다음을 통해 공유


Windows Server에 대한 GDPR(일반 데이터 보호 규정) 여정 시작

이 문서에서는 규정 준수를 위해 Microsoft에서 제공하는 제품 및 GDPR에 대한 정보를 제공합니다.

소개

2018년 5월 25일, 개인 정보 보호 권리, 보안 및 규정 준수에 대한 새로운 글로벌 기준을 설정하는 유럽 개인 정보 보호법이 발효될 예정입니다.

일반 데이터 보호 규정(GDPR)은 근본적으로 개인의 개인 정보 보호 권리의 보호와 실행에 관한 것입니다. GDRM은 데이터 전송, 처리 또는 저장 위치에 관계 없이 개인 데이터를 관리하고 보호하는 동시에 개별 선택 항목을 존중하는 엄격한 글로벌 개인 정보 보호 요구 사항을 설정합니다.

Microsoft와 고객은 이제 GDPR의 개인 정보 보호 목표를 달성하기 위한 여정을 함께하고 있습니다. Microsoft는 개인 정보 보호 권리가 기본적인 권리이며, GDPR이 개인의 정보 보호 권리를 명확히 하고 뒷받침하는 데 있어 한 걸음 더 나아가기 위한 중요한 조치임을 확신합니다. 그러나 우리는 또한 GDPR이 전 세계 조직에 의해 중대한 변화가 필요하다는 것을 알고 있습니다.

Microsoft는 최고 개인정보 보호 책임자 Brendon Lynch가 마련한 Microsoft 클라우드를 통한 GDPR 준수 블로그 게시물과 일반 데이터 보호 규정에 대한 계약상의 약속으로 고객의 신뢰 확보" 블로그 게시물&(Microsoft 기업 부사장 법률 고문 Rich Sauer)에서 GDPR과 관련한 Microsoft의 노력과 고객을 지원하는 방법을 간략하게 제시했습니다.

GDPR 규정 준수와 관련한 귀하의 여정은 어려워 보일 수 있지만, Microsoft가 도와드리겠습니다. GDPR, Microsoft의 약속 및 여정을 시작하는 방법에 대한 자세한 내용은 Microsoft Trust Center의 GDPR 섹션을 방문하시기 바랍니다.

GDPR 및 GDPR의 영향

GDPR은 개인 데이터를 수집, 사용 및 관리하는 방법을 크게 변경해야 할 수 있는 복잡한 규정입니다. Microsoft는 고객이 복잡한 규정을 준수하도록 지원한 오랜 역사를 가지고 있으며 GDPR 준비와 관련한 여정을 함께하는 파트너입니다.

GDPR은 유럽 연합(EU)의 사람들에게 상품과 서비스를 제공하거나 EU 거주자와 관련된 데이터를 수집 및 분석하는 조직에 해당 조직의 위치를 불문하고 새로운 규칙을 적용합니다. GDPR의 주요 요소는 다음과 같습니다.

  • 향상된 개인 정보 보호 권리 EU 거주자가 개인 데이터에 액세스하고, 해당 데이터의 부정확성을 교정하고, 데이터를 지우고, 개인 데이터 처리에 반대하고, 이동할 권리를 보유하도록 보장하여 데이터 보호를 강화

  • 개인 데이터 보호에 대한 의무 증가 개인 데이터를 처리하는 조직의 책임을 강화하여 규정 준수를 보장하는 책임의 명확성 제고

  • 개인 데이터 침해 보고 의무화 개인 데이터를 제어하는 조직은 과도한 지연 없이 감독 당국에 개인의 권리와 자유에 위험을 초래하는 개인 데이터 침해를 보고해야 하며, 가능한 경우 위반 사실을 알게 된 이후 72시간 이내에 보고해야 합니다.

예상하시는 바와 같이 GDPR은 비즈니스에 상당한 영향을 미칠 수 있으며, 잠재적으로 개인 정보 보호 정책을 업데이트하고, 데이터 보호 제어 및 위반 알림 절차를 구현 및 강화하고, 매우 투명한 정책을 배포하고, IT 및 교육에 추가로 투자해야 할 수 있습니다. Microsoft Windows 10은 여러분들이 이러한 요구 사항 중 일부를 효과적이고 효율적으로 해결하는 데 도움을 드릴 수 있습니다.

개인 및 중요 데이터

GDPR을 준수하려면 GDPR에서 개인 및 중요 데이터를 정의하는 방법과 이러한 정의가 조직에서 보유한 데이터와 어떻게 관련되는지 이해해야 합니다. 이러한 이해를 기반으로 하면 해당 데이터가 생성, 처리, 관리 및 저장되는 위치를 검색할 수 있습니다.

GDPR은 개인 데이터를 식별하거나 식별 가능한 자연인과 관련된 정보로 간주합니다. 여기에는 직접적인 신원 확인(예: 실명)과 간접적 신원(예: 귀하가 데이터 참조임을 분명히 하는 특정 정보)이 모두 포함될 수 있습니다. 또한 GDPR은 개인 데이터의 개념에 온라인 식별자(예: IP 주소 및 모바일 장치 ID)와 위치 데이터가 포함되어 있음을 분명히 합니다.

GDPR은 유전 데이터(예: 개인의 유전자 서열) 및 생체 인식 데이터에 대한 특정 정의를 적용합니다. 유전 데이터 및 생체 인식 데이터와 기타 하위 범주의 개인 데이터(인종 또는 민족 기원을 드러내는 개인 데이터, 정치적 의견, 종교적 또는 철학적 신념 또는 노동조합 구성원: 건강에 관한 데이터, 또는 개인의 성생활 또는 성적 지향에 관한 데이터)는 GDPR에 따라 중요 개인 데이터로 취급됩니다. 중요 개인 데이터는 향상된 보호를 제공하며 일반적으로 중요 개인 데이터를 처리하는 데 있어 개인의 명시적 동의가 필요합니다.

식별되거나 식별 가능한 자연인(데이터 주체)과 관련된 정보의 예

이 목록은 GDPR을 통해 규제될 여러 유형의 정보에 대한 예시를 제공합니다. 전체 목록은 아닙니다.

  • 속성

  • ID 번호(예: SSN)

  • 위치 데이터(예: 집 주소)

  • 온라인 식별자(예: 전자 메일 주소, 화면 이름, IP 주소, 디바이스 ID)

  • 가명 데이터(예: 개인을 식별하는 키 사용)

  • 유전 데이터(예: 개인의 생물학적 샘플)

  • 생체 인식 데이터(예: 지문, 얼굴 인식)

GDPR 규정 준수를 향한 여정 시작

GDPR 규격을 준수하기 위해 얼마나 많은 작업이 관련되어 있는지를 고려할 때, 시행이 시작될 때까지 준비를 미루는 것은 바람직하지 않습니다. 이제 개인 정보 및 데이터 관리 사례를 검토해야 합니다. 다음 네 가지 주요 단계에 집중하여 GDPR 규정 준수에 대한 여정을 시작하는 것이 좋습니다.

  • 살펴보기 가지고 있는 개인 데이터와 해당 개인 데이터가 어디에 있는지 식별합니다.

  • 관리. 개인 데이터를 사용하고 액세스하는 방법을 제어합니다.

  • 보호 취약성 및 데이터 침해를 방지, 탐지 및 대응하기 위한 보안 제어를 설정합니다.

