기밀성을 보호하기 위한 디자인
 액세스 제한 및 난독 처리 기술을 통해 개인 정보, 규제, 애플리케이션 및 독점 정보에 대한 노출을 방지하세요. |
|---|
워크로드 데이터는 사용자, 사용량, 구성, 규정 준수, 지적 재산권 등을 기준으로 분류할 수 있습니다. 워크로드 데이터는 설정된 신뢰 경계를 넘어 공유하거나 액세스해서는 안 됩니다. 기밀성을 보호하기 위한 노력은 액세스 제어, 불투명성, 데이터 및 시스템과 관련된 활동의 감사 추적 유지에 중점을 두어야 합니다.
예제 시나리오
Contoso Rise Up은 비영리 단체의 모금 및 기부 활동을 전문적으로 지원하는 다중 Saas(Software-as-a-service) 제품을 제공합니다. 몇 년 전부터 시장에 진출하여 탄탄한 고객층을 확보하고 있습니다. 이 솔루션은 ARO(Azure Red Hat OpenShift)와 Azure Database for PostgreSQL을 기반으로 구축되었습니다. 격리된 테넌트와 공동 배치된 테넌트 모두를 보다 저렴한 가격으로 제공합니다.
액세스를 엄격하게 제한
꼭 알아야 할 필요가 있는 경우에 한하여 액세스를 허용하는 강력한 액세스 제어를 구현하세요.
워크로드는 무단 액세스 및 금지된 활동으로부터 보호됩니다. 신뢰할 수 있는 ID를 통해 액세스하는 경우에도 통신 경로가 제한된 기간 동안 열려 있기 때문에 액세스 권한과 노출 시간이 최소화됩니다.
Contoso의 과제
- Contoso Rise Up은 항상 놀라운 고객 지원에 자부심을 가지고 있습니다. 지원팀의 모든 직원이 고객 데이터에 즉시 액세스하여 실시간으로 문제를 해결하고 조언할 수 있습니다.
- 지원 팀은 윤리적 액세스에 대한 교육을 정기적으로 받습니다.
- 안타깝게도 불만을 품은 한 지원 직원이 한 단체의 기부자 목록을 복사하여 공개적으로 공유하여 고객의 기밀을 침해하는 일이 발생했습니다. 해당 직원은 해고되었지만 Contoso Rise Up의 평판 훼손은 이미 끝난 후였습니다.
접근 방식 및 결과 적용
- Contoso Rise Up은 사용자를 Microsoft Entra ID 그룹으로 엄격하게 분할하고 해당 그룹에 대해 정의된 RBAC를 다양한 리소스 그룹 및 리소스로 구현했습니다.
- 데이터에 대한 모든 액세스는 시간이 제한되며 승인 및 감사 프로세스를 거치게 됩니다.
- 이러한 표준은 워크로드 및 고객 지원 팀에 적용되었습니다. Contoso Rise Up은 이제 고객 데이터에 대한 상시 액세스 권한이 없다고 확신합니다.
분류를 통해 기밀 데이터 식별
데이터의 유형, 민감도, 잠재적 위험에 따라 데이터를 분류하세요. 각각에 대한 기밀성 수준을 할당합니다. 식별된 수준의 범위 내에 있는 시스템 구성 요소를 포함합니다.
이 평가는 보안 조치의 규모를 적절히 조정하는 데 도움이 됩니다. 또한 잠재적인 영향이 크거나 위험에 노출될 가능성이 높은 데이터와 구성 요소를 식별할 수 있습니다. 이 연습은 정보 보호 전략을 명확하게 하고 규약을 확보하는 데 도움이 됩니다.
Contoso의 과제
- 기부자 관리 시스템에는 Contoso Rise Up에 기밀인 정보(예: 고객 목록)부터 고객에게 기밀인 정보(예: 기부자 목록), 고객의 기부자에게 기밀인 정보(예: 우편 주소)에 이르기까지 다양한 유형의 데이터가 저장됩니다.
