데이터 분류에 대한 권장 사항
Power Platform Well-Architected 보안 체크리스트 권장 사항에 적용:
| SE:03 | 데이터 처리와 관련된 모든 워크로드 데이터 및 시스템에 민감도 레이블을 분류하고 일관되게 적용합니다. 분류를 사용하여 워크로드 설계, 구현 및 보안 우선 순위에 영향을 줍니다. |
|---|
이 가이드에서는 민감도를 기반으로 데이터를 분류하기 위한 권장 사항을 제공합니다. 다양한 유형의 데이터에는 다양한 수준의 민감도가 있으며 대부분의 워크로드는 다양한 유형의 데이터를 저장합니다. 데이터 분류는 데이터의 민감도, 포함된 정보의 종류, 따라야 하는 규정 준수 규칙에 따라 데이터를 분류하는 데 도움이 됩니다. 이러한 방식으로 액세스 제어, 다양한 정보 유형에 대한 보존 정책 등과 같은 적절한 수준의 보호를 적용할 수 있습니다.
정의
| 용어 | 정의 |
|---|---|
| 분류 | 민감도 수준, 정보 유형, 규정 준수 요구 사항 및 조직에서 제공하는 기타 기준에 따라 워크로드 자산을 분류하는 프로세스입니다. |
| 메타데이터 | 자산에 분류를 적용하기 위한 구현입니다. |
| 분류 | 합의된 구조를 사용하여 분류된 데이터를 구성하는 시스템입니다. 일반적으로 데이터 분류에 대한 계층적 묘사입니다. 분류 기준을 나타내는 엔터티라는 이름이 있습니다. |
주요 디자인 전략
데이터 분류는 보안 보증 규모를 올바르게 조정하는 데 도움이 되며 분류 팀이 사고 대응 중에 발견을 신속하게 처리하는 데 도움이 됩니다. 설계 프로세스의 전제 조건은 데이터를 기밀, 제한, 공개 또는 기타 민감도 분류로 처리해야 하는지 명확하게 이해하는 것입니다. 데이터가 여러 환경에 분산될 수 있으므로 데이터가 저장되는 위치를 결정하는 것도 중요합니다. 데이터가 저장되는 위치에 대한 지식을 바탕으로 보안 요구 사항을 충족하는 전략을 설계할 수 있습니다.
데이터를 분류하는 것은 지루한 작업이 될 수 있습니다. 데이터 자산을 찾고 분류를 추천할 수 있는 도구를 사용할 수 있습니다. 하지만 도구에만 의존해서는 안 됩니다. 팀원들이 주의 깊게 연습하도록 하세요. 그런 다음 도구를 사용하여 적절할 때 자동화하세요.
이러한 모범 사례와 함께 잘 설계된 데이터 분류 프레임워크 만들기를 참조하세요.
조직에서 정의한 분류 이해
분류법 은 계층적 데이터 분류의 표현입니다. 분류 기준을 나타내는 엔터티라는 이름이 있습니다.
조직마다 데이터 분류 프레임워크가 다를 수 있습니다. 그러나 일반적으로 이름, 설명 및 예가 포함된 3~5개 수준으로 구성됩니다. 다음은 몇 가지 데이터 분류 분류의 예입니다.
| 민감도 | 정보 유형 | Description |
|---|---|---|
| 일반 | 공개 마케팅 자료, 웹사이트에서 정보 확인 가능 | 자유롭게 접근 가능하고 민감하지 않은 정보 |
| 내부 | 조직과 관련된 정책, 절차 또는 예산 | 특정 조직과 관련된 정보 |
| 기밀 | 영업 비밀, 고객 데이터 또는 최종 기록 | 민감하고 보호가 필요한 정보 |
| 매우 신뢰함 | 민감한 개인 식별 정보(민감한 PII), 카드 소지자 데이터, 보호 건강 정보(PHI), 은행 계좌 데이터 | 매우 민감하고 최고 수준의 보안이 필요한 정보입니다. 위반되거나 공개된 경우 법적 통지가 필요할 수 있습니다. |
중요
워크로드 소유자로서 귀하는 조직에서 설정한 분류를 따라야 합니다. 모든 워크로드 역할은 민감도 수준의 구조, 이름 및 의미에 동의해야 합니다. 자신만의 분류 시스템을 만들지 마세요.
분류 범위를 정의합니다
대부분의 조직에는 다양한 레이블 집합이 있습니다.
각 민감도 수준에 속하는 데이터 자산과 구성 요소와 그렇지 않은 구성 요소를 알고 있는지 확인하세요. 목표는 더 빠른 문제 해결, 더 빠른 재해 복구 또는 법적 감사일 수 있습니다. 목표를 잘 알면 분류 작업을 제대로 수행하는 데 도움이 됩니다.
