |
제로 트러스트 원칙 및 아키텍처
제로 트러스트는 보안 전략입니다. 제품이나 서비스가 아니라 다음 보안 원칙 집합을 디자인하고 구현하는 접근 방식입니다.
| 원리 | 설명 |
|---|---|
| 명시적으로 확인 | 항상 사용 가능한 모든 데이터 요소를 기반으로 인증하고 권한을 부여합니다. |
| 최소 권한 액세스 사용 | JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. |
| 침해 발생을 가정하다 | 폭발 반경 및 세그먼트 액세스를 최소화합니다. 엔드 투 엔드 암호화를 확인하고 분석을 사용하여 가시성을 확보하고 위협 탐지를 추진하며 방어를 개선합니다. |
이 문서의 지침은 Microsoft 365를 사용하여 기능을 구현하여 이러한 원칙을 적용하는 데 도움이 됩니다.
제로 트러스트 접근 방식은 전체 디지털 자산에 걸쳐 확장되며 통합 보안 철학 및 엔드투엔드 전략의 역할을 합니다.
이 그림에서는 제로 트러스트 기여하는 기본 요소의 표현을 제공합니다.
그림에서:
- 보안 정책 적용은 제로 트러스트 아키텍처의 중심에 있습니다. 여기에는 사용자 계정 위험, 디바이스 상태 및 설정한 기타 기준 및 정책을 고려한 조건부 액세스를 사용한 다단계 인증이 포함됩니다.
- ID, 디바이스, 데이터, 앱, 네트워크 및 기타 인프라 구성 요소는 모두 적절한 보안으로 구성됩니다. 이러한 각 구성 요소에 대해 구성된 정책은 전체 제로 트러스트 전략과 조정됩니다. 예를 들어 디바이스 정책은 정상 디바이스에 대한 기준을 결정하고 조건부 액세스 정책에는 특정 앱 및 데이터에 액세스하기 위해 정상 디바이스가 필요합니다.
- 위협 방지 및 인텔리전스는 환경을 모니터링하고, 현재 위험을 노출하며, 자동화된 조치를 취하여 공격을 수정합니다.
제로 트러스트 대한 자세한 내용은 Microsoft 제로 트러스트 지침 센터를 참조하세요.
Microsoft 365용 제로 트러스트 배포
Microsoft 365는 사용자 환경에 제로 트러스트 빌드하는 데 도움이 되는 많은 보안 및 정보 보호 기능을 사용하여 의도적으로 빌드되었습니다. 조직에서 사용하는 다른 SaaS 앱 및 이러한 앱 내의 데이터에 대한 액세스를 보호하기 위해 많은 기능을 확장할 수 있습니다.
이 그림은 제로 트러스트 기능을 배포하는 작업을 나타냅니다. 이 작업은 제로 트러스트 채택 프레임워크의 제로 트러스트 비즈니스 시나리오에 맞게 조정됩니다.
이 그림에서 배포 작업은 5개의 스윔 레인으로 분류됩니다.
- 원격 및 하이브리드 작업 보안 — 이 작업은 ID 및 디바이스 보호의 기초를 구축합니다.
- 위반으로 인한 비즈니스 손상 방지 또는 감소 - 위협 방지는 보안 위협에 대한 실시간 모니터링 및 수정을 제공합니다. Defender for Cloud Apps AI 앱을 포함한 SaaS 앱의 검색을 제공하며 이러한 앱으로 데이터 보호를 확장할 수 있습니다.
- 중요한 비즈니스 데이터 식별 및 보호 - 데이터 보호 기능은 특정 유형의 데이터를 대상으로 하는 정교한 컨트롤을 제공하여 가장 중요한 정보를 보호합니다.
- AI 앱 및 데이터 보호 - organization AI 앱의 사용과 상호 작용하는 데이터를 신속하게 보호합니다.
- 규정 및 규정 준수 요구 사항 충족 - organization 영향을 주는 규정을 준수하기 위한 진행 상황을 이해하고 추적합니다.
이 문서에서는 클라우드 ID를 사용 중이라고 가정합니다. 이 목표에 대한 지침이 필요한 경우 Microsoft 365용 ID 인프라 배포를 참조하세요.
