다음을 통해 공유

보안 기준 설정을 위한 권장 사항

  • 아티클

Power Platform Well-Architected 보안 체크리스트 권장 사항에 적용:

SE:01 규정 준수 요구 사항, 업계 표준, 플랫폼 권장 사항에 부합하는 보안 기준을 설정하세요. 시간이 지남에 따라 보안 상태를 유지하거나 개선하기 위해 기준에 따라 워크로드 아키텍처 및 운영을 정기적으로 측정합니다.

이 가이드에서는 Microsoft Power Platform으로 워크로드 개발을 위한 보안 기준을 설정하기 위한 권장 사항을 설명합니다. 보안 기준은 조직이 IT 시스템 및 서비스에 적용하는 일련의 최소 보안 표준 및 모범 사례입니다. 보안 기준은 사이버 공격, 데이터 침해 및 무단 액세스의 위험을 줄이는 데 도움이 됩니다. 보안 기준은 조직 전체의 일관성, 책임성 및 감사 가능성을 보장하는 데도 도움이 됩니다.

좋은 보안 기준은 다음을 수행하는 데 도움이 됩니다.

  • 사이버 공격, 데이터 침해 및 무단 액세스의 위험을 줄입니다.
  • 조직 전반에 걸쳐 일관성, 책임감 및 감사 가능성을 보장합니다.
  • 데이터 및 시스템 보안을 유지합니다.
  • 규제 요구 사항을 준수합니다.
  • 감독 위험을 최소화합니다.

보안 기준은 모든 이해관계자가 기대치를 인식할 수 있도록 조직 전체에 널리 게시되어야 합니다.

Microsoft Power Platform의 보안 기준선을 설정하려면 다음과 같은 몇 가지 단계와 고려 사항이 포함됩니다.

  • 환경, 커넥터, Power Platform, Dataverse, Power Apps, Power Automate 등의 아키텍처와 구성 요소를 이해합니다. Copilot Studio

  • Power Platform의 보안 설정 및 역할을 테넌트, 환경 및 리소스 수준(예: Data Loss Prevention 정책, 환경 권한 및 보안 그룹)에서 구성합니다.

  • Microsoft Entra ID를 활용하여 Power Platform에 대한 사용자 ID, 인증 및 권한을 관리하고 조건부 액세스 및 멀티팩터 인증과 같은 다른 Entra ID 기능과 통합합니다.

  • 민감도 라벨 및 고객 관리 키와 같이 Power Platform에서 저장하고 처리하는 데이터를 보호하기 위해 데이터 보호 및 암호화 방법을 적용합니다.

  • Power Platform관리 센터, 관리형 환경, 및 Purview와 같은 도구를 사용하여 Power Platform 활동 및 사용을 모니터링하고 감사합니다. Microsoft

  • 다양한 이해관계자의 역할과 책임 정의, 승인 워크플로 및 변경 관리 설정, 사용자와 개발자를 위한 지침 및 교육 제공 등 Power Platform에 대한 거버넌스 정책 및 프로세스를 구현합니다.

이 가이드는 내부 및 외부 요인을 모두 고려하는 보안 기준을 설정하는 데 도움이 됩니다. 내부 요소에는 비즈니스 요구 사항, 위험 요소 및 자산 평가가 포함됩니다. 외부 요인에는 업계 벤치마크 및 규제 표준이 포함됩니다. 이러한 단계와 고려 사항을 따르면 조직은 비즈니스 목표, 규정 준수 요구 사항 및 위험 성향에 부합하는 Power Platform 보안 기준을 설정할 수 있습니다. 보안 기준은 조직이 잠재적인 위협과 문제를 최소화하면서 Power Platform의 이점을 극대화하는 데 도움이 될 수 있습니다.

정의

용어 정의
기준 워크로드가 악용되는 것을 방지하기 위해 갖춰야 하는 최소 수준의 보안 어포던스입니다.
벤치마크 조직이 지향하는 보안 태세를 나타내는 표준입니다. 시간이 지남에 따라 평가, 측정 및 개선됩니다.
컨트롤 공격을 방지하고 공격자 비용을 높이는 데 도움이 되는 워크로드에 대한 기술 또는 운영 제어입니다.
규제 요구 사항 법률과 당국이 부과하는 업계 표준에 따른 일련의 비즈니스 요구 사항입니다.

