INSIGHT

FAQ

Q. 고객은 왜 AZURE를 선택할까요?

A. Microsoft Azure와 Amazon Web Service(AWS)는 2015년부터  “가트너 클라우드 매직쿼트런트” 부문에 리더로 선정되었습니다.
AWS는 2006년에 출시된 반면, Microsoft는 2010년 클라우드 시장에 처음 진입한 것을 고려하면 Microsoft는 짧은 시간 내 많은 발전을 이루었습니다.

왜 Microsoft Azure가 AWS보다 더 좋은지, 압도적인 기능을 제공하는 Microsoft의 주요 기능을 지금 살펴보고자 합니다.

1. PaaS (Platform As A Service) 기능

Azure와 AWS는 가상머신, 네트워킹 및 스토리지를 위해 유사한 IaaS 기능을 제공합니다. 그러나 Azure는 오늘날의 클라우드 인프라의 가장 중요한 부분인 강력한 PaaS기능을 제공합니다. Azure는 어플리케이션 개발자에게 새로운 클라우드 서비스를 신속하게 구축하고 배포하는 데 필요한 환경, 도구 및 구성 요소를 제공합니다. 또한 모니터링, 관리 및 지속적인 유지/관리에 중요한 “DevOps” 연결을 제공합니다. Azure PaaS를 통해 많은 인프라 관리가 Microsoft 에 의해 관리되므로, Azure PaaS 솔루션을 이용하면 100% 혁신에 집중할 수 있습니다.

2. 다양한 개발 도구와 언어 지원

Azure에서는 Jenkins, Chef 등의 원하는 도구, 어플리케이션 및 프레임워크를 자유롭게 선택하여 원하는 방식으로 개발하고 빌드할 수 있습니다. 또 2017년에 GitHub인수와 함께 선도적인 오픈 소스 제공자인 Microsoft는 Kubernetes, fluentd, Helm 같은 여러 오픈 소스 커뮤니티 프로젝트를 적극 지원하고, Red Hat과 고유한 파트너쉽을 통해 여러 제품에서 통합된 다국어 지원을 제공합니다.

3. 비즈니스 보안 강화로 신뢰할 수 있는 클라우드 서비스

작년 클라우드 서비스 현황을 살펴보면, 클라우드 이전 시 가장 고민되는 점 중에 하나로 보안 문제가 있었습니다. 하지만 AWS와 비교하여 Azure는 포괄적인 규정 준수 범위를 제공하며, GDPR(일반 데이터 보호 규정) 요구사항을 계약으로 이행하는 최초의 주요 클라우드 공급자 입니다. 조직을 보호하기 위한 보안, 개인 정보 보호 및 규정 준수를 개발 방법론에 포함하고, 미국 정부 기관을 위한 가장 신뢰할 수 있는 클라우드로 인정을 받았으며, 38개 Azure 서비스를 포함하는 FedRAMP High 승인을 획득했습니다. 또한 Azure IP Advantage는 업계 최고의 지적 재산 보호 기능을 제공하고 있습니다.

따라서, Azure Cloud는 모든 작업 및 데이터에 대한 안전성 측면에서 최고의 품질을 자랑합니다.

4. 하이브리드 일관성으로 위험과 복잡성 감소

Azure는 어플리케이션 개발, 보안 및 관리, ID관리, 데이터 플랫폼 등 어디에서나 하이브리드 일관성을 제공합니다.  하이브리드 어플리케이션은 Azure 에서 개발할 수 있으며, 이는 데이터센터, 서비스 제공업체 또는 Azure 자체에서 사용할 수 있는 리소스를 활용할 수 있습니다. 또한 가상사설망(VPN), 캐시(Cash), CDN 및 ExpressRoute 연결을 포함한 광범위한 하이브리드 연결을 제공하여 가용성과 성능을 향상시킵니다.

5. 국내 데이터 센터 (서울, 부산) 등 전 세계적으로 가장 많은 54개 region 확보

현존 클라우드 공급자 중 최대 지역 수인 54개의 Azure 지역을 통해 글로벌 규모로 확장하실 수 있습니다. 이처럼 지리적 확장은 Azure의 최우선 과제로, 귀사 및 모든 고객은 필요에 맞는 최적의 데이터 센터와 지역을 선택하고 원하는 곳에서 필요한 성능 및 리소스를 지원 받을 수 있습니다.