다음과 같은 간단한 질문으로 시작하고 시스템 복잡성에 따라 필요에 따라 확장하세요.
- 데이터의 유래와 정보 유형은 무엇인가?
- 액세스에 따라 예상되는 제한은 무엇입니까? 예를 들어 공개 정보 데이터, 규제 또는 기타 예상되는 사용 사례입니까?
- 데이터 공간은 얼마나 됩니까? 데이터가 저장되는 위치는 어디입니까? 데이터를 얼마나 오랫동안 보관해야 합니까?
- 아키텍처의 어떤 구성 요소가 데이터와 상호 작용합니까?
- 데이터는 시스템을 통해 어떻게 이동합니까?
- 감사 보고서에는 어떤 정보가 포함되어야 합니까?
- 사전 프로덕션 데이터를 분류해야 합니까?
데이터 저장소의 인벤토리를 작성하세요
데이터 분류는 시스템 전체에 적용됩니다. 범위 내에 있는 모든 데이터 저장소 및 구성 요소의 인벤토리를 작성합니다. 새로운 시스템을 설계하는 경우 분류 정의에 따라 초기 분류가 있는지 확인하세요. 구성 요소 간에 시스템을 통해 데이터가 어떻게 흐를지 생각하고 데이터가 데이터 분류 경계를 넘지 않도록 하세요.
데이터에 연결할 방법을 고려하세요.
새 데이터: 업무로 인해 이전에 어디에도 저장되지 않았던 새 데이터가 생성되는 경우(예: 종이 기반 프로세스에서 전환하는 경우) 이 데이터를 Microsoft Dataverse에 저장하는 것이 좋습니다. 그런 다음 연결 Microsoft Dataverse Purview Microsoft 를 통해 데이터를 관리할 수 있습니다.
기존 시스템에서 읽기/쓰기: 워크로드가 이미 존재하는 데이터를 연결 처리해야 하는 경우 기존 데이터베이스나 시스템을 읽고 쓰는 방법을 설계해야 합니다. 가상 테이블을 사용하거나, 커넥터, 데이터 흐름을 통해 데이터에 연결하거나, 온-프레미스 데이터에 온-프레미스 게이트웨이를 사용할 수 있습니다.
범위 정의
범위를 정의할 때는 세분화되고 명시적이어야 합니다. 데이터 저장소가 테이블 형식 시스템이라고 가정합니다. 테이블 수준이나 심지어 테이블 내의 열에서도 민감도를 분류하려고 합니다. 또한 데이터 처리에 관련되거나 일부를 포함할 수 있는 비데이터 저장소 구성 요소로 분류를 확장해야 합니다. 예를 들어 매우 민감한 데이터 저장소의 백업을 분류했습니까? 사용자에게 중요한 데이터를 캐싱하는 경우 데이터 저장소 캐싱이 범위에 포함되나요? 분석 데이터 저장소를 사용하는 경우 집계된 데이터는 어떻게 분류되나요?
분류 라벨에 따른 디자인
분류는 아키텍처 결정에 영향을 미칩니다. 가장 확실한 영역은 다양한 분류 레이블을 고려해야 하는 세분화 전략입니다.
분류 정보는 시스템 전반과 워크로드 구성 요소 전반을 전환하면서 데이터와 함께 이동해야 합니다. 기밀로 표시된 데이터는 상호 작용하는 모든 구성 요소에서 기밀로 처리되어야 합니다. 예를 들어, 모든 종류의 애플리케이션 로그에서 개인 데이터를 제거하거나 난독화하여 보호해야 합니다.
분류는 보고서의 디자인, 즉 데이터가 노출되는 방식에 영향을 미칩니다. 예를 들어, 정보 유형 레이블을 기반으로 정보 유형 레이블의 결과로 난독화를 위한 데이터 마스킹 알고리즘을 적용해야 합니까? 원시 데이터와 마스킹된 데이터에 대한 가시성을 가져야 하는 역할은 무엇입니까? 보고에 대한 규정 준수 요구 사항이 있는 경우 데이터가 규정 및 표준에 어떻게 매핑됩니까? 이러한 이해가 있으면 특정 요구 사항 준수 여부를 입증하고 감사자를 위한 보고서를 생성하는 것이 더 쉽습니다.
또한 데이터 보존 및 폐기 일정과 같은 데이터 수명 주기 관리 작업에도 영향을 미칩니다.
