안전한 전 세계 공공 부문 클라우드 채택을 위한 Azure

Microsoft Azure는 정부 기관에서 다양한 솔루션을 배포하는 데 사용할 수 있는 다중 테넌트 클라우드 서비스 플랫폼입니다. 다중 테넌트 클라우드 플랫폼에서는 여러 고객의 애플리케이션과 데이터가 동일한 물리적 하드웨어에 저장됩니다. Azure는 논리적 격리를 사용하여 각 고객의 애플리케이션과 데이터를 분리합니다. 이 접근 방식은 다중 테넌트 클라우드 서비스의 규모/경제적 이익을 제공하는 동시에 고객이 서로의 데이터 또는 애플리케이션에 액세스하지 못하도록 엄격하게 방지합니다. Azure는 전 세계 60개 이상의 지역에서 사용할 수 있으며, 전 세계 정부 기관에서 미분류/분류된 데이터를 비롯해 광범위한 데이터 분류 전반에 걸쳐 엄격한 데이터 보호 요구 사항을 충족하는 데 사용할 수 있습니다.

이 문서에서는 전 세계 공공 부문 고객과 관련된 일반적인 데이터 보존, 보안 및 격리 문제를 다룹니다. 또한 온-프레미스와 에지에 배포된 Azure Stack Hub 및 Azure Stack Edge와 함께 퍼블릭 다중 테넌트 클라우드에서 미분류/분류된 워크로드를 모두 보호하기 위해 Azure에서 사용할 수 있는 기술을 살펴봅니다.

실행 요약

Microsoft Azure는 데이터 보존 및 전송 정책과 관련하여 강력한 고객 약정을 제공합니다. 대부분의 Azure 서비스를 사용하여 배포 지역을 지정할 수 있습니다. Microsoft는 해당 서비스에서 지정한 지역이 아닌 곳에 데이터를 저장하지 않습니다. 광범위하고 강력한 데이터 암호화 옵션을 사용하여 Azure에서 데이터를 보호하고 데이터에 액세스할 수 있는 사용자를 제어할 수 있습니다.

아래에는 Azure에서 데이터를 보호하는 데 사용할 수 있는 몇 가지 옵션이 나와 있습니다.

• 지역에서 미사용 데이터를 저장하는 서비스에 가장 중요한 콘텐츠를 저장하도록 선택할 수 있습니다.
• Azure Key Vault를 사용하여 자체 키로 데이터를 암호화하면 추가로 보호받을 수 있습니다.
• 전송 중인 데이터의 정확한 네트워크 경로를 제어할 수는 없지만, 전송 중인 데이터 암호화를 통해 데이터를 가로채지 못하도록 할 수는 있습니다.
• Azure는 전 세계에서 연중무휴로 운영되는 서비스이지만, 지원/문제 해결 시 데이터 액세스 권한이 거의 필요하지 않습니다.
• 지원/문제 해결 시나리오를 추가 제어할 필요가 있는 경우 Azure용 고객 Lockbox를 사용하여 데이터 액세스를 승인하거나 거부할 수 있습니다.
• Microsoft는 인시던트 선언 후 72시간 이내에 고객 또는 개인의 데이터 위반 사항을 알려 드립니다.
• 클라우드용 Microsoft Defender를 사용하여 잠재적인 위협을 모니터링하고 인시던트에 직접 대응할 수 있습니다.

Azure Stack 제품 포트폴리오의 Azure 데이터 보호 기술과 인텔리전트 에지 기능을 사용하여 퍼블릭 다중 테넌트 클라우드 내에 격리된 보안 인프라에서 기밀/비밀 데이터를 처리하거나, 운영이 완전히 제어되는 온-프레미스와 에지에서 일급 비밀 데이터를 처리할 수 있습니다.

소개

세계 각지의 정부는 현재 워크로드를 클라우드로 전환하는 데 도움이 될 다양한 솔루션을 살펴보며 아키텍처를 선택하는 등, 디지털 트랜스포메이션을 진행하는 과정에 있습니다. 시민 참여, 직원 역량 강화, 정부 서비스 혁신, 정부 운영의 최적화 필요성 등 디지털 혁신의 이면에는 다양한 동인이 있습니다. 또한 전 세계 정부는 사이버 보안 태세를 개선하여 자산을 보호하고 진화하는 위협 양상에 대응하기 위해 노력하고 있습니다.

Microsoft는 전 세계 정부와 공공 부문 산업에서 다양한 솔루션을 배포하는 데 사용할 수 있는 퍼블릭 다중 테넌트 클라우드 서비스 플랫폼인 Azure를 제공하고 있습니다. 다중 테넌트 클라우드 서비스 플랫폼은 많은 고객 애플리케이션과 데이터가 동일한 물리적 하드웨어에 저장됨을 의미합니다. Azure는 논리적 격리를 사용하여 각 고객의 애플리케이션과 데이터를 분리합니다. 이 접근 방식은 다중 테넌트 클라우드 서비스의 규모/경제적 이익을 제공하는 동시에 다른 고객이 사용자의 데이터 또는 애플리케이션에 액세스하지 못하도록 엄격하게 방지합니다.

하이퍼스케일 퍼블릭 클라우드는 자연재해나 전쟁 발생 시에 복원력을 제공합니다. 클라우드는 장애 조치(failover) 중복도 용량을 제공하고, 글로벌 복원력 계획과 관련된 유연성을 주권 국가에 부여합니다. 또한 하이퍼스케일 퍼블릭 클라우드는 인공 지능, 기계 학습, IoT 서비스, 인텔리전트 에지 등과 같은 최신 클라우드 혁신을 통합하는 기능이 풍부한 환경을 제공하여 정부 고객이 효율성을 높이고 운영과 성능에 대한 인사이트를 얻을 수 있도록 지원합니다.

Azure의 퍼블릭 클라우드 기능을 사용하면 하이퍼스케일 클라우드의 빠른 기능 증가, 복원력, 비용 효율적인 운영을 통해 이점을 누리면서 미분류/분류된 데이터를 비롯해 광범위한 데이터 분류 전반에 걸쳐 워크로드를 처리하는 데 필요한 격리, 보안, 신뢰도 수준을 얻을 수 있습니다. Azure Stack 제품 포트폴리오의 Azure 데이터 보호 기술과 인텔리전트 에지 기능을 사용하여 퍼블릭 다중 테넌트 클라우드 내에 격리된 보안 인프라에서 기밀/비밀 데이터를 처리하거나, 운영이 완전히 제어되는 온-프레미스와 에지에서 일급 비밀 데이터를 처리할 수 있습니다.

이 문서에서는 전 세계 공공 부문 고객과 관련된 일반적인 데이터 보존, 보안 및 격리 문제를 다룹니다. 또한 일급 비밀 데이터와 관련된 연결이 완전히 끊긴 시나리오의 경우 온-프레미스 및 에지에 배포된 Azure Stack 제품과 함께 퍼블릭 다중 테넌트 클라우드에서 분류되지 않은 기밀, 비밀 워크로드를 보호하는 데 도움이 되는, Azure에서 사용 가능한 기술을 살펴봅니다. 분류되지 않은 워크로드가 전 세계 공공 부문 디지털 혁신과 관련된 대부분의 시나리오를 차지한다는 점을 고려하여 분류되지 않은 워크로드로 클라우드 여정을 시작해서 데이터 민감도를 높이는 분류된 워크로드로 진행하는 것이 좋습니다.

데이터 보존

확립된 개인 정보 보호 규정은 데이터 보존 및 데이터 위치에 자동 적용되며, EU 표준 계약 조항(EU 모델 조항이라고도 함)과 같은 승인된 메커니즘에 따라 데이터 수신을 허용합니다. Microsoft는 Microsoft 제품 및 서비스 DPA(데이터 보호 추록)를 통해 EU, EEA(유럽 경제 지역), 스위스 이외 지역으로 이뤄지는 잠재적인 모든 고객 데이터 전송 시 EU 모델 조항이 적용됨을 계약에 따라 약속합니다. Microsoft는 EEA 및 스위스에서 개인 데이터를 수집, 사용, 전송, 보존하고 그 외 처리하는 일과 관련해 EEA 및 스위스 데이터 보호법의 요구 사항을 준수합니다. 모든 개인 데이터 전송 시 적절한 보호 및 설명서 요구 사항이 적용됩니다. 그러나 클라우드 채택을 고려하는 많은 고객이 고객 운영 또는 고객 최종 사용자의 위치에 해당하는 지리적 경계 내에 고객/개인 데이터가 보관된다는 보증을 찾습니다.

데이터 주권은 데이터 보존을 의미합니다. 하지만 여기에는 클라우드에 저장된 고객 데이터를 제어할 수 있는 사용자를 정의하는 규칙과 요구 사항도 도입되었습니다. 많은 경우 데이터 주권에 따라 고객 데이터에는 데이터가 존재하는 국가/지역의 법률과 법적 관할권이 적용됩니다. 이러한 법률은 데이터 액세스에 직접적인 영향을 미칠 수 있으며, 플랫폼 유지 관리나 고객이 시작한 지원 요청에까지 영향을 주기도 합니다. 이 문서의 뒷부분에서 설명하겠지만 Azure 공용 다중 테넌트 클라우드를 온-프레미스 및 에지 솔루션용 Azure Stack 제품과 함께 사용하여 데이터 주권 요구 사항을 충족할 수 있습니다. 이러한 기타 제품을 배포하면 저장, 처리, 전송, 원격 액세스를 비롯한 데이터 관련 작업을 단독으로 제어할 수 있습니다.

이 문서에서는 Microsoft가 클라우드 서비스에 설정한 여러 데이터 범주와 정의 중에서 다음의 네 가지 범주에 대해 설명합니다.

• 고객 데이터는 Microsoft 온라인 서비스를 이용하여 사용자 대신 관리하기 위해 Microsoft에 제공하는 모든 데이터입니다.
• 고객 콘텐츠는 고객 데이터의 하위 집합으로, 예를 들면 Azure Storage 계정에 저장된 콘텐츠가 포함됩니다.
• 개인 데이터는 특정 자연인과 관련된 정보(예: 최종 사용자의 이름, 연락처 정보)를 의미합니다. 그러나 개인 데이터에는 Azure에서 생성하고 관리자에게 할당할 수 있는 사용자 ID처럼 고객 데이터가 아닌 데이터가 포함될 수도 있습니다. 이러한 개인 데이터는 그 자체로는 개인을 식별할 수 없기 때문에 가명으로 간주됩니다.
• 지원 및 컨설팅 데이터는 지원 또는 전문 서비스를 얻기 위해 Microsoft에 제공한 모든 데이터를 의미합니다.

데이터 보존을 제어하고 데이터 보호 의무를 충족하는 옵션에 대한 자세한 내용은 Microsoft Azure 지역에서 데이터 보존 및 데이터 보호 사용을 참조하세요. 다음 섹션에서는 데이터 보존 시 주요 클라우드에 미치는 영향 그리고 미사용 데이터와 전송 중인 데이터, 사용자가 시작하는 지원 요청의 일부인 데이터를 보호하는 Microsoft의 기본 원칙에 대해 설명합니다.

미사용 데이터

Microsoft는 데이터가 있는 위치에서 사용할 수 있는 모든 온라인 서비스의 데이터 위치를 명확하게 알려 드립니다. 클라우드 서비스 데이터 보존 및 전송 정책 섹션을 확장하면 개별 온라인 서비스의 링크가 표시됩니다.

데이터가 선택한 지역에만 저장되도록 하려면 이 약정을 적용하는 여러 지역 서비스 중에서 선택해야 합니다.

지역 서비스와 비지역 서비스의 비교

Microsoft Azure는 데이터 보존 및 전송 정책과 관련하여 강력한 고객 약정을 제공합니다.

• 지역 서비스용 데이터 스토리지: 대부분의 Azure 서비스는 지역적으로 배포되며, 서비스가 배포될 지역을 지정할 수 있습니다. Microsoft는 Azure 데이터 위치 페이지에 설명된 대로 일부 지역 서비스와 미리 보기 서비스를 제외하고는 사용자가 지정한 지역이 아닌 곳에 데이터를 저장하지 않습니다. 이러한 약정은 지정된 지역에 저장된 고객 데이터가 해당 지역을 벗어나지 않고 대부분의 지역 서비스 때문에 다른 지역으로 이동하지 않게 하는 역할을 합니다. 서비스 가용성에 대해서는 지역별 사용 가능 제품을 참조하세요.
• 비지역 서비스용 데이터 스토리지: 특정 Azure 서비스에서는 데이터 위치 페이지에 설명된 바와 같이 서비스가 배포될 지역을 지정할 수 없습니다. 비지역 서비스 전체 목록은 지역별 사용 가능 제품을 참조하세요.

Azure Storage 계정의 데이터는 내구성과 고가용성을 보장하기 위해 항상 복제됩니다. Azure Storage는 일시적인 하드웨어 오류, 네트워크 또는 정전, 심지어 대규모 자연 재해가 일어나도 보호할 수 있도록 사용자 데이터를 복사합니다. 일반적으로 사용자는 동일한 데이터 센터에서, 동일한 지역 내 여러 가용성 영역에서, 또는 지리적으로 분리된 여러 지역에서의 데이터 복사를 선택할 수 있습니다. 특히 스토리지 계정을 만들 때 다음과 같은 중복성 옵션 중 하나를 선택할 수 있습니다.

• LRS(로컬 중복 스토리지)
• ZRS(영역 중복 스토리지)
• GRS(지역 중복 스토리지)
• GZRS(지역 영역 중복 스토리지)

Azure Storage 계정의 데이터는 항상 기본 지역에서 세 번 복제됩니다. Azure Storage는 주 지역에서 데이터를 복제하기 위한 LRS/ZRS 중복 옵션을 제공합니다. 고가용성이 필요한 애플리케이션의 경우 주 지역에서 수백 킬로미터 떨어진 보조 지역으로 지역 복제를 선택할 수 있습니다. Azure Storage는 보조 지역으로 데이터를 복사하기 위한 GRS/GZRS 옵션을 제공합니다. 보조 지역의 데이터에 대한 읽기 권한에 설명된 바와 같이, 보조 지역(RA-GRS, RA-GZRS)에 대한 읽기 권한을 구성하는 데 다양한 옵션을 사용할 수 있습니다.

Azure는 쌍을 이루는 지역을 사용해 GRS(지역 중복 스토리지)를 제공하기 때문에 Azure Storage 중복도 옵션이 데이터 보존에 영향을 미칠 수 있습니다. 예를 들어 국가 경계에 걸쳐 있는 지역 간의 지역 복제가 우려되는 경우, LRS 또는 ZRS를 선택하면 주 지역이 위치한 국가의 지리적 경계 내에서 Azure Storage 미사용 데이터를 보관할 수 있습니다. 마찬가지로, Azure SQL Database 지역 복제는 세계 모든 지역의 트랜잭션에 대해 비동기 복제를 구성하여 얻을 수 있습니다. 단, 이 용도로는 쌍을 이룬 지역을 사용하는 것이 좋습니다. 관계형 데이터를 국가/지역의 지리적 경계 내에 유지해야 하는 경우, 해당 국가/지역 외부 지역에 Azure SQL Database 비동기 복제를 구성해서는 안 됩니다.

데이터 위치 페이지에 설명된 바와 같이, 대부분의 Azure 지역 서비스는 미사용 데이터 약정을 준수하여 해당 서비스가 배포된 지리적 경계 내에 데이터가 유지되도록 보장합니다. 이 규칙의 몇 가지 예외는 데이터 위치 페이지에서 확인할 수 있습니다. 이러한 예외를 검토하여 선택한 배포 지역 외부에 저장된 데이터 형식이 요구 사항을 충족하는지 확인해야 합니다.