6. 개발자 편의성

일반적으로 AWS 사용은 복잡하여 많은 튜토리얼 및 사용자 가이드가 제공되고 있습니다.

하지만 Azure는 과거부터 사용했고 지금도 유용하게 사용하는 기술을 활용하며 여기에는 Windows, Linux, Active Directory  및 가상시스템이 포함되어 있으며, Xcode, Hadoop, GitHub, Visual Studios, Eclipse 등과 같은 유용한 도구를 제공합니다.  Azure 마켓 플레이스의 파트너 개발자가 개발한 여러가지 툴 및 솔루션, 어플리케이션도 제공합니다. 이에, 개발자들은 좀 더 유연하게 Azure 를 사용할 수 있습니다.

7. 클라우드 비용 관리의 최적화

무료 Azure Cost Management로 클라우드 리소스를 최적화하고 부서 예산을 관리하고 효율적으로 비용을 관리하실 수 있습니다. 또한 귀사에서 이미 MS 소프트웨어를 사용하고 있다면 MS와 “Enterprise Agreement”를 체결했을 가능성이 크며, 관련 할인 혜택을 받으실 수도 있습니다.

Q. GDPR의 기본 개념부터 대응방안까지 – 핵심 간단 정리

1. GDPR이란?

EU 일반 개인정보 보호법 (GDPR)은 유럽연합(EU)전체를 대상으로 하는 새로운 개인정보 보호규정입니다. GDPR은 개인들에게 그들의 개인정보에 대한 통제를 강화하고, 개인정보의 투명성을 보장하며, 개인정보 보호를 위한 보안 및 통제조치를 요구하고 있습니다.

2. GDPR은 나의 조직에 적용됩니까?

GDPR은 생각보다 광범위하게 적용됩니다. 이 법률은 유럽연합(EU)내의 개인에게 상품과 서비스를 제공하거나, EU 거주자들과 관련된 데이터를 수집 및 분석하는 기업, 정부기관, 비영리 법인 및 기타 단체에 새로운 규칙을 부과하며, EU 내에 설립된 조직, EU 내에서 상품과 서비스를 제공하는 조직, 또는 EU 거주자의 행동을 모니터링 하는 조직에게 적용됩니다.

3. GDPR은 언제 시행됩니까?

GDPR은 2018년 5월 25일에 효력이 발생합니다. 1995년부터 시행되었던 기존 개인정보보호 지침(Directive 95/46/EC)은 GDPR로 대체할 예정입니다. GDPR은 실제로 EU에서 2016년 4월에 제정되었지만 이 규정을 준수하기 위해 일부 조직에 필요한 중요한 변화를 고려하여 2년간의 유예기간이 설정되었습니다.

4. GDPR에서 가장 중요한 개념은?

GDPR은 다음의 6가지 원칙을 축으로 구성되어 있습니다.
  • 개인정보를 투명하게 처리 및 사용한다.
  • 개인정보의 처리를 구체적이고 합법적인 목적으로 제한한다.
  • 개인정보의 수집 및 보관을 의도된 목적으로 제한한다.
  • 개인에 의한 개인정보의 수정 및 삭제 요청을 가능하게 한다.
  • 개인을 식별할 수 있는 정보의 보관을 의도된 목적을 위해 필요한 기간 내로 제한한다.
  • 적절한 보안 조치를 사용하여 개인정보 보호를 보장한다.
8 Rights of data subjects

Infomation

(Art. 13, 14)

정보를 제공받을 권리

Access

(Art. 15)

정보주체의 열람권

Rectification

(Art. 16)

정정권

Erasure

(Art. 17)

삭제권(‘잊힐 권리’)

Restriction of Processing

(Art. 18)

처리 제한권

Data Portability

(Art. 20)

개인정보 이동권

Object

(Art. 21)

반대할 권리

Automated Decision Making/Profiling
(Art. 22)

자동화된 결정 및 프로파일링 관련 권리

5. 개인정보보호법과의 비교

한국에는 개인정보 관련 많은 법률들이 있지만 그 중 개인정보 보호법, 정보통신망법, 신용정보의 이용 및 보호에 관련 법률, 위치정보의 보호 및 이용 등에 관한 법률이 가장 연관성이 있습니다. 이 중 GDPR과 같이 구체적인 기업 활동과 상관없이 적용되는 개인정보보호법의 의무와 GDPR을 아래와 같이 비교해 보겠습니다.