쿼리에 분류 적용
식별된 데이터에 분류 레이블을 적용하는 방법에는 여러 가지가 있습니다. 메타데이터와 함께 분류 스키마를 사용하는 것이 레이블을 표시하는 가장 일반적인 방법입니다. 아키텍처 설계 프로세스에는 스키마 설계가 포함되어야 합니다.
모든 데이터를 명확하게 분류할 수는 없다는 점에 유의하세요. 분류할 수 없는 데이터를 보고에 어떻게 표시해야 하는지 명시적으로 결정하세요.
실제 구현은 리소스 유형에 따라 다릅니다. Power Platform 워크로드에서 소비되는 데이터는 Power Platform 외부의 데이터 소스에서 비롯될 수 있습니다. 스키마에는 분류 무결성을 유지하면서 다양한 데이터 소스의 데이터가 워크로드를 통해 이동하거나 데이터 저장소 한 곳에서 다른 곳으로 잠재적으로 전송되는 방식에 대한 세부 정보가 포함되어야 합니다.
특정 Azure 리소스에는 기본 제공 분류 시스템이 있습니다. 예를 들어 Azure SQL Server에는 분류 엔진이 있고 동적 마스킹을 지원하며 메타데이터를 기반으로 보고서를 생성할 수 있습니다. Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트에는 컨테이너 수준에서 민감도 레이블을 적용할 수 있습니다. Microsoft Dataverse 데이터 레이블을 적용하기 위해 Microsoft Purview와 통합됩니다.
구현을 설계할 때 플랫폼에서 지원하는 기능을 평가하고 이를 활용하세요. 분류에 사용되는 메타데이터가 데이터 저장소와 별도로 격리되어 저장되는지 확인하세요.
자동으로 레이블을 감지하고 적용할 수 있는 특수 분류 도구도 있습니다. 이러한 도구는 데이터 소스에 연결됩니다. Microsoft Purview에는 자동 검색 기능이 있습니다. 유사한 기능을 제공하는 타사 도구도 있습니다. 검색 프로세스는 수동 확인을 통해 검증되어야 합니다.
정기적으로 데이터 분류를 검토하세요. 분류 유지 관리는 운영에 구축되어야 합니다. 그렇지 않으면 오래된 메타데이터로 인해 식별된 목표 및 규정 준수 문제에 대한 잘못된 결과가 발생할 수 있습니다.
트레이드오프: 도구 비용에 대한 트레이드오프를 염두에 두십시오. 분류 도구는 교육이 필요하며 복잡할 수 있습니다.
궁극적으로 분류는 중앙 팀을 통해 조직에 롤업되어야 합니다. 예상되는 보고서 구조에 대한 의견을 얻으세요. 또한 중앙 집중식 도구와 프로세스를 활용하여 조직을 정렬하고 운영 비용을 절감할 수도 있습니다.
Power Platform 간편 사용
분류는 아키텍처 결정에 영향을 미칩니다.
Microsoft Purview는 조직 전체의 데이터 자산에 대한 가시성을 제공합니다. 자세한 내용은 Purview에 대해 Microsoft 알아보세요를 참조하세요.
Microsoft Purview Data Map을 사용하면 자동화된 데이터 검색 및 민감한 데이터 분류가 가능합니다. Microsoft Purview와 Microsoft Dataverse 통합은 비즈니스 애플리케이션 데이터 자산을 보다 잘 이해하고 관리하며, 해당 데이터를 보호하고, 위험 및 규정 준수 태세를 개선하는 데 도움이 됩니다.
이 통합으로 다음을 수행할 수 있습니다.
- Microsoft Dynamics 365, Power Platform및 Purview가 지원하는 다른 소스 전반에 걸친 종합적이고 최신의 데이터 맵을 만듭니다. Microsoft
- 내장된 시스템 분류 또는 사용자 정의 맞춤 분류를 기반으로 데이터 자산을 자동으로 분류하여 민감한 데이터를 식별하고 이해하는 데 도움을 줍니다.
- 데이터 소비자가 가치 있고 신뢰할 수 있는 데이터를 검색할 수 있도록 지원하세요.
- 데이터 큐레이터와 보안 관리자가 데이터 자산을 안전하게 관리 및 유지하고, 데이터 노출을 줄이고, 민감한 데이터를 더 잘 보호할 수 있도록 지원합니다.
자세한 내용은 연결를 참조하고 Microsoft Dataverse Purview Microsoft 에서 관리하세요.
조직 정렬
클라우드 채택 프레임워크는 워크로드 팀이 조직 분류를 따를 수 있도록 데이터를 분류하는 방법에 대한 지침을 중앙 팀에 제공합니다.
자세한 내용은 데이터 분류란?을 참조하세요.
관련 정보
보안 체크리스트
전체 권장 사항 세트를 참조하세요.