팁 (조언)
단계 및 엔드 투 엔드 배포 프로세스를 이해하면 Microsoft 365 관리 센터 로그인할 때 Microsoft 제로 트러스트 보안 모델 고급 배포 설정 가이드를 사용할 수 있습니다. 이 가이드에서는 표준 및 고급 기술 핵심 요소에 대한 제로 트러스트 원칙을 적용하는 단계를 안내합니다. 로그인하지 않고 가이드를 단계별로 실행하려면 Microsoft 365 설치 포털로 이동합니다.
스윔 레인 1 - 원격 및 하이브리드 작업 보호
원격 및 하이브리드 작업 보안에는 ID 및 디바이스 액세스 보호 구성이 포함됩니다. 이러한 보호는 제로 트러스트 원칙 확인에 명시적으로 기여합니다.
3단계로 원격 및 하이브리드 작업을 보호하는 작업을 수행합니다.
1단계 - 시작 지점 ID 및 디바이스 액세스 정책 구현
Microsoft는 ID 및 디바이스 액세스 구성을 제로 트러스트 이 가이드의 제로 트러스트 대한 포괄적인 ID 및 디바이스 액세스 정책 집합을 권장합니다.
1단계에서는 시작점 계층을 구현하여 시작합니다. 이러한 정책은 디바이스를 관리에 등록할 필요가 없습니다.
자세한 규범 지침은 제로 트러스트 ID 및 디바이스 액세스 보호로 이동합니다. 이 문서 시리즈에서는 엔터프라이즈 클라우드 앱 및 서비스, 기타 SaaS 서비스 및 Microsoft Entra 애플리케이션으로 게시된 온-프레미스 애플리케이션에 대한 액세스를 보호하기 위한 ID 및 디바이스 액세스 필수 구성 집합 및 Microsoft Entra 조건부 액세스, Microsoft Intune 및 기타 정책 집합에 대해 설명합니다. 대리.
| 포함합니다 | 필수 조건 | 포함 안 함 |
|---|---|---|
다음 세 가지 보호 수준에 대한 권장 ID 및 디바이스 액세스 정책:
다음을 위한 추가 권장 사항:
|
Microsoft E3 또는 E5 다음 모드 중 하나로 Microsoft Entra ID.
|
관리되는 디바이스가 필요한 정책에 대한 디바이스 등록입니다. 디바이스를 등록하려면 Intune 사용하여 디바이스 관리를 참조하세요. |
2단계 - Intune 사용하여 관리에 디바이스 등록
다음으로, 관리에 디바이스를 등록하고 보다 정교한 컨트롤로 디바이스 보호를 시작합니다.
관리에 디바이스를 등록하는 방법에 대한 자세한 설명 지침은 Intune 사용하여 디바이스 관리를 참조하세요.
| 포함합니다 | 필수 조건 | 포함 안 함 |
|---|---|---|
Intune 사용하여 디바이스 등록:
정책 구성:
|
Microsoft Entra ID 엔드포인트 등록 | 다음을 비롯한 정보 보호 기능 구성
이러한 기능은 스윔 레인 3 - 중요한 비즈니스 데이터 식별 및 보호 (이 문서의 뒷부분)를 참조하세요. |
자세한 내용은 Microsoft Intune 대한 제로 트러스트 참조하세요.
3단계 - 제로 트러스트 ID 및 디바이스 액세스 보호 추가: 엔터프라이즈 정책
디바이스를 관리에 등록하면 이제 규정 준수 디바이스가 필요한 권장 제로 트러스트 ID 및 디바이스 액세스 정책의 전체 집합을 구현할 수 있습니다.
공용 ID 및 디바이스 액세스 정책으로 돌아가서 엔터프라이즈 계층에 정책을 추가합니다.
제로 트러스트 채택 프레임워크에서 원격 및 하이브리드 작업을 보호하는 방법( 원격 및 하이브리드 작업 보호)에 대해 자세히 알아보세요.
스윔 레인 2 - 위반으로 인한 비즈니스 손상 방지 또는 감소
Microsoft Defender XDR 엔드포인트, 이메일, 애플리케이션 및 ID를 포함하여 Microsoft 365 환경에서 신호, 위협 및 경고 데이터를 자동으로 수집, 상호 연결 및 분석하는 XDR(확장 검색 및 응답) 솔루션입니다. 또한 Microsoft Defender for Cloud Apps 조직에서 GenAI 앱을 비롯한 SaaS 앱에 대한 액세스를 식별하고 관리하는 데 도움이 됩니다.
