Microsoft Defender for Cloud Apps 데이터 보안 및 개인 정보 취급 방침은 무엇인가요?
참고
Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.
Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.
참고
이 문서는 디바이스 또는 서비스에서 개인 데이터를 삭제하는 방법을 위한 단계를 제공하며, GDPR에 따른 의무를 지원하는 데 사용될 수 있습니다. GDPR에 대한 일반적인 정보를 찾는 경우 Service Trust Portal의 GDPR 섹션을 참조하세요.
Microsoft Defender for Cloud Apps Microsoft Cloud Security 스택의 중요한 구성 요소입니다. 조직이 클라우드 응용 프로그램의 모든 혜택을 누리도록 돕는 통합 솔루션입니다. 클라우드용 Defender 앱은 중요한 데이터에 대한 포괄적인 가시성, 감사 및 세분화된 제어를 통해 제어할 수 있습니다.
클라우드용 Defender 앱에는 섀도 IT를 파악하고 위험을 평가하는 동시에 정책을 적용하고 활동을 조사할 수 있는 도구가 있습니다. 실시간 액세스를 제어하고 위협을 차단하여 조직이 안전하게 클라우드로 전환할 수 있도록 돕습니다.
클라우드용 Defender 앱 규정 준수
데이터 침해 및 공격이 일상적으로 발생하는 세상에서 조직은 데이터를 보호하기 위해 모든 노력을 다하는 CASB(클라우드 액세스 보안 브로커)를 선택해야 합니다. 모든 Microsoft 클라우드 제품 및 서비스와 마찬가지로 클라우드용 Defender 앱은 고객의 엄격한 보안 및 개인 정보 요구 사항을 해결하기 위해 빌드되었습니다.
조직에서 개인의 데이터 수집 및 사용을 제어하는 국가, 지역 및 산업별 요구 사항을 준수할 수 있도록 클라우드용 Defender 앱은 포괄적인 규정 준수 제품 세트를 제공합니다. 규정 준수 제안에는 인증 및 증명이 포함됩니다.
규정 준수 프레임워크 및 제안
클라우드용 Defender 앱은 다음을 비롯한 많은 국제 및 업계별 규정 준수 표준을 충족하지만 다음으로 제한되지는 않습니다.
| 조직 | 제목 | 설명 |
|---|---|---|
 |
CSA STAR 증명 | Azure 및 Intune은 독립적인 감사에 따라 Cloud Security Alliance STAR 증명을 획득했습니다. |
 |
CSA STAR 인증 | Azure, Intune 및 Power BI는 Cloud Security Alliance STAR 인증의 골드 레벨을 획득했습니다. |
 |
EU 모범 조항 | Microsoft는 EU 표준 계약 조항을 제공하며, 개인 데이터의 전송을 보장합니다. |
 |
HIPAA/HITECH | Microsoft는 건강 보험 이식성 & 책임법 BAA(Business Associate Agreements)를 제공합니다. |
 |
ISO 9001 | Microsoft는 이러한 품질 관리 표준의 구현에 대한 인증을 받았습니다. |
 |
ISO/IEC 27001 | Microsoft는 이러한 정보 보안 관리 표준의 구현에 대한 인증을 받았습니다. |
 |
ISO/IEC 27018 | Microsoft는 클라우드 개인 정보 보호에 대한 이 규칙을 준수하는 첫 번째 클라우드 공급자였습니다. |
 |
PCI DSS | Azure는 PCI(Payment Card Industry) DSS(Data Security Standards) 레벨 1 버전 3.1을 준수합니다. |
 |
SOC 1 및 SOC 2 유형 2 보고서 | Microsoft 클라우드 서비스는 운영 보안에 대한 SOC(Service Organization Controls) 표준을 준수합니다. |
|
SOC 3 | Microsoft 클라우드 서비스는 운영 보안에 대한 SOC(Service Organization Controls) 표준을 준수합니다. |
 |
영국 G-Cloud | CCS(Crown Commercial Service)는 Microsoft 클라우드 서비스 분류를 정부 클라우드 v6으로 갱신했습니다. |
자세한 내용을 보려면 Microsoft 규정 준수 제안으로 이동하세요.
개인 정보 취급 방침
사용자는 데이터의 소유자입니다
클라우드용 Defender 앱에서 관리자는 검색 표시줄을 사용하여 포털에서 서비스에 저장된 식별 가능한 개인 데이터를 볼 수 있습니다.
관리자는 특정 사용자의 메타데이터 및 사용자 활동을 검색할 수 있습니다. 엔터티를 클릭하면 사용자 및 계정이 열립니다. 사용자 및 계정 페이지는 연결된 클라우드 애플리케이션에서 풀한 엔터티의 자세한 세부 사항을 제공합니다. 이는 또한 사용자와 관련된 사용자 활동 검색 기록 및 보안 경고를 제공합니다.
사용자는 데이터의 소유자이며 구독을 취소하고 언제든 데이터의 삭제를 요청할 수 있습니다. 구독을 갱신하지 않으면 데이터는 온라인 서비스 사용 약관에 지정된 타임라인 내에 삭제됩니다.