주요 디자인 전략

보안 기준은 보안을 개선하고 유지하기 위해 워크로드가 충족해야 하는 보안 요구 사항과 기능을 설명하는 지침입니다. 경계를 설정하는 데 사용하는 정책을 추가하여 기준선을 더욱 고급화할 수 있습니다. 기준선은 보안 수준을 측정하는 데 사용하는 표준이어야 합니다. 넓은 범위를 포괄하면서 항상 전체 기준선을 달성하는 것을 목표로 하세요.

비즈니스 리더와 기술 리더 간의 합의를 얻어 기준선을 만듭니다. 기준선에는 기술적 통제뿐만 아니라 보안 상태를 관리하고 유지하는 운영 측면도 포함되어야 합니다.

Power Platform에 대한 보안 기준을 설정하려면 다음과 같은 주요 설계 전략을 고려하세요.

  • Microsoft 클라우드 보안 벤치마크(MCSB) 를 참조 프레임워크로 사용하세요. MCSB는 ID 및 액세스 관리, 데이터 보호, 네트워크 보안, 위협 방지, 거버넌스 등 클라우드 보안의 다양한 측면을 다루는 포괄적인 보안 모범 사례 세트입니다. MCSB를 사용하면 현재 보안 상태를 평가하고 격차와 개선 영역을 식별할 수 있습니다.

  • 특정 비즈니스 요구 사항, 규정 준수 요구 사항 및 위험 성향에 맞게 MCSB를 사용자 정의하세요. 조직의 상황과 목표에 따라 일부 MCSB 제어를 추가, 수정 또는 제거해야 할 수도 있습니다. 예를 들어, 보안 기준선을 사용자의 도메인 또는 지역과 관련된 산업 표준(예: ISO 27001 또는 NIST 800-53) 또는 규제 프레임워크(예: GDPR, 일반 데이터 보호 규정 또는 HIPAA, 건강 보험 휴대성 및 책임법)와 일치시켜야 할 수 있습니다.

  • Power Platform에 대한 보안 기준의 범위와 적용 가능성을 정의합니다. 보안 기준선에서 적용되는 Power Platform 구성 요소, 기능 및 서비스를 명확히 지정하고, 어떤 구성 요소가 범위를 벗어나거나 특별한 고려 사항이 필요한지 지정해야 합니다. 예를 들어 다양한 유형의 Power Platform 환경(예: 프로덕션, 개발 또는 샌드박스), 커넥터(표준, 사용자 정의 또는 프리미엄) 또는 앱(예: 캔버스, 모델 기반 또는 페이지)에 대해 다양한 보안 요구 사항을 정의해야 할 수 있습니다.

이러한 설계 전략을 따르면 보안 목표와 표준을 반영하고 클라우드에서 데이터와 자산을 보호하는 데 도움이 되는 Power Platform의 보안 기준 문서를 만들 수 있습니다.

워크로드가 변경되고 환경이 성장함에 따라 기본 제어가 계속 작동하도록 변경 사항으로 기준선을 업데이트하는 것이 중요합니다. 보안 기준을 생성하는 프로세스에 대한 몇 가지 권장 사항은 다음과 같습니다.

  • 자산 재고. 워크로드 자산의 이해관계자와 해당 자산에 대한 보안 목표를 식별합니다. 자산 인벤토리에서 보안 요구 사항 및 중요도를 기준으로 분류합니다. 데이터 자산에 대한 정보는 데이터 분류 권장 사항을 참조하세요.

  • 작업 부하 계층을 정의합니다. 보안 기준선을 정의할 때 중요한 애플리케이션이 이를 지원하는 데 필요한 가드레일을 갖추고 동시에 생산성 시나리오의 혁신을 방해하지 않도록 프로세스를 개발할 수 있도록 중요도에 따라 구축된 솔루션을 분류하는 방법을 고려해야 합니다.

  • 위험성 평가. 각 자산과 관련된 잠재적 위험을 식별하고 우선순위를 지정합니다.

  • 준수 요구 사항. 해당 자산에 대한 규제 또는 규정 준수를 기준으로 삼고 업계 모범 사례를 적용하세요.

  • 구성 표준. 각 자산에 대한 특정 보안 구성 및 설정을 정의하고 문서화합니다. 가능하다면 템플릿을 생성하거나 환경 전반에 일관되게 설정을 적용할 수 있는 반복 가능하고 자동화된 방법을 찾으세요. 모든 수준의 구성을 고려하세요. 액세스 또는 네트워크와 관련된 테넌트 수준 보안 구성부터 시작하세요. 그런 다음 특정 Power Pages 구성과 같은 Power Platform 리소스별 보안 구성과 워크로드 공유 방식과 같은 워크로드별 보안 구성을 고려합니다.

