다음을 통해 공유

계획, 구현 및 모니터링 Microsoft Cloud for Sovereignty

  • 아티클

Microsoft Cloud for Sovereignty는 클라우드 구현 수명 주기 전반에 걸쳐 IT 전문가와 정보 보안 담당자를 위한 도구와 지침을 제공합니다. 이 문서의 나머지 부분에서는 구현 수명 주기의 세 단계에 따른 기능을 소개하고 각 문서에 대한 자세한 문서를 참조합니다.

  1. 계획: 클라우드 마이그레이션을 계획합니다.
  2. 구현: 자주적이고 규정을 준수하는 아키텍처를 구현합니다.
  3. 모니터링 및 감사: 데이터와 워크로드를 모니터링하고 감사하여 안전하게 유지합니다.

계획

엄격한 주권 요구 사항이 있는 공공 부문 조직은 주권 목표를 계획 활동에 통합해야 합니다. 이 프로세스를 통해 클라우드 채택에 대한 전략적 결정이 해당 주권 요구 사항에 부합하도록 보장됩니다.

주권 요구 사항

Azure용 Microsoft 클라우드 채택 프레임워크는 클라우드 설계자, IT 전문가 및 비즈니스 의사 결정자가 클라우드 채택 목표를 달성할 수 있도록 지원하는 전체 수명 주기 프레임워크입니다. 프레임워크는 클라우드에 대한 비즈니스 및 기술 전략을 수립하고 구현하는 데 도움이 되는 모범 사례, 문서 및 도구를 제공합니다.

주권 요구 사항 평가를 읽고 주권 요구 사항을 평가, 식별, 문서화하는 방법을 이해하고 이러한 요구 사항이 Azure용 Microsoft 클라우드 채택 프레임워크와 관련된 광범위한 계획 작업에 적합할 수 있는 권장 사항을 검토할 수 있습니다.

Cloud for Sovereignty의 지리적 가용성

계획의 핵심 부분은 주권 관련 서비스의 지역적 가용성을 이해하고 평가하는 것입니다. 문서 Microsoft Cloud for Sovereignty의 국제적 가용성은 개요를 제공합니다.

데이터 보존 옵션 및 EU 데이터 경계

데이터 보존은 공공 부문 데이터에 대한 일반적인 규제 요구 사항입니다. 데이터 보존 요구 사항에 따라 다양한 유형의 데이터를 저장하고 처리할 수 있는 위치가 제한될 수 있습니다. 일부 규정에서는 데이터가 전송될 수 있는 위치에 제한을 가할 수도 있습니다. Microsoft Cloud for Sovereignty를 사용하면 SLZ(소버린 랜딩 존)를 구성하여 사용할 수 있는 서비스 및 지역을 제한하고 서비스 구성을 시행하여 데이터 보존 요구 사항을 충족할 수 있습니다. 자세한 내용은 데이터 보존을 참조하십시오.

또한 EU 데이터 경계는 Microsoft가 Azure, Dynamics 365, Power Platform 및 Microsoft 365를 포함한 주요 상용 기업 온라인 서비스에 대한 고객 데이터를 저장하고 처리하기로 약속한 지리적으로 정의된 경계입니다. EU 데이터 경계는 특히 비지역 Azure 서비스에 대한 데이터 보존과 관련하여 Microsoft Cloud for Sovereignty에서 관리하는 것 이상의 데이터 보존 약정을 제공합니다. 자세한 내용은 EU 데이터 경계를 참조하십시오.

Cloud for Sovereignty 정책 포트폴리오 및 기준

소버린 정책 포트폴리오에는 주권 기준 정책 이니셔티브와 지역별 규정 준수 규정을 충족하는 데 도움이 되는 정책 이니셔티브가 포함되어 있습니다. 이러한 정책 이니셔티브는 공공 부문 고객이 다양한 규제 프레임워크를 신속하게 준수하려는 노력을 하도록 돕습니다. 이러한 정책 이니셔티브에는 관련 컨트롤 매핑 및 설명서가 함께 제공됩니다. 자세한 내용은 정책 포트폴리오를 참조하세요.