GDPR
개인정보보호법
Privacy by Design and by default, 최첨단 기술을 고려한 적절한 기술적·조직적 조치
보안 원칙
법률에 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치
전자적 수단에 의한 권리행사 방법을 제공하여야 함
정보주체의 권리행사
전자적 수단에 의한 권리 행사 방법 제공을 의무화 하지 않음
전세계 연간 매출액 4% 또는 2만 유로중 높은 금액
벌칙 (국외이전 규정 위반, 수집, 이용, 제공 규정 위반, 민감 처리 원칙 위반)
5년이하의 징역 또는 5천만원이하의 벌금
더 많은 정보주체의 권리 (정보보충권, 잊혀질 권리, 정정 삭제 제한에 있어서 통보를 받을 권리, 이전에 관한 권리 등)
정보주체의 권리
GDPR보다 한정된 권리
민감정보를 다루는 곳이라면 민간기업도 평가를 받아야 함
개인정보 영향평가
민간기업의 경우 의무대상 아님

요약하자면, 한국법 준수를 위해 구축한 절차와 기술조치로는 GDPR 준수가 되지 않습니다.

  • 유럽에 사업장이 없어도 유럽 개인정보주체에 재화 및 용역을 제공하거나, 유럽 거주자의 행위를 모니터링하는 경우 GDPR이 적용 가능합니다.
  • 한국개인정보관련 법 준수를 위해 구축되어 있는 절차와 정책은 GDPR 준수를 위해 충분하지는 않습니다.
  • 개인정보 주체는 누구나 권리를 직접 행사 할 수 있고, 이에 대한 기업의 대응이 적절하지 않을 경우 조사가 시작될 수 있습니다.

6. GDPR 대응 방안

아래 4가지 주요 단계에 초첨을 맞추고, GDPR을 준수하기 위한 대응을 시작할 것을 권장 드립니다.
탐색

귀하가 보유하고 있는 개인정보의 종류와 보관 위치를 식별합니다.

관리

개인정보의 접근 및 사용방법을
관리합니다.

보호

취약점 및 데이터 침해의 예방,
탐지 및 대응을 위한 보안 조치를
구축합니다.

보고

데이터 요청을 처리하고, 데이터
침해를 보고하며 필요한 문서를
보관합니다.

7. GDPR 대응 비교 - Microsoft vs. Google vs. Amazon vs. Facebook

Capability Details

Microsoft

Google

Amazon

Facebook

Contractual Commitments
Corporate Policy

Cloud service provider is committed to be GDPR compliant

Cloud service provider has extended the rights to residents outside of the EU

Assessing & Managing Compliance Risk
Compliance management

Centralized compliance management with real-time risk assessments on cloud services, as well as steps you need to take to become compliant

Compliance Manager
Protecting Personal Data
Identity and Access Management

Multifactor authentication

Hardware-based protections including biometrics

Risk-based access

Sophisticated management for privileged accounts

8. Microsoft Azure는 GDPR에 따라 의무를 다합니다.

Microsoft Azure는 GDPR(일반 데이터 보호 규정)에 따라 의무를 다합니다. Microsoft Azure는 데이터 침해로부터 보호하기 위해 광범위한 보안 조치를 취합니다. 여기에는 물리적 및 논리적 보안 제어 뿐만 아니라 자동화된 보안 프로세스, 포괄적인 정보 보안 및 개인 정보 보호 정책, 모든 직원에 대한 개인 정보 보호 교육이 포함됩니다.

설계 단계부터 개인 정보 보호(Privacy-by-Design) 및 기본적으로 개인 정보 보호(Privacy-by-Default) 방법을 통합하는 필수 개발 프로세스인 보안 개발 수명 주기를 통해 처음부터 Microsoft Azure에 보안이 기본적으로 제공됩니다. Microsoft 보안 전략의 주요 원칙은 심층 방어 전략이 확장된 “위반 예측”입니다. Microsoft는 Azure의 보안 기능을 지속적으로 개선함으로써 새로운 위협에 앞서나갈 수 있습니다. Azure 보안에 대한 자세한 내용은 다음 리소스를 참조하세요.