  • 보고서 데이터 요청에 대해 조치를 취하고, 데이터 위반을 보고하고, 필요한 설명서를 보관합니다.

    4개 주요 GDPR 단계가 함께 작동하는 방법에 대한 다이어그램

각 단계마다 해당 단계의 요구 사항을 해결하는 데 사용할 수 있는 다양한 Microsoft 솔루션의 예제 도구, 리소스 및 기능이 제시되어 있습니다. 이 문서는 모든 방법을 포괄하여 제공하는 가이드는 아니지만 상세 내용을 확인할 수 있는 링크가 포함되어 있으며, 자세한 사항은 Microsoft Trust의 GDPR 섹션에서 확인할 수 있습니다.

Windows Server 보안 및 개인 정보 보호

GDPR에 따라 여러분은 개인 데이터 및 처리 시스템을 보호하기 위해 적절한 기술 및 조직 보안 조치를 구현해야 합니다. GDPR이라는 맥락에서 물리적 및 가상 서버 환경은 잠재적으로 개인 및 중요한 데이터를 처리합니다. 처리는 데이터 수집, 저장 및 검색과 같은 모든 작업 또는 작업 집합을 의미할 수 있습니다.

이 요구 사항을 충족하고 적절한 기술 보안 조치를 구현하는 기능은 점점 더 적대적으로 변해가는 오늘날의 IT 환경에서 직면하는 위협을 반영해야 합니다. 오늘날의 보안 위협 환경은 공격적이고 끈질긴 위협 중 하나입니다. 지난 몇 년 동안 악의적인 공격자들은 주로 공격을 통해 커뮤니티 인식되거나 일시적으로 시스템을 오프라인으로 전환할 수 있는 스릴을 얻는 데 집중했습니다. 그 이후로 공격자의 동기는 소유자가 요구되는 몸값을 지불할 때까지 장치 및 데이터 인질을 보유하는 것을 포함하여 금전적인 이익을 얻는 방향으로 이동했습니다.

최신 공격은 점점 더 대규모 지적 재산 도난에 초점을 맞추고 있으며; 재무 손실을 초래할 수 있는 대상 시스템 저하 전 세계의 개인, 기업 및 국익의 안보를 위협하는 사이버 테러도 존재합니다. 이러한 공격자는 일반적으로 고도로 훈련된 개인 및 보안 전문가이며, 그 중 일부는 예산 규모가 크며 인적 자원이 무제한인 국가를 이용합니다. 이와 같은 위협에는 해당 문제에 대응할 수 있는 접근 방식이 필요합니다.

이러한 위협은 사용자가 가질 수 있는 개인 또는 중요한 데이터의 제어를 유지하는 능력에 위험할 뿐 아니라 전체 비즈니스에도 중대한 위험으로 작용합니다. 다음과 같은 McKinsey, Ponemon Institute, Verizon 및 Microsoft의 최근 데이터를 고려해 보세요.

  • GDPR에서 보고할 것으로 예상되는 데이터 침해 유형의 평균 비용은 350만 달러입니다.

  • 이러한 침해의 63%는 GDPR에서 해결해야 하는 약하거나 도난당한 암호를 포함합니다.

  • 매일 30만 개 이상의 새로운 맬웨어 샘플이 생성되고 확산되고 있어 데이터 보호를 다루는 작업이 더욱 어려워집니다.

한때 인터넷의 검은 전염병이라고 불렸던 최근의 랜섬웨어 공격에서 볼 수 있듯이, 공격자는 잠재적으로 치명적인 결과를 초래할 수 있는 더 많은 비용을 지불할 수 있는 더 큰 표적을 쫓고 있습니다. GDPR에는 개인 정보 및 중요 데이터가 많은 데스크톱과 노트북을 포함한 시스템을 대상으로 하는 처벌 규정이 포함되어 있습니다.

Windows 개발을 안내하고 계속 안내하는 주요 원리에는 두 가지가 있습니다.

  • 보안. 고객을 대신하여 Microsoft 소프트웨어 및 서비스가 저장하는 데이터는 위험으로부터 보호되어야 하며 적절한 방법으로만 사용 또는 수정되어야 합니다. 보안 모델은 개발자가 애플리케이션을 쉽게 이해하고 빌드할 수 있어야 합니다.

  • 개인 정보. 사용자는 데이터가 사용되는 방식을 제어해야 합니다. 정보 사용에 대한 정책은 사용자에게 명확해야 합니다. 사용자는 시간을 최대한 활용하기 위해 정보를 받는 시기와 시기를 통제해야 합니다. 사용자는 보내는 전자 메일의 사용을 통제하는 등 정보의 적절한 사용을 쉽게 지정할 수 있어야 합니다.

Microsoft는 Microsoft의 CEO인 Satya Nadella가 최근에

"세계가 계속 변화하고 비즈니스 요구 사항이 진화하는 상황에서 보안 및 개인 정보 보호에 대한 고객의 요구와 같이 변하지 않는 부분도 있습니다."라고 언급한 바와 같이 이러한 원칙을 지원합니다.

GDPR을 준수하기 위해 노력하는 과정에서 GDPR에 따라 개인적이고 잠재적으로 중요한 데이터로 인정될 수 있는 데이터를 생성, 액세스, 처리, 저장 및 관리하는 데 물리적 서버와 가상 서버가 담당하는 역할을 이해하는 것이 중요합니다. Windows Server는 개인 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 구현하기 위해 GDPR 요구 사항을 준수하는 데 도움이 되는 기능을 제공합니다.

Windows Server 2016의 보안 태세는 볼트온이 아니라 아키텍처 원칙입니다. 다음 네 가지 보안 주체에서 이를 가장 잘 이해할 수 있습니다.

  • 보호 예방 조치에 대한 지속적인 초점과 혁신으로, 알려진 공격 및 알려진 맬웨어를 차단

  • 탐지. 이상을 발견하고 공격에 더 빠르게 대응하는 데 도움이 되는 포괄적인 모니터링 도구

  • 대응 선도적인 응답 및 복구 기술 및 심층 컨설팅 전문 지식

  • 격리 운영 체제 구성 요소 및 데이터 비밀을 격리하고 관리자 권한을 제한하며 호스트 상태를 엄격하게 측정

Windows Server를 사용하면 데이터 침해로 이어질 수 있는 공격 유형을 보호, 감지 및 방어할 수 있는 역량이 대폭 향상됩니다. GDPR는 침해 알림에 대한 엄격한 요구 사항을 제시하므로 데스크톱 및 노트북 시스템을 잘 방어하면 고비용의 침해 분석 및 알림을 초래할 수 있는 위험을 낮출 수 있습니다.

다음 섹션에서는 Windows Server가 GDPR 규정 준수 경험의 "보호" 단계에 맞는 기능을 제공하는 방법을 확인할 수 있습니다. 이러한 기능은 다음 세 가지 보호 시나리오에 속합니다.

  • 자격 증명을 보호하고 관리자 권한을 제한합니다. Windows Server 2016은 이러한 변경 내용을 구현하여 시스템이 추가 침입을 위한 시작 지점으로 사용되지 않도록 하는 데 도움이 됩니다.

  • 운영 체제를 보호하여 앱 및 인프라를 실행합니다. Windows Server 2016은 외부 공격자가 악성 소프트웨어를 실행하거나 취약성을 악용하지 못하도록 차단하는 데 도움이 되는 보호 계층을 제공합니다.

