다음을 통해 공유

지능형 애플리케이션 워크로드에 대한 보안 및 규정 준수 고려 사항

  • 아티클

보안은 모든 아키텍처에 매우 중요합니다. Microsoft Power Platform은 지능형 애플리케이션 워크로드를 효과적으로 보호할 수 있는 포괄적인 도구를 제공합니다. 이 문서에서는 Power Platform을 사용하여 지능형 애플리케이션 워크로드를 개발하기 위한 보안 고려 사항 및 권장 사항에 대해 설명합니다.

Dynamics 365용 Copilot 및 Power Platform 기능은 일련의 핵심 보안 및 개인 정보 보호 관행과 Microsoft 책임 있는 AI 표준을 따릅니다. Dynamics 365 및 Power Platform 데이터는 업계 최고의 포괄적인 규정 준수, 보안 및 개인 정보 보호 제어를 통해 보호됩니다. Microsoft Copilot Studio 및 Power Platform 보안 기능에 대한 자세한 내용은 Copilot Studio 보안 및 거버넌스, Dynamics 365 및 Power Platform의 Copilot 데이터 보안 및 개인 정보 보호에 대한 FAQ, Microsoft Power Platform의 보안을 참조하세요.

사용하는 서비스와 기술을 주기적으로 평가하여 보안 조치가 변화하는 위협 환경에 부합하는지 확인해야 합니다.

보안 요구 사항 이해

구현 중인 지능형 애플리케이션 워크로드에 대한 주요 요구 사항을 이해합니다. 해결해야 할 보안 조치를 식별하는 데 도움이 되도록 다음 질문을 스스로에게 물어보십시오.

액세스 제어 및 인증

  • 권한이 있는 사용자만 지능형 애플리케이션 워크로드에 액세스할 수 있도록 액세스 제어 및 인증 메커니즘을 어떻게 구현할 것인가?
  • 안전하고 원활한 사용자 인증을 보장하려면 어떻게 해야 할까요?
  • 생성형 AI(에이전트)와 상호 작용할 수 있는 앱을 어떻게 제어하고 이러한 제한이 효과적인지 확인하는 조치는 무엇입니까?

보안 및 사고 관리

  • API 키 및 암호와 같은 애플리케이션 비밀을 어떻게 관리하고 보호합니까?
  • 지능형 애플리케이션 워크로드에 영향을 미치는 네트워크 보안 요구 사항은 무엇입니까? 예를 들어 내부 API는 가상 네트워크에서만 액세스할 수 있나요?
  • 지능형 애플리케이션의 액세스와 사용을 어떻게 모니터링하고 감사할 것인가?
  • 보안 위반 또는 취약성을 해결하기 위한 인시던트 대응 계획은 무엇입니까?

규정 준수 및 데이터 보존

  • 지능형 애플리케이션 워크로드에 사용되는 데이터에 적용되는 데이터 보존 요구 사항은 무엇인가요? 데이터가 어디에 상주하는지, 위치가 법적 또는 규제 의무와 일치하는지 알고 있습니까?
  • 지능형 애플리케이션 워크로드에 대해 충족해야 하는 규정 및 규정 준수 요구 사항은 무엇인가요?

시스템 통합 및 네트워크 요구 사항

  • 지능형 애플리케이션 워크로드는 어떻게 다른 내부 및 외부 시스템과 안전하게 통합됩니까?
  • 워크로드에 대한 네트워크 및 통합 요구 사항은 무엇인가요? 내부 또는 외부 데이터 원본 또는 API와 통합해야 하나요?

윤리적 고려 사항 및 책임 있는 AI

  • 윤리적 고려 사항과 책임 있는 AI 관행이 지능형 애플리케이션 워크로드에 어떻게 통합됩니까?

강력한 인증 및 액세스 제어 조치 구현

인증을 통해 사용자가 로그인할 수 있으므로 에이전트가 제한된 리소스 또는 정보에 액세스할 수 있습니다. 사용자는 Microsoft Entra ID 또는 Google이나 Facebook과 같은 OAuth2 ID 공급자를 사용하여 로그인할 수 있습니다.

