제로 트러스트를 통한 데이터 보호
배경
제로 트러스트 조직의 보안 원칙을 설계하는 데 사용되는 보안 전략입니다. 제로 트러스트 다음 보안 원칙을 구현하여 회사 리소스를 보호하는 데 도움이 됩니다.
명시적으로 확인. 항상 사용자 ID, 위치, 장치 상태, 서비스 또는 워크로드, 데이터 분류 및 이상 징후를 포함하여 사용 가능한 모든 데이터 지점을 기반으로 인증 및 권한을 부여합니다.
최소 권한 액세스를 사용합니다. JIT/JEA(Just-In-Time/Just-Enough Access), 위험 기반 적응 정책 및 데이터 보호를 통해 사용자 액세스를 제한하여 데이터와 생산성을 모두 보호합니다.
위반 추정. 폭발 반경 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다.
Microsoft Purview는 심층적인 데이터 방어 전략과 데이터에 대한 제로 트러스트 구현을 위한 5가지 핵심 요소를 제안합니다.
데이터 분류 및 레이블 지정
온-프레미스 및 클라우드 서비스에 있는 중요한 데이터를 모르는 경우 이러한 데이터를 적절히 보호할 수 없습니다. 전체 조직에서 데이터를 검색 및 검색하고 민감도 수준으로 분류합니다.정보 보호
중요한 데이터에 대한 조건부 및 최소 권한 액세스는 데이터 보안 위험을 줄입니다. 환경 제어가 부족한 경우 민감도 기반 액세스 제어 가드레일, 권한 관리 및 암호화를 적용합니다. 정보 민감도 표시를 사용하여 인식 및 보안 정책 준수를 높입니다.데이터 손실 방지
액세스 제어는 문제의 일부만 해결합니다. 데이터 보안 또는 규정 준수 인시던트를 초래할 수 있는 위험한 데이터 활동 및 이동을 확인하고 제어하면 조직에서 중요한 데이터의 과잉 공유를 방지할 수 있습니다.내부 위험 관리
데이터 액세스가 항상 전체 스토리를 제공하는 것은 아닙니다. 광범위한 신호에서 동작 검색을 사용하도록 설정하고, 조직에서 잠재적으로 악의적이고 의도하지 않은 활동을 수행하여 데이터 위반의 전조가 될 수 있거나 데이터 위반을 표시하여 데이터에 대한 위험을 최소화합니다.‘데이터 거버넌스’
중요한 데이터의 수명 주기를 사전에 관리하면 노출이 줄어듭니다. 중요한 데이터의 복사본 또는 전파 수를 제한하고 데이터 위반 위험을 최소화하는 데 더 이상 필요하지 않은 데이터를 삭제합니다.
데이터에 대한 제로 트러스트 배포 목표
데이터에 대한 엔드 투 엔드 제로 트러스트 프레임워크를 구현할 때 이러한 초기 배포 목표에 집중하는 것이 좋습니다. |
|
I. 데이터 분류 및 레이블 지정가능하면 데이터를 자동으로 분류하고 레이블을 지정합니다. 그렇지 않은 경우 수동으로 적용합니다. II. 암호화, 액세스 제어 및 콘텐츠 표시를 적용합니다. 보호 및 액세스 제어가 부족한 경우 암호화를 적용합니다. III. 데이터에 대한 액세스를 제어합니다. 중요한 데이터에 대한 액세스를 제어하여 더 잘 보호합니다. 액세스 및 사용 정책 결정이 데이터 민감도를 포함하는지 확인합니다. |
|
위의 목표를 달성하기 위해 진행하면서 다음과 같은 추가 배포 목표를 추가합니다. |
|
IV. 데이터 누출을 방지합니다. 위험한 신호 및 데이터 민감도에 의해 구동되는 DLP 정책을 사용합니다. V. 위험을 관리합니다. 위험한 보안 관련 사용자 활동 및 데이터 보안 또는 규정 준수 인시던트를 초래할 수 있는 데이터 활동 패턴을 확인하여 데이터 보안 인시던트를 발생시킬 수 있는 위험을 관리합니다. VI. 데이터 노출을 줄입니다. 데이터 거버넌스 및 지속적인 데이터 최소화를 통해 데이터 노출 감소 |
데이터에 대한 제로 트러스트 배포 가이드
이 가이드에서는 데이터 보호에 대한 제로 트러스트 방법을 단계별로 안내합니다. 이러한 항목은 정보의 민감도와 조직의 규모 및 복잡성에 따라 크게 달라질 수 있습니다.
데이터 보안 구현의 전구체로서 Microsoft는 높은 수준의 데이터 보안 위험 범주를 정의하는 데이터 분류 프레임워크 및 민감도 레이블 분류를 만드는 것이 좋습니다. 이 분류는 데이터 인벤토리 또는 활동 인사이트에서 정책 관리, 조사 우선 순위 지정에 이르기까지 모든 것을 간소화하는 데 사용됩니다.
자세한 내용은 다음을 참조하세요.
|
초기 배포 목표 |
9\. 중요한 데이터 분류, 레이블 지정 및 검색
정보 보호 전략은 조직의 전체 디지털 콘텐츠를 포함해야 합니다.
분류 및 민감도 레이블을 사용하면 중요한 데이터의 위치, 데이터의 이동 방식을 이해하고 제로 트러스트 원칙과 일치하는 적절한 액세스 및 사용 제어를 구현할 수 있습니다.
자동화된 분류 및 레이블 지정을 사용하여 중요한 정보를 검색하고 데이터 자산 전체에서 검색 크기를 조정합니다.