  • 보안 가상화 Windows Server 2016은 보호된 가상 머신 및 보호된 패브릭을 사용하여 보안 가상화를 지원합니다. 이렇게 하면 패브릭의 신뢰할 수 있는 호스트에서 가상 머신을 암호화하고 실행하여 악의적인 공격으로부터 더 잘 보호할 수 있습니다.

특정 GDPR 요구 사항에 대한 참조와 함께 아래에 자세히 설명된 이러한 기능은 운영 체제 및 데이터의 무결성 및 보안을 유지하는 데 도움이 되는 고급 디바이스 보호를 기반으로 합니다.

GDPR 내의 주요 프로비저닝은 기본적으로 설계 및 데이터 보호이며, 이 프로비저닝을 충족하는 데 도움이 되는 기능은 BitLocker 디바이스 암호화 등 Windows 10에서 제공하는 기능입니다. BitLocker는 하드웨어 기반의 보안 관련 기능을 제공하는 신뢰할 수 있는 플랫폼 모듈(TPM) 기술을 사용합니다. 이 암호화 프로세서 칩에는 변조 방지를 위한 여러 물리적 보안 메커니즘이 포함되어 있으며, 악성 소프트웨어는 TPM의 보안 기능을 변조할 수 없습니다.

변조를 확인 하는 여러 물리적 보안 메커니즘을 포함 하는 해당 칩 이며 악성 소프트웨어는 TPM의 보안 기능에 손상을 입힐 수 없습니다. TPM 기술을 사용할 때의 주요 이점 중 일부는 다음을 수행할 수 있다는 것입니다.

  • 암호화 키의 사용을 생성, 저장 및 제한합니다.

  • 자체적으로 구워지는 TPM의 고유한 RSA 키를 사용하여 플랫폼 장치 인증에 TPM 기술을 사용합니다.

  • 보안 측정을 수행하고 저장하여 플랫폼 무결성을 보장하는 데 기여합니다.

데이터 침해 없이 운영과 관련된 추가 고급 디바이스 보호에는 시스템 방어 전에 맬웨어를 시작할 수 없도록 하여 시스템의 무결성을 유지하는 데 도움이 되는 Windows Trusted Boot가 포함됩니다.

Windows Server: GDPR 규정 준수 경험 지원

Windows Server 내 주요 기능은 GDPR이 규정 준수에 필요한 보안 및 개인 정보 메커니즘을 효율적이고 효과적으로 구현하는 데 도움이 될 수 있습니다. 이러한 기능은 규정 준수를 보장하지는 않지만, 사용자의 규정 준수 노력을 지원합니다.

서버 운영 체제는 조직의 인프라에서 전략적 계층에 위치하여 데이터를 도용하고 비즈니스를 방해할 수 있는 공격으로부터 보호 계층을 만들 수 있는 새로운 기회를 제공합니다. 설계별 개인 정보 보호, 데이터 보호 및 액세스 제어와 같은 GDPR의 주요 측면은 서버 수준의 IT 인프라 내에서 해결해야 합니다.

ID, 운영 체제 및 가상화 계층을 보호하기 위해 Windows Server 2016은 도난당한 자격 증명, 맬웨어 및 손상된 가상화 패브릭과 같이 시스템에 대한 불법 액세스 확보에 사용되는 일반적인 공격 벡터를 차단하는 데 도움이 됩니다. Windows Server 2016에 기본 제공되는 보안 구성 요소는 비즈니스 위험을 줄일 뿐 아니라 주요 정부 및 산업 보안 규정의 규정 준수 요구 사항을 해결하는 데 도움이 됩니다.

이러한 ID, 운영 체제 및 가상화 보호를 사용하면 Windows Server를 실행하는 데이터 센터를 모든 클라우드에서 VM으로 더 잘 보호하며 공격자가 자격 증명을 손상시키고, 맬웨어를 시작하고, 네트워크에서 검색되지 않은 상태로 유지하는 능력을 제한할 수 있습니다. 마찬가지로 Hyper-V 호스트로 배포될 때 Windows Server 2016은 보호된 가상 머신 및 분산 방화벽 기능을 통해 가상화 환경에 대한 보안 보증을 제공합니다. Windows Server 2016에서는 서버 운영 체제가 데이터 센터 보안에 적극적으로 참여하게 됩니다.

자격 증명을 보호하고 관리자 권한을 제한합니다.

개인 데이터에 대한 액세스 제어 및 해당 데이터를 처리하는 시스템은 관리자의 액세스를 비롯한 특정 요구 사항이 존재하는 GDPR의 영역입니다. 권한 있는 ID는 도메인 관리자, 엔터프라이즈 관리자, 로컬 관리자 또는 Power Users 그룹의 구성원인 사용자 계정과 같이 상승된 권한이 있는 모든 계정입니다. 이러한 ID에는 백업 수행, 시스템 종료 또는 로컬 보안 정책 콘솔의 사용자 권한 할당 노드에 나열된 기타 권한과 같은 직접 권한이 부여된 계정이 포함될 수도 있습니다.

일반적인 액세스 제어 원칙 및 GDPR에 따라 잠재적인 공격자에 의한 손상으로부터 이러한 권한 있는 ID를 보호해야 합니다. 먼저 ID가 손상되는 방식을 이해하는 것이 중요합니다. 그래야 공격자가 권한 있는 ID에 액세스하지 못하도록 계획할 수 있습니다.

권한 있는 ID는 어떻게 손상될까요?

조직에 보호 지침이 없는 경우 권한 있는 ID가 손상될 수 있습니다. 다음은 예입니다.

  • 필요한 것보다 더 많은 권한 보유 가장 일반적인 문제 중 하나는 사용자가 작업 기능을 수행하는 데 필요한 것보다 더 많은 권한을 보유하고 있다는 것입니다. 예를 들어 DNS를 관리하는 사용자는 AD 관리자일 수 있습니다. 대부분의 경우 이러한 관리는 다른 관리 수준을 구성할 필요가 없도록 하기 위해 이루어집니다. 그러나 이러한 계정이 손상된 경우 공격자는 자동으로 상승된 권한을 가집니다.

  • 상승된 권한을 통한 지속적인 로그인 또 다른 일반적인 문제는 상승된 권한을 가진 사용자가 무제한으로 권한을 사용할 수 있다는 것입니다. 이는 권한 있는 계정을 사용하여 데스크톱 컴퓨터에 로그인하고, 로그인 상태를 유지하고, 권한 있는 계정을 사용하여 웹을 찾아보고 전자 메일(일반적인 IT 작업 기능)을 사용하는 IT 전문가에게 매우 일반적입니다. 권한 있는 계정의 기간 제한이 없으면 계정이 공격에 더 취약해지고 계정이 손상될 확률이 높아집니다.

  • 사회 공학 연구 대부분의 자격 증명 위협은 조직을 조사한 다음 사회 공학을 통해 수행함으로써 시작됩니다. 예를 들어 공격자는 이메일 피싱 공격을 수행하여 조직의 네트워크에 액세스할 수 있는 합법적인 계정(반드시 상승된 계정은 아님)을 손상시킬 수 있습니다. 그런 다음 공격자는 이러한 유효한 계정을 사용하여 네트워크에 대한 추가 조사를 수행하고 관리 작업을 수행할 수 있는 권한 있는 계정을 식별합니다.

