SharePoint 및 OneDrive가 클라우드에서 데이터를 보호하는 방법

데이터를 제어할 수 있습니다. SharePoint 및 Microsoft 365용 OneDrive에 데이터를 넣을 때는 데이터의 소유자로 유지됩니다. 데이터 소유권에 대한 자세한 내용은 Microsoft 365 Privacy by Design을 참조하세요.

데이터 처리 방법

Microsoft 엔지니어는 2단계 인증이 필요한 PowerShell 콘솔을 사용하여 SharePoint 및 OneDrive를 관리합니다. 새로운 상황에 신속하게 대응할 수 있도록 워크플로를 실행하여 일상적인 작업을 수행합니다. 서비스에 체크인하려면 코드 검토 및 관리 승인이 필요합니다.

어떤 엔지니어도 서비스에 액세스할 수 없습니다. 엔지니어가 액세스해야 하는 경우 요청해야 합니다. 자격이 확인되고 엔지니어 액세스가 승인된 경우 제한된 시간 동안만 가능합니다. Microsoft 엔지니어가 콘텐츠에 액세스해야 하는 드문 경우(예: 사용자가 손상된 것으로 생각되는 중요한 파일에 액세스할 수 없기 때문에 지원 티켓을 제출하는 경우) 엔지니어는 비즈니스 타당성 및 관리자 승인이 필요한 특정 워크플로에서 검사 합니다. Microsoft 365 관리 센터 볼 수 있는 감사 이벤트가 생성됩니다. 고객 Lockbox라는 기능을 켤 수도 있으므로 요청을 승인해야 합니다. 엔지니어는 해당 파일에만 액세스할 수 있습니다. 고객 Lockbox를 켜거나 끄고 요청을 승인 및 거부하는 방법을 알아보려면 Microsoft Purview 고객 Lockbox 요청을 참조하세요.

데이터를 보호하는 방법

데이터를 보호하기 위해 수행할 수 있는 가장 중요한 일 중 하나는 Microsoft 365의 ID에 대해 2단계 인증을 요구하는 것입니다. 이렇게 하면 두 번째 요소 없이 자격 증명을 사용할 수 없으며 손상된 암호의 영향을 완화할 수 있습니다. 두 번째 요소는 전화 통화, 문자 메시지 또는 앱을 통해 수행할 수 있습니다. 2단계 인증을 배포하는 경우 전역 관리자 및 다른 관리자 및 사이트 모음 관리자로 시작합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 Microsoft 365 사용자에 대한 다단계 인증 설정을 참조하세요.

보안을 강화하는 것이 좋습니다.

• Microsoft Entra 디바이스 기반 조건부 액세스를 사용하여 공항 또는 호텔 키오스크와 같은 관리되지 않는 디바이스에 대한 액세스를 차단하거나 제한합니다. 관리되지 않는 디바이스에서 액세스 제어를 참조하세요.

• 비활성 기간 후에 Microsoft 365 웹 세션에서 사용자를 로그아웃하는 정책을 만듭니다. 자세한 내용은 비활성 사용자 로그아웃을 참조하세요.

• IP 기반 세션의 필요성을 평가합니다. 이는 온-프레미스 배포의 액세스 모델을 시뮬레이션합니다. 자세한 내용은 네트워크 위치 또는 앱에 따라 액세스 제어를 참조하세요.

• 근로자가 광범위하지만 안전하게 공유할 수 있도록 합니다. 로그인을 요구하거나 제한된 권한을 만료하거나 부여하는 링크를 사용할 수 있습니다. SharePoint 환경에 대한 외부 공유 관리를 참조하세요.

• 중요한 콘텐츠가 실수로 노출되지 않도록 방지합니다. 문서를 식별하고 공유하지 못하도록 하는 DLP 정책을 만듭니다. 데이터 손실 방지에 대해 알아보기를 참조하세요.

전송 중 및 미사용으로 보호됨

전송 중 보호됨

데이터가 클라이언트와 데이터 센터 간에 서비스로 전송되는 경우 동급 최고의 암호화를 사용하여 보호됩니다. 자세한 내용은 OneDrive 및 SharePoint의 데이터 암호화를 참조하세요. 보안 액세스만 허용합니다. HTTP를 통해 인증된 연결을 만들지 않고 대신 HTTPS로 리디렉션합니다.