Microsoft Defender XDR 파일럿 및 배포하여 위반으로 인한 비즈니스 손상을 방지하거나 줄입니다.
파일럿으로 이동하여 Microsoft Defender XDR 배포하여 Microsoft Defender XDR 구성 요소의 파일럿 및 배포에 대한 체계적인 가이드를 제공합니다.
| 포함합니다 | 필수 조건 | 포함 안 함 |
|---|---|---|
모든 구성 요소에 대한 평가 및 파일럿 환경을 설정합니다.
위협에 대한 보호 위협 조사 및 대응 |
Microsoft Defender XDR 각 구성 요소에 대한 아키텍처 요구 사항에 대해 읽어 보려면 지침을 참조하세요. | Microsoft Entra ID Protection 이 솔루션 가이드에 포함되지 않습니다. 스윔 레인 1 - 보안 원격 및 하이브리드 작업에 포함되어 있습니다. |
제로 트러스트 채택 프레임워크의 위반으로 인한 비즈니스 손상을 방지하거나 줄이는 방법에 대해 자세히 알아보세요. 위반으로 인한 비즈니스 손상을 방지하거나 줄이는 방법을 알아보세요.
스윔 레인 3 - 중요한 비즈니스 데이터 식별 및 보호
중요한 정보를 검색, 분류 및 보호하는 데 도움이 되는 Microsoft Purview Information Protection 구현합니다.
Microsoft Purview Information Protection 기능은 Microsoft Purview에 포함되어 있으며 데이터를 알고, 데이터를 보호하고, 데이터 손실을 방지하는 도구를 제공합니다. 언제든지 이 작업을 시작할 수 있습니다.
Microsoft Purview Information Protection 특정 비즈니스 목표를 달성하는 데 사용할 수 있는 프레임워크, 프로세스 및 기능을 제공합니다.
정보 보호를 계획하고 배포하는 방법에 대한 자세한 내용은 Microsoft Purview Information Protection 솔루션 배포를 참조하세요.
제로 트러스트 채택 프레임워크에서 중요한 비즈니스 데이터를 식별하고 보호하는 방법에 대해 자세히 알아보세요. 중요한 비즈니스 데이터를 식별하고 보호합니다.
스윔 레인 4 - AI 앱 및 데이터 보호
Microsoft 365에는 조직에서 AI 앱 및 이러한 사용 데이터를 신속하게 보호할 수 있는 기능이 포함되어 있습니다.
먼저 AI용 Purview 데이터 보안 태세 관리(DSPM)을 사용합니다. 이 도구는 organization AI를 사용하는 방법, 특히 AI 도구와 상호 작용하는 중요한 데이터에 중점을 둡니다. AI용 DSPM은 Microsoft Copilots 및 ChatGPT Enterprise 및 Google Gemini와 같은 타사 SaaS 애플리케이션에 대한 심층적인 인사이트를 제공합니다.
다음 다이어그램에서는 AI 사용이 데이터에 미치는 영향(생성 AI 앱당 중요한 상호 작용)에 대한 집계된 뷰 중 하나를 보여 줍니다.
AI용 DSPM 사용하여 다음을 수행합니다.
- 중요한 데이터를 포함하여 AI 사용에 대한 가시성을 확보합니다.
- 데이터 평가를 검토하여 SharePoint 초과 공유 컨트롤로 완화할 수 있는 초과 공유의 격차에 대해 알아봅니다.
- 민감도 레이블 및 DLP(데이터 손실 방지) 정책에 대한 정책 적용 범위의 간격을 찾습니다.
Defender for Cloud Apps SaaS GenAI 앱 및 사용을 검색하고 관리하는 또 다른 강력한 도구입니다. Defender for Cloud Apps 카탈로그에 1,000개 이상의 생성 AI 관련 앱을 포함하며, 생성 AI 앱이 organization 어떻게 사용되는지 파악하고 안전하게 관리할 수 있도록 지원합니다.
이러한 도구 외에도 Microsoft 365는 AI를 보호하고 제어하기 위한 포괄적인 기능 집합을 제공합니다. 이러한 기능을 시작하는 방법을 알아보려면 AI 앱 및 데이터 검색, 보호 및 관리를 참조하세요.