문서 및 컨테이너에 수동 레이블 지정을 사용하고, 지식이 있는 사용자가 분류 및 민감도를 가장 잘 설정하는 분석에 사용되는 데이터 집합을 수동으로 큐레이팅합니다.
다음 단계를 수행합니다.
분류 및 레이블 지정을 구성하고 테스트한 후에는 데이터 자산 전체에서 데이터 검색을 강화합니다.
다음 단계에 따라 Microsoft 365 서비스 이상으로 검색을 확장합니다.
데이터를 검색, 분류 및 레이블 지정할 때 이러한 인사이트를 사용하여 위험을 수정하고 정책 관리 이니셔티브를 알릴 수 있습니다.
다음 단계를 수행합니다.
II. 암호화, 액세스 제어 및 콘텐츠 표시 적용
민감도 레이블을 사용하여 가장 중요한 데이터를 암호화 및 액세스 제어로 보호하여 최소 권한 구현을 간소화합니다. 콘텐츠 표시를 사용하여 사용자 인식 및 추적 기능을 향상시킵니다.
문서 및 전자 메일 보호
Microsoft Purview Information Protection을 사용하면 문서 및 전자 메일에 대한 민감도 레이블 또는 사용자 정의 권한에 따라 액세스 및 사용 제어가 가능합니다. 또한 선택적으로 표시를 적용하고 조직 내부 또는 외부의 신뢰도가 낮은 환경에 상주하거나 전달되는 정보를 암호화할 수 있습니다. 이 기능은 미사용, 동작 및 인식 애플리케이션에 사용할 수 있는 보호를 제공합니다.
다음 단계를 수행합니다.
Exchange, SharePoint 및 OneDrive에서 문서 보호
Exchange, SharePoint 및 OneDrive에 저장된 데이터의 경우 민감도 레이블이 있는 자동 분류를 정책을 통해 대상 위치에 배포하여 권한 있는 송신에 대한 액세스를 제한하고 암호화를 관리할 수 있습니다.
이 단계를 실행합니다.
III. 데이터에 대한 액세스 제어
중요한 데이터에 대한 액세스를 제공하는 것은 더 잘 보호되도록 제어되어야 합니다. 액세스 및 사용 정책 결정이 데이터 민감도를 포함하는지 확인합니다.
Teams, Microsoft 365 그룹 및 SharePoint 사이트에서 데이터 액세스 및 공유 제어
컨테이너 민감도 레이블을 사용하여 Microsoft Teams, Microsoft 365 그룹 또는 SharePoint 사이트에 대한 조건부 액세스 및 공유 제한을 구현합니다.
이 단계를 실행합니다.
SaaS 애플리케이션의 데이터에 대한 액세스 제어
클라우드용 Microsoft Defender 앱은 다음을 포함하여 Microsoft 365 및 타사 환경(예: Box 또는 Google Workspace)에서 조건부 액세스 및 중요한 파일을 관리하기 위한 추가 기능을 제공합니다.
과도한 권한을 해결하고 데이터 유출을 방지하기 위한 사용 권한 제거
검토를 위해 파일을 격리합니다.
중요한 파일에 레이블 적용
다음 단계를 수행합니다.
팁
제로 트러스트 SaaS 앱을 Microsoft 365와 통합하여 클라우드 앱의 디지털 자산을 관리하는 데 도움이 되는 제로 트러스트 원칙을 적용하는 방법을 알아보세요.
IaaS/PaaS 스토리지에 대한 액세스 제어
중요한 데이터를 포함하는 IaaS/PaaS 리소스에 필수 액세스 제어 정책을 배포합니다.
이 단계를 실행합니다.
IV. 데이터 유출 방지
데이터에 대한 액세스를 제어하는 것은 필요하지만 데이터 이동을 제어하고 실수로 또는 무단으로 데이터가 유출되거나 손실되는 것을 방지하는 데는 부족합니다. 이는 IV 섹션에 설명된 데이터 손실 방지 및 내부자 위험 관리의 역할입니다.
Microsoft Purview DLP 정책을 사용하여 중요한 데이터를 식별, 확인 및 자동으로 보호합니다.
Teams, Exchange, SharePoint 및 OneDrive와 같은 Microsoft 365 서비스
Word, Excel 및 PowerPoint와 같은 Office 애플리케이션
Windows 10, Windows 11 및 macOS(최신 릴리스 버전 3개) 엔드포인트
온-프레미스 파일 공유 및 온-프레미스 SharePoint
비 Microsoft 클라우드 앱.
다음 단계를 수행합니다.
V. 내부자 위험 관리
최소 권한 구현은 알려진 위험을 최소화하는 데 도움이 되지만, 추가 보안 관련 사용자 동작 신호의 상관 관계를 지정하고, 중요한 데이터 액세스 패턴을 확인하고, 광범위한 검색, 조사 및 헌팅 기능도 중요합니다.
다음 단계를 수행합니다.
VI. 불필요한 중요한 정보 삭제
조직은 중요한 데이터의 수명 주기를 관리하여 데이터 노출을 줄일 수 있습니다.
조직에서 더 이상 유용하거나 허용되지 않는 경우 중요한 데이터 자체를 삭제하여 사용자가 할 수 있는 모든 권한을 제거합니다.
이 단계를 실행합니다.
데이터 전송보다는 현재 위치 공유 및 사용을 선호하여 중요한 데이터의 중복을 최소화합니다.
이 단계를 실행합니다.
이 가이드에서 설명하는 제품
Microsoft Defender for Cloud 앱
구현에 대한 자세한 내용이나 도움말은 고객 성공 팀에 문의하세요.
제로 트러스트 배포 가이드 시리즈