비지역 Azure 서비스에서는 서비스가 배포될 지역을 지정할 수 없습니다. 일부 비지역 서비스는 데이터를 전혀 저장하지 않고 Azure Traffic Manager 또는 Azure DNS 같은 전역 라우팅 기능만 제공합니다. 기타 비지역 서비스는 Content Delivery Network와 같은 전 세계 에지 위치에서 데이터를 캐싱하기 위한 것입니다. 이러한 서비스는 선택 사항이므로, 지역에 보관하려는 중요한 고객 콘텐츠에 사용해서는 안 됩니다. 추가 논의가 필요한 비지역 서비스 중 하나는 Microsoft Entra ID로, 다음 섹션에서 설명합니다.

Microsoft Entra ID의 고객 데이터

Microsoft Entra ID는 다음 지역에 Microsoft Entra 배포 작업을 제외하고 ID 데이터를 전역적으로 저장할 수 있는 비지역 서비스입니다.

• 미국에서는 ID 데이터가 미국 내에만 저장됩니다.
• 유럽: Microsoft Entra ID는 Microsoft Entra ID의 유럽 고객용 ID 데이터 스토리지에 명시된 경우를 제외하고는 대부분의 ID 데이터를 유럽 데이터 센터 내에 보관합니다.
• 오스트레일리아/뉴질랜드: Microsoft Entra ID의 오스트레일리아 및 뉴질랜드 고객용 고객 데이터 스토리지에 명시된 경우를 제외하고는 ID 데이터가 오스트레일리아에 저장됩니다.

Microsoft Entra ID는 모든 Microsoft Entra 구성 요소 서비스의 데이터 위치에 대한 투명한 인사이트를 제공하는 대시보드를 제공합니다. 다른 기능 중에서 Microsoft Entra ID는 이름, 이메일 주소 등과 같이 EUII(최종 사용자 식별 정보)로 분류된 사용자 개인 데이터를 포함한 Azure 관리자용 디렉터리 데이터를 저장하는 ID 관리 서비스입니다. Microsoft Entra ID에서는 Integer, DateTime, Binary, String(256자로 제한됨) 등과 같은 다양한 특성 유형을 통해 사용자, 그룹, 디바이스, 애플리케이션 및 기타 엔터티를 만들 수 있습니다. Microsoft Entra ID는 고객 콘텐츠를 저장하기 위한 것이 아닙니다. Microsoft Entra ID에는 Blob, 파일, 데이터베이스 레코드 및 유사한 구조를 저장할 수 없습니다. 또한 Microsoft Entra ID는 외부 최종 사용자를 위한 ID 관리 서비스가 아닙니다. 이 용도로는 Azure AD B2C를 사용해야 합니다.

Microsoft Entra ID는 테넌트 격리 및 액세스 제어, 전송 중인 데이터 암호화, 비밀 암호화 및 관리, 디스크 수준 암호화, 다양한 Microsoft Entra 구성 요소에서 사용하는 고급 암호화 알고리즘, 참가자 액세스를 위한 데이터 운영 고려 사항 등 광범위한 데이터 보호 기능을 구현합니다. 자세한 정보는 Active Directory 데이터 보안 고려 사항 백서에서 확인할 수 있습니다.

내부 시스템용 가명 데이터 생성

개인 데이터는 광범위하게 정의됩니다. 여기에는 고객 데이터뿐만 아니라 PUID(Probably Unique Identifier)와 GUID(Globally Unique Identifier) 같은 고유한 개인 식별자도 포함되며, 후자는 UUID(Universally Unique Identifier)로 레이블이 지정되는 경우가 많습니다. 이러한 고유한 개인 식별자가 가명 식별자입니다. 이 유형의 정보는 관리자처럼 Azure 서비스와 직접 상호 작용하는 사용자를 추적하기 위해 자동으로 생성됩니다. 예를 들어 PUID는 높은 고유 가능성을 제공하기 위해 문자와 숫자를 조합함으로써 프로그래밍 방식으로 자동 생성되는 임의의 문자열입니다. 가명 식별자는 중앙 집중식 내부 Azure 시스템에 저장됩니다.

EUII는 사용자(예: 사용자 이름, 표시 이름, 사용자 계정 이름 또는 사용자별 IP 주소)를 식별하는 데 자체적으로 사용할 수 있는 데이터를 나타내는 반면, 가명 식별자는 그 자체로는 개인을 식별할 수 없기 때문에 가명으로 간주됩니다. 가명 식별자는 사용자가 업로드하거나 만든 정보를 포함하지 않습니다.

전송 중 데이터

전송 중인 데이터의 정확한 네트워크 경로를 제어할 수는 없지만, 전송 중인 데이터 암호화를 통해 데이터를 가로채지 못하도록 할 수는 있습니다.

전송 중인 데이터는 다음 사이의 데이터 이동과 관련된 아래 시나리오에 적용됩니다.

• 최종 사용자와 Azure 서비스
• 온-프레미스 데이터 센터와 Azure 지역
• 예상되는 Azure 서비스 작업의 일부인 Microsoft 데이터 센터

선택한 지역 내 두 지점 간에 전송 중인 데이터는 일반적으로 해당 지역에 남아 있지만, 네트워크가 정체를 방지하거나 다른 중단을 우회하기 위해 트래픽을 자동으로 다시 라우팅하는 방식으로 인해 이 결과를 100% 보장할 수는 없습니다. 즉, 전송 중인 데이터는 아래에 자세히 설명된 바와 같이 암호화 및 전송 중인 데이터 암호화 섹션을 통해 보호할 수 있습니다.

Azure 서비스에 최종 사용자 연결

대부분의 고객은 인터넷을 통해 Azure에 연결하며, 네트워크 트래픽의 정확한 라우팅은 인터넷 인프라에 기여하는 많은 네트워크 공급자에 따라 달라집니다. Microsoft 제품 및 서비스 DPA(데이터 보호 추록)에 명시된 바와 같이, Microsoft는 사용자 또는 최종 사용자가 고객 데이터에 액세스하거나 고객 데이터를 이동할 수 있는 지역을 제어 또는 제한하지 않습니다. 전송 중 암호화를 사용하여 보안을 강화할 수 있습니다. 예를 들면 Azure Application Gateway를 사용하여 트래픽의 엔드투엔드 암호화를 구성할 수 있습니다. 전송 중 데이터 암호화 섹션에 설명된 바와 같이, 사용자와 Azure 서비스 간에 데이터가 이동할 때 Azure는 TLS(전송 계층 보안) 프로토콜을 이용해 데이터를 보호합니다. 그러나 Microsoft는 최종 사용자와 Azure의 상호 작용에 해당하는 네트워크 트래픽 경로를 제어할 수 없습니다.

Azure 지역에 데이터 센터 연결

VNet(Virtual Network)은 Azure VM(가상 머신)이 내부(온-프레미스) 네트워크의 일부로 작동할 수 있는 수단을 제공합니다. 온-프레미스 인프라에서 VNet으로 안전하게 연결할 수 있는 옵션이 있습니다. IPSec 보호 VPN(예: 지점 및 사이트 간 VPN 또는 사이트 간 VPN)을 선택하거나, 데이터 암호화 옵션이 여러 개인 Azure ExpressRoute를 사용하여 비공개 연결을 선택하세요.

• IPSec 보호 VPN은 공용 인터넷에서 설정된 암호화된 터널을 사용합니다. 즉, 네트워크 관련 사항을 보장하기 위해서는 로컬 인터넷 서비스 공급자에게 의존해야 합니다.
• ExpressRoute를 사용하면 Microsoft 데이터 센터와 온-프레미스 인프라 또는 공동 배치 시설 간에 비공개 연결을 만들 수 있습니다. ExpressRoute 연결은 공용 인터넷을 통해 이동하지 않아 IPSec 보호 VPN 연결보다 대기 시간이 짧고 안정성이 높습니다. ExpressRoute 위치는 Microsoft의 글로벌 네트워크 백본 진입점으로, Azure 지역의 위치와 일치할 수도 있고 일치하지 않을 수도 있습니다. 예를 들어 ExpressRoute를 통해 암스테르담 소재 Microsoft에 연결할 수 있고, 북유럽과 서유럽에서 호스팅되는 모든 Microsoft Cloud Services에 액세스할 수 있습니다. 그러나 전 세계 다른 곳에 있는 ExpressRoute 연결에서 동일한 Azure 지역에 액세스할 수도 있습니다. 네트워크 트래픽이 Microsoft 백본에 진입하면 공용 인터넷 대신 해당하는 프라이빗 네트워킹 인프라를 트래버스하는 것이 보장됩니다.

Microsoft 글로벌 네트워크 백본 간 트래픽

미사용 데이터 섹션에 설명된 바와 같이, 스토리지 및 SQL Database 같은 Azure 서비스를 지역 복제용으로 구성하면 특히 재해 복구 시나리오에 적합한 내구성과 고가용성을 보장할 수 있습니다. Azure는 쌍을 이루는 지역을 사용해 GRS(지역 중복 스토리지)를 제공하므로, Azure SQL Database용 활성 지역 복제를 구성할 때에도 쌍을 이루는 지역을 사용하는 것이 좋습니다. 쌍을 이루는 지역은 동일한 지역 내에 있습니다.

지역 간 트래픽은 데이터 링크 계층(네트워킹 스택의 계층 2)에서 네트워크 트래픽을 보호하고 암호화 시 AES-128 블록 암호를 사용하는 MACsec(Media Access Control Security)을 통해 암호화됩니다. 이 트래픽은 전적으로 Microsoft 글로벌 네트워크 백본 내에서 유지되며 공용 인터넷에 진입하지 않습니다. 백본은 200,000km 이상의 광섬유/해저 케이블 시스템을 갖춘 세계적인 수준의 대규모 케이블 중 하나입니다. 그러나 네트워크 트래픽은 한 Azure 지역에서 다른 지역으로 동일한 경로를 항상 따르도록 보장되지 않습니다. Azure 클라우드에 필요한 안정성을 제공하기 위해 Microsoft는 정체 또는 오류에 대한 자동 라우팅 기능이 포함된 물리적 네트워킹 경로를 다수 갖춰 안정성을 최적화합니다. 따라서 Microsoft는 Azure 지역 사이를 트래버스하는 네트워크 트래픽이 항상 해당하는 지역에 제한된다고 보장할 수는 없습니다. 네트워킹 인프라 중단 시 Microsoft는 프라이빗 백본을 통해 암호화된 네트워크 트래픽의 경로를 다시 라우팅함으로써 서비스 가용성과 최상의 성능을 보장할 수 있습니다.

고객 지원 및 문제 해결을 위한 데이터

Azure는 전 세계에서 연중무휴로 운영되는 서비스이지만, 지원/문제 해결 시 데이터 액세스 권한이 거의 필요하지 않습니다. 지원/문제 해결 시나리오를 추가 제어할 필요가 있는 경우 Azure용 고객 Lockbox를 사용하여 데이터 액세스 요청을 승인하거나 거부할 수 있습니다.

Microsoft Azure 지원은 Azure를 제공하는 모든 시장에서 사용할 수 있습니다. 이메일과 전화로 기술 지원 서비스를 제공할 지원 엔지니어에게 연중무휴로 액세스할 수 있도록 전 세계에 직원이 배치되어 있습니다. Azure Portal에서 지원 요청을 만들고 관리할 수 있습니다. 필요에 따라 최전방 지원 엔지니어는 Azure 서비스 개발/운영을 담당하는 Azure DevOps 담당자에게 요청을 에스컬레이션할 수 있습니다. 이러한 Azure DevOps 엔지니어도 전 세계에도 활약하고 있습니다. 모든 Microsoft 엔지니어에게 동일한 프로덕션 액세스 제어 및 프로세스가 적용되며, 여기에는 Microsoft 상근 직원과 하위 프로세서/공급업체로 구성된 지원 직원이 포함됩니다.

미사용 데이터 암호화 섹션에 설명된 바와 같이, Azure에 저장되면 기본적으로 미사용 데이터가 암호화되며 Azure Key Vault에서 사용자 고유의 암호화 키를 제어할 수 있습니다. 또한 대부분의 고객 지원 요청을 해결하기 위해 데이터에 액세스할 필요도 없습니다. Microsoft 엔지니어는 고객 지원을 제공하기 위해 주로 로그를 사용합니다. 참가자 데이터 액세스 섹션에 설명된 바와 같이, Azure에는 액세스가 필요한 경우 지원/문제 해결 시나리오에서 사용할 데이터에 대한 액세스를 제한하는 컨트롤이 있습니다. 예를 들어 JIT(Just-In-Time) 액세스 조항에 따라 해당 역할을 맡도록 승인받고 임시 액세스 자격 증명을 부여받은 Microsoft 엔지니어로 프로덕션 시스템 액세스 권한을 제한합니다. 지원 워크플로의 일부인 고객 Lockbox 를 통해 Microsoft 엔지니어가 데이터 액세스를 승인하거나 거부할 수 있습니다. 이러한 Azure 기술과 프로세스(데이터 암호화, JIT, 고객 Lockbox)를 결합하면 데이터 기밀성과 무결성을 보호하는 데 적합한 위험 완화 성능이 제공됩니다.

전 세계 정부 고객은 클라우드에 있는 데이터를 완전히 제어하길 원합니다. 다음 섹션에 설명된 바와 같이, Azure는 암호화 키 사용자 지정 컨트롤을 비롯해 전체 수명 주기(미사용, 전송 중, 사용 중) 동안 광범위한 데이터 암호화 옵션을 제공합니다.

데이터 암호화

Azure는 데이터 암호화를 사용하여 데이터를 보호할 수 있는 광범위한 지원 기능을 제공합니다. Azure 서비스에 저장된 가장 중요한 고객 콘텐츠를 추가로 보호해야 할 경우 Azure Key Vault에서 제어하는 자체 암호화 키를 사용해 암호화할 수 있습니다. 전송 중인 데이터의 정확한 네트워크 경로를 제어할 수는 없지만, 전송 중인 데이터 암호화를 통해 데이터를 가로채지 못하도록 할 수는 있습니다. Azure가 지원하는 데이터 암호화 모델은 다음과 같습니다.

• 서비스 관리형 키, Azure의 CMK(고객 관리형 키) 또는 고객 제어 하드웨어의 CMK를 사용하는 서버 쪽 암호화.
• 온-프레미스 또는 다른 안전한 위치에서 키를 관리하고 저장할 수 있는 클라이언트 쪽 암호화.

데이터 암호화는 암호화 키 액세스에 직접 연결되는 격리 보증을 제공합니다. Azure는 데이터 암호화에 강력한 암호화 기능을 사용하므로 암호화 키에 액세스할 수 있는 단체만 데이터에 액세스할 수 있습니다. 암호화 키를 철회하거나 삭제하면 해당 데이터에 액세스할 수 없게 됩니다.

암호화 키 관리

데이터 보안을 위해서는 암호화 키를 적절하게 보호, 관리하는 것이 필수적입니다. Azure Key Vault는 비밀을 안전하게 저장, 관리하기 위한 클라우드 서비스입니다. Key Vault 서비스는 다음의 두 가지 리소스 유형을 지원합니다.

• Vault는 소프트웨어 보호 및 HSM(하드웨어 보안 모듈) 보호 비밀, 키 및 인증서를 지원합니다. 자격 증명 모음은 가장 일반적인 클라우드 애플리케이션 시나리오에 적합한 저렴하고 배포하기 쉬운 다중 테넌트와 영역 복원 가능(사용 가능한 경우), 고가용성 키 관리 솔루션을 제공합니다. 해당 HSM는 FIPS 140 수준 2 유효성 검사를 받았습니다.
• 관리되는 HSM은 HSM으로 보호되는 암호화 키만 지원합니다. 단일 테넌트, 완전 관리형, 고가용성, 영역 복원 가능(사용 가능한 경우) HSM을 서비스로 제공하여 암호화 키를 저장하고 관리합니다. 높은 값의 키를 처리하는 애플리케이션 및 사용 시나리오에 가장 적합합니다. 또한 가장 엄격한 보안, 규정 준수 및 규정 요구 사항을 충족하는 데에도 도움이 됩니다. 관리형 HSM은 FIPS 140-2 수준 3 유효성 검사를 받은 HSM를 사용하여 키를 보호합니다.