샘플 참조 아키텍처(프리뷰)

SLZ 배포의 일반적인 시나리오는 LLM을 사용하여 RAG(검색 증강 생성) 패턴을 통해 자신의 데이터를 사용하여 대화에 참여하는 것입니다. 이 패턴을 사용하면 LLM의 추론 능력을 활용하고 모델을 미세 조정할 필요 없이 특정 데이터를 기반으로 응답을 생성할 수 있습니다. LLM을 기존 비즈니스 프로세스 또는 솔루션에 원활하게 통합할 수 있습니다. 중요한 가드레일을 고려하면서 Sovereign Landing Zone 내에서 이러한 기술을 적용할 수 있는 방법을 탐구합니다. 자세한 내용은 검색 증강 생성(RAG) 패턴의 LLM 및 Azure OpenAI를 참조하세요.

구현

구현 단계에서 공공 부문 조직은 Microsoft Cloud for Sovereignty 도구 및 지침을 사용하여 주권 환경의 정의 및 배포를 가속화할 수 있습니다.

소버린 랜딩 존

SLZ(소버린 랜딩 존)는 미사용 데이터, 전송 중 데이터, 사용 중인 데이터의 운영 제어에 초점을 맞춘 엔터프라이즈급 클라우드 인프라를 제공하는 Azure 랜딩 존(ALZ)의 변형입니다. SLZ는 서비스 상주, 고객 관리형 키, 프라이빗 링크, 기밀 컴퓨팅과 같은 Azure 기능을 조정하여 데이터와 워크로드가 기본적으로 암호화 및 위협으로부터 보호되는 클라우드 아키텍처를 만듭니다. 단일 PowerShell 명령과 몇 가지 매개 변수를 사용하여 SLZ를 배포할 수 있습니다.

SLZ는 GitHub에서 사용할 수 있습니다. 자세한 내용은 소버린 랜딩 존 개요를 참조하십시오.

워크로드 템플릿

워크로드 템플릿은 일반적인 워크로드 유형에 대해 프로덕션 품질, 재사용 가능, 보안 및 규정 준수 자동 배포를 제공합니다. 워크로드 템플릿은 재사용 가능한 방식으로 하나 이상의 Azure 서비스를 올바르게 구성하는 데 중점을 둡니다. 자세한 내용은 소버린 랜딩 존용 워크로드 템플릿을 참조하십시오.

랜딩 존 수명 주기 관리 도구(프리뷰)

Microsoft Cloud for Sovereignty는 GitHub를 통해 다음 랜딩 존 수명 주기 관리 도구를 제공합니다.

  • 평가: 확립된 모범 사례를 기준으로 위치 및 Azure 정책 할당과 같은 Azure 리소스의 배포 전 평가를 수행합니다.
  • 정책 컴파일러: 정책 관리 프로세스를 간소화합니다. 핵심 구성 요소를 조사하여 조직의 정책 계획을 체계적으로 분석합니다.
  • 드리프트 분석기: 클라우드 환경의 현재 상태를 원래 의도한 랜딩 존 구성과 모니터링하고 비교합니다. 중요한 편차나 변경 사항을 식별합니다.

자세한 내용은 랜딩 존 수명 주기 관리 도구를 참조하십시오.

더 많은 데이터 주권을 위한 Dataverse 및 Power Platform 환경의 소버린 가드레일(프리뷰)

향상된 데이터 주권을 위해 Dataverse 및 Power Platform 환경을 구성할 수 있습니다. 환경 생성 및 관리를 제어하기 위한 테넌트 설정을 포함하여 환경 및 설정의 중앙 집중식 관리를 위해 Microsoft Power Platform 관리 센터를 사용할 수 있습니다. 또한 Dataverse 및 Power Platform에 대한 특정 액세스 제어를 사용하여 주권 요구 사항을 준수할 수도 있습니다. 자세한 내용은 더 많은 데이터 주권을 위해 Dataverse 및 Power Platform 환경 구성Dataverse 및 Power Platform에 대한 액세스 제어를 참조하세요.