  • 상승된 권한으로 계정을 활용 네트워크에서 상승되지 않은 일반 사용자 계정이 있더라도 공격자는 상승된 권한이 있는 계정에 액세스할 수 있습니다. 이 작업을 수행하는 가장 일반적인 방법 중 하나는 Pass-the-Hash 또는 Pass-the-Token 공격을 사용하는 것입니다. Pass-the-Hash 및 기타 자격 증명 도난 기술에 대한 자세한 내용은 Pass-the-Hash(PtH) 페이지의 리소스를 참조하시기 바랍니다.

물론 공격자가 권한 있는 ID를 식별하고 손상시키는 데 사용할 수 있는 다른 방법 또한 존재합니다(매일 새 메서드가 생성됨). 따라서 사용자가 최소 권한 계정으로 로그온하여 공격자가 권한 있는 ID에 액세스 가능한 기능을 줄이는 방법을 설정하는 것이 중요합니다. 아래 섹션에서는 Windows Server가 이러한 위험을 완화할 수 있는 기능에 대해 간략하게 설명합니다.

Just-in-Time Admin(JIT) 및 Just Enough Admin(JEA)

Pass-the-Hash 또는 Pass-the-Ticket 공격으로부터 보호하는 것도 중요하지만, 사회 공학, 불만을 품은 직원 및 무차별 암호 대입을 비롯한 다른 수단을 통해 관리자 자격 증명이 계속 도난당할 수 있다는 점에도 유의해야 합니다. 따라서 자격 증명을 최대한 격리하는 것 외에 손상된 경우 관리자 수준 권한의 범위를 제한하는 방법도 필요합니다.

현재 관리자 계정이 너무 많으면 책임 영역이 하나만 있어도 권한이 초과됩니다. 예를 들어 DNS 서버를 관리하기 위해 매우 좁은 권한 집합이 필요한 DNS 관리자에게는 종종 도메인 관리자 수준 권한이 부여됩니다. 또한 이러한 자격 증명은 영구적으로 부여되므로 사용할 수 있는 기간에 제한이 없습니다.

불필요한 도메인 관리자 수준 권한이 있는 모든 계정은 자격 증명을 손상하려는 공격자에 대한 노출을 늘립니다. 공격에 대한 노출 영역을 최소화하려면 관리자가 작업을 수행하는 데 필요한 특정 권한 집합만 제공하고 완료하는 데 필요한 시간 동안만 이를 제공해야 합니다.

관리자는 Just Enough 관리 및 Just-In-Time 관리를 사용하여 필요한 정확한 기간에 필요한 특정 권한을 요청할 수 있습니다. 예를 들어 DNS 관리자의 경우 PowerShell을 사용하여 Just Enough Administration을 사용하도록 설정하면 DNS 관리에 사용할 수 있는 제한된 명령 집합을 만들 수 있습니다.

DNS 관리자가 서버 중 하나를 업데이트해야 하는 경우 Microsoft Identity Manager 2016을 사용하여 DNS를 관리하기 위한 액세스를 요청합니다. 요청 워크플로에는 요청된 권한을 부여하기 전에 관리자의 휴대폰으로 전화하여 자신의 ID를 확인할 수 있는 2단계 인증과 같은 승인 프로세스가 포함될 수 있습니다. 권한이 부여되면 해당 DNS 권한은 특정 시간 범위 동안 DNS에 대한 PowerShell 역할에 대한 액세스를 제공합니다.

DNS 관리자의 자격 증명이 도난당한 경우 이 시나리오를 상상해 보세요. 첫째, 자격 증명에 연결된 관리자 권한이 없으므로 공격자는 DNS 서버 또는 다른 시스템에 액세스하여 변경 사항을 적용할 수 없습니다. 공격자가 DNS 서버에 대한 권한을 요청하려고 하면 2단계 인증에서 ID를 확인하도록 요청합니다. 공격자가 DNS 관리자의 휴대폰을 가지고 있을 가능성이 없으므로 인증에 실패하게 됩니다. 이렇게 하면 공격자가 시스템에 접근할 수 없게 되고 IT 조직에 자격 증명이 손상될 수 있음을 경고할 수 있습니다.

또한 많은 조직에서는 무료 로컬 관리자 암호 솔루션(LAPS)을 서버 및 클라이언트 시스템에 대한 단순하면서도 강력한 JIT 관리 메커니즘으로 사용합니다. LAPS 기능은 도메인에 가입된 컴퓨터의 로컬 계정 암호를 관리합니다. 비밀번호는 Active Directory(AD)에 저장되고 액세스 제어 목록(ACL)에 의해 보호되므로 적격 사용자만 암호를 읽거나 재설정을 요청할 수 있습니다.

Windows 자격 증명 도난 완화 가이드에 설명된 바와 같이

"범죄자가 자격 증명 도난을 수행하고 공격을 재사용하는 데 사용하는 도구와 기술이 향상되고 악의적인 공격자는 목표를 더 쉽게 달성할 수 있습니다. 자격 증명 도난은 종종 운영 관행 또는 사용자 자격 증명 노출에 의존하므로 이를 효과적으로 완화하려면 사람, 프로세스 및 기술을 해결하는 전체적인 접근 방식이 필요합니다. 또한 이러한 공격은 액세스를 확장하거나 유지하기 위해 시스템을 손상시킨 후 공격자가 자격 증명을 도용하는 방법을 사용하므로 조직은 공격자가 손상된 네트워크에서 자유롭게 이동하고 감지되지 않도록 하는 전략을 구현하여 위반을 신속하게 억제해야 합니다."

Windows Server의 중요한 디자인 고려 사항은 자격 증명 도난, 특히 파생 자격 증명을 완화하는 것이었습니다. Credential Guard는 단순한 방어가 아니라 하드웨어 기반 격리 공격을 제거하는 데 도움이 되도록 설계된 Windows에서 중요한 아키텍처 변경을 구현하여 파생 자격 증명 도난 및 재사용에 대해 크게 향상된 보안을 제공합니다.

Windows Defender 자격 증명 가드를 사용하는 경우 가상화 기반 보안을 통해 NTLM 및 Kerberos 파생 자격 증명을 보호하고, 많은 표적 공격에 사용되는 자격 증명 도용 공격 기법 및 도구를 차단합니다. 운영 체제에서 관리 권한으로 실행되는 맬웨어는 가상화 기반 보안으로 보호되는 비밀을 추출할 수 없습니다. Windows Defender Credential Guard가 제공하는 공격 완화 기능은 강력하지만, 지속적인 위협 공격이 새로운 공격 기술로 전환될 수 있으므로 아래에 설명된 바와 같이 Device Guard 및 기타 보안 전략과 아키텍처도 통합해야 합니다.

Windows Defender Credential Guard (윈도우 디펜더 자격 증명 보호)

Windows Defender Credential Guard는 가상화 기반 보안을 사용하여 자격 증명 정보를 격리함으로써 암호 해시 또는 Kerberos 티켓의 가로챔을 방지합니다. 완전히 새로운 격리된 LSA(로컬 보안 기관) 프로세스를 사용하며, 이 프로세스는 나머지 운영 체제에서 액세스할 수 없습니다. 격리된 LSA에서 사용하는 모든 이진 파일은 보호된 환경에서 시작하기 전에 유효성이 검사된 인증서로 서명되어 Pass-the-Hash 형식 공격을 완전히 비효율적으로 만듭니다.