Key Vault를 사용하면 FIPS 140 유효성 검사를 받은 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. Azure Key Vault를 사용하면 HSM에서 암호화 키를 가져오거나 생성하여 키가 HSM 보호 경계를 벗어나지 않도록 함으로써 BYOK(Bring Your Own Key) 시나리오를 지원할 수 있습니다. Azure Key Vault HSM 내에서 생성된 키는 내보낼 수 없습니다. HSM 외부에는 일반 텍스트 버전의 키가 있을 수 없습니다. 이 바인딩은 기본 HSM을 통해 적용됩니다.

참고 항목

Azure Key Vault는 Microsoft 및 해당 에이전트가 암호화 키를 보거나 추출하지 못하도록 설계되어 배포, 운영됩니다. 추가 보증은 Azure Key Vault에서 키를 보호하는 방법을 참조하세요.

자세한 내용은 Azure Key Vault를 참조하세요.

전송 중 암호화

Azure는 전송 중인 데이터를 암호화하기 위한 여러 옵션을 제공합니다. 전송 중인 데이터 암호화는 다른 트래픽에서 네트워크 트래픽을 격리하고, 데이터를 가로채지 못하도록 하는 데 도움이 됩니다. 자세한 내용은 전송 중인 데이터 암호화를 참조하세요.

휴지 상태의 암호화

Azure는 광범위한 미사용 데이터 암호화 옵션을 제공하여 데이터를 보호하고 Microsoft 관리형 암호화 키와 고객 관리형 암호화 키를 모두 사용해 규정 준수 요구 사항을 충족하는 데 도움을 줍니다. 이 프로세스는 Azure Key Vault 및 Microsoft Entra ID 같은 다양한 암호화 키와 서비스를 사용하여 보안 키 액세스 및 중앙 집중식 키 관리를 보장합니다. Azure Storage 암호화 및 Azure Disk 암호화에 대한 자세한 내용은 미사용 데이터 암호화를 참조하세요.

Azure SQL Database는 기본적으로 미사용 상태에서 TDE(투명한 데이터 암호화)를 제공합니다. TDE는 데이터 및 로그 파일에 대해 실시간 암호화 및 암호 해독 작업을 수행합니다. DEK(데이터베이스 암호화 키)는 복구 중 사용 가능하도록 데이터베이스 부트 레코드에 저장된 대칭 키입니다. 서버의 마스터 데이터베이스에 저장된 인증서 또는 Azure Key Vault에서 제어할 수 있는 저장된 TDE 보호기라는 비대칭 키를 통해 보호됩니다. Key Vault는 Key Vault에 TDE 보호기를 저장하고 키 권한, 회전, 삭제, 모든 TDE 보호기에서 감사/보고 사용 등의 키 관리 작업을 제어할 수 있는 BYOK(Bring Your Own Key)를 지원합니다. 키는 Key Vault에 의해 생성되거나, 가져오거나,온-프레미스 HSM 디바이스에서 Key Vault로 전송될 수 있습니다. 또한 애플리케이션 내에서 데이터를 암호화하고 데이터베이스 엔진에 암호화 키를 표시하지 않도록 함으로써 중요한 데이터를 보호하도록 특별히 설계된 Azure SQL Database의 Always Encrypted 기능도 사용할 수 있습니다. 이러한 방식으로 Always Encrypted는 데이터를 소유하고 볼 수 있는 사용자와 데이터를 관리하지만 액세스 권한을 보유해서는 안 되는 사용자를 분리합니다.

사용 중인 데이터 암호화

Microsoft를 사용하면 전체 수명 주기(미사용, 전송 중, 사용 중)에 걸쳐 데이터를 보호할 수 있습니다. Azure 기밀 컴퓨팅과 동형 암호화는 클라우드에서 처리되는 동안 데이터를 보호하는 두 가지 기술입니다.

Azure 기밀 컴퓨팅

Azure 기밀 컴퓨팅은 사용 중인 데이터의 암호화를 제공하는 데이터 보안 기능 모음입니다. 이 접근 방식은 계산 중 데이터가 메모리에 있는 동안 사용되는 경우에도 사용자가 항상 제어할 수 있다는 확신을 갖고 클라우드에서 데이터를 처리할 수 있음을 의미합니다. Azure 기밀 컴퓨팅은 IaaS 워크로드에 다양한 가상 머신을 지원합니다.

• 신뢰할 수 있는 시작 VM:신뢰할 수 있는 시작은 부팅 키트, 루트킷 및 커널 수준 맬웨어로부터 보호하는 강화된 보안 기능(보안 부팅, 신뢰할 수 있는 가상 플랫폼 모듈, 부팅 무결성 모니터링)을 제공하여 2세대 VM에서 사용할 수 있습니다.

• AMD SEV-SNP 기술을 사용하는 기밀 VM: 코드를 변경하지 않고도 AMD EPYC 7003 시리즈 CPU를 기반으로 Azure VM을 선택하여 애플리케이션을 리프트 앤 시프트할 수 있습니다. 이러한 AMD EPYC CPU는 AMD 보안 암호화된 가상화 – SEV – SEV-SNP(Secure Nested Paging) 기술을 사용하여 런타임 시 전체 가상 머신을 암호화합니다. VM 암호화에 사용되는 암호화 키는 EPYC CPU의 전용 보안 프로세서에서 생성, 보호되며 외부 수단으로는 추출할 수 없습니다. 이러한 Azure VM은 현재 미리 보기로 일부 고객에게 제공됩니다. 자세한 내용은 Azure and AMD announce landmark in confidential computing evolution(기밀 컴퓨팅 발전의 랜드마크를 발표한 Azure와 AMD)을 참조하세요.

• Intel SGX 애플리케이션 enclave를 사용하는 기밀 VM: 애플리케이션 수준까지 세분화된 방식으로 기밀성을 지원하는 Intel SGX(Intel Software Guard Extensions) 기술을 기반으로 Azure VM을 선택할 수 있습니다. 이 접근 방식을 사용하면 메모리에서 데이터를 효율적으로 처리하는 데 필요한 데이터가 일반 데이터인 경우 그림 1에 표시된 바와 같이 하드웨어 기반의 신뢰할 수 있는 실행 환경(TEE, enclave라고도 함) 내에서 데이터가 보호됩니다. Intel SGX는 실제 메모리의 일부를 격리하여 선택한 코드와 데이터를 보거나 수정하지 못하도록 보호하는 enclave를 만듭니다. TEE를 사용하면 애플리케이션 디자이너만 TEE 데이터에 액세스할 수 있고, Azure 관리자를 비롯한 다른 모든 사용자에게 액세스가 거부됩니다. 또한 TEE는 권한 있는 코드만 데이터에 액세스할 수 있도록 합니다. 코드가 변경되거나 변조되면 작업이 거부되고 환경이 비활성화됩니다.

  

  그림 1. 신뢰 실행 환경 보호

  Azure DCsv2, DCsv3, DCdsv3 시리즈 가상 머신에는 Intel SGX 기술을 사용하는 최신 세대의 Intel Xeon 프로세서가 있습니다. 자세한 내용은 SGX enclave를 사용하여 빌드를 참조하세요. 애플리케이션 개발자가 적절하게 사용하는 경우 Intel SGX가 제공하는 보호 기능은 권한 있는 소프트웨어의 공격과 많은 하드웨어 기반 공격으로 인한 손상을 방지할 수 있습니다. Intel SGX를 사용하는 애플리케이션은 신뢰할 수 있는 구성 요소 및 신뢰할 수 없는 구성 요소로 리팩터링해야 합니다. 애플리케이션의 신뢰할 수 없는 부분에서 enclave를 설정하면 신뢰할 수 있는 부분이 enclave 내에서 실행될 수 있습니다. 권한 수준에 관계없이 다른 모든 코드는 enclave 내에서 실행되는 코드 또는 enclave 코드와 연결된 데이터에 액세스할 수 없습니다. 디자인 모범 사례에서는 신뢰할 수 있는 파티션에 고객의 비밀을 보호하는 데 필요한 최소한의 콘텐츠만 포함해야 합니다. 자세한 내용은 Intel SGX의 애플리케이션 개발을 참조하세요.

Intel SGX(Intel Software Guard Extensions) 또는 AMD Secure Encrypted Virtualization – SEV-SNP(Secure Nested Paging) 같은 기술은 기밀 컴퓨팅 구현을 지원하는 최신 CPU 개선 사항입니다. 이러한 기술은 가상화 확장 기능으로 설계되었으며 메모리 암호화 및 무결성, CPU 상태 기밀성 및 무결성, 증명 등의 기능 집합을 제공합니다. Azure는 일반적으로 사용할 수 있거나 미리 보기로 제공되는 추가 기밀 컴퓨팅 제품을 제공합니다.

• Microsoft Azure Attestation – 여러 TEE(신뢰 실행 환경)의 신뢰성과 TEE 내에서 실행되는 이진의 무결성을 확인하기 위한 원격 증명 서비스입니다.
• Azure Confidential Ledger – ACL은 기록을 보관, 감사하거나 다자간 시나리오의 데이터 투명성을 도모하는 데 중요한 데이터를 저장하기 위한 변조 방지 레지스터입니다. Write-Once-Read-Many를 보장하여 데이터를 삭제하고 수정할 수 없도록 합니다. 이 서비스는 Microsoft Research의 기밀 컨소시엄 프레임워크를 기반으로 합니다.
• AKS(Azure Kubernetes Service)에서 실행되는 Enclave 인식 컨테이너 – AKS의 기밀 컴퓨팅 노드는 Intel SGX를 사용하여 각 컨테이너 애플리케이션 간의 노드에 격리된 enclave 환경을 만듭니다.
• Azure SQL에서 보안 enclave를 사용하는 Always Encrypted – SQL 문에 데이터베이스 엔진이 실행되는 보안 enclave를 사용해야 하는 암호화된 데이터 작업이 포함된 경우 TEE 내에서 직접 SQL 쿼리를 실행하여 맬웨어와 높은 권한이 없는 사용자로부터 중요한 데이터의 기밀성을 보호합니다.
• 에지의 기밀 컴퓨팅 – Azure IoT Edge는 IoT(사물 인터넷) 디바이스의 보안 enclave 내에서 실행되는 기밀 애플리케이션을 지원합니다. IoT 디바이스는 악의적인 행위자가 물리적으로 액세스할 수 있으므로 변조 및 위조에 노출되는 경우가 많습니다. 기밀 IoT Edge 디바이스는 클라우드로 스트리밍하기 전에 디바이스 자체에 의해 캡처되고 저장된 데이터에 대한 액세스를 보호하여 에지에서 신뢰와 무결성을 추가합니다.

Microsoft는 고객의 피드백에 따라Azure 기밀 컴퓨팅에 대한 높은 수준의 시나리오에 투자를 시작했습니다. 기밀 컴퓨팅 서비스와 프레임워크를 사용하여 자체 애플리케이션을 개발하기 위한 시작점으로 시나리오 권장 사항을 검토할 수 있습니다.

동형 암호화

동형 암호화는 데이터의 암호를 해독하는 데 필요한 키에 액세스하지 않고도 암호화된 데이터에서 계산을 수행할 수 있는 특별한 유형의 암호화 기술을 나타냅니다. 계산 결과는 암호화되며 암호화 키의 소유자만 볼 수 있습니다. 이러한 방식으로 암호화된 데이터만 클라우드에서 처리되며 계산 결과를 표시할 수 있습니다.

동형 암호화를 채택하는 데 도움을 주기 위해 Microsoft SEAL에서는 암호화된 데이터에서 직접 계산을 수행할 수 있는 암호화 라이브러리 집합을 제공합니다. 이 접근 방식을 사용하면 암호화 키를 클라우드 서비스와 공유하지 않아도 되는 암호화된 엔드투엔드 데이터 스토리지 및 컴퓨팅 서비스를 빌드할 수 있습니다. Microsoft SEAL은 누구나 동형 암호화를 쉽게 사용할 수 있도록 하는 데 목표를 두고 있습니다. 여기에서는 간단하고 편리한 API를 제공하며, 라이브러리를 정확하고 안전하게 사용하는 방법을 보여 주는 몇 가지 자세한 예제를 함께 제공합니다.

또한 FHE(완전 동형 암호화)의 상용화를 이끌어 가기 위해 Intel 및 DARPA(Defense Advanced Research Projects Agency)와 다년간의 협업을 발표했습니다. 이 기술을 사용하면 항상 암호화된 데이터 또는 암호문을 계산할 수 있습니다. FHE를 사용하면 데이터의 암호를 해독할 필요가 없어 사이버 위협의 가능성이 감소합니다.

클라우드의 데이터 암호화는 전 세계 정부 고객이 기대하는 중요한 위험 완화 요구 사항입니다. 이 섹션에 설명된 바와 같이 Azure는 미사용 상태든, 전송 중이든, 사용 중이든 전체 수명 주기 동안 데이터를 보호하는 데 도움을 줍니다. 또한 Azure는 키 권한, 회전, 삭제 등을 비롯해 클라우드에서 키를 제어하는 데 도움이 되는 포괄적인 암호화 키 관리 기능을 제공합니다. 고급 암호화 기능을 사용하는 엔드투엔드 데이터 암호화는 클라우드에서 데이터의 기밀성과 무결성을 보장하는 데 필수적입니다. 그러나 많은 고객이 서비스 유지 관리, 고객 지원 또는 기타 시나리오에서 잠재적인 고객 데이터에 액세스하는 일에 대해 Microsoft 엔지니어가 보증해 주기를 기대합니다. 이러한 제어 사항은 다음 섹션에서 설명합니다.

참가자 데이터 액세스

내부 위협은 백도어 연결 및 CSP(클라우드 서비스 공급자)의 권한 있는 관리자 액세스 권한을 시스템 및 데이터에 제공할 가능성이 있다는 특징이 있습니다. Microsoft는 데이터에 액세스할 수 있는 사용자 및 조건과 관련해 강력한 고객 약정을 제공합니다. Microsoft 운영 및 지원 담당자가 사용자 데이터에 액세스하는 행위는 기본적으로 거부됩니다. 데이터 액세스 권한은 Azure를 운영하는 데 필요하지 않습니다. 또한 고객이 시작한 문제 해결 티켓과 관련 있는 대부분의 지원 시나리오에서는 데이터에 액세스할 필요가 없습니다.

기본 액세스 권한이 없는 JIT(Just-In-Time) 액세스 조항은 일반적으로 고용 기간 동안 지속되는 기존 온-프레미스 관리자의 상승된 액세스 권한과 관련된 위험을 크게 줄여 줍니다. Microsoft를 사용하면 악의적인 참가자가 애플리케이션과 데이터를 변조하기가 훨씬 더 어려워집니다. 상근 직원과 하위 프로세서/공급업체를 포함한 모든 Microsoft 엔지니어에게 동일한 액세스 제어 제한 사항과 프로세스가 적용됩니다.

Microsoft에서 참가자의 데이터 액세스를 제한하는 방법에 대한 자세한 내용은 참가자 액세스 제한 사항을 참조하세요.

정부의 데이터 요청

정부의 데이터 요청은 정부 요청에 대한 Microsoft의 대응 관행에 따라 엄격한 절차를 따릅니다. Microsoft는 권한 없는 사람이 부적절하게 액세스하거나 사용하지 않도록 데이터를 보호하기 위해 강력한 조치를 취합니다. 이러한 조치에는 Microsoft 직원과 하청업체의 액세스를 제한하고, 정부의 데이터 요청에 대응하기 위한 요구 사항을 신중하게 정의하는 일이 포함됩니다. Microsoft는 백도어 채널이 없으며 정부가 데이터에 직접 또는 제한 없이 액세스하지 못하도록 합니다. Microsoft는 정부/법 집행 기관의 데이터 요청에 특별한 요구 사항을 적용합니다.