Microsoft에는 Microsoft Azure에 대한 공격 영향력을 완화하기 위해 작동하는 글로벌 연중무휴 인시던트 응답 서비스가 제공됩니다. 여러 보안 및 준수 감사(예: ISO/IEC 27018)를 통해 입증된 결과에 따라, Microsoft는 데이터 센터에서 연중무휴 CCTV 모니터링, 훈련된 보안 직원, 스마트 카드 및 생체 인식 제어를 비롯한 엄격한 운영 및 프로세스를 사용하여 무단 액세스를 방지합니다.

 

잠재적인 침해 감지

최신 클라우드 컴퓨팅의 특성으로 인해, 고객 클라우드 환경에서 발생하는 모든 데이터 침해가 Microsoft Azure 서비스와 관련된 것은 아닙니다. Microsoft는 Azure 서비스에 대해 공유 책임 모델을 사용하여 보안 및 운영 책임을 정의합니다. 클라우드 서비스 공급자와 고객 모두 클라우드 보안 부분 책임이 있으므로, 공유 책임이 클라우드 서비스의 보안을 논의할 때 특히 중요합니다.

Microsoft는 고객의 책임 영역 내에서 보안 문제를 모니터링하거나 대응하지 않습니다. 고객에 의한 보안 손상은 Azure 보안 인시던트로 처리되지 않으며 고객 테넌트에서 대응 노력을 관리해야 합니다. 적절한 서비스 계약이 있는 경우, 고객 인시던트 대응이 Microsoft Azure 고객 지원 서비스와 협력해서 진행될 수 있습니다.또한 Microsoft Azure는 고객이 보안 인시던트 대응을 개발 및 관리하기 위해 활용할 수 있는 다양한 서비스(예: Azure Security Center)도 제공합니다.

Azure는 Microsoft Azure 인시던트 관리 플랜에 속하는 보안 인시던트 대응 프로세스에 따라 잠재적인 데이터 위반에 대응합니다. Azure의 보안 인시던트 대응은 감지, 평가, 진단, 안정화 및 닫기의 5단계 프로세스로 구현됩니다. 보안 인시던트 대응 팀은 조사가 진행되면서 진단 및 안정화 단계 간을 전환할 수 있습니다. 보안 인시던트 대응 프로세스의 개요는 다음과 같습니다.

단계
설명
1-감지
잠재적인 인시던트의 최초 지표
2-평가
출장 인시던트 대응 팀 구성원이 이벤트의 영향 및 심각도를 평가합니다.
이러한 평가는 증거에 따라 보안 대응 팀을 향한 추가 에스컬레이션으로 이어질 수도 있고 그렇지 않을 수도 있습니다.
3-진단
보안 응답 전문가가 해당 기술 또는 법정 조사를 수행하고, 방지, 완화 및 해결 전략을 파악합니다.
보안 팀에서 고객 데이터가 불법적이거나 허가되지 않은 개인에게 노출되었을 수 있다고 판단할 경우 고객 인시던트 알림 프로세스가 동시에 실행될 수 있습니다.
4 - 안정화 및 복구
인시던트 대응 팀이 문제를 완화하기 위한 복구 계획을 세웁니다.
영향을 받은 시스템을 격리하는 것과 같은 위기 방지 단계가 즉시 진행되거나 진단과 동시에 수행될 수 있습니다. 즉각적인 위험이 지나간 후에 좀 더 장기적인 완화를 계획할 수 있습니다.
5 - 종료 및 사후 평가
인시던트 대응 팀은 정책, 절차 및 프로세스를 수정하여 이벤트 재발을 방지하기 위해 인시던트의 세부 정보를 대략적으로 설명하는 사후 평가를 만듭니다.

클라우드의 Microsoft Azure 보안 응답 백서에서는 Microsoft가 Azure 내의 보안 인시던트를 조사, 관리 및 대응하는 방법을 설명합니다.