서비스 종료를 선택할 경우 데이터를 회수할 수 있습니다.
클라우드용 Defender 앱은 데이터의 프로세서입니다.
클라우드용 Defender 앱은 사용자가 구독하는 서비스를 제공하는 것과 일치하는 목적으로만 데이터를 사용합니다.
만약 정부가 Microsoft에 사용자의 데이터를 요구할 경우, Microsoft는 가능한 경우 이 요청을 사용자, 즉 고객에게 직접 연결합니다. Microsoft는 고객 데이터의 정부 요청 공개 금지라는 유효하지 않은 법적 요구에 이의를 제기합니다. 데이터 액세스 대상 및 사용 약관에 대해 자세히 알아보세요.
개인 정보 컨트롤
- 개인 정보 제어는 조직에서 서비스에 대한 액세스 권한이 있는 사용자와 해당 사용자가 액세스할 수 있는 항목을 구성하는 데 도움이 됩니다.
개인 데이터 업데이트
사용자의 개인 데이터는 SaaS 애플리케이션이 사용하는 사용자의 개체에서 생성됩니다. 이 때문에 이러한 애플리케이션의 사용자 프로필에 대한 변경 내용은 클라우드용 Defender 앱에 반영됩니다.
데이터 위치
클라우드용 Defender 앱은 현재 유럽 연합, 영국 및 미국(각각 "지역")의 데이터 센터에서 작동합니다. 서비스에서 수집한 고객 데이터는 유럽 연합 또는 영국에서 테넌트가 유럽 연합 또는 영국에서 프로비전되는 고객의 경우 다음과 같이 저장됩니다. (b) 그렇지 않으면 고객의 Azure Active Directory 테넌트가 프로비전된 위치에 가장 가까운 지리적 데이터 센터이거나, (c) 클라우드용 Defender 앱이 다른 Microsoft 온라인 서비스(예: Azure Active Directory 또는 Azure CDN)를 사용하는 경우 ) 이러한 데이터를 처리하기 위해 데이터 지리적 위치는 해당 다른 온라인 서비스의 데이터 스토리지 규칙에 의해 정의됩니다.
참고
클라우드용 Defender 앱은 전 세계의 Azure Data Centers를 사용하여 지리적 위치를 통해 최적화된 성능을 제공합니다. 즉 사용자의 세션이 트래픽 패턴 및 해당 위치에 따라 특정 영역 외부에 호스팅될 수 있습니다. 그러나 개인 정보를 보호하기 위해 이러한 데이터 센터에는 세션 데이터가 저장되지 않습니다.
투명성
Microsoft는 그 방침에 투명성을 유지합니다.
- 데이터 저장 위치를 사용자에게 공유합니다.
- 사용자의 데이터는 동의를 바탕으로 한 서비스를 제공하기 위해서만 사용합니다.
- Microsoft의 기술자 및 승인된 계약자가 서비스를 제공하기 위해 이 데이터를 사용하는 방법을 지정합니다.
Microsoft는 고객 데이터의 액세스를 제어하는 데 엄격한 컨트롤을 사용하며, 낮은 수준의 액세스에도 완벽한 키 작업을 요구하고 액세스가 필요하지 않은 경우 이를 철회합니다.
데이터 보호
클라우드용 Defender 앱은 콘텐츠 검사 중에 데이터 보호를 적용합니다. 파일 콘텐츠는 클라우드용 Defender 앱 데이터 센터에 저장되지 않습니다. 식별된 파일 레코드의 메타데이터 및 매치만 저장됩니다.
데이터 보존
클라우드용 Defender 앱은 다음과 같이 데이터를 유지합니다.
- 활동 로그: 180일
- 검색 데이터: 90일
- 경고: 180일
- 거버넌스 로그 120일:
온라인 서비스 약관을 참고하여 Microsoft 데이터 사례에 대해 자세히 알아볼 수 있습니다.
개인 데이터 삭제
연결된 클라우드 애플리케이션에서 사용자의 계정이 삭제되면 클라우드용 Defender 앱은 2년 이내에 데이터 복사본을 자동으로 삭제합니다.
개인 데이터 내보내기
클라우드용 Defender 앱은 CSV로 모든 사용자 활동 및 보안 경고 정보를 내보낼 수 있는 기능을 제공합니다.
데이터 흐름
클라우드용 Defender 앱은 일반적인 보안 워크플로를 방해하지 않고 경고 및 활동과 같은 일부 데이터로 작업하는 편의를 제공합니다. 예를 들어 SecOps는 Microsoft Sentinel과 같은 기본 SIEM 제품에서 경고를 보는 것을 선호할 수 있습니다. 이러한 워크플로를 사용하도록 설정하려면 Microsoft 또는 타사 제품과 통합할 때 클라우드용 Defender 앱은 이러한 워크플로를 통해 일부 데이터를 노출합니다.
다음 표는 각 제품 통합 시 표시되는 데이터를 나타냅니다.