Microsoft 제품 및 서비스 DPA(데이터 보호 추록)에 명시된 바와 같이, Microsoft는 법률에 의거하여 필요한 경우 외에는 사용자 데이터를 법 집행 기관에 공개하지 않습니다. 법 집행 기관이 사용자 데이터를 요구하기 위해 Microsoft에 연락하는 경우 Microsoft는 해당 데이터를 사용자에게 직접 요청해 달라고 법 집행 기관에 다시 안내할 예정입니다. 사용자 데이터를 법 집행 기관에 공개해야 하는 경우 Microsoft는 법적으로 금지되지 않는 한 사용자에게 즉시 알리고 요청 사항의 사본을 제공할 계획입니다.

정부의 데이터 요청은 관련 법률을 준수해야 합니다.

• 비콘텐츠 데이터를 요청하려면 소환장 또는 이에 상응하는 현지 서장이 필요합니다.
• 콘텐츠 데이터를 요청하려면 영장, 법원 명령 또는 이에 상응하는 현지 서장이 필요합니다.

Microsoft는 매년 많은 법 집행 기관의 데이터 요청을 거부합니다. 정부 요청에 대한 이의 제기는 다양한 형태로 진행할 수 있습니다. 대부분의 경우 Microsoft에서는 데이터를 요청하는 정부 기관에게 요청 정보를 공개할 수 없다고 알리고, 요청을 거부하는 이유를 설명합니다. 적절한 경우 Microsoft에서는 요청에 대한 이의를 법원에 제기합니다.

법 집행 요청 보고서 및 미국 국가 안보 질서 보고서는 6개월마다 업데이트되며, 고객 대부분은 정부의 데이터 요청에 따른 영향을 받는 것으로 나타났습니다.

CLOUD Act 프로비전

클라우드법은 2018년 3월에 제정된 미국법입니다. 자세한 내용은 Microsoft의 블로그 게시물과 법 집행 기관의 데이터 액세스에 적용되는 원칙 기반 국제 규약에 대한 Microsoft의 요청을 설명하는 후속 블로그 게시물을 참조하세요. Azure 서비스를 조달하는 정부 고객의 주요 관심 사항이 아래에 나와 있습니다.

• 클라우드법을 통해 정부는 정보가 국경을 넘어 법 집행 기관에 공개되는 방식에 대한 투명성과 확실성을 더 높일 수 있는 새로운 정부 간 계약을 협상할 수 있습니다.
• 클라우드법은 정부 감시를 강화하기 위한 메커니즘이 아닙니다. 계속해서 증거에 합법적으로 액세스하여 범죄를 합법적으로 수사할 수 있도록 하는 동시에 궁극적으로 사용자 데이터가 본국/현지 법률에 의거하여 보호되도록 보장하는 메커니즘입니다. 미국 사법 당국은 여전히 통신 내용을 찾기 전에 독립 법원에서 가능한 범죄의 원인을 입증하는 영장을 받아야 합니다. CLOUD Act는 상호 협정을 추구하는 다른 국가/지역에도 비슷한 보호 장치를 요구합니다.
• 클라우드법은 새로운 국제 규약에 의거한 새로운 권리를 부여하는 동시에 이러한 새로운 조약이 규정되지 않았더라도 법률이 상충되는 경우 클라우드 서비스 공급자가 법원에 가서 수색 영장에 이의를 제기할 수 있는 관습법상의 권리도 유지합니다.
• Microsoft는 명령이 사용자 데이터가 호스팅되는 국가/지역의 법률과 명확하게 상충되는 경우 미국 법 집행 명령에 이의를 제기할 법적 권리를 보유합니다. Microsoft는 모든 사법 기관 요청을 신중하게 평가하고, 적절한 경우 고객을 보호하는 권리를 행사하는 일을 계속 진행할 것입니다.
• 합법적인 기업 고객에 대해 미국 법 집행 기관은 대부분의 경우 Microsoft가 아닌 고객에게 직접 정보를 요청하게 됩니다.

Microsoft는 클라우드법의 결과로 추가 데이터를 공개하지 않습니다. 이 법은 과거 법 집행 기관의 데이터 요청에 적용되었던 법률 및 개인 정보 보호를 실질적으로 변경하지 않으며 이러한 보호는 계속 적용됩니다. Microsoft는 정부의 사용자 데이터 요구와 관련해 동일한 원칙과 고객 약정을 준수합니다.

대부분의 정부 고객에게는 보안 인시던트 처리 관련 요구 사항이 있으며, 대표적인 예는 데이터 위반 알림입니다. Microsoft는 다음 섹션에 설명된 완성도 높은 보안 및 개인 정보 보호 인시던트 관리 프로세스를 마련했습니다.

위반 알림

Microsoft는 인시던트 선언 후 72시간 이내에 데이터 위반(고객 또는 개인) 사항을 사용자에게 알립니다. 클라우드용 Microsoft Defender를 사용하여 잠재적인 위협을 모니터링하고 인시던트에 직접 대응할 수 있습니다.

Microsoft는 Azure 플랫폼에 영향을 주는 보안/가용성 인시던트 모니터링 및 수정 업무를 담당하고 데이터와 관련된 보안 위반 사항을 알려 줍니다. Azure에는 이러한 용도로 사용하는 완성도 높은 보안 및 개인 정보 인시던트 관리 프로세스가 있습니다. 사용자는 다음 섹션에 설명된 대로 Azure에서 프로비전된 자체 리소스를 모니터링할 책임이 있습니다.

공동 책임

NIST SP 800-145 표준은 IaaS(Infrastructure as a Service), PaaS(Platform as a Service) 및 SaaS(Software as a Service) 같은 클라우드 서비스 모델을 정의합니다. 클라우드 컴퓨팅에 대한 공유 책임 모델이 그림 2에 나와 있습니다. 사용자 자체 데이터 센터에서 온-프레미스 배포를 사용하면 스택의 모든 계층에 대한 책임을 맡게 됩니다. 워크로드가 클라우드로 마이그레이션됨에 따라 Microsoft는 클라우드 서비스 모델에 따라 점점 더 많은 책임을 지게 됩니다. 예를 들어 IaaS 모델을 사용하면 Microsoft의 책임은 하이퍼바이저 계층에서 끝나며 사용자가 게스트 Virtual Machines의 기본 운영 체제 유지 관리 업무 등 가상화 계층 위의 모든 계층을 책임지게 됩니다.

그림 2. 클라우드 컴퓨팅의 공유 책임 모델

공유 책임 모델에 따라 Microsoft는 Azure에 배포된 개별 애플리케이션을 검사, 승인하거나 모니터링하지 않습니다. 예를 들어 Microsoft는 애플리케이션이 제대로 작동하려면 열려야 하는 방화벽 포트, 백 엔드 데이터베이스 스키마의 모양, 애플리케이션의 일반적인 네트워크 트래픽 구성 요소 등을 모릅니다. Microsoft는 광범위한 클라우드 플랫폼 모니터링 인프라를 보유하고 있지만, Azure에서 자체 리소스를 프로비전하고 모니터링할 책임은 사용자에게 있습니다. 다음 섹션에 설명된 바와 같이 다양한 Azure 서비스를 배포하여 애플리케이션과 데이터를 모니터링하고 보호할 수 있습니다.

추가 보호에 필요한 필수 Azure 서비스

Azure는 프로비전된 Azure 리소스에 대한 심층적인 인사이트를 얻고 애플리케이션과 데이터를 겨냥한 외부 공격을 비롯한 의심스러운 활동에 대한 경고를 받는 데 사용할 수 있는 필수 서비스를 제공합니다. Azure Security Benchmark는 프로비전된 Azure 리소스의 보안 태세를 개선하는 데 도움이 되는 보안 권장 사항과 구현 세부 정보를 제공합니다.

추가 보호에 필요한 필수 Azure 서비스에 대한 자세한 내용은 Customer monitoring of Azure resources(Azure 리소스에 대한 고객 모니터링)를 참조하세요.

위반 알림 프로세스

보안 인시던트 대응(위반 알림 포함)은 Microsoft의 전반적인 Azure 인시던트 관리 계획 중 하위 집합입니다. 모든 Microsoft 직원은 잠재적 보안 인시던트를 식별하고 에스컬레이션하도록 교육받습니다. MSRC(Microsoft 보안 대응 센터) 내 전담 보안 엔지니어 팀이 항상 Azure의 보안 인시던트 대응 관리 업무를 담당합니다. Azure 서비스에 대한 보안 및 가용성 인시던트 모두를 관리할 때, Microsoft에서는 5단계 인시던트 응답 프로세스를 따릅니다. 이 프로세스에는 다음 단계가 포함됩니다.

1. Detect
2. 평가
3. 진단
4. 안정화 및 복구.
5. 닫기

5단계 프로세스의 목표는 문제가 탐지되고 조사가 시작된 후 최대한 빠르게 정상적인 서비스 작업과 보안을 복원하는 것입니다. 또한 Microsoft를 사용하면 Azure 구독에서 보안 인시던트를 조사, 관리하고 대응할 수 있습니다. 자세한 내용은 인시던트 관리 구현 지침: Azure 및 Office 365를 참조하세요.

보안 또는 개인 정보 보호 이벤트를 조사하는 동안 승인되지 않은 당사자가 고객 또는 개인 데이터를 노출하거나 이에 액세스했음을 Microsoft가 알게 되면 보안 인시던트 관리자는 Microsoft 법무 부서와 협의하여 인시던트 알림 하위 프로세스를 트리거해야 합니다. 이 하위 프로세스는 Azure 고객 계약에 규정된 인시던트 알림 요구 사항을 충족하도록 설계되었습니다(제품 및 서비스 데이터 보호 추록의 보안 인시던트 알림 참조). 고객 알림 및 외부 보고 의무(해당하는 경우)는 선언되는 보안 인시던트에 의해 트리거됩니다. 고객 알림 하위 프로세스는 보안 인시던트 조사 및 완화 단계와 함께 시작되어 보안 인시던트로 인한 영향을 최소화해 줍니다.

Microsoft는 인시던트 선언 후 72시간 이내에 고객 또는 개인 데이터의 위반 사항을 사용자, 데이터 보호 기관 및 데이터 주체(해당하는 경우 각각)에게 알립니다. 선언된 보안 또는 개인 정보 보호 인시던트에 대한 알림 프로세스는 계속 보안 위험을 고려하면서 최대한 신속하게 진행됩니다. 실제로 이 접근 방식은 대부분이 알림이 Microsoft가 계약상 약속한 72시간의 기한 전에 발생함을 의미합니다. 보안 또는 개인 정보 보호 인시던트 알림은 Microsoft가 선택한 수단(이메일 포함)을 통해 한 명 이상의 고객 관리자에게 제공됩니다. Azure 구독 시 보안 연락처 세부 정보를 제공해야 합니다. 이 정보는 MSRC가 불법적이거나 권한이 없는 당사자가 데이터를 노출하거나 이에 액세스한 사실을 발견한 경우 Microsoft에서 사용자에게 연락하는 데 이용됩니다. 알림이 성공적으로 제공될 수 있도록 해당하는 각 구독에 올바른 관리자 연락처 정보를 유지하는 것은 사용자의 책임입니다.

대부분의 Azure 보안 및 개인 정보 조사에서는 보안 인시던트를 선언하지 않습니다. 대부분의 외부 위협은 Microsoft가 마련한 광범위한 플랫폼 보안 조치로 인해 데이터 위반으로 이어지지 않습니다. Microsoft는 빅 데이터 분석과 기계 학습을 통해 실시간 위협 인텔리전스를 비롯한 플랫폼 상태를 파악하는, 방대한 모니터링 및 진단 인프라를 Azure에 배포했습니다. Microsoft는 모든 플랫폼 공격을 심각하게 받아들이고 있지만, 플랫폼 수준에서 잠재적인 공격을 알리는 것은 비현실적입니다.

고객 데이터를 보호하기 위해 Microsoft에서 구현한 컨트롤 외에도 Azure에 배포된 정부 고객은 Microsoft가 클라우드 플랫폼을 보호하기 위해 수행하는 보안 연구를 통해 상당한 이점을 얻을 수 있습니다. Microsoft 글로벌 위협 인텔리전스는 업계 최대 인텔리전스에 속하며, 가장 다채로운 위협 분석 소스 집합에서 가져옵니다. 해당 원격 분석에 적용되는 Microsoft 기계 학습 알고리즘을 아주 강력하게 만들어 주는 것은 위협 원격 분석의 볼륨과 다양성입니다. 모든 Azure 고객은 다음 섹션에 설명된 바와 같이 이러한 투자를 통해 직접적인 이점을 누릴 수 있습니다.

위협 탐지 및 방지

Microsoft Graph Security API는 고급 분석 기능을 사용하여 Microsoft 제품, 서비스, 파트너 전반에서 얻은 대량의 위협 인텔리전스와 보안 신호를 종합해서 사이버 위협에 대처합니다. 가장 다양한 원본 집합에서 수백만 개의 고유한 위협 지표가 Microsoft와 파트너에 의해 매일 생성되고 Microsoft 제품과 서비스에 공유됩니다(그림 3). 매월 Microsoft는 자체 글로벌 서비스 포트폴리오에서 4,000억 개 이상의 이메일 메시지에서 피싱과 맬워어를 검색하고, 4,500억 회의 인증을 처리하며, 180억 페이지 이상을 검색하고, 12억 개 이상의 디바이스에서 위협을 검색합니다. 무엇보다도 이 데이터는 언제나 엄격한 개인 정보 보호 정책 및 규정이 적용된 후에 보안 분석에 사용됩니다.

그림 3. Microsoft 글로벌 위협 인텔리전스는 업계 최대 규모입니다.

Microsoft Graph Security API를 사용하면 진화하는 위협 환경을 명확하게 확인하고 빠른 혁신을 통해 위협을 감지하고 대응할 수 있습니다. 기계 학습 모델과 인공 지능이 방대한 보안 신호를 추론해서 취약성과 위협을 식별합니다. Microsoft Graph Security API는 Microsoft 플랫폼과 파트너 솔루션에서 보안 인사이트를 공유하고 작업을 수행할 수 있는 공통 게이트웨이를 제공합니다. Microsoft는 클라우드용 Microsoft Defender를 비롯한 Microsoft 온라인 서비스에서 방대한 위협 원격 분석 및 고급 분석 기능을 제공하므로 Microsoft Graph 보안 API에서 직접 이점을 누릴 수 있습니다. 이러한 서비스는 클라우드에서 고유한 보안 요구 사항을 해결하는 데 도움이 될 수 있습니다.

Microsoft는 광범위한 Azure 클라우드 플랫폼 보호 기능을 구현했으며, 공격으로부터 프로비전된 클라우드 리소스를 보호하고 모니터링할 수 있는 다양한 Azure 서비스를 제공했습니다. 그럼에도 정부 고객은 특정 유형의 워크로드 및 데이터 분류에 대해 환경에서 완전한 운영 제어권을 갖고 연결이 완전히 끊긴 모드에서도 작동하기를 바랍니다. 제품의 Azure Stack 포트폴리오를 사용하면 다음 섹션에 설명된 대로 매우 중요한 데이터를 수용할 수 있는 프라이빗/하이브리드 클라우드 배포 모델을 프로비전할 수 있습니다.

Azure Stack을 사용하는 프라이빗/하이브리드 클라우드

Azure Stack 포트폴리오는 온-프레미스, 에지 위치 및 클라우드에서 하이브리드 애플리케이션을 빌드하고 실행할 수 있도록 하는 Azure의 확장입니다. 그림 4와 같이 Azure Stack에는 Azure Stack HCI(Hyperconverged Infrastructure), Azure Stack Hub(이전의 Azure Stack), Azure Stack Edge(이전의 Azure Data Box Edge)가 포함됩니다. 이 섹션에서는 마지막 두 구성 요소(Azure Stack Hub, Azure Stack Edge)를 설명합니다. 자세한 내용은 글로벌 Azure와 Azure Stack Hub 및 Azure Stack HCI 간 차이점을 참조하세요.

