클라우드용 Microsoft Defender의 규정 준수 표준
클라우드용 Microsoft Defender는 특정 규정 준수 표준을 충족하거나 준수 인증을 획득하는 데 방해가 되는 문제를 식별하는 데 도움을 주어 준수 프로세스를 간소화합니다.
업계 표준, 규정 표준 및 벤치마크는 클라우드용 Defender에서 보안 표준으로 표시되고 규정 준수 대시보드에 표시됩니다.
규정 준수 컨트롤
각 보안 표준은 관련 보안 권장 사항의 논리적 그룹인 여러 준수 제어로 구성됩니다.
클라우드용 Defender는 자동으로 평가할 수 있는 준수 제어에 대해 범위 내 환경을 지속적으로 평가합니다. 평가에 따라 리소스가 규정을 준수하거나 컨트롤을 준수하지 않는 것으로 표시됩니다.
참고 항목
표준에 자동으로 평가할 수 없는 준수 제어가 있는 경우 클라우드용 Defender는 리소스가 제어를 준수하는지 여부를 결정할 수 없다는 점에 유의해야 합니다. 이 경우 컨트롤은 회색으로 표시됩니다. 또한 구독에 특정 표준과 관련된 리소스가 없는 경우 표준이 할당된 경우에도 규정 준수 대시보드에 전혀 표시되지 않습니다.
규정 준수 표준 보기
규정 준수 대시보드는 준수 상태에 대한 대화형 개요를 제공합니다.
대시보드에서는 다음을 수행할 수 있습니다.
- 통과된 표준 제어에 대한 요약을 가져와보세요.
- 리소스 통과율이 가장 낮은 표준 요약을 확인합니다.
- 선택한 범위 내에서 적용되는 표준을 검토합니다.
- 적용된 각 표준 내에서 준수 제어에 대한 평가를 검토합니다.
- 특정 표준에 대한 요약 보고서를 가져와보세요.
- 특정 범위에 할당된 표준을 보려면 준수 정책을 관리합니다.
- 쿼리를 실행하여 사용자 지정 규정 준수 보고서 만들기
- "시간 경과에 따른 준수 통합 문서"를 만들어 시간 경과에 따른 준수 상태를 추적합니다.
- 감사 보고서를 다운로드합니다.
- Microsoft 및 타사 감사를 위한 준수 제안을 검토합니다.
준수 표준 세부 정보
각 준수 표준에 대해 다음을 볼 수 있습니다.
- 표준의 범위입니다.
- 각 표준은 제어 그룹과 하위 제어 그룹으로 분류됩니다.
- 범위에 표준을 적용하면 각 표준 제어에 대해 범위 내의 리소스에 대한 준수 평가 요약을 볼 수 있습니다.
- 평가 상태는 표준 준수 여부를 반영합니다. 다음은 3가지 상태입니다.
- 녹색 원은 범위 내의 리소스가 제어를 준수함을 나타냅니다.
- 빨간색 원은 리소스가 컨트롤을 준수하지 않음을 나타냅니다.
- 사용할 수 없는 제어는 자동으로 평가할 수 없는 제어이므로 클라우드용 Defender는 리소스가 규정을 준수하는지 여부에 액세스할 수 없습니다.
컨트롤을 드릴다운하여 평가를 통과/실패한 리소스에 대한 정보와 수정 단계에 대한 정보를 가져올 수 있습니다.
기본 준수 표준
기본적으로 클라우드용 Defender를 사용하도록 설정하면 다음 표준이 사용하도록 설정됩니다.
- Azure의 경우: MCSB(Microsoft 클라우드 보안 벤치마크).
- AWS: MCSB(Microsoft 클라우드 보안 벤치마크) 및 AWS 기본 보안 모범 사례 표준.
- GCP의 경우: MCSB(Microsoft 클라우드 보안 벤치마크) 및 GCP 기본값.
사용 가능한 준수 표준
클라우드용 Defender에서는 다음 표준을 사용할 수 있습니다.
| 표준 | 클라우드 |
|---|---|
| EU 2022 2555(NIS2) 2022 | Azure, AWS, GCP |
| EU GDPR(일반 데이터 보호 규정) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| CIS 컨트롤 v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| CIS Google Cloud Platform Foundation 벤치마크 | GCP |
| CIS AKS(Azure Kubernetes Service) 벤치마크 | Azure |
| CIS Amazon EKS(Elastic Kubernetes Service) 벤치마크 | AWS |
| CIS Google Kubernetes Engine(GKE) 벤치마크 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| SWIFT 고객 보안 컨트롤 프레임워크 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| CMMC(사이버 보안 완성 모델 인증) 수준 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| 캐나다 연방 PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| CSA Cloud Controls Matrix v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| 형사 사법 정보 서비스 보안 정책 v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| 브라질 LGPD(일반 데이터 보호법) 2018 | Azure, AWS, GCP |
| NZISM v3.7 | Azure, AWS, GCP |
| 사베인 옥슬리 법 2022 (SOX) | Azure, AWS, GCP |
| NCSC CAF(Cyber Assurance Framework) v3.2 | Azure, AWS, GCP |
| 오스트레일리아 정부 ISM 보호 | Azure |
| FedRAMP 'H' 및 'M' | Azure |
| HIPAA | Azure |
| RMIT 말레이시아 | Azure |
| SOC 2 | Azure, GCP |
| 스페인 ENS | Azure |
| 캘리포니아 소비자 개인 정보 보호법(CCPA) | AWS, GCP |
| 영국 공식 및 영국 NHS | Azure |
| AWS Foundational Security 모범 사례 | AWS |
| CRI 프로필 | AWS, GCP |
| NIST SP 800-172 | AWS, GCP |