다음 표에는 AI용 보안 라이브러리의 자세한 정보에 대한 링크가 있는 Microsoft 365 기능이 나와 있습니다.
| 역량 | 추가 정보 |
|---|---|
| SharePoint 고급 관리 포함한 SharePoint 오버셰어링 컨트롤 | SharePoint 초과 공유 컨트롤 적용 |
| AI용 DSPM |
(DSPM)를 사용하여 AI 사용량에 대한 가시성 확보 AI용 DSPM 통해 데이터 보호 |
| 민감도 레이블 및 DLP 정책 | 민감도 레이블 및 DLP 정책의 차이를 계속 식별합니다. |
| IRM(Insider Risk Management) - 위험한 AI 사용 정책 템플릿 | 위험한 AI 템플릿 적용 |
| 적응형 보호 | 내부 위험 관리를 위한 적응형 보호 구성 |
| 클라우드용 Defender 앱 |
AI 앱 검색, 제재 및 차단 AI 앱 사용 심사 및 보호 규정 준수 위험에 따라 AI 앱 관리 |
| Purview 준수 관리자 | AI 관련 규정에 대한 평가 빌드 및 관리 |
| Purview 통신 규정 준수 | 생성 AI 애플리케이션에 입력된 프롬프트 및 응답을 분석하여 부적절하거나 위험한 상호 작용 또는 기밀 정보 공유 감지 |
| Purview 데이터 수명 주기 관리 | AI 도구에서 데이터 과다 노출 위험을 줄이기 위해 더 이상 유지할 필요가 없는 콘텐츠를 사전에 삭제 |
| 전자 정보 검색 (eDiscovery) | 프롬프트 및 응답에서 키워드를 검색하고 eDiscovery 사례 내에서 결과를 관리합니다. |
| Copilot 및 AI 활동에 대한 감사 로그 | Copilot 상호 작용이 발생한 방법, 시기 및 위치 및 해당 항목의 민감도 레이블을 포함하여 액세스된 항목 식별 |
| Priva 개인 정보 평가 | 빌드하는 AI 앱에 대한 개인 정보 영향 평가 시작 |
스윔 레인 5 - 규정 및 규정 준수 요구 사항 충족
organization IT 환경의 복잡성이나 organization 규모에 관계없이 비즈니스에 영향을 줄 수 있는 새로운 규정 요구 사항이 지속적으로 추가되고 있습니다. 제로 트러스트 접근 방식은 종종 규정 준수 규정(예: 개인 데이터에 대한 액세스를 제어하는 규정)에 의해 부과되는 몇 가지 유형의 요구 사항을 초과합니다. 제로 트러스트 접근 방식을 구현한 조직은 이미 몇 가지 새로운 조건을 충족하거나 규정을 준수하기 위해 제로 트러스트 아키텍처를 쉽게 빌드할 수 있습니다.
Microsoft 365에는 다음을 포함하여 규정 준수를 지원하는 기능이 포함되어 있습니다.
- 준수 관리자
- 콘텐츠 탐색기
- 보존 정책, 민감도 레이블 및 DLP 정책
- 커뮤니케이션 규정 준수
- 데이터 수명 주기 관리
- Priva 개인 정보 위험 관리
다음 리소스를 사용하여 규정 및 규정 준수 요구 사항을 충족합니다.
| 리소스 | 추가 정보 |
|---|---|
| 제로 트러스트 채택 프레임워크 - 규정 및 규정 준수 요구 사항 충족 | 전략 정의, 계획, 채택 및 관리를 포함하여 organization 따를 수 있는 체계적인 접근 방식을 설명합니다. |
| 규정 준수를 위해 AI 앱 및 데이터 제어 | 도움이 되는 특정 기능을 포함하여 새로운 AI 관련 규정에 대한 규정 준수를 해결합니다. |
| Microsoft Priva 및 Microsoft Purview 사용하여 데이터 개인 정보 보호 및 데이터 보호 관리 | 위험을 평가하고 Microsoft Priva 및 Microsoft Purview를 사용하여 organization 환경에서 개인 데이터를 보호하기 위한 적절한 조치를 취합니다. |
다음 단계
제로 트러스트 지침 센터를 방문하여 제로 트러스트 대해 자세히 알아보세요.