그림 4. Azure Stack 포트폴리오

Azure Stack Hub와 Azure Stack Edge는 프라이빗 또는 하이브리드 클라우드를 사용하여 매우 중요한 데이터를 처리하고, Microsoft 인텔리전트 클라우드 및 인텔리전트 에지 접근 방식을 사용하여 디지털 혁신을 추구할 수 있는 핵심 지원 기술을 나타냅니다. 이러한 활동을 진행하는 많은 정부 고객은 데이터 주권을 적용하고, 사용자 지정 규정 준수 요구 사항을 충족하고, 매우 중요한 데이터에 사용 가능한 최대한의 보호를 적용하는 것을 가장 중요하게 생각합니다.

Azure Stack Hub

Azure Stack Hub(이전의 Azure Stack)는 Microsoft 하드웨어 파트너를 통해 구매해서 사용자 자체 데이터 센터에 배포한 후 전적으로 혼자서 또는 관리되는 서비스 공급자의 도움을 받아 작동할 수 있는 유효성이 검사된 하드웨어/소프트웨어 통합 시스템입니다. Azure Stack Hub를 사용하면 항상 데이터 액세스를 완전히 제어할 수 있습니다. Azure Stack Hub는 Azure Stack Hub 배율 단위당 물리적 서버를 16대까지 수용할 수 있습니다. 이는 Azure 확장을 나타내며, 다양한 IaaS 및 PaaS 서비스를 프로비전하고 다중 테넌트 클라우드 기술을 온-프레미스와 에지 환경에 효과적으로 가져올 수 있습니다. Azure에서 사용하는 동일한 개발 도구, API, 관리 프로세스를 사용하면서 다양한 유형의 VM 인스턴스, App Services, 컨테이너(Azure AI 컨테이너 포함), Functions, Azure Monitor, Key Vault, Event Hubs 및 기타 서비스를 실행할 수 있습니다. Azure Stack Hub는 Azure 연결에 의존해서 배포된 애플리케이션을 실행하고 로컬 연결을 통해 작업을 사용하지 않습니다.

온-프레미스 배포(예: 데이터 센터)용으로 설계된 Azure Stack Hub 외에 Tactical Azure Stack Hub라는 현장 배포 가능한 러기드 버전도 연결이 제한되거나 없는 상황, 완전한 모바일 요구 사항, 군용 사양 솔루션이 필요한 열악한 상황에서 전술적 에지 배포 문제를 해결하는 데 사용할 수 있습니다.

Azure Stack Hub는 Azure 또는 인터넷과의 연결이 끊어진 상태에서 작동될 수 있습니다. 데이터가 있는 곳에서 AI로 지원되는 차세대 하이브리드 애플리케이션을 실행할 수 있습니다. 예를 들어 Azure Stack Hub를 사용하면 로컬 애플리케이션의 도구나 프로세스를 변경하지 않고도 학습된 AI 모델을 에지에 적용하고 애플리케이션과 통합해 인텔리전스 대기 시간을 단축할 수 있습니다.

Azure 및 Azure Stack Hub는 에지와 연결이 끊긴 시나리오, 데이터 주권 및 규정 준수 요구 사항을 충족하기 위한 클라우드 애플리케이션, 데이터 센터의 온-프레미스에 배포된 클라우드 애플리케이션 등 외부에 연결되거나 내부적으로 배포된 LOB(기간 업무) 애플리케이션에서 새로운 하이브리드 사용 사례를 활용하는 데 도움이 될 수 있습니다. 이러한 사용 사례에는 매우 안전한 데이터 센터 시설 내의 고정 배포 또는 모바일 시나리오가 포함될 수 있습니다. 그림 5에는 Azure Stack Hub의 기능과 주요 사용 시나리오가 나와 있습니다.

그림 5. Azure Stack Hub의 기능

Azure Stack Hub는 그림 5에 표시된 주요 시나리오에 대한 가치 제안을 제공합니다.

• 에지 및 연결이 끊긴 솔루션: 고객은 Azure Stack Hub에서 데이터를 로컬로 처리하고 Azure에서 집계한 다음 연결되거나 연결이 끊긴 상태에서 모두 공통 애플리케이션 논리를 사용해 추가로 분석하는 방식으로 대기 시간 및 연결 요구 사항을 해결합니다. Azure Stack Hub는 가장 혹독한 조건과 원격 위치에서 항공기, 선박 또는 트럭 운송이 수반되는 탐사, 건설, 농경, 석유/가스, 제조, 재해 대응, 정부 및 군사 활동의 까다로운 요구 사항을 충족합니다. 예를 들어 에지 및 연결이 끊긴 솔루션에서 Azure Stack Hub 아키텍처를 사용하면 AI로 지원되는 차세대 하이브리드 애플리케이션을 데이터가 있는 에지에 적용하고 기존 애플리케이션과 통합해 인텔리전스 대기 시간을 단축할 수 있습니다.
• 데이터 주권을 충족하는 클라우드 애플리케이션: 하나의 애플리케이션을 국가/지역에 따라 다른 방식으로 배포할 수 있습니다. 사용자는 데이터 주권 또는 사용자 지정 규정 준수 요구 사항을 충족해야 하는 필요성에 따라 Azure Stack Hub에서 온-프레미스에 배포할 수 있는 완전한 유연성을 갖추고 Azure에서 애플리케이션을 개발, 배포할 수 있습니다. 예를 들어 데이터 주권을 충족하기 위해 Azure Stack Hub 아키텍처를 사용하는 경우 비공개 연결을 통해 Azure VNet의 데이터를 Azure Stack Hub VNet으로 전송하고, 궁극적으로 Azure Stack Hub의 VM에서 실행되는 SQL Server 데이터베이스에 데이터를 저장할 수 있습니다. Azure Stack Hub를 사용해 연결이 끊긴 환경에서 보안 승인을 받은 국가/지역 담당자가 관리하는 솔루션을 배포해야 하는 경우처럼 훨씬 더 제한적인 요구 사항을 수용할 수 있습니다. 이와 같이 연결이 끊긴 환경에서는 작동 시 보안 분류 때문에 어떠한 목적으로도 인터넷에 연결할 수 없습니다.
• 온-프레미스 클라우드 애플리케이션 모델: Azure Stack Hub를 사용하여 레거시 애플리케이션을 업데이트 및 확장하고 클라우드를 준비합니다. Azure Stack Hub에서 App Service를 사용하는 경우 일관된 프로그래밍 모델과 기술을 활용하면서 최신 클라이언트에서 최신 API를 사용하는 웹 프런트 엔드를 만들 수 있습니다. 예를 들어 레거시 시스템을 현대화하기 위해 Azure Stack Hub 아키텍처를 사용하는 경우 일관된 DevOps 프로세스, Azure Web Apps, 컨테이너, 서버리스 컴퓨팅, 마이크로 서비스 아키텍처를 적용하여 레거시 애플리케이션을 현대화하는 동시에 메인프레임과 사업 부문용 시스템에서 레거시 데이터를 통합하고 보존할 수 있습니다.

Azure Stack Hub에는 Microsoft Entra ID 또는 Active Directory에서 지원하는 ADFS(Active Directory Federation Services)가 ID 공급자로 필요합니다. RBAC(역할 기반 액세스 제어)를 사용하면 구독, 리소스 그룹 또는 개별 리소스 수준에서 역할을 할당하여 권한 있는 사용자, 그룹 및 서비스에 대한 시스템 액세스 권한을 부여할 수 있습니다. 각 역할은 사용자, 그룹 또는 서비스가 Azure Stack Hub 리소스에 대해 갖는 액세스 수준을 정의합니다.

Azure Stack Hub는 미사용 암호화를 사용하여 스토리지 하위 시스템 수준에서 고객 데이터를 보호합니다. Azure Stack Hub의 스토리지 하위 시스템은 기본적으로 BitLocker를 사용하여 128비트 AES 암호화됩니다. BitLocker 키는 내부 암호 저장소에 유지됩니다. 배포 시점에는 BitLocker가 256비트 AES 암호화를 사용하도록 구성할 수도 있습니다. Azure Stack Hub에서 Key Vault를 사용하여 암호화 키 등의 비밀을 저장하고 관리할 수 있습니다.

Azure Stack Edge

Azure Stack Edge(이전의 Azure Data Box Edge)는 네트워크 데이터 전송 기능이 포함된 AI 지원 에지 컴퓨팅 디바이스입니다. 최신 세대의 디바이스는 기본 제공 GPU(그래픽 처리 장치)를 사용하여 AI 추론을 가속화합니다. Azure Stack Edge는 어플라이언스에 기본적으로 통합된 GPU 하드웨어를 사용하여 에지에서 기계 학습 알고리즘을 효율적으로 실행합니다. 크기와 이동성을 활용하여 필요에 따라 사용자, 앱, 데이터에 가깝게 Azure Stack Edge를 실행할 수 있습니다. 그림 6에는 Azure Stack Edge 기능과 주요 사용 사례가 나와 있습니다.

그림 6. Azure Stack Edge의 기능

Azure Stack Edge는 그림 6에 표시된 주요 사용 사례에 대한 가치 제안을 제공합니다.

• Azure Machine Learning을 사용한 유추: 유추는 학습된 기능을 새 데이터에 적용하여 발생하는 예측 단계와 같이 모델 학습 후에 발생하는 딥 러닝의 일부입니다. 예로 여러 태그가 지정된 차량 이미지를 처리하여 모델을 학습한 후 대상 이미지에서 차량을 인식하는 부분을 들 수 있는데, 컴퓨터 가상 이미지(가상 이미지라고도 함)로 보강되는 경우가 많습니다. Azure Stack Edge를 사용하면 ML(Machine Learning) 모델을 실행하여 결과를 빠르게 얻고 데이터를 클라우드로 보내기 전에 조치를 취할 수 있습니다. 필요한 데이터 하위 집합(대역폭 제약 조건이 있는 경우) 또는 전체 데이터 세트가 클라우드로 전송되어 고객의 ML 모델을 계속해서 재학습하고 개선합니다.
• 데이터 전처리: 온-프레미스 또는 IoT 디바이스에서 데이터가 생성된 곳 가까이에 위치하면서 데이터를 분석하여 빠르게 결과를 얻을 수 있습니다. Azure Stack Edge는 고급 처리 또는 고급 분석을 수행할 수 있도록 전체 데이터 세트(또는 대역폭이 제한적인 경우에는 필요한 데이터 하위 집합만)를 클라우드로 전송합니다. 전처리를 사용하여 데이터를 집계, 수정(예: 개인 식별 정보 또는 기타 중요한 데이터 제거)하고 클라우드에서 심층 분석하는 데 필요한 데이터를 전송하며 IoT 이벤트를 분석하고 대응할 수 있습니다.
• 네트워크를 통해 Azure로 데이터 전송 Azure Stack Edge를 사용하면 Azure로 데이터를 전송하여 추가 컴퓨팅 및 분석을 수행하거나 데이터를 보관할 수 있습니다.

임무 데이터를 수집, 식별하고 배포할 수 있는 능력은 중요한 결정을 내리는 데 필수적입니다. 에지에서 직접 데이터를 처리하고 전송하는 데 도움이 되는 도구를 사용하면 이 기능이 가능해집니다. 예를 들어, ML 추론에 필요한 작은 공간과 기본 제공 하드웨어 가속 성능을 갖춘 Azure Stack Edge는 전술적 에지용으로 설계된 AI 솔루션을 통해 전방 운영 장치 또는 유사한 임무 요구 사항의 인텔리전스를 강화하는 데 유용합니다. 필드에서 데이터를 전송하려면 기존에는 복잡하고 느린 과정이 수반되었으나 Azure Data Box 제품군을 통해 원활한 전송이 가능합니다.

이러한 제품은 최고의 에지/클라우드 컴퓨팅을 통합하여 가상 매핑 및 ML 모델 추론과 같이 이전에는 불가능했던 기능을 활용합니다. 잠수함부터 항공기, 원격 기지에 이르기까지 Azure Stack Hub 및 Azure Stack Edge를 통해 에지에서 클라우드의 성능을 활용할 수 있습니다.

Azure Stack Hub 및 Azure Stack Edge와 함께 Azure를 사용하면 Azure 퍼블릭 다중 테넌트 클라우드 내에 격리된 보안 인프라에서 중요한 기밀 데이터를 처리하거나, 운영이 완전히 제어되는 에지에서 매우 중요한 데이터를 처리할 수 있습니다. 다음 섹션에서는 분류된 워크로드에 대한 개념적 아키텍처를 설명합니다.

개념 아키텍처

그림 7에는 다양한 데이터 분류를 지원하는 제품과 서비스를 사용하는 개념적 아키텍처가 나와 있습니다. Azure 퍼블릭 다중 테넌트 클라우드는 이 아키텍처를 가능하게 하는 기본 클라우드 플랫폼입니다. Azure Stack Hub와 Azure Stack Edge 같은 온-프레미스 및 에지 제품으로 Azure를 보강해서 증가되거나 독점적인 운영 제어 성능을 찾는 중요한 워크로드를 수용할 수 있습니다. 예를 들어 Azure Stack Hub는 서비스 연결을 완전히 제어할 수 있는 데이터 센터에서 온-프레미스를 배포하는 용도로 사용됩니다. Azure Stack Hub는 전적인 모바일 운영 시나리오를 포함하여 연결이 제한적이거나 없는 경우에 전략적인 에지 배포를 위해 배포할 수도 있습니다.

그림 7. 분류된 워크로드에 대한 개념적 아키텍처

분류된 워크로드의 경우 식별된 위험을 완화하면서 Azure 서비스가 대상 워크로드를 보호할 수 있도록 키를 프로비전할 수 있습니다. Azure는 Azure Stack Hub 및 Azure Stack Edge와 함께 프라이빗/하이브리드 클라우드 배포 모델을 수용할 수 있으므로 분류되지 않은 데이터와 분류된 데이터가 모두 포함된 많은 정부 워크로드에 적합합니다. 이 문서에서 사용하는 데이터 분류 법은 다음과 같습니다.

• 비밀
• 암호
• 일급 비밀

많은 국가에 이와 비슷한 데이터 분류 체계가 있습니다.

일급 비밀 데이터에는 Azure Stack Hub를 배포할 수 있습니다. 이를 통해 Azure 및 인터넷과 연결이 끊긴 곳에서 작동할 수 있습니다. 전술적 Azure Stack Hub는 연결이 제한되거나 연결되지 않는 상황, 완전한 모바일 요구 사항 및 군용 사양 솔루션이 필요한 가혹한 조건에 대한 전술적 에지 배포를 해결하는 데에도 사용할 수 있습니다. 그림 8에는 Azure에서 다양한 워크로드를 수용하도록 프로비저닝할 수 있는 키 사용 서비스가 나와 있습니다.

그림 8. 다양한 데이터 분류에 대한 Azure 지원

기밀 데이터

아래에는 Azure에서 기밀 데이터와 워크로드를 배포할 때 유용하게 사용할 수 있는 기술과 서비스를 지원하는 주요 기능이 나와 있습니다.

• 분류되지 않은 데이터에 사용되는 모든 권장 기술, 특히 VNet(Virtual Network), 클라우드용 Microsoft Defender 및 Azure Monitor 등의 서비스
• ExpressRoute 및 VPN(가상 사설망) 게이트웨이를 포함하여 프라이빗 연결을 통해서만 트래픽을 허용하도록 공용 IP 주소 비활성화.
• 데이터 암호화에서는 FIPS 140 수준 2 유효성을 검사받은 다중 테넌트 HSM(하드웨어 보안 모듈)에서 지원되는 Azure Key Vault의 CMK(고객 관리형 키)를 사용하는 것이 좋습니다.
• VNet 통합 옵션을 지원하는 서비스만 사용하도록 설정. Azure VNet을 사용하면 인터넷이 아닌 라우팅 가능한 네트워크에 Azure 리소스를 배치할 수 있습니다. 그러면 VPN 기술을 사용하여 온-프레미스 네트워크에 연결할 수 있습니다. VNet 통합을 통해 웹앱에서 가상 네트워크에 있는 리소스에 액세스할 수 있습니다.
• Azure Private Link를 사용하면 VNet의 프라이빗 엔드포인트를 통해 Azure PaaS 서비스에 액세스할 수 있어 VNet과 서비스 간의 트래픽이 Microsoft 글로벌 백본 네트워크를 통해 이동하므로 공용 인터넷에 서비스를 노출할 필요가 없습니다.
• Azure용 고객 Lockbox를 사용하면 지원 시나리오에서 상승된 데이터 액세스 요청을 승인/거부할 수 있습니다. 고객 Lockbox는 감사 로깅이 완전히 활성화된 JIT(Just-In-Time) 워크플로의 확장입니다.

