Surface Duo 보안 개요
Surface Duo는 디바이스, ID 및 데이터를 보호하기 위해 깊이 통합된 하드웨어, 펌웨어 및 소프트웨어를 사용하여 모든 계층에서 기본 제공 보호 기능을 제공합니다. Android 10 디바이스인 Surface Duo는 OS 수준 및 Google 서비스 계층에서 Android 보안 기능을 활용합니다. Android OS는 기존 OS 보안 컨트롤을 활용하여 사용자 데이터 및 시스템 리소스를 보호하고, 맬웨어로부터 디바이스 무결성을 보호하며, 애플리케이션 격리를 제공합니다. 또한 Google은 Android OS 보안과 결합될 때 Android 사용자를 지속적으로 보호하는 데 도움이 되는 OS 위에 계층화된 다양한 서비스를 제공합니다.
- 사용자 지정 엔지니어링 UEFI. Android 장치 중 Surface Duo에 고유한 것은 펌웨어 구성 요소를 완벽하게 제어할 수 있는 Microsoft의 사용자 지정 엔지니어링 UEFI(Unified Extensible Firmware Interface)입니다. Microsoft는 사내의 모든 펌웨어 코드를 작성하거나 검토하여 Surface Duo에 엔터프라이즈급 보안을 제공하여 Microsoft가 잠재적인 펌웨어 위협에 직접 민첩하게 대응하고 공급망 보안 위험을 완화할 수 있도록 합니다.
- 확인된 부팅입니다. 로그인 시 하드웨어 수준에서 시작하여 확인된 부팅은 실행된 코드가 신뢰할 수 있는 원본에서만 제공되는지 확인하기 위해 노력합니다. 하드웨어로 보호되는 신뢰 루트에서 부팅 로더, 부팅 파티션 및 기타 확인된 파티션에 이르기까지 전체 신뢰 체인을 설정합니다. Surface Duo가 부팅되면 각 스테이지는 실행을 넘겨주기 전에 다음 단계의 무결성과 신뢰성을 확인합니다.
- 앱 분리. 애플리케이션 샌드박싱은 Android 앱을 격리하고 보호하여 악성 앱이 개인 정보에 액세스하지 못하도록 방지합니다. 필수, 상시 암호화 및 키 처리는 디바이스가 잘못된 손에 넘어가더라도 전송 중 및 미사용 데이터를 보호하는 데 도움이 됩니다. 암호화는 암호화 키를 컨테이너에 저장하는 키 저장소 키로 보호되므로 디바이스에서 추출하기가 더 어려워집니다.
- 구글 플레이 보호. 소프트웨어 계층에서 Surface Duo는 Google Play에서 퍼블릭 앱, Microsoft 및 통신 사업자가 업데이트한 시스템 앱 및 사이드로드된 앱을 포함한 모든 애플리케이션을 검사하는 Google Play 보호 위협 탐지를 사용합니다.
- ATP를 Microsoft Defender. 창 10용 엔터프라이즈급 바이러스 백신 및 맬웨어 보호 소프트웨어는 이제 Intune 관리되는 Android 디바이스에서 사용할 수 있습니다. 자세한 내용은 Android용 Microsoft Defender ATP를 참조하세요.
모바일 디바이스 관리 보안
Surface Duo는 조직 및 규정 준수 요구 사항에 맞게 조정할 수 있는 일관된 보호 도구, 기술 및 모범 사례 집합을 제공하는 EMM(Enterprise Mobility Management) 솔루션을 사용하여 회사 환경에서 보호됩니다. 광범위한 관리 API는 IT 부서에 데이터 유출을 방지하고 다양한 시나리오에서 규정 준수를 적용하는 데 도움이 되는 도구를 제공합니다. 다중 프로필 지원 및 디바이스 관리 옵션을 사용하면 회사 및 개인 데이터를 분리하여 회사 데이터를 안전하게 유지할 수 있습니다.
MDM 보안은 사용자가 이동 중에도 생산성을 높이는 동시에 중요한 회사 지적 재산을 보호할 수 있도록 확장된 구성 기술 집합을 기반으로 합니다. 여기에는 앱 보호 정책, 디바이스 제한 정책 및 환경에 따라 특정 목표를 달성할 수 있도록 설계된 관련 기술이 포함됩니다. 비즈니스가 레스토랑 테이크아웃 주문 제공, 치과 사무실용 IT 서비스 관리 또는 중요한 국가 보안 정보 처리로 구성되는지 여부입니다.