미사용 시 보호됨

물리적 보호: 제한된 수의 필수 인력만 데이터 센터에 액세스할 수 있습니다. 해당 ID는 스마트 카드 및 생체 인식을 비롯한 여러 인증 요인으로 확인됩니다. 온-프레미스 보안 책임자, 모션 센서 및 비디오 감시가 있습니다. 침입 검색 경고는 비정상적인 활동을 모니터링합니다.

네트워크 보호: 네트워크 및 ID는 Microsoft 회사 네트워크에서 격리됩니다. 전용 Active Directory 도메인을 사용하여 서비스를 관리하고, 테스트 및 프로덕션을 위한 별도의 도메인을 가지고 있으며, 프로덕션 도메인은 안정성과 보안을 위해 여러 격리된 도메인으로 나뉩니다. Microsoft 365의 기본 제공 물리적 및 논리적 보안에 대한 자세한 내용은 Microsoft 365의 기본 제공 보안을 참조하세요.

애플리케이션 보안: 기능을 빌드하는 엔지니어는 보안 개발 수명 주기를 따릅니다. 자동화된 수동 분석은 가능한 취약성을 식별하는 데 도움이 됩니다. Microsoft 보안 대응 센터(Microsoft 보안 대응 센터)는 들어오는 취약성 보고서를 심사하고 완화를 평가하는 데 도움이 됩니다. Microsoft Cloud Bug Bounty를 통해 전 세계 사람들은 취약성을 보고하여 수익을 올릴 수 있습니다. 자세한 내용은 Microsoft Cloud Bug Bounty Terms(Microsoft Cloud Bug Bounty Terms)에서 자세히 알아보세요.

콘텐츠 보호: 데이터는 BitLocker 암호화를 사용하여 디스크 수준에서 암호화되고 키를 사용하여 파일 수준에서 암호화됩니다. 자세한 내용은 OneDrive 및 SharePoint의 데이터 암호화를 참조하세요. 고객 키를 사용하여 Microsoft 365의 미사용 데이터를 암호화하는 데 사용되는 키를 제공하고 제어하는 방법에 대한 자세한 내용은 Microsoft Purview 고객 키 FAQ를 사용한 서비스 암호화를 참조하세요.

Microsoft 365 맬웨어 방지 엔진은 업로드 시 문서를 검사하여 AV 서명과 일치하는 콘텐츠를 검색합니다(매시간 업데이트됨). 자세한 내용은 SharePoint의 바이러스 검색을 참조하세요. 고급 보호를 위해 Microsoft 365 ATP(Advanced Threat Protection)를 사용합니다. ATP는 공유되는 콘텐츠를 분석하고 위협 인텔리전스 및 분석을 적용하여 정교한 위협을 식별합니다. 자세한 내용은 Microsoft 365 Advanced Threat Protection을 참조하세요.

신뢰할 수 없는 디바이스에 콘텐츠가 다운로드될 위험을 제한하려면 다음을 수행합니다.

• 지정한 도메인의 디바이스에 대한 동기화 제한: 특정 도메인에 가입된 컴퓨터에서만 동기화를 허용합니다.

• Intune을 사용하여 OneDrive 및 SharePoint 모바일 앱의 콘텐츠에 대한 액세스를 제한합니다. OneDrive 및 SharePoint 모바일 앱의 기능에 대한 액세스를 제어합니다.

미사용 콘텐츠를 관리하려면 다음을 수행합니다.

• SharePoint 문서 라이브러리의 IRM 정책을 구성하여 콘텐츠 다운로드를 제한합니다. SharePoint 관리 센터에서 IRM(정보 권한 관리) 설정을 참조하세요.

• AIP(Azure Information Protection)의 사용을 평가합니다. 분류 및 레이블 지정을 사용하면 데이터 사용 방법을 추적하고 제어할 수 있습니다. Azure Information Protection 방문하세요.

항상 복구 가능한 고가용성

데이터 센터는 지역 내에 지리적으로 분산되어 있으며 내결함성이 있습니다. 데이터는 자연 재해 또는 서비스에 영향을 미치는 중단의 영향을 완화하기 위해 적어도 두 개의 데이터 센터에 미러링됩니다. 자세한 내용은 Microsoft 365 고객 데이터가 저장되는 위치를 참조하세요.

메타데이터 백업은 14일 동안 유지되며 5분 이내에 언제든지 복원할 수 있습니다.