Azure 퍼블릭 다중 테넌트 클라우드 기능을 사용하면 기밀 데이터를 저장하는 데 필요한 격리 및 보안 수준을 달성할 수 있습니다. 구독의 보안 상태를 비롯해 Azure 환경에 대한 가시성을 확보하려면 클라우드용 Microsoft Defender 및 Azure Monitor를 사용해야 합니다.

비밀 데이터

아래에는 Azure에서 비밀 데이터와 워크로드를 배포할 때 유용할 수 있는 기술과 서비스를 지원하는 주요 기능이 나와 있습니다.

• 기밀 데이터에 사용되는 모든 권장 기술.
• 유효성이 검사된 FIPS 140 수준 3 HSM을 사용하는 서비스로 완전 관리형 고가용성 단일 테넌트 HSM을 제공하는 Azure Key Vault 관리되는 HSM을 사용합니다. 각각의 관리되는 HSM 인스턴스는 사용자가 제어하는 별도의 보안 도메인에 바인딩되고 다른 고객에게 속한 인스턴스와 암호화 방식으로 격리됩니다.
• Azure Dedicated Host는 하나 이상의 Azure VM을 호스트할 수 있는 물리적 서버를 제공하며 하나의 Azure 구독에만 적용됩니다. 지역, 가용성 영역 및 장애 도메인 내에서 전용 호스트를 프로비저닝할 수 있습니다. 그러면 사용자를 가장 잘 충족하는 구성으로 프로비전된 호스트에 직접 VM을 배치할 수 있습니다. 전용 호스트는 물리적 서버 수준에서 하드웨어 격리를 제공하므로 회사 규정 준수 요구 사항을 충족하기 위해 조직의 워크로드만 실행하는 격리된 전용 물리적 서버에 Azure VM을 배치할 수 있습니다.
• Azure SmartNICs 기반의 가속화된 FPGA 네트워킹을 사용하면 호스트 네트워킹을 전용 하드웨어로 오프로드하여 VNet, 보안 및 부하 분산용 터널링을 사용할 수 있습니다. 전용 칩으로 네트워크 트래픽을 오프로딩하면 기본 CPU에 대한 부채널 공격을 막을 수 있습니다.
• Azure 기밀 컴퓨팅은 사용 중일 때 데이터 암호화를 제공하여 데이터가 항상 사용자의 제어하에 있는지 확인합니다. 데이터는 하드웨어 기반 TEE(신뢰 실행 환경, enclave라고도 함) 내에서 보호되며, enclave 외부에서는 데이터나 운영을 볼 수 없습니다.
• JIT(Just-In-Time) VM(가상 머신) 액세스를 사용하여 NSG(네트워크 보안 그룹) 규칙을 만들면 Azure VM으로의 인바운드 트래픽을 잠글 수 있습니다. 인바운드 트래픽이 잠길 VM의 포트를 선택하고, 사용자가 VM에 대한 액세스를 요청하는 경우 클라우드용 Microsoft Defender에서 사용자에게 적절한 RBAC(역할 기반 액세스 제어) 권한이 있는지 확인합니다.

Azure 퍼블릭 다중 테넌트 클라우드의 비밀 데이터를 수용하려면 기밀 데이터에 사용되는 기술을 기반으로 추가 기술과 서비스를 배포하고, 격리를 충분히 제공하는 서비스로 프로비전된 서비스를 제한할 수 있습니다. 이러한 서비스는 런타임에 다양한 격리 옵션을 제공합니다. 또한 사용자가 제어하는 단일 테넌트 HSM에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 지원하며 다른 고객에게 속한 HSM 인스턴스와 암호화 방식으로 격리됩니다.

일급 비밀 데이터

아래에는 Azure에서 일급 비밀 데이터와 워크로드를 배포할 때 유용할 수 있는 제품을 지원하는 주요 기능이 나와 있습니다.

• 비밀 데이터에 사용되는 모든 권장 기술.
• Azure Stack Hub(이전의 Azure Stack)를 사용하면 Azure에서와 동일한 아키텍처 및 API를 사용해 워크로드를 실행하는 동시에 최고 분류 데이터에 물리적으로 격리된 네트워크를 사용할 수 있습니다.
• Azure Stack Edge(이전의 Azure Data Box Edge)를 사용하면 최고 분류 데이터를 저장, 처리할 수 있을 뿐만 아니라 결과 정보 또는 모델을 Azure에 직접 업로드할 수 있습니다. 이 접근 방식은 도메인 간에 정보를 공유할 방법을 제공해 주므로 관리가 쉬워지고 보안이 강화됩니다.
• 온-프레미스 배포(예: 데이터 센터)용으로 설계된 Azure Stack Hub 외에 Tactical Azure Stack Hub라는 현장 배포 가능한 러기드 버전도 연결이 제한되거나 없는 상황, 완전한 모바일 요구 사항, 군용 사양 솔루션이 필요한 열악한 상황에서 전술적 에지 배포 문제를 해결하는 데 사용할 수 있습니다.
• 사용자가 제공한 HSM(하드웨어 보안 모듈)을 사용하면 온-프레미스에 배포되고 사용자가 단독으로 제어하는 HSM에 암호화 키를 저장할 수 있습니다.

Azure Stack Hub는 일급 비밀 데이터를 보관하는 데 필요한 연결이 끊긴 환경을 제공합니다. Azure Stack Hub는 Azure 또는 인터넷과의 연결이 끊어진 상태에서 작동될 수 있습니다. "에어 갭" 네트워크가 반드시 보안을 강화하는 것은 아니지만, 많은 정부가 인터넷이 연결된 환경에 이렇게 분류된 데이터를 저장하는 것을 꺼릴 수도 있습니다.

Azure는 데이터 보호와 관련된 사용자의 우려를 해소하기 위해 비교할 수 없을 정도로 다양한 퍼블릭, 프라이빗, 하이브리드 클라우드 배포 모델을 제공합니다. 다음 섹션에서는 전 세계 정부 고객이 관심을 보일 수도 있는 엄선된 사용 사례를 설명합니다.

워크로드 및 사용 사례 선택

이 섹션에는 전 세계 정부가 관심을 보일 수도 있는 Azure 워크로드 기능을 소개하는 엄선된 사용 사례의 개요가 나와 있습니다. 기능 측면에서 Azure는 Azure Stack Hub 및 Azure Stack Edge가 제공하는 온-프레미스 + 에지 기능과 퍼블릭 다중 테넌트 클라우드 기능의 조합을 통해 제공됩니다.

Azure Stack Hub에서 매우 중요한 데이터 또는 규제가 적용되는 데이터 처리

Microsoft는 인터넷에 직접 연결할 수 없거나 법률, 규정 준수 또는 감정으로 인해 특정 워크로드 유형을 국내/지역에 호스트해야 하는 고객을 위해 Azure Stack Hub를 온-프레미스 클라우드 일치 환경으로 제공합니다. Azure Stack Hub는 IaaS 및 PaaS 서비스를 제공하며 글로벌 Azure 클라우드와 동일한 API를 공유합니다. Azure Stack Hub는 단일 서버 랙에서 서버 4개/8개/16개, 군용 사양에서 서버 4개의 배율 단위로 사용할 수 있고 전송 사례 러기드 세트 또는 모듈식 데이터 센터 구성의 다중 랙에서 사용할 수 있습니다.

다음과 같은 시나리오에서 작동하는 경우 Azure Stack Hub가 해답입니다.

• 규정 준수상의 이유로 공용 인터넷에 네트워크를 연결할 수 없는 경우
• 지정학적 이유나 보안으로 인해 Microsoft가 다른 Microsoft 클라우드에 대한 연결을 제공할 수 없는 경우
• 지정학적이나 보안상 이유로 인해 호스트 조직에 Microsoft가 아닌 주체 또는 비밀 취급 인가를 받은 국내/지역 내 담당자의 클라우드 관리가 필요할 수 있습니다.
• Microsoft는 국내/지역 내에 클라우드를 보유하고 있지 않기 때문에 데이터 주권 요구 사항을 충족할 수 없습니다.
• 클라우드 관리를 수행하면 해당 환경을 운영하는 Microsoft 리소스의 신체적 안녕에 위험이 가해질 경우

대부분의 시나리오에서 Microsoft와 파트너는 Avanade, Cisco, Dell EMC, Hewlett Packard Enterprise, Lenovo 같은 주요 공급업체의 현장 배포 가능 하드웨어에 고객 관리형 Azure Stack Hub 기반 프라이빗 클라우드 어플라이언스를 제공합니다. Azure Stack Hub는 하드웨어 공급업체가 제조, 구성, 배포하며 항공기나 선박, 트럭을 통한 운송을 견딜 수 있는 기능을 갖추고 공동 배치, 모바일 또는 모듈식 데이터 센터에 배포되는 등 광범위한 환경/규정 준수 표준을 충족하도록 내구성을 높이며 보안을 강화할 수 있습니다. Azure Stack Hub는 탐사, 건설, 농업, 석유 및 가스, 제조, 재난 대응, 정부 및 군사 활동에 적합하거나 가장 극한의 조건과 원격 위치에서 사용할 수 있습니다. Azure Stack Hub를 사용하면 연결, 규정 준수 및 내구성 요구 사항을 충족하는 동시에 완전히 자체적으로 프라이빗 클라우드 리소스를 모니터링하고 관리, 프로비저닝할 수 있습니다.

기계 학습 모델 학습

AI(인공 지능)는 정부 부문에 엄청난 잠재력을 지니고 있습니다. ML(Machine Learning)은 명시적으로 프로그래밍하지 않아도 컴퓨터가 기존 데이터를 사용해 미래의 동작과 결과, 추세 예측 방법을 학습할 수 있도록 하는 데이터 과학 기술입니다. 또한 ML 기술은 패턴과 변칙, 예측 정보를 검색해 정부 업무에 도움을 줄 수 있습니다. 기술 장벽이 허물어짐에 따라 의사 결정자들은 혁신적인 AI 애플리케이션을 개발하고 탐색할 수많은 기회를 갖게 됩니다. ML을 더 쉽고 빠르며 저렴하게 채택할 수 있도록 하는 다섯 가지 주요 벡터가 있습니다.

• 자율 학습
• 학습 데이터의 필요성 감소
• 가속화된 학습
• 결과의 투명성
• 데이터가 있는 위치에 더 가깝게 배포

다음 섹션에서는 위의 벡터 중 일부에 도움이 될 수 있는 영역을 확장합니다.

IoT 분석

지난 몇 년간 IoT(사물 인터넷) 디바이스와 센서가 엄청난 기세로 확산되었습니다. 거의 모든 경우 이러한 센서는 설계된 환경과 조건에서 신호와 데이터를 수집합니다. IoT 센서는 토양의 수분 함유량을 측정하는 것부터 5,000미터 고도에서 인텔리전스를 수집하는 것까지 다양한 기능을 수행합니다. 사용 사례가 많기 때문에 IoT 장치에서 수집한 막대한 양의 데이터에서 가치를 실현하려면 데이터 분석 도구와 절차를 적용해야 합니다.

갈수록 많은 정부 기관이 유지 관리 예측, 국경 감시, 기상 관측소, 스마트 계측기, 필드 운영 등 다양한 용도를 위해 IoT 디바이스를 사용하고 있습니다. 대부분의 경우 데이터는 수집된 위치에서 분석되고 유추되는 경우가 많습니다. IoT 분석의 주된 문제는 (1) 독립 원본에서 얻은 대량의 데이터, (2) 에지에서의 분석과 연결이 끊긴 시나리오에서 자주 발생하는 분석, (3) 데이터 및 분석 집계입니다.

IoT Hub 및 Azure Stack Edge 같은 혁신적인 솔루션을 사용하는 Azure 서비스는 이러한 문제를 해결하는 데 도움이 됩니다.

Farm Beats를 사용하는 정밀 농업

농업은 전 세계 경제에서 중요한 역할을 담당합니다. 미국에서는 농촌 가구의 70% 이상이 농업에 의존하고 있습니다. 농업이 전체 GDP의 약 17%에 기여하고 인구의 60% 이상을 고용하고 있기 때문입니다. Farm Beats 프로젝트에서는 농장에서 이전에 얻을 수 없었던 수많은 데이터를 수집한 후 AI 및 ML 알고리즘을 적용해서 이 데이터를 농부를 위한 실행 가능한 인사이트로 전환할 수 있습니다. Microsoft는 이 기술을 '데이터 기반 농경'이라고 부릅니다. 데이터 기반 농경이란 모든 농가를 매핑하고 여기에 데이터를 오버레이하는 방식을 가리킵니다. 예를 들어 표면 아래 15cm의 토양 수분 수준과 토양 온도는 얼마나 될까요? 이러한 맵에서 수확량을 개선하고 비용을 절감하며 환경에 이익을 주는 것으로 입증된 정밀 농업과 같은 기술을 사용할 수 있습니다. 정밀 농업 기술은 30여년 전에 제안되었음에도 불구하고 아직 성공을 거두지 못했습니다. 가장 큰 이유는 농장의 상황을 정확하게 나타내기 위해 농장에서 수많은 데이터를 캡처할 수 없기 때문입니다. Farm Beats 프로젝트의 일환으로 당사의 목표는 저렴한 비용으로 정밀 맵을 정확하게 구성할 수 있도록 하는 것입니다.

가상 데이터를 사용하여 분석의 가능성 확대

가상 데이터는 실제 이벤트에서 생성되지 않고 인위적으로 만들어지는 데이터입니다. 이 데이터는 컴퓨터 알고리즘의 도움을 받아 만들어지는 경우가 많으며, 새로운 제품과 도구의 테스트 데이터로 사용하고 ML 모델의 유효성을 검사하며 개선하는 등 광범위한 활동에 이용됩니다. 가상 데이터는 기존의 실제 데이터로는 가능하지 않은 요구 사항이나 조건을 충족할 수 있습니다. 정부 기관의 경우 가상 데이터가 갖는 성격으로 인해 여러 문제점을 없앨 수 있으며 데이터 과학자는 실제 데이터를 사용할 때보다 줄어든 개인 정보 보호 우려 사항, 훨씬 빠른 학습, 훨씬 적은 데이터 양으로 동일한 결과를 얻을 수 있습니다. 가상 데이터의 주요 이점은 다음과 같습니다.

• 제한 극복: 실제 데이터에는 개인 정보 보호 규칙 또는 기타 규정으로 인해 사용 제약 조건이 있을 수도 있습니다. 가상 데이터는 실제 데이터를 노출하지 않으면서 실제 데이터의 중요한 통계적 속성을 모두 재현할 수 있습니다.
• 희소성: 특정 이벤트에 대한 실제 데이터가 존재하지 않는 데이터를 제공합니다.
• 정밀도: 가상 데이터에는 완벽하게 레이블이 지정됩니다.
• 품질: 가상 데이터의 품질을 임무 조건에 맞게 정확하게 측정할 수 있습니다.

가상 데이터는 텍스트, 오디오, 비디오, 하이브리드 등의 다양한 형태를 가질 수 있습니다.

