기밀성을 보호하기 위한 디자인
 액세스 제한 및 난독 처리 기술을 통해 개인 정보 보호, 규정, 애플리케이션 및 독점 정보에 대한 노출을 방지합니다. |
|---|
워크로드 데이터는 사용자, 사용량, 구성, 규정 준수, 지적 재산 등으로 분류할 수 있습니다. 워크로드 데이터는 설정된 트러스트 경계를 넘어 공유하거나 액세스해서는 안 됩니다. 기밀성을 보호하기 위한 노력은 액세스 제어, 불투명도 및 데이터 및 시스템과 관련된 활동의 감사 내역을 유지하는 데 중점을 두어야 합니다.
예제 시나리오
Contoso Rise Up은 모금 및 기부 활동에서 비영리 단체를 지원하는 것을 전문으로 하는 다중 테넌트 Software-as-a-Service 제품을 제공합니다. 그들은 건강한 고객 기반을 가진 몇 년 동안 시장에 있었습니다. 이 솔루션은 ARO(Azure Red Hat OpenShift) 및 Azure Database for PostgreSQL을 기반으로 합니다. 격리된 테넌트와 공동 배치된 테넌트를 모두 더 저렴한 제품으로 제공합니다.
엄격하게 액세스 제한
알아야 할 경우에만 액세스 권한을 부여하는 강력한 액세스 제어를 구현합니다.
워크로드는 무단 액세스 및 금지된 활동으로부터 보호됩니다. 신뢰할 수 있는 ID에서 액세스하는 경우에도 통신 경로가 제한된 기간 동안 열려 있으므로 액세스 권한 및 노출 시간이 최소화됩니다.
Contoso의 과제
- Contoso Rise Up은 항상 놀라운 고객 지원에 자부심을 가지고 있습니다. 지원 팀의 모든 사용자는 실시간으로 문제를 해결하고 조언할 수 있도록 고객 데이터에 즉시 액세스할 수 있습니다.
- 지원 팀은 정기적으로 윤리적 액세스에 대한 교육을 받습니다.
- 안타깝게도 불만을 품은 한 지원 직원이 조직의 기부자 목록을 복사하고 공개적으로 공유하여 고객의 기밀성을 침해했습니다. 직원이 해고되는 동안 Contoso Rise Up에 대한 평판 피해는 이미 수행되었습니다.
접근 방식 및 결과 적용
- Contoso Rise Up은 사용자를 Microsoft Entra ID 그룹으로 엄격하게 분할하고 해당 그룹에 대해 정의된 RBAC를 다양한 리소스 그룹 및 리소스로 구현했습니다.
- 데이터에 대한 모든 액세스는 시간이 제한되며 승인 및 감사 프로세스를 거치게 됩니다.
- 이러한 표준은 워크로드 및 고객 지원 팀에 적용되었습니다. Contoso Rise Up은 이제 고객 데이터에 대한 고정 액세스 권한이 없다고 확신합니다.
분류를 통해 기밀 데이터 식별
형식, 민감도 및 잠재적 위험에 따라 데이터를 분류합니다. 각각에 대한 기밀성 수준을 할당합니다. 식별된 수준에 대한 범위에 있는 시스템 구성 요소를 포함합니다.
이 평가는 보안 조치의 크기를 조정하는 데 도움이 됩니다. 또한 잠재적 영향 및/또는 위험에 노출되는 데이터 및 구성 요소를 식별할 수 있습니다. 이 연습은 정보 보호 전략에 명확성을 더하고 규약을 보장하는 데 도움이 됩니다.
Contoso의 과제
- 기부자 관리 시스템은 기밀 정보부터 Contoso Rise Up(예: 고객 목록)에 이르기까지 다양한 유형의 데이터를 저장하고, 고객에게 기밀로 유지되는 정보(예: 기부자 목록) 및 고객의 기부자에게 기밀로 유지되는 정보(예: 우편 주소)에 이르기까지 다양한 유형의 데이터를 저장합니다.
- 또한 시스템은 스톡 이미지 및 문서 서식 파일과 같은 민감하지 않은 데이터를 보유합니다.
- 워크로드 팀은 데이터를 분류하는 데 시간을 할애한 적이 없으며 단순히 데이터 세트 전반에 걸쳐 보안을 광범위하게 적용했습니다.
접근 방식 및 결과 적용
- Contoso 조직의 분류 리드에 따라 워크로드 팀은 데이터 저장소, 열, 스토리지 계정 및 기타 스토리지 리소스에 존재하는 데이터의 유형과 민감도를 나타내는 메타데이터로 플래그를 지정하는 데 시간을 보냅니다.
- 이 활동을 통해 팀은 중요한 데이터가 로깅 문 및 백업을 포함하여 전체 시스템에 필요한 기밀성 수준으로 처리되고 있는지 확인할 수 있습니다.
- 팀은 낮은 보안 데이터베이스에 상대적으로 중요한 데이터가 있고 더 높은 보안 데이터베이스에 일부 민감하지 않은 데이터가 있음을 발견했습니다. 보안 컨트롤이 보호 중인 데이터와 정렬되도록 스토리지 위치를 조정합니다.
- 또한 권한 있는 직원이 시스템에 액세스하는 경우에도 데이터의 기밀성을 더 잘 보호하기 위해 주요 필드에 데이터 마스킹을 구현할 계획입니다.
데이터 수명 주기의 모든 단계에서 암호화 적용
금고 암호화를 사용하여 미사용, 전송 중 및 처리 중에 데이터를 보호합니다. 할당된 기밀 유지 수준에 따라 전략을 설정합니다.
이 접근 방식을 따르면 공격자가 액세스하더라도 제대로 암호화된 중요한 데이터를 읽을 수 없습니다.
중요한 데이터에는 시스템 내에서 추가 액세스 권한을 얻는 데 사용되는 구성 정보가 포함됩니다. 데이터 암호화는 위험을 포함하는 데 도움이 될 수 있습니다.
Contoso의 과제
- Contoso Rise Up은 기본 제공 특정 시점 복원을 사용하여 PostgreSQL 데이터베이스의 테넌트별 백업을 사용합니다. 또한 추가 보증을 위해 전체 DR(재해 복구) 준비를 위해 격리된 스토리지 계정에 매일 하나의 트랜잭션 일치 백업을 만듭니다.
- DR에 사용되는 스토리지 계정은 Just-In-Time 액세스로 제한되며 몇 가지 Microsoft Entra ID 계정에 액세스할 수 있습니다.
- 복구 훈련 중에 직원이 백업에 액세스하는 프로세스를 거쳤고 Contoso 조직의 네트워크 공유에 백업을 실수로 복사했습니다.
- 이 백업은 몇 달 후 Contoso의 개인 정보 보호 팀에 발견되어 보고되었으며, 인시던트 시점과 검색 시간 사이에 어떻게 액세스되었는지에 대한 조사를 시작했습니다. 다행히 기밀 유지 위반이 감지되지 않았으며 포렌식 및 감사 검토가 완료된 후 파일이 삭제되었습니다.
접근 방식 및 결과 적용
- 팀은 모든 백업을 미사용 시 암호화하고 Key Vault에서 암호화 키를 보호해야 한다는 새로운 프로세스를 공식화했습니다.
- 이제 백업 파일에 포함된 데이터가 암호 해독 기능 없이는 쓸모가 없으므로 이와 같은 인시던트가 개인 정보 침해 가능성이 낮아질 수 있습니다.
- 또한 이제 DR 계획에는 백업을 안전하게 암호 해독하는 방법과 시기를 포함하여 백업의 적절한 처리를 지시하는 표준 지침이 포함되어 있습니다.