Microsoft 및 Azure 데이터 보호 도구
Contoso는 더 많은 데이터를 클라우드로 이동함에 따라 보안 또는 규정 준수 위험이 발생하지 않는다는 확신을 원합니다. 환경과 비즈니스에서 변화가 발생할 때 데이터를 보호하는 데 도움을 줄 파트너가 필요합니다. Microsoft는 Contoso가 데이터 개인 정보 규정 준수 및 데이터 보호 목표를 달성하는 데 도움이 되는 도구, 서비스 및 계획을 제공할 수 있습니다.
Microsoft는 정기적인 감사를 받고 Microsoft Azure, Microsoft 365 및 Microsoft Dynamics 365와 같은 클라우드 서비스에 대한 자체 평가를 타사 감사자에게 제출합니다. 이 프로세스는 Microsoft가 클라우드 서비스 공급자로서의 역할에 적용되는 모든 보안 및 규정 준수 요구 사항을 충족하는지 확인하는 데 도움이 됩니다.
또한 Microsoft는 전 세계의 업계 리더 및 정부 기관과 적극적으로 협력하여 Microsoft 또는 해당 고객에게 영향을 미칠 수 있는 향후 규정 준수 요구 사항을 예측합니다. Microsoft는 새로운 프레임워크와 표준을 채택한 최초의 글로벌 클라우드 서비스 공급자인 경우가 많습니다.
Microsoft 규정 준수 리소스
글로벌 규제 기관은 자주 법률과 규칙을 업데이트하므로 조직에서 변경 사항이 적용되는 방식을 결정하기 어려울 수 있습니다. 규정 준수 담당자는 진화하는 요구 사항을 충족할 수 있도록 부지런히 작업해야 합니다. Microsoft는 도구, 지침 및 광범위한 문서를 제공하여 고객이 규정 준수 의무를 최신 상태로 유지할 수 있도록 지원합니다.
Microsoft 보안 센터
Microsoft 보안 센터는 클라우드 제품 및 서비스에 대한 Microsoft의 보안, 개인 정보 보호, 규정 준수 및 투명성 약속에 대한 자세한 정보를 제공합니다. 보안 센터에는 Microsoft 클라우드 서비스에 대한 모든 현재 인증, 증명 및 기타 규정 준수 제품에 대한 정보가 포함되어 있습니다.
Service Trust Portal
서비스 신뢰 포털에는 일반적인 산업 표준 및 규정에 대한 광범위한 정보가 있습니다. 감사 보고서, Azure Security Blueprints 및 신뢰 문서는 클라우드 기능을 이해하고 기술 규정 준수 및 제어 요구 사항을 요구 사항과 비교하는 데 도움이 됩니다. 추가 지침 및 도구는 Azure 및 기타 Microsoft 클라우드 서비스 고객이 보안, 규정 준수 및 개인 정보 보호 요구 사항을 충족하는 데 도움이 됩니다.
Azure에서 데이터 보호
Azure는 데이터 분리, 데이터 암호화, 데이터 중복성 및 데이터 폐기를 사용하여 애플리케이션, 플랫폼, 시스템 및 스토리지에서 고객 데이터를 보호합니다.
데이터 분리
Azure는 논리적 격리를 사용하여 각 고객의 데이터를 다른 고객의 데이터와 분리하는 다중 테넌트 서비스입니다. 이러한 분리는 고객의 데이터가 다른 고객의 데이터와 결합되지 않고 다른 고객이 액세스할 수 없도록 하는 데 도움이 됩니다.
데이터 암호화.
Azure는 미사용 및 전송 중인 데이터 암호화를 위한 다양한 암호화 기능 및 옵션을 제공합니다. Azure는 클라이언트 쪽 암호화 및 서버 쪽 암호화를 포함하여 다양한 암호화 모델을 지원하며 Microsoft 관리 암호화 키와 고객 관리 암호화 키를 지원합니다. 미사용 데이터의 경우 Azure는 몇 가지 유연한 암호화 옵션을 제공합니다.
- Azure Disk Encryption은 Windows용 업계 표준 BitLocker 기능 또는 Linux용 DM-Crypt 기능을 사용하여 운영 체제(OS) 및 데이터 디스크에 대한 볼륨 암호화를 제공합니다.
- 투명한 데이터 암호화(TDE)는 Azure SQL 데이터베이스를 보호하는 데 도움이 됩니다.