Windows Defender Credential Guard는 다음을 사용합니다.

  • 가상화 기반 보안(필수) 또한 다음을 필요로 합니다.

    • 64비트 CPU

    • CPU 가상화 확장 및 확장 페이지 테이블

    • Windows 하이퍼바이저

  • 보안 부팅(필수)

  • TPM 2.0은 불연속 또는 펌웨어(기본 설정 - 하드웨어에 바인딩 제공)

Windows Server 2016에서 자격 증명 및 자격 증명 파생 항목을 보호함으로써 Windows Defender Credential Guard를 사용하여 권한 있는 ID를 보호할 수 있습니다. Windows Defender Credential Guard 요구 사항에 대한 자세한 내용은 Windows Defender Credential Guard를 통한 파생 도메인 자격 증명 보호를 참조하세요.

Windows Defender 원격 Credential Guard

Windows Server 2016 및 Windows 10 1주년 업데이트의 Windows Defender Remote Credential Guard는 원격 데스크톱 연결이 있는 사용자의 자격 증명을 보호하는 데도 도움이 됩니다. 이전에는 원격 데스크톱 서비스를 사용하는 모든 사용자가 로컬 컴퓨터에 로그인한 다음 대상 컴퓨터에 대한 원격 연결을 수행할 때 다시 로그인해야 했습니다. 이 두 번째 로그인은 대상 컴퓨터에 자격 증명을 전달하여 컴퓨터를 Pass-the-Hash 또는 Pass-the-Ticket 공격에 노출시킵니다.

Windows Defender Remote Credential Guard를 사용하면 Windows Server 2016은 원격 데스크톱 세션에 대한 Single Sign-On 구현을 통해 사용자 이름과 암호를 다시 입력해야 하는 요구 사항을 제거합니다. 그 대신 로컬 컴퓨터에 로그인하는 데 이미 사용한 자격 증명을 활용합니다. Windows Defender Remote Credential Guard를 사용하려면 원격 데스크톱 클라이언트 및 서버가 다음 요구 사항을 충족해야 합니다.

  • Active Directory 도메인에 가입해야 하며 동일한 도메인 또는 트러스트 관계가 있는 도메인에 있어야 합니다.

  • Kerberos 인증을 사용합니다.

  • Windows 10 버전 1607 또는 Windows Server 2016 이상을 실행해야 합니다.

  • 원격 데스크톱 클래식 Windows 앱이 필요합니다. 원격 데스크톱 유니버설 Windows 플랫폼 앱은 Windows Defender Remote Credential Guard를 지원하지 않습니다.

원격 데스크톱 서버의 레지스트리 설정과 그룹 정책 또는 원격 데스크톱 클라이언트의 원격 데스크톱 연결 매개 변수를 사용하여 Windows Defender Remote Credential Guard를 사용하도록 설정할 수 있습니다. Windows Defender 원격 Credential Guard를 활성화하는 방법에 대한 자세한 내용은 Windows Defender 원격 Credential Guard를 사용하여 원격 데스크톱 자격 증명 보호를 참조하세요. Windows Defender Credential Guard와 마찬가지로 Windows Defender Remote Credential Guard를 사용하여 Windows Server 2016에서 권한 있는 ID를 보호할 수 있습니다.

운영 체제를 보호하여 앱 및 인프라를 실행

사이버 위협을 방지하려면 인프라의 표준 운영 관행을 전복하여 제어 권한을 확보하고자 하는 맬웨어 및 공격을 찾아서 차단해야 합니다. 공격자가 운영 체제 또는 애플리케이션을 미리 결정되지 않은 실행 불가능한 방식으로 실행할 수 있는 경우 해당 시스템을 사용하여 악의적인 작업을 수행할 수 있습니다. Windows Server 2016은 악성 소프트웨어를 실행하거나 취약성을 악용하는 외부 공격자를 차단하는 보호 계층을 제공합니다. 운영 체제는 시스템 침해를 나타내는 활동에 대해 관리자에게 경고하여 인프라 및 애플리케이션을 보호하는 데 적극적인 역할을 합니다.

윈도우 디펜더 디바이스 가드

Windows Server 2016에는 신뢰할 수 있는 소프트웨어만 서버에서 실행할 수 있도록 하는 Windows Defender Device Guard가 포함되어 있습니다. 가상화 기반 보안을 사용하면 조직의 정책에 따라 시스템에서 실행할 수 있는 이진 파일을 제한할 수 있습니다. 지정된 이진 파일 이외의 다른 항목이 실행되려고 하면 Windows Server 2016에서 해당 이진 파일을 차단하고 실패한 시도를 기록하므로 관리자가 잠재적 침해가 발생했음을 확인할 수 있습니다. 침해 알림은 GDPR 규정 준수 요구 사항의 중요한 부분입니다.

Windows Defender Device Guard도 PowerShell과 통합되어 시스템에서 실행할 수 있는 스크립트에 권한을 부여할 수 있습니다. 이전 버전의 Windows Server에서는 관리자가 코드 파일에서 정책을 삭제하기만 하면 코드 무결성 적용을 무시할 수 있습니다. Windows Server 2016에서는 정책에 서명한 인증서에 액세스할 수 있는 사용자만 정책을 변경할 수 있도록 조직에서 서명한 정책을 구성할 수 있습니다.

제어 흐름 보호

Windows Server 2016에는 일부 메모리 손상 공격 클래스에 대한 기본 제공 보호도 포함되어 있습니다. 서버 패치는 중요하지만 아직 확인되지 않은 취약성에 대해 맬웨어가 개발될 가능성이 항상 존재한다는 문제가 있습니다. 이러한 취약성을 악용하는 가장 일반적인 방법 중 일부는 실행 중인 프로그램에 비정상적이거나 극단적인 데이터를 제공하는 것입니다. 예를 들어 공격자는 예상보다 프로그램에 더 많은 입력을 제공하여 버퍼 오버플로 취약성을 악용하고 프로그램에서 예약한 영역을 오버런하여 응답을 보유할 수 있습니다. 이렇게 하면 함수 포인터를 보유할 수 있는 인접한 메모리가 손상될 수 있습니다.

프로그램이 이 함수를 통해 호출하면 공격자가 지정한 의도하지 않은 위치로 이동할 수 있습니다. 이러한 공격을 점프 지향 프로그래밍(JOP) 공격이라고도 합니다. Control Flow Guard는 실행할 수 있는 애플리케이션 코드(특히 간접 호출 지침)를 엄격하게 제한하여 JOP 공격을 방지합니다. 이를 통해 간접 호출에 유효한 대상인 애플리케이션의 함수 집합을 식별하는 간단한 보안 검사가 추가됩니다. 애플리케이션이 실행되면 이러한 간접 호출 대상이 유효한지 확인합니다.

런타임에 Control Flow Guard 검사가 실패하면 Windows Server 2016은 프로그램을 즉시 종료하여 잘못된 주소를 간접적으로 호출하려는 모든 악용을 중단합니다. Control Flow Guard는 Device Guard에 중요한 추가 보호 계층을 제공합니다. 허용 목록에 포함된 애플리케이션이 손상된 경우 Device Guard 차단에서 애플리케이션이 서명되고 신뢰할 수 있는 것으로 간주되므로 Device Guard에서 선택하지 않고 실행할 수 있습니다.