정보 마이닝

최근 몇 년 동안 비정형 데이터가 폭발적으로 늘어남에 따라 정부 기관은 수많은 분석 난제에 맞닥뜨리게 되었습니다. 이러한 문제는 데이터 세트가 텍스트, 오디오, 비디오, 이미지 등 다양한 소스로부터 수집된 경우에 더욱 심각해집니다. 지식 마이닝은 다양한 데이터 원본 컬렉션에서 유용한 지식을 검색하는 프로세스입니다. 현재 널리 사용되고 있는 이러한 데이터 마이닝 기법에는 데이터 준비 및 선택, 데이터 정리, 데이터 세트에 대한 기존 지식 적용, 관측된 결과로부터 정확한 해법 해석 등이 수반됩니다. 이 프로세스는 여러 정부에서 다량의 데이터에 대해 유용하게 활용하고 있습니다.

예를 들어, 필드에서 캡처된 데이터에는 문서, 팸플릿, 서신, 스프레드시트, 프로파간다, 비디오, 오디오 파일 등이 일관성 없이 구조화된 형식과 구조화되지 않은 형식으로 혼재하는 경우가 많습니다. 이러한 데이터에는 위기 상황에 적시에 효과적으로 대응하고 의사 결정을 내리는 데 도움이 되는 유용한 인사이트가 숨겨져 있습니다. 지식 마이닝의 목적은 입증된 상용 알고리즘 기반 기술을 구현하여 더 빠르고 더 인도적이며 더 나은 결정을 내릴 수 있도록 하는 데 있습니다.

기밀 컴퓨팅 시나리오

보안은 클라우드 컴퓨팅의 채택을 가속화하는 핵심 동인이지만, 고객이 중요한 IP와 데이터를 클라우드로 이동할 때 주요 관심사이기도 합니다.

Microsoft Azure는 미사용 데이터와 전송 중인 데이터를 보호하는 광범위한 기능을 제공하지만, 데이터를 처리하는 동안 위협으로부터 보호해야 하는 경우도 있습니다. Azure 기밀 컴퓨팅은 사용 중에 데이터를 암호화하기 위해 두 가지 다른 기밀 VM을 지원합니다.

• 애플리케이션 코드를 변경하지 않아도 리프트 앤 시프트 시나리오에 적합한 AMD EPYC 7003 시리즈 CPU 기반의 VM. 이러한 AMD EPYC CPU는 AMD 보안 암호화된 가상화 – SEV – SEV-SNP(Secure Nested Paging) 기술을 사용하여 런타임 시 전체 가상 머신을 암호화합니다. VM 암호화에 사용되는 암호화 키는 EPYC CPU의 전용 보안 프로세서에서 생성, 보호되며 외부 수단으로는 추출할 수 없습니다.
• Intel SGX(Intel Software Guard Extensions)에 기반을 둔 하드웨어 기반의 신뢰할 수 있는 실행 환경(TEE, enclave라고도 함)을 제공하는 VM. 하드웨어는 프로세서와 메모리의 일부분에 보안을 적용하여 보호된 컨테이너를 제공합니다. 오직 승인된 코드만 데이터를 실행하고 액세스할 수 있으므로 TEE 외부에서는 코드 및 데이터를 보거나 수정할 수 없도록 보호됩니다.

Azure 기밀 컴퓨팅은 사용 중에 데이터 보호와 관련된 시나리오를 직접 처리할 수 있습니다. 공개 소스나 미분류 소스에서 수집된 데이터가 매우 중요한 소소에서 수집된 데이터와 일치하는지 여부를 확인해야 하는 경우를 예로 들어 보겠습니다. Azure 기밀 컴퓨팅을 사용하면 매우 중요한 데이터가 공개되지 않도록 보호하면서 퍼블릭 클라우드에서 해당 일치 작업을 수행할 수 있습니다. 이 상황은 매우 민감한 국가 보안/법 집행 시나리오에서 일반적입니다.

또 다른 시나리오로, 여러 소스에서 수집된 데이터를 함께 분석해야 하는데 그중에서 어떤 소스에도 데이터를 볼 권한이 없는 경우를 들 수 있습니다. 데이터를 제공한 각 공급자는 자신이 제공한 데이터를 암호화하며, 해당 데이터는 TEE 내에서만 암호화됩니다. 따라서 외부인이나 다른 공급자는 결합된 데이터 세트를 볼 수 없게 됩니다. 이 기능은 건강 데이터의 이차 사용에서 유용하게 사용할 수 있습니다.

이 섹션에서 설명하는 워크로드 유형을 배포하는 경우 Microsoft가 담당하는 기본 클라우드 플랫폼 보안 컨트롤이 효과적으로 작동하고 있다는 Microsoft의 보증이 필요할 수도 있습니다. 전 세계 규제 시장에서 고객의 요구 사항을 해결하기 위해 Azure는 공식적인 타사 인증과 기타 유형의 보증을 기반으로 포괄적인 규정 준수 포트폴리오를 유지 관리함으로써 자체 규정 준수 의무를 충족하는 데 도움을 줍니다.

규정 준수 및 인증

Azure는 ISO 27001, ISO 27017, ISO 27018, ISO 22301, ISO 9001, ISO 20000-1, SOC 1/2/3, PCI DSS 수준 1, PCI 3DS, HITRUST, CSA STAR 인증, CSA STAR 증명, 미국 FedRAMP High, 오스트레일리아 IRAP, 독일 C5, 일본 ISMAP, 한국 K-ISMS, 싱가포르 MTCS 수준 3, 스페인 ENS High, 영국 G-Cloud, Cyber Essentials Plus 등의 주요 독립 인증과 증명을 포함해 업계에서 가장 광범위한 규정 준수 범위를 보유하고 있습니다. Azure 규정 준수 포트폴리오에는 전 세계에 적용되는 인증, 미국 정부용 프로그램, 업계 보증, 국가/지역별 제품을 포함하는 100여 가지의 규정 준수 제안이 포함되어 있습니다. 전 세계 규제 산업과 시장에서 자체 규정 준수 의무를 이행할 때 이러한 제품을 사용할 수 있습니다.

Azure에서 규정 준수 의무가 적용되는 애플리케이션을 배포하는 경우 고객은 솔루션을 구성하는 모든 클라우드 서비스가 클라우드 서비스 공급자의 감사 범위에 포함된다는 보증을 찾는 경우가 많습니다. Azure는 각 Azure 인증 감사 범위에 있는 클라우드 서비스의 수로 판단되는 업계 최고의 규정 준수 범위를 제공합니다. 사용자는 실제 애플리케이션을 빌드 및 배포하고 Azure의 독립적인 타사 감사에서 제공하는 광범위한 규정 준수 범위를 활용할 수 있습니다.

또한 Azure Stack Hub는 규제된 워크로드를 해결하는 솔루션에 Azure Stack Hub를 통합할 수 있는 규정 준수 문서를 제공합니다. 다음과 같은 Azure Stack Hub 규정 준수 문서를 다운로드할 수 있습니다.

• 타사 QSA(적격 보안 평가자)가 생성한 PCI DSS 평가 보고서
• CCM 도메인과 컨트롤에 대한 Azure Stack Hub 컨트롤 매핑이 포함된 CSA(Cloud Security Alliance) CCM(Cloud Controls Matrix) 평가 보고서
• Azure Stack Hub가 적용 가능한 컨트롤, FedRAMP High 기준의 고객 책임 매트릭스, 공인 타사 평가 조직(3PAO)에서 생성한 FedRAMP 평가 보고서 처리 방법을 보여 주는 미리 컴파일된 FedRAMP SSP(High System Security Plan) 템플릿

Azure Policy 규정 준수 기본 제공 이니셔티브는 다음을 비롯한 주요 표준의 규정 준수 도메인과 컨트롤에 매핑됩니다.

• 오스트레일리아 정부 ISM PROTECTED
• 캐나다 연방 PBMM
• ISO/IEC 27001
• 미국 정부 FedRAMP High
• 기타

더 많은 규정 준수 기본 제공 이니셔티브는 Azure Policy 샘플을 참조하세요.

Azure Policy 규정 준수에서는 책임(고객, Microsoft, 공유)에 따른 컨트롤 및 규정 준수 도메인 목록을 볼 수 있는 기본 제공 이니셔티브 정의를 제공합니다. Microsoft에서 담당하는 컨트롤의 경우 타사 증명을 기반으로 하는 감사 결과 세부 정보와 해당 규정을 준수하기 위한 컨트롤 구현 세부 정보를 추가로 제공합니다. 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤로 규정 준수를 평가하는 데 도움이 될 수 있지만 Azure Policy의 규정 준수는 전체 규정 준수 상태를 부분적으로 볼 뿐입니다. Azure Policy는 대규모로 조직의 표준을 적용하고 규정 준수를 평가하는 데 도움이 됩니다. 더욱 세분화된 상태로 드릴다운할 수 있는 기능을 사용하여 환경의 전체 상태를 평가할 수 있는 집계된 보기가 규정 준수 대시보드를 통해 제공됩니다.

Azure 규정 준수 및 인증 리소스는 다양한 표준 및 규정에 따른 사용자의 규정 준수 의무를 이행하는 데 도움을 줍니다. 사용자에게는 클라우드 온보딩을 촉진하기 위해 해당 국가/지역에서 확립한 클라우드 채택 의무와 해당하는 규정이 있을 수도 있습니다. 아니면 기존 온-프레미스 데이터 센터를 계속 운영하며 클라우드 채택 전략을 아직 수립하는 중일 수도 있습니다. Azure의 광범위한 규정 준수 포트폴리오는 클라우드 채택 완성도에 관계없이 도움이 될 수 있습니다.

자주 묻는 질문

이 섹션에서는 Azure 퍼블릭, 프라이빗, 하이브리드 클라우드 배포 모델과 관련된 일반적인 고객 질문을 다룹니다.

데이터 보존 및 데이터 주권

• 데이터 위치: Microsoft는 특정 국가/지역의 경계 내에서 데이터를 어떻게 유지하나요? 어떤 경우에 데이터가 그대로 남나요? 어떤 데이터 특성이 그대로 남나요? 답변: Microsoft는 클라우드 서비스 데이터 보존 및 전송 정책과 관련하여 강력한 고객 약정을 제공합니다.
  • 지역 서비스용 데이터 스토리지: 대부분의 Azure 서비스는 지역적으로 배포되며, 서비스가 배포될 지역(예: 유럽)을 지정할 수 있습니다. Microsoft는 Azure 데이터 위치 페이지에 설명된 대로 일부 지역 서비스와 미리 보기 서비스를 제외하고는 지정된 지역이 아닌 곳에 데이터를 저장하지 않습니다. 이 약정은 특정 지역에 저장된 데이터가 해당 지역에 그대로 유지되고 스토리지, SQL Database, Virtual Machines 등을 비롯한 대부분의 지역 서비스가 다른 지역으로 이동되지 않도록 하는 데 도움이 됩니다.
  • 비지역 서비스용 데이터 스토리지: 특정 Azure 서비스에서는 데이터 위치 페이지에 설명된 바와 같이 서비스가 배포될 지역을 지정할 수 없습니다. 비지역 서비스 전체 목록은 지역별 사용 가능 제품을 참조하세요.
• 에어 갭(소버린) 클라우드 배포: Microsoft가 모든 국가/지역에서 물리적으로 격리된 에어 갭(소버린) 클라우드 인스턴스를 배포하지 않는 이유는 무엇인가요? 답변: Microsoft는 전 세계 정부와 비즈니스 사례를 만들 수 있는 에어 갭 클라우드 배포를 적극적으로 추진하고 있습니다. 그러나 전략으로써의 물리적 격리 또는 "에어 갭"은 하이퍼스케일 클라우드 전략과 정반대입니다. 클라우드가 조각화되고 물리적으로 격리되면 클라우드의 가치 제안, 신속한 기능 증가, 복원력, 비용 효율적인 운영은 약화됩니다. 이러한 전략적 문제는 각각의 추가 에어 갭 클라우드 또는 에어 갭 클라우드 내 조각화로 인해 더 복잡해집니다. 에어 갭 클라우드가 특정 고객에게 적합한 솔루션일 수도 있지만, 유일하게 사용 가능한 옵션은 아닙니다.
• 에어 갭(소버린) 클라우드 고객 옵션: Microsoft는 현지 보안 승인을 받은 직원이 국내/지역에서 전적으로 클라우드 서비스를 운영해야 하는 정부를 어떻게 지원할 수 있나요? 정부 직원이 단독으로 운영 및 데이터 액세스를 제어하는 고객 소유 데이터 센터 내에서 완전히 온-프레미스로 운영되는 클라우드 서비스에 대해 Microsoft는 어떤 옵션을 마련해 두고 있나요? 답변:Azure Stack Hub를 사용하여 보안 승인을 받은 국가/지역 담당자가 관리하는 프라이빗 클라우드 온-프레미스를 배포할 수 있습니다. Azure에서 사용하는 동일한 개발 도구와 API, 관리 프로세스를 사용하는 동시에 다양한 유형의 VM 인스턴스, App Services, 컨테이너(Azure AI 컨테이너 포함), Functions, Azure Monitor, Key Vault, Event Hubs 및 기타 서비스를 실행할 수 있습니다. Azure Stack Hub를 사용하면 스토리지, 처리, 전송 및 원격 액세스를 포함해 데이터를 단독으로 제어할 수 있습니다.
• 지역 관할권: Microsoft는 Azure 퍼블릭 클라우드 서비스의 가용성을 기준으로 현지 국가/지역 관할권을 따르나요? 답변: 예, Microsoft는 모든 관련 현지 법률을 준수해야 하지만 정부의 고객 데이터 요청도 관련 법률을 준수해야 합니다. 비콘텐츠 데이터를 요청하려면 소환장 또는 이에 상응하는 현지 서장이 필요합니다. 콘텐츠 데이터를 요청하려면 영장, 법원 명령 또는 이에 상응하는 현지 서장이 필요합니다. 정부의 고객 데이터 요청 시 정부 요청에 대한 Microsoft 대응 관행에 의거하여 엄격한 절차를 따릅니다. Microsoft는 매년 많은 법 집행 기관의 고객 데이터 요청을 거부합니다. 정부 요청에 대한 이의 제기는 다양한 형태로 진행할 수 있습니다. 대부분의 경우 Microsoft에서는 데이터를 요청하는 정부 기관에게 요청 정보를 공개할 수 없다고 알리고, 요청을 거부하는 이유를 설명합니다. 적절한 경우 Microsoft에서는 요청에 대한 이의를 법원에 제기합니다. 법 집행 요청 보고서 및 미국 국가 안보 질서 보고서는 6개월마다 업데이트되며, 고객 대부분은 정부의 데이터 요청에 따른 영향을 받는 것으로 나타났습니다. 예를 들어 2019년 하반기 Microsoft는 엔터프라이즈 클라우드 고객과 연결된 계정에 대해 법 집행 기관으로부터 39건의 요청을 받았습니다. 이러한 요청 중 단 하나의 영장에서만 데이터가 미국 이외 지역에 저장된 미국 외 기업 고객과 관련된 고객 콘텐츠를 공개했습니다.
• Autarky: Microsoft 클라우드 작업을 Microsoft 클라우드의 나머지 부분과 분리하고 지방 정부 네트워크에만 연결할 수 있나요? 타사와의 외부 연결 없이 운영할 수 있나요? 답변: 예, 클라우드 배포 모델에 따라 다릅니다.
  • 퍼블릭 클라우드: Azure 지역 데이터 센터는 ExpressRoute와 같은 전용 프라이빗 연결을 통해 지방 정부 네트워크에 연결할 수 있습니다. 퍼블릭 클라우드에서는 Microsoft 같은 타사에 연결하지 않고는 독립적으로 운영할 수 없습니다.
  • 프라이빗 클라우드: Azure Stack Hub를 사용하면 네트워크 연결을 완전히 제어할 수 있으며 연결이 끊긴 모드에서 Azure Stack Hub를 운영할 수 있습니다.
• 데이터 흐름 제한: 로컬, 국가/지역 배포 클라우드 서비스에서 고객과 Microsoft 간에 이뤄지는 모든 데이터 교환을 승인/문서화하기 위한 조항으로 무엇이 있나요? 답변: 옵션은 클라우드 배포 모델에 따라 달라집니다.
  • 프라이빗 클라우드: Azure Stack Hub를 사용하는 프라이빗 클라우드 배포에서는 타사와 교환하는 데이터를 제어할 수 있습니다. 기본 설정에 따라 Azure Stack Hub 원격 분석을 비활성화할 수 있으며 Azure Stack Hub가 연결이 끊어진 상태로 운영될 수 있습니다. 또한 Azure Stack Hub는 청구 또는 소비 데이터가 온-프레미스 인프라를 벗어나지 않는 용량 기반 청구 모델을 제공합니다.
  • 퍼블릭 클라우드: Azure 퍼블릭 클라우드에서는 Network Watcher를 사용하여 워크로드와 연결된 네트워크 트래픽을 모니터링할 수 있습니다. 퍼블릭 클라우드 워크로드의 경우 모든 청구 데이터가 청구 목적으로만 사용되는 원격 분석을 통해 생성되고 Microsoft 청구 시스템으로 전송됩니다. 청구 및 사용량 데이터를 다운로드하여 확인할 수는 있지만 이 정보가 Microsoft로 전송되는 것을 막을 수는 없습니다.
• 프라이빗 클라우드 패치 및 유지 관리: Microsoft는 Azure Stack Hub 프라이빗 클라우드 배포에 대한 패치 및 기타 유지 관리 업무를 어떻게 지원할 수 있나요? 답변: Microsoft는 정기적으로 Azure Stack Hub 업데이트 패키지를 릴리스하고 있습니다. 여러분이 Azure Stack Hub의 유일한 운영자로, 이러한 업데이트 패키지를 다운로드하여 설치할 수 있습니다. Microsoft 소프트웨어 업데이트 및 핫픽스에 대한 업데이트 알림은 인터넷에 연결된 Azure Stack Hub 인스턴스용 업데이트 블레이드에 표시됩니다. 인스턴스가 연결되어 있지 않고 각 업데이트 릴리스에 대한 알림을 받고 싶은 경우, 온라인 설명서에 나와 있는 대로 RSS 또는 ATOM 피드를 구독합니다.