- Azure Key Vault는 클라우드 애플리케이션 및 서비스에서 사용하는 데이터 암호화 키를 제어하여 쉽고 비용 효율적으로 암호화 키 관리를 간소화하는 데 도움이 됩니다.
통신 프로토콜
Azure는 Microsoft 데이터 센터 내에서 그리고 장치와 데이터 센터 간에 TLS(Transport-Layer Security) 1.2+를 포함하여 전송 중인 데이터에 대해 산업 표준 전송 프로토콜을 사용합니다. VM(가상 머신)과 사용자 간의 트래픽에 대한 암호화를 활성화할 수도 있습니다.
Windows Server 2012 이상 VM의 경우 SMB(Server Message Block) 3.0을 사용하여 Azure 가상 네트워크를 통해 전송 중인 데이터를 암호화하여 데이터 전송을 보호할 수 있습니다. 네트워크 관리자는 전체 서버 또는 특정 공유에 대해 SMB 암호화를 활성화할 수 있습니다. Azure에서 Linux VM에 연결하려면 보안되지 않은 연결을 통해 안전하게 로그인할 수 있는 암호화된 연결 프로토콜인 SSH(보안 셸)를 사용할 수 있습니다.
Azure VPN 암호화는 네트워크를 통해 전송되는 데이터를 보호하는 데 도움이 되는 안전하고 암호화된 터널을 생성합니다. 사이트 간 VPN은 전송 암호화에 IPsec을 사용합니다. 특정 암호화 알고리즘과 키 강도의 사용자 지정 IPsec/IKE(Internet Key Exchange) 정책을 사용하도록 Azure VPN Gateway를 구성할 수 있습니다. 지점 및 사이트 간 VPN은 SSTP(Secure Socket Tunneling Protocol)를 사용하여 개별 클라이언트 컴퓨터가 Azure 가상 네트워크에 액세스할 수 있도록 허용하는 VPN 터널을 만듭니다.
데이터 중복
규정 준수 또는 대기 시간 고려 사항을 수용하기 위해 미사용 데이터의 국가/지역 내부 스토리지를 선택할 수 있습니다. 보안 또는 재해 복구 목적으로 해외/지역 스토리지를 사용할 수도 있습니다. 중복성을 위해 선택한 지리적 영역 내에서 데이터를 여러 번 복제할 수 있습니다. Azure Storage 계정의 데이터는 내구성과 고가용성을 보장하기 위해 항상 주 지역 내에서 복제됩니다. 기본 및 보조 지역 복제 옵션은 다음과 같습니다.
- 로컬 중복 스토리지
- 영역 중복 스토리지
- 지역 중복 스토리지
- 지역 영역 중복 스토리지
- 읽기 액세스 지역 중복 스토리지 및 읽기 액세스 지역 영역 중복 스토리지
데이터 스토리지 보안
Azure에는 스토리지용 Microsoft Defender 및 SQL Database용 Microsoft Defender를 포함하여 데이터 스토리지 보안을 모니터링하는 데 도움이 되는 여러 서비스가 있습니다.
스토리지용 Microsoft Defender는 스토리지 계정에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 검색하는 보안 지능 계층을 제공합니다. 이 보호 계층은 보안 전문가가 아니거나 보안 모니터링 시스템을 관리하지 않고도 위협을 해결할 수 있도록 도와줍니다. 스토리지용 Microsoft Defender는 이상 활동을 검색하고 클라우드용 Microsoft Defender와 통합되는 보안 경고를 트리거하며 구독 관리자에게 전자 메일로 전송됩니다. 경고에는 의심스러운 활동에 대한 세부 정보와 위협을 조사하고 해결하는 방법에 대한 권장 사항이 포함됩니다.
SQL용 Microsoft Defender는 고급 Azure SQL 보안 기능을 제공하는 통합 데이터 보안 패키지의 일부입니다. SQL용 Microsoft Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타낼 수 있는 비정상적인 활동을 검색하고 경고를 제공합니다. 이러한 알림을 통해 고객은 잠재적인 위협을 검색하고 대응할 수 있습니다.
데이터 파기
데이터를 삭제하거나 Azure를 떠날 때 Microsoft는 다시 사용하기 전에 스토리지 리소스를 덮어쓰는 업계 표준 프로세스를 따릅니다. Microsoft는 또한 스토리지 미디어를 파기할 때 국립 표준 기술 연구소 특별 간행물(National Institute of Standards and Technology Special Publication) 800-88 지침을 따릅니다.