그러나 Control Flow Guard는 애플리케이션이 미리 결정되지 않은 실행 불가능한 순서로 실행되는지 여부를 식별할 수 있으므로 공격이 실패하고 손상된 애플리케이션이 실행되지 않습니다. 이러한 보호를 통해 공격자가 Windows Server 2016에서 실행되는 소프트웨어에 맬웨어를 삽입하기가 매우 어려워집니다.

개인 데이터를 처리할 애플리케이션을 빌드하는 개발자는 애플리케이션에서 Control Flow Guard(CFG)를 활성화하는 것이 좋습니다. 이 기능은 Microsoft Visual Studio 2015에서 사용할 수 있으며 Windows 10 데스크톱 및 서버용 x86 및 x64 릴리스인 Windows의 "CFG 인식" 버전과 KB3000850(Windows 8.1 Update)에서 실행됩니다. CFG 사용 및 비 CFG 사용 코드가 잘 실행되므로 코드의 모든 부분에 대해 CFG를 활성화할 필요가 없습니다. 그러나 모든 코드에 대해 CFG를 활성화하지 못하면 보호에 차이가 생기게 될 수 있습니다. 또한 CFG 사용 코드는 Windows의 "CFG 인식" 버전에서 잘 작동하므로 완전히 호환됩니다.

Windows Defender 바이러스 백신

Windows Server 2016에는 알려진 맬웨어를 차단하는 Windows Defender의 업계 최고의 활성 검색 기능이 포함되어 있습니다. Windows Defender Antivirus(AV)는 Windows Defender Device Guard 및 Control Flow Guard와 함께 작동하여 모든 종류의 악성 코드가 서버에 설치되지 않도록 방지합니다. Windows Defender Antivirus는 기본적으로 설정되어 있으므로 관리자가 작업을 시작하기 위해 조치를 취할 필요가 없습니다. Windows Defender는 Windows Server 2016에서 다양한 서버 역할을 지원하도록 최적화되어 있습니다. 과거에 공격자는 PowerShell과 같은 셸을 사용하여 악성 이진 코드를 시작했습니다. 이제 Windows Server 2016에서 PowerShell은 Windows Defender AV와 통합되어 코드를 시작하기 전에 맬웨어를 검색합니다.

Windows Defender AV는 데스크톱, 휴대용 컴퓨터 및 서버에 대한 보안 및 맬웨어 방지 관리를 제공하는 기본 제공 맬웨어 방지 솔루션입니다. Windows Defender AV는 Windows 8에서 도입된 이후 크게 개선되었습니다. Windows Server의 Windows Defender Antivirus는 다중 갈래 접근 방식을 사용하여 맬웨어 방지를 개선합니다.

  • 클라우드에서 제공하는 보호는 이전에 본 적 없는 맬웨어라 할지라도 몇 초 내에 이러한 새 멜웨어를 감지하고 차단하는 데 도움이 됩니다.

  • 풍부한 로컬 컨텍스트는 맬웨어 식별 방법을 향상합니다. Windows Server는 Windows Defender AV에 파일 및 프로세스와 같은 콘텐츠뿐만 아니라 콘텐츠의 원본 위치, 저장된 위치 등에 대해서도 알려 줍니다.

  • 광범위한 글로벌 센서는 Windows Defender AV를 최신 맬웨어에도 최신 상태로 유지하는 데 도움이 됩니다. 이 작업은 엔드포인트에서 풍부한 로컬 컨텍스트 데이터를 수집하고 해당 데이터를 중앙에서 분석하는 두 가지 방법으로 수행됩니다.

  • 변조 방지는 Windows Defender AV 자체를 맬웨어 공격 방지에 도움이 됩니다. 예를 들어 Windows Defender AV는 신뢰할 수 없는 프로세스가 Windows Defender AV 구성 요소, 해당 레지스트리 키 등을 변조하지 못하게 하는 보호된 프로세스를 사용합니다.

  • 엔터프라이즈 수준 기능은 IT 전문가에게 Windows Defender AV를 엔터프라이즈급 맬웨어 방지 솔루션으로 만드는 데 필요한 도구 및 구성 옵션을 제공합니다.

향상된 보안 감사

Windows Server 2016은 더 빠른 공격 탐지 및 포렌식 분석에 사용할 수 있는 보다 자세한 정보를 제공하는 향상된 보안 감사로 잠재적인 위반 시도에 대해 관리자에게 적극적으로 경고합니다. Control Flow Guard, Windows Defender Device Guard 및 기타 보안 기능의 이벤트를 한 위치에 기록하므로 관리자가 위험에 처할 수 있는 시스템을 보다 쉽게 확인할 수 있습니다.

새 이벤트 범주는 다음과 같습니다.

  • 그룹 구성원 감사 사용자의 로그인 토큰에서 그룹 멤버 자격 정보를 감사할 수 있습니다. 로그인 세션이 만들어진 PC에서 그룹 멤버 자격을 열거하거나 쿼리할 때 이벤트가 생성됩니다.

  • PnP 활동 감사 플러그 앤 플레이에서 맬웨어를 포함할 수 있는 외부 디바이스를 검색할 때 감사할 수 있습니다. PnP 이벤트를 사용하여 시스템 하드웨어의 변경 내용을 추적할 수 있습니다. 하드웨어 공급업체 ID 목록이 이벤트에 포함됩니다.

Windows Server 2016은 잠재적인 위반에 대한 인텔리전스 보고서에 정보를 통합할 수 있는 Microsoft Operations Management Suite(OMS)와 같은 보안 인시던트 이벤트 관리(SIEM) 시스템과 쉽게 통합됩니다. 향상된 감사에서 제공하는 정보의 깊이를 통해 보안 팀은 잠재적인 위반을 보다 빠르고 효과적으로 식별하고 이에 대응할 수 있습니다.

보안 가상화

오늘날 엔터프라이즈는 SQL Server에서 SharePoint, Active Directory 도메인 컨트롤러에 이르기까지 가능한 한 모든 것을 가상화합니다. 가상 머신(VM)을 사용하면 인프라를 더 쉽게 배포, 관리, 서비스 및 자동화할 수 있습니다. 그러나 보안과 관련하여 손상된 가상화 패브릭은 지금까지 방어하기 어려운 새로운 공격 벡터가 되었습니다. GDPR 관점에서 VM TPM 기술 사용을 포함하여 물리적 서버를 보호하는 것처럼 VM을 보호하는 것에 대해 생각해야 합니다.

Windows Server 2016은 사용자 고유의 패브릭에서만 실행되는 가상 머신을 만들 수 있는 여러 기술을 포함하여 가상 머신이 실행되는 스토리지, 네트워크 및 호스트 디바이스로부터 보호할 수 있도록 지원함으로써 기업의 가상화 보안 방법을 근본적으로 변화시켰습니다.

보호된 가상 컴퓨터

가상 머신을 마이그레이션, 백업 및 복제하기 쉽게 만드는 것과 동일한 작업을 통해 더 쉽게 수정하고 복사할 수 있습니다. 가상 머신은 파일일 뿐이므로 네트워크, 스토리지, 백업 등에서 보호되지 않습니다. 또 다른 문제는 패브릭 관리자(스토리지 관리자 또는 네트워크 관리자)가 모든 가상 머신에 액세스할 수 있다는 것입니다.