Microsoft 제품
| 제품 | 공개 데이터 | 구성 |
|---|---|---|
| Microsoft 365 Defender | 경고 및 사용자 활동 | 온보딩 시 Microsoft 365 Defender 자동으로 사용 |
| Microsoft Sentinel | 경고 및 검색 데이터 | 클라우드용 Defender 앱에서 사용하도록 설정되고 Microsoft Sentinel에서 구성됨 |
| Microsoft Purview 규정 준수 포털 | Office 365용 경고 | Microsoft Purview 규정 준수 포털 자동으로 스트리밍 |
| Microsoft Defender for Cloud | Azure용 경고 | 클라우드용 Defender 앱에서 기본적으로 사용하도록 설정되며 클라우드용 Microsoft Defender |
| Microsoft Graph Security API | 경고 | Microsoft Graph Security API를 통한 사용 |
| Microsoft Power Automate | 자동화된 흐름을 트리거하도록 경고 전송 | 클라우드용 Defender 앱에서 구성됨 |
타사 제품
| 통합 유형 | 공개 데이터 | 구성 |
|---|---|---|
| SIEM 에이전트 사용 | 경고 및 이벤트 | 클라우드용 Defender 앱에서 사용 및 구성 |
| 클라우드용 Defender 앱 REST API 사용 | 경고 및 이벤트 | 클라우드용 Defender 앱에서 사용 및 구성 |
| ICAP 커넥터 | DLP 검사용 파일 | 클라우드용 Defender 앱에서 사용 및 구성 |
참고
다른 제품은 클라우드용 Defender 앱 역할 기반 보안 권한을 적용하여 데이터에 대한 액세스 권한이 있는 사용자를 제어할 수 없습니다. 따라서 다른 제품과 통합하기 전에 사용하려는 제품에 전송되는 데이터 및 액세스하려는 사람을 확인하십시오.
보안
암호화
Microsoft는 암호화 기술을 사용하여 Microsoft 데이터베이스에서 미사용 중인 데이터와 사용자 디바이스와 클라우드용 Defender 앱 데이터 센터 간에 이동하는 경우 데이터를 보호합니다. 또한 클라우드용 Defender 앱과 연결된 앱 간의 모든 통신은 HTTPS를 사용하여 암호화됩니다.
참고
클라우드용 Defender 앱은 TLS(전송 계층 보안) 프로토콜 1.2+를 활용하여 동급 최고의 암호화를 제공합니다. 세션 컨트롤을 사용하여 구성하면 TLS 1.2 이상을 지원하지 않는 네이티브 클라이언트 애플리케이션 및 브라우저에 액세스할 수 없습니다. 그러나 TLS 1.1 이하를 사용하는 SaaS 앱은 클라우드용 Defender 앱으로 구성된 경우 TLS 1.2+를 사용하는 것으로 브라우저에 표시됩니다.
ID 및 액세스 관리
클라우드용 Defender 앱을 사용하면 Azure Active Directory 사용하여 지리적 위치를 기반으로 포털에 대한 관리자 액세스를 제한할 수 있습니다. Azure Active Directory 사용하여 클라우드용 Defender 앱 포털에 액세스하려면 다단계 인증을 요구할 수 있습니다.
사용 권한
클라우드용 Defender 앱은 역할 기반 액세스 제어를 지원합니다. Office 365 및 Azure Active Directory 전역 관리자 및 보안 관리자 역할은 클라우드용 Defender 앱에 대한 모든 권한을 가지며 보안 읽기 권한자는 읽기 권한이 있습니다. 자세한 내용
조직 규정 준수를 위한 사용자 지정 컨트롤
범위가 지정된 배포
클라우드용 Defender 앱을 사용하면 배포 범위를 지정할 수 있습니다. 범위 지정을 사용하면 클라우드용 Defender 앱을 사용하여 특정 그룹만 제어하거나 클라우드용 Defender 앱 거버넌스에서 특정 그룹을 제외할 수 있습니다. 자세한 내용은 범위가 지정된 배포를 참조하세요.
익명화
Cloud Discovery 보고서를 익명으로 유지할 수 있습니다. 로그 파일이 Microsoft Defender for Cloud Apps 업로드되면 모든 사용자 이름 정보가 암호화된 사용자 이름으로 바뀝니다. 특정 보안 검색을 위해 실제 사용자 이름을 확인할 수 있습니다. 프라이빗 데이터는 테넌트당 전용 키와 함께 AES-128을 사용하여 암호화됩니다. 자세한 내용
클라우드용 Defender 앱 미국 정부 GCC 높은 고객에 대한 보안 및 개인 정보 보호
클라우드용 Defender 앱 규정 준수 표준 및 미국 정부 GCC 상위 고객의 데이터 위치에 대한 자세한 내용은 미국 정부 서비스 설명에 대한 Enterprise Mobility + Security 참조하세요.
다음 단계
클라우드용 Defender 앱의 무료 평가판을 다운로드하고 비즈니스 과제를 충족하는 방법을 알아보세요.