예를 들어 사용자가 2단계 인증과 함께 6자리 영숫자 핀을 입력하도록 요구하여 디바이스 인증을 강화할 수 있습니다. 사용자가 등록할 수 있는 디바이스를 제한하여 라이선스 제한을 준수하거나 "탈옥" 휴대폰 또는 기타 지원되지 않는 디바이스 유형에 대한 액세스 권한을 부여하지 않도록 할 수 있습니다. Intune 및 기타 EMM을 사용하면 조직에서 필요에 따라 디바이스를 관리할 수 있습니다.
앱 보호 정책
앱(앱 보호 정책)은 organization 데이터가 안전하게 유지되거나 관리되는 앱에 포함되도록 하는 규칙입니다. 정책은 사용자가 "회사" 데이터에 액세스하거나 이동하려고 할 때 적용되는 규칙 또는 사용자가 앱 내에 있을 때 금지되거나 모니터링되는 작업 집합일 수 있습니다. 관리되는 앱은 앱 보호 정책을 적용하고 Intune 관리할 수 있는 앱입니다.
앱 보호 정책을 사용하면 애플리케이션 내에서 organization 데이터를 관리하고 보호할 수 있습니다. Microsoft Office 앱과 같은 많은 생산성 앱은 MAM을 Intune 관리할 수 있습니다. 공개적으로 사용할 수 있는 Microsoft Intune 보호된 앱의 공식 목록을 참조하세요.
Surface Duo를 관리하기 위한 보안 고려 사항
모바일 디바이스 관리 솔루션에서 사용할 수 있는 정책 설정의 수가 증가함에 따라 조직은 특정 요구 사항에 맞게 보호 수준을 조정할 수 있습니다. 조직에서 Surface Duo(또는 다른 Android 장치)의 보안 설정 우선 순위를 지정할 수 있도록 하기 위해 Intune 몇 가지 고유한 구성 시나리오로 구성된 Android Enterprise 보안 구성 프레임워크를 도입하여 회사 프로필 및 완전 관리형 시나리오에 대한 지침을 제공합니다.
보안 수준 | 대상 지정 대상 | 요약 | 설정 정보 |
---|---|---|---|
회사 프로필 기본 보안 - 수준 1 | 회사 또는 학교 데이터에 액세스할 수 있는 개인 디바이스. | 암호 요구 사항을 도입하고, 작업 및 개인 데이터를 구분하고, Android 디바이스 증명의 유효성을 검사합니다. | 회사 프로필 수준 1 설정 |
회사 프로필 높은 보안 - 수준 3 (프레임워크 규칙으로 인해 수준 1보다 다음 수준입니다.) |
고유하게 위험이 높은 사용자 또는 그룹에서 사용하는 디바이스입니다. 예를 들어 무단 공개로 인해 상당한 중대한 손실이 발생하는 매우 중요한 데이터를 처리하는 사용자가 있습니다. | 모바일 위협 방어 또는 Microsoft Defender ATP를 도입하고, 최소 Android 버전을 8.0으로 설정하고, 더 강력한 암호 정책을 제정하고, 작업 및 개인 분리를 추가로 제한합니다. | 회사 프로필 수준 3 설정 |
완전 관리형 기본 보안 -수준 1 | 회사 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용되는 엔터프라이즈 디바이스에 대한 최소 보안 구성입니다. | 암호 요구 사항을 도입하고, 최소 Android 버전을 8.0으로 설정하고, 특정 디바이스 제한을 적용합니다. | 완전 관리형 수준 1 설정 |
완전히 관리되는 향상된 보안 수준 2 | 사용자가 중요한 정보 또는 기밀 정보에 액세스하는 디바이스. | 더 강력한 암호 정책을 제정하고 사용자/계정 기능을 사용하지 않도록 설정합니다. | 완전히 관리되는 수준 2 settngs |
완전 관리형 높은 보안 수준 3 | 고유하게 위험이 높은 사용자 또는 그룹에서 사용하는 디바이스입니다. 예를 들어 무단 공개로 인해 상당한 중대한 손실이 발생하는 매우 중요한 데이터를 처리하는 사용자가 있습니다. | 최소 Android 버전을 10.0으로 늘리고, 모바일 위협 방어 또는 Microsoft Defender ATP를 도입하고, 추가 디바이스 제한을 적용합니다. | 완전히 관리되는 수준 3 설정 |
보안이 위협 환경, 위험 욕구 및 유용성에 미치는 영향을 평가해야 하므로 모든 프레임워크와 마찬가지로 해당 수준 내의 설정을 organization 요구 사항에 따라 조정해야 할 수 있습니다.