  • 접근 제어 및 인증. 역할 기반 액세스 제어(RBAC) 및 다단계 인증(MFA) 요구 사항을 지정합니다. 자산 수준에서 충분한 액세스가 무엇을 의미하는지 문서화하세요. 항상 최소 권한의 원칙으로 시작하세요.

  • 문서화 및 커뮤니케이션. 모든 구성, 정책 및 절차를 문서화합니다. 관련 이해관계자에게 세부정보를 전달합니다.

  • 집행 및 책임. 보안 기준을 준수하지 않을 경우 명확한 적용 메커니즘과 결과를 설정합니다. 보안 표준을 유지하는 데 책임을 개인과 팀에 부여합니다.

  • 지속적인 모니터링. 관찰 가능성을 통해 보안 기준의 효율성을 평가하고 시간이 지남에 따라 개선합니다.

기준선의 구성

기준선의 일부가 되어야 하는 몇 가지 일반적인 범주는 다음과 같습니다. 다음 목록은 완전하지 않습니다. 문서 범위에 대한 개요를 제공하기 위한 것입니다

규정 준수

귀하의 디자인 선택은 특정 산업 부문에 대한 규정 준수 요구 사항이나 지리적 제한으로 인해 영향을 받을 수 있습니다. 규정 준수 요구 사항을 이해하고 이를 워크로드 아키텍처에 포함시키는 것이 중요합니다.

기준선에는 규제 요구 사항에 대한 워크로드의 정기적인 평가가 포함되어야 합니다. Microsoft Power 어드바이저와 같이 플랫폼에서 제공하는 도구를 활용하면 규정을 위반하는 영역을 파악할 수 있습니다. 조직의 규정 준수 팀과 협력하여 모든 요구 사항이 충족되고 유지되는지 확인하세요.

생명 과학 조직은 GxP(Good Clinical, Laboratory, Manufacturing Practices) 요구 사항을 충족해야 하는 솔루션을 구축합니다. 클라우드의 효율성을 활용하는 동시에 환자 안전, 제품 품질 및 데이터 무결성을 보호할 수 있습니다. 자세한 내용은 Microsoft Dynamics 365용 GxP 가이드라인 Power Platform을 참조하세요.

클라우드 서비스 제공업체에 대한 구체적인 GxP 인증은 없지만, Microsoft Azure(Power Platform 호스팅)는 ISO 9001 및 ISO/IEC 27,001 인증을 포함하여 품질 관리 및 정보 보안에 대한 독립적인 제3자 감사를 받았습니다. Power Platform에 애플리케이션을 배포하는 경우 다음 단계를 고려하세요.

  • 사용 목적에 따라 귀하의 컴퓨터 시스템에 적용할 수 있는 GxP 요구 사항을 결정하세요.
  • GxP 요구사항 준수를 입증하기 위해 자격 및 검증 프로세스에 대한 내부 절차를 따르세요.

개발 프로세스

기준선에는 다음에 대한 권장 사항이 있어야 합니다.

  • 사용이 승인된 Power Platform 리소스 유형입니다.
  • 리소스를 모니터링합니다.
  • 로깅 및 감사 기능을 구현합니다.
  • 공유 리소스.
  • 리소스 사용 또는 구성에 대한 정책을 시행합니다.
  • 데이터 보호 및 네트워크 보안.

개발 팀은 보안 점검의 범위, 보안을 염두에 두고 Power Platform 솔루션을 설계하고 개발하는 방법, 정기적인 보안 평가를 수행하는 방법에 대해 명확하게 이해해야 합니다. 예를 들어, 최소 권한 원칙 적용, 개발 환경과 프로덕션 환경 분리, 보안 커넥터 및 게이트웨이 사용, 사용자 입력 및 출력 검증은 워크로드의 보안을 보장하는 데 필요한 사항입니다. 잠재적인 위협을 식별하는 방법을 전달하고 검사 수행 방법을 구체적으로 설명합니다.

자세한 내용은 위협 분석에 대한 권장 사항을 참조하세요.

개발 프로세스에서는 다양한 테스트 방법론에 대한 표준도 설정해야 합니다. 자세한 내용은 보안 테스트에 대한 권장 사항을 참조하세요.