Microsoft Azure에서 사용하는 감지 프로세스는 Azure 서비스의 기밀성, 무결성 및 가용성을 침해하는 이벤트를 검색하도록 고안되었습니다. 다음과 같은 일부 이벤트가 조사를 트리거할 수 있습니다.

  • 내부 모니터링 및 경고 프레임워크를 통한 자동화된 시스템 알림. 이러한 경고는 맬웨어 방지, 침입 감지와 같은 서명 기반 경보나 비정상 상황 발생 시 예상되는 작업 및 경고를 프로파일링하도록 설계된 알고리즘을 통해 제공됩니다.
  • 첫 번째 파티는 Microsoft Azure 및 Azure Government에서 실행되는 Microsoft 서비스에서 보고합니다.
  • 보안 취약성이secure@microsoft.com을 통해 MSRC(Microsoft Security Response Center)로 보고됩니다. MSRC는 전 세계의 파트너 및 보안 연구자들과 협력하여 보안 인시던트를 방지하고 Microsoft 제품 보안을 향상시키도록 지원합니다.
  • 고객은고객 지원 포털 또는 Microsoft Azure 및 Azure Government 관리 포털을 통해 보고하며 Azure 인프라에 영향을 주는 의심스러운 작업(고객의 책임 범위 내에서 발생하는 작업과는 반대됨)을 설명합니다.
  • 보안레드팀 및 블루팀 활동. 이 전략에서는 공격적인 Microsoft 보안 전문가로 이루어진 고도로 숙련된 레드팀을 활용하여 Azure의 잠재적인 약점을 알아내고 공격합니다. 보안 대응 블루팀은 레드팀의 활동을 감지하고 견제합니다.레드팀 및 블루팀 작업은 둘 다 Azure의 보안 대응 노력이 보안 인시던트를 효과적으로 관리하고 있는지를 확인하는 데 사용됩니다. 보안 레드팀 및 블루팀 활동은 고객 데이터 보호를 지원하기 위한 협약의 규칙에 따라 운영됩니다.
  • Azure 서비스 운영자에 의한 에스컬레이션. Microsoft 직원들은 잠재적인 보안 문제를 식별하고 에스컬레이션하도록 교육을 받습니다.

 

Azure의 데이터 위반 대응

Microsoft는 업무에 미치는 영향, 복구 가능성 및 인시던트의 영향 정보를 확인하여 조사 작업에 적절한 우선 순위 및 심각도를 할당합니다. 우선 순위와 심각도는 조사를 진행하는 동안 새롭게 알아낸 사실과 결론에 따라 변경될 수 있습니다. 고객 데이터에 대한 임박하거나 확인된 위험을 수반하는 보안 이벤트는 높은 심각도로 취급되며, 해결 방안을 찾기 위해 24시간 내내 작업이 진행됩니다. Microsoft Azure는 인시던트의 영향 정보를 다음 위반 범주로 분류합니다.

범주
정의
없음
정보가 노출, 변경, 삭제 또는 다른 방식으로 손상되지 않았습니다.
개인 정보 보호 위반
납세자, 직원, 수익자 등의 중요한 개인 데이터가 액세스되었거나 노출되었습니다.
독점 위반
PCII(보호되는 중요한 인프라 정보)와 같은 분류되지 않은 소유 정보가 액세스되었거나 노출되었습니다.
무결성 손실
중요한 정보 또는 소유 정보가 변경되었거나 삭제되었습니다.

보안 대응 팀은 Microsoft Azure 보안 엔지니어 및 SME와 공조하여 증거를 통한 실제 데이터를 기준으로 이벤트를 분류합니다. 보안 이벤트를 다음과 같이 분류할 수 있습니다.