강력한 인증 및 액세스 제어 조치를 구현하여 권한이 있는 사용자가 에이전트에 액세스할 수 있도록 합니다. 권한이 있는 사용자만 에이전트에 액세스할 수 있도록 하는 것이 보안의 기초입니다. 다단계 인증을 구현하면 보안 계층이 한 단계 더 강화됩니다. 무단 액세스의 위험을 최소화하려면 사용자가 필요한 리소스에만 액세스할 수 있도록 역할 및 권한을 정의합니다. 조건부 액세스 정책을 구현하여 사용자 위치, 장치 규정 준수 또는 위험 수준과 같은 특정 조건에 따라 액세스를 제어합니다.

자세히 보기:

규정 요구 사항이 프로젝트에 미치는 영향을 이해

GDPR(일반 데이터 보호 규정), HIPAA(Health Insurance Portability and Accountability Act) 또는 CCPA(California Consumer Privacy Act)와 같이 업계에 적용되는 규제 요구 사항 및 규범을 식별하고 준수합니다. 규정 준수를 보장하기 위해 필요한 제어를 구현합니다. 정기적인 규정 준수 감사를 예약하여 규정 표준 준수 여부를 확인하고 격차를 해소합니다. 특정 국가 또는 지역에 데이터를 저장해야 하는 요구 사항과 같이 데이터 위치에 대한 특정 요구 사항이 있는지 평가합니다. 데이터 스토리지 전략이 이러한 요구 사항을 충족하는지 확인합니다.

데이터가 규정 요구 사항에 따라 보호 및 관리되는지 확인합니다. 지능형 애플리케이션 워크로드에서 처리하는 데이터를 보호하는 것은 신뢰를 유지하고 법률 및 규제 표준을 준수하는 데 매우 중요합니다.

Microsoft는 클라우드 서비스에 적용되는 데이터 보호 및 개인 정보 보호법을 준수합니다. 세계적 수준의 산업 표준 준수가 검증되었습니다. 테넌트가 상주하는 지역과 다른 경우에도 특정 지역에서 환경을 만들 수 있습니다. 기본적으로 대화 기록은 Dataverse에서 30일 동안만 보관됩니다. 이 보존 기간은 환경별로 조정할 수 있습니다.

자세히 보기:

모든 통합 보호

지능형 애플리케이션 워크로드와 데이터 원본 간의 안전한 통신을 보장합니다. 지능형 애플리케이션 워크로드는 데이터에 액세스하고 처리하기 위해 다른 시스템과 통합되어야 합니다. ID 관리를 간소화하고 보안을 강화하려면 리소스에 대한 비인간 액세스에 서비스 주체를 사용하고 Azure 리소스에 대한 관리 ID를 사용합니다. 인증에 OAuth2를 사용하고 모든 API 통신이 암호화되도록 하여 API를 보호합니다. 서비스 주체를 사용하면 연결이 안전하고 개별 자격 증명에 의존하지 않습니다.

자세히 보기:

지속적인 모니터링 및 감사 구현

보안 모니터링의 주요 목적은 위협 탐지입니다. 주요 목표는 잠재적인 보안 위반을 방지하고 안전한 환경을 유지하는 것입니다. 지능형 애플리케이션 워크로드의 활동을 지속적으로 모니터링하고 감사하여 사전 예방적으로 감지하고 대응합니다. 보안은 일회성 구성 작업이 아니라 지속적인 프로세스입니다. 사용자 액세스 및 상호 작용에 대한 정기적인 모니터링과 감사는 지능형 애플리케이션 워크로드를 안전하게 유지하는 데 필수적입니다.

자세히 보기:

Azure 보안 도구를 사용하여 보안 정책 적용

클라우드용 Microsoft Defender(이전 명칭: Azure Security Center) 및 Azure Policy와 같은 Azure의 기본 제공 보안 도구를 사용하여 보안 정책을 모니터링하고 시행합니다.

직원 교육 제공

데이터 보호 모범 사례와 데이터 보존 요구 사항 준수의 중요성에 대해 직원들을 교육하십시오. 다양한 직원의 특정 역할과 책임에 맞게 교육 자료를 조정합니다. 데이터 보호법 및 규정은 끊임없이 진화하고 있습니다. 최신 법적 요구 사항 및 모범 사례를 반영하도록 교육 프로그램을 정기적으로 업데이트해야 합니다. 워크샵, 시뮬레이션 및 실제 시나리오와 같은 대화형 방법을 사용하여 교육을 매력적이고 효과적으로 만듭니다. 데이터 보호 책임자 또는 법률 고문에 대한 액세스와 같은 지속적인 지원과 리소스를 제공하여 직원이 정보를 얻고 규정을 준수할 수 있도록 합니다.