암호화 및 키 관리

안전하고 자주적인 구현을 위해서는 올바른 암호화 및 키 관리 전략을 구현하는 것이 중요합니다. 자세한 내용은 이 문서를 참조하십시오.

Azure 기밀 컴퓨팅

Microsoft Cloud for Sovereignty는 고객이 특정 규제 및 주권 요구 사항을 준수하는 방식으로 데이터와 리소스를 구성하고 보호하는 데 도움이 됩니다. 여기에는 Microsoft를 포함하여 고객의 통제 범위를 벗어난 당사자가 고객 데이터에 액세스할 수 없도록 하는 것이 포함됩니다. Azure 기밀 컴퓨팅(ACC)과 함께 Microsoft Cloud for Sovereignty는 고객에게 워크로드에 대한 모든 액세스에 대한 가시성과 제어 기능을 제공합니다. ACC는 하이퍼바이저와 같은 소프트웨어를 포함하여 클라우드 공급자 운영자 및 기타 행위자의 권한 있는 데이터 액세스를 제거하거나 줄여 고객 주권을 강화합니다. ACC는 저장 데이터와 전송 중인 데이터를 보호하는 기존 솔루션 외에도 수명 주기 전반에 걸쳐 데이터를 보호하는 데 도움을 줍니다. 자세한 내용은 Azure 기밀 컴퓨팅을 참조하세요.

샘플 응용 프로그램

SLZ(Sovereign Landing Zone) 배포 인프라가 고객 워크로드의 기밀 요구 사항을 충족하는지 확인하고 검증하는 샘플 HR(인적 자원) 기밀 애플리케이션을 사용합니다. 자세한 내용은 기밀 샘플 애플리케이션을 참조하십시오.

마이그레이션 및 현대화

Microsoft Cloud for Sovereignty는 워크로드를 클라우드로 마이그레이션하기 위한 도구와 지침을 제공합니다. 자세한 내용은 워크로드 마이그레이션 개요를 참조하세요.

모니터링 및 감사

워크로드를 모니터링하고 안전하게 유지하기 위해 Microsoft Azure에서 제공하는 Azure MonitorDefender for Cloud와 같은 풍부한 서비스 세트 외에도 Microsoft Cloud for Sovereignty에는 새로운 기능과 서비스가 도입되었습니다.

투명성 로그(프리뷰)

주권 고객의 신뢰를 얻기 위해 Microsoft Cloud for Sovereignty는 Microsoft 직원 활동의 투명성 수준을 높이는 추가 로깅 및 모니터링 제어 기능을 제공합니다. 결과적으로 고객은 표준 퍼블릭 클라우드 기능 이상의 가시성을 확보하여 감사 및 액세스 제어 요구 사항을 충족할 수 있습니다.

투명성 로그는 제한적으로 제공되며 고객 자격 요구 사항에 따라 달라질 수 있습니다. 승인된 고객은 Microsoft 엔지니어 또는 지원 에이전트에게 고객의 Azure 리소스에 대한 임시 액세스 권한이 부여된 인스턴스를 요약하는 테넌트에 대한 월별 보고서를 받습니다.

자세한 내용은 투명성 로그를 참조하세요.

Dataverse 및 Power Platform의 투명성 제어(프리뷰)

또한 소버린 정책을 준수하는 데 중요한 Dataverse 및 Power Platform에서 투명성 제어를 설정할 수도 있습니다.

자세한 내용은 Dataverse 및 Power Platform의 투명도 제어를 참조하세요.

정부 보안 프로그램

GSP(정부 보안 프로그램)는 자격을 갖춘 정부 참가자가 Microsoft 제품 및 서비스를 신뢰하는 데 필요한 기밀 정보를 제공하도록 설계된 기존 Microsoft 프로그램입니다. 이 프로그램에는 소스 코드에 대한 액세스 제어, 위협 및 취약성 정보 교환, Microsoft 제품 및 서비스에 대한 기술 콘텐츠 참여, 투명성 센터 액세스가 포함됩니다. Microsoft Cloud for Sovereignty는 일부 Azure 서비스를 포함하도록 GSP 프로그램을 확장했습니다. 자세한 내용은 정부 보안 프로그램을 참조하세요.

참조 항목