  • 가양성:검색 조건을 충족하지만 정상적인 비즈니스 방식의 일부로 확인되며 필터링할 필요가 있는 이벤트입니다. 서비스 팀은 가양성에 대한 근본 원인을 파악하고, 감지 원본을 활용하고 필요에 따라 미세 조정하여 체계적인 방식으로 처리합니다.
  • 보안 인시던트:Microsoft 장비 또는 Microsoft 시설에 저장되어 있는 모든 고객 데이터 또는 지원 데이터에 대한 불법 액세스 또는 이러한 장비 또는 시설에 대한 무단 액세스로 인해 고객 데이터 또는 지원 데이터가 손실, 노출 또는 변경되는 인시던트입니다.
  • CRSI(고객 보고 가능 보안 인시던트):Microsoft의 시스템, 장비 또는 시설을 불법적으로 또는 허가 없이 액세스하거나 사용하여 고객 데이터를 공개, 수정 또는 손실하는 경우입니다.
  • 개인 정보 위반:개인 데이터와 관련된 보안 인시던트의 하위 형식입니다. 처리 절차는 보안 인시던트와 다르지 않습니다.

CRSI를 선언하려면 Microsoft에서 고객 데이터에 무단 액세스가 발생했거나 발생했을 가능성이 높은지 및/또는 알림이 있어야 한다는 법적 또는 계약상 약정이 있는지를 판단해야 합니다. 필수는 아니지만 특정 고객 영향, 리소스 액세스 및 복구 단계를 알고 있다고 기대합니다. 일반적으로 인시던트는 보안 인시던트의 진단 단계가 끝난 후 CRSI로 선언됩니다. 그러나 모든 관련 정보를 사용할 수 있는 모든 위치에서 선언이 발생할 수 있습니다. 보안 인시던트 관리자는 보고 가능한 이벤트가 발생하여 고객 인시던트 알림 프로세스가 실행되기 시작했다는 것에 대해 합리적 의심을 넘어서 증명해야 합니다.

조사 과정 전반에서, 보안 대응 팀은 전역 법률 자문과 긴밀히 협의하면서 법률적 의무 및 고객과의 약정에 따라 법정 조치가 수행되도록 합니다. 또한 다양한 운영 환경에서 시스템 및 고객 데이터를 보고 처리하는 데 중요한 제한 사항이 적용됩니다. 고객 데이터뿐만 아니라 중요한 데이터 또는 기밀 데이터는 해당 인시던트 티켓에 기록된 인시던트 관리자의 명시적인 서면 동의 없이 프로덕션 환경 외부로 전송되지 않습니다.

Microsoft는 고객 및 비즈니스 위험이 성공적으로 방지되고, 수정 조치가 구현되는지 확인합니다. 필요한 경우 이벤트와 연결된 즉각적인 보안 위험을 해결하기 위한 긴급 완화 단계가 수행됩니다.

Microsoft는 또한 데이터 유출을 위한 내부 사후 평가을 완료합니다. 이 연습의 일환으로 응답 및 운영 절차의 충분성이 평가되고 보안 사고 대응 SOP 또는 관련 프로세스에 필요한 업데이트가 식별되고 구현됩니다. 데이터 유출에 대한 내부 사후 평가는 고객이 이용할 수 없는 극비 기록입니다. 그러나 사후 평가는 요약되어 다른 고객 이벤트 통지에 포함될 수 있습니다. 이 보고서는 Azure의 정기 감사 주기의 일부로 검토를 위해 외부 감사인에게 제공됩니다.

 

고객 알림

Microsoft Azure는 필요에 따라 데이터 침해 사실을 고객과 규제 기관에 알립니다. Microsoft은 Azure를 운영하면서 내부 구조를 과도하게 구획화하고 있습니다. 데이터 흐름 로그도 강력해졌습니다. 이러한 설계 방식은 대부분의 인시던트를 구체적인 고객의 범주에 포함할 수 있다는 장점이 있습니다. 이렇게 하는 목적은 데이터 침해 시, 영향을 받은 고객에게 정확하고 실행 가능한 방식으로 시기 적절하게 알리는 것입니다.

CRSI가 선언된 후에, 빠르게 변화하는 보안 위험이 고려되면서 가능한 한 신속하게 알림 프로세스가 진행됩니다. 일반적으로 인시던트 조사가 진행 중일 때는 알림 초안이 작성됩니다. 고객 알림은 다음 경우를 제외하고 침해를 선언하고 72시간 이내에 전달됩니다.