고객 데이터 보호

• Microsoft 네트워크 보안: Microsoft에서 사용하는 네트워크 제어 및 보안 기능은 무엇인가요? 제 요구 사항을 고려할 수 있나요? 답변: Azure 인프라 보호에 대한 인사이트를 보려면 Azure 네트워크 아키텍처와 Azure 제품 네트워크, Azure 인프라 모니터링을 검토해야 합니다. Azure 애플리케이션을 배포하는 경우 Azure 네트워크 보안 개요와 네트워크 보안 모범 사례를 검토해야 합니다. 피드백이나 요구 사항을 제공하려면 Microsoft 계정 담당자에게 문의하세요.
• 고객 분리: Microsoft는 클라우드 환경 내에서 고객을 논리적 또는 물리적으로 어떻게 분리하나요? 조직에서 완전한 물리적 분리를 보장할 수 있는 옵션이 있나요? 답변: Azure는 논리적 격리를 사용하여 다른 고객과 애플리케이션 및 데이터를 분리합니다. 이 접근 방식은 다중 테넌트 클라우드 서비스의 규모/경제적 이익을 제공하면서 다른 고객이 사용자의 데이터와 애플리케이션에 접근하지 못하도록 설계된 컨트롤을 엄격하게 적용합니다. 또한 하나 이상의 Azure VM을 호스트할 수 있고 한 가지 Azure 구독 전용인 물리적 서버를 제공하는 Azure Dedicated Host를 통해 물리적 컴퓨팅 격리를 적용하는 옵션도 있습니다. 지역, 가용성 영역 및 장애 도메인 내에서 전용 호스트를 프로비저닝할 수 있습니다. 그러면 사용자를 가장 잘 충족하는 구성으로 프로비전된 호스트에 직접 VM을 배치할 수 있습니다. 전용 호스트는 물리적 서버 수준에서 하드웨어 격리를 제공하므로 회사 규정 준수 요구 사항을 충족하기 위해 조직의 워크로드만 실행하는 격리된 전용 물리적 서버에 Azure VM을 배치할 수 있습니다.
• 미사용 및 전송 중인 데이터 암호화: Microsoft는 기본적으로 데이터 암호화를 적용하나요? Microsoft는 고객 관리형 암호화 키를 지원하나요? 답변: 예, Azure Storage와 Azure SQL Database를 비롯한 많은 Azure 서비스에서 기본적으로 데이터를 암호화하고 고객 관리형 키를 지원합니다. 미사용 데이터에 대한 Azure Storage 암호화는 Azure Storage에 데이터를 유지하기 전에 자동으로 암호화하고 검색하기 전에 암호를 해독하도록 합니다. 미사용 Azure Storage 암호화에 고유한 암호화 키를 사용하고 Azure Key Vault에서 키를 관리할 수 있습니다. 스토리지 암호화는 모든 신규/기존 스토리지 계정에서 기본적으로 사용되며, 사용하지 않도록 설정할 수 없습니다. 스토리지 계정을 프로비전할 때 보안 연결에서만 액세스를 허용하는 "보안 전송 필요" 옵션을 적용할 수 있습니다. 이 옵션은 Azure Portal에서 스토리지 계정을 만들 때 기본적으로 사용됩니다. Azure SQL Database는 기본적으로 전송 중인 데이터 암호화를 적용하고 미사용 시 TDE(투명한 데이터 암호화)를 기본적으로 제공함으로써 Azure Key Vault 및 BYOK(Bring Your Own Key) 기능을 사용해 키 권한, 회전, 삭제 등의 키 관리 작업을 제어할 수 있습니다.
• 처리 중 데이터 암호화: Microsoft는 메모리에서 처리되는 동안 내 데이터를 보호해 줄 수 있나요? 답변: 예, Azure 기밀 컴퓨팅은 사용 중에 두 가지 다른 데이터 암호화 기술을 지원합니다. 첫째, Intel SGX(Intel Software Guard Extensions) 기술을 탑재한 Intel Xeon 프로세서 기반의 VM을 사용할 수 있습니다. 이 접근 방식을 사용하면 프로세서 및 메모리의 일부를 보호하면 만들어지는 하드웨어 기반의 신뢰할 수 있는 실행 환경(TEE, enclave라고도 함) 내에서 데이터가 보호됩니다. 권한 있는 코드만 실행하고 데이터에 액세스할 수 있으므로, TEE 외부에서 보고 수정할 수 없도록 애플리케이션 코드와 데이터가 보호됩니다. 둘째, 애플리케이션 코드를 변경하지 않아도 리프트 앤 시프트 시나리오에 적합한 AMD EPYC 7003 시리즈 CPU를 기반의 VM을 사용할 수 있습니다. 이러한 AMD EPYC CPU를 사용하면 런타임 시 전체 가상 머신을 암호화할 수 있습니다. VM 암호화에 사용되는 암호화 키는 EPYC CPU의 전용 보안 프로세서에서 생성, 보호되며 외부 수단으로는 추출할 수 없습니다.
• FIPS 140 유효성 검사: Microsoft는 Azure에서 유효성이 검사된 FIPS 140 수준 3 HSM(하드웨어 보안 모듈)을 제공하나요? 그렇다면, 이러한 HSM에 AES-256 대칭 암호화 키를 저장할 수 있나요? 답변: Azure Key Vault 관리형 HSM에서는 유효성이 검사된 FIPS 140 수준 3 HSM을 사용하는 완전 관리형 고가용성 단일 테넌트 HSM을 서비스로 제공합니다. 각각의 관리되는 HSM 인스턴스는 사용자가 제어하는 별도의 보안 도메인에 바인딩되고 다른 고객에게 속한 인스턴스와 암호화 방식으로 격리됩니다. 관리되는 HSM을 사용하면 AES 128비트/256비트 대칭 키가 지원됩니다.
• 고객이 제공한 암호화: 제가 소유한 암호화 또는 암호화 하드웨어를 사용할 수 있나요? 답변: 예, 자체 암호화 알고리즘을 이용하여 온-프레미스에 배포된 자체 HSM을 사용할 수 있습니다. 그러나 Azure Key Vault와 통합된 서비스(예: Azure Storage, SQL Database, 디스크 암호화 등)에 고객 관리형 키를 사용하려는 경우 HSM(하드웨어 보안 모듈) 및 Azure Key Vault에서 지원하는 암호화를 사용해야 합니다.
• Microsoft 담당자의 고객 데이터에 대한 액세스: Microsoft는 Microsoft 엔지니어가 제 데이터에 액세스하는 것을 어떻게 제한하나요? 답변: Microsoft 엔지니어는 클라우드에 있는 데이터에 대한 기본 액세스 권한을 보유하지 않습니다. 대신 제한된 액세스 워크플로를 사용하여 필요한 경우에만 관리 감독하에 액세스 권한을 부여받을 수 있습니다. Microsoft 엔지니어는 문제 해결/지원 로그에 크게 의존하기 때문에 대부분의 고객 지원 요청은 데이터에 액세스하지 않고도 해결할 수 있습니다. Microsoft 엔지니어는 지원 워크플로의 일부로 상승된 데이터 액세스 권한이 필요한 경우 Azure용 고객 Lockbox를 사용하여 Microsoft 엔지니어가 데이터에 액세스하는 방법을 제어할 수 있습니다. Azure용 고객 Lockbox는 사용자가 이러한 상승된 액세스 요청을 승인/거부할 수 있도록 하여 결정을 내리게 합니다. Microsoft에서 참가자의 데이터 액세스를 제한하는 방법에 대한 자세한 내용은 참가자 액세스 제한 사항을 참조하세요.

작업

• 코드 검토: Microsoft는 조직에서 사용하는 서비스에 악성 코드가 삽입되는 것을 방지하기 위해 어떤 일을 할 수 있나요? Microsoft 코드 배포를 검토할 수 있나요? 답변: Microsoft는 논리적으로 격리된 서비스와 시스템을 올바르게 개발하기 위해 보안 보증 프로세스 및 관행에 많은 투자를 했습니다. 자세한 내용은 보안 보증 프로세스 및 관행을 참조하세요. Azure 하이퍼바이저 격리에 대한 자세한 내용은 심층 방어 익스플로잇 완화를 참조하세요. Microsoft는 Azure 서비스를 구성하는 모든 소스 코드를 완전히 제어할 수 있습니다. 예를 들어 게스트 VM 패치 절차는 설치 후 패치를 확인해야 하는 기존 온-프레미스 패치와 크게 다릅니다. Azure에서는 패치가 게스트 VM에 적용되지 않습니다. 대신 VM이 다시 시작되고 VM이 부팅되면 Microsoft가 제어하는 알려진 양호한 이미지에서 부팅되도록 합니다. 이미지에 악성 코드를 삽입하거나 부팅 프로세스를 방해할 방법은 없습니다. PaaS VM은 공격자가 손상시킨 경우 취약성을 수정한 후에도 치료하기 어려울 수 있는 기존의 물리적 서버 솔루션보다 지속적인 맬웨어 감염에 더욱 향상된 보호 기능을 제공합니다. PaaS VM 사용 시 이미지로 다시 설치하기는 일상적으로 진행하는 작업으로, 탐지되지 않은 침입을 처리하는 데 도움이 될 수 있습니다. 이 접근 방식을 사용하면 손상이 지속되기가 더 어려워집니다. Azure 소스 코드를 검토할 수는 없지만 Microsoft GSP(Government Security Program)를 통해 주요 제품에 대한 소스 코드를 온라인으로 볼 수 있습니다.
• DevOps 직원(국적 승인): 클라우드 환경에 대한 DevOps 액세스 권한 또는 데이터 센터에 대한 물리적 액세스 권한을 보유한 담당자를 대상으로 Microsoft는 어떤 제어 또는 승인 수준을 마련해 두고 있나요? 답변: Microsoft는 프로덕션 시스템과 물리적 데이터 센터 인프라에 액세스할 수 있는 운영 담당자를 대상으로 배경 조사를 실시합니다. Microsoft 클라우드 배경 조사 시 고용 시 교육 및 고용 기록 확인이 포함되며 2년마다 범죄 기록 검사, OFAC 목록, BIS 거부자 명단, DDTC 금지 당사자 명단 등의 추가 검사를 실시합니다(법률에 의해 허용되는 경우).
• 데이터 센터 사이트 옵션: Microsoft는 고급 보안 요구 사항을 충족하기 위해 특정 물리적 위치에 데이터 센터를 배포할 의향이 있나요? 답변: 데이터 센터 위치 옵션에 관해서는 Microsoft 계정 팀에 문의해야 합니다.
• 서비스 가용성 보장: 조직에서 Microsoft(또는 특정 정부나 기타 단체)가 클라우드 서비스를 비활성화하지 못하도록 어떻게 해야 하나요? 답변: Microsoft 제품 사용 약관(이전의 온라인 서비스 사용 약관)과 Microsoft 제품 및 서비스 DPA(데이터 보호 추록)에서 Microsoft가 온라인 서비스의 서비스 가용성 및 사용과 관련하여 만든 계약 약정을 검토해야 합니다.
• 비전통적인 클라우드 서비스 요구 사항: 정기적으로 인터넷이 없는/연결이 끊긴 환경을 위해 Microsoft는 어떤 옵션을 제공하나요? 답변: 온-프레미스 배포 및 연결이 끊긴 시나리오를 위한 Azure Stack Hub 외에 Tactical Azure Stack Hub라는 현장 배포 가능한 러기드 버전도 연결이 제한되거나 없는 상황, 완전한 모바일 요구 사항, 군용 사양 솔루션이 필요한 열악한 상황에서 전술적 에지 배포 문제를 해결하는 데 사용할 수 있습니다.

투명성과 감사

• 감사 설명서: Microsoft는 고객이 모든 감사 설명서를 쉽게 다운로드하고 검토할 수 있도록 하고 있나요? 답변: 예, Microsoft는 Azure Portal의 비공개 계약에 따라 독립적인 타사 감사 보고서 및 기타 관련 문서를 다운로드할 수 있도록 하고 있습니다. 클라우드용 Microsoft Defender 감사 보고서 블레이드에 액세스하려면 기존 Azure 구독 또는 무료 평가판 구독이 필요합니다. 추가 규정 준수 문서는 STP(서비스 신뢰 포털) 감사 보고서 섹션에서 확인할 수 있습니다. STP의 감사 보고서에 액세스하려면 로그인해야 합니다. 자세한 내용은 Microsoft Service Trust Portal 시작을 참조하세요.
• 프로세스 감사 가능성: Microsoft는 고객 또는 규제 기관이 감사할 수 있도록 프로세스와 데이터 흐름, 문서를 제공하나요? 답변: Microsoft는 현장 검사 수행, Microsoft 직원 및 Microsoft 외부 감사자와의 만남, 관련 정보와 기록, 보고서, 문서에 대한 액세스 권한 등 Azure를 검사할 수 있는 직접적인 권리를 규제 기관에 제공하기 위해 구현된 프로그램인 규제 기관 검사 권한을 제공합니다.
• 서비스 문서: Microsoft에서는 서비스 아키텍처, 소프트웨어/하드웨어 구성 요소 및 데이터 프로토콜을 다루는 심층적인 문서를 제공할 수 있나요? 답변: 예, Microsoft는 이러한 모든 항목을 다루는 광범위하고 심층적인 Azure 온라인 설명서를 제공하고 있습니다. 예를 들면 Azure 제품, 글로벌 인프라, API 참조 설명서를 검토할 수 있습니다.

다음 단계

자세히 알아보기:

• Azure 보안
• Azure 규정 준수
• Azure 규정 준수 제안
• 보안 격리를 위한 Azure 지침
• 정부 기관용 Azure - 전 세계 정부
• Microsoft Azure 지역에서 데이터 보존 및 데이터 보호 사용
• Azure Policy 규정 준수 샘플