데이터 암호화에 대한 권장 사항
Power Platform Well-Architected 보안 체크리스트 권장 사항에 적용:
| 남동:06 | 기밀성과 무결성을 보호하기 위해 최신 업계 표준 방법을 사용하여 데이터를 암호화합니다. 데이터 분류에 따라 암호화 범위를 조정하고, 기본 플랫폼 암호화 방법의 우선순위를 지정합니다. |
|---|
데이터가 보호되지 않으면 악의적으로 수정되어 무결성과 기밀성이 손실될 수 있습니다.
이 가이드에서는 데이터 암호화 및 보호에 대한 권장 사항을 설명합니다. 암호화는 암호화 알고리즘을 사용하여 데이터를 읽을 수 없게 만들고 키로 데이터를 잠그는 프로세스입니다. 암호화된 상태에서는 데이터를 해독할 수 없습니다. 암호화 키와 쌍을 이루는 키를 통해서만 해독할 수 있습니다.
정의
| 용어 | 정의 |
|---|---|
| 인증서 | 암호화 또는 복호화를 위한 공개 키를 보유하는 디지털 파일입니다. |
| 암호 해독 | 암호화된 데이터를 비밀 코드로 잠금 해제하는 프로세스입니다. |
| 암호화 | 데이터를 읽을 수 없게 만들고 비밀 코드로 잠그는 프로세스입니다. |
| 키 | 암호화된 데이터를 잠그거나 잠금 해제하는 데 사용되는 비밀 코드입니다. |
주요 디자인 전략
조직의 의무 또는 규제 요구 사항에 따라 암호화 메커니즘이 시행될 수 있습니다. 예를 들어 데이터는 선택한 지역에만 유지되어야 하고 데이터 복사본은 해당 지역에 유지되어야 한다는 요구 사항이 있을 수 있습니다.
이러한 요구 사항은 종종 기본 최소값입니다. 더 높은 수준의 보호를 위해 노력하세요. 기밀 누출 및 민감한 데이터의 변조 방지 책임이 있으며, 외부 사용자 데이터이든 직원 데이터이든 상관없습니다.
데이터는 조직의 가장 가치 있고 대체할 수 없는 자산이며 암호화는 다계층 데이터 보안 전략에서 마지막이자 가장 강력한 방어선 역할을 합니다. Microsoft 비즈니스 클라우드 서비스와 제품은 암호화를 사용하여 고객 데이터를 보호하고 이에 대한 제어력을 유지하는 데 도움을 줍니다.
암호화 시나리오
암호화 메커니즘은 다음 세 단계에 걸쳐 데이터를 보호해야 합니다.
저장 데이터 는 저장소 객체에 보관된 모든 정보를 말합니다. 기본적으로 Microsoft 관리형 키를 사용하여 사용자 환경의 데이터베이스 암호화 키를 저장하고 관리합니다. Microsoft 그러나 Power Platform은 추가 데이터 보호 제어를 위해 고객 관리형 암호화 키(CMK)를 제공하여 데이터베이스 암호화 키를 자체 관리할 수 있습니다.
처리 중인 데이터 는 대화형 시나리오의 일부로 사용되거나 새로 고침과 같은 백그라운드 프로세스가 처리되는 데이터입니다. Power Platform은 처리 중인 데이터를 하나 이상의 서비스 워크로드의 메모리 공간으로 로드합니다. 워크로드의 기능을 용이하게 하기 위해 메모리에 저장된 데이터는 암호화되지 않습니다.
전송 중인 데이터 는 구성 요소, 위치 또는 프로그램 간에 전송되는 정보입니다. Azure는 사용자 기기와 Microsoft 데이터 센터 간, 그리고 데이터 센터 내에서 TLS(Transport Security)와 같은 산업 표준 전송 프로토콜을 사용합니다.
기본 암호화 메커니즘
기본적으로 Microsoft 관리형 키를 사용하여 사용자 환경의 데이터베이스 암호화 키를 저장하고 관리합니다. Microsoft 그러나 Power Platform은 추가 데이터 보호 제어를 위해 고객 관리형 암호화 키(CMK)를 제공하여 데이터베이스 암호화 키를 자체 관리할 수 있습니다. 암호화 키는 사용자 고유의 Azure Key Vault에 상주하므로 필요에 따라 암호화 키를 교체하거나 교환할 수 있습니다. 언제든지 당사 서비스에 대한 주요 액세스를 취소하여 고객 데이터에 대한 액세스 Microsoft를 방지할 수도 있습니다.