랜섬웨어 공격의 경우 버전 기록(목록 또는 라이브러리에 대한 버전 관리 사용 및 구성)을 사용하여 롤백하고, 휴지통 또는 사이트 모음 휴지통을 사용하여 복원할 수 있습니다(사이트 모음 휴지통에서 삭제된 항목 복원). 사이트 모음 휴지통에서 항목이 제거된 경우 14일 이내에 지원을 호출하여 백업에 액세스할 수 있습니다. 사용자가 지난 30일 이내에 전체 OneDrive를 어느 지점으로든 복원할 수 있는 새로운 파일 복원 기능에 대한 자세한 내용은 OneDrive 복원을 참조하세요.

지속적으로 유효성 검사

데이터 센터를 지속적으로 모니터링하여 건강하고 안전하게 유지합니다. 인벤토리로 시작합니다. 인벤토리 에이전트는 각 서브넷에서 인접 항목을 검색합니다. 각 컴퓨터에 대해 상태 캡처를 수행합니다.

인벤토리가 있으면 컴퓨터의 상태를 모니터링하고 수정할 수 있습니다. 보안 패치 학습은 패치를 적용하고 바이러스 백신 서명을 업데이트하며 알려진 올바른 구성이 저장되었는지 확인합니다. 한 번에 특정 비율의 컴퓨터만 패치하거나 회전하도록 하는 역할별 논리가 있습니다.

정책을 충족하지 않는 컴퓨터를 식별하고 교체를 위해 대기하는 자동화된 워크플로가 있습니다.

Microsoft 내의 Microsoft 365 "레드 팀"은 침입 전문가로 구성됩니다. 그들은 무단 액세스를 얻을 수있는 기회를 찾습니다. "블루 팀"은 예방, 탐지 및 복구에 중점을 둔 방어 엔지니어로 구성됩니다. 침입 감지 및 응답 기술을 빌드합니다. Microsoft에서 보안 팀의 학습을 계속하려면 보안, 개인 정보 및 규정 준수 블로그를 참조하세요.

Microsoft 365 구독에서 활동을 모니터링하고 관찰하려면 다음을 수행합니다.

• 온-프레미스 보안 운영 센터 또는 SIEM이 있는 경우 관리 활동 API를 사용하여 활동을 모니터링할 수 있습니다. 자세한 내용은 Microsoft 365 관리 API 개요를 참조하세요. 그러면 SharePoint, Exchange, Microsoft Entra ID, DLP 등에서의 활동이 표시됩니다. 온-프레미스 보안 운영 센터 또는 SIEM이 없는 경우 Cloud App Security를 사용할 수 있습니다. Cloud App Security는 관리 활동 API를 사용합니다. 자세한 내용은 Microsoft 365 Cloud App Security 개요를 참조하세요. Cloud App Security를 통해 활동을 보고, 검색 및 경고할 수 있습니다.

• Microsoft Entra ID Protection 사용합니다. 이는 기계 학습을 적용하여 의심스러운 계정 동작(예: 전 세계 여러 지역에 있는 동일한 사용자의 동시 로그인)을 검색합니다. 이러한 로그인을 차단하는 작업을 수행하도록 ID 보호를 구성할 수 있습니다. 자세한 내용은 Microsoft Entra ID Protection 참조하세요.

• 보안 점수를 사용하여 알려진 좋은 기준에 대해 구독의 보안 프로필을 평가하고 보호를 강화할 기회를 식별합니다. 자세한 내용은 Microsoft 보안 점수를 참조하세요.

감사 및 규격

규정 준수는 Microsoft 365의 기본 사항입니다. 서비스가 규정 및 규정 준수 표준을 준수하는지 확인합니다. 또한 감사 및 규정 준수 의무를 충족하는 데 도움이 됩니다. 서비스 신뢰 포털은 Microsoft 엔터프라이즈 서비스에 대한 규정 준수 및 신뢰 정보를 위한 원스톱 상점입니다. 포털에는 보고서, 백서, 취약성 평가 및 규정 준수 가이드가 포함되어 있습니다. 서비스 신뢰 포털에 대한 자세한 내용은 Microsoft 서비스 신뢰 포털 시작을 참조하세요.

규정 요구 사항을 충족하려면 다음을 수행합니다.

• 보안 & 규정 준수 센터에서 Microsoft 365 활동 감사: Microsoft 365 보안 & 규정 준수 센터에서 감사 로그를 검색합니다.

• eDiscovery 사례 만들기: Microsoft 365 보안 & 규정 준수 센터에서 eDiscovery 사례 관리

• 보존 정책 적용: 정보 관리 정책을 만들고 적용합니다.