작업

기준선에는 위협을 탐지하는 방법과 실제 사건을 나타내는 비정상적인 활동에 대해 경고를 발생시키는 방법에 대한 표준이 포함되어야 합니다.

기준선에는 의사소통 및 복구 계획을 포함한 사고 대응 프로세스 설정에 대한 권장 사항이 포함되어야 하며 이러한 프로세스 중 어떤 프로세스를 자동화하여 탐지 및 분석을 신속하게 처리할 수 있는지 명시해야 합니다. 예를 들어, Microsoft 클라우드 보안 벤치마크: 사고 응답를 참조하세요.

업계 표준을 사용하여 보안 사고 및 데이터 침해 계획을 개발하고, 침해가 발견되면 운영 팀이 따라야 할 포괄적인 계획을 갖도록 합니다. 사이버 보험을 통한 보장이 있는지 조직에 문의하세요.

교육

훈련은 매우 중요합니다. 애플리케이션을 개발하는 사람들이 보안 위험을 완전히 인식하지 못하는 경우가 많다는 점을 명심하세요. 조직에서 Power Platform을 사용하여 워크로드를 구축하는 방법에 대한 교육을 수행하는 경우 이러한 노력에 보안 기준을 포함하세요. 또는 조직에서 전사적인 Power Platform 보안 교육을 실시하는 경우 해당 교육에 보안 기준을 포함하세요.

교육에는 구축 중인 워크로드에 영향을 미칠 수 있는 테넌트 전체 가드레일 및 구성에 대한 교육이 포함되어야 합니다. 또한 보안 역할, 데이터 연결 방법 등 제조업체가 워크로드에 필요한 구성에 대한 교육도 필요합니다. 요청이 있을 경우 이들과 협력하기 위한 프로세스를 결정합니다.

워크로드 팀이 보안 목표와 요구 사항을 지원하는 데 적합한 기술을 갖추도록 보안 교육 프로그램을 개발하고 유지 관리합니다. 팀에는 기본적인 보안 교육과 Power Platform의 보안 개념에 대한 교육이 필요합니다.

기준선 사용

기준을 사용하여 이니셔티브와 의사결정을 추진하세요. 워크로드 보안 상태를 개선하기 위해 기준을 사용하는 몇 가지 방법은 다음과 같습니다.

  • 디자인 결정을 준비하세요. 보안 기준을 사용하여 Power Platform 워크로드에 대한 보안 요구 사항과 기대치를 이해하세요. 팀 구성원이 아키텍처 설계를 시작하기 전에 기대치에 대해 교육을 받았는지 확인하세요. 팀 구성원이 보안 기준과 보안 요구 사항 충족 시 자신의 역할을 인식하도록 하여 구현 단계에서 비용이 많이 드는 조정을 방지합니다. 보안 기준을 워크로드 요구 사항으로 사용하고 기준에 의해 정의된 경계 및 제약 조건 내에서 워크로드를 설계합니다.

  • 디자인을 측정하세요. 보안 기준선을 사용하여 현재 보안 상태를 평가하고 격차 및 개선 영역을 파악합니다. 연기되거나 장기적으로 허용 가능한 것으로 간주되는 모든 편차를 문서화하고 편차와 관련된 모든 결정을 명확하게 기술합니다.

  • 개선을 추진하세요. 보안 기준은 목표를 정의하지만 모든 목표를 즉시 달성하지 못할 수도 있습니다. 격차를 문서화하고 중요도에 따라 우선순위를 지정합니다. 단기 또는 장기적으로 어느 격차가 허용되는지 명확하게 지정하고 이러한 결정에 대한 이유를 제공하세요.

  • 기준선에 맞춰 진행 상황을 추적하세요. 보안 기준과 비교하여 보안 조치를 모니터링하여 추세를 파악하고 기준과의 편차를 밝혀냅니다. 가능한 경우 자동화를 사용하고 진행 상황 추적을 통해 수집된 데이터를 사용하여 현재 문제를 식별 및 해결하고 향후 위협에 대비합니다.

  • 가드레일을 설치하세요. 보안 기준을 사용하여 Power Platform 워크로드에 대한 가드레일과 거버넌스 프레임워크를 설정하고 관리하세요. 가드레일은 내부 요소와 외부 요소를 기반으로 필요한 보안 구성, 기술 및 운영을 시행합니다. 가드레일은 부주의한 감독 위험과 규정 위반에 대한 징벌적 벌금을 최소화하는 데 도움이 됩니다. Power Platform 관리 센터 및 관리형 환경의 기본 기능을 사용하여 가드레일을 설정하거나 CoE 스타터 키트 참조 구현 또는 자체 스크립트/도구를 사용하여 직접 구축할 수 있습니다. 가드레일과 거버넌스 프레임워크를 설정하기 위해 기본 도구와 사용자 지정 도구를 조합하여 사용할 가능성이 높습니다. 보안 기준 중 사전에 적용할 수 있는 부분과 사후에 모니터링할 부분을 생각해 보세요.

