RaMP 검사 목록 - 데이터 보호

이 RaMP(빠른 현대화 계획) 검사 목록은 의도치 않은 액세스와 악의적인 액세스로부터 온-프레미스 및 클라우드 데이터를 보호하는 데 도움이 됩니다.

  • 의도치 않은 액세스는 사용자가 해당 역할과 책임에 따라 보유하지 않아야 하는 데이터에 대한 액세스 권한을 얻는 경우 발생합니다. 그 결과 의도치 않은 데이터 유출, 데이터 폐기 또는 데이터 보안/프라이버시 규정 위반이 발생할 수 있습니다.

  • 악의적인 액세스는 외부 공격자나 악의적인 내부자가 의도적으로 데이터에 액세스하려고 할 때 발생합니다. 악의적인 내부자는 이익을 위해 또는 조직에 피해를 입히기 위해 데이터를 사용할 수 있습니다. 외부 공격자는 가장 중요한 데이터를 삭제, 변경, 유출, 암호화하여 사용자가 랜섬웨어 공격에 노출되게 할 수 있습니다.

두 유형의 공격에 대해 데이터를 식별, 보호하고, 데이터의 폐기나 유출을 방지하고, 비즈니스 목적이 있는 사용자만 데이터에 액세스할 수 있도록 하는 데 필요한 단계를 수행해야 합니다.

데이터 보호는 “위반 가정” 제로 트러스트 원칙의 일부입니다. 모든 사용자 계정 및 디바이스 보호가 적용되더라도 공격자가 침입하는 경로를 찾고 환경 트래버스를 시작하여 조직에 가장 중요한 데이터를 검색할 수 있다고 가정해야 합니다.

따라서 다음을 수행해야 합니다.

  • 데이터 이해

    데이터 환경을 이해하고 클라우드 및 온-프레미스 환경에서 중요한 정보를 식별합니다.

  • 데이터 보호

    암호화, 액세스 제한, 시각적 표시 등과 같은 보호 작업에 연결된 민감도 레이블을 적용하여 수명 주기 내내 중요한 데이터를 보호합니다.

  • 데이터 손실 방지

    클라우드, 온-프레미스 환경 및 엔드포인트에서 일관된 데이터 손실 방지 정책 집합을 적용하여 중요한 데이터를 사용하여 위험한 활동을 모니터링, 방지 및 수정합니다.

  • 최소 권한 액세스 사용

    액세스가 허용되는 사용자와 비즈니스 및 생산성 요구 사항을 충족하기 위해 데이터로 수행할 수 있는 작업으로 구성된 최소한의 권한을 적용합니다.

프로그램 및 프로젝트 구성원 책임

이 표에서는 결과를 결정하고 구동하기 위한 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 측면에서 조직 데이터의 전반적인 보호에 대해 설명합니다.

Lead 소유자 책임성
CISO, CIO 또는 데이터 보안 디렉터 경영진의 지원
데이터 보안의 프로그램 리더 결과 및 팀 간 협업 추진
보안 설계자 구성 및 표준에 대한 조언
Microsoft 365 관리자 OneDrive 및 보호된 폴더에 대한 Microsoft 365 테넌트 변경 내용 구현
데이터 보안 엔지니어 및/또는 인프라 보안 엔지니어 인프라 백업 사용
애플리케이션 소유자 중요 비즈니스 자산 식별
Data Security 관리 구성 변경 사항 구현
IT 관리자 표준 및 정책 문서 업데이트
보안 거버넌스 및/또는 IT 관리 규정을 준수하도록 모니터링
사용자 교육 팀 사용자에 대한 지침이 정책 업데이트를 반영하는지 확인

배포 목표

이러한 배포 목표를 충족하여 제로 트러스트 데이터를 보호합니다.

완료 배포 목표 소유자
1. 데이터 파악 데이터 보안 설계자
2. 데이터 보호 데이터 보안 엔지니어
3. 데이터 손실 방지 데이터 보안 엔지니어
4. 최소 권한 액세스 사용 데이터 보안 엔지니어

1. 데이터 파악

데이터 배포 목표 파악을 충족하려면 이러한 구현 단계를 수행 합니다 .

완료 구현 단계 소유자 설명서
1. 데이터 분류 수준을 결정합니다. 데이터 보안 설계자 자세한 정보
2. 기본 제공 및 사용자 지정 중요한 정보 유형을 결정합니다. 데이터 보안 설계자 자세한 정보
3. 미리 학습된 및 사용자 지정 학습 가능 분류자의 사용을 결정합니다. 데이터 보안 설계자 자세한 정보
4. 중요한 데이터를 검색하고 분류합니다. 데이터 보안 설계자 및/또는 데이터 보안 엔지니어 자세한 정보

2. 데이터 보호

데이터 배포 보호 목표를 충족하려면 이러한 구현 단계를 수행합니다.

완료 구현 단계 소유자 설명서
1. 민감도 레이블의 사용 및 디자인을 결정합니다. 보안 설계자 시작
2. Microsoft 365 앱 및 서비스에 대한 항목에 레이블을 지정하고 보호합니다. 데이터 보안 엔지니어 민감도 레이블 관리
3. Microsoft Cloud App Security 사용하도록 설정하고 구성합니다. 데이터 보안 엔지니어 시작
4. 클라우드의 데이터 저장소에 있는 중요한 항목을 검색, 레이블 지정 및 보호합니다. 데이터 보안 엔지니어 모범 사례
5. 온-프레미스 데이터 저장소에 있는 중요한 항목을 검색, 레이블 지정 및 보호합니다. 데이터 보안 엔지니어 AIP(Azure Information Protection) 통합 레이블 지정 스캐너
6. 민감도 레이블을 Azure 리소스 Azure Purview로 확장 데이터 보안 엔지니어 Azure Purview의 레이블 지정

3. 데이터 손실 방지

데이터 손실 방지 배포 목표를 충족하려면 이러한 구현 단계를 수행합니다.

완료 구현 단계 소유자 설명서
1. DLP(데이터 손실 방지) 정책을 디자인하고 만듭니다. 보안 설계자 자세한 정보
2. 엔드포인트 데이터 손실 방지를 사용하도록 설정하고 구성합니다. 데이터 보안 엔지니어 자세한 정보
3. Cloud App Security 조건부 액세스 앱 제어에 대한 액세스 정책을 구성합니다. 데이터 보안 엔지니어 개요

4. 최소 권한 액세스 사용

이러한 구현 단계를 수행하여 사용자와 관리자가 최소 권한 액세스 배포 목표를 충족하는지 확인합니다.

완료 구현 단계 소유자
1. 데이터 배포 목표 파악 에서 중요하고 중요한 정보의 위치에 대한 사용 권한을 검토합니다. 데이터 보안 엔지니어
2. 공동 작업 및 비즈니스 요구 사항을 충족하는 동안 중요하고 중요한 정보에 대한 최소한의 권한을 구현하고 영향을 받는 사용자에게 알릴 수 있습니다. 데이터 보안 엔지니어
3. 중요하고 중요한 정보에 대한 향후 위치가 최소한의 권한으로 만들어지고 유지 관리되도록 직원에 대한 변경 관리를 수행합니다. 사용자 교육 팀
4. 중요하고 중요한 정보에 대한 위치를 감사하고 모니터링하여 광범위한 사용 권한이 부여되지 않도록 합니다. 데이터 보안 엔지니어 및/또는 보안 거버넌스 관리

결과

이러한 배포 목표를 완료한 후에는 제로 트러스트 아키텍처의 데이터 섹션을 작성하게 됩니다.

제로 트러스트 아키텍처의 데이터 섹션