  • Microsoft는 알림을 수행하면 다른 고객의 위험이 증가할 것으로 생각합니다. 예를 들어, 통지하는 행위는 침입자에게 정보를 제공하여 교정할 수 없는 상황을 야기할 수 있습니다.
  • Microsoft의 법률 부서 CELA(회사 외부 업무 및 법률 담당) 및 인시던트 책임 관리자가 기타 비정상적이거나 극단적인 상황을 조사한 경우

Microsoft Azure는 알림 프로세스를 과도하게 지연시키지 않으면서, 내부 조사를 수행할 수 있도록 하고, 최종 사용자 약정을 충족하도록 지원할 수 있는 자세한 정보를 고객에게 제공합니다.

개인 데이터 침해에 대한 알림은 전자 메일을 통해 Microsoft를 포함한 모든 방법으로 고객에게 전달됩니다. 데이터 유출 알림은 Azure Security 센터에서 제공되는 보안 담당자 목록에 전달되며 구현 지침을 따라 구성할 수 있습니다. Azure Security Center에서 연락처 정보가 제공되지 않으면 Azure 구독으로 한 명 이상의 관리자에게 알림이 전송됩니다. 알림이 성공적으로 전달될 수 있도록 해당 구독 및 온라인 서비스 포털에 대한 관리 연락처 정보가 올바른지 확인하는 것은 고객의 책임입니다.

Microsoft Azure 또는 Azure Government 팀은 CSS(고객 서비스) 및 고객 AM(계정 관리자) 또는 TAM(기술 계정 관리자)과 같은 추가 Microsoft 직원에게도 알리도록 선택할 수 있습니다. 이러한 개인은 고객과 밀접하게 관련되어 있는 경우가 많으며 보다 빠른 수정이 이루어지는 데 도움이 될 수 있습니다.

 

Microsoft InTune 데이터 침해

Microsoft Intune은 Microsoft Enterprise Mobility + Security Suite 클라우드 서비스 제품의 핵심 구성 요소입니다. 데이터 거버넌스 전략을 지원하기 위해 모든 Microsoft 클라우드 서비스는 Microsoft의 설계 단계부터 개인 정보 및 보안 유지(Privacy and Security by Design) 및 기본적으로 개인 정보 및 보안 유지(Privacy and Security by Default) 방법을 사용하여 개발됩니다.

Microsoft Intune의 클라우드 서비스 오퍼링은 기술 및 조직 차원의 동일한 측정 방법을 따르므로 하나 이상의 Microsoft Azure 서비스 팀이 데이터 유출 프로세스를 보호하기 위해 노력합니다. 따라서 여기에 있는 “Microsoft Azure 데이터 위반” 알림 문서에 설명된 모든 정보는 Microsoft Intune 서비스와 유사합니다. 예를 들어, Microsoft Intune은 동일한 보안 문제 대응 프로세스 및 수명주기(1단계 : 5단계를 통해 검색:종료 및 사후 평가)와 동일한 고객 보안 사고 통지 프로세스를 수행합니다. 또한 Microsoft Intune은 Microsoft O365 팀과 직접 협력하여 Intune을 사용하는 Microsoft O365 고객에 대한 위반 통지에 대한 의무를 이행합니다.

Microsoft에서 개인 데이터 위반을 감지하고 대처하는 방법에 대한 자세한 내용은 Service Trust Portal의 GDPR에서 데이터 위반 알림을 참조하세요.

Q. 클라우드 파트너사가 왜 필요한가요?

A. Azure 서비스를 기업에서 자체적으로 구축하여 사용하는 것도 가능합니다.
그러나 매일 신규 기능들이 개발되고 100여개가 넘는 다양하고 폭넓은 서비스를 내부에서 관리하는 것은 무척 어려운 일입니다.
따라서귀사의 니즈에 따른 요구사항을 정확하게 이해할 수 있는 Azure 전문 파트너사를 통해 구축하는 것이 훨씬 더 효율적입니다.

무료 Azure Cost Management로 클라우드 리소스를 최적화하고 부서 예산을 관리하고 효율적으로 비용을 관리하실 수 있습니다. 또한 귀사에서 이미 MS 소프트웨어를 사용하고 있다면 MS와 “Enterprise Agreement”를 체결했을 가능성이 크며, 관련 할인 혜택을 받으실 수도 있습니다.

이제, 클라우드 도입은 할지 말지의 문제가 아니라,
어떻게 운영해야 할 것인지가 중요합니다.