어드바이저의 Purview, Power 관리 센터의 데이터 정책 및 테넌트 격리와 같은 기본 제공 개념을 살펴보고, 보안 구성과 규정 준수 요구 사항을 구현하고 적용하기 위한 CoE 스타터 키트와 같은 구현을 참조하세요. Microsoft Power Platform Power Platform

정기적으로 기준선을 평가하세요

지속적인 위험 감소를 보장하기 위해 보안 표준을 이상적인 상태로 지속적으로 개선합니다. 로드맵과 공지사항을 정기적으로 확인하여 Power Platform의 최신 보안 업데이트를 추적하세요. 그런 다음 보안 기준을 강화할 수 있는 새로운 기능을 식별하고 구현 방법을 계획하세요. 기준선에 대한 모든 수정은 공식적으로 승인되어야 하며 적절한 변경 관리 프로세스를 거쳐야 합니다.

새로운 기준을 기준으로 시스템을 측정하고 워크로드에 대한 관련성과 영향을 기준으로 수정 사항의 우선순위를 지정합니다.

조직 표준 준수에 대한 감사 및 모니터링을 실시하여 시간이 지남에 따라 보안 상태가 저하되지 않도록 하세요.

Microsoft Power Platform의 보안

Power Platform은 강력한 보안 기반을 바탕으로 구축되었습니다. Azure를 세계에서 가장 중요한 데이터의 신뢰할 수 있는 관리자로 자리매김한 동일한 보안 스택을 사용하며 Microsoft 365의 가장 고급 정보 보호 및 컴플라이언스 도구와 통합됩니다. Power Platform은 고객의 가장 어려운 문제를 중심으로 설계된 엔드투엔드 보호 기능을 제공합니다.

이 서비스는 Power Platform 온라인 서비스 약관 Microsoft 및 기업 개인정보 보호정책 Microsoft 에 따라 관리됩니다. 데이터 처리 위치에 대한 내용은 Microsoft 온라인 서비스 약관 및 데이터 보호 추가 조항을 참조하세요.

Microsoft 신뢰 센터 는 규정 준수 정보에 대한 주요 리소스입니다. Power Platform 자세한 내용은 Microsoft 규정 준수 제품을 참조하세요.

Power Platform 서비스는 보안 개발 수명 주기(SDL)를 따릅니다. SDL은 보안 보증 및 규정 준수 요구 사항을 지원하는 일련의 엄격한 관행입니다. 자세한 내용은 Microsoft 보안 개발 수명 주기 관행을 참조하세요.

Power Platform 간편 사용

Microsoft 클라우드 보안 벤치마크(MCSB)는 보안 기준을 위한 시작점으로 사용할 수 있는 포괄적인 보안 모범 사례 프레임워크입니다. 기준에 대한 입력을 제공하는 다른 리소스와 함께 사용하세요. 자세한 내용은 클라우드 보안 벤치마크 소개 Microsoft 를 참조하세요.

관리 센터의 보안 페이지 는 모범 사례와 포괄적인 기능 세트로 조직의 보안을 관리하여 최대의 보안을 보장하는 데 도움이 됩니다. Power Platform 예를 들어:

  • 보안 상태 평가: 조직의 보안 정책을 이해하고 개선하여 특정 요구 사항을 충족하세요.
  • 권장 사항에 대한 조치: 평가를 개선하기 위한 가장 효과적인 권장 사항을 식별하고 실행합니다.
  • 사전 예방적 정책 수립: 다양한 도구와 보안 기능을 사용하여 심층적인 가시성을 확보하고, 위협을 탐지하고, 조직을 취약성과 위험으로부터 보호하는 정책을 사전에 수립합니다.

조직 정렬

Power Platform에 대해 설정한 보안 기준선이 조직의 보안 기준선과 잘 일치하는지 확인합니다. 조직의 IT 보안 팀과 긴밀히 협력하여 전문 지식을 활용하세요.

보안 체크리스트

전체 권장 사항 세트를 참조하세요.

보안 체크리스트