- 이 시스템에는 스톡 이미지와 문서 템플릿과 같은 중요하지 않은 데이터도 보관됩니다.
- 워크로드 팀은 데이터를 분류하는 데 시간을 할애한 적이 없으며, 단순히 데이터 세트 전체에 보안을 광범위하게 적용했습니다.
접근 방식 및 결과 적용
- 워크로드 팀은 Contoso 조직의 분류법에 따라 데이터 저장소, 열, 스토리지 계정 및 기타 스토리지 리소스에 데이터의 유형과 민감도를 나타내는 메타데이터로 플래그를 지정하는 데 시간을 할애합니다.
- 이 활동을 통해 팀은 민감한 데이터가 로깅 내역 및 백업을 포함하여 전체 시스템에서 요구되는 수준의 기밀성으로 처리되는지 확인할 수 있습니다.
- 이 팀은 보안 수준이 낮은 데이터베이스에는 상대적으로 민감한 데이터가 있고 보안 수준이 높은 데이터베이스에는 중요하지 않은 데이터가 있다는 사실을 발견했습니다. 보안 컨트롤이 보호하는 데이터와 일치하도록 스토리지 위치를 조정할 것입니다.
- 또한 권한이 있는 직원이 시스템에 액세스하는 경우에도 데이터의 기밀성을 더 잘 보호하기 위해 주요 필드에 데이터 마스킹을 구현할 계획입니다.
데이터 수명 주기의 모든 단계에 암호화 적용
암호화를 사용하여 미사용 데이터, 전송 중 및 처리 중인 데이터를 안전하게 보호하세요. 할당된 기밀성 수준에 따라 전략을 수립하세요.
이 접근 방식을 따르면 공격자가 액세스 권한을 얻더라도 제대로 암호화된 중요한 데이터를 읽을 수 없습니다.
중요한 데이터에는 시스템 내부에서 추가 액세스 권한을 얻는 데 사용되는 구성 정보가 포함됩니다. 데이터 암호화는 위험을 억제하는 데 도움이 될 수 있습니다.
Contoso의 과제
- Contoso Rise Up은 기본 제공 특정 시점 복원을 사용하여 PostgreSQL 데이터베이스의 테넌트별 백업을 수행합니다. 또한, 완벽한 DR(재해 복구) 대비를 위해 격리된 스토리지 계정에 하루에 한 번씩 트랜잭션 일치 백업을 수행하여 추가적인 보장을 제공합니다.
- DR에 사용되는 스토리지 계정은 Just-In-Time 액세스로 제한되며, Microsoft Entra ID 계정으로만 액세스할 수 있습니다.
- 복구 훈련 중에 한 직원이 백업에 액세스하기 위해 프로세스를 진행하던 중 실수로 백업을 Contoso 조직의 네트워크 공유에 복사했습니다.
- 이 백업이 발견되어 몇 달 후 Contoso의 개인 정보 보호 팀에 보고되었고, 사건 발생 시점과 발견 시점 사이에 백업이 어떻게 액세스되었는지 조사에 착수했습니다. 다행히 기밀 유출은 발견되지 않았고 포렌식 및 감사 검토가 완료된 후 해당 파일은 삭제되었습니다.
접근 방식 및 결과 적용
- 팀은 모든 백업을 미사용 시 암호화하고 Key Vault에서 암호화 키를 보호해야 한다는 새로운 프로세스를 공식화했습니다.
- 이제 백업 파일에 포함된 데이터는 암호 해독 기능이 없으면 쓸모가 없으므로 이와 같은 사고로 인해 개인 정보가 유출될 가능성이 낮아집니다.
- 또한 이제 DR 계획에는 백업을 안전하게 해독하는 방법과 시기를 포함하여 백업의 적절한 처리를 지시하는 표준 지침이 포함되어 있습니다.