패브릭의 손상된 관리자는 가상 머신에서 데이터를 쉽게 손상시킬 수 있습니다. 공격자가 해야 할 일은 손상된 자격 증명을 사용하여 원하는 VM 파일을 USB 드라이브에 복사하고 다른 시스템에서 해당 VM 파일에 액세스할 수 있는 조직 밖으로 빼내는 것입니다. 예를 들어 도난당한 VM 중 하나가 Active Directory 도메인 컨트롤러인 경우 공격자는 콘텐츠를 쉽게 보고 쉽게 사용할 수 있는 무차별 암호 대입 기술을 사용하여 Active Directory 데이터베이스의 암호를 해독하여 궁극적으로 인프라 내의 다른 모든 항목에 액세스할 수 있습니다.

Windows Server 2016에서는 방금 설명한 것과 같은 시나리오를 방지하기 위해 보호된 가상 머신(보호된 VM)을 도입했습니다. 보호된 VM에는 조직에서 가상 머신에 BitLocker 암호화를 적용하고 신뢰할 수 있는 호스트에서만 실행하여 손상된 스토리지, 네트워크 및 호스트 관리자로부터 보호할 수 있도록 하는 가상 TPM 디바이스가 포함됩니다. 보호된 VM은 Unified Extensible Firmware Interface(UEFI) 펌웨어를 지원하고 가상 TPM이 있는 2세대 VM을 통해 생성됩니다.

호스트 보호 서비스

보호된 VM과 함께 호스트 보호 서비스는 보안 가상화 패브릭을 만들기 위한 필수 구성 요소입니다. 이 작업은 보호된 VM이 부팅되거나 해당 호스트로 마이그레이션되도록 허용하기 전에 Hyper-V 호스트의 상태를 테스트합니다. 보호된 VM에 대한 키를 보유하고 있으며 보안 상태가 보장될 때까지 해제되지 않습니다. Hyper-V 호스트가 호스트 보호 서비스에 대해 확인하도록 요구할 수 있는 두 가지 방법이 있습니다.

가장 안전한 첫 번째 증명은 하드웨어에서 신뢰할 수 있는 증명입니다. 이 솔루션을 사용하려면 보호된 VM이 TPM 2.0 칩 및 UEFI 2.3.1이 있는 호스트에서 실행되어야 합니다. 이 하드웨어는 Hyper-V 호스트가 변조되지 않도록 호스트 보호 서비스에 필요한 측정된 부팅 및 운영 체제 커널 무결성 정보를 제공하는 데 필요합니다.

IT 조직에는 관리자가 신뢰할 수 있는 증명을 사용하는 대안이 있으며, 이 대안은 TPM 2.0 하드웨어가 조직에서 사용되지 않는 경우 바람직할 수 있습니다. 호스트는 단순히 보안 그룹에 배치되고 호스트 보호 서비스는 보안 그룹의 구성원인 호스트에서 보호된 VM을 실행할 수 있도록 구성되므로 이러한 증명 모델을 쉽게 배포할 수 있습니다. 이 메서드를 사용하면 호스트 컴퓨터가 변조되지 않았는지 확인하기 위해 복잡하게 측정할 필요가 없습니다. 하지만 여전히 암호화되지 않은 VM이 USB 드라이브 외부로 이동하거나 VM이 권한 없는 호스트에서 실행될 가능성을 제거할 수 있습니다. 이는 VM 파일이 지정된 그룹의 컴퓨터가 아닌 다른 컴퓨터에서 실행되지 않기 때문입니다. TPM 2.0 하드웨어가 아직 없는 경우 관리자가 신뢰할 수 있는 증명으로 시작하고 하드웨어를 업그레이드할 때 하드웨어에서 신뢰할 수 있는 증명으로 전환할 수 있습니다.

가상 머신에서 신뢰할 수 있는 플랫폼 모듈

Windows Server 2016은 가상 머신용 TPM을 지원하므로 가상 머신에서 BitLocker® 드라이브 암호화와 같은 고급 보안 기술을 지원할 수 있습니다. Hyper-V 관리자 또는 Enable-VMTPM Windows PowerShell cmdlet을 사용하여 2세대 Hyper-V 가상 머신에서 TPM 지원을 사용하도록 설정할 수 있습니다.

호스트에 저장되거나 호스트 보호 서비스에 저장된 로컬 암호화 키를 사용하여 가상 TPM(vTPM)을 보호할 수 있습니다. 따라서 호스트 보호 서비스에는 더 많은 인프라가 필요하지만 더 많은 보호를 제공합니다.

소프트웨어 정의 네트워킹을 사용하는 분산 네트워크 방화벽

가상화된 환경에서 보호를 개선하는 한 가지 방법은 VM이 작동하는 데 필요한 특정 시스템과만 통신할 수 있는 방식으로 네트워크를 분할하는 것입니다. 예를 들어 애플리케이션이 인터넷에 연결할 필요가 없는 경우 해당 시스템을 외부 공격자의 대상으로 제거하여 분할할 수 있습니다. Windows Server 2016의 소프트웨어 정의 네트워킹(SDN)에는 네트워크 내부 또는 외부에서 발생하는 공격으로부터 애플리케이션을 보호할 수 있는 보안 정책을 동적으로 만들 수 있는 분산 네트워크 방화벽이 포함되어 있습니다. 이 분산 네트워크 방화벽은 네트워크로부터 애플리케이션을 격리할 수 있도록 하여 보안에 계층을 추가합니다. 여러 서브넷에서 손상되었거나 프로그래밍 방식으로 손상되었을 수 있는 개별 시스템에 대해 필요한 경우 VM 간 트래픽, VM-호스트 트래픽 또는 VM-인터넷 트래픽을 격리하는 가상 네트워크 인프라의 모든 위치에서 정책을 적용할 수 있습니다. Windows Server 2016 소프트웨어 정의 네트워킹 기능을 사용하면 들어오는 트래픽을 Microsoft가 아닌 가상 어플라이언스로 라우팅하거나 미러링할 수도 있습니다. 예를 들어 추가 스팸 필터링 보호를 위해 Barracuda 가상 어플라이언스로 모든 전자 메일 트래픽을 보내도록 선택할 수 있습니다. 이렇게 하면 온-프레미스 또는 클라우드 모두에서 추가 보안을 쉽게 계층화할 수 있습니다.

서버에 대한 기타 GDPR 고려 사항

GDPR에는 개인 데이터 침해가 "전송, 저장 또는 기타 방식으로 처리되는 개인 데이터의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 침해"를 의미하는 경우 침해 알림에 적용해야 하는 명시적 요구 사항이 포함되어 있습니다 처음부터 위반을 감지할 수 없는 경우 72시간 이내에 엄격한 GDPR 알림 요구 사항을 충족하기 위한 조치를 취할 수 없습니다.

Windows 보안 센터 백서에서 언급했듯이, 침해 후: 지능형 위협 처리에 따르면

"위반 전과 달리 위반 후 침해는 이미 발생한 것으로 가정합니다. 비행 레코더 및 범죄 현장 조사자(CSI)의 역할을 합니다. 위반 후 보안 팀은 탐지되지 않고 레이더 아래에 유지되는 공격을 식별, 조사 및 대응하는 데 필요한 정보와 도구 집합을 제공합니다."