암호화 키
기본적으로 Power Platform 서비스는 Microsoft관리되는 암호화 키를 사용하여 데이터를 암호화하고 암호 해독합니다. Azure는 키 관리를 담당합니다.
고객 관리형 키를 선택할 수 있습니다. Power Platform은 여전히 키를 사용하지만 키 작업에 대한 책임은 귀하에게 있습니다.
Power Platform 간편 사용
다음 섹션에서는 데이터를 암호화하는 데 사용할 수 있는 Power Platform의 기능과 기능에 대해 설명합니다.
고객 관리형 키
기본적으로 모든 고객 데이터는 강력하게 관리되는 암호화 키를 사용하여 암호화됩니다. Power Platform Microsoft 데이터를 보호하고 자체 키를 관리하기 위한 데이터 개인 정보 보호 및 규정 준수 요구 사항이 있는 조직은 고객 관리 키 기능을 사용할 수 있습니다. 고객 관리 키는 Dataverse 환경과 관련된 데이터 암호화 키를 자가 관리하는 추가 데이터 보호 기능을 제공합니다. 이 기능을 사용하면 필요에 따라 암호화 키를 교체하거나 교체할 수 있습니다. 또한, 서비스에서 키를 해지하면 데이터에 액세스할 수 없게 됩니다. Microsoft 자세한 내용은 고객 관리형 암호화 키 관리를 참조하세요.
데이터 보존
Azure Active Directory (Azure AD) 테넌트는 조직 및 해당 보안과 관련된 정보를 보관합니다. Azure AD 테넌트가 Power Platform 서비스에 가입할 때 테넌트가 선택한 국가 또는 지역은 Power Platform 배포가 존재하는 가장 적합한 Azure 지역에 매핑됩니다. Power Platform은 테넌트의 할당된 Azure 지리나 조직이 여러 지역에 서비스를 배포하는 경우를 제외하고 홈 지역에 고객 데이터를 저장합니다.
Power Platform 서비스는 특정 Azure 지역에서 사용할 수 있습니다. 서비스를 이용할 수 있는 위치, 데이터가 저장되는 위치 및 데이터 사용 방법에 대한 자세한 내용은 Power Platform 보안 센터 Microsoft 를 참조하세요. 고객 데이터의 보관 위치에 대한 약정은 Microsoft 온라인 서비스 약관의 데이터 처리 약관에 명시되어 있습니다. Microsoft 주권 기관을 위한 데이터 센터도 제공합니다.
미국 외부 지역에서 생성적 AI 기능에 액세스하면 Copilot Studio 지역 경계를 넘나드는 데이터 이동이 발생합니다. 이 데이터 이동은 Power Platform에서 활성화 및 비활성화할 수 있습니다. 조종사 및 생성형 AI 기능과 관련된 지역 에서 자세히 알아보세요. Microsoft Copilot Studio의 지리적 데이터 보존은 데이터 보안 및 현지 규정 준수를 보장하기 위한 강력한 프레임워크를 제공합니다. 자체적인 기본 보안 기능 외에도 Copilot Studio Azure 인프라를 활용하여 안전하고 규정을 준수하는 데이터 보존 옵션을 제공합니다. 데이터 상주와 Copilot Studio 지리적 데이터 상주 및 Copilot Studio 보안 및 지리적 데이터 상주 에 대해 자세히 알아보세요. Copilot Studio
미사용 데이터
문서에 달리 명시되지 않는 한 고객 데이터는 원래 소스(예: Dataverse 또는 SharePoint)에 남아있습니다. Power Platform 저장된 모든 데이터는 기본적으로 Microsoft관리형 키를 사용하여 암호화됩니다.
처리 중인 데이터
데이터는 대화형 시나리오의 일부로 사용되거나 새로 고침과 같은 백그라운드 프로세스가 이 데이터를 터치할 때 처리 중입니다. Power Platform은 처리 중인 데이터를 하나 이상의 서비스 워크로드의 메모리 공간으로 로드합니다. 워크로드의 기능을 용이하게 하기 위해 메모리에 저장된 데이터는 암호화되지 않습니다.
전송 중인 데이터
Power Platform에서는 TLS 1.2 이상을 사용하여 모든 수신 HTTP 트래픽을 암호화해야 합니다. TLS 1.1 이하를 사용하려는 요청은 거부됩니다.
자세한 내용은 Power Platform의 데이터 암호화 정보 및 Power Platform의 데이터 저장 및 거버넌스를 참조하세요.
관련 정보
보안 체크리스트
전체 권장 사항 세트를 참조하세요.