이 섹션에서는 Windows Server가 GDPR 침해 알림 의무를 준수하는 데 어떻게 도움이 되는지 살펴봅니다. 이는 사용자의 이익을 위해 수집 및 분석되는 Microsoft에서 사용할 수 있는 기본 위협 데이터와 Windows Defender Advanced Threat Protection(ATP)를 통해 해당 데이터가 중요한 방법을 이해하는 것으로 시작됩니다.

인사이트 보안 진단 데이터

Microsoft는 약 20년간 플랫폼을 강화하고 고객을 보호하는 데 도움이 되는 유용한 인텔리전스로 위협을 전환해 왔습니다. 현재 Microsoft는 클라우드에서 제공하는 엄청난 컴퓨팅 이점을 통해 위협 인텔리전스에 기반한 풍부한 분석 엔진을 사용하여 고객을 보호하는 새로운 방법을 찾고 있습니다.

Microsoft는 자동화된 프로세스와 수동 프로세스, 머신 러닝 및 인간 전문가의 조합을 적용하여 자체적으로 학습하고 실시간으로 진화하는 지능형 보안 그래프를 만들어 제품 전체에서 새로운 인시던트를 감지하고 대응하는 전체 시간을 줄일 수 있도록 지원합니다.

Microsoft Intelligence 보안 그래프

Microsoft의 위협 인텔리전스 범위는 매월 검색된 메시지 350억 개, 200개 이상의 클라우드 서비스에 액세스하는 엔터프라이즈 및 소비자 부문에서 10억 명의 고객, 매일 수행되는 140억 개의 인증 등 말 그대로 수십억 개의 데이터 요소에 걸쳐 있습니다. 이 모든 데이터는 Microsoft를 대신하여 통합되어 보안을 유지하고 생산성을 유지하고 GDPR의 요구 사항을 충족하는 동적 방식으로 프런트 도어를 보호하는 데 도움이 되는 지능형 보안 그래프를 만듭니다.

공격 감지 및 법의학 조사

사이버 공격이 더욱 정교해지고 표적화됨에 따라 최상의 엔드포인트 방어조차도 결국 침해될 수 있습니다. Windows Defender Advanced Threat Protection(ATP) 및 Microsoft Advanced Threat Analytics(ATA)라는 두 가지 기능을 사용하면 잠재적 침해를 감지할 수 있습니다.

Windows Defender Advanced Threat Protection(ATP)는 네트워크의 지능형 공격 및 데이터 침해 감지, 조사 및 대응을 지원합니다. GDPR에서 개인 데이터 및 처리 시스템의 지속적인 기밀성, 무결성, 가용성을 보장하기 위해 기술적 보안 조치를 통해 보호할 것을 요청하는 데이터 침해의 유형입니다.

Windows Defender ATP의 주요 이점은 다음과 같습니다.

  • 감지할 수 없는 것을 감지 운영 체제 커널, Windows 보안 전문가 및 모든 Microsoft 서비스 걸쳐 10억 대 이상의 컴퓨터 및 신호에서 고유한 광학에 깊이 내장된 센서

  • 볼트온이 아닌 빌트인 방식 에이전트 없이 고성능을 제공하고 영향을 최소화하는 클라우드 기반 방식으로, 배포 없이 간편하게 관리 가능

  • Windows 보안을 위한 단일 창 Windows Defender ATP, Windows Defender 바이러스 백신 및 Windows Defender Device Guard에서 보안 이벤트를 통합하는 풍부한 컴퓨터 타임라인 6개월을 살펴봅니다.

  • Microsoft 그래프의 강점 Microsoft Intelligence Security Graph를 활용하여 검색 및 탐색을 Office 365 ATP 구독과 통합하여 공격을 추적하고 대응합니다.

Windows Defender ATP 크리에이터스 업데이트 미리 보기의 새로운 기능에서 자세히 알아보세요.

ATA는 조직에서 ID 손상 검색에 도움이 되는 온-프레미스 제품입니다. ATA는 인증, 권한 부여 및 정보 수집 프로토콜(예: Kerberos, DNS, RPC, NTLM 및 기타 프로토콜)을 위해 네트워크 트래픽을 캡처하고 구문 분석할 수 있습니다. ATA는 이 데이터를 사용하여 변칙 및 알려진 공격 패턴을 검색할 수 있도록 네트워크의 사용자 및 기타 엔터티에 대한 동작 프로필을 작성합니다. 다음 표는 ATA에서 감지한 공격 유형을 나열합니다.

공격 유형 설명
악성 공격 이러한 공격은 다음을 비롯한 알려진 공격 유형 목록에서 공격을 검색하여 감지됩니다.
  • Pass-the-Ticket(PtT)
  • Pass-the-Hash(PtH)
  • 고가도로 해시
  • 위조된 PAC(MS14-068)
  • 골든 티켓
  • 악성 복제
  • 정찰
  • 무차별 암호 대입 공격
  • 원격 실행
검색할 수 있는 악의적인 공격의 전체 목록과 해당 설명은 ATA에서 찾는 위협을 참조하세요.
비정상적인 동작 이러한 공격은 동작 분석을 사용하여 감지되며, 머신 러닝을 사용하면 다음을 비롯한 의심스러운 활동을 식별할 수 있습니다.
  • 비정상적인 로그인
  • 알려지지 않은 위협
  • 암호 공유
  • 수평 이동
보안 문제 및 위험 이러한 공격은 다음을 포함하여 현재 네트워크 및 시스템 구성을 확인하여 감지됩니다.
  • 끊어진 트러스트
  • 약한 프로토콜
  • 알려진 프로토콜 취약성

ATA를 사용하여 권한 있는 ID를 손상시키려는 공격자를 감지할 수 있습니다. ATA 배포에 대한 자세한 내용은 Advanced Threat Analytics 문서의 계획, 설계 및 배포 항목을 참조하세요.

부인

이 문서는 게시 날짜를 기준으로 Microsoft에서 해석하는 GDPR에 대한 논평입니다. Microsoft는 GDPR에 많은 시간을 할애했고 GDPR와 의미를 잘 알고 있다고 생각합니다. 그러나 GDPR의 적용은 구체적 사실에 따라 크게 달라지며 GDPR의 모든 측면을 파악하고 해석하는 것이 쉽지는 않습니다.

따라서 이 문서는 정보 제공 목적으로만 제공되며 법률 자문으로 사용하거나 GDPR이 사용자와 조직에 적용되는 방식에 결정적인 역할을 해서는 안 됩니다. 법적으로 자격을 갖춘 전문가와 협력하여 GDPR, 조직에 구체적으로 적용되는 방법 및 규정 준수를 보장하는 최선의 방법에 대해 논의하는 것이 좋습니다.

Microsoft는 이 문서의 정보와 관련하여 어떠한 명시적, 묵시적 또는 법적 보증도 하지 않습니다. 본 문서는 "있는 그대로" 제공됩니다. URL 및 기타 인터넷 웹 사이트 참조 정보를 포함한 이 문서에 포함된 내용 및 견해는 예고 없이 변경될 수 있습니다.

이 문서는 어떠한 Microsoft 제품에 포함된 어떠한 지적 자산에 대한 법적 권한도 귀하에게 제공하지 않습니다. 이 문서는 내부 참조용으로만 복사 및 사용할 수 있습니다.

게시일: 2017년 9월
버전 1.0
© 2017 Microsoft. 모든 권리 보유.